Datenschutzerklärung

Stand: 4. Januar 2026

Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten bei der Nutzung unserer iOS-App „Zetli" verarbeiten.

1) Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Michael Banholzer

Andreas-Hofer-Str. 13a

79111 Freiburg im Breisgau

Deutschland

E-Mail: info@zetli.app

Website: https://www.zetli.app

2) Geltungsbereich

Diese Datenschutzerklärung gilt für die iOS-App „Zetli", die Websites unter https://www.zetli.app und https://www.zetli.de sowie alle damit verbundenen Server-Dienste (z. B. Synchronisation, Teilen von Listen).

3) Welche Daten wir verarbeiten (Kategorien)

Je nach Nutzung der App verarbeiten wir insbesondere:

(a) Kontodaten

E-Mail-Adresse (bei E-Mail-Login und für Premium-Nutzer)
Apple Sign-In: Apple User Identifier und (sofern bereitgestellt) E-Mail-Adresse
Nickname

(b) Einkaufslisten-Inhalte

Listenname, Einträge (Items), Mengen, Kategorien
Icons/Keywords (z. B. Ergebnis der Kategorisierung/Icon-Generierung)
Einladungscodes zum Teilen von Listen (zeitlich begrenzt)

(c) Abo-/Abrechnungsdaten

App-Store-Receipt bzw. Receipt-Daten
Transaktions-IDs, Abo-Status (z. B. aktiv/abgelaufen) und ähnliche Nachweisdaten

(d) Server-Logdaten

IP-Adresse, Zeitpunkt, angefragte Endpunkte/Requests, ggf. User-Agent (technische Protokolldaten)

(e) Crash-/Diagnosedaten (über Apple)

Absturzberichte und Diagnosedaten können durch Apple bereitgestellt und, abhängig von den Geräteeinstellungen, mit App-Entwicklern geteilt werden.

(f) Nutzungsdaten / Events

Informationen über die Nutzung der App (z. B. App-Start, Öffnen einer Einkaufsliste, Nutzung bestimmter Funktionen)
Technische Metadaten wie Zeitstempel und App-Version

4) Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten Daten zu folgenden Zwecken:

Bereitstellung der App-Funktionen (Vertragserfüllung)

Nutzerkonto, Login, Synchronisation, Teilen von Listen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

Premium / Abonnementverwaltung

Prüfung und Zuordnung von Premium-Status anhand von Receipts/Transaktionen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Nachweis-/Aufbewahrungspflichten)

Sicherheit, Missbrauchsverhinderung, Fehleranalyse

Betriebssicherheit, Angriffserkennung, Missbrauch (z. B. strafbare Inhalte), Fehlersuche
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)

Support

Bearbeitung von Anfragen und Problemen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertraglich) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Nutzungsanalyse und Produktverbesserung

Auswertung der Nutzung bestimmter Funktionen zur Verbesserung und Weiterentwicklung der App.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Du kannst der Verarbeitung aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit widersprechen (Art. 21 DSGVO).

5) Hosting, E-Mail-Versand und Empfänger

Hosting (Server in Deutschland)

Hetzner Online GmbH (Auftragsverarbeiter). Es wird ein Vertrag zur Auftragsverarbeitung (AVV/DPA) genutzt bzw. kann genutzt werden.

E-Mail-Versand

Versand via SMTP über Hetzner Online GmbH (z. B. für Login-/Account-Kommunikation). Es wird ein Vertrag zur Auftragsverarbeitung (AVV/DPA) genutzt.

App Store / Apple

Zahlungen laufen ausschließlich über Apple (App Store). Apple verarbeitet Zahlungsdaten eigenverantwortlich. Wir erhalten von Apple Receipt-/Transaktionsdaten zur Prüfung des Abo-Status.

6) KI-Verarbeitung (OpenAI: Icon-Generierung & Kategorisierung)

Zur Generierung von Icons und zur Kategorisierung von Einträgen nutzen wir einen KI-Dienst (OpenAI). Dabei gilt nach aktuellem Stand:

Übermittelt wird ausschließlich der Item-Name/Text (z. B. „Banane"), ohne User-ID und ohne direkte Kontodaten.
Die Verarbeitung dient ausschließlich dem Zweck „Icon-Generierung/Kategorisierung".
OpenAI bietet für Business/API-Nutzung einen Zusatz zur Datenverarbeitung (DPA).

Wichtig: Auch ein „Item-Text" kann im Einzelfall personenbezogene Daten enthalten, wenn Nutzer dort z. B. Namen, Adressen oder Gesundheitsinfos eintragen. Bitte gib in Listeneinträge keine sensiblen oder unnötigen personenbezogenen Daten ein.

7) Datenübermittlung in Drittländer (außerhalb EU/EWR)

Da OpenAI je nach Region/Setup auch außerhalb der EU/EWR verarbeiten kann, kann es zu einer Drittlandübermittlung kommen. In solchen Fällen stützen wir die Übermittlung, soweit erforderlich, auf geeignete Garantien (z. B. EU-Standardvertragsklauseln) und/oder andere zulässige Mechanismen nach Art. 44 ff. DSGVO, soweit verfügbar.

8) Speicherdauer und Löschung

Konto & Listen: Speicherung grundsätzlich bis zur Kontolöschung durch den Nutzer (in der App).
Kontolöschung: Bei Kontolöschung werden personenbezogene Daten (z. B. E-Mail-Adresse, Nickname) anonymisiert. Bestimmte Daten (z. B. Abo-Nachweise, Abrechnungsdaten) können zur Erfüllung gesetzlicher Pflichten aufbewahrt werden.
Nutzungsdaten / Events: 12 Monate, danach Löschung oder Anonymisierung.
Server-Logs: 30 Tage, danach Löschung/Anonymisierung (sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert).
Abrechnungs-/Nachweisdaten: solange erforderlich, um Premium-Status zu prüfen und gesetzlichen Nachweispflichten zu genügen.

9) Keine Werbung, keine Drittanbieter-Tracking-Tools

Kein geräteübergreifendes Werbetracking (z. B. keine IDFA-Nutzung).
Keine externen Werbe- oder Analytics-SDKs; eine einfache Nutzungsanalyse erfolgt ausschließlich serverseitig durch den Anbieter.

10) Sicherheit

Verschlüsselte Übertragung (TLS/HTTPS).
„Passwordless Login": Es werden keine klassischen Passwörter gespeichert.
Zugriff auf Datenbank/Server ist auf den Anbieter beschränkt (administrativer Zugriff).

11) Deine Rechte (Betroffenenrechte)

Du hast nach DSGVO insbesondere das Recht auf:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
Widerruf einer Einwilligung (falls eine Einwilligung genutzt wird) mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen bitte an: info@zetli.app

12) Beschwerderecht bei der Aufsichtsbehörde

Du kannst dich bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig in Baden-Württemberg ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Website: baden-wuerttemberg.datenschutz.de

13) Änderungen

Wir können diese Datenschutzerklärung aktualisieren, wenn sich App-Funktionen oder Verarbeitungsvorgänge ändern.

Privacy Policy

Last updated: 4 January 2026

Note: This is a non-binding convenience translation. In case of any discrepancies, the German version ("Datenschutzerklärung") shall prevail.

This Privacy Policy explains how we process personal data when you use our iOS app "Zetli".

1) Controller

Michael Banholzer

Andreas-Hofer-Str. 13a

79111 Freiburg im Breisgau

Germany

Email: info@zetli.app

Website: https://www.zetli.app

2) Scope

This Privacy Policy applies to the iOS app "Zetli", the websites at https://www.zetli.app and https://www.zetli.de and the related server services (e.g., syncing and sharing lists).

3) Data we process (categories)

Depending on how you use the app, we may process:

(a) Account data

Email address (email login and Premium users)
Apple Sign-In: Apple user identifier and (if provided) email address
Nickname

(b) Shopping list content

List name, items, quantities, categories
Icons/keywords (e.g., results of categorization/icon generation)
Invitation codes for sharing lists (time-limited)

(c) Subscription / billing evidence

App Store receipt data
Transaction IDs, subscription status and related verification data

(d) Server logs

IP address, timestamp, requested endpoints/requests, possibly user-agent

(e) Crash/diagnostic data (via Apple)

Crash reports and diagnostics may be provided by Apple and, depending on device settings, shared with app developers.

(f) Usage data / events

Information about how the app is used (e.g., app launches, opening a shopping list, using certain features)
Technical metadata such as event timestamps and app version

4) Purposes and legal bases

Providing core features (account, sync, sharing)

Legal basis: Art. 6(1)(b) GDPR

Premium verification (receipts/status)

Legal basis: Art. 6(1)(b) GDPR, and where applicable Art. 6(1)(c) GDPR

Security, abuse prevention, troubleshooting

Legal basis: Art. 6(1)(f) GDPR

Support

Legal basis: Art. 6(1)(b) and/or Art. 6(1)(f) GDPR

Usage analysis and product improvement

Evaluating how certain features are used to improve and further develop the app.
Legal basis: Art. 6(1)(f) GDPR; you have the right to object to this processing on grounds relating to your particular situation (Art. 21 GDPR).

5) Hosting and recipients

Hosting in Germany

Hetzner Online GmbH (processor). A data processing agreement (DPA) is used/available.

Email delivery

Via SMTP through Hetzner Online GmbH (e.g., for login/account communication). A data processing agreement (DPA) is used.

Payments

Apple App Store (Apple acts as its own controller). We receive receipt/transaction data for subscription verification.

6) AI processing (OpenAI)

We use OpenAI services to generate icons and categorize items:

We send only the item text/name (e.g., "banana"), without a user ID and without direct account data.
The processing is limited to icon generation and categorization.
OpenAI provides a Data Processing Addendum (DPA) for business/API usage.

Important: Please avoid entering sensitive personal data into list items.

7) International transfers (outside the EU/EEA)

Because OpenAI processing may occur outside the EU/EEA depending on region/setup, international transfers may occur. Where required, we rely on appropriate safeguards (e.g., EU Standard Contractual Clauses) and/or other lawful mechanisms under GDPR.

8) Retention

Account & lists: generally until account deletion (in-app)
Account deletion: Upon account deletion, personal data (e.g., email address, nickname) is anonymized. Certain data (e.g., subscription records, billing data) may be retained to comply with legal obligations.
Usage data / events: 12 months, then deletion or anonymisation.
Server logs: 30 days
Billing/verification data: as long as necessary for verification and legal obligations

9) No advertising tracking, no third-party tracking tools

No IDFA-based ad tracking
No third-party advertising or analytics SDKs; simple usage analysis is performed server-side by the provider only.

10) Security

TLS/HTTPS encryption in transit
Passwordless login (no classic passwords stored)
Administrative access restricted to the provider

11) Your rights

You have GDPR rights including:

Access (Art. 15 GDPR)
Rectification (Art. 16 GDPR)
Erasure (Art. 17 GDPR)
Restriction of processing (Art. 18 GDPR)
Data portability (Art. 20 GDPR)
Objection (Art. 21 GDPR)
Withdrawal of consent (Art. 7(3) GDPR, where applicable)

Contact: info@zetli.app

12) Supervisory authority

You may lodge a complaint with a supervisory authority. For Baden-Württemberg (Germany):

The State Commissioner for Data Protection and Freedom of Information Baden-Württemberg

Website: baden-wuerttemberg.datenschutz.de

13) Changes

We may update this Privacy Policy when features or processing change.