Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Maxim Fröhlich
Mollstr. 27
68165 Mannheim
Deutschland

E-Mail: [email protected]

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i.V.m. § 38 BDSG nicht zu bestellen.

Impressum: legal.curlify.cc/impressum

2. Überblick

Curlify ist eine mobile App zur Analyse von Haarpflegeprodukten und Inhaltsstoffen nach der Curly-Girl-Methode. Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir bei der Nutzung der App erheben, wie wir sie verarbeiten und welche Rechte dir zustehen (Art. 13 DSGVO).

3. Erhobene Daten und Verarbeitungszwecke

3.0 Bereitstellung der App und Logfiles

Bei jeder Verbindung der App mit unseren Servern werden aus technischen Gründen automatisch Daten übermittelt und temporär in Logfiles gespeichert. Dazu gehören:

IP-Adresse des Endgeräts
Datum und Uhrzeit der Anfrage
Betriebssystem und Gerätetyp (z. B. iOS 17, Android 14)
Art der Anfrage (z. B. API-Endpunkt)
Übertragene Datenmenge
Fehlercodes und Statusmeldungen

Diese Daten werden ausschließlich zu technischen Zwecken verarbeitet und nach maximal 7 Tagen automatisch gelöscht, sofern sie nicht zur Aufklärung von Sicherheitsvorfällen benötigt werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung der Stabilität, Sicherheit und Fehlerbehebung der Infrastruktur, insbesondere der Abwehr von DDoS-Angriffen und der Analyse technischer Störungen.

3.1 Kontodaten (Registrierung & Anmeldung)

Bei der Registrierung und Anmeldung erheben wir:

Daten	Quelle	Zweck
E-Mail-Adresse	Google / Apple	Identifizierung, Kontozugang
Name (Anzeigename)	Google / Apple (optional)	Personalisierung
Eindeutige Benutzer-ID (UUID)	Supabase Auth	Datenbankverknüpfung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.2 Haarprofil

Nach der Registrierung kannst du freiwillig ein Haarprofil anlegen. Wir speichern:

Lockentyp (z. B. wellig, lockig, coily)
Haarstruktur (fein, mittel, kräftig)
Haardichte (niedrig, mittel, hoch)
Porosität (niedrig, normal, hoch)
Kopfhautfettigkeit (trocken, normal, fettig)
Ob das Haar chemisch behandelt/gefärbt ist
Empfindliche Kopfhaut (ja/nein)
Bevorzugte Methode (z. B. Strict Curly Girl)
Klimazone
Haarziele

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Hinweis zur Einordnung: Haartypmerkmale wie Lockentyp, Porosität und Haardichte sind kosmetisch-ästhetische Merkmale und keine Gesundheitsdaten i.S.v. Art. 9 DSGVO. Merkmale wie „Kopfhautfettigkeit", „empfindliche Kopfhaut" und „chemisch behandelt" könnten von Aufsichtsbehörden als gesundheitsnahe Daten eingestuft werden. Wir stützen die Verarbeitung dieser Daten vorsorglich hilfsweise auf Art. 9 Abs. 2 lit. a DSGVO. Zu diesem Zweck wird im Onboarding eine separate, ausdrückliche Einwilligungserklärung für das Haarprofil eingeholt (z. B. Checkbox mit explizitem Einwilligungstext), die über die bloße Dateneingabe hinausgeht.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Du kannst deine Einwilligung zur Verarbeitung des Haarprofils jederzeit widerrufen, indem du in der App unter Einstellungen → Profil → Haarprofil löschen das Profil entfernst. Der Widerruf hat zur Folge, dass keine personalisierten Produktempfehlungen mehr bereitgestellt werden können – die Kernfunktion der App (Analyse nach Curly-Girl-Methode) ist damit faktisch nicht mehr nutzbar. Dein Konto und andere Daten (gespeicherte Produkte, Routinen) bleiben davon unberührt.

3.3 Produktscans (Bilderkennung)

Beim Scannen von Inhaltsstofflisten über die Kamera wird das aufgenommene Bild:

Temporär als Base64-Daten an unseren Backend-Server übertragen
Über die OpenRouter-API (KI-Dienst) zur Texterkennung verarbeitet
Nicht dauerhaft gespeichert, das Bild wird nach der Verarbeitung verworfen

Außerdem speichern wir zur Kontingentsteuerung:

Anzahl erfolgreicher Scans pro Monat
Anzahl fehlgeschlagener Scans pro Monat

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Kamerazugriff (TDDDG § 25): Die Scan-Funktion erfordert Zugriff auf die Gerätekamera. Dieser Zugriff erfolgt ausschließlich auf aktive Nutzerinitiative hin und wird vom Betriebssystem (iOS / Android) durch einen expliziten Berechtigungsdialog genehmigt. Ohne erteilte Kameraberechtigung ist die Scan-Funktion nicht verfügbar. Der Zugriff ist für die Vertragserfüllung technisch zwingend erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

3.4 Eigene Produkte (User Products)

Produkte, die du manuell hinzufügst, werden gespeichert:

Produktname, Marke, Kategorie
Zugehörige Inhaltsstoffe

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.5 Gespeicherte Produkte (Merkliste)

Wir speichern, welche Produkte aus unserer Datenbank du als Favorit markiert hast.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.6 Haarpflege-Routinen

Wenn du Routinen erstellst und verwendest, speichern wir:

Routinename und -beschreibung
Routineschritte (Reinigen, Conditionieren, Stylen etc.) mit zugehörigen Produkten
Geplante und abgeschlossene Routine-Ereignisse mit Datum
Bewertung (1–5), Notizen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.7 Tagesprotokolle

Das freiwillig ausfüllbare Tagesprotokoll speichert:

Datum
Bewertungen (Frizz, Definition, Trockenheit, Kopfhautgefühl, Glanz, Gesamtbewertung) auf einer Skala von 1–5
Freitext-Notizen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

3.8 Produktaufrufe

Wir speichern intern, welche Produkte du angesehen hast (Zeitstempel + Produkt-ID), um die App zu verbessern und dir relevante Inhalte anzuzeigen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Verbesserung der Produktempfehlungen und der App-Performance (z. B. Anzeige zuletzt gesehener Produkte). Die Daten werden nicht für Werbezwecke genutzt; es werden keine aussagekräftigen Verhaltensprofile erstellt.

3.9 Premium-Status & In-App-Käufe

Bei Abschluss eines Premium-Abonnements wird dein Abonnementstatus mit RevenueCat abgeglichen. Wir speichern:

Premium-Status (ja/nein)
Zeitpunkt des letzten Status-Abgleichs

Transaktions- und Zahlungsdaten werden ausschließlich von RevenueCat sowie den jeweiligen App-Plattformen verarbeitet. Apple Inc. (App Store) und Google LLC (Google Play) agieren bei der Abwicklung von In-App-Käufen als eigenständig Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO – ihre Verarbeitung von Zahlungsdaten unterliegt deren eigenen Datenschutzbestimmungen, nicht dieser Erklärung. Wir erhalten von diesen Plattformen keine vollständigen Zahlungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

4. Drittdienste und Datenübertragungen

Mit allen nachfolgend genannten Dienstanbietern, die als Auftragsverarbeiter tätig werden, bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

4.0 Server-Infrastruktur

Der Backend-Server von Curlify wird auf einem Server der OVH Cloud (Datacenter Gravelines / GRA, Frankreich) betrieben. Die Verarbeitung findet damit innerhalb der EU statt. OVH ist zertifizierter ISO 27001-Anbieter.

Anbieter: OVH SAS, 2 rue Kellermann, 59100 Roubaix, Frankreich
Datenschutz: ovhcloud.com/de/personal-data-protection

4.1 Supabase (Authentifizierung & Datenbank)

Wir nutzen Supabase als Backend-as-a-Service für Authentifizierung und Datenbankhosting.

Anbieter: Supabase Inc., 970 Tasso St. #250, Palo Alto, CA 94301, USA
Datenschutz: supabase.com/privacy
Übertragung in Drittländer: Ggf. in die USA; Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO, Durchführungsbeschluss (EU) 2021/914.

4.2 Google Sign-In

Anbieter: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
Datenschutz: policies.google.com/privacy
Übertragung in Drittländer: USA; Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 vorhanden.

4.3 Apple Sign-In

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA
Datenschutz: apple.com/legal/privacy
Übertragung in Drittländer: USA; Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 vorhanden.

4.4 RevenueCat (In-App-Käufe)

Anbieter: RevenueCat Inc., 633 Tasman Drive, San Jose, CA 95134, USA
Datenschutz: revenuecat.com/privacy
Übermittelte Daten: Pseudonymisierte Benutzer-ID (Supabase UUID), Abonnementstatus
Übertragung in Drittländer: USA; Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 vorhanden.

4.5 OpenRouter (KI-Texterkennung)

Beim Scannen von Inhaltsstoffen wird das aufgenommene Bild temporär über OpenRouter an ein KI-Modell weitergeleitet, um den abgebildeten Text (Inhaltsstoffliste) maschinell zu erkennen und in ein strukturiertes Format zu überführen. Das Bild wird ausschließlich zu diesem Zweck übertragen und danach weder von uns noch von OpenRouter dauerhaft gespeichert.

Anbieter: OpenRouter Inc., USA
Datenschutz: openrouter.ai/privacy
Verarbeitete Daten: Bildinhalte (Produktrückseite mit Inhaltsstoffliste); keine Nutzerfotos, keine biometrischen oder gesundheitsbezogenen Daten
Übertragung in Drittländer: USA; Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914.
Auftragsverarbeitungsvertrag: Ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO liegt vor. OpenRouter ist SOC 2 Type II zertifiziert (Stand Juli 2025).
Unterauftragsverarbeiter: OpenRouter leitet Anfragen an KI-Modell-Anbieter weiter (u. a. Google LLC, OpenAI Inc., Anthropic PBC). Curlify hat keinen direkten AVV mit diesen Unterauftragnehmern; deren Einbindung erfolgt über OpenRouters eigene Datenschutzverpflichtungen. Die jeweils aktuelle Sub-Processor-Liste ist abrufbar unter openrouter.ai/privacy.

4.6 Cloudflare R2 (Bildspeicherung)

Produktbilder in unserer Datenbank werden in Cloudflare R2 gespeichert.

Anbieter: Cloudflare Inc., 101 Townsend St., San Francisco, CA 94107, USA
Datenschutz: cloudflare.com/privacypolicy
Übertragung in Drittländer: USA; Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914 vorhanden.
Hinweis: Es werden ausschließlich Produktbilder gespeichert – keine Nutzerfotos.

5. Speicherdauer

Datenkategorie	Speicherdauer
Logfiles (IP-Adresse etc.)	Maximal 7 Tage (sofern nicht für Sicherheitsvorfälle benötigt)
Kontodaten	Bis zur Löschung des Kontos
Haarprofil	Bis zur Löschung des Kontos
Routinen & Tagesprotokolle	Bis zur Löschung des Kontos oder manuellen Entfernung
Produktscans (Bilder)	Nicht gespeichert – sofortige Verarbeitung und Löschung
Scan-Kontingent (Zähler)	Wird monatlich zurückgesetzt
Produktaufrufe	Bis zur Löschung des Kontos
Premium-Status	Bis zur Löschung des Kontos

Hinweis zu gesetzlichen Aufbewahrungspflichten: Einer Löschung können gesetzliche Aufbewahrungspflichten entgegenstehen (z. B. §§ 238, 257 HGB, § 147 AO). Soweit solche Pflichten bestehen, wird die Verarbeitung der betroffenen Daten auf die gesetzlich vorgeschriebene Aufbewahrung beschränkt. Betroffen sind insbesondere Rechnungs- und Transaktionsnachweise im Zusammenhang mit Premium-Abonnements, die von RevenueCat sowie den App-Plattformen (Apple, Google) gemäß deren eigenen gesetzlichen Pflichten gespeichert werden.

6. Deine Rechte

Als betroffene Person hast du folgende Rechte:

Auskunft (Art. 15 DSGVO): Du kannst Auskunft über die über dich gespeicherten Daten verlangen.
Berichtigung (Art. 16 DSGVO): Du kannst die Korrektur unrichtiger Daten verlangen.
Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen ("Recht auf Vergessenwerden"). Die Kontolöschung ist direkt in der App unter Einstellungen → Konto löschen möglich.
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO): Widerspruchsrecht bei Verarbeitung auf Grundlage berechtigter Interessen – siehe gesonderten Hinweis unten.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft möglich.
Beschwerde bei der zuständigen Datenschutzbehörde (Art. 77 DSGVO). Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Lautenschlagerstraße 20, 70173 Stuttgart – baden-wuerttemberg.datenschutz.de.

Anfragen zur Ausübung dieser Rechte richte bitte an: [email protected]

⚠️ Besonderer Hinweis – Widerspruchsrecht (Art. 21 Abs. 4 DSGVO)

Soweit wir personenbezogene Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten – insbesondere Produktaufrufe (Abschnitt 3.8) –, hast du das jederzeitige Recht, dieser Verarbeitung zu widersprechen. Nach einem Widerspruch werden diese Daten nicht mehr verarbeitet, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die deine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 21 Abs. 1 DSGVO).

Widerspruch richten an: [email protected]

7. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

Verschlüsselte Datenübertragung via HTTPS/TLS
Zugriffskontrollen und Row-Level Security (RLS) in der Datenbank
JWT-basierte Authentifizierung (Supabase Auth)
Regelmäßige Sicherheitsüberprüfungen der Infrastruktur

7a. Anonyme oder pseudonyme Nutzung (TDDDG § 19 Abs. 2)

Curlify erfordert für die Kernfunktionen (personalisierte Produktanalyse, Speicherung von Routinen und Favoriten) eine Registrierung mit E-Mail-Adresse über Google Sign-In oder Apple Sign-In. Eine anonyme Nutzung ohne Konto ist nicht möglich.

Die Verarbeitung erfolgt pseudonymisiert (Zuordnung über eine UUID), jedoch nicht anonym, da die Verknüpfung mit der E-Mail-Adresse eine Identifizierung ermöglicht. Die Registrierungspflicht ist technisch und funktional zwingend erforderlich, um:

personalisierte Empfehlungen anhand deines Haarprofils zu erstellen,
deine Daten geräteübergreifend zu synchronisieren,
Routinen, Favoriten und Tagesprotokolle persistent zu speichern.

Eine Gastnutzung ohne Registrierung ist derzeit nicht implementiert.

8. Automatisierte Entscheidungsfindung und Profiling (Art. 13 Abs. 2 lit. f DSGVO)

Es findet keine automatisierte Entscheidungsfindung i.S.v. Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt.

Die App analysiert Inhaltsstoffe von Haarpflegeprodukten anhand deines Haarprofils und gibt Empfehlungen (z. B. „geeignet", „Vorsicht", „vermeiden"). Dabei findet technisches Profiling i.S.v. Art. 4 Nr. 4 DSGVO statt (Auswertung persönlicher Merkmale zur Bewertung von Produkten). Dieses Profiling hat jedoch keine rechtlich erheblichen oder ähnlich bedeutsamen Auswirkungen i.S.v. Art. 22 DSGVO, da:

keine rechtserheblichen Entscheidungen getroffen werden,
die Empfehlungen rein informativer Natur sind und
du jede Empfehlung ignorieren oder dein Profil jederzeit anpassen kannst.

Art. 22 DSGVO (automatisierte Einzelentscheidung) findet daher keine Anwendung.

Die KI-gestützte Bilderkennung (Abschnitt 3.3, OpenRouter) dient ausschließlich der Texterkennung und Zuordnung zu unserer Inhaltsstoffdatenbank; personenbezogene Daten werden dabei nicht zur individuellen Profilbildung genutzt.

9. Kinder

Curlify richtet sich nicht an Personen unter 16 Jahren. Die DSGVO i.V.m. § 8 BDSG setzt die Altersgrenze für eine eigenständige digitale Einwilligung in Deutschland auf 16 Jahre. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren. Falls uns bekannt wird, dass eine Person unter 16 Jahren ein Konto erstellt hat, werden die entsprechenden Daten unverzüglich gelöscht.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist stets in der App und auf unserer Website abrufbar. Bei wesentlichen Änderungen informieren wir dich über die App.

11. Kontakt

Bei Fragen zum Datenschutz wende dich bitte an:

Maxim Fröhlich
E-Mail: [email protected]