Datenschutzerklärung
English versionStand: 26. Juni 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):
Nouwell GmbH
Kaiserstr. 67, 80801 München
Deutschland
E-Mail: info@nouwell.com
Website: [https://thisisville.com]
2. Überblick
ville ist eine iOS-App zur Pflege persönlicher Beziehungen: Sie können Personen, Kreise und Interaktionen erfassen, Erinnerungen und Nudges erhalten sowie Statistiken einsehen.
Wir nehmen Datenschutz ernst. Ihre inhaltlichen Daten (Namen, Notizen, Tagebucheinträge, Profiltexte usw.) werden auf Ihrem Gerät verschlüsselt und in der Cloud nur in verschlüsselter Form gespeichert. Wir können diese Inhalte nicht lesen.
Wichtig: Die App ist nicht vollständig anonym. Für Anmeldung und Kontoverwaltung verarbeiten wir und unsere Dienstleister Ihre E-Mail-Adresse und technische Kontodaten. Für serverseitige Nudges verarbeiten wir zusätzlich bestimmte Metadaten (siehe Abschnitt 5.3), die für die Funktion erforderlich sind, aber keine Klartext-Inhalte Ihrer Notizen oder Tagebücher enthalten.
3. Geltungsbereich
Diese Datenschutzerklärung gilt für:
- die mobile App ville (Bundle-ID:
com.nouwell.ville) - die Website https://thisisville.com (sofern dort ville-bezogene Dienste angeboten werden)
- den damit verbundenen Cloud-Sync, Authentifizierung und optionalen Push-Benachrichtigungen
4. Kurzfassung: Was wir sehen – und was nicht
| Daten | Wer kann lesen? | Verschlüsselt in der Cloud? |
|---|---|---|
| Namen, Notizen, Journal, Kreisnamen, Profilname | Nur Sie (auf Ihren Geräten) | Ja (AES-256-GCM) |
| Profil- und Personenfotos | Nur Sie | Ja (vor dem Upload) |
| E-Mail-Adresse (Anmeldung) | Wir / Supabase Auth | Nein (Auth-System) |
| Wiederherstellungsphrase (16 Wörter) | Nur Sie | Nein – wird nicht an uns übertragen |
| Nudge-Metadaten (z. B. Anzahl Interaktionen, Geburtstag Monat/Tag) | Wir / Server (für Nudges) | Teilweise nur als Metadaten, nicht als Klartext-Inhalte |
| Push-Token, Zeitzone, Nudge-Zeitplan | Wir / Server | Nein (technisch erforderlich) |
| Kontakte aus dem Adressbuch | Nur lokal, wenn Sie importieren | Nur wenn Sie syncen – Personendaten dann verschlüsselt |
5. Welche Daten wir verarbeiten
5.1 Daten, die Sie uns bereitstellen
Konto & Anmeldung
- E-Mail-Adresse (für Einmalcode / OTP-Anmeldung)
- ggf. Anzeigename im Profil (verschlüsselt in der Cloud)
- Profilbild (verschlüsselt in der Cloud)
Inhalte in der App
- Personen (Namen, Geburtstage, Kontaktdaten, Notizen, Fotos, Interaktionsziele)
- Kreise und Zuordnungen
- Interaktionen (Datum, Art, Bewertung, Journaltext, beteiligte Personen)
Optional: Kontakte-Import
- Wenn Sie den Import starten, lesen wir nur von Ihnen ausgewählte Einträge aus der iOS-Kontakte-App, um Personen in ville anzulegen.
- Der Import erfolgt auf dem Gerät; Sie entscheiden, welche Felder übernommen werden.
Export & Löschung
- Sie können Daten lokal als CSV exportieren (Klartext auf Ihrem Gerät).
- Sie können Ihr Konto in den Einstellungen löschen.
5.2 Ende-zu-Ende-Verschlüsselung (E2EE) und Wiederherstellungsphrase
Technik (vereinfacht erklärt)
- Beim ersten Einrichten der Verschlüsselung erzeugt die App einen Datenverschlüsselungsschlüssel (DEK) auf Ihrem Gerät.
- Dieser Schlüssel wird:
- in der iCloud-Schlüsselbund Ihres Apple-Accounts gespeichert (wenn verfügbar), und/oder
- mit einem Schlüssel geschützt, der aus Ihrer Wiederherstellungsphrase abgeleitet wird (16 Wörter, PBKDF2-SHA256 mit 100.000 Iterationen).
- In unserer Datenbank speichern wir nur einen verpackten Schlüssel (
wrapped_dek) und ein Salt – nicht Ihre Phrase und nicht den Klartext-DEK. - Personen-, Kreis-, Interaktions- und Profildaten werden als JSON verschlüsselt (AES-256-GCM) und als
ciphertextgespeichert. Klartext-Spalten bleiben leer. - Avatare werden vor dem Upload mit demselben Schlüssel verschlüsselt.
Ihre Wiederherstellungsphrase
- Die 16-Wort-Phrase wird nur auf Ihrem Gerät angezeigt und lokal im Schlüsselbund abgelegt.
- Wir speichern die Phrase nicht und können sie nicht wiederherstellen.
- Verlieren Sie die Phrase und haben keinen funktionierenden iCloud-Schlüsselbund auf einem anderen Gerät, sind Ihre verschlüsselten Cloud-Daten nicht wiederherstellbar – auch nicht durch uns.
Regenerierung
- Sie können in den Einstellungen eine neue Wiederherstellungsphrase erzeugen. Die alte Phrase wird dann ungültig.
5.3 Daten, die Supabase / wir in Klartext oder als Metadaten sehen
Supabase Auth (Anmeldung)
Supabase (unser Authentifizierungsanbieter) verarbeitet:
- Ihre E-Mail-Adresse
- Auth-Benutzer-ID (UUID)
- Sitzungs- und Refresh-Tokens
- Zeitstempel (Erstellung, letzte Anmeldung)
- technische Protokolle im Rahmen des Auth-Betriebs (z. B. OTP-Versand)
Die E-Mail-Adresse liegt in auth.users bei Supabase, nicht im verschlüsselten Profil.
E-Mail-Versand (OTP)
- Für Anmeldecodes nutzen wir einen E-Mail-Dienst (über Supabase SMTP, z. B. Resend).
- Der E-Mail-Anbieter sieht Ihre E-Mail-Adresse und den Versandzeitpunkt der Nachricht, nicht Ihre ville-Inhalte.
Nudge-Metadaten (serverseitig, für Erinnerungen)
Damit Nudges auf dem Server erzeugt und per Push zugestellt werden können, synchronisieren wir Metadaten ohne Klartext-Inhalte, u. a.:
- ob eine Person ein Foto hat (
has_avatar) - Interaktionsziel-ID, Geburtstag (Monat/Tag, ggf. Jahr)
- Anzahl Kreise / Interaktionen, Datum der letzten Interaktion
- bei Interaktionen: Zeitpunkt, ob ein Journal existiert (
has_journal), beteiligte Personen-IDs (UUIDs) - aggregierte Statistiken (Anzahl Personen/Kreise/Interaktionen, Interaktionen der letzten 7 Tage)
- Zeitzone und bevorzugte Nudge-Zeiten (morgens/abends)
Nicht enthalten sind: Namen, Notizen, Journaltexte oder andere lesbare Inhalte.
Push-Benachrichtigungen
- Wenn Sie Push aktivieren, speichern wir Ihr APNs-Gerätetoken, die Plattform (
ios) und senden über Apple Push Notification service (APNs) Benachrichtigungen. - Titel und Text einer Push-Nachricht können von Apple und ggf. Ihrem Gerätehersteller technisch verarbeitet werden.
- Push-Inhalte sind auf Nudge-Ebene formuliert; sie ersetzen nicht den Klartext Ihrer privaten Notizen.
Technische Betriebsdaten
- IP-Adresse, User-Agent, Zeitstempel bei API-Aufrufen (Standard-Server-Logs bei Supabase/AWS)
- Fehler- und Sicherheitslogs im Rahmen des Betriebs
5.4 Daten, die nur lokal auf Ihrem Gerät bleiben
- Lokaler SwiftData-Speicher (Cache Ihrer Daten)
- App-Sperre (Face ID / Touch ID): biometrische Prüfung erfolgt über iOS; wir erhalten keine biometrischen Rohdaten
- Wiederherstellungsphrase (solange nur lokal / im Schlüsselbund)
5.5 Automatisierte Entscheidungen
Wir treffen keine Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung ausschließlich auf Basis automatisierter Verarbeitung im Sinne von Art. 22 DSGVO. Nudges sind Vorschläge, die Sie ignorieren oder als gelesen markieren können.
6. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage (DSGVO) |
|---|---|
| Bereitstellung von Konto, Sync und App-Funktionen | Art. 6 Abs. 1 lit. b (Vertrag) |
| End-zu-Ende-Verschlüsselung und Wiederherstellung | Art. 6 Abs. 1 lit. b |
| E-Mail-OTP-Anmeldung | Art. 6 Abs. 1 lit. b |
| Serverseitige Nudges und Push (wenn aktiviert) | Art. 6 Abs. 1 lit. b; Push ggf. Art. 6 Abs. 1 lit. a (Einwilligung iOS-Dialog) |
| Kontakte-Import | Art. 6 Abs. 1 lit. a (Einwilligung durch Ihre Auswahl im Systemdialog) |
| Kamera / Fotomediathek | Art. 6 Abs. 1 lit. a (iOS-Berechtigung) |
| Betrieb, Sicherheit, Fehleranalyse (Server-Logs) | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
| Erfüllung gesetzlicher Pflichten | Art. 6 Abs. 1 lit. c |
7. Empfänger und Auftragsverarbeiter
Wir setzen folgende Dienstleister ein (Auswahl):
| Anbieter | Rolle | Standort / Hinweis |
|---|---|---|
| Supabase, Inc. | Datenbank, Auth, Storage, Edge Functions | USA; EU-Region eu-central-1 wenn konfiguriert |
| Amazon Web Services (über Supabase) | Infrastruktur | je nach Region |
| Apple Inc. | App Store, APNs, iCloud Keychain, iOS-Plattform | USA / global |
| Resend | Transaktions-E-Mails (OTP) | USA/EU |
| Apple Push Notification service (APNs) | Zustellung Push | Apple |
Mit Auftragsverarbeitern schließen wir Auftragsverarbeitungsverträge (AVV) gem. Art. 28 DSGVO, soweit erforderlich.
Keine Werbung / kein Tracking: Wir binden derzeit keine Werbenetzwerke oder Analytics-Dienste (z. B. Firebase Analytics) ein.
8. Drittlandübermittlung
Supabase und Apple haben ihren Sitz u. a. in den USA. Soweit eine Übermittlung in Drittländer erfolgt, stützen wir uns auf:
- EU-Standardvertragsklauseln (SCC) der EU-Kommission, und/oder
- Angemessenheitsbeschlüsse (soweit anwendbar),
sowie zusätzliche technische Maßnahmen (Verschlüsselung der Inhalte vor Übermittlung).
9. Speicherdauer
- Kontodaten: bis zur Löschung Ihres Kontos durch Sie, danach Löschung bei uns und Supabase Auth (soweit technisch möglich, unter Beachtung von Backup-Zyklen).
- Verschlüsselte Inhalte & Avatare: bis zur Kontolöschung oder Überschreibung durch Sie.
- Nudge-Metadaten & Push-Tokens: bis zur Kontolöchung oder Deaktivierung.
- Server-Logs: typischerweise 90 Tage (Supabase/Provider-abhängig).
- Lokale Daten: bis App-Deinstallation oder manuelle Löschung auf dem Gerät.
10. Ihre Rechte
Sie haben gegenüber uns folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16) – Inhalte ändern Sie in der App; E-Mail ggf. über „E-Mail ändern“
- Löschung (Art. 17) – Konto löschen in den Einstellungen
- Einschränkung (Art. 18)
- Datenübertragbarkeit (Art. 20) – Export als CSV auf dem Gerät
- Widerspruch (Art. 21) gegen Verarbeitung auf Basis berechtigter Interessen
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) – z. B. Push in iOS-Einstellungen
Hinweis zu verschlüsselten Inhalten: Für Daten, die nur in verschlüsselter Form bei uns liegen, können wir Ihnen in der Regel keinen Klartext ausgeben – nur Metadaten und Account-Informationen, die wir tatsächlich lesen können.
Beschwerderecht: Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren, z. B. bei der für Ihren Wohnsitz zuständigen Behörde. Für Bayern ist dies: https://www.lda.bayern.de.
Kontakt für Datenschutzanfragen: info@nouwell.com
11. Pflicht zur Bereitstellung
Die E-Mail-Adresse ist für die Anmeldung erforderlich. Ohne Einrichtung der Verschlüsselung / Wiederherstellungsphrase ist Cloud-Sync nicht nutzbar. Kontakte-, Kamera-, Foto- und Push-Berechtigungen sind optional.
12. Sicherheit
Wir setzen technische und organisatorische Maßnahmen ein, u. a.:
- Verschlüsselung sensibler Inhalte clientseitig (AES-256-GCM)
- Row Level Security in der Datenbank (Zugriff nur für authentifizierte Kontoinhaber)
- TLS für Datenübertragung
- optionale App-Sperre (Biometrie)
- keine Speicherung der Wiederherstellungsphrase auf unseren Servern
Kein System ist vollständig sicher. Bewahren Sie Ihre Wiederherstellungsphrase sicher auf.
13. Kinder
ville richtet sich an Erwachsene. Die App ist nicht für Kinder unter 16 Jahren (bzw. 16 – mit Rechtsberatung festlegen) bestimmt. Wir erheben wissentlich keine Daten von Kindern.
14. Änderungen
Wir können diese Datenschutzerklärung anpassen, wenn sich die App oder Rechtslage ändert. Die aktuelle Version veröffentlichen wir unter https://thisisville.com/privacy. Bei wesentlichen Änderungen informieren wir Sie in der App oder per E-Mail.
Kontakt
Nouwell GmbH · Kaiserstr. 67, 80801 München · info@nouwell.com