Stand: 6. Mai 2026
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie KatchIt! nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
KatchIt! ist ein Multiplayer-Fotospiel, das als Web-App, iOS-App und Android-App verfügbar ist. Die App erhebt bewusst so wenig Daten wie möglich. Optional können Nutzerkonten über Google, Apple oder E-Mail erstellt werden, um Spielstände geräteübergreifend zu synchronisieren. In der iOS- und Android-Version werden Werbeanzeigen von Google AdMob eingeblendet (siehe Abschnitt 5b). Werbung wird erst nach ausdrücklicher Einwilligung geladen. Die Web-Version enthält keine Werbung.
Verantwortlich im Sinne der DSGVO:
Pascal Grimm
Wiederholdstraße 2
70714 Stuttgart
E-Mail: support@katchit.app
Sie können optional ein Nutzerkonto erstellen, um Spielstände und Einstellungen geräteübergreifend zu synchronisieren. Die Anmeldung erfolgt über Google, Apple oder E-Mail (Magic Link). Dabei werden folgende Daten verarbeitet:
Die App ist auch ohne Nutzerkonto vollständig nutzbar. Ein Konto kann jederzeit in den Einstellungen gelöscht werden — alle zugehörigen Daten werden dabei serverseitig entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Registrierung).
Bei der Nutzung geben Sie einen frei wählbaren Spielernamen ein und können optional ein Avatar-Foto aufnehmen. Beides wird temporär für die Dauer des Spiels auf unseren Servern gespeichert und anderen Mitspielern angezeigt. Nach Spielende werden diese Daten gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Spieldienstes).
Während des Spiels nehmen Sie Fotos auf, die den jeweiligen Spielkategorien zugeordnet werden. Diese Fotos werden:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bei jedem Cold-Start zeigt KatchIt! einen nicht-überspringbaren KI-Einwilligungs-Screen mit zwei separaten Schaltern. Bevor der Nutzer auf „Bestätigen" tippt, wird kein KI-Dienst kontaktiert.
Beide Schalter können einzeln deaktiviert bleiben — die App bleibt nutzbar, die zugehörigen Funktionen sind dann hinter einem klaren In-App-Dialog gesperrt, der direkt in die Einstellungen verlinkt. Beide Einwilligungen können jederzeit unter Einstellungen → Datenschutz & KI widerrufen werden; der Widerruf wirkt sofort und sperrt die zugehörige Funktion ohne Abmeldung. Bei Abmeldung werden beide Einwilligungen zurückgesetzt, sodass der nächste Nutzer auf demselben Gerät seine eigene Einwilligung erteilen muss.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) — erforderlich, bevor ein Foto an einen Drittanbieter-KI-Dienst gesendet wird.
Die App bietet zwei optionale Modi mit automatischer KI-Fotobewertung: Solo-Modus und Multiplayer-Modus „KI-Bewerter". Beide Modi werden nur freigeschaltet, wenn der Nutzer „KI-Foto-Bewertung" am Hard-Gate-Screen aktiviert hat (siehe d). In beiden Modi werden Fotos zur Bewertung an einen KI-Auftragsverarbeiter übermittelt — mit folgendem Routing:
@cf/meta/llama-4-scout-17b-16e-instruct.In beiden Fällen gilt:
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung am Hard-Gate beim ersten App-Start, in den Einstellungen widerrufbar).
Wenn — und nur wenn — der Nutzer „Foto-Sicherheitsprüfung" am Hard-Gate-Screen aktiviert hat (siehe d), durchläuft jedes Foto, das für ein Multiplayer-Spiel aufgenommen wird, sowie jedes hochgeladene Profil-Avatar eine automatische Inhaltsprüfung über Cloudflare Workers AI BEVOR es gespeichert wird. Dies verhindert, dass unangemessene Inhalte (sexuelle Inhalte, grafische Gewalt, Hasssymbole etc.) mit anderen Spielern geteilt oder auf unseren Servern gespeichert werden, gemäß App-Store-Richtlinie 1.2. Wird diese Einwilligung nicht erteilt, sind Avatar-Upload und Multiplayer-Fotoaufnahme gesperrt.
| Anbieter | Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA |
|---|---|
| Modell | @cf/meta/llama-4-scout-17b-16e-instruct |
| Wann aufgerufen | Einmal vor jedem Multiplayer-Spielfoto-Upload und jedem Avatar-Upload (NICHT für Solo-Modus-Fotos, NICHT für die Multiplayer-„KI-Bewerter"-Bewertung — letztere ist durch (e) abgedeckt) |
| Übertragene Daten | Nur Bild-Bytes. Kein Name, keine E-Mail, keine Nutzer-ID, kein Standort. |
| Speicherdauer | Keine — Bild wird in-memory zur Sicherheits-Beurteilung verarbeitet und sofort verworfen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung am Hard-Gate beim ersten App-Start, in den Einstellungen widerrufbar). Cloudflare handelt ausschließlich als Auftragsverarbeiter auf Basis seiner Workers-AI-Enterprise-Bedingungen und verwendet übermittelte Bilder nicht zum Training seiner KI-Modelle. |
Im Solo-Modus wird Ihr Spielergebnis (Spielername, Punktzahl, Kategorienanzahl, Zeitbonus) an unseren Server übermittelt und in einer öffentlichen Bestenliste angezeigt. Der Spielername ist für alle Nutzer sichtbar.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Spielbezogene Daten wie gewählte Kategorien, Bewertungen (Sternvergabe) und Spielstände werden für die Dauer des Spiels gespeichert und nach Spielende gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bei der Aufnahme eines Spielfotos wird — sofern Sie die Standortberechtigung erteilt haben — Ihr aktueller GPS-Standort (Breitengrad und Längengrad) erfasst und zusammen mit dem Foto auf unseren Servern gespeichert. Diese Daten dienen dazu, den Aufnahmeort in der Fotogalerie und im Spielverlauf anzuzeigen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Standortberechtigung).
Die App benötigt Zugriff auf die Kamera Ihres Geräts, um Spielfotos aufzunehmen. Dieser Zugriff wird über die Berechtigungsdialoge Ihres Betriebssystems angefragt und kann jederzeit in den Geräteeinstellungen widerrufen werden. Ohne Kamerazugriff ist die Kernfunktion der App nicht nutzbar.
Die App nutzt den lokalen Speicher Ihres Geräts (Local Storage bzw. App-interner Speicher) zur temporären Zwischenspeicherung von Spielfotos, Avataren und Spielstatistiken. Diese Daten verbleiben auf Ihrem Gerät und werden nicht an Dritte übermittelt.
KatchIt! erhebt bewusst keine:
Hinweis zur Werbung: In der iOS- und Android-Version kann Google AdMob zur Anzeige von Werbung geräte- und interessenbezogene Daten erheben (Werbe-ID, Geräte-Fingerprint). Vor dem ersten Einblenden von Werbung werden Sie dazu um Ihre Einwilligung gebeten. Details siehe Abschnitt 5b. Die Web-Version enthält keine Werbung.
| Anbieter | Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 |
|---|---|
| Zweck | Datenbank (PostgreSQL), Echtzeit-Kommunikation (WebSocket), Dateispeicher (Fotos), Authentifizierung |
| Verarbeitete Daten | Spielernamen, Avatar-Fotos, Spielfotos, Spielstände, Bewertungen, Spiel-Metadaten, Solo-Bestenliste, optional: E-Mail-Adresse und Profildaten bei Kontoerstellung |
| Serverstandort | EU (Frankfurt, Deutschland) |
| Speicherdauer | Spieldaten: nur während der Spieldauer, automatische Löschung nach Spielende. Kontodaten: bis zur Kontolöschung. Solo-Bestenliste: dauerhaft. |
| Datenschutz | supabase.com/privacy |
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 28 DSGVO (Auftragsverarbeitung).
| Anbieter | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland |
|---|---|
| Zweck | Einblendung von Werbeanzeigen (Rewarded Ads, Interstitial Ads) in der iOS- und Android-Version |
| Verarbeitete Daten | Werbe-ID (GAID/IDFA), IP-Adresse, Geräteinformationen (Typ, Betriebssystem), App-Nutzungsdaten, ggf. Standort (grob, wenn erteilt), Interaktionsdaten mit Werbeanzeigen |
| Serverstandort | USA und EU (Google-Rechenzentren weltweit) |
| Speicherdauer | Gemäß Google-Datenschutzrichtlinie (max. 18 Monate für personalisierte Werbedaten) |
| Einwilligung | Nur nach ausdrücklicher Einwilligung im Consent-Dialog beim App-Start (DSGVO-konform über Google UMP) |
| Datenschutz | policies.google.com/privacy |
| Opt-Out | Einwilligung jederzeit in den App-Einstellungen unter „Werbeeinstellungen" widerrufbar |
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Ohne Einwilligung werden ausschließlich nicht-personalisierte Werbeanzeigen gezeigt oder keine Werbung eingeblendet.
Drittlandübermittlung: Google LLC hat seinen Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) sowie ergänzend auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
| Anbieter | Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA |
|---|---|
| Zweck | Primärer KI-Auftragsverarbeiter für SOWOHL die Solo-Modus-KI-Bewertung ALS AUCH die Multiplayer-„KI-Bewerter"-Bewertung. Modell: gemini-2.5-flash. Cloudflare Workers AI (siehe Abschnitt 5d) wird automatisch als Fallback genutzt, falls Gemini vorübergehend nicht erreichbar ist. |
| Verarbeitete Daten | Spielfotos (als Bilddaten), Kategoriename (als Text). Keine personenbezogenen Daten (kein Name, keine E-Mail, keine Nutzer-ID). |
| Serverstandort | USA und weltweit (Google Cloud-Rechenzentren) |
| Speicherdauer | Keine Speicherung — Fotos werden nur zur Echtzeit-Verarbeitung übertragen und sofort verworfen |
| Einwilligung | Explizite In-App-Einwilligung am Hard-Gate-Bildschirm beim ersten App-Start (Schalter 2 — „KI-Foto-Bewertung"). Bis zur Erteilung sind Solo- und KI-Bewerter-Modus gesperrt. Jederzeit unter Einstellungen → Datenschutz & KI widerrufbar; ein Widerruf sperrt die Modi sofort. |
| Verarbeiter-Status | Google LLC handelt ausschließlich als Auftragsverarbeiter unter Googles kommerziellen Gemini-API-Bedingungen und verwendet übermittelte Fotos nicht zum Training von Googles KI-Modellen. |
| Datenschutz | policies.google.com/privacy |
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Drittlandübermittlung: Google LLC hat seinen Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO. Ergänzend werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) eingesetzt. Diese Übermittlung findet nur statt, wenn der Nutzer am Hard-Gate „KI-Foto-Bewertung" aktiviert hat.
Wir nutzen Cloudflare Workers AI für zwei separate Zwecke. Beide Verwendungen übertragen ausschließlich Bild-Bytes (und für die KI-Bewertung einen Kategoriename) — keine personenbezogenen Daten. Beide Verwendungen erfordern eine ausdrückliche Einwilligung am Hard-Gate-Bildschirm beim ersten App-Start und sind an zwei separate Schalter gebunden, sodass jede Verwendung einzeln abgelehnt werden kann.
| Anbieter | Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA |
|---|---|
| Verwendung 1 — KI-Bewertung-Fallback | Falls der primäre Gemini-Aufruf (Abschnitt 5c) fehlschlägt (z.B. temporäre Ausfälle, Rate-Limits), wird dasselbe Bild + Kategoriename stattdessen an Cloudflare Workers AI gesendet (Modell @cf/meta/llama-4-scout-17b-16e-instruct). Abgedeckt durch denselben Hard-Gate-Schalter wie Gemini („KI-Foto-Bewertung"). |
| Verwendung 2 — Bild-Sicherheits-Moderation | Jedes Multiplayer-Spielfoto und jedes Profil-Avatar wird durch Cloudflare Workers AI (gleiches Modell) auf inhaltliche Sicherheit geprüft, BEVOR es auf unseren Servern gespeichert wird. Erkennt unangemessene Inhalte (sexuelle Inhalte, Gewalt, Hasssymbole etc.) gemäß App-Store-Richtlinie 1.2. An einen separaten Hard-Gate-Schalter gebunden („Foto-Sicherheitsprüfung"). Bei Ablehnung sind Avatar-Upload und Multiplayer-Fotoaufnahme gesperrt. Solo-Modus-Fotos werden NICHT separat moderiert, da sie direkt an den KI-Bewerter gehen, der eine eigene Sicherheitsprüfung durchführt. |
| Serverstandort | Weltweit (Cloudflare Edge Network), Verarbeitung auf dem nächstgelegenen Rechenzentrum |
| Speicherdauer | Keine — Bilder werden in-memory zur Beurteilung verarbeitet und sofort verworfen |
| Verarbeiter-Status | Cloudflare Inc. handelt ausschließlich als Auftragsverarbeiter unter Cloudflares Workers-AI-Geschäftsbedingungen und verwendet übermittelte Bilder nicht zum Training seiner KI-Modelle. |
| Datenschutz | cloudflare.com/privacypolicy |
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung am Hard-Gate beim ersten App-Start) für beide Verwendungen. Beide Schalter sind jederzeit unter Einstellungen → Datenschutz & KI widerrufbar; der Widerruf wirkt sofort und sperrt die jeweilige Funktion.
Drittlandübermittlung: Cloudflare hat seinen Sitz in den USA und ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Ergänzend werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) eingesetzt.
| Anbieter | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland |
|---|---|
| Zweck | Automatische Erfassung von App-Abstuerzen und Fehlermeldungen zur Verbesserung der App-Stabilitaet |
| Verarbeitete Daten | Crash-Logs (Stacktraces), Geraetetyp, Betriebssystemversion, App-Version, Zeitpunkt des Absturzes. Keine personenbezogenen Daten (kein Name, keine E-Mail). |
| Serverstandort | USA und EU (Google-Rechenzentren) |
| Speicherdauer | 90 Tage (gemaess Firebase-Richtlinie) |
| Datenschutz | firebase.google.com/support/privacy |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilitaet und Fehlerbehebung der App).
Drittlanduebermittlung: Google LLC hat seinen Sitz in den USA. Die Datenuebermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) sowie ergaenzend auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
| Anbieter | Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA |
|---|---|
| Zweck | Hosting und Auslieferung der Web-Version von KatchIt! unter katchit.app |
| Verarbeitete Daten | IP-Adresse, Zeitpunkt des Zugriffs, Browsertyp, Betriebssystem, Referrer-URL (Server-Logdaten) |
| Serverstandort | Weltweit (Edge Network), primär USA und EU |
| Speicherdauer | Server-Logs werden gemäß Vercel-Richtlinien nach max. 30 Tagen gelöscht |
| Datenschutz | vercel.com/legal/privacy-policy |
Hinweis: Das Web-Hosting über Vercel betrifft ausschließlich die Web-Version der App. Die iOS- und Android-Versionen kommunizieren direkt mit Supabase.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Bereitstellung der Web-App).
Vercel Inc. hat seinen Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO, sofern Vercel unter dem DPF zertifiziert ist. Ergänzend werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als Absicherung eingesetzt.
Supabase speichert die Daten für KatchIt! auf Servern in der EU (Frankfurt). Eine Übermittlung in Drittländer findet durch Supabase für dieses Projekt grundsätzlich nicht statt.
Google LLC (AdMob, nur iOS/Android) hat seinen Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) sowie auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Diese Übermittlung findet nur statt, sofern Sie im Consent-Dialog eingewilligt haben.
Cloudflare Inc. hat seinen Sitz in den USA und ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Fotos werden nur zur Echtzeit-Verarbeitung übertragen und nicht gespeichert.
Diese App nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung für alle Datenübertragungen. Sämtliche Kommunikation zwischen der App und unseren Servern erfolgt verschlüsselt über HTTPS.
| Datentyp | Speicherdauer |
|---|---|
| Nutzerkonto (optional) | Bis zur Kontolöschung durch den Nutzer |
| Spielername | Bis Spielende, dann gelöscht |
| Avatar-Foto | Bis Spielende, dann gelöscht |
| Spielfotos | Bis Spielende, dann gelöscht |
| Standortdaten (GPS) | Bis Spielende, dann gelöscht (zusammen mit Fotos) |
| Bewertungen / Spielstände | Bis Spielende, dann gelöscht |
| Solo-Bestenliste | Dauerhaft (Spielername und Punktzahl) |
| KI-Fotobewertung | Keine Speicherung (Echtzeit-Verarbeitung) |
| Server-Logdaten (Web) | Max. 30 Tage (Vercel) |
| Werbedaten (AdMob, iOS/Android) | Gemäß Google-Datenschutzrichtlinie (max. 18 Monate); nur nach Einwilligung |
| Lokaler Gerätespeicher | Bis zur manuellen Löschung oder Deinstallation |
Sie haben gemäß DSGVO folgende Rechte:
Falls Sie ein Nutzerkonto erstellt haben, können Sie dieses jederzeit in den App-Einstellungen löschen. Alle zugehörigen Daten werden dabei vollständig entfernt. Ohne Nutzerkonto werden alle Spieldaten nach Spielende automatisch gelöscht, sodass eine nachträgliche Zuordnung zu einzelnen Personen nicht möglich ist.
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Sie können sich insbesondere an die Aufsichtsbehörde Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version finden Sie stets unter katchit.app/datenschutz.html.
Bei Fragen zum Datenschutz erreichen Sie uns unter:
support@katchit.app