Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Michael Salah Milik Andrawos
Bienengasse 9/22, 8020 Graz
Österreich
E-Mail: [email protected]
Du kannst uns auf Englisch, Deutsch oder Arabisch erreichen.
2. Welche Daten wir erheben — und warum
Wir erheben nur die Daten, die Forra für seine Funktion braucht. Jeder Eintrag unten ist benannt, begründet und einer Rechtsgrundlage nach DSGVO Art. 6 Abs. 1 zugeordnet.
| Datenkategorie | Zweck | Rechtsgrundlage (Art. 6 Abs. 1) | Speicherdauer |
|---|---|---|---|
| Zugangsdaten (E-Mail, gehashtes Passwort) | Authentifizierung; Sitzungswiederherstellung | (b) Vertragserfüllung | Kontolaufzeit + 24 h nach Löschung |
| Familienmitgliedschaften + Anzeigename | Familien-Datentrennung | (b) Vertragserfüllung | Kontolaufzeit + 24 h nach Löschung |
| Einkaufslisten-Artikel + Erledigt-Status | Kernfunktion | (b) Vertragserfüllung | Kontolaufzeit + 24 h nach Löschung (von anderen Familienmitgliedern hinzugefügte Artikel bleiben auf der geteilten Liste) |
| Ausgaben (Betrag, Kategorie, Datum, Notiz) | Kernfunktion + KI-Rückblick | (b) Vertragserfüllung | Kontolaufzeit + 24 h nach Löschung; rechnungsrelevante Einträge 7 Jahre nach § 132 BAO |
| Einnahmen | Kernfunktion | (b) Vertragserfüllung | Wie Ausgaben |
| Wiederkehrende Ausgaben + Einnahmen | Automatisierung | (b) Vertragserfüllung | Kontolaufzeit + 24 h nach Löschung |
| Sprachaufnahmen (Mikrofon-Audio) | Spracherkennung | (a) deine ausdrückliche Einwilligung — einmaliger JIT-Dialog | Wird nicht gespeichert — sofort nach Transkription verworfen |
| Sprachtranskripte (Textergebnis) | Anzeige + Intent-Extraktion | (a) deine Einwilligung | Kontolaufzeit + 24 h nach Löschung |
| Stimme & KI Einwilligungs-Flag | Erinnern, ob du den einmaligen JIT-Dialog akzeptiert hast, um Wiederholungen zu vermeiden | (a) deine Einwilligung (Zustand davon) | Kontolaufzeit + 24 h nach Löschung; jederzeit widerrufbar in Einstellungen → Datenschutz → Stimme & KI |
| KI-Rückblick-Cache | Wiederverwendung | (b) Vertragserfüllung | Wie Ausgaben |
| Absturzberichte | Fehlerdiagnose | (f) berechtigtes Interesse — jederzeit abschaltbar in Einstellungen → Datenschutz | 90 Tage bei Sentry, danach aggregiert |
| Push-Benachrichtigungs-Tokens | Zustellung der von dir aktivierten Benachrichtigungen | (a) Einwilligung (OS-Dialog) | Bis zur Token-Rotation oder Kontolöschung |
| IP-basierter Standort (Stadt/Land) | Erkennungs-Signal in Passwort-Änderungsmail | (f) berechtigtes Interesse | Nicht nach dem E-Mail-Versand gespeichert |
| Abo-Status | KI-Features hinter Abo absichern | (b) Vertragserfüllung | Abo-Laufzeit + 30 Tage Audit für Betrugsprüfung |
| Kontolöschungs-Audit-Log | Betrugsprüfung + DSGVO-Audit | (f) berechtigtes Interesse | 30 Tage ab Löschungsbestätigung |
Was wir NICHT erheben: Standortkoordinaten, Kontakte, Fotos, Dateien außerhalb von Forra, Werbe-IDs, Browserverlauf oder Verhalten in anderen Apps. Wir binden keine Drittanbieter-Analytik oder Tracking-Pixel in unsere Mobile-App oder diese Website ein.
3. Auftragsverarbeiter
Forra nutzt diese Drittanbieter-Dienste, um das Produkt bereitzustellen. Mit jedem besteht ein unterzeichneter Auftragsverarbeitungs-Vertrag nach DSGVO Art. 28. Übermittlungen an US-Anbieter stützen sich auf die EU-Standardvertragsklauseln (Art. 46) und ergänzende Maßnahmen gemäß Schrems II.
| Auftragsverarbeiter | Land | Rolle | AVV |
|---|---|---|---|
| Supabase, Inc. | EU (Frankfurt) | Datenbank, Authentifizierung, Edge Functions, Dateispeicher | supabase.com/legal/dpa |
| OpenAI, LLC | USA | Sprachtranskription (Whisper) + Intent-Extraktion (GPT-4o-mini) | openai.com/policies/data-processing-addendum |
| Resend, Inc. | USA | Transaktions-E-Mail-Versand | resend.com/legal/dpa |
| Functional Software, Inc. (Sentry) | USA | Absturzberichte (abschaltbar) | sentry.io/legal/dpa |
| RevenueCat, Inc. | USA | Abo-Abrechnung + Webhook | revenuecat.com/dpa |
| ipapi.co | USA | IP-basierter Standort für Passwort-Änderungsmails | ipapi.co/privacy |
4. Spracheingabe und KI (EU AI Act Art. 50)
Wenn du die Spracheingabe nutzt:
- Dein Mikrofon-Audio wird an OpenAI Whisper zur Sprach-zu-Text-Umwandlung gesendet.
- Das resultierende Transkript wird an OpenAI GPT-4o-mini gesendet, um eine strukturierte Absicht zu extrahieren (z. B. „Milch zur Einkaufsliste hinzufügen“ → eine `shopping_item_added`-Aktion).
- Die Audio-Aufnahme wird nach der Transkription nicht gespeichert, weder bei OpenAI noch bei Forra.
- Du bestätigst oder bearbeitest das geparste Ergebnis immer, bevor Forra es in deine Daten schreibt.
- Du kannst die Einwilligung jederzeit in Einstellungen → Datenschutz → Stimme & KI widerrufen.
Die Spracheingabe ist Teil des optionalen kostenpflichtigen Abos (4,99 €/Monat oder 49,99 €/Jahr). Ohne Abo erscheint der Sprach-Button nicht.
5. Kontolöschung
Du kannst dein Konto jederzeit unter Einstellungen → Konto → Konto löschen in der Forra-App löschen. Wir verpflichten uns:
- Deine Löschung mit deinem Passwort zu bestätigen.
- Die Löschkaskade innerhalb von 24 Stunden nach deiner bestätigten Anfrage abzuschließen.
- Dir eine Bestätigungs-E-Mail nach Abschluss zu schicken (kein anklickbarer Wiederherstellungslink — siehe /delete-account).
- Nur das aufzubewahren, was das österreichische Recht verlangt: Rechnungsbelege (7 Jahre nach § 132 BAO) und einen 30-tägigen Audit-Log-Eintrag der Löschung für Betrugsprüfung.
6. Deine Rechte nach DSGVO
Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:
- Auskunft (Art. 15): Kopie aller Daten anfordern, die wir über dich haben.
- Berichtigung (Art. 16): Unrichtige Daten korrigieren.
- Löschung (Art. 17): Konto und alle zugehörigen Daten löschen (siehe § 5).
- Datenübertragbarkeit (Art. 20): Deine Daten in maschinenlesbarem Format erhalten.
- Widerspruch (Art. 21): Verarbeitung auf Grundlage berechtigten Interesses widersprechen (z. B. Absturzberichte abschalten).
- Widerruf der Einwilligung (Art. 7 Abs. 3): Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
Zur Ausübung dieser Rechte: E-Mail an [email protected]. Wir antworten innerhalb von 30 Tagen nach Art. 12 Abs. 3.
7. Beschwerderecht
Wenn du der Meinung bist, dass Forra deine Daten nicht ordnungsgemäß behandelt, kannst du eine Beschwerde bei der österreichischen Datenschutzbehörde einlegen:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien, Österreich
www.dsb.gv.at
8. Meldung von Datenschutzverletzungen
Tritt eine Verletzung des Schutzes personenbezogener Daten auf, die voraussichtlich ein Risiko für deine Rechte und Freiheiten darstellt, verpflichtet sich Forra:
- Die österreichische Datenschutzbehörde innerhalb von 72 Stunden nach Kenntnisnahme zu benachrichtigen (DSGVO Art. 33).
- Dich unverzüglich direkt zu informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für deine Rechte und Freiheiten zur Folge hat (Art. 34).
9. Automatisierte Entscheidungen
Forra trifft keine ausschließlich automatisierten Entscheidungen, die rechtliche oder ähnlich bedeutende Wirkung dir gegenüber entfalten. Der KI-Rückblick ist rein informativ und ändert keinen Zustand ohne deine Aktion; die Spracheingabe liefert immer ein Transkript für deine manuelle Bestätigung, bevor in deine Daten geschrieben wird.
10. Änderungen dieser Erklärung
Bei wesentlichen Änderungen informieren wir dich in der App und per E-Mail mindestens 30 Tage vor Inkrafttreten gemäß Art. 13 Abs. 3. Die aktuelle Version und das Datum „Zuletzt aktualisiert" stehen oben auf dieser Seite.