Datenschutzerklärung

Stand: Mai 2026 · gültig für die Rescalu-App (iOS & Android) und die Website rescalu.de

Diese Erklärung informiert dich, welche personenbezogenen Daten wir bei der Nutzung von Rescalu erheben, wie wir sie verarbeiten und welche Rechte du hast. Wir nehmen Datenschutz ernst und beschränken die Verarbeitung auf das, was die App tatsächlich braucht.

1

Verantwortlicher

Carico GmbH

[Straße + Hausnummer]

[PLZ + Stadt]

Deutschland

Vertreten durch den Geschäftsführer: Lukas Kisa
Eingetragen im Handelsregister: [Amtsgericht XY], HRB [Nummer]
USt-IdNr.: [DE-Nummer]

E-Mail: datenschutz@rescalu.de

2

Welche Daten wir erheben und wofür

a) Account-Erstellung (Pflicht für App-Nutzung)

Du kannst dich per E-Mail/Passwort, Apple-ID („Sign in with Apple") oder Google-Konto registrieren. Wir erhalten:

  • E-Mail-Adresse
  • Name (optional, kann anonym gewählt werden)
  • Authentifizierungs-Identifier (Firebase-UID, ggf. Apple-ID / Google-ID)
  • Zeitpunkt der Registrierung und letzten Anmeldung

Bei „Sign in with Apple" können wir technisch nicht deine echte E-Mail-Adresse sehen, wenn du „E-Mail verbergen" wählst — Apple leitet weiter.

b) Item-Scans und Sammlung (Kernfunktion)

  • Fotos und Barcodes der gescannten Gegenstände
  • Erkannte Produktdaten (Name, Marke, Kategorie, geschätzter Wert)
  • Deine Bewertungen (Zustand, Notizen, Entscheidungen wie behalten/verkaufen/spenden)
  • Zeitstempel pro Scan

c) Circle (soziale Funktion, freiwillig)

  • Freundschaftsbeziehungen (User-IDs der Freunde)
  • Items, die du teilst, verleihst oder verschenkst
  • Nachrichten und Anfragen im Circle
  • Wünsche, die du im Circle postest
  • Benachrichtigungs-Lese-Status

Was du im Circle teilst, ist nur für deine bestätigten Freunde sichtbar. Es gibt keinen öffentlichen Feed.

d) Push-Benachrichtigungen (optional)

  • Push-Token deines Geräts (Apple APNs bzw. Google FCM)
  • Vendor-ID (iOS-IDFV) — kein cross-app-Tracking, nur intern

Du kannst Push-Benachrichtigungen jederzeit in den Geräte-Einstellungen oder in der App deaktivieren.

e) In-App-Käufe (Rescalu+)

  • Abo-Status („Plus" / „Free") und Ablaufdatum
  • Transaktions-ID des Apple/Google-Käufs (kein Bankzugang, keine Kreditkartendaten — die liegen ausschließlich bei Apple/Google)
  • Verbrauch (z. B. Anzahl Scans pro Monat) zur Limit-Verwaltung

f) Nutzungs- und Diagnosedaten

  • App-Events (welche Features genutzt werden — anonymisiert, für Verbesserung)
  • Crash-Reports inklusive Stacktrace und Geräte-Info (über Firebase Crashlytics)
  • Letzte App-Öffnung („zuletzt aktiv")

g) Technische Server-Daten

  • IP-Adresse (zur Anfrage-Verarbeitung, max. 7 Tage gespeichert)
  • Zeitstempel und User-Agent der API-Anfragen
  • Session-Cookie auf der Website (NextAuth, technisch notwendig)
3

Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Account, Item-Scans, Sammlung, Circle, In-App-Käufe.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Crash-Reports, Server-Logs, Performance-Daten zur App-Stabilität.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen, Marketing-E-Mails.
4

Drittanbieter und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein. Wo Daten in die USA übermittelt werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (SCCs gemäß Art. 46 DSGVO) bzw. des EU-US Data Privacy Framework.

Google Ireland LimitedFirebase (Auth, Firestore, Cloud Messaging, Crashlytics)IE / USA

Speicherung von Account, Scans, Sammlung, Circle-Daten + Push-Token + Crash-Reports. AVV abgeschlossen. SCCs.

Apple Distribution International Ltd.App Store, In-App-Purchase (StoreKit), APNs PushIE

Wickelt Käufe der Rescalu+ Subscription ab + leitet Push-Notifications zu. Wir erhalten nur Transaktions-IDs, keine Zahlungsdaten.

Vercel Inc.Hosting der API + WebsiteUSA

Server-Logs (IP, Request-Header) für max. 7 Tage. AVV + SCCs.

Anthropic PBCClaude Vision API zur Item-Erkennung aus FotosUSA

Fotos werden zur Erkennung übermittelt, von Anthropic nicht zum Training genutzt (per Vertrag), nicht dauerhaft gespeichert. SCCs.

SerpApiMarkt-Such-Anfragen (Google Shopping)USA

Empfängt anonymisierte Produkt-Anfragen (Name/Barcode) — keine User-IDs, keine personenbezogenen Daten.

eBay Inc.Marktdaten via eBay-APIUSA

Empfängt anonymisierte Produkt-Suchanfragen. Keine User-Daten.

PriceChartingMarktdaten Videospiele, Vinyl, SammelkartenUSA

Empfängt anonymisierte Barcode-Anfragen.

Discogs Ltd.Marktdaten Vinyl/MusikUSA

Empfängt anonymisierte Suchanfragen.

Momox AG, Rebuy reCommerce GmbHSofortkaufpreis-AbfragenDE

Anonymisierte EAN-Anfragen — keine User-Daten.

UPCitemdb, OpenLibrary, Google Books, OpenEANProdukt-Identifikation per EAN/ISBNUSA / EU

Anonymisierte EAN/ISBN-Anfragen.

Affiliate-Partner

Beim Klick auf Partnerlinks (z. B. zu eBay, Amazon, Momox, Rebuy) können anonymisierte Klick-IDs an die jeweiligen Programme übermittelt werden — zur Provisionszuordnung. Es werden keine personenbezogenen Daten wie Name oder E-Mail weitergegeben.

5

Speicherdauer

Account-DatenBis zur Löschung des Accounts durch dich
Item-Scans + SammlungBis zur manuellen Löschung oder Account-Löschung
Circle-DatenBis zur manuellen Löschung; Activity-Feed max. 14 Tage öffentlich sichtbar
Push-TokenBis zur App-Deinstallation oder Push-Deaktivierung
Crash-ReportsMaximal 90 Tage (Firebase Crashlytics)
Server-Logs7 Tage
In-App-Kauf-BelegeSolange das Abo aktiv ist + gesetzliche Aufbewahrung (10 Jahre, § 147 AO)
Account-Löschungs-Protokoll3 Jahre (für Support-Rückfragen, anonymisiert)
6

Cookies und Tracking

a) Technisch notwendige Cookies (Website)

  • NextAuth Session-Cookie: Hält dich auf rescalu.de eingeloggt. Wird beim Logout gelöscht.

b) App: kein Tracking-SDK

Die mobile App nutzt kein App Tracking (kein IDFA, kein cross-app-Tracking, keine Werbe-SDKs). Apple's „App Tracking Transparency"-Dialog wird daher nicht ausgelöst.

7

Geräte-Berechtigungen (mobile App)

Die App fragt nur Berechtigungen an, die für ihre Funktionen tatsächlich nötig sind. Du kannst alle jederzeit in den iOS- oder Android-Einstellungen widerrufen.

  • Kamera: für das Scannen von Items und Barcodes
  • Foto-Mediathek: wenn du ein bereits aufgenommenes Foto auswählst
  • Mitteilungen: für Push-Benachrichtigungen (Circle-Aktivität, Erinnerungen)
8

Deine Rechte nach DSGVO (Art. 15–21)

  • Auskunft über gespeicherte Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung deiner Daten — „Recht auf Vergessenwerden" (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3)

Account-Löschung in der App: Settings → Account löschen. Damit werden ALLE deine Daten unwiderruflich entfernt (siehe Speicherdauer). Alternativ kannst du dich schriftlich an datenschutz@rescalu.de wenden.

9

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem du wohnst — oder für die Carico GmbH der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI).

10

Datensicherheit

  • Übertragung verschlüsselt via TLS 1.2+ (HTTPS)
  • Passwörter werden ausschließlich über Firebase Authentication verwaltet — wir sehen keine Klartext-Passwörter
  • Sensible Daten (Auth-Tokens) auf dem Gerät im iOS-Keychain bzw. Android-Keystore
  • Server-Zugriff nur über autorisierte Auth-Tokens (Firebase ID-Token)
11

Änderungen dieser Erklärung

Bei wesentlichen Änderungen (z. B. neue Drittanbieter, geänderter Verarbeitungs­zweck) informieren wir aktive Nutzer per E-Mail oder In-App-Hinweis. Die aktuelle Version ist stets unter rescalu.de/datenschutz abrufbar.