Datenschutzerklärung

Stand: Juni 2026 · gültig für die Rescalu-App (iOS & Android) und die Website rescalu.de

Diese Erklärung informiert dich, welche personenbezogenen Daten wir bei der Nutzung von Rescalu erheben, wie wir sie verarbeiten und welche Rechte du hast. Wir nehmen Datenschutz ernst und beschränken die Verarbeitung auf das, was die App tatsächlich braucht.

1

Verantwortlicher

Carico GmbH

Kantstraße 19

73734 Esslingen

Deutschland

Vertreten durch den Geschäftsführer: Matthias Brandel
Registergericht: Amtsgericht Stuttgart, HRB 783694
USt-IdNr.: DE351922371

Telefon: +49 159 04899707
E-Mail: luki@rescalu.de

Ein Datenschutzbeauftragter ist derzeit nicht gesetzlich verpflichtend zu bestellen, da die Voraussetzungen des Art. 37 DSGVO / § 38 BDSG nicht erfüllt sind. Für alle Datenschutz-Anliegen erreichst du uns unter luki@rescalu.de.

2

Welche Daten wir erheben und wofür

a) Account-Erstellung (Pflicht für App-Nutzung)

Du kannst dich per E-Mail/Passwort, Apple-ID („Sign in with Apple") oder Google-Konto registrieren. Wir erhalten:

  • E-Mail-Adresse
  • Name (optional, kann anonym gewählt werden)
  • Authentifizierungs-Identifier (Firebase-UID, ggf. Apple-ID / Google-ID)
  • Zeitpunkt der Registrierung und letzten Anmeldung

Bei „Sign in with Apple" können wir technisch nicht deine echte E-Mail-Adresse sehen, wenn du „E-Mail verbergen" wählst — Apple leitet weiter.

b) Item-Scans und Sammlung (Kernfunktion)

  • Fotos und Barcodes der gescannten Gegenstände
  • Erkannte Produktdaten (Name, Marke, Kategorie, geschätzter Wert)
  • Deine Bewertungen (Zustand, Notizen, Entscheidungen wie behalten/verkaufen/spenden)
  • Zeitstempel pro Scan

Hinweis zu Fotos: Fotografiere möglichst nur den Gegenstand. Bilder können ungewollt personenbezogene Inhalte „im Hintergrund" enthalten (z. B. Personen, Adressen, Dokumente, Kfz-Kennzeichen). Solche Beifänge werten wir nicht gezielt aus — die KI-Erkennung dient ausschließlich dazu, den Gegenstand zu identifizieren und einzuschätzen. Du kannst jedes Foto jederzeit wieder löschen.

c) Circle (soziale Funktion, freiwillig)

  • Freundschaftsbeziehungen (User-IDs der Freunde)
  • Items, die du teilst, verleihst oder verschenkst
  • Nachrichten und Anfragen im Circle
  • Wünsche, die du im Circle postest
  • Benachrichtigungs-Lese-Status

Was du im Circle teilst, ist nur für deine bestätigten Freunde sichtbar. Es gibt keinen öffentlichen Feed.

d) Push-Benachrichtigungen (optional)

  • Push-Token deines Geräts (Apple APNs bzw. Google FCM)
  • Vendor-ID (iOS-IDFV) — kein cross-app-Tracking, nur intern

Du kannst Push-Benachrichtigungen jederzeit in den Geräte-Einstellungen oder in der App deaktivieren.

e) In-App-Käufe (Rescalu+)

  • Abo-Status („Plus" / „Free") und Ablaufdatum
  • Transaktions-ID des Apple/Google-Käufs (kein Bankzugang, keine Kreditkartendaten — die liegen ausschließlich bei Apple/Google)
  • Verbrauch (z. B. Anzahl Scans pro Monat) zur Limit-Verwaltung

f) Nutzungs- und Diagnosedaten

  • App-Events (welche Features genutzt werden — anonymisiert, für Verbesserung)
  • Crash-Reports inklusive Stacktrace und Geräte-Info (über Firebase Crashlytics)
  • Letzte App-Öffnung („zuletzt aktiv")

g) Standort (optional, nur für die Spenden-Karte)

  • Ungefährer bzw. genauer Gerätestandort — nur wenn du die Spenden-Karte öffnest und der Standort-Abfrage zustimmst

Der Standort wird ausschließlich verwendet, um dir nahegelegene Abgabe-/Spendenstellen auf der Karte anzuzeigen. Er wird nicht dauerhaft gespeichert und nicht zur Profilbildung genutzt. Ohne Standortfreigabe kannst du die Karte weiterhin manuell durchsuchen.

h) Technische Server-Daten

  • IP-Adresse (zur Anfrage-Verarbeitung, max. 7 Tage gespeichert)
  • Zeitstempel und User-Agent der API-Anfragen
  • Session-Cookie auf der Website (NextAuth, technisch notwendig)
3

Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Account, Item-Scans, Sammlung, Circle, In-App-Käufe.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Crash-Reports, Server-Logs, Performance-Daten zur App-Stabilität.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Push-Benachrichtigungen, Standort für die Spenden-Karte, Google Analytics auf der Website, Marketing-E-Mails. Du kannst eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht): Aufbewahrung von Kaufbelegen aus steuer- und handelsrechtlichen Gründen.
4

Drittanbieter und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein. Dabei unterscheiden wir:

  • Auftragsverarbeiter (Art. 28 DSGVO, mit Auftragsverarbeitungs-Vertrag): Infrastruktur, die Daten in unserem Auftrag verarbeitet — z. B. Firebase/Google Cloud, Vercel, Neon, Anthropic.
  • Eigenständige Verantwortliche / Empfänger: Dienste, die für die an sie gerichteten Anfragen selbst verantwortlich sind — v. a. die Markt- und Karten-/Geodienste (eBay, Discogs, PriceCharting, SerpApi, Perplexity, Google Maps Platform, CARTO, OpenStreetMap u. a.). Hierhin gehen nur anonymisierte Produkt- bzw. Standort-Anfragen, keine Account-Daten.

Wo Daten in die USA übermittelt werden, geschieht dies auf Grundlage der EU-Standardvertragsklauseln (SCCs gemäß Art. 46 DSGVO) bzw. des EU-US Data Privacy Framework.

Google Ireland LimitedFirebase (Auth, Firestore, Cloud Messaging, Crashlytics)IE / USA

Speicherung von Account, Scans, Sammlung, Circle-Daten + Push-Token + Crash-Reports. AVV abgeschlossen. SCCs.

Apple Distribution International Ltd.App Store, In-App-Purchase (StoreKit), APNs PushIE

Wickelt Käufe der Rescalu+ Subscription ab + leitet Push-Notifications zu. Wir erhalten nur Transaktions-IDs, keine Zahlungsdaten.

Vercel Inc.Hosting der API + WebsiteUSA

Server-Logs (IP, Request-Header) für max. 7 Tage. AVV + SCCs.

Anthropic PBC (Claude)KI: Foto-Erkennung, Empfehlungstext & Preis-PlausibilitätUSA

Verarbeitet das Item-Foto sowie Produkt-/Zustandsangaben (Name, Marke, Kategorie, Zustand, Preissignale), um Gegenstände zu erkennen und Empfehlungen/Wertschätzungen zu formulieren. Keine Account-/Kontaktdaten. Anthropic nutzt API-Daten vertraglich nicht zum Training und speichert sie nicht dauerhaft. SCCs.

Perplexity AI, Inc.KI-gestützte Marktdaten (DE-Marktplätze)USA

Empfängt anonymisierte Produkt-Anfragen (Name/Marke) zur Ermittlung gebrauchter Marktpreise. Keine User-/Account-Daten.

Google LLC (Google Analytics 4)Reichweitenmessung der Website (nur mit Einwilligung)USA

Wird auf rescalu.de NUR nach deiner Zustimmung im Cookie-Banner geladen. IP-Anonymisierung aktiv. Misst anonymisiert die Website-Nutzung. Wird in der App NICHT eingesetzt. Einwilligung jederzeit widerrufbar.

Neon, Inc.Datenbank-Hosting (nur Legacy-Web-Login)EU / USA

Postgres-Hosting, das nur noch als Fallback für ältere Web-Konten (E-Mail/Passwort) genutzt wird. AVV + SCCs.

SerpApiMarkt-Such-Anfragen (Google Shopping)USA

Empfängt anonymisierte Produkt-Anfragen (Name/Barcode) — keine User-IDs, keine personenbezogenen Daten.

eBay Inc.Marktdaten via eBay-APIUSA

Empfängt anonymisierte Produkt-Suchanfragen. Keine User-Daten.

PriceChartingMarktdaten Videospiele, Vinyl, SammelkartenUSA

Empfängt anonymisierte Barcode-Anfragen.

Discogs Ltd.Marktdaten Vinyl/MusikUSA

Empfängt anonymisierte Suchanfragen.

Momox AG, Rebuy reCommerce GmbHSofortkaufpreis-AbfragenDE

Anonymisierte EAN-Anfragen — keine User-Daten.

UPCitemdb, OpenLibrary, Google Books, OpenEANProdukt-Identifikation per EAN/ISBNUSA / EU

Anonymisierte EAN/ISBN-Anfragen.

CARTO (Carto DB Inc.)Kartenkacheln der Spenden-KarteUSA

Stellt die Kartenhintergründe bereit. Beim Laden der Karte wird – wie bei jeder Online-Karte – deine IP-Adresse an CARTO übermittelt. Nur aktiv, wenn du die Karte öffnest.

OpenStreetMap FoundationGeocoding (Nominatim) & Orts-Daten (Overpass)EU / UK

Wandelt PLZ/Orte in Koordinaten um und liefert Abgabestellen (Giveboxen etc.). Bei der direkten Adresssuche aus der App kann deine IP an Nominatim übermittelt werden; Orts-Abfragen laufen überwiegend über unseren Server.

Google Maps Platform (Google LLC)Places-API: Sozialkaufhäuser, KleidercontainerUSA

Liefert zusätzliche Spendenstellen. Die Abfrage erfolgt serverseitig über unseren Server (es werden Koordinaten, keine direkte Nutzer-IP übermittelt). Keine Account-Daten.

Affiliate-Partner

Erst wenn du aktiv auf einen Partnerlink tippst (z. B. zu eBay, Amazon, Momox, Rebuy), wird eine Klick-/Tracking-ID zur Provisionszuordnung an das jeweilige Programm übermittelt. Wir geben dabei keinen Namen und keine E-Mail weiter. Da der Partner beim Aufruf jedoch deine IP-Adresse erhält und diese mit der Klick-ID verknüpfen kann, kann es sich um personenbezogene Daten handeln. Rechtsgrundlage ist unser berechtigtes Interesse an der Refinanzierung des kostenlosen Angebots (Art. 6 Abs. 1 lit. f DSGVO); du kannst dem widersprechen, indem du Partnerlinks nicht nutzt. Für die Datenverarbeitung nach dem Klick ist der jeweilige Partner verantwortlich.

5

Speicherdauer

Account-DatenBis zur Löschung des Accounts durch dich
Item-Scans + SammlungBis zur manuellen Löschung oder Account-Löschung
Circle-DatenBis zur manuellen Löschung; Activity-Feed für deine Freunde max. 14 Tage sichtbar
Push-TokenBis zur App-Deinstallation oder Push-Deaktivierung
Crash-ReportsMaximal 90 Tage (Firebase Crashlytics)
Server-Logs7 Tage
In-App-Kauf-BelegeSolange das Abo aktiv ist + gesetzliche Aufbewahrung (10 Jahre, § 147 AO)
Account-Löschungs-Protokoll3 Jahre (für Support-Rückfragen, anonymisiert)
6

Cookies und Tracking

a) Technisch notwendige Cookies (Website)

  • NextAuth Session-Cookie: Hält dich auf rescalu.de eingeloggt. Wird beim Logout gelöscht.
  • Cookie-Einwilligung: Speichert deine Entscheidung aus dem Cookie-Banner (lokal im Browser), damit du nicht erneut gefragt wirst.

b) Google Analytics 4 (Website, nur mit Einwilligung)

Auf rescalu.de setzen wir Google Analytics 4 zur anonymisierten Reichweiten­messung ein — aber erst nachdem du im Cookie-Banner zugestimmt hast (Art. 6 Abs. 1 lit. a DSGVO). Ohne Zustimmung wird kein Analytics-Cookie gesetzt und kein Skript geladen. Die IP-Anonymisierung ist aktiv. Du kannst deine Einwilligung jederzeit widerrufen, indem du im Banner „ablehnst" bzw. die Cookies in deinem Browser löschst. In der mobilen App kommt Google Analytics nicht zum Einsatz.

c) App: kein Tracking-SDK

Die mobile App nutzt kein App Tracking (kein IDFA, kein cross-app-Tracking, keine Werbe-SDKs). Apple's „App Tracking Transparency"-Dialog wird daher nicht ausgelöst.

7

Geräte-Berechtigungen (mobile App)

Die App fragt nur Berechtigungen an, die für ihre Funktionen tatsächlich nötig sind. Du kannst alle jederzeit in den iOS- oder Android-Einstellungen widerrufen.

  • Kamera: für das Scannen von Items und Barcodes
  • Foto-Mediathek: wenn du ein bereits aufgenommenes Foto auswählst
  • Standort: nur für die Spenden-Karte, um Abgabestellen in deiner Nähe anzuzeigen — optional und nur nach Freigabe
  • Mitteilungen: für Push-Benachrichtigungen (Circle-Aktivität, Erinnerungen)
8

Deine Rechte nach DSGVO (Art. 15–21)

  • Auskunft über gespeicherte Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung deiner Daten — „Recht auf Vergessenwerden" (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Widerruf einer Einwilligung (Art. 7 Abs. 3)

Account-Löschung in der App: Settings → Account löschen. Damit werden ALLE deine Daten unwiderruflich entfernt (siehe Speicherdauer). Alternativ kannst du dich schriftlich an luki@rescalu.de wenden. Eine Schritt-für-Schritt-Anleitung — auch ohne App — findest du unter rescalu.de/account-loeschen.

9

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem du wohnst — oder für die Carico GmbH der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI).

10

Datensicherheit

  • Übertragung verschlüsselt via TLS 1.2+ (HTTPS)
  • Passwörter werden ausschließlich über Firebase Authentication verwaltet — wir sehen keine Klartext-Passwörter
  • Sensible Daten (Auth-Tokens) auf dem Gerät im iOS-Keychain bzw. Android-Keystore
  • Server-Zugriff nur über autorisierte Auth-Tokens (Firebase ID-Token)
11

Minderjährige

Rescalu richtet sich nicht an Kinder. Du darfst die App nur nutzen, wenn du mindestens 16 Jahre alt bist; jüngere Personen benötigen die Einwilligung der Sorgeberechtigten. Wir erheben nicht wissentlich Daten von Kindern unter 16 Jahren. Wenn uns bekannt wird, dass Daten ohne erforderliche Einwilligung erhoben wurden, löschen wir diese.

12

Automatisierte Empfehlungen und KI

Rescalu nutzt KI- und Algorithmus-gestützte Verfahren, um Gegenstände aus Fotos zu erkennen, Marktwerte zu schätzen und dir Empfehlungen (z. B. „behalten", „verkaufen", „spenden") samt kurzem Begründungstext anzuzeigen. Dabei fließen deine Item-Angaben (Foto, Name, Marke, Kategorie, Zustand) und ggf. Kontext aus deiner Sammlung ein.

Diese Empfehlungen sind rein unterstützend und unverbindlich — du entscheidest immer selbst. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt. Eine umfassende Profilbildung über deine Person nehmen wir nicht vor; die Verarbeitung bezieht sich auf deine Gegenstände, nicht auf eine Bewertung deiner Persönlichkeit.

13

Änderungen dieser Erklärung

Bei wesentlichen Änderungen (z. B. neue Drittanbieter, geänderter Verarbeitungs­zweck) informieren wir aktive Nutzer per E-Mail oder In-App-Hinweis. Die aktuelle Version ist stets unter rescalu.de/datenschutz abrufbar.