Datenschutzerklärung

Stand: 18. März 2026

1. Verantwortlicher

Theosis OÜ
Harju maakond, Tallinn, Kesklinna linnaosa
Registrikood: 270425
E-Mail: support@theosis-app.com

Zuständige Datenschutzaufsichtsbehörde: Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Estland.

2. Überblick der Verarbeitung

THEOSIS ist eine orthodoxe Spiritual-Companion-App. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der nachfolgend beschriebenen Zwecke und Rechtsgrundlagen.

3. Erhobene Daten und Zwecke

3.1 Registrierung und Authentifizierung

Bei der Registrierung erheben wir:

• E-Mail-Adresse (Pflicht)
• Name (optional, bei Social Login vom Provider übernommen)
• Provider-ID (Google- oder Apple-ID bei Social Login)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Social-Login-Daten werden nur auf Grundlage deiner aktiven Entscheidung verarbeitet.

Anbieter: Die Authentifizierung erfolgt über Supabase Auth (GoTrue), gehostet in der EU (AWS Frankfurt). Bei Social Login werden Daten von Google LLC bzw. Apple Inc. übermittelt (siehe Abschnitt 8).

3.2 App-Nutzungsdaten

Im Rahmen der App-Nutzung speichern wir in deinem Nutzerkonto:

• Lesefortschritt, Lesezeichen, Notizen, Highlights
• Gebetsverlauf und -einstellungen
• Onboarding-Präferenzen (gewählter Pfad, Interessen)
• Gamification-Daten (Erfahrungspunkte, Abzeichen, Serien)
• Einstellungen (Sprache, Kalendertyp, Schriftgröße, Theme)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Community-Funktionen

Wenn du Community-Funktionen nutzt, werden folgende Daten verarbeitet:

• Community-Beiträge, Fragen und Antworten (öffentlich sichtbar für andere Nutzer)
• Freundschaftsanfragen und -verbindungen
• Nutzername und Profilbild (öffentlich sichtbar)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Hinweis zur KI-Moderation: Community-Beiträge werden automatisiert durch ein KI-System (Google Gemini via OpenRouter) auf Verstöße gegen die Community-Richtlinien geprüft. Es erfolgt keine automatisierte Entscheidung mit rechtlicher Wirkung; auffällige Inhalte werden manuell geprüft. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Community).

3.4 Zahlungsdaten

Bei Abschluss eines Abonnements (55 EUR/Jahr) werden Zahlungsdaten ausschließlich von Stripe, Inc. verarbeitet. Wir speichern lediglich den Abo-Status und die Stripe-Customer-ID, jedoch keine Zahlungsmittel-Details.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.5 Transaktionale E-Mails

Wir senden dir folgende E-Mails:

• Bestätigungs-E-Mail bei Registrierung
• Passwort-Zurücksetzung
• Willkommens-E-Mail nach Onboarding

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.6 Marketing-E-Mails (Drip-Kampagne)

Nach der Registrierung kannst du dich für unsere Willkommens-E-Mail-Serie anmelden (Tag 1, 3 und 7 nach Registrierung). Diese E-Mails enthalten Tipps zur App-Nutzung und Einladungscodes.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit widerrufen — in den Einstellungen unter „E-Mail-Benachrichtigungen" oder über den Abmeldelink in jeder E-Mail.

3.7 Fehlerberichte und Performance

Zur Fehlererkennung nutzen wir Sentry. Dabei werden technische Daten wie Stack Traces, Browser-Informationen und (anonymisierte) IP-Adressen übermittelt. Es findet ein Sampling von 10% statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität der App).

3.8 Rate Limiting

Zum Schutz vor Missbrauch verwenden wir Upstash Redis für Rate Limiting. Dabei werden IP-Adressen und Request-Zähler kurzfristig gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

4. Cookies und Tracking

4.1 Technisch notwendige Cookies

• Supabase Auth-Cookies: Session-Management (zwingend erforderlich)
• tw_ok: Whitelist-Cache-Cookie (5 Min., httpOnly) — Zugangssteuerung
• NEXT_LOCALE: Sprachauswahl

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse); § 25 Abs. 2 TDDDG (technisch erforderlich).

4.2 Analyse- und Marketing-Cookies

Wir setzen Analyse- und Marketing-Cookies nur ein, wenn du über unser Consent-Banner (Usercentrics) aktiv einwilligst:

• Google Analytics 4 (via Google Tag Manager) — Nutzungsanalyse
• Meta Pixel — Conversion Tracking
• TikTok Pixel — Conversion Tracking
• Klaviyo — E-Mail-Marketing-Analytics

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Usercentrics). Die Consent-Voreinstellung ist „abgelehnt" (Consent Mode v2) — ohne deine aktive Einwilligung werden keine Tracking-Cookies gesetzt.

Du kannst deine Einwilligung jederzeit über das Cookie-Banner widerrufen (Fingerabdruck-Symbol unten links oder in den Einstellungen).

5. Empfänger und Auftragsverarbeiter

Wir geben deine Daten an folgende Kategorien von Empfängern weiter:

5.1 Hosting und Infrastruktur

• Supabase, Inc. — Datenbank, Authentifizierung, Speicher (AWS Frankfurt, EU)
• Vercel, Inc. — Hosting, CDN, Edge Functions (Region Frankfurt)
• Upstash, Inc. — Redis Rate Limiting (EU)

5.2 Authentifizierung

• Google LLC — Google OAuth (Social Login): E-Mail, Name, Profilbild-URL, Google-ID
• Apple Inc. — Apple OAuth (Social Login): E-Mail (ggf. Relay-Adresse), Name, Apple-ID

5.3 Kommunikation

• Resend, Inc. — E-Mail-Versand (transaktionale und Marketing-E-Mails)

5.4 Zahlungsabwicklung

• Stripe, Inc. — Abo-Verwaltung, Zahlungsabwicklung (PCI-DSS-zertifiziert)

5.5 Analyse und Marketing (nur mit Einwilligung)

• Google LLC — Google Analytics 4, Google Tag Manager
• Meta Platforms, Inc. — Meta Pixel
• ByteDance Ltd. — TikTok Pixel
• Klaviyo, Inc. — E-Mail-Marketing-Tracking
• Usercentrics GmbH — Consent-Management

5.6 Fehlerverfolgung

• Sentry (Functional Software, Inc.) — Error/Performance Tracking

5.7 KI-Dienste

Wir setzen KI-Modelle für verschiedene Funktionen ein. Die Verarbeitung erfolgt über folgende Anbieter:

• OpenRouter, Inc. — KI-Aggregator/Router (leitet Anfragen an die jeweiligen Modellanbieter weiter)
• Google LLC (Gemini) — Community-Moderation, Content-Übersetzungen (via OpenRouter)
• OpenAI, Inc. (GPT) — Textverarbeitung und -generierung (via OpenRouter)
• Anthropic, PBC (Claude) — Textverarbeitung, Übersetzungen, Support-Assistenz (via OpenRouter oder direkt)
• Groq, Inc. — Sprach-zu-Text-Verarbeitung (Voice API)
• ElevenLabs, Inc. — Text-to-Speech für liturgische Texte

Hinweis: Bei der Community-Moderation werden nutzergenerierte Inhalte an den jeweiligen KI-Anbieter übermittelt. Die Anbieter verarbeiten diese Daten ausschließlich zur Durchführung der Anfrage und nicht zum Training eigener Modelle (API-Nutzung). Für alle anderen KI-Funktionen (Übersetzungen, TTS) werden keine personenbezogenen Daten übermittelt.

6. Übermittlung in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF) gemäß Art. 45 Abs. 3 DSGVO und/oder auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Im Einzelnen:

• Google, Apple, Vercel, Supabase, Stripe, Sentry, Resend, Klaviyo, Meta: EU-US DPF + SCCs
• OpenAI, Anthropic: EU-US DPF + SCCs
• ByteDance (TikTok): SCCs — nur mit deiner ausdrücklichen Einwilligung via Consent-Banner
• OpenRouter, ElevenLabs, Groq: SCCs

7. Speicherdauer

• Kontodaten: Bis zur Löschung deines Kontos
• Nutzungsdaten (Fortschritt, Notizen etc.): Bis zur Löschung deines Kontos
• Zahlungsdaten (bei Stripe): Gemäß gesetzlicher Aufbewahrungsfristen (6-10 Jahre)
• Fehlerberichte (Sentry): 90 Tage
• Rate-Limit-Daten: Wenige Minuten (automatische Löschung)
• Password-Reset-Tokens: 1 Stunde (automatische Löschung)
• Server-Logs (Vercel): 30 Tage
• Consent-Nachweise: 3 Jahre (gemäß Nachweispflicht)

8. Deine Rechte

Du hast nach der DSGVO folgende Rechte:

• Auskunft (Art. 15) — Du kannst Auskunft über die von uns verarbeiteten Daten verlangen.
• Berichtigung (Art. 16) — Du kannst die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17) — Du kannst die Löschung deiner Daten verlangen. Bei Kontolöschung werden alle deine Daten sofort und dauerhaft aus 18 Datenbanktabellen gelöscht.
• Einschränkung (Art. 18) — Du kannst die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20) — Du kannst deine Daten in einem maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21) — Du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3) — Du kannst erteilte Einwilligungen jederzeit widerrufen (z.B. Cookies über das Banner, Marketing-E-Mails in den Einstellungen).

Zur Ausübung deiner Rechte schreibe an: support@theosis-app.com

9. Beschwerderecht

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Andmekaitse Inspektsioon (AKI)
Tatari 39, 10134 Tallinn, Estland
E-Mail: info@aki.ee
Web: https://www.aki.ee

Du kannst dich auch an die Aufsichtsbehörde deines Wohnsitz- oder Aufenthaltsstaates wenden.

10. Kontolöschung

Du kannst dein Konto jederzeit in den Einstellungen der App löschen, oder wende dich an support@theosis-app.com. Bei der Löschung werden alle personenbezogenen Daten sofort und dauerhaft aus 18 Datenbanktabellen entfernt (Kaskaden-Löschung). Eine Wiederherstellung ist nicht möglich.

11. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderungen unserer Dienste oder der Rechtslage. Die aktuelle Version ist stets unter dieser URL abrufbar.