Datenschutzerklärung
1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Florian Sahlmann
Hauptstraße 11a
23845 Oering
Deutschland
Telefon: [wird geladen…]
E-Mail: [wird geladen…]
Hinweis: CartList wird derzeit als privates, nicht gewerbsmäßiges Angebot betrieben.
2. Datenschutzbeauftragter (Art. 13 Abs. 1 lit. b DSGVO)
Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO nicht zu bestellen, da keine der in Art. 37 Abs. 1 genannten Voraussetzungen vorliegen und es sich nicht um eine Behörde oder öffentliche Stelle handelt.
3. Erhobene Daten und Zwecke der Verarbeitung
3.1 Nutzerkonto (Registrierung und Anmeldung)
Zur Nutzung von CartList ist ein Nutzerkonto erforderlich. Bei der Registrierung erheben wir folgende Daten:
- E-Mail-Adresse (zur Identifikation und Kommunikation)
- Passwort (gespeichert als sicherer Hash mittels Argon2; das Klartext-Passwort wird niemals gespeichert)
- Zeitstempel (Registrierung, letzte Verifizierung) und Kontostatus
Zur Aktivierung des Kontos versenden wir eine Verifikations-E-Mail. Das Verifikationstoken ist 24 Stunden gültig und wird danach automatisch gelöscht. Zum Versand nutzen wir All-Inkl.com (neue medien Münnich, Inh. René Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung des Nutzerkontos. Die Kontolöschung
kann jederzeit in den Einstellungen vorgenommen werden.
3.2 Einkaufslisten und Warenkorb-Preisvergleich
Die von Ihnen erstellten Einkaufslisten und die darin enthaltenen Produkte werden gespeichert, um Ihnen den Preisvergleich zwischen Supermärkten zu ermöglichen. Diese Daten sind Ihrem Konto zugeordnet und werden ausschließlich zu diesem Zweck verarbeitet. Preisdaten werden aus öffentlich zugänglichen Quellen bezogen; dabei werden keine personenbezogenen Daten an Dritte übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung durch den Nutzer oder bis zur Kontolöschung.
3.3 Warenkorb-Vergleichsprotokoll
Bei Durchführung eines Preisvergleichs wird der Zeitpunkt sowie eine pseudonymisierte Nutzer-ID (keine direkt identifizierenden Daten) protokolliert. Diese Protokolle dienen der Fehleranalyse und Qualitätssicherung des Kerndienstes.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung —
Protokollierung ist erforderlich für die Erbringung und Qualitätssicherung der Kernleistung).
Speicherdauer: 12 Monate, danach automatische Löschung.
Empfänger: Keine Weitergabe an Dritte.
3.4 Server-Logs und Sicherheitsmaßnahmen (IP-Adressen)
Bei der Nutzung der Anwendung werden automatisch technische Verbindungsdaten erhoben:
- IP-Adresse
- Zeitstempel der Anfrage
- HTTP-Methode, aufgerufener Endpunkt, HTTP-Statuscode
Diese Daten werden für den sicheren Betrieb sowie zum Schutz vor Brute-Force-Angriffen (Rate-Limiting auf Authentifizierungsendpunkten) benötigt. Die Logs werden auf Servern unseres Hosting-Anbieters Contabo GmbH (Aschauer Straße 32a, 81549 München, Deutschland) gespeichert. Es besteht ein AVV gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse —
IT-Sicherheit und Schutz vor missbräuchlicher Nutzung).
Speicherdauer: 30 Tage, danach automatische Löschung.
4. Fehlerüberwachung und Performance-Monitoring (Sentry)
Wir verwenden den Dienst Sentry zur Überwachung der technischen Stabilität und Performance unserer Anwendung. Sentry erfasst technische Informationen, wenn Fehler auftreten oder Leistungsprobleme festgestellt werden, um uns bei der Diagnose und Behebung dieser Probleme zu unterstützen.
Anbieter:
Functional Software, Inc. dba Sentry
45 Fremont Street, 8th Floor
San Francisco, CA 94105, USA
Die Datenspeicherung erfolgt ausschließlich im EU-Rechenzentrum in Deutschland; es findet keine Übermittlung in Drittländer statt.
Verarbeitete Daten:
- Technische Fehlermeldungen und Stack-Traces
- Metadaten zu HTTP-Anfragen (Methode, URL-Pfad, HTTP-Statuscode)
- Pseudonyme Benutzer-ID (interne GUID) für angemeldete Nutzer — kein Name, keine E-Mail-Adresse
- Chronologische Ereignisfolgen (Breadcrumbs) vor einem Fehler
- Performance-Metriken (Stichprobenrate: 10 %)
- Aggregierte Nutzungsmetriken (z. B. Anzahl erfolgreicher Anmeldungen, Fehlerquoten)
Es werden keine IP-Adressen, Namen oder E-Mail-Adressen automatisch an Sentry
übermittelt (SendDefaultPii = false).
Zweck der Verarbeitung: Sicherstellung des stabilen und sicheren Betriebs der Anwendung; Fehleranalyse; Performance-Optimierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse besteht darin, den technisch einwandfreien und sicheren Betrieb unseres Dienstes zu gewährleisten. Nutzer haben das Recht, dieser Verarbeitung unter den Voraussetzungen von Art. 21 DSGVO zu widersprechen.
Speicherdauer: Die Daten werden bei Sentry standardmäßig für 90 Tage gespeichert und danach automatisch gelöscht.
Auftragsverarbeitung: Mit Sentry wurde ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.
Weitere Informationen: Datenschutzerklärung von Sentry
5. Auftragsverarbeiter (Art. 13 Abs. 1 lit. e DSGVO)
Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils ein AVV gemäß Art. 28 DSGVO besteht:
| Kategorie | Anbieter | Zweck | Land |
|---|---|---|---|
| Hosting | Contabo GmbH, Aschauer Straße 32a, 81549 München | Serverbetrieb, Datenbankhosting, Log-Speicherung | Deutschland |
| E-Mail-Versand | All-Inkl.com (neue medien Münnich, Inh. René Münnich), Hauptstraße 68, 02742 Friedersdorf | Versand von Verifikations- und Benachrichtigungs-E-Mails | Deutschland |
| Fehlerüberwachung | Functional Software, Inc. dba Sentry, San Francisco, CA, USA | Technisches Monitoring und Fehlererfassung (Datenspeicherung in EU) | USA (Daten in EU/DE) |
6. Übermittlung in Drittländer (Art. 13 Abs. 1 lit. f DSGVO)
Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/EWR findet nicht statt. Hosting und E-Mail-Versand erfolgen ausschließlich über Anbieter in Deutschland. Sentry speichert die bei uns erfassten Daten ausschließlich in seinem EU-Rechenzentrum in Deutschland.
7. Weitergabe von Daten an Dritte
Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, außer:
- soweit es zur Vertragserfüllung erforderlich ist,
- Sie eingewilligt haben,
- wir gesetzlich dazu verpflichtet sind, oder
- die oben genannten Auftragsverarbeiter im Sinne des Art. 28 DSGVO tätig werden.
8. Ihre Rechte (Art. 15–21 DSGVO)
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen. Ein vollständiger Datenexport (JSON) steht in der App jederzeit bereit (Einstellungen → Daten exportieren).
- Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. Ihr Nutzerkonto können Sie jederzeit vollständig in den Kontoeinstellungen löschen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können eine maschinenlesbare Kopie Ihrer Daten (JSON) in der App herunterladen.
- Widerspruch (Art. 21 DSGVO): Sie haben das Recht, der Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO zu widersprechen (betrifft Server-Logs und Sentry-Datenverarbeitung).
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:
[wird geladen…]
Wir werden Ihren Antrag innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO).
9. Beschwerderecht bei der Aufsichtsbehörde (Art. 13 Abs. 2 lit. d DSGVO)
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Die zuständige Aufsichtsbehörde ist:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)Holstenstraße 98
24103 Kiel
E-Mail: mail@datenschutzzentrum.de
Telefon: +49 431 988-1200
Web: www.datenschutzzentrum.de
10. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen:
- Verschlüsselte Übertragung: Alle Daten werden ausschließlich über HTTPS (TLS) übertragen.
- Passwort-Hashing: Passwörter werden mit dem Argon2-Algorithmus gehasht; Klartext-Passwörter werden niemals gespeichert.
- Token-Management: Kurzlebige Access-Tokens (15 Minuten Gültigkeit) mit automatisch rotierenden Refresh-Tokens (30 Tage).
- Sichere Cookies: HttpOnly-, Secure- und SameSite=Strict-Flags auf allen Sitzungs-Cookies.
- Rate-Limiting: Schutz von Authentifizierungsendpunkten gegen Brute-Force-Angriffe.
- Datentrennung: Jeder Nutzer hat ausschließlich Zugriff auf seine eigenen Daten.
- Hard-Delete: Bei Kontolöschung werden alle personenbezogenen Daten sofort und vollständig gelöscht — keine Pseudonymisierung oder Archivierung.
11. Aktualität dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Juni 2026. Durch die Weiterentwicklung unserer Anwendung oder aufgrund geänderter gesetzlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern.