Datenschutzerklärung

1. Verantwortlicher

Tegrovio — Dominik Palzer
Sterntalerweg 65
40235 Düsseldorf
E-Mail: hello@brewmind.app

2. BrewMind App — Überblick

Die BrewMind App für iOS erfordert eine Registrierung mit E-Mail und Passwort. Daten werden sowohl lokal auf Ihrem Gerät (SQLite) als auch in der Cloud (Supabase, EU-Region) gespeichert und synchronisiert.

Es werden keine Werbekennungen (IDFA) erhoben und keine Nutzungsdaten an Dritte übermittelt. Standortdaten werden nicht abgefragt. Alle Bluetooth- und Sprachverarbeitungsfunktionen laufen ausschließlich lokal auf Ihrem Gerät.

Rechtsgrundlage für die Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3. Konto und Authentifizierung

Die Nutzung der App erfordert ein Benutzerkonto. Folgende Daten werden dabei verarbeitet:

• Registrierungsdaten: E-Mail-Adresse und Passwort. Das Passwort wird serverseitig gehasht und nie im Klartext übertragen oder gespeichert.
• Profilfelder: Anzeigename, Founding-Member-Status, Datum des Beta-Beitritts.
• Sitzungstoken: Werden ausschließlich lokal im iOS Keychain (via expo-secure-store) gespeichert — nicht in der Cloud.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. Lokal gespeicherte Daten

Alle Nutzerdaten werden primär lokal in einer SQLite-Datenbank auf dem Gerät gespeichert. Die App ist offline-fähig; Cloud-Synchronisation erfolgt zusätzlich, sobald eine Verbindung besteht.

• Espresso-Parameter (Dosis, Yield, Zeit, Temperatur, Druck, Bewertungen, Notizen)
• Maschinen, Mühlen, Bohnen, Roester, Hersteller, Rezepte, Brueh-Methoden, Messgeräte
• Kalibrierungsdaten und Grind-Korrelationen
• App-Einstellungen und Präferenzen (bleiben stets nur lokal, werden nicht synchronisiert)
• CSV-Export jederzeit möglich (Datenhoheit beim Nutzer)
• Bei fehlender Internetverbindung arbeitet die App offline; die Synchronisation erfolgt automatisch bei erneuter Verbindung

5. Cloud-Synchronisation (Supabase)

Bei angemeldetem Konto werden folgende Daten mit dem Cloud-Server synchronisiert und in der EU-Region von Supabase (Supabase Inc., 444 De Haro Street, San Francisco, CA 94107, USA) gespeichert. Supabase agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO; ein Auftragsverarbeitungsvertrag besteht. Näheres dazu unter Abschnitt 13.

• Equipment: Maschinen, Mühlen, Bohnen, Roester, Hersteller, Rezepte, Brueh-Methoden, Messgeräte
• Shot-Daten: Brueh-Parameter (Dosis, Yield, Zeit, Temperatur, Druck, Verhältnis, Durchflussrate, Bewertung, Notizen)
• Shot-Telemetrie: Zeitreihen-Messwerte (Gewicht, Durchflussrate, Temperatur, Druck) während des Brühvorgangs
• Geschmacks-Feedback: Bewertungen, Problem-Tags, Empfehlungen
• Mahlgrad-Korrelationen: Anpassungen zwischen aufeinanderfolgenden Bezügen
• Katalog-Anpassungen: Vom Nutzer geänderte Katalog-Einträge

Die Synchronisation dient der Datensicherung und dem geräteübergreifenden Zugriff. Daten werden verschlüsselt übertragen (TLS) und in der EU gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Synchronisation ist Kernfunktion der App).

6. Multi-Device Sync und Geräteverwaltung

Um Konflikte bei der geräteübergreifenden Synchronisation aufzulösen, wird für jede App-Installation eine zufällige Geräte-ID (UUID) erzeugt. Gespeichert wird: Nutzer-ID, Geräte-UUID und der Zeitpunkt der letzten Aktivität.

• Pro Konto können maximal 10 aktive Geräte registriert sein
• Wird das Limit überschritten, wird das älteste Gerät automatisch entfernt
• Geräte, die länger als 90 Tage nicht genutzt wurden, werden bei der Zählung aktiver Geräte nicht berücksichtigt
• Alle Daten sind über die Nutzer-ID eindeutig dem jeweiligen Konto zugeordnet

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

7. Bluetooth (BLE)

• Optionale Verbindung zu Kaffeewaagen (z. B. Acaia Lunar)
• Ausschließlich lokale Bluetooth-Kommunikation — keine Daten werden über das Internet weitergeleitet
• iOS-Berechtigung: „Bluetooth“

8. Spracherkennung

• Optionale Sprachsteuerung via Apple On-Device Speech Recognition
• Sprachdaten werden ausschließlich auf dem Gerät verarbeitet
• Keine Audio-Daten verlassen das Gerät
• iOS-Berechtigungen: „Spracherkennung“ und „Mikrofon“

9. Datenanalyse und Produktverbesserung

Der Betreiber kann die in der Cloud gespeicherten Daten analysieren, um die App weiterzuentwickeln, Fehler zu beheben und die Nutzererfahrung zu verbessern. Dies umfasst insbesondere die Auswertung von Brühparametern, Feedback-Daten und Nutzungsmustern.

Darüber hinaus kann der Betreiber bei Support-Anfragen auf die Daten einzelner Nutzer zugreifen, um technische Probleme zu diagnostizieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktverbesserung und Fehlerbehebung).

10. Kein Werbe-Tracking, keine Drittanbieter-Analytics

• Kein Advertising-Identifier (IDFA), kein Werbe-Tracking
• Keine Drittanbieter-Analytics-Dienste (kein Google Analytics, kein Mixpanel o. ä.)
• Keine Crash-Reporting-Dienste Dritter
• Kein Standortzugriff — explizit deaktiviert
• Keine Kontakte, keine Kamera, keine Fotos
• Keine Weitergabe von Daten an Dritte zu Werbezwecken

11. Datensicherheit

• Row Level Security (RLS): Auf Datenbankebene sichergestellt, dass Nutzer ausschließlich auf ihre eigenen Daten zugreifen können.
• TLS-Verschlüsselung: Alle Datenübertragungen zwischen App und Cloud erfolgen verschlüsselt.
• Passwort-Hashing: Passwörter werden serverseitig gehasht gespeichert; der Klartext wird zu keinem Zeitpunkt übertragen oder persistiert.
• iOS Keychain: Authentifizierungs-Tokens werden lokal im iOS Keychain gespeichert (expo-secure-store) und nicht in der Cloud vorgehalten.
• EU-Datenhaltung: Alle personenbezogenen Daten werden in der EU-Region von Supabase gespeichert.

12. Datenlöschung und Kontolöschung

Durch Deinstallation der App werden alle lokalen Daten entfernt. Angemeldete Nutzer können ihr Konto direkt in der App löschen. Bei Kontolöschung werden alle serverseitig gespeicherten Daten vollständig und kaskadierend gelöscht:

• Nutzerprofil und Authentifizierungsdaten (E-Mail, Passwort-Hash)
• Alle Equipment-Daten (Maschinen, Mühlen, Bohnen, Roester, Hersteller, Rezepte etc.)
• Alle Shot-Daten und Telemetrie-Daten
• Alle Feedback-Daten und Geschmacksbewertungen
• Alle Geräte-Registrierungen

Die Löschung erfolgt über eine serverseitige Edge Function (delete-account), die eine atomare und vollständige Bereinigung sicherstellt. Sie ist unmittelbar und unwiderruflich.

Das Recht auf Löschung nach Art. 17 DSGVO kann jederzeit ausgeübt werden, entweder direkt in der App oder per E-Mail an hello@brewmind.app.

13. Auftragsverarbeitung

Für die Cloud-Infrastruktur wird folgender Auftragsverarbeiter eingesetzt:

Supabase Inc.
444 De Haro Street, Suite 200, San Francisco, CA 94107, USA
Funktion: Datenbankhosting (PostgreSQL), Authentifizierung, Edge Functions
Datenspeicherort: EU-Region
Datenschutzerklärung: supabase.com/privacy

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist mit Supabase Inc. geschlossen. Supabase Inc. ist unter dem EU-US Data Privacy Framework zertifiziert, sodass ein angemessenes Datenschutzniveau für Datentransfers in die USA gewährleistet ist; die Datenhaltung selbst erfolgt innerhalb der EU.

14. Website — Hosting

Diese Website wird über GitHub Pages (GitHub Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA, ein Unternehmen der Microsoft Corporation) gehostet. Beim Aufruf dieser Website werden durch GitHub automatisch Informationen in sogenannten Server-Logfiles gespeichert, die Ihr Browser übermittelt. Dies sind insbesondere:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit der Anfrage
• Adresse der aufgerufenen Seite (URL)
• Referrer-URL (zuvor besuchte Seite)
• Verwendeter Browser und Betriebssystem

Die Erhebung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und Sicherheit der Website. Die Daten werden von GitHub verarbeitet. Näheres entnehmen Sie der Datenschutzerklärung von GitHub.

GitHub Inc. ist unter dem EU-US Data Privacy Framework zertifiziert, sodass ein angemessenes Datenschutzniveau gewährleistet ist.

15. Website — Keine Cookies

Diese Website verwendet keine Cookies und kein Tracking. Es werden keine Analyse- oder Marketing-Tools eingesetzt.

16. Website — Keine Datenerfassung durch den Betreiber

Diese Website enthält aktuell keine Formulare, Newsletter-Anmeldungen oder sonstige Eingabemöglichkeiten. Es werden durch den Betreiber über das unter Abschnitt 14 beschriebene Hosting hinaus keine personenbezogenen Daten erhoben.

17. Website — Schriftarten (Self-Hosted)

Diese Website verwendet die Schriftart „Inter“. Die Schriftdateien werden lokal von diesem Server ausgeliefert. Es findet keine Verbindung zu externen Servern (wie z. B. Google Fonts) statt.

18. Website — Externe Links

Diese Website enthält Links zu externen Websites (z. B. GitHub). Beim Klick auf diese Links werden Sie auf die jeweilige externe Seite weitergeleitet. Für die Datenverarbeitung auf diesen externen Seiten ist der jeweilige Anbieter verantwortlich.

19. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

20. Ihre Rechte

Sie haben jederzeit das Recht:

• Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten (Art. 15 DSGVO)
• Die Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
• Die Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO)
• Die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
• Datenübertragbarkeit zu verlangen (Art. 20 DSGVO)
• Der Verarbeitung zu widersprechen (Art. 21 DSGVO)
• Sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an hello@brewmind.app. Die zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (www.ldi.nrw.de).

21. Änderungen

Diese Datenschutzerklärung ist aktuell gültig (Stand: April 2026). Durch die Weiterentwicklung der App oder Website oder aufgrund geänderter gesetzlicher Vorgaben kann eine Anpassung dieser Erklärung erforderlich werden. Wesentliche Änderungen werden Nutzern mit aktivem Konto per E-Mail mitgeteilt.