Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:
Christopher Lindl
Einzelunternehmer · Gewerbe gemäß § 14 GewO
Schächenstraße 2
82383 Hohenpeißenberg
E-Mail: kontakt@copario.de
Telefon: +49 8805 7079702

Umsatzsteuer: Kleinunternehmer nach § 19 UStG — keine USt-Ausweisung.

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist nach aktueller Prüfung der Voraussetzungen aus Art. 37 DSGVO derzeit nicht gesetzlich verpflichtend zu benennen. Du erreichst den Verantwortlichen für alle datenschutzrechtlichen Anfragen direkt unter der oben genannten E-Mail-Adresse. Sollten sich Art und Umfang der Verarbeitung ändern, prüfen wir diese Einschätzung neu.

2. Welche Daten wir verarbeiten und warum

Wir verarbeiten personenbezogene Daten ausschließlich für festgelegte Zwecke und nur, soweit hierfür eine Rechtsgrundlage besteht. Die folgende Übersicht beschreibt je Verarbeitungs­tätigkeit den Zweck, die Rechtsgrundlage, ob die Bereitstellung erforderlich oder freiwillig ist, und wer als Empfänger in Betracht kommt.

2a. Lokale und teil-lokale Verarbeitungen

Einige Funktionen sind so gebaut, dass sensible Inhalte vollständig in deinem Browser verarbeitet werden und niemals an Dritte übertragen werden:

• KI-Beleg-Scan (Tesseract.js, WebAssembly): das Bild wird zu keinem Server übertragen.
• Tone-Detector im Chat: lokale Wort-Heuristik vor dem Senden. Kein Inhalt geht an Dritte.
• EPC-QR-Code-Generierung: vollständig lokal mit der Open-Source-Library qrcode (MIT-Lizenz). IBAN, Empfänger-Name, Betrag und Verwendungszweck werden nie an einen externen Dienst übertragen. Es findet kein Zahlungsfluss über Copario statt — der QR-Code dient nur dazu, deine Banking-App vorzubefüllen.

2b. Daten, die wir nicht direkt von dir erheben (Art. 14 DSGVO)

In Copario gibst du nicht nur Daten über dich selbst ein, sondern auch über andere Personen — typischerweise dein Kind, den anderen Elternteil, Notfall-Kontakte, Großeltern, gegebenenfalls Lehrer:innen, Ärzte/Ärztinnen oder andere Bezugspersonen. Diese Personen liefern uns die Daten nicht selbst. Wir verarbeiten sie dennoch, weil sie für die Familienorganisation erforderlich oder sinnvoll sein können.

Quelle: Die Eingabe erfolgt durch dich als nutzende Person. Zweck: Familienorganisation, gemeinsamer Co-Parent-Zugriff, Notfall-Verfügbarkeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. — bei Gesundheits-, Sorgerechts- oder anderen sensiblen Angaben — Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO. Empfänger: ausschließlich Mitglieder der jeweiligen Familie in der App.

Du als eingebende Person bist dafür verantwortlich, nur Daten einzugeben, zu deren Verarbeitung du berechtigt bist, und die betroffenen Personen — soweit rechtlich erforderlich und zumutbar — über die Verarbeitung in Copario zu informieren und ihnen diese Datenschutzerklärung zugänglich zu machen.

Information der betroffenen Personen — gestaffeltes Modell:

• Eingeladene Co-Parents und Großeltern erhalten beim Annehmen der Einladung diese Datenschutzerklärung verlinkt und werden ausdrücklich auf die Verarbeitung hingewiesen.
• Über das Kind eingebende Eltern übernehmen die Information gegenüber dem Kind altersgerecht selbst (Art. 8 DSGVO, Erwägungsgrund 38 DSGVO).
• Drittpersonen wie Notfall-Kontakte, Ärzt:innen, Erzieher:innen, Trainer:innen oder Abholberechtigte: Die Information dieser Personen obliegt grundsätzlich der eingebenden Person (Art. 14 Abs. 5 lit. b DSGVO i. V. m. der Erwägung, dass eine direkte Information durch uns unverhältnismäßigen Aufwand bedeuten würde und die Daten in einem eng begrenzten familiären Kontext genutzt werden). Auf Anfrage einer betroffenen Person erteilen wir Auskunft nach Art. 15 DSGVO und löschen Einträge nach Art. 17 DSGVO, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Bei gemeinsamer elterlicher Sorge: Bei gemeinsamer Sorge dürfen besonders sensible Daten — insbesondere Gesundheitsdaten, Sorgerechts-Dokumente und Schutzinformationen — nur eingetragen werden, wenn keine entgegenstehenden Rechte des Kindes, des anderen Sorgeberechtigten oder gerichtliche/behördliche Regelungen bestehen. Im Konfliktfall bitte vorher mit dem anderen Sorgeberechtigten abstimmen oder, falls dies nicht möglich ist, nur die für eure Organisation zwingend nötigen Daten eintragen. Bei Gewaltschutzanordnungen, Umgangsausschluss oder Kontaktverbotendarfst du Copario nicht zur Umgehung solcher Regelungen verwenden. Wir können auf substantiierte Anfrage Inhalte, Zugriffe oder Familienbereiche vorläufig sperren, bis die Berechtigung geklärt ist.

3. Rechtsgrundlagen (Übersicht)

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Konto, Familien-Funktionen, Kalender, Chat, Übergabe etc.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen, Foto-Uploads, optionale Opt-in-Mails
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in besondere Kategorien): Gesundheits-Daten zum Kind (Allergien, Impfungen, Arzttermine, Medikamente), ggf. Stimmungs-Einträge mit medizinischer Aussage
• Erwägungsgrund 38 DSGVO (besonderer Schutz von Daten über Kinder): Foto-Uploads, Schul- und Gesundheits-Daten zum Kind
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchsprävention, Fehler-Analyse, Aktivitäts-Protokoll innerhalb der Familie
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) bei Zahlungs-/Rechnungsdaten und steuerlich relevanten Belegen

4. Speicherort und Auftragsverarbeitung

Mit allen unten genannten Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO, die die DSGVO-konforme Verarbeitung deiner Daten vertraglich regeln.

• Hetzner Online GmbH (Gunzenhausen, Deutschland) — Server-Hosting der Web-App und API; Standort: Falkenstein/Vogtland (Sachsen, DE). PostgreSQL-Datenbank, ISO-27001-zertifiziert.
• Hetzner Storage Box BX11 — verschlüsselte Backups, Falkenstein, Rolling-Retention 7 Tage.
• MinIO (selbst betrieben auf Hetzner-Server) — S3-kompatibler Objekt-Speicher für Fotos, Belege, Dokumente. Daten verlassen unseren Hetzner-Server nicht.
• mailbox.org (Heinlein Support GmbH, Berlin, DE) — E-Mail-Hosting für Postfächer.
• Brevo (Sendinblue SAS, Paris, Frankreich) — Transaktions-Mail-Versand. Server-Standorte FR + DE.
• INWX GmbH & Co. KG (Bitterfeld-Wolfen, DE) — Domain-Registrierung und DNS-Verwaltung. Keine Nutzerdaten.

Eigenständig Verantwortlicher für Zahlungsabwicklung:

• Stripe Payments Europe Ltd. (Dublin, Irland) — Zahlungsabwicklung für Premium-Abos. Stripe verarbeitet bestimmte Zahlungsdaten als eigenständig Verantwortlicher, insbesondere für die Zahlungsabwicklung selbst, Betrugsprävention, regulatorische Compliance (PSD2, KYC) und gesetzliche Aufbewahrungspflichten. Für diese Verarbeitung gelten zusätzlich die Datenschutzhinweise von Stripe (stripe.com/de/privacy). Copario erhält keine vollständigen Kreditkartendaten, sondern verarbeitet ausschließlich Stripe-Customer-ID, Abo-Status, Rechnungsinformationen und gewählten Tarif. Eine gemeinsame Verantwortlichkeit (Joint Controllership i. S. v. Art. 26 DSGVO) besteht nicht, da Mittel und Zwecke der Zahlungsabwicklung von Stripe eigenständig festgelegt werden.

Externe APIs ohne pers. Datenverarbeitung: ferien-api.de (Schulferien-Daten, anonymer Abruf öffentlicher Daten).

5. Drittland-Übermittlung

Unsere primäre Datenverarbeitung findet ausschließlich in der EU statt. Wir vermeiden US-Cloud-Anbieter, soweit technisch möglich. Vollständig ausschließen lassen sich Drittland-Bezüge in zwei Bereichen jedoch nicht:

• Browser-Push-Benachrichtigungen (freiwillig) werden durch den Push-Dienst des jeweiligen Browsers ausgeliefert. Je nach Browser kann dies Firebase Cloud Messaging (Chrome/Edge/Brave; Google Ireland Ltd., Dublin, mit Konzernbezügen zu Google LLC, USA), Mozilla Push Service (Firefox; technisch in den USA) oder Apple Push Notification Service (Safari; Apple Distribution International Ltd., Irland, mit Konzernbezügen zu Apple Inc., USA) sein. Soweit dabei eine Drittlandübermittlung — insbesondere in die USA — stattfindet, stützen sich die jeweiligen Anbieter auf ihre eigenen Transfermechanismen nach Kapitel V DSGVO (Angemessenheitsbeschluss EU-US Data Privacy Framework, Standardvertragsklauseln, ergänzende Garantien). Wir haben auf diese Mechanismen keinen direkten Einfluss. Der Inhalt der Push-Nachricht ist gemäß RFC 8291 ECDH Ende-zu-Ende verschlüsselt; der Push-Dienst sieht nur einen verschlüsselten Payload. Wir verzichten zusätzlich auf sensible Inhalte (Klarnamen, Termin-Inhalte, Gesundheits-, Chat-, Dokumenten- oder Zahlungsinformationen) im Push-Payload — verwendet werden nach Möglichkeit neutrale Kurztexte wie „Neue Aktivität in Copario". Rechtsgrundlage: deine ausdrückliche Einwilligung über die Browser-Push-Permission (Art. 6 Abs. 1 lit. a DSGVO). Du kannst die Einwilligung jederzeit widerrufen (in den Einstellungen oder über die Browser-Permissions). Trotz aller technischen und vertraglichen Schutzmaßnahmen können Restrisiken bei Drittland-Transfers nicht vollständig ausgeschlossen werden; wer dies vermeiden möchte, lässt Push-Benachrichtigungen deaktiviert.
• Stripe-Konzern-Transfer: Stripe Payments Europe Ltd. (Irland) kann im Rahmen interner Compliance- und Betrugsschutz-Verfahren Daten an Konzern-Gesellschaften (z. B. Stripe Inc., USA) übermitteln. Stripe stützt sich dabei auf EU-Standardvertragsklauseln (SCC) sowie unternehmensinterne Datenschutzregeln. Wir haben darauf keinen direkten Einfluss; relevant nur für Premium-Nutzende.
• Externer Kalender-Abruf bei iCal-Live-Feed (freiwillig, Premium): Wenn du einen Copario-Feed-Link in einem externen Kalender-Anbieter (z. B. Google Calendar, Apple iCloud Kalender, Outlook/Microsoft 365) abonnierst, ruft dieser Anbieter den Feed regelmäßig ab und speichert die Termine in dessen System. Anbieter mit Sitz oder Konzernbezug außerhalb der EU stützen sich dabei auf eigene Drittlands-Mechanismen. Du verantwortest die Entscheidung, in welchen Anbieter du einbindest. Wir empfehlen datenschutzfreundliche Alternativen wie mailbox.org Kalender, Tutanota oder ein lokales Thunderbird/Lightning.

Bei allen anderen Verarbeitungen (Hetzner, MinIO, mailbox.org, Brevo, INWX) findet keine Drittland-Übermittlung statt.

6. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange wie erforderlich:

• Produktiv-Datenbank: Daten werden gelöscht bzw. gesperrt, sobald du dein Konto über „Konto endgültig löschen" entfernst — im aktiven Datenbestand innerhalb von 30 Tagen.
• Backups: Wir führen rotierende Sicherungen mit 7 Tagen Retention. Aus diesen Backups werden Daten erst durch Überrollen entfernt — vollständige Vergessenheit also spätestens 30 + 7 = ca. 37 Tage nach Löschung.
• Audit-Log (Aktivitätsprotokoll): wird mit der Familie gelöscht bzw. spätestens nach 24 Monaten rolling automatisch reduziert.
• Frontend-Fehler-Protokolle: 90 Tage, danach automatische Löschung.
• Server-Access-Logs: 14 Tage, danach automatische Löschung (siehe Abschnitt 12a).
• Mail-Versand-Metadaten: 12 Monate, danach automatische Löschung.
• Zahlungs- und Rechnungsdaten unterliegen gesetzlichen Aufbewahrungspflichten nach § 257 HGB bzw. § 147 AO (bis zu 10 Jahre). Wir sperren solche Daten gegen weitere Verarbeitung und löschen sie nach Ablauf der Pflicht.

6a. Automatisierte Entscheidungen und Profiling

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Auch der Tone-Detector im Chat (lokale Wort-Heuristik) und der OCR-Beleg-Scan (lokal, Tesseract.js) haben für dich keine rechtliche oder ähnlich erhebliche Wirkung — sie laufen ausschließlich in deinem Browser, dienen ausschließlich der Komfort-Funktion und werden weder gespeichert noch zu deinem Persönlichkeits-Profil ausgewertet.

7. Deine Rechte (Art. 15–21 DSGVO)

• Auskunft (Art. 15): per E-Mail an uns
• Berichtigung (Art. 16): direkt in der App in den Einstellungen
• Löschung (Art. 17): Self-Service in Einstellungen → „Daten & Datenschutz" → „Konto endgültig löschen"
• Einschränkung der Verarbeitung (Art. 18): per E-Mail
• Datenübertragbarkeit (Art. 20): Self-Service in Einstellungen → „Meine Daten herunterladen" (JSON-Export)
• Widerspruch (Art. 21): per E-Mail oder in den Datenschutz-Einstellungen (z. B. Fehler-Logging)
• Widerruf einer Einwilligung: jederzeit für die Zukunft

8. Beschwerderecht bei der Aufsichtsbehörde

Bei Beschwerden bezüglich der Verarbeitung deiner Daten kannst du dich an die zuständige Datenschutz-Aufsichtsbehörde wenden:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: 0981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de

9. Besondere Hinweise zu Daten über Kinder

Copario richtet sich ausschließlich an Eltern, Sorgeberechtigte und von ihnen eingeladene erwachsene Personen. Kinder erhalten keine eigenen Konten. Gleichwohl können personenbezogene Daten über Kinder verarbeitet werden — Vornamen, Kalender-Bezüge, Fotos, schulische Informationen, Wunschlisten, Notfallkontakte, Allergien und andere Gesundheitsinformationen.

Kinder genießen nach Erwägungsgrund 38 DSGVO einen besonderen Schutz, da sie Risiken und Folgen von Datenverarbeitung weniger überblicken können. Wir bitten dich daher ausdrücklich, nur solche Daten über Kinder einzugeben, die für die familiäre Organisation tatsächlich erforderlich sind, und besonders sensible Angaben (Gesundheit, Schule, Konflikte) auf das Notwendige zu beschränken.

Bei gemeinsamer elterlicher Sorge bist du als eingebende Person dafür verantwortlich sicherzustellen, dass die Verarbeitung von Daten des Kindes — insbesondere das Hochladen von Fotos, Gesundheits-Daten und Dokumenten — nicht den Rechten des Kindes oder den Rechten des anderen Sorgeberechtigten widerspricht. Bestehen gerichtliche Umgangsregelungen, Gewaltschutzanordnungen, Alleinsorge, Kontaktverbote oder vergleichbare Schutzsituationen, darf Copario nicht zur Umgehung solcher Regelungen verwendet werden.

Berechtigungs-Bestätigung: Vor dem ersten Upload eines Kind-bezogenen Fotos bestätigst du in der App ausdrücklich, dass du zur Verarbeitung berechtigt bist und ggf. erforderliche Zustimmungen anderer Sorgeberechtigter vorliegen.

Streitfall: Wenn eine betroffene Person, ein Sorgeberechtigter oder eine berechtigte Stelle (z. B. Jugendamt, Anwalt) bei uns geltend macht, dass Daten eines Kindes unberechtigt verarbeitet werden, prüfen wir den Vorgang und können die betroffenen Inhalte, Familien-Bereiche oder Zugriffe vorläufig sperren, bis die Berechtigung geklärt ist. Schreibe dafür an kontakt@copario.de.

10. Push-Benachrichtigungen

Push-Benachrichtigungen werden über den offenen Web-Push-Standard (RFC 8030) mit VAPID-Schlüsseln direkt von unserem Hetzner-Server versendet — nur nach deiner ausdrücklichen Einwilligung. Der technische Push-Versand erfolgt über den Push-Dienst deines Browsers (Drittland-Bezüge siehe Abschnitt 5); der Nachrichten-Inhalt ist gemäß RFC 8291 ECDH Ende-zu-Ende verschlüsselt.

Push Privacy Mode: Wir übermitteln in Push-Nachrichten keine sensiblen Familien-, Gesundheits-, Chat-, Dokumenten- oder Zahlungsinformationen. Wir verwenden nach Möglichkeit neutrale Kurztexte (z. B. „Neue Aktivität in Copario", „Du hast eine neue Tauschanfrage"). Konkrete Inhalte werden erst nach Antippen der Benachrichtigung und Login in der App sichtbar.

Klarstellung Firebase: Copario nutzt Firebase nichtals App-Backend, Datenbank, Analyse- oder Tracking-Dienst. Bei Web-Push kann jedoch der vom jeweiligen Browser bereitgestellte Push-Dienst technisch beteiligt sein. Bei Chromium-basierten Browsern (Chrome, Edge, Brave) ist dieser Dienst Firebase Cloud Messaging. Dieser Dienst wird von uns nicht als Analyse- oder Nutzerdatenplattform eingesetzt, sondern ist Teil der browserseitigen Push-Infrastruktur.

Du kannst die Einwilligung jederzeit über die Einstellungen oder die Browser-Permissions widerrufen.

10a. E-Mail-Versand

Copario versendet Transaktions-Mails über Brevo (Sendinblue SAS, Paris) via SMTP über die Absender-Adresse kontakt@copario.de (authentifiziert per DKIM, SPF und DMARC). Drei Mail-Typen:

• System-Mails (immer aktiv): Welcome-Mail, Login-Codes, Account-Löschung. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO.
• Opt-in-Mails: Termin-Erinnerungen, wöchentlicher Digest, Produkt-News. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO.
• Vom Nutzenden veranlasste Mails: Co-Parent-Einladungen. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.

Wir speichern Empfänger, Betreff, Versand-Zeitpunkt und Status — nicht den Inhalt. Speicherdauer 12 Monate.

10d. Aktivitäts-Historie (Audit-Log)

Zur transparenten Familienorganisation, Sicherheit und Missbrauchsprävention führen wir innerhalb einer Familie ein Aktivitäts-Protokoll. Es dokumentiert dasseine Änderung vorgenommen wurde, jedoch nicht den Inhalt der Änderung. Erfasst werden: Nutzer-Kennung, Zeitpunkt, Art der Aktion (created/updated/deleted), Funktionsbereich (z. B. Termin, Foto, Beleg) und Familien-Zuordnung. Beispiel-Eintrag: „Max hat einen Kindkern-Eintrag aktualisiert" — nicht: „Max hat Allergie X eingetragen".

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit das Protokoll zur Bereitstellung der transparenten Co-Parent-Funktion erforderlich ist) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Integrität, Sicherheit, Missbrauchsprävention und Nachvollziehbarkeit). Eine Interessenabwägung haben wir dokumentiert und stellen sie der Aufsichtsbehörde auf Anfrage zur Verfügung.

Sichtbarkeit: nur für Mitglieder der jeweiligen Familie. Speicherdauer: wird mit der Familie gelöscht, spätestens nach 24 Monaten rolling automatisch reduziert.

10e. Mehrfach-Familien & Daten-Migration

Ein User kann Mitglied mehrerer Familien sein. Beim Beitreten einer neuen Familie aus einer Solo-Familie heraus werden die Daten der Solo-Familie automatisch in die neue Familie übernommen; die alte Solo-Familie wird gelöscht. Audit-Log-Einträge der alten Familie werden nicht übernommen und mit der alten Familie gelöscht — sie bezogen sich auf einen alleinigen Zustand und haben in der neuen Co-Parent-Familie keine Aussagekraft.

Beim Verlassen wird nur deine Mitgliedschaft entfernt. Bist du der letzte Elternteil, wird die komplette Familie unwiderruflich gelöscht (CASCADE). Vor der Bestätigung wird dies explizit angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10f. Frontend-Fehlerprotokoll (Error-Logging)

Bei Abstürzen oder Fehlfunktionen im Browser werden automatisch technische Fehler-Protokolle an unser Backend gesendet. Diese können Fehler-Meldung, Stack-Trace, Quelle, aufgerufene URL, Browser-/Geräte-Informationen, App-Version, Zeitpunkt und — sofern eingeloggt — eine Nutzer-ID enthalten.

Datenminimierung: URLs und Stack-Traces werden so gestaltet, dass möglichst keine Inhaltsdaten, Klarnamen oder Familien-IDs darin auftauchen. Inhalte aus Chat, Kindkern, Gesundheits- oder Zahlungs-Daten werden ausdrücklich nicht in Fehler-Protokollen gespeichert.

Zweck: Technische Stabilität, Fehlerdiagnose, Sicherheitsanalyse und kontinuierliche Verbesserung der App. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit). Speicherdauer: 90 Tage, danach automatische Löschung. Bei Sicherheitsvorfällen kann eine Aufbewahrung bis zur abschließenden Aufklärung erforderlich sein.

Trennung optional / zwingend: Nicht zwingend erforderliches Frontend-Fehlerlogging kannst du in den Datenschutz-Einstellungen deaktivieren. Davon unberührt bleiben sicherheitsrelevante Mindestprotokolle, die für Angriffserkennung, Missbrauchsprävention und sicheren Betrieb der App erforderlich sind (z. B. fehlgeschlagene Logins, Rate-Limit-Verstöße).

Token-Schutz in Protokollen: Tokenbasierte URLs — insbesondere iCal-Feed-Links, Foto-Freigabe-Links und Passwort-Reset-Links — werden vor der Aufnahme in Server-, Fehler- und Zugriffsprotokolle entfernt, gekürzt oder kryptographisch gehasht. Aus Protokollen kann daher kein direkter Zugriff auf tokenbasierte Inhalte rekonstruiert werden.

Widerspruch: Du kannst der nicht zwingend erforderlichen Fehler-Protokollierung jederzeit in den Datenschutz-Einstellungen widersprechen (Toggle „Fehler-Protokollierung erlauben"). Sicherheitsrelevante Mindest-Protokolle, die für den sicheren Betrieb erforderlich sind, bleiben hiervon unberührt. Bis zur Bereitstellung des UI-Toggles kannst du den Widerspruch per E-Mail an kontakt@copario.de erklären; wir hinterlegen dann ein Opt-out-Flag in deinem Account.

10g. Ende-zu-Ende-Verschlüsselung des Eltern-Chats (optional)

Für den Eltern-Chat kannst du in den Einstellungen Ende-zu-Ende-Verschlüsselung (E2E) aktivieren. Nach Aktivierung werden alle neuen Nachrichten direkt in deinem Browser mit einem privaten Schlüssel verschlüsselt, bevor sie an unseren Server übermittelt werden. Wir speichern dauerhaft nur den Cipher-Text sowie die für jede:n Empfänger:in eigens verschlüsselten Sitzungs-Schlüssel.

Technische Details: Schlüsselpaar pro Account RSA-OAEP-2048, symmetrische Sitzungs-Verschlüsselung AES-GCM-256, Schlüssel-Ableitung aus einer 12-Wort-Recovery-Phrase mit PBKDF2 (250.000 Iterationen, SHA-256). Alle Krypto-Vorgänge laufen lokal im Browser über die offene WebCrypto-API. Der private Schlüssel wird verschlüsselt in der IndexedDB des Geräts abgelegt; auf dem Server liegt ausschließlich der mit deiner Mnemonic-abgeleiteten MEK verschlüsselte private Schlüssel.

Bedeutung für deine Rechte: Bei aktivierter E2E sind wir technisch nicht in der Lage, Inhalte deiner verschlüsselten Chat-Nachrichten zu entschlüsseln, zu durchsuchen, zu exportieren oder gegenüber Behörden offenzulegen. Bei einer DSGVO-Auskunft (Art. 15) können wir nur den Cipher-Text und Metadaten (Zeitpunkt, Absender, Empfänger) bereitstellen, nicht den Klartext. Diese Einschränkung ist gewollt und ein Sicherheits-Feature im Sinne von Art. 32 DSGVO.

Verantwortlichkeit für die Recovery-Phrase: Die 12-Wort-Phrase wird ausschließlich dir angezeigt und ist der einzige Weg, deine verschlüsselten Nachrichten auf einem neuen Gerät wiederherzustellen. Verlierst du die Phrase und deine Geräte, sind die Inhalte unwiederbringlich verloren — auch wir können dir in diesem Fall nicht helfen. Bewahre die Phrase daher gleichwertig wie ein Passwort-Manager-Master-Passwort auf.

Datenminimierung: Auch bei aktivierter E2E speichern wir Metadaten (Absender, Empfänger, Zeitpunkt, Familien-Zuordnung, Lese-Bestätigungen) im Klartext, weil sie für Zustellung und Anzeige erforderlich sind. Nachrichten, die vor der Aktivierung gesendet wurden, bleiben unverschlüsselt — eine rückwirkende Verschlüsselung ist technisch nicht möglich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung einer von dir aktivierten Sicherheits-Funktion im Rahmen der Vertragsbeziehung) i. V. m. Art. 6 Abs. 1 lit. f DSGVO und Art. 32 DSGVO (Erhöhung der Vertraulichkeit und Sicherheit). Die E2E-Verschlüsselung ist damit keine separat einwilligungsbedürftige Verarbeitung, sondern eine optionale Schutzfunktion.

Deaktivierung der Funktion: Du kannst E2E jederzeit für künftige Nachrichten in den Einstellungen deaktivieren und die E2E-Schlüssel auf dem Server löschen. Bereits verschlüsselt gespeicherte Nachrichten bleiben aus Sicherheits- und Integritätsgründen verschlüsselt liegen, bis du sie selbst löschst oder dein Konto löschst. Ein „rückwirkendes Entschlüsseln" durch uns ist technisch nicht vorgesehen.

Konsequenzen für Auskunft (Art. 15) und Datenexport (Art. 20): Bei aktivierter E2E kann ein serverseitiger Daten-Export deine verschlüsselten Nachrichten nur als Cipher-Text einschließlich Metadaten bereitstellen. Eine Klartext-Ausgabe ist nur möglich, wenn du die Entschlüsselung lokal auf deinem Gerät mit deiner Recovery-Phrase ausführst. Bei der Konto-Löschung (Art. 17 DSGVO) löschen wir auch das serverseitig gespeicherte verschlüsselte Schlüsselmaterial; verbleibende Backups werden nach Ablauf der Backup-Retention überschrieben.

10h. 2-Faktor-Authentifizierung (Email-OTP)

Du kannst in den Einstellungen optional eine Zwei-Faktor-Authentifizierung aktivieren. Bei aktivem 2FA verlangt der Login nach korrektem Passwort zusätzlich einen sechsstelligen Einmal-Code, der per E-Mail an deine hinterlegte Adresse versandt wird (über unseren Auftragsverarbeiter Brevo / Sendinblue SAS, Paris, siehe Abschnitt 5).

Verarbeitete Daten: generierter Einmal-Code (gehashed in der Datenbank), Generierungs- und Ablaufzeit (10 Minuten), Anzahl der Versuche, deine E-Mail-Adresse für den Versand. Eine Speicherung der Codes nach erfolgreichem Login oder Ablauf erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Konto-Sicherheit) sowie Art. 32 DSGVO (Stand der Technik). Speicherdauer: Codes maximal 10 Minuten, danach automatische Löschung.

10i. Kalender-Export & Live-Feed (iCal, Premium)

Im Premium-Plan kannst du deinen Familien-Kalender im offenen iCalendar-Standard (RFC 5545) exportieren. Es gibt zwei Varianten:

• Snapshot-Download (.ics-Datei): Die Datei wird vollständig in deinem Browser erzeugt und auf dein Gerät heruntergeladen. Keine zusätzliche Server-Verarbeitung, keine Drittland-Übermittlung, keine externe Speicherung.
• Live-Feed-URL: Du erstellst eine URL der Form https://copario.de/ical/<token>.ics, die du in deinem externen Kalender-Programm (Google Calendar, Apple Kalender, Outlook etc.) als Abonnement einträgst. Das Programm ruft die URL regelmäßig ab und aktualisiert sich automatisch. Der Token ist eine zufällige, kryptographisch sichere 32-Byte-Zeichenfolge.

Verarbeitete Daten (Live-Feed): bei jedem Abruf werden Termin-Daten der zugehörigen Familie für ±12 Monate aus unserer Datenbank gelesen, in iCal-Format umgewandelt und ausgeliefert. Zugriffszeitpunkte werden im Token-Datensatz festgehalten, um dir Transparenz über die Nutzung zu geben.

Wichtiger Hinweis zur Token-Verantwortung: Der Feed-Link ist kein passwortgeschützter Zugang, sondern ein geheimes Capability-Token: Wer die URL kennt, kann den darin enthaltenen Kalender zeitlich begrenzt im Lese-Modus abrufen. Behandle die URL daher wie ein Passwort (kein öffentliches Posten, kein Teilen mit Dritten ohne Absicht). Sobald du den Token kompromittiert glaubst, kannst du ihn in den Einstellungen sofort widerrufen; danach liefert die URL einen 404-Fehler.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der Premium-Funktion Kalender-Interoperabilität). Drittland-Aspekt: Beim Abonnement in einem externen Kalender-Dienst (z. B. Google Calendar) erfolgt der Abruf durch den Kalender-Anbieter; das ist ein Datenfluss von dir zu dem von dir gewählten Anbieter und unterliegt dessen Datenschutzbestimmungen. Wir empfehlen den Einsatz datenschutzfreundlicher Alternativen (z. B. Mailbox.org Kalender, Tutanota, lokales Thunderbird mit Lightning).

11. Cookies und lokaler Speicher

Wir verwenden keine Tracking-, Analyse- oder Werbe-Cookies. Für den Login und den sicheren Betrieb der App setzen wir technisch erforderliche Session-Cookies und vergleichbare lokale Speichermechanismen ein. Session-Cookies sind dabei zwangsläufig einem konkreten eingeloggten Konto zugeordnet und damit personenbezogen; sie sind aber rein funktional und werden nach Logout oder Sitzungsablauf entwertet. Diese Speicherung ist nach § 25 Abs. 2 Nr. 2 TDDDG ohne gesonderte Einwilligung zulässig.

Im Browser-LocalStorage werden ausschließlich funktional notwendige Daten abgelegt: aktive Familien-ID bei Mehrfach-Mitgliedschaft, UI-Einstellungen, Einwilligungs-Status, gecachte Schulferien-Daten (7 Tage), Tesseract-OCR-Modelle für den lokalen Beleg-Scan, Welcome-Tour-Status sowie — bei aktivierter Ende-zu-Ende-Verschlüsselung des Chats — der verschlüsselte private Schlüssel. Alle Inhalte verlassen ohne deine ausdrückliche Aktion dein Gerät nicht.

Die installierbare PWA nutzt einen Service Worker zum Caching von App-Assets; Auto-Update im Hintergrund. Es werden keine personenbezogenen Daten übertragen, die nicht ohnehin für die Anwendung erforderlich sind.

11a. Copario Care — Sozialzugang & Schutzkonto

Copario bietet Familien in finanziellen Notlagen sowie Betroffenen häuslicher Gewalt kostenfreie oder stark vergünstigte Zugänge an („Copario Care"). Die Vergabe erfolgt ausschließlich über anerkannte Partnerstellen — Beratungsstellen, Frauenhäuser, Jugendämter, Anwaltskanzleien, Wohlfahrtsverbände. Die Partnerstelle prüft die Bedürftigkeit intern und vergibt einen anonymen Care-Code. Copario erfährt keinerlei Details zur konkreten Lebenssituation — nur, dass ein Code eingelöst wurde und welche Care-Stufe aktiviert ist.

Datenminimierung: Im Account werden ausschließlich neutrale technische Tags gespeichert — care_protected (12 Monate), care_social (6 Monate), care_emergency (3 Monate). Niemals Klartext-Bezeichnungen wie „häusliche Gewalt" oder „Bürgergeld-Bezug".

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Sozial-/Schutz-Tarifs) sowie — soweit der Care-Status mittelbar Rückschlüsse auf besondere Kategorien personenbezogener Daten zulassen könnte — Art. 9 Abs. 2 lit. a DSGVO(ausdrückliche Einwilligung).

Wichtiger Hinweis vor Code-Einlösung: Vor dem Einlösen eines Care-Codes informieren wir dich gesondert in der App darüber, dass aus dem aktivierten Care-Status — auch ohne explizite Klartextangabe eines Grundes — mittelbar Rückschlüsse auf eine besondere Schutz- oder Unterstützungsbedürftigkeit möglich sein könnten (z. B. finanzielle Notlage, Schutzkontext nach häuslicher Gewalt, Wohnungsverlust). Copario speichert keine Diagnose, keine Gewaltbeschreibung, keine Einkommensnachweise und keine Beratungsstellenakte — ausschließlich neutrale technische Statuskennzeichen. Die Aktivierung erfolgt nur nach deiner ausdrücklichen Bestätigung. Du kannst die Entfernung des Care-Status jederzeit verlangen; dadurch kann der vergünstigte oder kostenfreie Zugang entfallen.

Sicherheit bei akuter Gefährdung: Bei akuten Bedrohungssituationen wende dich bitte direkt an das Hilfetelefon „Gewalt gegen Frauen": 08000 116 016 (24/7, kostenlos, anonym) oder den Notruf 110. Keine Software ersetzt schnelle persönliche Hilfe.

12. Sicherheit

Die Übertragung deiner Daten erfolgt ausschließlich verschlüsselt über HTTPS / TLS 1.3 (Zertifikate von Let's Encrypt). Server-seitig:

• Passwörter als Argon2id-Hashes
• Sessions über HTTP-only-Cookies mit SameSite=None; Secure
• PostgreSQL nur lokal (127.0.0.1), verschlüsselte Festplatten (Hetzner LUKS)
• MinIO-Objektspeicher nur lokal erreichbar, signierte zeitlich begrenzte URLs
• Zugriffskontrolle: Family-Membership-Check pro Request; Großeltern nur Read-Only
• Backups: täglich, Retention 7 Tage

Sicherheitslücken bitte vertraulich an kontakt@copario.de.

12a. Server-Logs

Unsere Webserver (Caddy + Express) protokollieren zur Fehlersuche und Missbrauchs-Abwehr bei jedem Request: gekürzte IP-Adresse, aufgerufene URL, HTTP-Status-Code, User-Agent, Zeitstempel. Diese Logs werden nach 14 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Stabilität).

Token-Schutz: Tokenbasierte URLs (iCal-Feed-Links, Foto-Freigabe-Links, Passwort-Reset-Links) enthalten geheime Zugangs-Token. Diese werden vor Aufnahme in Server-, Fehler- und Zugriffsprotokolle entfernt oder durch Hash-Werte ersetzt, sodass aus Logs kein direkter Zugriff auf tokenbasierte Inhalte möglich ist.

12b. Passwort-Reset (Self-Service)

Wenn du auf „Passwort vergessen?" klickst, erzeugen wir einen einmalig verwendbaren Reset-Token, speichern diesen ausschließlich als SHA-256-Hashin der Datenbank und versenden den dazugehörigen Link per E-Mail. Der Token ist 60 Minuten gültig und wird nach Nutzung oder Ablauf gelöscht.

Verarbeitete Daten: deine E-Mail-Adresse, gehashter Token, Ablaufzeitpunkt, Versandstatus und Request-Metadaten (gekürzte IP) zur Missbrauchsprävention. Wir bestätigen aus Sicherheitsgründen immer, dass die Mail versandt wurde — auch wenn die Adresse bei uns nicht existiert (Schutz vor Email-Enumeration).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Konto-Verwaltung) sowie Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsschutz und IT-Sicherheit).

12c. Foto-Galerie und Freigabe-Links (Großeltern, Premium)

Fotos werden innerhalb deines Familienbereichs gespeichert und sind standardmäßig nur für Familienmitglieder sichtbar. Du kannst optional zeitlich begrenzte, widerrufbare Freigabelinks für eingeladene Angehörige (z. B. Großeltern) erstellen.

Wichtig zum Token-Charakter: Der Freigabelink enthält ein zufälliges kryptographisches Token und ist kein öffentliches Passwort, sondern ein Capability-Token: Wer den Link kennt, kann die freigegebenen Inhalte bis zum Ablauf oder Widerruf abrufen. Du bist dafür verantwortlich, Freigabelinks nur an berechtigte Personen weiterzugeben und sie nicht öffentlich zu posten.

Verarbeitete Daten: Token-ID, Zeitpunkt der Erstellung, Ablauf-Datum, zugehöriges Album bzw. Foto-Set, Erstellerkonto, Anzahl der Abrufe sowie zur Missbrauchserkennung Zeitpunkte der Abrufe und technische Zugriffsdaten (gekürzte IP, User-Agent). Klar-Token tauchen weder in Protokollen noch in E-Mail-Versand-Metadaten auf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Freigabe). Widerruf: Jederzeit über die Share-Links-Verwaltung in den Einstellungen — der widerrufene Link liefert sofort einen 410-Fehler.

12d. Lizenz- und Master-Codes

Für Lifetime-Lizenzen, Aktionszugänge oder Partner-Kontingente können einmalige oder dauerhafte Lizenzcodes verwendet werden. Beim Einlösen speichern wir ausschließlich: Code-ID, Einlösezeitpunkt, zugeordneten Account, Lizenztyp, Laufzeit/Restkontingent und Status. Zahlungsdaten werden hierbei nicht verarbeitet, sofern kein kostenpflichtiger Stripe-Kauf erfolgt — es findet in diesem Fall keine Übermittlung an Stripe statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der jeweiligen Lizenzform) sowie Art. 6 Abs. 1 lit. f DSGVO (Missbrauchsprävention bei wiederholten Einlöseversuchen).

12e. Stealth-Mode (Sichtschutz)

Du kannst in den Einstellungen eine Tarnansicht aktivieren, bei der die App nach einer bestimmten Bediengeste (3× Tap auf das Copario-Logo) eine neutrale Wetter-Oberfläche anzeigt. Diese Funktion dient ausschließlich dem lokalen Sichtschutz auf deinem Gerät in Schulter-Surf-, Konflikt- oder Bedrohungssituationen.

Verarbeitete Daten: nur ein technisches Flag „Stealth aktiviert" (Account-Setting) und gerätelokaler Status. Wir speichern keinen Grund, keine Trigger-Häufigkeit und keine Zeitstempel der Aktivierung serverseitig in personenbezogener Form.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Schutzfunktion) sowie Art. 6 Abs. 1 lit. f DSGVO (Schutz der Privatsphäre in sensiblen Nutzungssituationen).

12f. Konflikt-Melde-Funktion

Wenn du der Ansicht bist, dass Daten über dich oder dein Kind unberechtigt in Copario verarbeitet werden, kannst du direkt aus der App eine Konfliktmeldungan uns senden. Die Funktion öffnet eine vorbereitete E-Mail-Vorlage an kontakt@copario.de mit fünf vordefinierten Anliegen (u. a. „Daten meines Kindes ohne meine Zustimmung", „Gewaltschutzanordnung wird verletzt", „Bitte um Löschung", „Sonstiger Widerspruch").

Wir prüfen jede Meldung zeitnah und können — bei substantiierten Anhaltspunkten — betroffene Inhalte, Zugriffe oder Familienbereiche vorläufig sperren, bis die Berechtigung geklärt ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsprävention und Schutz Dritter) sowie Art. 21 DSGVO (Widerspruchsrecht der betroffenen Person).

12g. Dokumente-Tresor im Kindkern

Du kannst freiwillig Dokumente hochladen wie Geburtsurkunden, Sorgerechts­unterlagen, ärztliche Dokumente, Schul- und Kita-Unterlagen, Versicherungsinformationen oder Reisepässe. Diese Dokumente können besonders sensible Informationen enthalten — z. B. zu Familienkonflikten, Wohnort, Gesundheitsstatus oder Schutzanordnungen.

Bitte sorgfältig prüfen: Lade Dokumente nur hoch, wenn dies für eure Familienorganisation tatsächlich erforderlich ist und keine Rechte des Kindes, anderer Sorgeberechtigter oder betroffener Personen entgegenstehen (siehe Abschnitt 2b). Sorgerechtsbeschlüsse können z. B. Konfliktinhalte enthalten, die nicht beide Eltern in der App sehen sollten.

Verarbeitete Daten: Datei-Inhalt (verschlüsselte Ablage in MinIO), Datei-Name, Dateigröße, MIME-Typ, Kategorie (z. B. „Geburtsurkunde", „Sorgerecht"), Upload-Zeitpunkt, Hochladender-Account.

Sichtbarkeit: Dokumente sind nur für Eltern dieser Familiesichtbar — Großeltern haben keinen Zugriff, auch nicht im Read-Only-Modus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); bei Gesundheits-, Sorgerechts- oder anderen sensiblen Inhalten zusätzlich Art. 9 Abs. 2 lit. a DSGVO. Wir verwenden Dokumente nicht für Analyse-, Werbe- oder KI-Trainings-Zwecke.

13. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Anforderungen oder die App-Funktionen ändern. Du findest die jeweils aktuelle Version stets unter „Datenschutz" im Menü. Bei substantiellen Änderungen informieren wir zusätzlich per System-Mail.