1. Verantwortlicher & Aufsichtsbehörde

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Zuständige Aufsichtsbehörde

Du hast gemäß Art. 77 DSGVO das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Zuständig ist für uns:

2. Welche Daten wir erheben

2.1 Registrierungs- und Authentifizierungsdaten

Für die Registrierung und Anmeldung erheben wir deine E-Mail-Adresse, deinen Vor- und Nachnamen sowie ein Passwort. Dein Passwort wird ausschließlich in verschlüsselter Form (bcrypt-Hash) gespeichert und ist für uns nicht im Klartext einsehbar. Zusätzlich speichern wir einen Einwilligungs-Zeitstempel mit Versions-Tag deiner zugestimmten Datenschutzerklärung.

Für die Aufrechterhaltung deiner Sitzung erzeugen wir ein JSON Web Token (JWT) sowie ein Refresh-Token. Diese Authentifizierungs-Token werden auf deinem Endgerät im lokalen Browser-Speicher (localStorage) bzw. im verschlüsselten Key-Value-Speicher der nativen App abgelegt, damit du nicht bei jedem App-Start erneut Passwort eingeben musst. Diese Speicherung ist eine unbedingt erforderliche technische Speicherung im Sinne von § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutzgesetz) und benötigt daher keine gesonderte Einwilligung. Bei Abmeldung wird das Token serverseitig revoziert und lokal gelöscht.

Bei jedem Login-Vorgang protokolliert unser Server kurzzeitig deine IP-Adresse als Access-Log-Eintrag (Trunkierung bzw. Löschung nach 14 Tagen). Verweis: Verarbeitungstätigkeit V1 im VVT.

2.2 Tierdaten (Pet-Stammdaten)

Informationen zu deinen Haustieren — Name, Spezies, Rasse, Geschlecht, Geburtsdatum, Gewicht, Kastrationsstatus, Chip-Nummer, optionaler Tierarzt-Name und Avatar-Bild — werden lokal auf deinem Gerät und auf unseren Servern in Deutschland gespeichert, um dir die App-Funktionen geräteübergreifend bereitzustellen. Verweis: V2 im VVT.

2.3 Standortdaten (GPS-Tracking während Spaziergängen)

Standortdaten werden ausschließlich während eines aktiven Spaziergang-Trackings erfasst. Die Erhebung erfolgt nur nach deiner ausdrücklichen Zustimmung über die Berechtigungsabfrage deines Betriebssystems. Standortdaten werden nicht im Hintergrund erhoben, wenn kein Spaziergang aktiv ist.

Verarbeitet werden: GPS-Koordinaten (Breite/Länge), Genauigkeit in Metern, Richtung (Bearing), Geschwindigkeit, Zeitstempel sowie Satelliten-Anzahl (nur Android). Zur Reduzierung von Rauschen und Drift durchläuft jede Position einen Accuracy-Gate (> 25 m werden verworfen), einen Motion-Gate (Schritterkennung) und einen Kalman-Filter.

Für diese Verarbeitung haben wir eine Datenschutz-Folgenabschlag (DSFA) nach Art. 35 DSGVO durchgeführt. Ergebnisse: Datensparsamkeit durch Filter und konfigurierbare Update-Rate, vollständige Löschbarkeit, keine Profilbildung, keine Standortverfolgung außerhalb der aktiven Walk-Session. Verweis: V3 im VVT.

Kartendarstellung (Stadia Maps)

Für die Darstellung der Spaziergangs-Karte, der Walk-Heatmap und der Strecken-Vorschau verwenden wir Kartenkacheln („Map-Tiles“) von Stadia Maps, Inc. (Sitz: USA). Beim Abruf jeder einzelnen Kachel überträgt dein Gerät automatisch seine IP-Adresse an Stadia Maps. Es werden keine konkreten GPS-Positionen übermittelt — ausschließlich Kachel-Koordinaten und Zoom-Stufen, wie sie im Kartenausschnitt gerade sichtbar sind, sowie die IP-Adresse.

Dies ist eine Übermittlung in ein Drittland (USA). Grundlage sind die EU-Standardvertragsklauseln (SCCs). Weiteres in Kapitel 6 „Datenweitergabe in Drittländer“.

2.4 Fotos & Dokumente

Von dir aufgenommene Fotos (z. B. Haustierfotos, Walk-Fotos) und hochgeladene Dokumente (z. B. Impfpässe, Tierarztrechnungen, Rezepte, Befunde) werden lokal auf deinem Gerät und — sofern du einen Account nutzt — auf unseren Servern in Deutschland gespeichert und ausschließlich über verschlüsselte Verbindungen (HTTPS/TLS 1.3) übertragen. Die Speicherung erfolgt auf verschlüsselten Datenträgern (AES-256). Wir greifen nicht ungefragt auf deine Geräte-Galerie zu; Kamera- und Datei-Zugriff erfolgen nur auf deine aktive Auswahl hin. Verweis: V4 im VVT.

2.5 Push-Benachrichtigungen (Firebase Cloud Messaging)

Für den Versand von Push-Benachrichtigungen (z. B. Fütterungs-Reminder, Kalender-Erinnerungen, Gesundheits-Alerts, Aktivitäts-Hinweise bei geteilten Pets) nutzen wir Firebase Cloud Messaging (FCM), einen Dienst der Google Ireland Limited. Dabei wird ein geräte-spezifisches Token (FCM-Device-Token) generiert und an Google-Server übermittelt.

Explizites Opt-In: Wir fragen dich vor dem ersten System-Permission-Dialog über eine zusätzliche In-App-Checkbox, ob du Push-Benachrichtigungen erhalten möchtest. Erst wenn du diese Einwilligung aktiv erteilst, registriert die App überhaupt ein FCM-Token. Die Einwilligung wird mit Zeitstempel und der Versionsnummer dieser Datenschutzerklärung gespeichert.

Die Daten werden an die Google LLC (USA) weitergeleitet. Grundlage der Drittlandübermittlung ist das EU-US Data Privacy Framework (DPF), gültig seit dem 10. Juli 2023 durch Angemessenheitsbeschluss der EU-Kommission; als Rechts-Fallback wirken zusätzlich die EU-Standardvertragsklauseln (SCCs). Google LLC ist DPF-zertifiziert. Es gelten zusätzlich die Datenschutzhinweise von Firebase.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit in den App-Einstellungen widerrufen; dabei wird das Token sofort von unserem Server entfernt. Verweis: V5 im VVT.

Geräte-Berechtigung POST_NOTIFICATIONS (Android 13+)

Unabhängig vom FCM-Token benötigen wir auf Android 13 und höher die Betriebssystem-Berechtigung POST_NOTIFICATIONS, damit Benachrichtigungen überhaupt auf deinem Bildschirm angezeigt werden dürfen. Das ist eine reine OS-Permission und erfolgt lokal auf dem Gerät — es findet dabei keine Drittlandübermittlung statt. Du kannst die Anzeige in den Geräteeinstellungen jederzeit blockieren, auch wenn das FCM-Token weiter registriert bleibt.

2.6 Transaktionale E-Mails

PetWatch versendet transaktionale E-Mails in folgenden Fällen:

• E-Mail-Verifizierung — nach der Registrierung zur Bestätigung deiner E-Mail-Adresse
• Passwort-Zurücksetzung — wenn du dein Passwort zurücksetzt
• Sicherheits-Hinweise — z. B. bei ungewöhnlichen Login-Versuchen oder Passwort-Änderungen
• PetAccess-Einladungen — wenn du andere Nutzer einlädst, ein Haustier gemeinsam zu verwalten
• Willkommens-E-Mail — nach erfolgreicher Verifizierung deines Accounts

Der Versand erfolgt über den SMTP-Dienst der amanda.de GmbH (Lima-City), einen deutschen E-Mail-Hosting-Anbieter, von der Absenderadresse noreply@dotslash-labs.com. Lima-City verarbeitet deine E-Mail-Adresse und deinen Namen ausschließlich zum Zweck der Zustellung im Rahmen eines Auftragsverarbeitungs- verhältnisses (Art. 28 DSGVO). Die Verarbeitung erfolgt innerhalb Deutschlands.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für E-Mail-Verifizierung, Passwort-Zurücksetzung und PetAccess-Einladungen; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheits-Hinweise und Willkommens-E-Mails. Verweis: V6 im VVT.

2.7 Anmeldung mit Google (Google Sign-In)

Du kannst dich mit deinem Google-Konto bei PetWatch anmelden. Dabei werden dein Name, deine E-Mail-Adresse und deine Google-Nutzer-ID (sub-Claim) von Google an uns übermittelt. Wir speichern diese Daten ausschließlich zur Authentifizierung und Anzeige deines Profils. Es gelten zusätzlich die Datenschutzbestimmungen von Google.

Für den Google-OAuth-Vorgang können Daten an die Google LLC (USA) gelangen. Grundlage ist das EU-US Data Privacy Framework (DPF) mit den EU-Standardvertragsklauseln (SCCs) als Fallback. Google LLC ist DPF-zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Login als Teil der App-Funktion), ergänzt durch deine Einwilligung im OAuth-Dialog von Google. Verweis: V1 im VVT.

2.8 Gemeinsame Verwaltung („PetAccess“)

Du kannst andere PetWatch-Nutzer einladen, ein Haustier gemeinsam zu verwalten. In diesem Fall erhalten die eingeladenen Personen Zugriff auf die Daten des geteilten Haustieres im Umfang der vergebenen Rolle. Die Einladung erfolgt per E-Mail-Adresse und enthält einen zeitlich begrenzten Einladungs-Token. Du als Einladende/r kannst die Freigabe jederzeit widerrufen.

Es existieren drei Rollen mit gestaffeltem Zugriff:

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gegenüber dem Einladenden; gegenüber Eingeladenen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Annahme der Einladung). Verweis: V9 im VVT.

2.9 Gastzugang

PetWatch kann ohne Registrierung als Gast genutzt werden. Im Gastzugang wird ein anonymes Nutzerprofil auf unserem Server angelegt. Es werden keine personenbezogenen Daten wie Name oder E-Mail-Adresse erhoben. Der Gastzugang ist auf 30 Tage ab Erstellung des Gastkontos begrenzt. Nach Ablauf dieser Frist werden dein Gastkonto und alle damit verbundenen Daten (Haustierprofile, Spaziergänge, Dokumente, Fotos, Checklisten und Kalendereinträge) automatisch und unwiderruflich von unseren Servern gelöscht. Die Rechtsgrundlage für die Löschung ist Art. 17 Abs. 1 lit. e DSGVO i.V.m. Art. 5 Abs. 1 lit. e DSGVO (Zweckentfall und Speicherbegrenzung). Du kannst den Gastzugang jederzeit vor Ablauf in einen regulären Account umwandeln, um deine Daten dauerhaft zu sichern.

2.10 Nutzungsstatistiken

3. Rechtsgrundlagen

Die Verarbeitung deiner Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Registrierung, Anmeldung, E-Mail-Verifizierung, Passwort-Zurücksetzung, Speicherung von Tierdaten, Dokumenten, Checklisten, Terminen und Synchronisation zwischen deinen Geräten. Diese Verarbeitung ist erforderlich, um dir die App-Funktionen bereitzustellen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Standortdaten (GPS) werden ausschließlich nach deiner ausdrücklichen Zustimmung über die Berechtigungsabfrage deines Betriebssystems erhoben. Du kannst die Einwilligung jederzeit widerrufen, indem du die Standortberechtigung in deinen Geräteeinstellungen entzieht.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Technisch notwendige Datenverarbeitung zur Sicherstellung des Betriebs und der Sicherheit der App (z. B. Fehlerbehebung, Schutz vor Missbrauch) sowie Versand von Einladungs- und Willkommens-E-Mails.

4. Wie wir Daten verwenden

Wir verwenden deine Daten ausschließlich zur Bereitstellung der App-Funktionen:

• Verwaltung deiner Haustier-Profile und zugehöriger Daten
• Aufzeichnung und Darstellung deiner Spaziergänge
• Speicherung von Dokumenten, Checklisten und Terminen
• Synchronisation deiner Daten zwischen deinen Geräten
• Geteilte Verwaltung eines Haustieres via PetAccess (siehe Kap. 2.8)
• Versand transaktionaler E-Mails (Verifizierung, Passwort-Zurücksetzung, Sicherheit, Einladungen, Willkommen)
• Technische Sicherung des Betriebs (Fehler-Logging, Missbrauchs-Erkennung, Backups)

Standortdaten werden ausschließlich für die jeweilige Spaziergang-Session verwendet und als Teil des Spaziergang-Verlaufs gespeichert. Eine darüber hinausgehende Verarbeitung oder Weitergabe findet nicht statt.

5. Datenspeicherung & Speicherfristen

Server-Standort

Unsere primären Server befinden sich in Deutschland innerhalb der Europäischen Union. Alle Daten werden auf verschlüsselten Datenträgern gespeichert (AES-256 at rest) und ausschließlich über verschlüsselte Verbindungen übertragen (TLS 1.3 in transit). Die primäre Speicherung deiner Daten erfolgt ausschließlich in Deutschland bzw. der EU. Ausnahmen sind in Kap. 6 „Datenweitergabe in Drittländer“ abschließend beschrieben.

Auftragsverarbeiter

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Hosting (Backend, Datenbank, Backups). Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen. Rechenzentren in Deutschland; ISO-27001 zertifiziert.
• amanda.de GmbH (Lima-City), Deutschland — SMTP-Dienst für transaktionale E-Mails. Auftragsverarbeitungsverhältnis gem. Art. 28 DSGVO; Verarbeitung innerhalb Deutschlands.
• Google Ireland Ltd. (Weiterleitung an Google LLC, USA) — Firebase Cloud Messaging (Push-Tokens), Google Sign-In (OAuth). EU-US-DPF + SCCs — siehe Kap. 6.
• Stadia Maps, Inc., USA — Kartenkacheln (Map-Tiles). Es wird nur die IP-Adresse deines Geräts beim Tile-Request übertragen. SCCs — siehe Kap. 6.

Speicherfristen pro Datenkategorie

Deine personenbezogenen Daten werden nur so lange gespeichert, wie es zur Bereitstellung der App-Funktionen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist. Die folgende Tabelle gibt einen detaillierten Überblick:

Diese Tabelle spiegelt die Fristen aus unserem Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO wider.

Kontolöschung

Du kannst deinen PetWatch-Account jederzeit in der App unter Einstellungen → Konto-Aktionen → Konto löschen kündigen. Aus Schutz vor versehentlichen Klicks gilt eine Karenzzeit von 14 Tagen (Grace-Period): Innerhalb dieser Frist kannst du die Löschung durch einfaches Einloggen zurücknehmen. Nach Ablauf der 14 Tage werden alle mit deinem Account verknüpften Daten — Tierdaten, Spaziergänge, Dokumente, Fotos, Checklisten, Termine und Zugangsdaten — unwiderruflich aus der Datenbank gelöscht.

Danach verbleiben deine Daten ausschließlich noch in rollierenden System-Backups, die nach spätestens 30 weiteren Tagen durch das nächste Überschreiben vollständig beseitigt sind. Bis dahin sind Backups ausschließlich für Notfall-Wiederherstellungen zugänglich und werden nicht für andere Zwecke verarbeitet.

Lokale Daten

Auf deinem Gerät gespeicherte Daten (Cache, lokale Kopien, JWT-Token aus Kap. 2.1) verbleiben dort, bis du die App deinstallierst, dich abmeldest oder die App-Daten manuell löschst.

6. Datenweitergabe in Drittländer

In sehr eng abgegrenzten Fällen werden personenbezogene Daten an Empfänger außerhalb der EU/des EWR übertragen. Wir informieren dich im Folgenden vollständig und transparent:

Alle übrigen Daten (Pet-Stammdaten, GPS-Positionen, Fotos, Dokumente, Kontodaten) verlassen die Europäische Union nicht. Sie werden ausschließlich in Deutschland auf Servern von Hetzner verarbeitet und gespeichert.

Den aktuellen DPF-Zertifizierungsstatus von Google LLC kannst du auf dataprivacyframework.gov verifizieren.

7. Berechtigungen der App

PetWatch benötigt folgende Geräteberechtigungen. Jede Berechtigung wird erst angefragt, wenn die entsprechende Funktion genutzt wird:

• Standort (inkl. Hintergrund-Standort) — Ermöglicht die GPS-Aufzeichnung während Spaziergängen. Die Hintergrund-Berechtigung stellt sicher, dass der Spaziergang auch bei gesperrtem Bildschirm weiter aufgezeichnet wird. Die Berechtigung wird nur bei aktivem Spaziergang-Tracking genutzt.
• Körperliche Aktivität (ACTIVITY_RECOGNITION, Android) — Wird ausschließlich für das Motion-Gate genutzt (siehe Kap. 2.3): GPS-Positionen werden nur gespeichert, wenn der Schritt-Detektor des Betriebssystems eine tatsächliche Bewegung meldet. Ohne diese Berechtigung läuft das Tracking trotzdem, ist aber weniger energieeffizient und kann in Pausen Drift-Spuren erzeugen.
• Kamera — Zum Aufnehmen von Haustierfotos und zum Scannen von Dokumenten direkt aus der App heraus.
• Speicher / Dateizugriff — Für das Speichern und Laden lokaler Dokumente und Fotos auf deinem Gerät.
• Benachrichtigungen (POST_NOTIFICATIONS, Android 13+) — Erlaubt der App, Push-Benachrichtigungen auf dem Sperrbildschirm und in der Statusleiste anzuzeigen. Separat vom FCM-Token (siehe Kap. 2.5); keine Drittland-Weitergabe.

Du kannst jede Berechtigung jederzeit in den Systemeinstellungen deines Geräts widerrufen. Einzelne App-Funktionen stehen dann möglicherweise nicht mehr zur Verfügung.

8. Deine Rechte (DSGVO)

Als Nutzerin oder Nutzer innerhalb der Europäischen Union stehen dir nach der Datenschutz-Grundverordnung (DSGVO) folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO) — Du kannst jederzeit Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO) — Du hast das Recht, unrichtige Daten berichtigen zu lassen.
• Recht auf Löschung (Art. 17 DSGVO) — Du kannst die Löschung deiner personenbezogenen Daten verlangen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Du hast das Recht, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO) — Du kannst der Verarbeitung deiner Daten jederzeit widersprechen, insbesondere gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen.
• Widerrufsrecht bei Einwilligung (Art. 7 Abs. 3 DSGVO) — Soweit die Verarbeitung auf deiner Einwilligung beruht (z. B. GPS-Tracking, Push-Benachrichtigungen via FCM, Google Sign-In), kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt. Den Widerruf kannst du direkt in der App (GPS-/Push-Einstellungen, Google-Login-Trennung) oder per E-Mail an uns vornehmen.
• Beschwerderecht (Art. 77 DSGVO) — Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Für uns zuständig ist die LDI NRW — Kontaktdaten siehe Kap. 1.

9. Keine automatisierte Entscheidungsfindung

Bei PetWatch findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt — insbesondere kein Profiling, das dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen könnte. Kalorien-Empfehlungen oder Walk-Statistiken sind reine Hilfe-Funktionen ohne Bindungswirkung.

10. Pflicht zur Bereitstellung von Daten

Gemäß Art. 13 Abs. 2 lit. e DSGVO weisen wir dich auf Folgendes hin:

• Zwingend erforderlich sind für den Abschluss und die Durchführung des Nutzungsvertrags: E-Mail-Adresse, Passwort (oder Google-Sign-In) sowie deine Einwilligung in diese Datenschutzerklärung. Ohne diese Daten können wir dir kein Konto anlegen und keine Sitzung aufrechterhalten.
• Optional sind alle weiteren Angaben, die vom konkreten Feature abhängen: GPS-Standort (ohne ihn kein Walk-Tracking), Kamera/Fotos, Dokumenten-Uploads, Push-Benachrichtigungen (FCM) und der Name. Diese Angaben kannst du frei entscheiden — ihre Nicht-Bereitstellung schränkt lediglich den Funktionsumfang ein.

11. Kinder

PetWatch ist nicht für Kinder unter 16 Jahren konzipiert. Wir erheben nicht wissentlich personenbezogene Daten von Kindern unter 16 Jahren.

Sollten wir Kenntnis davon erlangen, dass wir personenbezogene Daten eines Kindes unter 16 Jahren ohne nachweisbare Einwilligung eines Erziehungsberechtigten erhoben haben, werden wir diese Daten umgehend löschen.

Wenn du glaubst, dass wir Daten eines Kindes unter 16 Jahren gespeichert haben, kontaktiere uns bitte unter privacy@dotslash-labs.com.

12. Änderungen dieser Richtlinie

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer App anzugleichen. Jede Version dieser Erklärung trägt ein sichtbares Datum und ein Versions-Tag (aktuell: Version 2026-04).

Über wesentliche Änderungen werden wir dich in der App per Hinweis-Banner informieren, bevor du den Dienst weiter nutzt; zusätzlich kann eine Information per E-Mail erfolgen. Die jeweils aktuelle Version dieser Datenschutzerklärung ist jederzeit unter dotslash-labs.com/petwatch/privacy abrufbar.

13. Kontakt

Bei Fragen zum Datenschutz, zur Verarbeitung deiner personenbezogenen Daten oder zur Ausübung deiner Rechte erreichst du uns unter: