Datenschutzerklärung

Stand: 3. Juni 2026

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf kramli.de sowie in der zugehörigen mobilen App, der Apple Watch App und den Browser-Erweiterungen (nachfolgend gemeinsam „Kramli“) ist:

Johannes Häusler
c/o flexdienst – #20367
Kurt-Schumacher-Straße 76
67663 Kaiserslautern
Deutschland

E-Mail: [email protected]

Vollständige Anbieterkennzeichnung: kramli.de/impressum.

2. Welche Daten wir erheben

2.1 Kontodaten

Bei der Registrierung und Anmeldung speichern wir:

  • Firebase-UID (technische Kennung)
  • E-Mail-Adresse
  • Anzeigename
  • Profilbild-URL (sofern vom Anmeldedienst bereitgestellt)
  • Status der E-Mail-Verifizierung

Passwörter werden nicht von Kramli selbst gespeichert, sondern ausschließlich bei Firebase Authentication (Google) verwaltet.

Für den Passwort-Leak-Check mit Have I Been Pwned verwendet Kramli das k-Anonymitätsverfahren: Es wird nur das SHA-1-Präfix (die ersten 5 Zeichen des Hashs) an den Dienst übermittelt, niemals das Klartextpasswort und niemals der vollständige Hash.

Bei Nutzung eines Gastkontos (ohne E-Mail-Adresse) wird zusätzlich ein einmaliger Wiederherstellungscode erzeugt und serverseitig gespeichert, damit du dein Konto später auf einem anderen Gerät übernehmen kannst.

2.2 Listen & Einträge

Alle Inhalte, die du in Kramli erstellst, werden in unserer Datenbank gespeichert:

  • Listennamen, Icons und Farben
  • Einträge (Text, Menge, Notizen, Fälligkeitsdatum, Priorität, Tags)
  • Hochgeladene Bilder zu Einträgen
  • Freigabe-Tokens für geteilte Listen
  • Mitgliedschaften und Einladungen

2.3 Passkeys (WebAuthn)

Wenn du einen Passkey registrierst, speichern wir die Credential-ID, den öffentlichen Schlüssel und den Sign-Count. Der private Schlüssel verbleibt ausschließlich auf deinem Gerät.

2.4 Sitzungen & Sicherheitswarnungen

Zur Sitzungsverwaltung und zur Erkennung ungewöhnlicher Anmeldungen speichern wir beim Login und aktualisieren während der aktiven Nutzung:

  • Session-Token
  • IP-Adresse (wird bei fortlaufender Nutzung aktualisiert)
  • User-Agent (Browser- und Geräteinformationen)
  • Gerätebezeichnung (z. B. „Chrome auf macOS“)
  • Zeitpunkt der letzten Aktivität

Sicherheits-E-Mails werden nur versendet, wenn sich IP-Adresse oder Gerät im Vergleich zur letzten Sitzung unterscheiden.

2.5 Push-Benachrichtigungen (App)

Wenn du in der mobilen App Push-Benachrichtigungen aktivierst, wird ein gerätespezifisches FCM-Token (Firebase Cloud Messaging) erzeugt und zusammen mit der Plattform (iOS/Android) auf unserem Server gespeichert. Das Token dient ausschließlich dazu, dir Benachrichtigungen zuzustellen. Bei Abmeldung oder Kontolöschung wird das Token gelöscht.

2.6 Geräteberechtigungen (App)

Die mobile App kann folgende Geräteberechtigungen anfragen, die du jeweils einzeln gewähren oder ablehnen kannst:

  • Kamera – um Fotos zu Einträgen hinzuzufügen
  • Fotomediathek – um vorhandene Bilder auszuwählen oder gespeicherte Bilder zu teilen
  • Benachrichtigungen – für Push-Benachrichtigungen und Erinnerungen
  • Exakte Wecker & Autostart (Android) – damit geplante Erinnerungen auch nach einem Geräteneustart zuverlässig ausgelöst werden

Ohne deine ausdrückliche Zustimmung wird auf keine dieser Funktionen zugegriffen.

2.7 Apple Watch App

Wenn du die Apple Watch App nutzt, werden Listen- und Eintragsdaten sowie Timerinformationen zwischen iPhone und Apple Watch über Apple Watch Connectivity synchronisiert. Auf dem iPhone speichern wir dafür lokal den Verbindungsstatus und eine technische Watch-ID.

2.8 Feedback

Wenn du uns über die App Feedback sendest, verarbeiten wir deine Nachricht sowie optional deinen Namen und deine E-Mail-Adresse. Falls vorhanden, wird eine technische Event-ID zur Fehlereingrenzung mitgesendet. Optional kannst du einen Screenshot anhängen. Die Übermittlung erfolgt über Sentry (siehe Abschnitt 3.9).

2.9 KI-gestützte Funktionen (Apple Intelligence & Gemini Nano)

Auf unterstützten Geräten (ab iOS 26 mit aktivierter Apple Intelligence oder auf Android mit aktiviertem Gemini Nano) bietet Kramli optionale KI-Funktionen wie Spracherkennung mit automatischer Aufgabenstrukturierung, Tag-Vorschläge und Textextraktion. Diese Funktionen verwenden ausschließlich On-Device-Modelle (Apple Intelligence Foundation Models bzw. Gemini Nano), die lokal auf deinem Gerät ausgeführt werden.

Dabei werden keine Daten an Kramli-Server oder sonstige Dritte übertragen. Die Verarbeitung (z. B. Transkription einer Spracheingabe, Strukturierung in Aufgaben, Vorschlagen von Tags) geschieht vollständig auf dem Gerät. Kramli speichert ausschließlich die von dir bestätigten Ergebnisse (z. B. erstellte Listeneinträge), nicht die Rohdaten der KI-Verarbeitung.

Vor der ersten Nutzung einer KI-Funktion wirst du in der App über die On-Device-Verarbeitung informiert und um Zustimmung gebeten.

2.10 Google Tasks (optional)

Standardmäßig werden keine Listendaten mit Google Tasks ausgetauscht. Die Anbindung ist freiwillig und erfolgt erst, wenn du in den Listeneinstellungen ausdrücklich ein Google-Konto verbindest, eine Google-Taskliste auswählst und eine Synchronisationsrichtung festlegst (z. B. nur Import aus Google Tasks, nur Export nach Google Tasks oder beidseitige Synchronisation).

Für diese Verbindung speichern wir von Google ausgestellte OAuth-Tokens (verschlüsselt), die vom Nutzer gewählten API-Berechtigungen sowie Zuordnungen zwischen Kramli-Einträgen und Google-Tasks-IDs. Welche Aufgabeninhalte und Metadaten übertragen werden, hängt von der gewählten Richtung ab. Für die Verarbeitung durch Google gelten die Datenschutzbestimmungen von Google.

3. Drittanbieter-Dienste

3.1 Firebase Authentication (Google)

Wir nutzen Firebase Authentication von Google für die Kontoverwaltung und Anmeldung. Dabei werden Daten an Google-Server übertragen. Es gelten die Datenschutzbestimmungen von Firebase.

3.2 OAuth-Anbieter

Wenn du dich über Google, GitHub, Microsoft oder Apple anmeldest, erhält Kramli von diesen Diensten deine E-Mail-Adresse, deinen Anzeigenamen und – falls vorhanden – deine Profilbild-URL. Weitere Daten werden nicht abgerufen.

3.3 Firebase Cloud Messaging (App)

Die mobile App nutzt Firebase Cloud Messaging (FCM) von Google zum Versand von Push-Benachrichtigungen. Dabei wird ein gerätespezifisches Token an Google-Server übermittelt. Es gelten die Datenschutzbestimmungen von Firebase.

3.4 Cap CAPTCHA (Website)

Zum Schutz vor automatisierten Zugriffen setzen wir auf der Website Cap auf der Anmelde- und Registrierungsseite sowie im Meldeformular für öffentliche Listen ein. Cap wird von uns unter captcha.kramli.de betrieben. Dabei werden technische Daten (z. B. IP-Adresse, Browsermerkmale sowie das generierte CAPTCHA-Token) an diese Cap-Instanz übertragen und dort zur Bot-Abwehr verarbeitet. Laut Cap-Dokumentation arbeitet Cap standardmäßig ohne Telemetrie und ohne Cookies. Das Cap-Widget-Skript wird bei uns derzeit über jsDelivr eingebunden; dabei kann deine IP-Adresse an den CDN-Betreiber übertragen werden. Die mobile App verwendet dieses Web-CAPTCHA nicht.

3.5 Bootstrap Icons (Website)

Auf der Website werden Icons über das CDN von jsDelivr geladen. Dabei kann deine IP-Adresse an den CDN-Betreiber übermittelt werden. In der mobilen App sind die Icons lokal eingebettet; es findet kein CDN-Abruf statt. Es gelten die Datenschutzbestimmungen von jsDelivr.

3.6 Gravatar (optional)

Wenn du in den Profileinstellungen Gravatar als Profilbild-Quelle auswählst, erzeugt Kramli serverseitig einen kryptografischen Hash (MD5) deiner E-Mail-Adresse und ruft dein dort hinterlegtes Profilbild über einen Kramli-Proxy bei Automattic Inc. ab. Dadurch wird deine IP-Adresse nicht direkt an Automattic/Gravatar übermittelt; Automattic erhält den Hash und die Server-IP von Kramli. Diese Funktion ist freiwillig und wird nur aktiviert, wenn du sie ausdrücklich auswählst. Es gelten die Datenschutzbestimmungen von Automattic.

3.7 E-Mail-Versand

System-E-Mails (z. B. Verifizierung, Passwort-Reset, Einladungen, Sicherheitswarnungen) werden über einen Mailserver versendet. Dabei werden deine E-Mail-Adresse sowie der jeweilige Inhalt der Nachricht an den Mailserver übermittelt.

3.8 Schriftarten

Die Website lädt Schriftarten über Bunny Fonts, einen DSGVO-konformen europäischen Dienst. Dabei kann deine IP-Adresse an den Betreiber (BunnyWay d.o.o., Slowenien) übermittelt werden. Es werden laut Anbieter keine personenbezogenen Daten gespeichert oder weitergegeben. Es gelten die Datenschutzbestimmungen von bunny.net.

In der mobilen App sind die Schriftarten lokal eingebettet; es findet kein Abruf von externen Servern statt.

3.9 Sentry

Zur Fehlererkennung und Leistungsüberwachung setzen sowohl die mobile App als auch der Webserver Sentry ein. Dabei können folgende Daten an Sentry übermittelt werden:

  • Absturzberichte und Fehlermeldungen
  • Performance-Daten (Ladezeiten, Transaktionen)
  • Geräte- und Betriebssysteminformationen
  • IP-Adresse
  • Nutzerkennung (Firebase-UID, E-Mail-Adresse, Anzeigename)
  • Feedback-Inhalte (Nachricht, optional Name/E-Mail, ggf. Event-ID)
  • Feedback-Screenshots (optional)
  • Sitzungsaufzeichnungen (Replay mit Screenshots der Benutzeroberfläche, nur in der App)

Die Daten werden auf Sentry-Servern in der EU (de.sentry.io) verarbeitet. Die Erhebung dient ausschließlich der Fehlerbehebung und Verbesserung der Stabilität, nicht zu Werbe- oder Trackingzwecken. Es gelten die Datenschutzbestimmungen von Sentry.

3.10 Google Tasks API (optional)

Wenn du die Google-Tasks-Integration aktivierst, kommuniziert Kramli als von dir autorisierte Anwendung über die Google Tasks API mit Google: Wir lesen Aufgaben aus der von dir gewählten Taskliste und – je nach eingestellter Synchronisationsrichtung – erstellen, aktualisieren oder löschen wir entsprechende Aufgaben in deinem Google-Konto.

Die übermittelten Daten beschränken sich auf das, was für die Synchronisation der verknüpften Liste technisch erforderlich ist (z. B. Aufgabentitel, Erledigt-Status, Fälligkeitsdaten, Zuordnung zur gewählten Taskliste). Wir verwenden Daten aus Google Tasks nicht für Werbung, Profilierung oder andere Zwecke außerhalb der von dir aktivierten Synchronisation. Es gelten die Datenschutzbestimmungen von Google sowie die Richtlinie zu Nutzerdaten bei Google API-Diensten. Du kannst die Verbindung jederzeit in den Einstellungen trennen; gespeicherte Tokens werden widerrufen bzw. entfernt, soweit technisch möglich.

3.11 Apple Intelligence & Gemini Nano (On-Device-KI)

Die optionalen KI-Funktionen in der Kramli-App nutzen je nach Plattform entweder Apple Intelligence Foundation Models (iOS) oder Gemini Nano (Android). Diese Modelle werden von Apple bzw. Google bereitgestellt und laufen ausschließlich lokal auf dem Gerät des Nutzers/der Nutzerin. Es findet keine Übertragung von Eingabedaten (Sprachaufnahmen, Listentexte, Tag-Anfragen) an Apple-Server, Google-Server, Kramli-Server oder sonstige Dritte statt.

Kramli hat keinen Zugriff auf die internen Modelle oder deren Verarbeitung. Die Verantwortung für die On-Device-KI-Verarbeitung liegt bei Apple bzw. Google. Es gelten die Datenschutzbestimmungen von Apple sowie die Datenschutzbestimmungen von Google.

4. Keine Werbung, kein Werbe-Tracking

Kramli schaltet keine Werbung und setzt keine Werbe-Tracking- oder Analyse-Cookies ein. Es werden keine Daten an Werbenetzwerke oder Analyse-Dienste weitergegeben. Die in Kramli eingesetzte Fehlerüberwachung durch Sentry (siehe Abschnitt 3.9) dient ausschließlich der technischen Stabilität und Fehlerbehebung, nicht zu Werbe- oder Profilierungszwecken.

5. Cookies & lokaler Speicher

Die Website verwendet ausschließlich technisch notwendige Session-Cookies, um deine Anmeldung aufrechtzuerhalten. Der Service Worker kann Daten im lokalen Speicher des Browsers cachen, um die App offline verfügbar zu machen. Cap (unter captcha.kramli.de) wird bei uns standardmäßig ohne Cookies betrieben. Andere Drittanbieter (z. B. Google/Firebase oder CDN-Anbieter wie jsDelivr) können eigene Cookies setzen.

Die mobile App speichert folgende Daten lokal auf deinem Gerät:

  • Zwischengespeicherte Listen und Einträge für den Offline-Betrieb
  • Warteschlange für Änderungen, die bei fehlender Internetverbindung vorgenommen werden
  • Heruntergeladene Bilder im Geräte-Cache
  • Widget-Daten (Listennamen, Farben, Icons) für den Homescreen-Widget

Diese Daten verbleiben auf deinem Gerät und werden nicht unverschlüsselt an Dritte übermittelt.

Die Apple Watch App speichert auf der Uhr:

  • Listen- und Eintragsdaten für die Anzeige
  • Timerstatus (Fokus-Timer), sofern genutzt

Diese Daten verbleiben lokal auf der Uhr und werden beim Trennen der Watch-Verbindung gelöscht.

Die Browser-Erweiterungen (Chrome, Firefox, Edge, Opera) speichern im lokalen Browserspeicher (browser.storage.local):

  • Einen Sitzungs-Token zur Authentifizierung gegenüber kramli.de
  • Die zuletzt verwendete Liste
  • Zwischengespeicherte Entwürfe (Text, Notizen, Quell-URL)

Diese Daten verbleiben lokal im Browser und werden bei Deinstallation der Erweiterung automatisch gelöscht. Es werden keine Cookies gesetzt.

6. Datenweitergabe

Deine Daten werden nicht an Dritte verkauft oder zu Werbezwecken weitergegeben. Eine Weitergabe erfolgt nur:

  • an die unter Abschnitt 3 genannten Dienstleister im Rahmen der technischen Bereitstellung
  • an Google über die Google Tasks API, sofern du die optionale Google-Tasks-Verbindung für eine Liste eingerichtet hast (siehe Abschnitte 2.10 und 3.10)
  • an andere Kramli-Nutzer:innen, wenn du eine Liste aktiv mit ihnen teilst
  • sofern wir gesetzlich dazu verpflichtet sind

7. Datensicherheit

Die Verbindung zu Kramli erfolgt ausschließlich über HTTPS. Passwörter werden nicht von Kramli selbst gespeichert, sondern über Firebase Authentication verwaltet.

8. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung deines Kontos und aller zugehörigen Daten
  • Datenübertragbarkeit
  • Widerspruch gegen die Verarbeitung

Wende dich dazu an: [email protected].

9. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderungen der Funktionalität oder der Rechtslage. Die aktuelle Fassung ist stets unter kramli.de/datenschutz abrufbar.