Harcio

Datenschutzerklärung

Gültig ab: 2026-05-03

Diese Datenschutzerklärung beschreibt, wie Harcio („Harcio“, „wir“, „uns“) die personenbezogenen Daten erhebt, nutzt, speichert und weitergibt, die bei der Nutzung unseres Dienstes zur Aufteilung von Reisekosten verarbeitet werden. Sie wurde im Einklang mit dem türkischen Datenschutzgesetz Nr. 6698 (KVKK) und der EU-Datenschutz-Grundverordnung (DSGVO) erstellt.

1. Verantwortliche Stelle

Verantwortliche Stelle ist Harcio mit Sitz in der Türkei. Für Fragen, Anliegen oder Beschwerden zum Datenschutz erreichst du uns unter [email protected].

2. Welche Daten wir erheben

Bei der Erstellung deines Kontos und der Nutzung des Dienstes erheben wir:

  • Kontoinformationen: E-Mail-Adresse, Passwort-Hash, Name und - bei Anmeldung mit Google - die URL deines Profilbilds.
  • Reiseinhalte: Name, Beschreibung, Währung, Teilnehmerliste, Ausgaben (Betrag, Beschreibung, Kategorie, Datum), Aufteilungseinstellungen, Belegfotos und optionale IBAN-Daten der Reisen, die du erstellst oder denen du beitrittst.
  • Benachrichtigungsdaten: Push-Abonnement-Endpunkte und Schlüssel (p256dh, auth) für Web-Push, oder Geräte-Tokens für iOS-/Android-Push.
  • Technische Protokolle: IP-Adresse, User Agent und Zeitstempel bei Anmeldeversuchen und API-Aufrufen. Diese Protokolle werden ausschließlich zur Sicherheit, Missbrauchs- erkennung und für Audits verarbeitet.

3. Verarbeitungszwecke und Rechtsgrundlagen

Wir verarbeiten deine Daten zu folgenden Zwecken:

  • Bereitstellung des Dienstes und Verwaltung deines Kontos.
  • Authentifizierung und Sitzungsverwaltung.
  • Versand von Benachrichtigungen (Push, E-Mail) entsprechend deinen Einstellungen.
  • Sicherheit, Betrugs- und Missbrauchserkennung sowie Erfüllung gesetzlicher Pflichten.
  • Verbesserung der Dienstqualität und Fehlerbehebung.

Die Verarbeitung beruht auf Vertragserfüllung, berechtigtem Interesse und - bei optionalen Funktionen wie Benachrichtigungseinstellungen - deiner ausdrücklichen Einwilligung.

4. Wo wir Daten speichern

Alle personenbezogenen Daten werden auf unserer selbst gehosteten Supabase-Infrastruktur (PostgreSQL + Storage) auf eigenen Servern in der Türkei gespeichert. Daten liegen nicht bei einem externen Cloud-Anbieter; nur die Next.js-Anwendung ist über einen Cloudflare-Tunnel im Internet erreichbar.

5. Drittanbieterdienste

Folgende Drittanbieter erhalten ggf. begrenzte Daten zum Betrieb des Dienstes:

  • Google OAuth: bei Auswahl von „Mit Google fortfahren“ zur Authentifizierung.
  • Apple Sign-In: bei Auswahl von „Mit Apple fortfahren“ zur Authentifizierung.
  • Frankfurter API (api.frankfurter.dev): zum Abrufen von Wechselkursen auf Basis von Daten der Europäischen Zentralbank für Ausgaben in mehreren Währungen. Es werden keine personenbezogenen Daten geteilt.
  • TCMB (tcmb.gov.tr): als Fallback-Wechselkursquelle für Währungspaare mit TRY. Es werden keine personenbezogenen Daten geteilt.
  • VAPID-Web-Push-Dienste: der Push-Anbieter deines Browsers (z. B. Mozilla, Google) zur Zustellung von Web-Push-Benachrichtigungen.
  • Apple Push Notification service (APNs) und Firebase Cloud Messaging (FCM): für Push-Benachrichtigungen in der mobilen App.

6. Speicherdauer

Wir speichern deine Daten, solange dein Konto aktiv ist. Bei Kontolöschung werden personenbezogene Informationen (E-Mail, Name, Profilbild, IBAN) sofort entfernt. Die verbleibenden operativen Daten (z. B. der Verlauf der Reisen, an denen du teilgenommen hast) werden innerhalb von 30 Tagen durch einen automatisierten Cron-Job dauerhaft gelöscht.

7. Deine Rechte nach KVKK und DSGVO

Als betroffene Person hast du das Recht auf:

  • Auskunft über deine personenbezogenen Daten.
  • Berichtigung unrichtiger oder unvollständiger Daten.
  • Löschung deiner Daten. Den Löschvorgang kannst du über Einstellungen › Konto › Konto löschen starten.
  • Widerspruch gegen bestimmte Verarbeitungstätigkeiten.
  • Datenübertragbarkeit.
  • Jederzeitigen Widerruf erteilter Einwilligungen.

Anfragen sende bitte an [email protected]; wir antworten innerhalb von 30 Tagen.

8. Datenschutz für Kinder

Harcio richtet sich nicht an Personen unter 13 Jahren. Erfahren wir, dass Daten einer Person unter 13 Jahren übermittelt wurden, schließen wir das Konto und löschen die zugehörigen Daten.

9. Cookies und lokaler Speicher

  • NextAuth-Sitzungscookie: erforderlich für die Sitzungsverwaltung; mit den Flags HttpOnly, Secure und SameSite=Lax gesetzt.
  • Themen-Einstellung: deine Auswahl „Hell / Dunkel / System“ wird im localStorage deines Browsers gespeichert und nie an den Server übertragen.

10. Änderungen dieser Erklärung

Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen kündigen wir per E-Mail an deine registrierte Adresse und durch einen In-App-Banner an. Das Feld „Gültig ab“ wird mit jeder Aktualisierung aufgefrischt.

11. Kontakt

Bei Fragen oder Anliegen zu dieser Erklärung oder deinen personenbezogenen Daten erreichst du uns unter [email protected].