💕DuoDoLove
Zurück zur Startseite

Datenschutzerklärung (Deutschland / EU – DSGVO)

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

  • Name/Firma: Quavon
  • Anschrift: Langbehnstraße 39, 83022 Rosenheim, Deutschland
  • E-Mail: mail@duodolove.com
  • Kontakt (Support): mail@duodolove.com

2. Datenschutzbeauftragter

Sofern benannt:

  • Datenschutzbeauftragter: Leopold Link
  • Kontakt: mail@duodolove.com

Falls kein Datenschutzbeauftragter bestellt ist, erfolgt die Kontaktaufnahme bitte über die oben genannten Kontaktdaten des Verantwortlichen.

3. Geltungsbereich / Dienste

Diese Datenschutzerklärung gilt für die Nutzung der DuoDoLove-Dienste, insbesondere:

  • Mobile Apps / Frontend unter https://duodolove.com
  • REST-API unter https://api.duodolove.com
  • Authentifizierung über Keycloak (OIDC/JWT)
  • Push-Benachrichtigungen über Apple Push Notification service (APNs), soweit aktiviert

4. Kategorien personenbezogener Daten

Wir verarbeiten – abhängig von der Nutzung – insbesondere folgende Datenkategorien:

4.1 Konto- und Identitätsdaten

  • Benutzername
  • E-Mail-Adresse
  • Vorname/Nachname, Anzeigename (falls angegeben)
  • Status (aktiv/inaktiv), E-Mail-Verifikation
  • Sprach-/Regionseinstellungen (z. B. de-DE)
  • Geburtsdatum (falls angegeben)

4.2 Sicherheits- und Authentifizierungsdaten

  • Authentifizierungstokens (z. B. JWT)
  • 2FA (TOTP): verschlüsselt gespeichertes Secret und verschlüsselte Backup-Codes
  • Passkeys/WebAuthn: Credential-ID, öffentlicher Schlüssel (COSE), Metadaten (z. B. AAGUID, Counter, Transportarten), Gerätebezeichnung (falls vergeben)
  • Geräte- und Sessiondaten: Geräte-ID (clientseitige UUID), Session-ID, letzter Login

4.3 Nutzungs- und Protokolldaten

  • IP-Adresse (z. B. bei Login/Session-Management und Sicherheitsfunktionen)
  • User-Agent / Geräteinformationen (soweit vom Client übermittelt)
  • Zeitstempel, technische Ereignisse, Fehler- und Sicherheitslogs

4.4 Beziehungs-/Pairing-Daten

  • Partner-Zuordnung (UUID des Partners)
  • Beginn der Beziehung/Pairing-Zeitpunkt (falls genutzt)

4.5 Inhaltsdaten (von Nutzer:innen eingegeben)

Je nach Feature können Inhalte entstehen, die personenbezogen sein können:

  • Bucket-Lists, Journal/Tagebuch, Stimmungs-/Mood-Tracking, Dates/Erinnerungen, Movies/Matches, Counters/Countdowns, Time-Capsules u. a.

Hinweis zu sensiblen Inhalten: Du bestimmst selbst, welche Inhalte du eingibst. Inhalte wie Stimmungs-/Gesundheitsangaben können besonders schützenswert sein. Bitte teile nur Informationen, die du teilen möchtest. Du kannst Inhalte in der Regel in der App löschen.

4.6 Chat-Daten (Ende-zu-Ende verschlüsselt)

Der Chat ist „E2EE-ready“: Das Backend speichert nur Chiffretext (Ciphertext). Die Schlüssel werden vom Client erzeugt und verwaltet. Typischerweise verarbeiten wir dabei:

  • Verschlüsselte Nachrichteninhalte (Ciphertext) und Initialisierungsvektoren
  • Verschlüsselte Symmetrieschlüssel (hybride Verschlüsselung)
  • Metadaten wie Sendezeitpunkt, Sender/Empfänger-Bezug (technisch erforderlich), Nachrichtentyp
  • Öffentliche Schlüssel/Key-Versionen; ggf. clientseitig verschlüsselte private Schlüsselanteile (nur als Ciphertext)

Wir können Chat-Inhalte ohne die clientseitig verwalteten Schlüssel grundsätzlich nicht im Klartext lesen.

4.7 Push-Benachrichtigungen (APNs)

Wenn Push aktiviert ist, verarbeiten wir:

  • Geräte-Tokens (APNs Device Token)
  • Plattform/Umgebung (z. B. iOS, Sandbox/Production)
  • Ereignisbezogene technische Payload (z. B. Hinweis auf neue Nachricht)

5. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage nach Art. 6 DSGVO (und – falls anwendbar – Art. 9 DSGVO) vorliegt.

5.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Zur Bereitstellung und Durchführung der Dienste, z. B.:

  • Registrierung, Login, Sessionverwaltung, Kontoverwaltung
  • Pairing/Partnerfunktionen
  • Bereitstellung von Features (z. B. Journal, Bucket-List, Counters, Dates, Time-Capsules, Chat)
  • Technische Bereitstellung von Push-Benachrichtigungen (sofern vom Nutzer genutzt)

5.2 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Zur Wahrung unserer berechtigten Interessen, insbesondere:

  • IT-Sicherheit, Missbrauchs-/Betrugsprävention, Abwehr von Angriffen
  • Fehleranalyse, Stabilität, Betrieb und Weiterentwicklung der Dienste
  • Durchsetzung/Verteidigung rechtlicher Ansprüche

5.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Soweit wir für bestimmte Verarbeitungen eine Einwilligung einholen (z. B. optionale Inhalte, Kommunikation, besondere Kategorien), erfolgt die Verarbeitung auf dieser Grundlage. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

5.4 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Wenn Nutzer:innen freiwillig besonders schützenswerte Daten (z. B. Gesundheits-/Stimmungsdaten) im Journal oder in anderen Inhalten speichern, erfolgt die Verarbeitung nur, soweit eine passende Rechtsgrundlage vorliegt – regelmäßig auf Basis ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Du kannst solche Inhalte jederzeit löschen.

5.5 Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Soweit wir gesetzlichen Pflichten unterliegen (z. B. handels-/steuerrechtliche Aufbewahrung, Auskunftsersuchen), verarbeiten wir Daten auf dieser Grundlage.

6. Empfänger, Auftragsverarbeiter und Datenübermittlungen

Wir setzen – soweit erforderlich – Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein. Mit diesen schließen wir entsprechende Verträge. Typische Empfängerkategorien:

  • Hosting/Infrastructure Provider: Hetzner Online GmbH, Deutschland
  • E-Mail-Versand/SMTP-Provider: Mailgun, EU
  • Authentifizierung/Identity-Provider (Keycloak): Self-hosted, Deutschland
  • Push-Dienst Apple (APNs): Apple Inc., USA (Dienst zur Übermittlung von Push-Nachrichten)
  • Monitoring/Logging (falls eingesetzt): Self-hosted, Deutschland

6.1 Drittlandübermittlungen

Soweit Daten in Länder außerhalb der EU/des EWR übermittelt werden (z. B. APNs), erfolgt dies nur unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (z. B. Angemessenheitsbeschluss, Standardvertragsklauseln, zusätzliche Schutzmaßnahmen).

7. Speicherdauer / Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich zur Aufbewahrung verpflichtet sind. Beispiele (nicht abschließend):

  • Kontodaten: solange das Konto besteht; nach Löschung im Rahmen gesetzlicher Aufbewahrungsfristen bzw. berechtigter Interessen (z. B. Missbrauchsabwehr) mit angemessenen Fristen
  • Sicherheits-/Protokolldaten: in der Regel zeitlich begrenzt (z. B. wenige Wochen/Monate), sofern keine längere Aufbewahrung aus Sicherheitsgründen erforderlich ist
  • Push-Tokens: bis zur Abmeldung/Unregister oder Token-Rotation
  • Chat-Ciphertext und Inhalte: solange die Nutzer:innen die Inhalte nicht löschen bzw. das Konto besteht (vorbehaltlich technischer/gesetzlicher Erfordernisse)

Konkrete Fristen sind abhängig von der tatsächlichen Implementierung und müssen ggf. in einer operativen Lösch-/Retention-Policy festgelegt werden.

8. Betroffenenrechte

Du hast – sofern die gesetzlichen Voraussetzungen vorliegen – folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)

Zur Ausübung deiner Rechte kontaktiere uns unter mail@duodolove.com (oder über die oben genannten Kontaktdaten).

9. Widerruf von Einwilligungen

Wenn die Verarbeitung auf deiner Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

10. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

11. Pflicht zur Bereitstellung von Daten

Bestimmte Daten sind für die Bereitstellung der Dienste erforderlich (z. B. Konto-/Login-Daten). Ohne diese ist die Nutzung der Dienste nicht oder nur eingeschränkt möglich. Weitere Angaben sind freiwillig.

12. Automatisierte Entscheidungen / Profiling

Wir treffen keine ausschließlich automatisierten Entscheidungen im Sinne von Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen.

13. Sicherheitsmaßnahmen und Verschlüsselung

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um deine Daten zu schützen, insbesondere:

  • Transportverschlüsselung (TLS) für die Kommunikation
  • Rollen- und Berechtigungskonzepte, Zugriffsbeschränkungen
  • Verschlüsselte Speicherung besonders schützenswerter Sicherheitsdaten (z. B. TOTP-Secrets, Backup-Codes)
  • Ende-zu-Ende Verschlüsselung für Chat-Inhalte (Server speichert Ciphertext)

Wichtig: Verschlüsselung schützt nicht in jedem Szenario vor allen Risiken (z. B. kompromittiertes Endgerät, schwache Geräte-Sperre). Der Schutz der Endgeräte liegt auch in der Verantwortung der Nutzer:innen.

14. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Rechtslage, Dienste oder Datenverarbeitungen ändern. Die jeweils aktuelle Fassung wird unter dieser Datenschutzerklärung bereitgestellt.

Stand: 2026-12-21