← ZURÜCK

Datenschutzerklärung

Stand: 5. Mai 2026 · Version 1.0

Diese Datenschutzerklärung beschreibt, wie Daily Glow (im Folgenden „App") personenbezogene Daten verarbeitet. Die Verarbeitung erfolgt nach der EU-Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und ergänzend dem EU AI Act.

1. Verantwortlicher

Adam Kahirov
Gymnasiumstr. 52
70174 Stuttgart
E-Mail: hello@getdailyglow.app

2. Zweck und Kategorien verarbeiteter Daten

Die App ermöglicht dir tägliche Selbstbeobachtung deines Hautbilds und deiner Routine via Selfie-Analyse. Wir verarbeiten dafür folgende Kategorien personenbezogener Daten:

  • Selfies (besondere Kategorie nach Art. 9 Abs. 1 DSGVO): Bildaufnahmen, die du selbst aktiv per Kamera-Auslöser anfertigst, sowie daraus abgeleitete numerische Geometrie (Face-Landmarks).
  • Profil-Daten: Altersbereich, gewählte Routine-Ziele, Hauttyp-Selbsteinschätzung, Schlaf- und Wasserbasiswerte.
  • Score- und Aktions-Daten: Sechs Sub-Scores (Skin, Jaw, Symmetry, Eyes, Hair, Harmonic) sowie tägliche Empfehlungen, abgeleitet aus der Selfie-Analyse.
  • Konto-Daten: E-Mail-Adresse für Magic-Link-Login, eindeutige Nutzer-ID.
  • Einwilligungs-Logs: Zeitstempel, Versionsnummer und Umfang erteilter Einwilligungen (Art. 7 Abs. 1 DSGVO Nachweispflicht).
  • Diagnose-Daten: bei Crashes anonymisierte Stack-Traces (sofern aktiviert) — keine Bild- oder Score-Inhalte.

3. Rechtsgrundlagen

  • Selfie-Analyse: Ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung wird vor dem ersten Selfie über ein Modal eingeholt und ist jederzeit in den Einstellungen widerrufbar.
  • Konto und App-Funktionalität: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung.
  • Einwilligungs-Nachweis und Compliance: Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen.
  • Crash-Reporting: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Stabilität, mit Opt-out.

4. EU AI Act Art. 50 — Hinweis auf KI-System

Daily Glow nutzt ein generatives KI-System (OpenAI GPT-4o Vision) zur Bildanalyse. Du wirst vor dem ersten KI-Aufruf mit einem separaten AI-Disclosure-Sheet darüber informiert (Art. 50 EU-Verordnung 2024/1689). Du hast nach Art. 22 DSGVO das Recht, eine menschliche Überprüfung deines Scores zu verlangen — Anfrage über hello@getdailyglow.app oder den entsprechenden Link in den App-Einstellungen.

5. Speicherorte und Speicherdauer

DatenkategorieSpeicherortDauer
Selfies (Roh-Bild)Supabase Storage, Frankfurt (eu-central-1)Max. 30 Tage, dann automatische Löschung via pg_cron
Face-Landmarks (numerisch)Supabase Postgres, FrankfurtBis Konto-Löschung
Glow Scores + Daily ActionsSupabase Postgres, Frankfurt + lokal (verschlüsselte SQLite)Bis Konto-Löschung
Einwilligungs-LogsSupabase Postgres, Frankfurt10 Jahre nach Konto-Löschung (Nachweispflicht)
Crash-ReportsSentry EU (Frankfurt)90 Tage

6. Auftragsverarbeiter und Empfänger

Wir setzen folgende Auftragsverarbeiter nach Art. 28 DSGVO ein. Mit allen liegen schriftliche AVV vor:

  • Supabase Inc. — Backend, Auth, Storage. Hosting in Frankfurt (AWS eu-central-1). Standardvertragsklauseln gemäß Beschluss (EU) 2021/914 für Sub-Processors außerhalb EU.
  • OpenAI Ireland Limited — Vision-API für die KI-Analyse. EU-DPA mit Zero-Data-Retention. Selfies werden nur für die einmalige Analyse übertragen, nicht für Modell-Training verwendet.
  • RevenueCat Inc. — In-App-Subscription-Management. Verarbeitet anonyme Kauf-Tokens, keine Selfies.
  • Apple Inc. — Push-Notifications (APNS), App Store Receipt-Verifikation. Verarbeitet ausschließlich Geräte-Tokens und Kauf-Belege.
  • Sentry GmbH — Crash-Reporting (sofern aktiviert). Hosting Frankfurt.
  • PostHog Inc. — Anonymisierte Produkt-Analytics (sofern aktiviert). EU-Hosting.

Eine Übermittlung in Drittländer (USA) findet ausschließlich auf Basis von EU-Standardvertragsklauseln und nur für die oben genannten Zwecke statt.

7. Deine Rechte als Betroffener

Du hast nach DSGVO folgende Rechte:

  • Art. 15 — Auskunft über die zu dir gespeicherten Daten.
  • Art. 16 — Berichtigung unrichtiger Daten.
  • Art. 17 — Löschung (One-Tap in den App-Einstellungen, Cascade-Delete in maximal 30 Tagen).
  • Art. 18 — Einschränkung der Verarbeitung.
  • Art. 20 — Datenübertragbarkeit: vollständiger JSON-Export aller Daten in den App-Einstellungen.
  • Art. 21 — Widerspruch.
  • Art. 22 — Recht auf menschliche Überprüfung automatisierter Entscheidungen.
  • Art. 7 Abs. 3 — Widerruf der Einwilligung mit Wirkung für die Zukunft.

Anfragen bearbeiten wir innerhalb von 30 Tagen nach Art. 12 Abs. 3 DSGVO. Du erhältst eine Bestätigung mit Ticket-ID.

8. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — insbesondere in deinem Wohnsitz-Bundesland. Liste: bfdi.bund.de.

9. Kein Profiling für Werbung

Wir verwenden deine Daten nicht für personalisierte Werbung, Tracking über App-Grenzen hinweg oder Verkauf an Dritte. Es gibt keine Werbung in der App.

10. Sicherheits-Maßnahmen

  • Ende-zu-Ende verschlüsselte Verbindungen (TLS 1.3).
  • Selfies-Bucket in Supabase ist privat, RLS-Policies pro Nutzer.
  • Lokale SQLite-Datenbank verschlüsselt im iOS Keychain abgelegt.
  • Server-seitig pg_cron-Auto-Delete ≤30 Tage.
  • Audit-Log in audit_deletions.

11. Änderungen dieser Erklärung

Wir aktualisieren diese Datenschutzerklärung, wenn sich Verarbeitung oder Auftragsverarbeiter ändern. Wesentliche Änderungen kündigen wir per In-App-Banner und E-Mail an.

12. Kontakt für Datenschutzanfragen

E-Mail: hello@getdailyglow.app
Direkt an den Entwickler: adam@getdailyglow.app
Postanschrift: siehe Abschnitt 1.

13. Änderungs-Historie

  • v1.0 — 2026-05-05: Erstveröffentlichung. Initiale Architektur Supabase eu-central-1, OpenAI EU-DPA, RevenueCat Test Store, Sentry EU.