Datenschutzerklärung
1. Wer wir sind
Evaxify („die App", „wir", „uns") wird von Aleks Misuna, einem Einzelentwickler, entwickelt und betrieben. Die App richtet sich an Nutzer in der Europäischen Union und ist gemäß der Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679) konzipiert.
Verantwortlicher & Datenschutzkontakt:
Aleks Misuna
a.misuna@yahoo.com
Antwortzeit: innerhalb von 30 Tagen auf jede Datenschutzanfrage.
2. Erhobene Daten
2.1 Kontodaten
- E-Mail-Adresse — bei der Registrierung direkt angegeben oder von Apple ID / Google bei Social Login übermittelt.
- Eine eindeutige interne Benutzer-ID (von Evaxify generiert) zur Verknüpfung Ihrer Daten.
- Passwort — als sicherer Einweg-Hash (bcrypt) gespeichert. Bei Apple- oder Google-Login wird kein Passwort gespeichert.
2.2 Profildaten
- Für jedes Familienmitglied oder Haustier: Name, Geburtsdatum, Profiltyp (Erwachsener, Kind, Hund, Katze) und Land.
- Sortierreihenfolge der Profile (für Ihre Drag-&-Drop-Anordnung).
2.3 Impfeinträge
- Impfstoffname, Dosiszahl, Verabreichungsdatum, Status (abgeschlossen / geplant / übersprungen).
- Optional: Name der Klinik oder des Arztes, Freitextnotizen.
2.4 Dokumentfotos (optional)
- Wenn Sie einen Impfpass fotografieren, wird das Bild in sicherem Cloud-Speicher (AWS S3, Region: eu-central-1, Frankfurt) hochgeladen. Nur Sie können auf Ihre Dokumente zugreifen — Download-Links sind zeitlich begrenzt (15 Minuten).
- Dokumentfotos können von einem KI-Dienst analysiert werden. Sie prüfen und bestätigen immer die extrahierten Einträge, bevor diese gespeichert werden.
2.5 Technische Daten
- Geräte-Token für Push-Benachrichtigungen (FCM) — wird verwendet, um Impferinnerungen zu senden.
- Standard-Serverzugriffsprotokolle (IP-Adresse, Zeitstempel, HTTP-Methode/-Pfad). Werden bis zu 30 Tage aufbewahrt, dann automatisch gelöscht.
Wir erheben keine Standortdaten, Werbe-IDs, Browserverlauf oder sonstige oben nicht aufgeführten Daten.
3. Rechtsgrundlagen (DSGVO)
- Vertragserfüllung (Art. 6 Abs. 1 lit. b): Konto- und Profildaten sind für die Erbringung des Kerndienstes erforderlich.
- Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a): Gesundheitsbezogene Daten werden auf Grundlage Ihrer ausdrücklichen Einwilligung verarbeitet.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Serverzugriffsprotokolle zur Sicherheitsüberwachung.
4. Verwendung Ihrer Daten
- Zur Erstellung Ihres personalisierten Impfplans („Smart Calendar").
- Zur geräteübergreifenden Speicherung und Anzeige Ihres Impfverlaufs.
- Zum Versand von Transaktions-E-Mails (OTP-Codes für Verifizierung und Passwortreset).
- Zum Versand von Push-Benachrichtigungen über bevorstehende oder überfällige Impfungen.
- Wir verkaufen, vermieten oder teilen Ihre Daten nicht mit Werbetreibenden oder Datenbrokern.
- Wir verwenden Ihre Gesundheitsdaten nicht für Profilbildung oder Forschung.
5. Drittanbieter
- Apple Sign In — optionale Anmeldung via Apple ID. Apple Datenschutz.
- Google Sign In — optionale Anmeldung via Google-Konto. Google Datenschutz.
- Resend — Transaktions-E-Mail-Zustellung. Resend Datenschutz.
- Amazon Web Services (AWS S3) — verschlüsselter Dokumentenspeicher. Region: eu-central-1 (Frankfurt). Daten verlassen die EU nicht. AWS Datenschutz.
- Google Firebase Cloud Messaging (FCM) — Push-Benachrichtigungen auf Android. Firebase Datenschutz.
- OpenAI / Anthropic — KI-Extraktion von Impfeinträgen aus Fotos (geplante Funktion). Bilder werden nicht zum Training von Modellen verwendet. OpenAI / Anthropic.
Alle Auftragsverarbeiter sind vertraglich verpflichtet, Ihre Daten nur gemäß unseren Anweisungen und DSGVO-konform zu verarbeiten.
6. Internationale Datenübermittlungen
Konto-, Profil- und Impfdaten werden auf Servern innerhalb der EU gespeichert (AWS eu-central-1, Frankfurt). Einige Drittanbieter können Daten außerhalb des EWR verarbeiten. Wir stützen uns in diesen Fällen auf Standardvertragsklauseln (SCCs).
7. Datenspeicherung
- Konto- und Profildaten werden so lange aufbewahrt, wie Ihr Konto aktiv ist.
- Impfeinträge und Dokumentfotos werden bis zu deren Löschung oder Kontolöschung aufbewahrt.
- OTP-Codes werden nach Ablauf automatisch gelöscht.
- Serverzugriffsprotokolle werden nach 30 Tagen gelöscht.
- Bei Kontolöschung (in der App unter Einstellungen) werden alle personenbezogenen Daten innerhalb von 30 Tagen dauerhaft gelöscht.
8. Ihre Rechte gemäß DSGVO
Wenn Sie sich in der EU/dem EWR befinden, haben Sie folgende Rechte:
Zur Ausübung dieser Rechte senden Sie eine E-Mail an a.misuna@yahoo.com. Wir antworten innerhalb von 30 Tagen.
9. Datensicherheit
- Alle Daten werden über HTTPS/TLS übertragen.
- Passwörter werden als bcrypt-Hashes gespeichert — niemals im Klartext.
- Dokumentfotos werden in verschlüsselten S3-Buckets gespeichert; Download-Links sind zeitlich begrenzt.
- JWT-Zugriffstoken sind kurzlebig; Refresh-Token ermöglichen Sitzungskontinuität.
- Der Zugriff auf Produktionsdaten ist ausschließlich dem Entwickler vorbehalten.
10. Datenschutz von Kindern
Evaxify erlaubt die Erstellung von Profilen für Kinder; das App-Konto selbst muss jedoch von einer volljährigen Person (18+) erstellt werden. Falls Sie glauben, dass ein Kind ohne elterliche Einwilligung ein Konto erstellt hat, kontaktieren Sie uns unter a.misuna@yahoo.com.
11. Änderungen dieser Richtlinie
Wir können diese Richtlinie regelmäßig aktualisieren. Wesentliche Änderungen werden mindestens 14 Tage vor Inkrafttreten per In-App-Benachrichtigung oder E-Mail mitgeteilt.
12. Kontakt & Aufsichtsbehörde
Aleks Misuna (Verantwortlicher)
a.misuna@yahoo.com
Sie haben das Recht, eine Beschwerde bei Ihrer nationalen Datenschutzbehörde einzureichen, z. B. dem Bundesbeauftragten für den Datenschutz (BfDI).