Zum Inhalt springen

Datenschutzerklärung

Datenschutzerklärung für Kithora

Stand: März 2026


Willkommen bei Kithora. Wir glauben, dass deine privaten Momente, Pläne und Daten dir gehören. Deshalb haben wir Kithora als Local-First-Anwendung entwickelt. Im Gegensatz zu herkömmlichen Cloud-Apps speichern wir deine persönlichen Daten nicht auf zentralen Servern, um sie zu analysieren oder zu verkaufen. Dein Gerät ist dein Tresor.

Diese Datenschutzerklärung erläutert, wie wir Daten erfassen, verwenden und schützen, wenn du unsere mobile Anwendung und unsere Webseite nutzt. Verantwortlicher im Sinne der DSGVO ist:

Arndt Lehmann
Glück-Auf-Straße 41, 09394 Hohndorf, Deutschland
E-Mail: [email protected]


1. Das Local-First Prinzip & Datenspeicherung

Kithora basiert auf einer dezentralen Architektur. Das bedeutet:

  • Keine Accounts: Du musst kein Benutzerkonto mit E-Mail oder Telefonnummer erstellen. Wir kennen deine Identität nicht.
  • Lokale Speicherung: Alle Inhalte (Koras, Steps, Finanzen, Fotos) werden primär lokal auf deinem Gerät gespeichert.
  • Verschlüsselte Backups: Deine Daten werden verschlüsselt in unserer Sync-Infrastruktur gesichert, damit du sie auf einem neuen Gerät wiederherstellen kannst. Wir haben keinen Zugriff auf die unverschlüsselten Inhalte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — die lokale Speicherung und verschlüsselte Synchronisation sind wesentlicher Bestandteil des Dienstes, den du nutzt.

2. Synchronisation & Verschlüsselung

Um Daten zwischen verschiedenen Geräten (z. B. innerhalb einer Gruppe) auszutauschen, nutzt Kithora eine verschlüsselte Sync-Infrastruktur.

  • Nur verschlüsselte Daten: Unsere Sync-Server fungieren als blinde Kuriere. Sie speichern und übertragen verschlüsselte Datenpakete, ohne den Inhalt lesen zu können.
  • Ende-zu-Ende-Verschlüsselung (E2E): Alle Daten, die dein Gerät verlassen, sind verschlüsselt. Nur die Geräte deiner Gruppe (Kith) besitzen den Schlüssel zum Entschlüsseln.
  • Persistente Speicherung: Verschlüsselte Daten werden auf unseren Servern gespeichert, um die Synchronisation zwischen Geräten und die Wiederherstellung auf neuen Geräten zu ermöglichen. Da die Daten Ende-zu-Ende verschlüsselt sind, können weder wir noch Dritte die Inhalte lesen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3. Hosting & Server-Logs

Unsere Webseite und unsere Dienste werden auf eigenen bzw. gemieteten Servern in der EU betrieben. Bei jedem Zugriff auf unsere Webseite oder App-Dienste werden automatisch folgende Daten in Server-Logfiles erfasst:

  • IP-Adresse des zugreifenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL / Endpunkt
  • Übertragene Datenmenge
  • Browser-Typ und -Version (bei Webzugriff)
  • Betriebssystem

Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs, zur Erkennung und Abwehr von Angriffen und zur technischen Optimierung verarbeitet. Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Die Logfiles werden nach 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Dienstes).

Es werden keine externen CDN-Dienste (Content Delivery Networks) eingesetzt. Alle für die Webseite benötigten Ressourcen (Schriften, Skripte, Stylesheets) werden direkt von unserem eigenen Server ausgeliefert. Dadurch findet kein Datentransfer an Drittanbieter-Server statt.

4. Cookies

Unsere Webseite verwendet ausschließlich technisch notwendige Cookies:

  • Session-Cookie: Dient der Zuordnung deiner Sitzung und wird nach Schließen des Browsers gelöscht.
  • CSRF-Token-Cookie: Schützt Formulare vor Cross-Site-Request-Forgery-Angriffen. Wird nach Schließen des Browsers gelöscht.

Diese Cookies sind für den Betrieb der Webseite zwingend erforderlich. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Eine gesonderte Einwilligung ist daher nicht erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies).

5. Abonnements & Käufe (RevenueCat)

Zur Verwaltung von Abonnements (Kithora Premium, Hero-Patenschaft) und In-App-Käufen nutzen wir den Dienstleister RevenueCat, Inc., 633 Tarava St Ste 101, San Francisco, CA 94116, USA.

  • Anonyme Geräte-ID: Um deinen Kaufstatus (z. B. "Free", "Premium", "Hero") zu prüfen und wiederherzustellen, übermitteln wir eine anonymisierte Geräte-ID oder eine generierte App-User-ID an RevenueCat.
  • Keine persönlichen Daten: Wir übermitteln keine Namen, E-Mail-Adressen oder Inhalte deiner Koras an RevenueCat.
  • Die Zahlungsabwicklung erfolgt vollständig über den Google Play Store bzw. Apple App Store. Kithora speichert keine Kreditkartendaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung und Verwaltung deines Abonnements).

Drittlandtransfer: RevenueCat hat seinen Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO), soweit RevenueCat zertifiziert ist, sowie ergänzend auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). RevenueCat verarbeitet ausschließlich anonymisierte Geräte-IDs; ein Personenbezug ist für RevenueCat nicht herstellbar.

6. Nutzung von Künstlicher Intelligenz (KI)

Kithora bietet optionale KI-Funktionen an (z. B. Analyse von PDF-Crewlisten, Reiseplanung, Budget-Optimierung). Die Verarbeitung erfolgt über externe KI-Dienstleister. Kithora wählt automatisch den geeigneten Anbieter für deine Anfrage aus.

6.1 Eingesetzte KI-Dienstleister
  • Google (Alphabet Inc.) — Sitz: Mountain View, CA, USA.
  • OpenAI, Inc. — Sitz: San Francisco, CA, USA.
  • Anthropic, PBC — Sitz: San Francisco, CA, USA.
  • Moonshot AI (Beijing Moonshot Technology Co., Ltd.) — Sitz: Peking, China.
  • Z-AI — Sitz: China.
6.2 Datenverarbeitung
  • Verarbeitung: Wenn du eine KI-Funktion nutzt, werden die relevanten Daten (z. B. der Text einer hochgeladenen PDF oder deine Budget-Daten) an den jeweiligen Dienstleister zur Verarbeitung gesendet.
  • Kein Training: Die übermittelten Daten werden ausschließlich zur Erfüllung deiner Anfrage genutzt. Sie werden nicht dauerhaft gespeichert und nicht verwendet, um die KI-Modelle zu trainieren (Zero Data Retention bei API-Nutzung).
  • Transparenz: KI-Analysen finden nur statt, wenn du eine entsprechende Funktion aktiv auslöst (z. B. "Manifest scannen" oder "Budget optimieren").
  • Automatisches Routing: Kithora wählt automatisch den optimalen Anbieter basierend auf Verfügbarkeit und Eignung. Du wählst den Anbieter nicht selbst aus.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — du löst die KI-Verarbeitung jeweils aktiv und freiwillig aus.

6.3 Drittlandtransfer
  • USA (Google, OpenAI, Anthropic): Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Alle drei Anbieter unterliegen zusätzlich dem EU-U.S. Data Privacy Framework.
  • China (Moonshot AI, Z-AI): Die Datenübermittlung erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Wir weisen darauf hin, dass in China kein von der EU-Kommission anerkanntes angemessenes Datenschutzniveau besteht. Die Daten werden ausschließlich zur Anfrageverarbeitung genutzt und nicht dauerhaft gespeichert.

7. App-Berechtigungen

Damit Kithora funktioniert, benötigen wir Zugriff auf bestimmte Funktionen deines Geräts:

  • Kamera: Zum Scannen und Fotografieren von Belegen und Dokumenten. Nur auf deine Aufforderung hin.
  • Fotobibliothek: Zum Hochladen von Fotos in die Chronik oder für KI-Analysen. Nur auf deine Aufforderung hin.
  • Benachrichtigungen: Für optionale Push-Benachrichtigungen zu Gruppenaktivitäten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — du erteilst die jeweilige Berechtigung aktiv über dein Betriebssystem.

8. Drittanbieter-Dienste

Kithora nutzt folgende Drittanbieter:

  • RevenueCat, Inc. (San Francisco, USA): Abonnementverwaltung (siehe Abschnitt 5).
  • Google (Alphabet Inc.) (Mountain View, USA): KI-Dienstleister für optionale KI-Funktionen (siehe Abschnitt 6).
  • OpenAI, Inc. (San Francisco, USA): KI-Dienstleister für optionale KI-Funktionen (siehe Abschnitt 6).
  • Anthropic, PBC (San Francisco, USA): KI-Dienstleister für optionale KI-Funktionen (siehe Abschnitt 6).
  • Moonshot AI (Beijing Moonshot Technology Co., Ltd.) (Peking, China): KI-Dienstleister für optionale KI-Funktionen (siehe Abschnitt 6).
  • Z-AI (China): KI-Dienstleister für optionale KI-Funktionen (siehe Abschnitt 6).
  • Apple App Store / Google Play Store: Für die Zahlungsabwicklung von Abonnements und In-App-Käufen. Die Datenschutzrichtlinien von Apple bzw. Google gelten zusätzlich.

9. Deine Rechte (Art. 15-21, 77 DSGVO)

Dir stehen folgende Rechte in Bezug auf deine personenbezogenen Daten zu:

  • Auskunftsrecht (Art. 15 DSGVO): Du hast das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Du hast das Recht, die Berichtigung unrichtiger Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Du hast das Recht, die Löschung deiner Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du hast das Recht, die Einschränkung der Verarbeitung deiner Daten zu verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.

Da Kithora eine Local-First-Anwendung ist und keine personenbezogenen Daten auf zentralen Servern speichert, die dir zugeordnet werden können, sind klassische Auskunfts- oder Löschungsanfragen in der Regel gegenstandslos. Deine Daten liegen verschlüsselt vor — nur du und deine Gruppe können sie entschlüsseln. Wenn du die App löschst, werden die lokalen Daten von deinem Gerät entfernt.

Zur Ausübung deiner Rechte wende dich an: [email protected]

10. Beschwerderecht bei der Aufsichtsbehörde

Du hast gemäß Art. 77 DSGVO das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten rechtswidrig erfolgt. Die für uns zuständige Aufsichtsbehörde ist:

Sächsischer Datenschutz- und Transparenzbeauftragter
Devrientstraße 5
01067 Dresden
Telefon: +49 351 85471-101
Webseite: www.datenschutz.sachsen.de

11. Kinder

Kithora richtet sich nicht an Kinder unter 16 Jahren. Da wir keine Accounts erheben, können wir das Alter der Nutzer nicht überprüfen. Die Nutzung durch Minderjährige liegt in der Verantwortung der Erziehungsberechtigten.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der App oder der Rechtslage anzupassen. Die aktuelle Version findest du immer in der App und auf unserer Webseite.

13. Kontakt

Arndt Lehmann
Glück-Auf-Straße 41, 09394 Hohndorf
E-Mail: [email protected]

Stand: 19. März 2026