Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Udo Schluhmeier
Erlbacher Straße 35a
09355 Gersdorf
Telefon: 03720365893
E-Mail: info@radibaz.de
Steuernummer: 227/268/08965
USt-IdNr.: DE223362227

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO bzw. § 38 BDSG nicht vorliegen.

2. Allgemeines zur Datenverarbeitung

RadiBaz ist eine hyperlokale, anonyme Kurznachrichten-App für Mobilgeräte (iOS und Android). Nutzerinnen und Nutzer können anonyme Kurzmeldungen (max. 280 Zeichen) mit optionalem Foto veröffentlichen, die nur für Personen im einstellbaren Umkreis (500 m bis 25 km) sichtbar sind und sich nach spätestens 24 Stunden automatisch löschen.

Die App wurde von Grund auf datenschutzfreundlich konzipiert. Es werden keine Klarnamen, keine E-Mail-Adressen und keine Telefonnummern erhoben. Es gibt kein Tracking, keine Werbenetzwerke und keine Analyse-SDKs von Drittanbietern.

Diese Datenschutzerklärung informiert darüber, welche Daten bei der Nutzung von RadiBaz verarbeitet werden, zu welchen Zwecken das geschieht und welche Rechte betroffene Personen haben.

Die App richtet sich ausschließlich an Personen ab 16 Jahren.

3. Technische Grundlagen und lokale Speicherung

3.1 Anonyme Session (Authentifizierung)

Damit die App funktioniert, wird beim ersten Start automatisch eine anonyme Session erstellt – ohne Registrierung, ohne E-Mail-Adresse, ohne Passwort. Dazu wird ein technisches Zufalls-Identifikator (Session-ID) erzeugt und sowohl lokal auf dem Gerät als auch serverseitig bei Supabase gespeichert.

Ohne diese Session ist eine Nutzung der App nicht möglich. Das berechtigte Interesse liegt in der technisch notwendigen Unterscheidbarkeit von Anfragen, um Missbrauch zu verhindern und die Kerndienste bereitzustellen.

3.2 Pseudonymer Anzeigename

Beim ersten Start wählen Nutzerinnen und Nutzer einen frei gewählten Anzeigenamen (2–15 Zeichen). Es handelt sich nicht um einen Klarnamen; eine Echtheitsprüfung findet nicht statt. Der Anzeigename wird mit der anonymen Session verknüpft und auf dem Server gespeichert.

3.3 Recovery-Code (optional)

Wer den Anzeigenamen auf ein neues Gerät übertragen möchte, kann einen Recovery-Code generieren.

• Lokal: Der Klartext-Code wird im sicheren Gerätespeicher abgelegt (iOS/Android: SecureStore). Er verlässt das Gerät nur bei bewusster Eingabe durch die Nutzerin / den Nutzer.
• Serverseitig: Es wird ausschließlich ein SHA-256-Hash des Codes gespeichert – kein Klartext.

3.4 Kamera-Zugriff (QR-Code-Scanner)

Um einen Wiederherstellungscode von einem anderen Gerät komfortabel zu übertragen, kann die Kamera des Geräts genutzt werden. Die Kamera wird ausschließlich lokal auf dem Gerät zur Erkennung des QR-Codes verwendet. Es werden keine Bilder, Fotos oder Videodaten an den Server übertragen oder dauerhaft gespeichert. Der Zugriff erfordert die ausdrückliche Berechtigung durch die Nutzerin / den Nutzer über das Betriebssystem.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die Geräteberechtigung).

4. Standortdaten

4.1 Standortabfrage beim Posten und Feed-Abruf

Um Posts im Umkreis anzuzeigen, muss die App den aktuellen Standort des Geräts kennen. Die Standortberechtigung wird vom Betriebssystem (iOS/Android) aktiv abgefragt und muss von der Nutzerin / dem Nutzer ausdrücklich erteilt werden.

• Beim Erstellen eines Posts: Die GPS-Koordinaten werden gemeinsam mit dem Post in der Datenbank gespeichert (PostGIS-Feld).
• Beim Abrufen des Feeds / der Kartenansicht: Das Gerät übermittelt den aktuellen Standort an den Server, der daraufhin nur Posts im gewählten Radius zurückliefert. Dieser Standort wird nicht dauerhaft gespeichert; er wird nur für die Filterabfrage verwendet.
• „Standort auf Karte ausblenden": Pro Post kann die Sichtbarkeit der Position auf der Karte deaktiviert werden. Die Koordinaten bleiben intern für die Radius-Filterung erhalten, werden aber anderen Nutzern nicht angezeigt.

Die Einwilligung kann jederzeit widerrufen werden, indem die Standortberechtigung in den Geräteeinstellungen entzogen wird. Ohne Standortberechtigung ist die App nur eingeschränkt nutzbar.

5. Beiträge (Posts) und Fotos

Jeder veröffentlichte Beitrag enthält:

• Textinhalt (max. 280 Zeichen)
• Pseudonymer Anzeigename
• Kategorie
• GPS-Koordinaten des Erstellungsorts
• Erstellungszeit und berechnete Ablaufzeit

Optional kann ein Foto hochgeladen werden. Dies erfordert – je nach Auswahl – die Freigabe des Zugriffs auf die Kamera oder die Fotomediathek des Geräts (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, Einwilligung). Fotos werden im Supabase-Speicherdienst (Bucket post-images) abgelegt.

Hinweis: Nutzerinnen und Nutzer sind selbst dafür verantwortlich, keine personenbezogenen Daten Dritter (z. B. erkennbare Personen auf Fotos) ohne deren Einwilligung zu veröffentlichen.

6. Kommentare (Replies)

Textantworten auf Beiträge werden mit dem Pseudonym der verfassenden Person gespeichert.

7. Bewertungen (Votes)

Nutzerinnen und Nutzer können Beiträge als „hilfreich" markieren oder als problematisch kennzeichnen. Die Stimme wird in der Datenbank gespeichert und ist intern mit der anonymen Benutzerkennung verknüpft, um Mehrfachabstimmungen zu verhindern. Anderen Nutzern ist die Zuordnung einer Stimme nicht sichtbar.

8. Meldungen (Reports)

Beiträge und Kommentare können gemeldet werden. Eine Meldung enthält den Grund der Beanstandung sowie einen internen Verweis auf den gemeldeten Inhalt. Bei ausreichend Meldungen wird ein Beitrag automatisch ausgeblendet.

9. Geblockte Nutzer

Nutzerinnen und Nutzer können andere Nutzerprofile (Pseudonyme) lokal blockieren. Die Blockliste wird auf dem Gerät gespeichert und mit dem Server synchronisiert, damit gesperrte Inhalte konsistent gefiltert werden.

10. Statistiken und Aktivitätspunkte

Serverseitig werden Aktivitätspunkte und einfache Nutzungsstatistiken (z. B. Anzahl veröffentlichter Posts, erhaltene Bewertungen) pro anonymer Session gespeichert. Diese Daten lassen sich außerhalb der App nicht einer natürlichen Person zuordnen.

10a. Empfehlungssystem (Referral)

Die App kann ein optionales Empfehlungssystem enthalten, mit dem Nutzerinnen und Nutzer andere Personen zur Nutzung von RadiBaz einladen können. Dabei wird ein individueller Empfehlungscode pro anonymer Session erzeugt und serverseitig gespeichert. Wird der Code von einer anderen Person eingelöst, wird die Zuordnung (einladende Session → eingeladene Session) in der Datenbank gespeichert.

Die Empfehlungscodes enthalten keine personenbezogenen Informationen und sind ausschließlich mit der anonymen Session verknüpft. Das Feature kann vom Betreiber per Konfiguration aktiviert oder deaktiviert werden.

11. Kein Tracking, keine Werbung, keine Analyse-Dienste

RadiBaz enthält keine Tracking-SDKs, keine Werbenetzwerke und keine Analyse-Dienste von Drittanbietern. Es werden insbesondere folgende Dienste nicht verwendet:

• Google Analytics / Firebase Analytics
• Facebook SDK / Meta Pixel
• AppsFlyer, Adjust oder vergleichbare Attribution-Dienste
• Sentry oder vergleichbare Fehlererfassungsdienste mit Nutzeridentifikation

12. Lokale Speicherung (Cookies und ähnliche Technologien)

RadiBaz setzt keine klassischen HTTP-Tracking-Cookies ein. Die App verwendet jedoch geräteseitige Speichermechanismen:

Diese Speicher sind technisch notwendig und dienen ausschließlich dem Betrieb der App. Sie werden nicht für Werbezwecke oder Nutzerprofilierung eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).

13. Auftragsverarbeitung – Dienstleister

13.1 Supabase Inc.

Für Datenbankdienste (PostgreSQL), Authentifizierung und Dateispeicherung wird Supabase Inc. als Auftragsverarbeiter eingesetzt.

• Sitz: San Francisco, USA
• Hosting-Region: EU-West / Frankfurt (AWS eu-central-1) – die Daten werden innerhalb der Europäischen Union gespeichert
• DSGVO-Konformität: Supabase stellt Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO bereit
• Datenschutzinformationen von Supabase: https://supabase.com/privacy

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist mit Supabase abgeschlossen.

13.2 Expo / Expo Application Services (EAS)

Der Build- und Verteilungsdienst Expo (Expo Technology Inc., USA) wird für die Erstellung und Auslieferung der App-Binaries verwendet. Bei diesem Prozess werden keine Nutzerdaten der App-Endnutzer verarbeitet.

Datenschutzinformationen von Expo: https://expo.dev/privacy

13.3 Kartendienste (Tile-Server)

Die App zeigt eine interaktive Karte an. Dabei werden Kartenkacheln (Tiles) von Drittanbietern geladen; das Gerät stellt dazu eine direkte Verbindung zum jeweiligen Server her, wobei die IP-Adresse des Geräts übermittelt wird.

Es werden ausschließlich Kartenkacheln abgerufen; die App überträgt keine Nutzerkonten, Suchbegriffe oder Standortverläufe an diese Drittanbieter. Die Anbieter erhalten lediglich die IP-Adresse und die angeforderten Kachelkoordinaten (aus denen sich der ungefähre Kartenausschnitt ableiten lässt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der funktionalen Bereitstellung der App und der Darstellung einer interaktiven Karte).

13.4 Apple App Store / Google Play Store

Die Verbreitung der App erfolgt über den Apple App Store (Apple Inc.) und den Google Play Store (Google LLC). Beim Download und der Installation der App gelten die jeweiligen Datenschutzbestimmungen der Store-Betreiber. Diese Verarbeitung liegt außerhalb des Einflussbereichs des Verantwortlichen.

14. Datensicherheit

Alle Verbindungen zwischen App und Server sind durch TLS/HTTPS verschlüsselt. Der Datenbankzugriff ist durch Row-Level Security (RLS) auf Supabase-Ebene abgesichert. Recovery-Codes werden ausschließlich als SHA-256-Hash gespeichert; der Klartext wird nie serverseitig gehalten.

15. Minderjährigenschutz

Die App richtet sich ausschließlich an Personen ab 16 Jahren. Beim ersten Start der App wird eine Altersbestätigung eingeholt. Daten von Personen unter 16 Jahren werden nicht wissentlich verarbeitet. Sollte bekannt werden, dass eine Person unter 16 Jahren die App genutzt hat, werden die zugehörigen Daten unverzüglich gelöscht.

16. Rechte der betroffenen Personen

Gemäß der DSGVO stehen betroffenen Personen folgende Rechte zu:

16.1 Auskunftsrecht (Art. 15 DSGVO)

Nutzerinnen und Nutzer können Auskunft über die zu ihrer anonymen Session gespeicherten Daten verlangen. Da keine E-Mail-Adresse oder kein Klarname hinterlegt ist, ist eine Identifizierung über den Support nur möglich, wenn die interne Benutzerkennung (Session-ID) mitgeteilt wird.

16.2 Recht auf Berichtigung (Art. 16 DSGVO)

Unrichtige personenbezogene Daten können jederzeit berichtigt werden – innerhalb der App über die Profileinstellungen.

16.3 Recht auf Löschung (Art. 17 DSGVO)

Die lokalen App-Daten können jederzeit gelöscht werden über:

In der App → Profil → „Lokale Daten löschen & abmelden"

Dieser Vorgang löscht:

• die lokale Session (AsyncStorage / localStorage)
• den lokalen Recovery-Code (SecureStore / localStorage)
• die lokale Blockliste

Durch das Abmelden wird die Verknüpfung zwischen dem Gerät und der bisherigen anonymen Session aufgehoben. Beim nächsten Start wird automatisch eine neue anonyme Session erzeugt.

Serverseitig gespeicherte Beiträge (Posts, Kommentare, Votes) werden unabhängig davon spätestens nach 24 Stunden automatisch und unwiederbringlich gelöscht. Sonstige serverseitige Daten (Anzeigename, Statistiken, Empfehlungscodes) verbleiben zunächst mit der verwaisten anonymen Session; sie sind ohne das zugehörige Gerät nicht mehr einer natürlichen Person zuordenbar. Eine vollständige serverseitige Löschung kann durch Kontaktaufnahme mit dem Verantwortlichen unter Angabe der Session-ID veranlasst werden (siehe Abschnitt 17).

16.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Das Recht auf Einschränkung kann durch Kontaktaufnahme mit dem Verantwortlichen geltend gemacht werden (siehe Abschnitt 17).

16.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Aufgrund der vollständigen Anonymität, der Kurzlebigkeit der Daten (max. 24 h) und des Fehlens eines Nutzerkontos im herkömmlichen Sinne ist dieses Recht nur eingeschränkt praktizierbar. Auf Anfrage können die zu einer Session gespeicherten Daten in einem strukturierten Format bereitgestellt werden.

16.6 Widerspruchsrecht (Art. 21 DSGVO)

Gegen die Verarbeitung auf Basis berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) kann jederzeit Widerspruch eingelegt werden. In diesem Fall werden die betreffenden Daten nicht mehr verarbeitet, sofern keine zwingenden schutzwürdigen Gründe entgegenstehen.

16.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Die Einwilligung zur Standortnutzung kann jederzeit widerrufen werden, indem die entsprechende Berechtigung in den Geräteeinstellungen entzogen wird. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

16.8 Beschwerderecht (Art. 77 DSGVO)

Betroffene Personen haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde für den Verantwortlichen ist:

Sächsischer Datenschutzbeauftragter
Devrientstraße 5
01067 Dresden
https://www.saechsdsb.de

17. Kontakt für Datenschutzanfragen

Für Fragen zum Datenschutz sowie zur Geltendmachung der oben genannten Rechte wenden Sie sich bitte an:

Udo Schluhmeier
Erlbacher Straße 35a
09355 Gersdorf
Telefon: 03720365893
E-Mail: info@radibaz.de

Da die App vollständig anonym betrieben wird (keine E-Mail-Registrierung), bitten wir bei Anfragen zur eigenen Session um Angabe der internen Session-ID. Diese kann in der App unter Profil → Wiederherstellungscode anhand des dort angezeigten Codes identifiziert werden.

18. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei technischen oder rechtlichen Änderungen aktualisiert werden. Die jeweils aktuelle Fassung ist in der App und auf der App-Webseite abrufbar. Bei wesentlichen Änderungen werden Nutzerinnen und Nutzer beim nächsten App-Start informiert.

Stand: April 2026