Datenschutzerklärung
Stand: 17. Februar 2026
Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten bei der Nutzung unserer iOS-App „Zetli" verarbeiten.
1) Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Michael Banholzer
Andreas-Hofer-Str. 13a
79111 Freiburg im Breisgau
Deutschland
E-Mail: info@zetli.app
Website: https://www.zetli.app
2) Geltungsbereich
Diese Datenschutzerklärung gilt für die iOS-App „Zetli", die Websites unter https://www.zetli.app und https://www.zetli.de sowie alle damit verbundenen Server-Dienste (z. B. Synchronisation, Teilen von Listen).
3) Welche Daten wir verarbeiten (Kategorien)
Je nach Nutzung der App verarbeiten wir insbesondere:
(a) Kontodaten
- E-Mail-Adresse (bei E-Mail-Login und für Premium-Nutzer)
- Apple Sign-In: Apple User Identifier und (sofern bereitgestellt) E-Mail-Adresse
- Nickname
(b) Einkaufslisten-Inhalte
- Listenname, Einträge (Items), Mengen, Kategorien
- Icons/Keywords (z. B. Ergebnis der Kategorisierung/Icon-Generierung)
- Einladungscodes zum Teilen von Listen (zeitlich begrenzt)
(c) Abo-/Abrechnungsdaten
- App-Store-Receipt bzw. Receipt-Daten
- Transaktions-IDs, Abo-Status (z. B. aktiv/abgelaufen) und ähnliche Nachweisdaten
(d) Server-Logdaten
- IP-Adresse, Zeitpunkt, angefragte Endpunkte/Requests, ggf. User-Agent (technische Protokolldaten)
(e) Crash-/Diagnosedaten (über Apple)
Absturzberichte und Diagnosedaten können durch Apple bereitgestellt und, abhängig von den Geräteeinstellungen, mit App-Entwicklern geteilt werden.
4) Zwecke der Verarbeitung und Rechtsgrundlagen
Wir verarbeiten Daten zu folgenden Zwecken:
Bereitstellung der App-Funktionen (Vertragserfüllung)
- Nutzerkonto, Login, Synchronisation, Teilen von Listen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Premium / Abonnementverwaltung
- Prüfung und Zuordnung von Premium-Status anhand von Receipts/Transaktionen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Nachweis-/Aufbewahrungspflichten)
Sicherheit, Missbrauchsverhinderung, Fehleranalyse
- Betriebssicherheit, Angriffserkennung, Missbrauch (z. B. strafbare Inhalte), Fehlersuche
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)
Support
- Bearbeitung von Anfragen und Problemen
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertraglich) und/oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
5) Hosting, E-Mail-Versand und Empfänger
Hosting (Server in Deutschland)
Hetzner Online GmbH (Auftragsverarbeiter). Es besteht ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.
E-Mail-Versand
Versand via SMTP über Hetzner Online GmbH (z. B. für Login-/Account-Kommunikation). Es besteht ein Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO.
App Store / Apple
Zahlungen laufen ausschließlich über Apple (App Store). Apple verarbeitet Zahlungsdaten eigenverantwortlich. Wir erhalten von Apple Receipt-/Transaktionsdaten zur Prüfung des Abo-Status.
6) KI-Verarbeitung (OpenAI: Icon-Generierung & Kategorisierung)
Zur Generierung von Icons und zur Kategorisierung von Einträgen nutzen wir die API von OpenAI Ireland Ltd. Dabei gilt:
- Anfragen werden ausschließlich über unseren Server (Hetzner, Deutschland) an OpenAI weitergeleitet, nicht direkt vom Endgerät.
- Übermittelt wird ausschließlich der Item-Name/Text (z. B. „Banane"), ohne User-ID und ohne direkte Kontodaten.
- Die Verarbeitung dient ausschließlich dem Zweck „Icon-Generierung/Kategorisierung".
- Es besteht ein Data Processing Addendum (DPA) mit OpenAI.
Wichtig: Auch ein „Item-Text" kann im Einzelfall personenbezogene Daten enthalten, wenn Nutzer dort z. B. Namen, Adressen oder Gesundheitsinfos eintragen. Bitte gib in Listeneinträge keine sensiblen oder unnötigen personenbezogenen Daten ein.
7) Datenübermittlung in Drittländer (außerhalb EU/EWR)
Im Rahmen der KI-Verarbeitung (Abschnitt 6) werden Daten an OpenAI, LP, San Francisco, USA übermittelt. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die Bestandteil des mit OpenAI abgeschlossenen DPA sind.
8) Speicherdauer und Löschung
- Konto & Listen: Speicherung grundsätzlich bis zur Kontolöschung durch den Nutzer (in der App).
- Kontolöschung: Bei Kontolöschung werden personenbezogene Daten (z. B. E-Mail-Adresse, Nickname) anonymisiert. Bestimmte Daten (z. B. Abo-Nachweise, Abrechnungsdaten) können zur Erfüllung gesetzlicher Pflichten aufbewahrt werden.
- Server-Logs: 7 Tage, danach Löschung/Anonymisierung (sofern kein Sicherheitsvorfall eine längere Aufbewahrung erfordert).
- Abrechnungs-/Nachweisdaten: solange erforderlich, um Premium-Status zu prüfen und gesetzlichen Nachweispflichten zu genügen.
9) Keine Werbung, kein Tracking
- Kein geräteübergreifendes Werbetracking (z. B. keine IDFA-Nutzung).
- Keine externen Werbe- oder Analytics-SDKs.
- Es werden keine Nutzungsdaten erhoben.
10) Sicherheit
- Verschlüsselte Übertragung (TLS/HTTPS).
- „Passwordless Login": Es werden keine klassischen Passwörter gespeichert.
- Zugriff auf Datenbank/Server ist auf den Anbieter beschränkt (administrativer Zugriff).
11) Deine Rechte (Betroffenenrechte)
Du hast nach DSGVO insbesondere das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf einer Einwilligung (falls eine Einwilligung genutzt wird) mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Anfragen bitte an: info@zetli.app
12) Beschwerderecht bei der Aufsichtsbehörde
Du kannst dich bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig in Baden-Württemberg ist:
13) Änderungen
Wir können diese Datenschutzerklärung aktualisieren, wenn sich App-Funktionen oder Verarbeitungsvorgänge ändern.
Privacy Policy
Last updated: 17 February 2026
Note: This is a non-binding convenience translation. In case of any discrepancies, the German version ("Datenschutzerklärung") shall prevail.
This Privacy Policy explains how we process personal data when you use our iOS app "Zetli".
1) Controller
Michael Banholzer
Andreas-Hofer-Str. 13a
79111 Freiburg im Breisgau
Germany
Email: info@zetli.app
Website: https://www.zetli.app
2) Scope
This Privacy Policy applies to the iOS app "Zetli", the websites at https://www.zetli.app and https://www.zetli.de and the related server services (e.g., syncing and sharing lists).
3) Data we process (categories)
Depending on how you use the app, we may process:
(a) Account data
- Email address (email login and Premium users)
- Apple Sign-In: Apple user identifier and (if provided) email address
- Nickname
(b) Shopping list content
- List name, items, quantities, categories
- Icons/keywords (e.g., results of categorization/icon generation)
- Invitation codes for sharing lists (time-limited)
(c) Subscription / billing evidence
- App Store receipt data
- Transaction IDs, subscription status and related verification data
(d) Server logs
- IP address, timestamp, requested endpoints/requests, possibly user-agent
(e) Crash/diagnostic data (via Apple)
Crash reports and diagnostics may be provided by Apple and, depending on device settings, shared with app developers.
4) Purposes and legal bases
Providing core features (account, sync, sharing)
- Legal basis: Art. 6(1)(b) GDPR
Premium verification (receipts/status)
- Legal basis: Art. 6(1)(b) GDPR, and where applicable Art. 6(1)(c) GDPR
Security, abuse prevention, troubleshooting
- Legal basis: Art. 6(1)(f) GDPR
Support
- Legal basis: Art. 6(1)(b) and/or Art. 6(1)(f) GDPR
5) Hosting and recipients
Hosting in Germany
Hetzner Online GmbH (processor). A data processing agreement (DPA) pursuant to Art. 28 GDPR is in place.
Email delivery
Via SMTP through Hetzner Online GmbH (e.g., for login/account communication). A data processing agreement (DPA) pursuant to Art. 28 GDPR is in place.
Payments
Apple App Store (Apple acts as its own controller). We receive receipt/transaction data for subscription verification.
6) AI processing (OpenAI)
We use the API of OpenAI Ireland Ltd. to generate icons and categorize items:
- Requests are routed exclusively through our server (Hetzner, Germany) to OpenAI, never directly from the user's device.
- We send only the item text/name (e.g., "banana"), without a user ID and without direct account data.
- The processing is limited to icon generation and categorization.
- A Data Processing Addendum (DPA) with OpenAI is in place.
Important: Please avoid entering sensitive personal data into list items.
7) International transfers (outside the EU/EEA)
As part of the AI processing described in section 6, data is transferred to OpenAI, LP, San Francisco, USA. The transfer is based on EU Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR, which form part of the DPA concluded with OpenAI.
8) Retention
- Account & lists: generally until account deletion (in-app)
- Account deletion: Upon account deletion, personal data (e.g., email address, nickname) is anonymized. Certain data (e.g., subscription records, billing data) may be retained to comply with legal obligations.
- Server logs: 7 days, then deletion/anonymization (unless a security incident requires longer retention).
- Billing/verification data: as long as necessary for verification and legal obligations
9) No advertising, no tracking
- No IDFA-based ad tracking.
- No third-party advertising or analytics SDKs.
- No usage data is collected.
10) Security
- TLS/HTTPS encryption in transit
- Passwordless login (no classic passwords stored)
- Administrative access restricted to the provider
11) Your rights
You have GDPR rights including:
- Access (Art. 15 GDPR)
- Rectification (Art. 16 GDPR)
- Erasure (Art. 17 GDPR)
- Restriction of processing (Art. 18 GDPR)
- Data portability (Art. 20 GDPR)
- Objection (Art. 21 GDPR)
- Withdrawal of consent (Art. 7(3) GDPR, where applicable)
Contact: info@zetli.app
12) Supervisory authority
You may lodge a complaint with a supervisory authority. For Baden-Württemberg (Germany):
13) Changes
We may update this Privacy Policy when features or processing change.