Datenschutzerklärung

Stand: September 2025

1. Verantwortliche Stelle

tivinti (Mira Gäbler)
Telefon: +49 (0) 176 5683 2321
E-Mail: hallo@tivinti.de

2. Worum es geht (Kurzfassung)

tivinti bietet NFC-Armbänder und eine App, über die Eltern/Erziehungsberechtigte Notfallkontakte hinterlegen. Beim Antippen des Bands mit einem Smartphone öffnet sich eine Notfall-Seite („Landingpage"). Auf dem NFC-Chip ist nur eine kurze, zufällige URL gespeichert – keine Namen, Telefonnummern oder Gesundheitsdaten.

3. Datenkategorien

  • Kontodaten: E-Mail, ggf. Vor-/Nachname, Sprache.
  • Guardian-/Kontakt-Daten: Namen, Telefonnummern, Priorität.
  • Profilangaben zum Kind (optional, sensibel): Spitzname, Hinweise (z. B. Allergien, Unverträglichkeiten), weitere Freitexte.
  • NFC/Tag-Daten: anonymer Token/Slug, Geräte-ID (intern), Status, Zeitpunkte von Scans (pseudonymisierte Logs).
  • Zahlungs-/Bestelldaten: Bestellnummer, Produkte, Zahlungsstatus (Details beim Zahlungsanbieter).
  • Kommunikationsdaten: E-Mails, Supportanfragen.
  • Technische Daten: IP-Adresse (gekürzt/Hash), Device/Browser-Infos, Zeitstempel, Cookies/SDK-Events (nur mit Einwilligung, außer technisch notwendig).

4. Zwecke & Rechtsgrundlagen

  • Bereitstellung des Dienstes / Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Konto anlegen, Tags „claimen", Daten pflegen, Landingpage anzeigen.
  • Sicherheits- & Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO): Rate-Limiting, Log-Analyse, Token-Rotation.
  • Zahlungsabwicklung & Versandkommunikation (Art. 6 Abs. 1 lit. b/f DSGVO).
  • Support & Kommunikation (Art. 6 Abs. 1 lit. b/f DSGVO).
  • Marketing-Einwilligungen (z. B. Newsletter) (Art. 6 Abs. 1 lit. a DSGVO).
  • Verarbeitung besonderer Kategorien (Gesundheitsdaten) (optional): ausschließlich mit deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO); du kannst solche Angaben jederzeit löschen/ausblenden.
  • Kinder (Art. 8 DSGVO): Für unter 16-Jährige ist die Zustimmung der Erziehungsberechtigten erforderlich (in DE regelmäßig ab 16, ggf. abweichend je Land).

5. Funktionsweise NFC & Landingpages

  • Auf dem NFC-Tag steht nur: https://t.tivinti.de/{zufalls-Token}.
  • Die Landingpage zeigt – je nach deinen Einstellungen – z. B. „Anrufen"/„SMS" und ausgewählte Hinweise.
  • Du kannst sensible Angaben hinter eine PIN legen oder komplett deaktivieren.
  • Wir indexieren diese Seiten nicht (noindex) und begrenzen Zugriffe technisch.

6. App, Berechtigungen & SDKs

  • Push-Benachrichtigungen (APNs/FCM, nur nach Opt-in).
  • Kamera/Dateien (freiwillig), z. B. für Profilbilder/Dokumente.
  • NFC-Schreiben/Lesen (für Admin/Setup, freiwillig).
  • Analyse/Crash-Reports (Google Firebase/Analytics – nur mit Einwilligung; Crashlytics kann minimal erforderliche technische Daten verarbeiten).

7. Empfänger & Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein; mit allen bestehen Auftragsverarbeitungsverträge (Art. 28 DSGVO). Transfers in Drittländer erfolgen mit Standardvertragsklauseln (SCC) und – soweit verfügbar – nach dem EU-US Data Privacy Framework (DPF), plus zusätzlichen technischen Maßnahmen (Verschlüsselung).

  • Hosting/Backend (USA): [Cloud-Anbieter, USA] – Serverstandort USA.
  • Brevo (Sendinblue, EU): E-Mails/Magic-Links/Transaktional.
  • Stripe (EU/USA): Zahlungen außerhalb Shopify (z. B. App-Abos).
  • Shopify (CA/EU/USA): Shop/Checkout/Bestellabwicklung.
  • Etsy (USA/IRL): Marketplace-Bestellungen.
  • Strato (DE): Domain, DNS, E-Mail-Mailboxen.
  • Google (USA/EU): Analytics/Tag Manager/Firebase/Crashlytics/KMS (bei Einsatz nur mit Einwilligung – außer KMS/Crashlytics, wenn technisch erforderlich).
  • Apple/Google: Push-Dienste (APNs/FCM) für Benachrichtigungen.
  • Expo (USA): App-Build/OTA-Updates.

Hinweis zu USA-Transfers: Auch mit SCC/DPF kann ein Restrisiko behördlicher Zugriffe bestehen. Wir reduzieren dieses Risiko durch End-to-End-Transportverschlüsselung (TLS), Feldverschlüsselung sensibler Inhalte und Schlüsselverwaltung.

8. Cookies & Tracking

  • Technisch notwendige Cookies (Login/Session, Warenkorb): ohne Einwilligung.
  • Analyse/Marketing-Cookies (z. B. GA4, TikTok/Meta-Pixel): nur mit Einwilligung über unser Consent-Banner. Widerruf jederzeit im Footer „Cookie-Einstellungen".

9. Zahlungen

Shopify/Stripe verarbeiten Zahlungsdaten eigenverantwortlich (Kartendaten werden nicht bei uns gespeichert). Wir erhalten nur Status/Token und Bestellinformationen.

10. Rechtsansprüche & Pflichten

  • Keine Notruf-Dienstleistung: In Notfällen wähle 112.
  • Eigenverantwortung für Inhalte: Du entscheidest, welche Informationen die Landingpage zeigt. Teile nur, was im Notfall wirklich hilft.

11. Sicherheit (technisch & organisatorisch)

  • Transportverschlüsselung (TLS) überall.
  • Feld-/Datenbank-Verschlüsselung (z. B. Telefonnummern, Hinweise).
  • Schlüsselmanagement (z. B. KMS), Rotation in festen Intervallen.
  • Rollen & Least-Privilege, 2FA für interne Zugriffe.
  • Backups verschlüsselt, definierte Aufbewahrung.
  • CSP/HSTS, Rate-Limiting, Audit-Logs, regelmäßige Pen-Tests/Code-Reviews.

12. Speicherdauer & Löschung

  • Konto/Profil: bis zur Löschung durch dich.
  • Sensible Angaben: jederzeit entfernbar; auf Wunsch sofortige Sperrung der Landingpage.
  • Bestelldaten: nach steuer-/handelsrechtlichen Pflichten (i. d. R. 6–10 Jahre).
  • Logs: sicherheitsrelevante Protokolle i. d. R. 30–180 Tage (pseudonymisiert).

13. Kinder- und Minderjährigenschutz

Die Einrichtung eines Bands/Profils für Kinder erfolgt durch Erziehungsberechtigte. Für sensible Angaben (z. B. Allergien) holen wir eine ausdrückliche Einwilligung ein; diese kann jederzeit widerrufen werden. Wir verarbeiten solche Daten minimiert und zeigen auf der Landingpage nur das Nötige (optional mit PIN).

14. Deine Rechte (Art. 15–21 DSGVO)

  • Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden")
  • Einschränkung, Datenübertragbarkeit
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
  • Beschwerde bei einer Aufsichtsbehörde

Zuständig ist die Datenschutzbehörde deines Wohnsitzes oder die des Unternehmenssitzes.
Anfragen bitte an hallo@tivinti.de – wir reagieren innerhalb der gesetzlichen Fristen.

15. Datenübermittlungen in Drittländer (insb. USA)

Wir hosten Teile unseres Dienstes in den USA. Übermittlungen erfolgen auf Basis von

  • Art. 46 DSGVO (Standardvertragsklauseln, ggf. ergänzende Maßnahmen),
  • EU-US Data Privacy Framework, soweit der jeweilige Anbieter zertifiziert ist,
  • Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) in Ausnahmefällen, wenn keine andere Rechtsgrundlage greift.

16. Joint Controllers / eigene Verantwortung von Dritten

  • Zahlungsanbieter (Shopify/Stripe) sind für Zahlungsdaten eigene Verantwortliche.
  • Marktplätze (Etsy) agieren eigenständig; deren Datenschutz gilt zusätzlich.
  • App-Stores (Apple/Google) verarbeiten Daten eigenständig im Rahmen des Downloads/Updates.

17. Kommunikation & Newsletter

  • Transaktionale E-Mails (Bestellungen, Magic-Link, Sicherheits-Hinweise) sendet Brevo.
  • Marketing-Newsletter erhältst du nur mit Opt-in; Abmeldung jederzeit über den Link am Ende jeder Mail.

18. Profilbilder & Medien

Wenn du Bilder hochlädst, achte darauf, keine sensiblen Informationen ungewollt preiszugeben. Medien können in einem EU- oder US-Rechenzentrum gespeichert werden (je nach Storage-Anbieter) – stets verschlüsselt und nur nach strikter Zugriffskontrolle abrufbar.

19. Automatisierte Entscheidungen

Es finden keine automatisierten Entscheidungen im Einzelfall oder Profilings mit Rechtswirkung statt.

20. Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich Technik, Recht oder Prozesse ändern. Die aktuelle Version ist stets auf tivinti.de/datenschutz verfügbar.

← Zurück zur Startseite