Datenschutzerklärung

1. Verantwortlicher

Simon Kappelmeir – Dienstleistung
Weiherbachweg 6
82216 Maisach
E-Mail:
Telefon: 0171/9350369

2. Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

3. Erhobene personenbezogene Daten

Folgende personenbezogene Daten werden im Rahmen der App-Nutzung verarbeitet:

• E-Mail-Adresse (für Registrierung, Login und Passwort-Wiederherstellung)
• Anzeigename (für Account-Verwaltung und Protokollierung)
• Passwort (serverseitig gehasht gespeichert, nicht im Klartext)
• Arbeitsstunden, Abwesenheiten und Zeiterfassungsdaten
• GPS-Standortdaten (nur bei aktiver Nutzung der Stempeluhr auf mobilen Geräten, mit ausdrücklicher Einwilligung)
• Erste-Hilfe-Einträge (Name der verletzten Person, Unfallhergang, Ersthelfer, Firma)
• Pflanzenschutz-Dokumentation (Mittel, Aufwandmengen, Flächen, Name des Anwenders)
• Düngungsdaten (Düngungsmaßnahmen, Bodenanalysen, eigene Düngemittel)
• Kunden- und Lieferantendaten (Name, Adresse, Steuernummer, USt-IdNr., IBAN, Kontaktdaten)
• Betriebszugehörigkeit und Mitgliederstatus
• Finanzdaten (Buchungen, Belegnummern) in der Bilanz-Funktion
• Dokumentationen (selbst angelegte Anleitungen, Arbeitshilfen, Verknüpfungen zu Aufgaben/Kulturen)
• Etiketten-Vorlagen (Format, Felder, Druckereinstellungen für Zebra-Drucker)
• Importierte/exportierte Dateien (verbleiben lokal auf dem Endgerät, werden nicht an den Anbieter übertragen)
• Zahlungsdaten bei Abo-Abschluss über Stripe (Firmenname, USt-IdNr., Rechnungs-E-Mail; Kreditkarten-/Bankdaten werden ausschließlich von Stripe verarbeitet)
• Bei Apple In-App-Kauf: anonyme Apple-Transaction-ID, Tier-Stufe und Ablaufdatum des Abos (Apple selbst übermittelt uns keine Zahlungs- oder Kontaktdaten)
• Geräte-ID (zufällig generierte Kennung zur Synchronisation, nicht mit Gerätedaten verknüpft)
• Letzte Aktivität (Zeitstempel des letzten App-Starts, zur Erkennung inaktiver Accounts)

4. Rechtsgrundlage

• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (GPS-Standort)
• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Account-Verwaltung, Kernfunktionen)
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung (Erste-Hilfe-Dokumentation gemäß § 24 DGUV Vorschrift 1; Pflanzenschutz-Dokumentation gemäß (EG) Nr. 1107/2009 und PflSchG; Düngungsdokumentation gemäß DüV)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Betriebsorganisation, Kunden-/Lieferantenverwaltung)

5. Datenspeicherung und Hosting

Die Daten werden lokal auf dem Endgerät (SharedPreferences, Keychain/Secure Storage) und auf einem selbst gehosteten Appwrite-Server in Deutschland gespeichert. Der Zugriff erfolgt über teambasierte Berechtigungen (Appwrite-Permissions). Echtzeit-Synchronisation erfolgt über WebSocket. Es werden keine Daten an externe Dienste (Google, Apple, Firebase) übermittelt — abgesehen von Stripe für die Zahlungsabwicklung (siehe Abschnitt 16).

6. E-Mail-Verarbeitung

Die E-Mail-Adresse wird ausschließlich für Registrierung/Verifizierung, Passwort-Wiederherstellung und Team-Einladungen verwendet. Versand erfolgt über den eigenen Appwrite-Server. Es werden keine Newsletter oder Werbemails versendet.

7. Datensicherheit

Die gesamte Datenübertragung zwischen App und Server erfolgt über HTTPS mit TLS 1.2 oder höher. Der Zugriff auf Betriebsdaten ist über Appwrite-Team-Permissions abgesichert: nur angemeldete Mitglieder des jeweiligen Betriebs können Daten lesen oder verändern. Der Server wird in Deutschland betrieben und ist durch OS-seitige Zugriffskontrolle, Firewall, regelmäßige Sicherheitsupdates und verschlüsselte Offsite-Backups geschützt. Im App-Code sind keine Zugangsdaten, API-Schlüssel oder Secrets enthalten.

8. GPS-Standortdaten und Geofencing

GPS-Daten werden ausschließlich bei aktiver Nutzung der GPS-Stempeluhr auf mobilen Geräten und nach ausdrücklicher Einwilligung verarbeitet. Es wird lediglich geprüft, ob sich der Nutzer im Radius eines Standorts befindet — Daten werden nicht dauerhaft gespeichert. Die Standorterkennung erfolgt über natives Geofencing (Android: GeofencingClient, iOS: CLLocationManager Region Monitoring). Dabei registriert die App definierte Arbeitsstandorte beim Betriebssystem, das die App bei Betreten oder Verlassen eines Bereichs benachrichtigt. Es wird kein dauerhafter Vordergrund-Dienst oder permanentes Tracking ausgeführt. Die Einwilligung ist jederzeit in den Geräteeinstellungen widerrufbar.

9. Erste-Hilfe-Buch

Dokumentation gemäß § 24 Abs. 6 DGUV Vorschrift 1. Daten werden mit SHA-256-Hash geschützt und 5 Jahre aufbewahrt. Nachträgliche Ergänzungen werden mit Zeitstempel und Benutzername protokolliert.

10. Pflanzenschutz-Dokumentation

Dokumentation gemäß (EG) Nr. 1107/2009 und PflSchG. Erfasst werden u. a. Mittel, Zulassungsnummer, Kultur, Fläche, Aufwand-/Wassermenge, Anwendungsart, Schadorganismus und Anwender. Aufbewahrung 3 Jahre.

11. Düngungsdokumentation

Dokumentation gemäß Düngeverordnung (DüV). Erfasst werden Datum, Düngemittel, Aufwandmenge, Fläche, Kultur und Beet sowie optional Bodenanalysen.

12. Kunden- und Lieferantendaten

Im Kontaktverwaltungs-Modul können Stammdaten (inkl. Steuer-/Bankdaten) gespeichert werden. Sie sind ausschließlich für berechtigte Mitglieder des jeweiligen Betriebs zugänglich.

13. Echtzeit-Synchronisation

Synchronisation erfolgt über eine WebSocket-Verbindung zum eigenen Appwrite-Server. Es werden keine Push-Benachrichtigungen über externe Dienste versendet. Eine zufällig generierte Geräte-ID dient als Absenderkennung und ist nicht mit Person/Gerät verknüpfbar.

14. Datenimport und -export

Die App ermöglicht den Import von Kulturen, Beeten und Aufgaben aus eigenen Dateien (Excel, CSV, JSON, SQLite) sowie den Export aller Betriebsdaten als Excel oder JSON. In der kostenlosen Version (inkl. Testphase) werden importierte Daten nur temporär für 15 Minuten bereitgestellt und anschließend automatisch gelöscht. In den kostenpflichtigen Abo-Stufen sind Importe dauerhaft. Der Datenexport steht ausschließlich in den kostenpflichtigen Abo-Stufen zur Verfügung. Das Recht auf Datenauskunft gemäß DSGVO Art. 20 kann jederzeit per E-Mail an app@sikapp.de ausgeübt werden. Importierte und exportierte Dateien verbleiben ausschließlich auf dem Endgerät und werden nicht an den Anbieter oder Dritte übermittelt. Der Nutzer ist selbst dafür verantwortlich, dass importierte Daten keine Rechte Dritter verletzen.

15. Etikettendruck, lokales Netzwerk und Bluetooth

Im Business-Abo steht ein Etiketten-Editor sowie der Direktdruck auf Thermotransfer-Etikettendrucker (Zebra, Bixolon, TSC, Godex, CAB u. a.) zur Verfügung. Die Verbindung erfolgt wahlweise über:

• das lokale Netzwerk (TCP auf Port 9100 mit ZPL/TSPL/EPL/JScript)
• Bluetooth Low Energy (BLE) zu Druckern in Reichweite

Druckersuche: Im Netzwerk per mDNS/Bonjour bzw. Subnetz-Scan; per Bluetooth per BLE-Scan der erreichbaren Geräte. Es werden dabei keine personenbezogenen Daten erhoben oder an Dritte übermittelt. Druckaufträge werden ausschließlich direkt vom Endgerät an den Drucker gesendet, ohne Umweg über externe Server.

Für die Netzwerk-Druckersuche ist auf iOS und macOS die Freigabe „Lokales Netzwerk" erforderlich; für Bluetooth-Drucker die Bluetooth-Berechtigung. Beide können jederzeit in den Systemeinstellungen widerrufen werden.

16. Zahlungsabwicklung über Stripe (Web / Android)

Für die Abrechnung der Pro- und Business-Abonnements im Web und auf Android nutzen wir Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA). Übermittelt werden E-Mail-Adresse, Firmenname und USt-IdNr. (sofern angegeben). Kreditkarten- und Bankdaten werden ausschließlich von Stripe verarbeitet. Datenschutzerklärung: stripe.com/de/privacy

16a. Zahlungsabwicklung über Apple In-App-Purchase (iOS / macOS)

Wird ein Abo über die iOS- oder macOS-App abgeschlossen, erfolgt die Abrechnung ausschließlich durch Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Wir erhalten von Apple keine Kreditkarten-, Bank- oder Kontaktdaten — lediglich eine anonyme Transaction-ID, die Tier-Stufe (Basis/Pro/Business) und das Ablaufdatum des Abos werden auf dem Endgerät gespeichert, um den Funktionsumfang freizuschalten. Eine Übermittlung dieser Daten an unseren Server erfolgt nur, wenn der Nutzer die App auf einem zweiten Gerät verwendet und die Käufe wiederherstellen lässt; in diesem Fall wird der Apple-Receipt zur Validierung an unseren Server übertragen.

Verwaltung, Wechsel und Kündigung erfolgen ausschließlich über die iOS-/macOS-System-Einstellungen → [Dein Name] → Abos. Datenschutzerklärung von Apple: apple.com/legal/privacy/de-ww/

17. Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte findet nicht statt, mit Ausnahme der Zahlungsabwicklung über Stripe (Abschnitt 16), Apple In-App-Purchase (Abschnitt 16a) sowie der optionalen Bank-/Firmen-Lookups (Abschnitt 17a). Innerhalb eines Betriebs können Daten von anderen Mitgliedern eingesehen werden, sofern der Eigentümer die entsprechenden Berechtigungen erteilt hat.

17a. Bank- und Firmen-Lookup (IBAN, USt-IdNr.)

Beim Anlegen oder Bearbeiten eines Kunden- oder Lieferanten-Kontakts werden eingegebene IBANs und USt-Identifikationsnummern automatisch an externe Dienste übermittelt, um BIC, Bankname bzw. Firmenname und Adresse zu ermitteln und das Eingabefeld vorzubefüllen.

• openiban.com (fintectura GmbH, Berlin) — IBAN-Validierung und BIC/Bankname-Lookup. Datenschutz: openiban.com
• EU-VIES (Europäische Kommission, GD TAXUD) — Validierung der USt-IdNr. inkl. offizieller Firmendaten. Hinweise: ec.europa.eu/taxation_customs/vies

Die VIES-Anfrage wird technisch über einen eigenen Server-Proxy (gaertnerei.sikapp.de/api/vies-check.php) geleitet, weil EU-VIES keine browserseitigen Anfragen erlaubt. Auf diesem Proxy werden die Antworten der EU-Kommission für maximal 30 Minuten zwischengespeichert (file-basierter Cache), um wiederholte Lookups derselben USt-IdNr. zu vermeiden und die Erreichbarkeit zu verbessern. Nach Ablauf der 30 Minuten wird der Cache-Eintrag automatisch überschrieben oder gelöscht.

Übermittelt wird ausschließlich die jeweilige IBAN bzw. USt-IdNr. Es findet keine dauerhafte Speicherung bei den Anbietern statt; die Lookups erfolgen rein zur Plausibilisierung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Stammdatenpflege).

17b. Adress-Autocomplete (PLZ → Ort, Straßen-Vorschläge)

Beim Anlegen oder Bearbeiten eines Kontakts werden Adresseingaben automatisch um Ort, Land und Straßen-Vorschläge ergänzt, um die Eingabe zu beschleunigen.

• zippopotam.us — kostenlose Postleitzahl-Datenbank. Bei Eingabe einer PLZ wird diese mit Länderprefix übermittelt; zurückgeliefert werden Ort und Land. Datenschutz: zippopotam.us
• Photon (komoot.io, Karlsruhe) — Straßen-Autocomplete auf Basis von OpenStreetMap-Daten. Bei Eingabe ab 3 Zeichen im Straßen-Feld wird der Suchbegriff übermittelt; zurückgeliefert werden passende Straßen, PLZ, Ort und Stadtteil. Datenschutz: komoot.com/privacy

Übermittelt werden nur die jeweils eingegebenen Such-Bestandteile (PLZ bzw. Straßenname). Es findet keine dauerhafte Speicherung beim Anbieter statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Stammdatenpflege).

18. Speicherdauer und Löschung

• Account-Daten: bis zur Löschung durch den Nutzer
• Betriebsdaten: bis zur Löschung durch den Eigentümer
• Erste-Hilfe-Einträge: 5 Jahre (DGUV)
• Pflanzenschutz-Einträge: 3 Jahre (PflSchG)
• Einladungscodes: verfallen nach 48 Stunden
• Kostenlose Accounts ohne aktives Abo: automatische Löschung nach 2 Jahren Inaktivität (Warnung 30 Tage vorher)

19. Rechte der betroffenen Personen

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung. Anfragen an:

20. Beschwerderecht

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, lda.bayern.de

21. Änderungen

Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Die aktuelle Version ist jederzeit in der App und unter dieser URL einsehbar.

Stand: 06.05.2026 (Version 1.8)