Datenschutzerklärung – Sailor Croatia

Stand: 7. Juli 2026

1. Allgemeines

1.1 Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen identifiziert werden kann.

1.2 Geltungsbereich und Verantwortlicher

Diese Datenschutzerklärung erläutert, wie SourceFlow AI d.o.o. (nachfolgend „wir“, „uns“, „unser“) personenbezogene Daten erhebt und verarbeitet, wenn Sie unsere mobile Anwendung Sailor Croatia auf iOS und Android (die „App“) nutzen und wenn Sie unsere Website unter sailor-croatia.app (die „Website“) besuchen.

Wir verarbeiten personenbezogene Daten gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO“) und dem kroatischen Datenschutzrecht. Wir sind der Verantwortliche für die hier beschriebene Verarbeitung. Es wurde kein Datenschutzbeauftragter ernannt, da unsere Verarbeitung nach unserer Einschätzung die Schwellenwerte gemäß Art. 37 Abs. 1 DSGVO nicht erreicht. Bei datenschutzrechtlichen Fragen erreichen Sie uns unter info@sourceflow.ai.

1.3 Welche personenbezogenen Daten wir verarbeiten

Wir sind bestrebt, die Datenerhebung auf ein Minimum zu beschränken. Die App erfordert kein Konto. Bei der normalen Nutzung der App ohne Kontaktaufnahme erfassen wir weder Ihren Namen, Ihre E-Mail-Adresse, Ihre Telefonnummer noch ein soziales Profil. Personenbezogene Kontaktdaten können jedoch verarbeitet werden, wenn Sie uns diese freiwillig über das Kontaktformular, per E-Mail oder über eine Feedback-Funktion übermitteln.

1.3.1 Abonnement-Identifikatoren

Beim ersten Start der App wird Ihnen automatisch eine RevenueCat-Benutzer-ID zugewiesen. Dabei handelt es sich um einen zufälligen, undurchsichtigen Identifikator. Wir behandeln diese Kennung gemäß der DSGVO als pseudonymes personenbezogenes Datum: Sie enthält weder Ihren Namen noch Ihre E-Mail-Adresse; da sie während Ihrer Nutzung der App jedoch wiedererkannt werden kann, schützen wir sie entsprechend.

Daneben speichern wir den Abonnementstatus, die Produkt-ID und das Ablaufdatum für jeden von Ihnen erworbenen Pro-Tarif. Die Zahlungen selbst werden von Apple (App Store) oder Google (Google Play) abgewickelt; wir erhalten oder speichern keine Zahlungskarten- oder Bankdaten von Ihnen.

1.3.2 Push-Benachrichtigungstoken

Damit wir Ihnen Push-Benachrichtigungen senden können, erhält die App ein Firebase-Cloud-Messaging-Token („FCM-Token“), eine pseudonyme Gerätekennung, die vom Firebase SDK von Google generiert wird. Das Token wird beim Ausführen der App erstellt; Push-Benachrichtigungen werden Ihnen jedoch nur zugestellt, wenn Sie die Benachrichtigungsberechtigung erteilt haben. Auf iOS-Geräten kann für die technische Zustellung zusätzlich der Apple Push Notification service („APNs“) eingebunden sein.

Wir speichern dieses Token in unserem Backend (AWS, EU-Central-1), damit wir Ihnen Push-Benachrichtigungen über die App zustellen können. Push-Benachrichtigungen können insbesondere funktionsbezogene Hinweise, sicherheits- oder servicebezogene Informationen, Informationen zu App-Updates sowie — soweit hierfür eine entsprechende Berechtigung bzw. Einwilligung vorliegt — Hinweise auf neue Funktionen enthalten. Das Token enthält weder Ihren Namen noch Ihre Kontaktdaten; es ist jedoch mit Ihrer RevenueCat-Benutzer-ID und Ihrer Geräteplattform (iOS oder Android) verknüpft.

Sie können jederzeit verhindern, dass weitere Benachrichtigungen zugestellt werden, indem Sie die Benachrichtigungsberechtigung in Ihren Geräteinstellungen widerrufen. Auf iOS: Einstellungen → Mitteilungen → Sailor Croatia → „Mitteilungen erlauben“ deaktivieren. Auf Android: Einstellungen → Apps → Sailor Croatia → Benachrichtigungen → deaktivieren. Ein Widerruf in den Geräteeinstellungen verhindert die Zustellung weiterer Benachrichtigungen. Eine Löschung des bei uns gespeicherten Tokens erfolgt, wenn das Token vom Betriebssystem rotiert oder ungültig wird, wenn Sie die Löschung beantragen oder wenn die App über einen Zeitraum von 36 Monaten nicht mehr aktiv genutzt wurde und uns diese Inaktivität technisch erkennbar ist.

1.3.3 Analyseereignisse

Während Sie die App nutzen, senden wir Analyseereignisse an unser Backend, damit wir die Nutzung nachvollziehen, Fehler erkennen, Verbesserungen planen und beliebte Bereiche identifizieren können, die wir in zukünftigen App-Versionen berücksichtigen möchten.

Jedes Ereignis kann folgende Basisdaten enthalten: Zeitstempel, RevenueCat-Benutzer-ID, Geräte- und App-Fingerabdruck (Plattform, Betriebssystemversion, Gerätemodell, App-Version, Build-Typ), Angabe, ob ein aktives Pro-Abonnement besteht, sowie — sofern verfügbar — Ihren ungefähren Standort, gerundet auf eine Dezimalstelle bei Breiten- und Längengrad (Auflösung von ca. 11 km). Über diese Basisfelder hinaus können einzelne Ereignisse technische Metadaten enthalten, die beschreiben, was gerade passiert ist, zum Beispiel welche Funktion genutzt wurde, die Routenlänge, die Art eines Fehlers oder vergleichbare technische Informationen.

Folgende Besonderheiten sind zu beachten: Wenn Sie einen Ort speichern, erhalten wir dessen genaue Koordinaten, den von Ihnen vergebenen Namen und seine Kategorie; wir nutzen dies, um beliebte Orte zu identifizieren, die wir in zukünftigen Versionen hervorheben können. Wenn die Wetterüberlagerung in der App nicht dargestellt werden kann, erfassen wir die genauen Koordinaten und den Zoomfaktor des Kartenbereichs auf dem Bildschirm, um den Fehler zu diagnostizieren. Freitext, den Sie eingeben — etwa Suchanfragen, Ortsnamen oder Feedback-Nachrichten — kann an unser Backend gelangen; geben Sie daher keine Informationen ein, die Sie oder andere direkt identifizieren könnten, wie vollständige Namen, Kontaktdaten, private Adressen oder Bootsregistrierungsnummern, sowie sonstige höchstpersönliche oder gesundheitsbezogene Informationen. Wenn Sie eine Navigation abschließen oder abbrechen oder Ihre Geschwindigkeit in Küstennähe den Sicherheitsgrenzwert überschreitet, erfassen wir Geschwindigkeits- und Grenzwertüberschreitungsdaten, die mit Ihrer RevenueCat-Benutzer-ID verknüpft sind.

Wenn Sie eine Route planen, werden die genauen Koordinaten jedes von Ihnen festgelegten Wegpunkts in das Routenanalyse-Ereignis aufgenommen. Wenn Sie den In-App-Sicherheitshinweis oder den Tiefenhinweis vor der Routenplanung bestätigen, erfassen wir jeweils ein safety_disclaimer_acknowledged- bzw. route_depth_notice_acknowledged-Ereignis; diese Ereignisse unterliegen einer gestaffelten Aufbewahrung zu Zwecken der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (siehe Abschnitt 1.7).

1.3.4 In der App verwendete Standortdaten

Die App nutzt das GPS Ihres Geräts, um Ihre Position, die Entfernung zur Küste, Ihre Geschwindigkeit und Ihren Kurs zu berechnen. Die kontinuierliche, hochfrequente und präzise Standortbestimmung wird grundsätzlich lokal auf Ihrem Gerät verarbeitet und nicht als Live-Tracking fortlaufend an unsere Server übertragen.

Eine Übermittlung genauer oder gerundeter Standortdaten an unser Backend erfolgt nur in den in dieser Datenschutzerklärung beschriebenen Fällen, insbesondere bei Analyseereignissen nach Abschnitt 1.3.3, beim Speichern eines Ortes, bei der Routenplanung, bei Fehlern der Wetterüberlagerung, bei geteilten Routen oder Orten nach Abschnitt 1.3.5, bei Routen-Feedback nach Abschnitt 1.3.11, bei der Erstellung einer Fahrten-Story (zum Abruf der Küstenlinie für den ungefähren Fahrtbereich) sowie — sofern Sie dem zustimmen — bei Feedback nach Abschnitt 1.3.8.

Wenn Sie die Hintergrundverfolgung aktivieren oder eine Fahrt aufzeichnen, führt die App einen Vordergrunddienst (Android) oder eine Hintergrund-Standortaufgabe (iOS) aus, damit die Verfolgung bzw. Fahrtaufzeichnung auch bei ausgeschaltetem Bildschirm fortgeführt werden kann. Diese laufende Verarbeitung erfolgt lokal auf Ihrem Gerät, soweit nicht einer der ausdrücklich beschriebenen Übermittlungsfälle vorliegt.

1.3.5 Geteilte Routen und Orte

Wenn Sie eine Route oder einen gespeicherten Ort teilen möchten, lädt die App die Routen- oder Ortsdaten in unser Backend hoch und gibt einen kurzen Freigabecode zurück. Die Daten können Ortsnamen, genaue Koordinaten, Routengeometrie, Wegpunkte und von Ihnen hinzugefügte Notizen enthalten. Jeder, der den Freigabecode besitzt, kann die Daten abrufen — behandeln Sie Freigabecodes daher als öffentlich. Da Freigabecodes öffentlich sind, stellen Sie sicher, dass Ihre Notizen keine personenbezogenen Daten enthalten. Geteilte Daten werden automatisch 365 Tage nach ihrer Erstellung gelöscht. Nach Ablauf dieser Frist oder bei Deinstallation der App ist ein Abruf dieser Inhalte möglicherweise nicht mehr möglich.

1.3.6 Lokal gespeicherte Einstellungen

Einstellungen wie Kartenstil, Einheiten, Reisegeschwindigkeit, Standardwerte für Kraftstoffkosten, heruntergeladene Gebietspakete, gespeicherte Routen und Orte sowie der Cache für Freigabecodes werden ausschließlich auf Ihrem Gerät gespeichert (Android Jetpack DataStore oder iOS UserDefaults / Dateispeicher). Sie werden nicht an unsere Server übertragen, es sei denn, Sie geben sie ausdrücklich weiter oder die in Abschnitt 1.3.3 beschriebenen Analyseereignisse beziehen sich darauf.

1.3.7 Diagnose- und Absturzdaten

Die App kann aggregierte Diagnoseinformationen (z. B. Abstürze, ANRs, Leistungssignale) an Plattformdienste senden, die von Apple oder Google bereitgestellt werden. Diese Berichte unterliegen den Datenschutzrichtlinien der jeweiligen Plattformanbieter. Wir erhalten in diesen Berichten weder Ihren Namen noch Ihre E-Mail-Adresse oder Ihren genauen physischen Standort.

1.3.8 Von Ihnen übermitteltes Feedback

Wenn Sie die In-App-Feedback-Funktion nutzen, werden die von Ihnen verfasste Nachricht, etwaige angehängte Bilder und — nur wenn Sie dem zustimmen — Ihr genauer Standort an unser Backend gesendet, damit wir das Problem untersuchen und darauf reagieren können. Der Inhalt des Feedbacks wird wie in Abschnitt 1.7 beschrieben gespeichert.

1.3.9 Nutzung der Website

Wenn Sie die Website besuchen, sendet Ihr Browser automatisch Standard-Anfragedaten (insbesondere IP-Adresse, User-Agent, angeforderte URL, Datum und Uhrzeit der Anfrage sowie gegebenenfalls die verweisende Seite) an unser Content-Delivery-Netzwerk. Die Website setzt keine eigenen Cookies für Werbung, Retargeting oder Social-Media-Tracking und lädt keine Skripte zu diesen Zwecken. Die in Abschnitt 5 beschriebenen technisch erforderlichen bzw. analytischen Dienste bleiben hiervon unberührt.

1.3.10 Ortsbewertungen und Fotos

Wenn Sie in der App eine Bewertung für einen Ort (z. B. Bucht, Marina oder Strand) verfassen oder dabei Fotos hochladen, werden der Bewertungstext sowie die hochgeladenen Fotos in unserem Backend (AWS, EU-Central-1) gespeichert. Bewertungen und Fotos sind mit Ihrer RevenueCat-Benutzer-ID verknüpft, jedoch nicht mit Ihrem Namen oder Ihrer E-Mail-Adresse.

Bitte laden Sie ausschließlich Fotos hoch, an denen Sie die erforderlichen Rechte besitzen, und vermeiden Sie die Abbildung anderer Personen ohne deren Einwilligung. Wenn auf einem von Ihnen hochgeladenen Foto Personen erkennbar sind, löschen wir das Foto auf berechtigtes Löschungsverlangen der betroffenen Person, sofern nicht im Einzelfall überwiegende berechtigte Interessen oder gesetzliche Gründe entgegenstehen.

Bewertungen und Fotos werden auf unbestimmte Zeit aufbewahrt, da sie der dauerhaften Darstellung von Nutzerbewertungen innerhalb der App sowie der Entwicklung zukünftiger App-Funktionen dienen. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung der Bewertungsfunktion) sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der dauerhaften Verbesserung des Kartenmaterials und der App-Qualität).

1.3.11 Routen-Feedback

Die App ermöglicht es Ihnen, gezielt Feedback zu einer Route zu übermitteln. Routen-Feedback wird ähnlich wie das in Abschnitt 1.3.8 beschriebene allgemeine In-App-Feedback behandelt, enthält jedoch zusätzlich routenspezifische Informationen — insbesondere die genauen Koordinaten der von Ihnen festgelegten Wegpunkte.

Diese Daten werden in unserem Backend (AWS, EU-Central-1) gespeichert, um das Feedback analysieren und die Routenqualität sowie die App-Funktionen verbessern zu können. Routen-Feedback wird für bis zu 24 Monate nach Übermittlung gespeichert und anschließend gelöscht oder anonymisiert, soweit keine längere Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Routenqualität und der App-Funktionen).

1.3.12 Fahrtaufzeichnungen und Fahrten-Storys

Wenn Sie eine Fahrt aufzeichnen oder eine Fahrten-Story erstellen, werden die GPS-Aufzeichnung der Fahrt, von Ihnen hinzugefügte Fotos und Videos, Ihr Bootsbild und -name sowie die erstellten Fahrten-Story-Videos ausschließlich auf Ihrem Gerät gespeichert; sie werden nicht auf unsere Server hochgeladen. Um die in einer Fahrten-Story dargestellte Küstenlinie zu zeichnen, ruft die App bei unserem Backend (AWS, EU-Central-1) Küstenlinien- und Kartendaten für den ungefähren Bereich Ihrer Fahrt ab; dabei werden Kartendaten für diesen Bereich abgerufen, und Ihre Fotos, Videos oder die vollständige aufgezeichnete Route werden nicht hochgeladen. Die Analyseereignisse, die wir zu Fahrten und Fahrten-Storys erhalten, enthalten nur aggregierte Statistiken (z. B. Fahrtstrecke, Dauer und Anzahl) zusammen mit dem groben, auf ca. 11 km gerundeten Standort, der allen Analyseereignissen beigefügt ist (siehe Abschnitt 1.3.3) — niemals Ihre genaue Route, Ihre Fotos oder Videos.

1.3.13 Fahrten-Story-Feedback

Wenn Sie Feedback zu einer Fahrten-Story übermitteln — eine Bewertung und optional einen Kommentar —, werden die Bewertung und ein von Ihnen verfasster Kommentar über denselben Feedback-Kanal wie unsere In-App-Feedback-Funktion (Abschnitt 1.3.8) zusammen mit den Fahrt- und Story-Kennungen an unser Backend übermittelt, damit wir das Feedback prüfen und die Fahrten-Story-Funktion verbessern können; die Fahrten-Story selbst, einschließlich der zugrunde liegenden Aufzeichnung, Fotos und Videos, wird nicht hochgeladen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Funktion). Diese Daten werden wie In-App-Feedback gespeichert und aufbewahrt (siehe Abschnitt 1.7).

1.4 Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf Basis der jeweils einschlägigen Rechtsgrundlage gemäß Art. 6 DSGVO.

Rechtsgrundlage für die Bereitstellung der Kernfunktionen der App, die Verwaltung von Pro-Abonnements sowie den Betrieb der Teilen-per-Link-Funktion für Routen und Orte ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Erfüllung des Vertrags mit Ihnen).

Rechtsgrundlage für funktionale, sicherheits- oder servicebezogene Push-Benachrichtigungen, die Verarbeitung von Analyseereignissen zur Verbesserung und Fehlerbehebung der App, die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen sowie die Beantwortung von Supportanfragen ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigte Interessen). Soweit Push-Benachrichtigungen über reine Funktions-, Sicherheits- oder Servicehinweise hinausgehen und nach anwendbarem Recht eine Einwilligung erforderlich ist, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Rechtsgrundlage für die Erfüllung steuerlicher und buchhalterischer Pflichten sowie die Bearbeitung rechtmäßiger behördlicher Anfragen ist Art. 6 Abs. 1 S. 1 lit. c DSGVO (gesetzliche Verpflichtung).

Sie können der Verarbeitung auf der Grundlage berechtigter Interessen jederzeit widersprechen, indem Sie eine E-Mail an info@sourceflow.ai senden. Wenn Sie widersprechen, werden wir die betreffende Verarbeitung einstellen, es sei denn, wir können zwingende berechtigte Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

1.5 Weitergabe von Daten

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir geben Ihre personenbezogenen Daten nicht zu Werbezwecken weiter.

Wir setzen Dienstleister ein, die personenbezogene Daten teilweise als Auftragsverarbeiter nach Art. 28 DSGVO in unserem Auftrag verarbeiten. Soweit Anbieter eigene Zwecke verfolgen oder technisch bzw. rechtlich eigenständig über bestimmte Verarbeitungsvorgänge entscheiden, handeln sie als eigenständig Verantwortliche. Die jeweilige Einbindung ist in Abschnitt 5 näher beschrieben.

Die App stützt sich zudem auf Datenquellen von Drittanbietern, bei denen grundsätzlich keine personenbezogenen Daten von Ihnen an die jeweilige Datenquelle übermittelt werden, insbesondere OpenStreetMap-Daten sowie osmdata.openstreetmap.de (Küstenlinien- und Landdaten, vorverarbeitet und im Backend gebündelt) und der Državni hidrometeorološki zavod — DHMZ (kroatischer meteorologischer und hydrologischer Dienst; Wetterdaten werden ausschließlich über unser Backend abgerufen). Davon zu unterscheiden ist die Nutzung der Website-Seite zum Teilen von Routen; dort kann Ihr Browser Kartenkacheln direkt von OpenStreetMap abrufen (siehe Abschnitt 5.7).

Wir können Daten außerdem offenlegen, wenn dies gesetzlich vorgeschrieben ist, aufgrund einer gerichtlichen oder behördlichen Anordnung erforderlich ist oder zum Schutz unserer gesetzlichen Rechte notwendig ist.

1.6 Internationale Datenübermittlungen

Einige der in Abschnitt 5 genannten Anbieter haben ihren Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den Vereinigten Staaten. Unsere primäre Backend-Infrastruktur (AWS) befindet sich in EU-Central-1 (Frankfurt, Deutschland), sodass die von uns direkt kontrollierten Backend-Daten grundsätzlich innerhalb des EWR verarbeitet werden. Je nach Anbieter, Supportfall, technischer Bereitstellung oder Plattformdienst können jedoch Übermittlungen oder Zugriffsmöglichkeiten außerhalb des EWR nicht vollständig ausgeschlossen werden.

Für Übermittlungen an Empfänger außerhalb des EWR stützen wir uns, soweit erforderlich, auf geeignete Übermittlungsmechanismen nach Art. 44 ff. DSGVO, insbesondere auf Angemessenheitsbeschlüsse, Zertifizierungen nach dem EU-US-Datenschutzrahmen (EU-U.S. Data Privacy Framework) und/oder Standardvertragsklauseln gemäß Beschluss der Kommission (EU) 2021/914.

Insbesondere gelten folgende Übermittlungsmechanismen:

1.7 Aufbewahrung

Push-Benachrichtigungstoken werden aufbewahrt, bis das Token vom Betriebssystem ungültig gemacht oder rotiert wird, bis Sie die Löschung beantragen oder bis die App über einen Zeitraum von 36 Monaten nicht mehr aktiv genutzt wurde und uns diese Inaktivität technisch erkennbar ist.

Analyseereignisse werden bis zu 24 Monate ab Erfassung aufbewahrt und anschließend gelöscht oder zu nicht personenbezogenen Daten für langfristige statistische Zwecke aggregiert. Dies gilt auch für Analyseereignisse, die genaue Koordinaten enthalten, soweit für diese Ereignisse in dieser Datenschutzerklärung keine speziellere Aufbewahrungsregel vorgesehen ist.

Bestätigungsereignisse für Sicherheits- und Tiefenhinweise (safety_disclaimer_acknowledged, route_depth_notice_acknowledged und navigation_safety_agreed) sowie das Ereignis zur Bestätigung der Nutzungsbedingungen (terms_update_acknowledged) unterliegen einer gestaffelten Aufbewahrung zum Zweck der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Der vollständige Ereignisdatensatz wird 24 Monate lang aufbewahrt; danach werden Standortdaten und der Pro-Abonnementstatus gelöscht. Der verbleibende Datensatz (Zeitstempel, RevenueCat-Benutzer-ID, Ereignisname, App-Version, Plattform, Betriebssystemversion, Gerätemodell und Build-Typ) wird sodann insgesamt 5 Jahre ab dem Erfassungsdatum aufbewahrt. Dieser Zeitraum orientiert sich an langen gesetzlichen Verjährungsfristen für mögliche Personenschadenersatzansprüche, insbesondere in Kroatien, soweit solche Ansprüche im Einzelfall in Betracht kommen können. Die Aufzeichnung Ihrer Zustimmung zu einer aktualisierten Fassung unserer Nutzungsbedingungen oder Datenschutzerklärung (Ihre RevenueCat-Benutzer-ID, die akzeptierte Fassung und der Zeitpunkt der Zustimmung) wird ebenfalls für bis zu 5 Jahre zum selben Zweck aufbewahrt. Löschersuchen für diese Datenkategorie können insoweit abgelehnt werden, wie die weitere Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. e DSGVO).

Geteilte Routen- und Ortsdaten werden automatisch 365 Tage nach ihrer Erstellung gelöscht.

Nutzergebundene Abonnement- und Berechtigungsdaten (RevenueCat-Benutzer-ID, Produkt-ID und Ablaufdatum) werden aufbewahrt, solange das Abonnement aktiv ist, und anschließend für bis zu drei Jahre nach Ablauf des Abonnements, soweit dies für die Wiederherstellung von Käufen, die Bearbeitung von Supportfällen oder die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Nach Ablauf dieser Frist werden die Daten gelöscht oder anonymisiert.

Soweit SourceFlow AI gesetzlich verpflichtet ist, handels- oder steuerrechtlich relevante Buchungsunterlagen aufzubewahren — insbesondere Auszahlungsberichte von Apple und Google, Provisionsrechnungen und Kontoauszüge — erfolgt deren Aufbewahrung für die gesetzlich vorgeschriebene Dauer, regelmäßig für bis zu 11 Jahre nach Ende des Kalenderjahres, in dem der jeweilige Vorgang abgeschlossen wurde. Diese Unterlagen enthalten keine individuellen Nutzerdaten, da Apple und Google SourceFlow AI ausschließlich aggregierte Auszahlungsberichte bereitstellen.

Supportkorrespondenz, einschließlich E-Mail-Anfragen, Kontaktformularnachrichten, In-App-Feedback und Fahrten-Story-Feedback, wird bis zu 36 Monate nach Abschluss der Angelegenheit aufbewahrt und anschließend gelöscht oder anonymisiert, soweit keine längere Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Kontaktformularübermittlungen, die über Formspree verarbeitet werden, werden bei Formspree spätestens 12 Monate nach Eingang gelöscht, soweit sie nicht bereits früher gelöscht wurden. Unsere eigene Supportkopie richtet sich nach der vorstehenden Aufbewahrungsfrist für Supportkorrespondenz.

Gerätedaten (Einstellungen, gespeicherte Routen, heruntergeladene Gebiete) werden auf Ihrem Gerät gespeichert, bis Sie die App löschen, die App-Daten löschen oder die Daten innerhalb der App entfernen, soweit die App eine entsprechende Funktion bereitstellt.

Ortsbewertungen und dazugehörige Fotos werden auf unbestimmte Zeit aufbewahrt, da sie der dauerhaften Darstellung von Nutzerbewertungen und der Entwicklung zukünftiger App-Funktionen dienen. Wenn auf einem Foto Personen erkennbar sind, löschen wir das Foto auf berechtigtes Löschungsverlangen der betroffenen Person, sofern nicht im Einzelfall überwiegende berechtigte Interessen oder gesetzliche Gründe entgegenstehen.

Routen-Feedback wird für bis zu 24 Monate nach Übermittlung gespeichert und anschließend gelöscht oder anonymisiert, soweit keine längere Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Standard-Anfragedaten beim Besuch der Website und der Seite zum Teilen von Routen werden, soweit sie in Server- oder CDN-Protokollen gespeichert werden, für bis zu 12 Monate aufbewahrt und anschließend gelöscht oder anonymisiert, soweit keine längere Aufbewahrung aus Sicherheitsgründen, zur Missbrauchsbekämpfung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

1.8 Kinder

Die App richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn Sie glauben, dass ein Kind uns personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie uns bitte unter info@sourceflow.ai, und wir werden diese löschen.

1.9 Herkunft der Daten

Alle personenbezogenen Daten, die wir verarbeiten, werden direkt von Ihnen durch Ihre Nutzung der App, der Website oder durch Ihre freiwillige Kontaktaufnahme mit uns erhoben. Wir kaufen, mieten oder beziehen keine personenbezogenen Daten über Sie von Dritten.

1.10 Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. In diesem Fall aktualisieren wir das Datum des Inkrafttretens oben auf dieser Seite.

Bei wesentlichen Änderungen — d. h. Änderungen der Verarbeitungszwecke, der erhobenen Datenkategorien oder der Rechtsgrundlagen — werden wir Sie durch eine gut sichtbare Mitteilung innerhalb der App oder auf andere geeignete Weise informieren, bevor die Änderung in Kraft tritt. Soweit für die geänderte Verarbeitung eine Einwilligung erforderlich ist, werden wir diese aktiv von Ihnen einholen und uns nicht allein auf die fortgesetzte Nutzung der App als Zustimmung stützen.

Bei nicht wesentlichen Änderungen — z. B. Klarstellungen, aktualisierte Kontaktdaten oder neue Unterauftragsverarbeiter mit gleichwertigem Schutzniveau — reicht eine Aktualisierung dieser Seite mit einer entsprechenden In-App-Mitteilung aus.

2. Ihre Rechte

2.1 Auskunft

Sie können von uns eine Auskunft darüber verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Soweit dies der Fall ist, haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO genannten weiteren Informationen.

2.2 Recht auf Berichtigung

Sie haben das Recht auf Berichtigung der Sie betreffenden unrichtigen personenbezogenen Daten und können gemäß Art. 16 DSGVO die Vervollständigung unvollständiger personenbezogener Daten verlangen.

2.3 Recht auf Löschung

Sie haben das Recht, von uns zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO genannten Gründe vorliegt. Dies ist insbesondere der Fall, wenn Ihre personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, wenn Sie eine Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt oder wenn Ihre Daten unrechtmäßig verarbeitet wurden.

Das Recht auf Löschung besteht nicht, soweit Ihre personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Löschersuchen für Bestätigungsereignisse für Sicherheits- und Tiefenhinweise können für die Dauer der in Abschnitt 1.7 beschriebenen Aufbewahrungsfrist insoweit abgelehnt werden, wie die weitere Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

2.4 Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, wenn: Sie die Richtigkeit der Daten bestreiten und wir daher die Richtigkeit überprüfen, die Verarbeitung unrechtmäßig ist und Sie die Löschung ablehnen und stattdessen die Einschränkung der Nutzung verlangen, wir die Daten nicht länger benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder Sie Widerspruch gegen die Verarbeitung Ihrer Daten eingelegt haben und noch nicht feststeht, ob unsere berechtigten Gründe gegenüber Ihren Gründen überwiegen.

2.5 Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben außerdem das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

2.6 Widerrufs- und Widerspruchsrecht

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) beruht, haben Sie das Recht, diese Einwilligung jederzeit zu widerrufen. Hierdurch wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Soweit die Verarbeitung Ihrer personenbezogenen Daten auf Art. 6 Abs. 1 S. 1 lit. e DSGVO oder Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht, haben Sie gemäß Art. 21 DSGVO das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen. Wir verarbeiten Ihre personenbezogenen Daten sodann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

2.7 Allgemeines und Beschwerderecht

Die Ausübung Ihrer vorstehenden Rechte ist für Sie grundsätzlich kostenlos. Sie haben das Recht, sich bei Beschwerden direkt an die zuständige Datenschutz-Aufsichtsbehörde zu wenden: Kroatische Datenschutzbehörde (kroat. Agencija za zaštitu osobnih podataka, AZOP), azop.hr. Sind Sie in einem anderen EU-Mitgliedstaat ansässig, können Sie sich auch an die dort zuständige Aufsichtsbehörde wenden.

Um eines dieser Rechte auszuüben, senden Sie uns eine E-Mail an info@sourceflow.ai. Da wir nur sehr wenige identifizierende Daten speichern, benötigen wir möglicherweise einige zusätzliche Informationen, um Ihre Daten zu finden. Alternativ können Sie eine Nachricht über die In-App-Feedback-Funktion senden; Feedback-Nachrichten erreichen unser Backend mit Ihrer RevenueCat-Benutzer-ID im Anhang, was für uns ausreicht, um Ihre Daten zu finden. Da das Feedback-Formular keinen Antwortkanal hat, geben Sie bitte eine E-Mail-Adresse für die Antwort in der Feedback-Nachricht selbst an, sofern Sie eine schriftliche Antwort wünschen. Wir bemühen uns, gemäß Art. 12 Abs. 3 DSGVO innerhalb eines Monats zu antworten.

2.8 Automatisierte Entscheidungsfindung einschließlich Profiling

Eine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO, das heißt Entscheidungen, die ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhen und rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen, findet bei uns nicht statt.

3. Datensicherheit

Wir wenden angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten an, darunter TLS/HTTPS für Daten während der Übertragung, eingeschränkter Backend-Zugriff und Auftragsverarbeitungsvereinbarungen mit unseren Dienstleistern. Kein System ist vollkommen sicher.

Sollten wir Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangen, werden wir die kroatische Datenschutz-Aufsichtsbehörde (AZOP) innerhalb von 72 Stunden benachrichtigen, sofern dies gemäß Art. 33 DSGVO erforderlich ist. Sollte die Verletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten darstellen (Art. 34 DSGVO), werden wir betroffene Nutzer durch einen gut sichtbaren In-App-Banner beim nächsten Start sowie durch eine Mitteilung unter sailor-croatia.app informieren. Da wir für die meisten Nutzer keine E-Mail-Adresse oder andere direkte Kontaktdaten haben, kann dies eine nach Art. 34 Abs. 3 lit. c DSGVO zulässige öffentliche Mitteilung darstellen, soweit eine individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde.

4. Kontaktformular

Wenn Sie uns über das Kontaktformular auf der Support-Seite Anfragen senden, werden Ihre Angaben einschließlich der von Ihnen angegebenen Kontaktdaten (Name, E-Mail-Adresse und Nachricht) zur Bearbeitung der Anfrage und für eventuelle Anschlussfragen gespeichert.

Die Übermittlung erfolgt über den Dienst Formspree (Formspree, Inc., 21750 Hardy Oak Blvd Ste 104 #26968, San Antonio, TX 78258, USA), der die Übermittlungen auf seinen Servern speichert und an uns weiterleitet. Wir löschen Kontaktformularübermittlungen bei Formspree spätestens 12 Monate nach Eingang, soweit sie nicht bereits früher gelöscht wurden. Unsere eigene Supportkopie speichern wir für bis zu 36 Monate nach Abschluss der Angelegenheit, soweit keine längere Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung), hilfsweise Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung Ihrer Anfrage).

5. Dienste von Drittanbietern

5.1 Hosting und Content-Delivery

Die Website wird unter Verwendung der Dienste von Amazon Web Services, Inc. (410 Terry Ave North, Seattle, WA 98109, USA) betrieben. Als Content-Delivery-Netzwerk wird Amazon CloudFront eingesetzt, das Standard-Anfragedaten (insbesondere IP-Adresse, User-Agent, angeforderte URL, Datum und Uhrzeit der Anfrage sowie gegebenenfalls die verweisende Seite) für Routing, Auslieferung, Sicherheit und DDoS-Schutz empfängt.

Mit Amazon Web Services besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, soweit AWS personenbezogene Daten in unserem Auftrag verarbeitet. Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. b DSGVO sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren, schnellen und effizienten Bereitstellung des Online-Angebots).

5.2 Webanalyse

Für datenschutzfreundliche Webanalysen auf der Website setzen wir Cloudflare Web Analytics ein (Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA). Der Dienst erfasst aggregierte Statistiken (Seitenaufrufe, Land, Referrer, grundlegende Geräteklasse, Core Web Vitals). Er setzt keine Cookies, verwendet keine websiteübergreifenden Identifikatoren und erstellt keine Nutzerprofile. Das Beacon-Skript wird von static.cloudflareinsights.com geladen.

Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, soweit Cloudflare personenbezogene Daten in unserem Auftrag verarbeitet. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US-Datenschutzrahmens; Standardvertragsklauseln stehen als zusätzliche bzw. sekundäre Schutzmaßnahme zur Verfügung, soweit erforderlich. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung zur Verbesserung des Angebots).

5.3 App-Backend-Infrastruktur

Das App-Backend (API, Datenbankdienste, Speicher) wird auf Amazon Web Services, Inc. (EU-Central-1, Frankfurt, Deutschland) betrieben. AWS empfängt insbesondere Analyseereignisse, Push-Benachrichtigungstoken, Feedback, Bewertungen und Fotos sowie geteilte Routen- und Ortsdaten.

Mit Amazon Web Services besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlagen sind Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigte Interessen an Betrieb, Sicherheit und Verbesserung der App).

5.4 Abonnementverwaltung

Für die Verwaltung von In-App-Abonnements und die Überprüfung von Kaufberechtigungen setzen wir RevenueCat, Inc. (1032 E Brandon Blvd #3003, Brandon, FL 33511, USA) ein. RevenueCat erhält die anonyme bzw. pseudonyme RevenueCat-Benutzer-ID sowie Abonnementinformationen (Produkt-ID, Status, Ablaufdatum).

Mit RevenueCat besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, soweit RevenueCat personenbezogene Daten in unserem Auftrag verarbeitet. Die Übermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Beschluss der Kommission (EU) 2021/914. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).

5.5 Push-Benachrichtigungen

Für den Versand von Push-Benachrichtigungen an App-Nutzer setzen wir Firebase Cloud Messaging ein, einen Dienst von Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Google erhält das FCM-Token sowie die Benachrichtigungs-Nutzdaten, wenn eine Benachrichtigung versandt wird. Auf iOS-Geräten kann zusätzlich Apple Inc. / Apple Push Notification service (One Apple Park Way, Cupertino, CA 95014, USA) für die technische Zustellung eingebunden sein.

Firebase ist nach dem EU-US-Datenschutzrahmen zertifiziert. Mit Google besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, soweit Google personenbezogene Daten in unserem Auftrag verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Übermittlung relevanter App-Informationen an Nutzer), soweit nicht im Einzelfall eine Einwilligung erforderlich ist.

5.6 Kartendienste in der App

Auf Android-Geräten werden Kartenkacheln und das Maps SDK von Mapbox, Inc. (1133 15th Street NW, Suite 825, Washington, DC 20005, USA) bereitgestellt. Mapbox empfängt Anfragen nach Kartenkacheln für den von Ihnen angezeigten Bereich sowie Telemetrieereignisse auf SDK-Ebene (Kartenladungen, Leistungssignale, grobe Geräteinformationen) gemäß der eigenen Datenschutzerklärung von Mapbox. Die Mapbox-Telemetrie kann durch Tippen auf die auf der Karte angezeigte „i“-Schaltfläche und anschließendes Deaktivieren der Erfassung von Telemetriedaten abgeschaltet werden.

Mapbox ist nach dem EU-US-Datenschutzrahmen zertifiziert; Standardvertragsklauseln stehen als zusätzliche bzw. sekundäre Schutzmaßnahme zur Verfügung, soweit erforderlich. Mit Mapbox besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, soweit Mapbox personenbezogene Daten in unserem Auftrag verarbeitet. Soweit Mapbox über bestimmte Verarbeitungen selbst entscheidet, kann Mapbox insoweit eigenständig verantwortlich sein. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).

Auf iOS-Geräten werden Kartenkacheln, Suchfunktionen und Geokodierung von Apple Inc. / MapKit (One Apple Park Way, Cupertino, CA 95014, USA) bereitgestellt. Apple erhält den von Ihnen angezeigten Kartenbereich sowie alle Ortssuchen, die Sie innerhalb der App durchführen, gemäß der Datenschutzerklärung von Apple. Apple kann insoweit eigenständig verantwortlich sein. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).

5.7 Kartenkacheln und Skriptbibliotheken auf der Website

Auf der Seite zum Teilen von Routen ruft Ihr Browser Kartenkacheln direkt von tile.openstreetmap.org ab. Der Dienst wird von der OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich) betrieben, die Standard-Anfragedaten einschließlich Ihrer IP-Adresse erhält. Die Übermittlung in das Vereinigte Königreich erfolgt auf Grundlage der Angemessenheitsentscheidung der Europäischen Kommission für das Vereinigte Königreich (Durchführungsbeschluss (EU) 2021/1772). Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung — Darstellung geteilter Routen).

Auf derselben Seite wird die Leaflet-Kartenbibliothek von unpkg.com geladen, einem CDN, das von Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) betrieben wird. Cloudflare erhält Standard-Anfragedaten einschließlich Ihrer IP-Adresse; es werden keine weiteren personenbezogenen Daten übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage des EU-US-Datenschutzrahmens. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung — Darstellung geteilter Routen).

5.8 Wetterdaten

Die in der App angezeigte Wettervorhersage (Wind, Niederschlag, Temperatur) stammt vom kroatischen staatlichen meteorologischen und hydrologischen Dienst (kroat. Državni hidrometeorološki zavod, DHMZ). Wetterdaten werden über unser Backend (AWS, EU-Central-1) abgerufen; Ihr Gerät kontaktiert DHMZ nicht direkt, und wir übermitteln keine personenbezogenen Daten an DHMZ.

5.9 Zahlungsabwicklung und Plattformdienste

In-App-Käufe werden ausschließlich über die jeweilige App-Plattform abgewickelt: Apple Inc. (App Store, One Apple Park Way, Cupertino, CA 95014, USA) für iOS-Nutzer sowie Google LLC (Google Play, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) für Android-Nutzer.

Wir erhalten oder speichern keine Zahlungskarten- oder Bankdaten. Die Zahlungsabwicklung sowie die von Apple und Google bereitgestellten Plattformdienste (z. B. Push-Infrastruktur, Absturzdiagnose, Plattformberichte) unterliegen den jeweils eigenen Datenschutzrichtlinien dieser Anbieter. Apple und Google können insoweit eigenständig verantwortlich sein. Rechtsgrundlage für die Nutzung der Plattformdienste im Zusammenhang mit In-App-Käufen ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).

6. Verantwortlicher

SourceFlow AI d.o.o. za računalne i srodne djelatnosti
Prisavlje 12
10000 Zagreb
Kroatien
OIB: 71094352026
E-Mail: info@sourceflow.ai
Web: sailor-croatia.app