Datenschutzerklärung
Pockidu ist eine datensparsame Taschengeld-App. Wir verarbeiten so wenige personenbezogene Daten wie möglich und geben sie niemals an Dritte zur Vermarktung weiter. Diese Erklärung beschreibt im Detail, welche Daten wir wann verarbeiten und auf welcher Rechtsgrundlage.
Verantwortlicher
Verantwortlich für die Datenverarbeitung ist die im Impressum genannte Person. Kontaktdaten zur Geltendmachung Ihrer Rechte finden Sie ebenfalls dort.
Welche Daten wir verarbeiten
Pockidu speichert die folgenden Daten ausschließlich, um den Dienst bereitzustellen:
• Den pseudonymen Subject-Identifier Ihres Apple- oder Google-Logins — eine vom Anbieter vergebene, für Pockidu eindeutige Kennung. Ihre E-Mail-Adresse speichern wir nicht.
• Einen Anzeigenamen (Vorname). Bei der Anmeldung mit Google übernehmen wir das Feld „given_name“ aus Ihrem Google-Login; bei Apple, das den Namen nicht im Token übermittelt, reicht die App den beim ersten Anmelden freigegebenen Vornamen durch. Ist kein Vorname vorhanden, verwenden wir einen Platzhalter. Der Anzeigename wird verschlüsselt gespeichert.
• Die Taschengeld-Inhalte, die Sie selbst anlegen: Kontonamen, Beschreibungen und Sparziel-Bezeichnungen (jeweils verschlüsselt gespeichert) sowie Beträge und Buchungen. Ein Kontoname kann beispielsweise den Vornamen Ihres Kindes enthalten.
• In-App-Kauf-Belege (Receipts) für die Verifikation gegenüber Apple StoreKit. Bank- oder Kreditkartendaten erreichen Pockidu nie; die gesamte Zahlungsabwicklung läuft über Apple.
• Geräteverknüpfungs-Tokens für das QR-Pairing zwischen Eltern- und Kindgerät (kurzlebig, einmalig nutzbar).
• Technische Geräte- und Einstellungs-Metadaten: App-Version, Build-Typ, Plattform und Betriebssystem-Version, Gerätemodell, Sprache und bevorzugte Sprache, Land, Zeitzone, Bildschirmgröße und -skalierung, Dark-Mode-Status sowie der Status der Push-Berechtigung. Diese Angaben werden nicht nur bei der Anmeldung erfasst, sondern bei authentifizierten Anfragen wiederkehrend aktualisiert (höchstens etwa einmal pro Minute) sowie beim Koppeln eines Kindgeräts. Sie werden zu Ihrem Konto gespeichert und für Statistik- und Support-Zwecke genutzt; die Auswertung im Dashboard erfolgt aggregiert ohne Verknüpfung mit Ihrer Konto-ID.
Daten von Kindern
Für Ihr Kind wird kein eigenes Benutzerkonto und kein Profil angelegt — keine E-Mail, kein Passwort, keine Anmeldedaten. Die einzigen kindbezogenen Angaben sind die Inhalte, die Sie als Elternteil selbst eintragen, etwa ein Kontoname (der den Vornamen des Kindes enthalten kann) und Beträge. Ein Kindgerät erhält über das QR-Pairing ausschließlich Lesezugriff. Sie als sorgeberechtigte Person verwalten diese Daten und können sie jederzeit löschen.
Anmeldung über Apple oder Google
Beim Anmelden über „Sign in with Apple“ oder „Sign in with Google“ validiert Pockidu das von Apple bzw. Google ausgestellte OIDC-Token kryptographisch. Wir greifen nicht auf Ihr Apple- oder Google-Profil zu und lesen keine E-Mail-Adresse und keine weiteren Profildaten. Aus dem Login übernehmen wir nur den unveränderlichen, pseudonymen Subject-Identifier sowie — als Anzeigename — Ihren Vornamen (bei Google aus dem Token-Feld „given_name“, bei Apple von der App beim ersten Anmelden durchgereicht).
In-App-Käufe (StoreKit)
Pockidu folgt einem Pay-What-You-Want-Modell mit optionalen Stufen über Apples StoreKit. Wenn Sie einen In-App-Kauf tätigen, übermittelt Apple ein Receipt an die App, das wir an unseren Server weiterleiten und gegen Apples Verifikations-Endpoint prüfen. Wir speichern die Receipt-ID und die zugeordnete Stufe. Bank- und Kreditkartendaten verbleiben ausschließlich bei Apple.
Geräteverknüpfung (QR-Pairing)
Um ein Kindgerät mit einem Elternkonto zu verknüpfen, erzeugt das Elterngerät einen kurzlebigen Pairing-Token, der als QR-Code dargestellt und vom Kindgerät gescannt wird. Der Token kann nur einmal verwendet werden und läuft nach kurzer Zeit ab. Wir speichern die resultierende Verknüpfung (LinkedDevice) und einen Hash des Tokens für Audit-Zwecke — keinen Klartext, kein wiederverwendbares Geheimnis.
Push-Benachrichtigungen
Wenn Sie Push-Benachrichtigungen erlauben, sendet Pockidu Hinweise — etwa zu wiederkehrenden Buchungen — über den Apple Push Notification service (APNs). Dazu wird ein gerätebezogener Push-Token gespeichert (mit der jeweiligen Geräteverknüpfung). Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie über die Push-Erlaubnis des Betriebssystems erteilen; Sie können sie jederzeit in den Systemeinstellungen widerrufen.
Kontaktformular (Support)
Wenn Sie uns über das Support-Formular auf unserer Website kontaktieren, verarbeiten wir die von Ihnen gemachten Angaben — Ihre E-Mail-Adresse, Ihre Nachricht sowie, falls angegeben, einen Namen — ausschließlich, um Ihre Anfrage zu bearbeiten und zu beantworten. Diese Angaben werden verschlüsselt gespeichert und nicht zu Werbe- oder Vermarktungszwecken an Dritte weitergegeben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Durchführung eines Vertrags gerichtet ist, im Übrigen unser berechtigtes Interesse an der Beantwortung von Support-Anfragen nach Art. 6 Abs. 1 lit. f DSGVO. Wir löschen die Anfragen, sobald sie abschließend bearbeitet sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Kein Tracking, keine Drittanbieter-Dienste
Pockidu enthält kein Google Analytics, kein Facebook-Pixel, keine Werbe-SDKs, keine externen Crash-Reporter (kein Sentry, kein Bugsnag, kein Datadog) und kein Funnel-Analyse-Tool. Es findet kein Event-Tracking statt, das mit Ihrer Account-ID verknüpft ist. Auch das App-Symbol- und Web-Logo-Asset wird ohne externe Tracker ausgeliefert.
Cookies
Unsere Website verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb erforderlich sind — etwa zum Speichern Ihrer Sprachauswahl sowie für die Sitzungs- und Formularsicherheit (Session, CSRF-Schutz). Sie erfordern nach § 25 Abs. 2 TDDDG keine Einwilligung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt.
Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen:
• Anmeldung und Login (Subject-Identifier und Vorname): Art. 6 Abs. 1 lit. b DSGVO — erforderlich zur Kontoerstellung und Nutzung.
• Die Taschengeld-Inhalte (Konten, Beschreibungen, Sparziele, Beträge, Buchungen): Art. 6 Abs. 1 lit. b DSGVO — Kernfunktion der App.
• In-App-Käufe (StoreKit-Belege): Art. 6 Abs. 1 lit. b DSGVO zur Vertragsdurchführung; zusätzlich Art. 6 Abs. 1 lit. c DSGVO, soweit steuer- und buchhaltungsrechtliche Aufbewahrungspflichten greifen.
• Geräteverknüpfung (QR-Pairing): Art. 6 Abs. 1 lit. b DSGVO — erforderlich für die gewünschte Verknüpfung.
• Technische Geräte-Metadaten: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Stabilität, Fehleranalyse, Missbrauchsschutz und Support.
• Push-Benachrichtigungen: Art. 6 Abs. 1 lit. a DSGVO — Ihre Einwilligung über die Push-Erlaubnis des Betriebssystems.
Hosting in der EU
Die Pockidu-Server stehen in einem Rechenzentrum innerhalb der Europäischen Union. Es gibt einen Auftragsverarbeitungsvertrag mit dem Hosting-Anbieter.
Empfänger und Auftragsverarbeiter
Pockidu gibt Daten nur an die folgenden Stellen weiter, soweit für den Betrieb erforderlich: an unseren Hosting-Anbieter als Auftragsverarbeiter (Server in der EU, Auftragsverarbeitungsvertrag vorhanden); an Apple für „Sign in with Apple“, die Kauf-Verifikation über StoreKit und den Versand von Push-Benachrichtigungen (Apple Push Notification service); an Google für „Sign in with Google“. Eine Weitergabe zu Werbe- oder Vermarktungszwecken findet nicht statt. Soweit personenbezogene Daten in die USA übermittelt werden, erfolgt dies bei zertifizierten Empfängern auf Grundlage des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss nach Art. 45 DSGVO). Andernfalls verwenden wir geeignete Garantien, insbesondere Standardvertragsklauseln.
Speicherdauer und Löschung
Wir bewahren Ihre Daten so lange auf, wie Ihr Account besteht. Wenn Sie Ihren Account löschen, werden alle damit verknüpften Daten (Subject-Identifier, Anzeigename, Konten und Buchungen, Receipts, Geräteverknüpfungen, Geräte-Metadaten) unwiderruflich aus unserer Produktivdatenbank entfernt (vollständige Löschung, keine Soft-Delete-Tombstones).
Backups
Wir erstellen bzw. nutzen technische Backups zur Sicherstellung von Verfügbarkeit, Integrität und Wiederherstellbarkeit der Systeme. Die Daten werden bei unserem Hosting-Anbieter in Deutschland verarbeitet. Datenbank-Backups werden regelmäßig erstellt und nach den vom Anbieter vorgesehenen Sicherungsintervallen vorgehalten, typischerweise als Sicherung des Vortags sowie als Sicherungen im Alter von ca. 5–8 und ca. 9–12 Tagen. Daten gelöschter Accounts werden aus dem Produktivsystem gelöscht und in Backups spätestens mit Ablauf der regulären Backup-Rotation überschrieben bzw. entfernt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.
Ihre Rechte
Nach DSGVO Art. 15–21 haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Da wir nur einen pseudonymen Subject-Identifier speichern, müssen Sie zur Identifikation den Login-Vorgang Ihres Apple- oder Google-Accounts mitteilen. Beschwerden können Sie zudem bei der für Sie zuständigen Datenschutz-Aufsichtsbehörde einreichen.
Kontakt
Anfragen zum Datenschutz und Ausübung Ihrer Rechte richten Sie an die im Impressum genannte Kontaktadresse.
Stand: 28. Juni 2026