Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO / § 38 BDSG nicht vorliegen. Bei Datenschutzanfragen wenden Sie sich an contact@anirova.de.

2. Erhobene Daten

a) Bei Registrierung

• E-Mail-Adresse
• Passwort (gehasht gespeichert via Firebase Auth)
• Altersverifikation (Boolean — kein Geburtsdatum gespeichert, nur abgeleitetes ageVerified-Flag)

b) Während der Nutzung

• Anzeigename, Bio, Avatar (Profil)
• Swipe-Daten (Anime/Manga/Character-Präferenzen)
• Chat-Nachrichten (Ende-zu-Ende verschlüsselt — Server sieht nur Ciphertext)
• Community-Posts, Stories, Kommentare, Reaktionen
• Geräteinformationen (Betriebssystem, App-Version)
• Nutzungsstatistiken (nur mit deiner Einwilligung)

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung für Optionales
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Missbrauchsprävention

4. Drittanbieter / Datenverarbeitung

a) Firebase (Google Ireland Ltd. / Google LLC, USA)

• Firestore: Datenbank (EU-Region Frankfurt)
• Auth: Authentifizierung
• Storage: Medien-Uploads (verschlüsselt)
• Cloud Functions: Server-Logik
• Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO abgeschlossen
• Drittlandübermittlung: Soweit Daten in die USA übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie der Zertifizierung von Google unter dem EU-US Data Privacy Framework (Art. 45 DSGVO).

b) Vercel (Vercel Inc., USA — Hosting)

• Hosting der Web-App und serverloser Funktionen
• Verarbeitete Daten: Server-Logs (IP-Adresse, gekürzt/Hash), Aufrufzeitpunkt, User-Agent
• Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO; Drittlandübermittlung USA auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO)

c) Jikan v4 API (inoffizieller MyAnimeList-Wrapper)

• Übermittelte Daten: anonym (nur MAL-IDs, keine UIDs)
• Zweck: Anime/Manga-Metadaten abrufen

d) MyAnimeList / AniList (Post-Beta)

• Fallback-Metadaten-Quelle
• Attribution CC BY 4.0 (AniList)

5. Cookies & Local-Storage

Wir setzen nur technisch notwendige Cookies. Kein Tracking, keine Werbe-Cookies, keine Drittanbieter-Analyse. Details und Steuerung deiner Einstellungen findest du in der separaten Cookie-Übersicht oder über den Link "Cookie-Einstellungen" im Footer.

• Form-Entwurf (animatch-prereg-draft): localStorage, bis Submit
• Consent-Speicher (animatch-cookie-consent): localStorage, 12 Monate
• Vercel WAF (Anti-Spam-Schutz): Sitzungs-Cookie
• Achievements (optional, nur mit deiner Zustimmung): localStorage, 12 Monate

Rechtsgrundlage: TTDSG § 25 Abs. 2 Nr. 2 (technisch erforderlich) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für optionale Cookies.

6. Aufbewahrungsdauer

• Account-Daten: bis Löschantrag oder 2 Jahre Inaktivität
• Chat-Nachrichten: bis Account-Löschung oder manuelle Löschung
• AuditLog (DSGVO-Compliance): 30 Tage nach Delete-Event
• Backup: 30 Tage rollend

7. Deine Rechte (DSGVO)

• Auskunft (Art. 15): in der App über Datenschutz-Einstellungen
• Berichtigung (Art. 16): Profil-Bearbeitung
• Löschung (Art. 17): in-App + Web anirova.de/delete
• Datenportabilität (Art. 20): JSON-Export in der App
• Widerspruch (Art. 21): optionale Consents deaktivierbar
• Widerruf der Einwilligung (Art. 7 Abs. 3): jederzeit
• Beschwerderecht bei der Aufsichtsbehörde: BfDI Bonn oder deiner Landesdatenschutzbehörde

8. Datensicherheit

• Ende-zu-Ende-Verschlüsselung für Chats (ChaCha20-Poly1305, X25519 ECDH für Key-Exchange)
• Firebase Security Rules mit Participant-Gates
• AES-256-GCM für gespeicherte Session-Keys
• TLS 1.3 für alle API-Calls
• Keine Weitergabe an Werbenetze

9. Minderjährige

Die App ist ab 18 Jahren. Minderjährige dürfen die App nicht nutzen (Altersverifikation bei Registrierung mit Geburtsdatum-Eingabe).

10. Kontakt / Datenschutzanfragen

contact@anirova.de

Antwort innerhalb von 7 Tagen. Bei Löschanfragen über /delete erfolgt automatische Verarbeitung.