Datenschutzerklärung

Zuletzt aktualisiert: 2. April 2026

1. Einleitung

SubTasks („wir", „uns", „unser") wird betrieben von Tony Howell, Einzelunternehmer mit Sitz in Texas, Vereinigte Staaten von Amerika. Diese Datenschutzerklärung informiert Sie darüber, wie wir Ihre personenbezogenen Daten erheben, verwenden und schützen, wenn Sie SubTasks (den „Dienst") nutzen - eine Plattform zur Beziehungsverwaltung für Paare, die Power-Exchange-Dynamiken (auch Dominant/submissiv oder D/s genannt) praktizieren.

Uns ist bewusst, dass die Daten, die Sie uns anvertrauen, besonders sensibel sind. Informationen über Ihre Beziehungsdynamiken, Rollen, Aufgaben und persönlichen Inhalte können bei unbefugter Offenlegung erheblichen Schaden verursachen. Unsere Datenschutz- und Sicherheitspraktiken sind auf genau dieses Risiko ausgerichtet.

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Tony Howell SubTasks Texas, Vereinigte Staaten von Amerika E-Mail: privacy@subtasksapp.com

2. Welche Daten wir verarbeiten

Kontodaten

  • E-Mail-Adresse - für die Kontoerstellung, die Authentifizierung per Magic-Link und Service-Kommunikation.
  • Benutzername - Ihre selbst gewählte Kennung innerhalb des Dienstes.
  • Zeitzone - zur korrekten Anzeige von Datums- und Uhrzeitangaben.
  • Benachrichtigungseinstellungen - Ihre Auswahl, welche Benachrichtigungen Sie erhalten möchten.
  • Anzeigeeinstellungen - Theme-Präferenzen und Konfiguration der Benutzeroberfläche.

Beziehungsdaten

  • Partner-Verknüpfung - die Verbindung zwischen Ihnen und Ihrem Partner einschließlich der Rolle jeder Person (Dominant/submissiv).
  • Beziehungspräferenzen - Konfiguration der Dynamik, etwa Kosenamen, Punktwerte und Verwarnungsschwellen.

Nutzerinhalte

  • Aufgaben - Namen, Beschreibungen, Abschlussnotizen und Validierungsnotizen.
  • Belohnungen und Bestrafungen - Namen, Beschreibungen und Bestätigungsnotizen.
  • Punkte, Verwarnungen und Punktanpassungen - einschließlich Beschreibungen und Begründungen.
  • Notizen - Freitextnotizen, Listen und Checklisten, die zwischen Partnern geteilt werden.
  • Nachrichten - zwischen Partnern ausgetauschte Chatnachrichten.
  • Task Kits (Aufgabenpakete) - Vorlagenpakete, die Sie selbst erstellen. Wenn Sie ein Kit veröffentlichen, sind dessen Name, Beschreibung, Gestalterhinweis, Tags und Vorlageninhalte für alle SubTasks-Nutzer sichtbar, zusammen mit Ihrem Benutzernamen (oder anonymer Zuordnung, sofern Sie diese wählen).

Foto-Inhalte

  • Fotonachweise - Bilder, die Sie zum Nachweis der Aufgabenerfüllung hochladen. Fotos werden verschlüsselt in einem dedizierten Speicher-Bucket abgelegt. Genehmigte oder abgelehnte Fotos werden automatisch gelöscht. Verwaiste Uploads werden binnen 7 Tagen durch eine automatisierte Lifecycle-Regel entfernt.

Gerätebezogene und technische Daten

  • Push-Benachrichtigungs-Tokens - Web-Push (VAPID) und native Tokens (FCM), ausschließlich zur Zustellung von Benachrichtigungen an Ihre Geräte.
  • Authentifizierungs-Tokens - Session-Tokens, die im lokalen Speicher Ihres Browsers abgelegt werden.

Abonnementdaten

  • Abonnement-Stufe und -Status - Angabe, ob Sie das kostenlose oder das Pro-Abonnement nutzen und ob Ihr Abonnement aktiv ist. Wir verarbeiten und speichern keine Zahlungskartendaten; sämtliche Zahlungen werden von Apple (App Store) oder Google (Play Store) über RevenueCat abgewickelt.

Nutzungsdaten

  • Produkt-Analytik - Wir setzen PostHog ein, um die Nutzung des Dienstes zu verstehen. PostHog erhält Ihren Benutzernamen, Ihre Abonnement-Stufe, Ihre Zeitzone sowie Verhaltensereignisse (z. B. „Aufgabe erstellt" oder „Seite aufgerufen"). PostHog erhält nicht Ihre Beziehungsrolle, Partnerinformationen oder Nutzerinhalte.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

  • Bereitstellung des Dienstes - Speicherung und Anzeige Ihrer Aufgaben, Belohnungen, Notizen, Nachrichten und sonstigen Inhalte für Sie und Ihren verknüpften Partner.
  • Authentifizierung - Versand von Magic-Link-E-Mails zur Identitätsprüfung.
  • Benachrichtigungen - Zustellung von Push-Benachrichtigungen und In-App-Hinweisen zu Aufgabenaktivitäten, Partneraktionen und Beziehungsereignissen.
  • Service-Kommunikation - Versand von transaktionalen E-Mails (Kontoänderungen, Sicherheitshinweise) und Produkt-Updates.
  • Abonnementverwaltung - Verarbeitung von Abonnement-Ereignissen von Apple/Google zur Pflege Ihres Pro-Status.
  • Automatisierte Funktionen - planmäßig ausgeführte Prozesse, darunter Berechnung von Verwarnungen, Erstellung wiederkehrender Aufgaben und Prüfung von Aufgabenfristen.
  • Analyse und Verbesserung - Erkenntnisse zu Nutzungsmustern zur Verbesserung des Dienstes (über PostHog, siehe Abschnitt 2).
  • Fehlerüberwachung - Erkennung und Behebung von Fehlern (über Sentry, mit deaktivierter Erfassung personenbezogener Identifikatoren).
  • Support - Beantwortung Ihrer Anfragen.

Die Verarbeitung erfolgt auf Grundlage folgender Rechtsgrundlagen nach Art. 6 und 9 DSGVO:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) - für die Bereitstellung des Dienstes, die Authentifizierung, die Abonnementverwaltung und die vertraglich geschuldeten Kernfunktionen.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) - für die Verarbeitung besonderer Kategorien personenbezogener Daten (Beziehungsdynamik, Rollen, intime Inhalte) sowie für Analytik.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) - für Fehlerüberwachung und IT-Sicherheit. Unser berechtigtes Interesse besteht darin, den Dienst funktionsfähig und sicher zu halten.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) - soweit wir gesetzlich verpflichtet sind, Daten zu verarbeiten, etwa bei Auskunftsersuchen von Behörden oder steuerlichen Aufbewahrungspflichten.

4. Datenschutz und Datensicherheit

Feldweise Verschlüsselung

Sämtliche Nutzerinhalte werden vor dem Schreiben in unsere Datenbank mit AES-256-GCM verschlüsselt. Dies umfasst Aufgabennamen und -beschreibungen, Abschluss- und Validierungsnotizen, Angaben zu Belohnungen und Bestrafungen, Verwarnungsbegründungen, Beschreibungen zu Punktanpassungen, Bestätigungsnotizen, Nachrichten, Notizen sowie Kosenamen.

Die Schlüssel werden vom AWS Key Management Service (KMS) verwaltet. Eine explizite IAM-Deny-Richtlinie verhindert standardmäßig den Zugriff von Entwicklern auf den Entschlüsselungsschlüssel. Sollte jemand unberechtigt eine Kopie unserer Datenbank erlangen (etwa durch Diebstahl eines Backups, SQL-Injection oder einen anderen Angriff), würde er ausschließlich Chiffretext sehen, nicht Ihre Inhalte.

Was dies nicht ist: Es handelt sich um serverseitige Verschlüsselung im Ruhezustand, nicht um Ende-zu-Ende-Verschlüsselung. Unsere Anwendungsserver müssen Ihre Daten entschlüsseln, um sie Ihnen und Ihrem Partner anzuzeigen. Der Betreiber des Dienstes behält administrativen Zugriff auf das AWS-Konto und könnte - im Notfall oder aufgrund rechtlicher Anordnung - die Schlüsselrichtlinie so anpassen, dass Entschlüsselungszugriff gewährt wird. Jede solche Änderung wird durch AWS CloudTrail protokolliert.

Weitere Maßnahmen

  • Sämtliche Datenübertragungen erfolgen verschlüsselt über TLS.
  • Die Datenbank ist ausschließlich von den Anwendungsservern erreichbar (kein öffentlicher Zugriff).
  • Zugriffsrechte folgen dem Prinzip der geringsten Berechtigung („least privilege").
  • Fotonachweise werden in einem dedizierten verschlüsselten Bucket mit automatischer Löschung durch Lifecycle-Regeln gespeichert.
  • Die Fehlerüberwachung ist so konfiguriert, dass personenbezogene Identifikatoren ausgeschlossen werden.
  • Wir führen regelmäßige Sicherheitsbewertungen durch.

5. Weitergabe von Daten und Auftragsverarbeiter

Wir verkaufen, tauschen oder teilen Ihre personenbezogenen Daten nicht zu Werbezwecken.

Inhalte, die Sie innerhalb Ihrer Beziehung erstellen (Aufgaben, Notizen, Nachrichten usw.), sind ausschließlich für Sie und Ihren verknüpften Partner zugänglich. Wenn Sie ein Task Kit veröffentlichen, sind dessen Inhalte für alle SubTasks-Nutzer sichtbar (siehe Abschnitt 2).

Wir setzen folgende Auftragsverarbeiter zur Erbringung des Dienstes ein. Jeder von ihnen verarbeitet Daten ausschließlich in unserem Auftrag auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO):

  • Amazon Web Services (AWS) - Hosting, Datenbank, Authentifizierung (Cognito), E-Mail-Versand (SES), Dateispeicher (S3), Schlüsselverwaltung (KMS).
  • PostHog - Produkt-Analytik. Erhält Benutzernamen, Abonnement-Stufe, Zeitzone und Nutzungsereignisse. Erhält nicht Beziehungsrolle, Partnerdaten oder Nutzerinhalte.
  • RevenueCat - Abonnementverwaltung. Erhält Ihre App-Nutzerkennung zur Verwaltung des Pro-Abonnementstatus über In-App-Käufe bei Apple/Google.
  • Sentry - Fehlerüberwachung. Konfiguriert mit deaktivierter Erfassung personenbezogener Identifikatoren. Erhält Fehlerkontext und Stacktraces zur Fehlerbehebung.
  • Firebase Cloud Messaging (Google) - Zustellung von Push-Benachrichtigungen für iOS- und Android-Apps. Erhält ausschließlich Geräte-Tokens.
  • Apple/Google - Abwicklung von In-App-Käufen für Pro-Abonnements. Es gelten die jeweiligen Datenschutzrichtlinien dieser Anbieter.

6. Speicherdauer und Löschung

Wir speichern Ihre Daten nur so lange, wie Ihr Konto aktiv ist oder wie dies zur Bereitstellung des Dienstes erforderlich ist.

Sie können Ihr Konto jederzeit unter subtasksapp.com/delete-account löschen. Bei Kontolöschung:

  • Sämtliche Ihrer Daten werden aus unserer aktiven Datenbank entfernt (Aufgaben, Notizen, Nachrichten, Belohnungen, Bestrafungen, Beziehungen, Präferenzen und alle übrigen Nutzerinhalte).
  • Ihr Authentifizierungskonto wird gelöscht.
  • Ihr verknüpfter Partner wird benachrichtigt.
  • Fotonachweis-Dateien werden aus dem Speicher gelöscht.

Aufbewahrung in Sicherungskopien: Verschlüsselte Datenbank-Backups werden im Rahmen unseres Wiederherstellungsprozesses bis zu 30 Tage aufbewahrt und danach automatisch gelöscht. Innerhalb dieses Zeitraums können Ihre Daten in Sicherungskopien fortbestehen.

7. Ihre Rechte

Sie haben nach der DSGVO die folgenden Rechte:

  • Recht auf Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO).
  • Recht auf Berichtigung unrichtiger Daten über den Dienst (Art. 16 DSGVO).
  • Recht auf Löschung Ihres Kontos und der zugehörigen Daten (Art. 17 DSGVO).
  • Recht auf Datenübertragbarkeit - Export Ihrer Daten in einem portablen Format (Art. 20 DSGVO).
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Widerspruchsrecht gegen die Verarbeitung Ihrer Daten, insbesondere bei auf berechtigtem Interesse gestützter Verarbeitung (Art. 21 DSGVO).
  • Recht auf Widerruf der Einwilligung - Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bisher erfolgten Verarbeitung berührt wird.

Um eines dieser Rechte auszuüben, wenden Sie sich an privacy@subtasksapp.com. Wir antworten innerhalb von 30 Tagen.

Beschwerderecht bei einer Aufsichtsbehörde: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes (Art. 77 DSGVO). Eine Liste der deutschen Aufsichtsbehörden finden Sie unter https://www.bfdi.bund.de/ sowie über die Datenschutzkonferenz (DSK).

8. Besondere Kategorien personenbezogener Daten

Der Dienst verarbeitet Daten im Zusammenhang mit intimen Beziehungsdynamiken, einschließlich Rollen im Verhältnis Dominant/submissiv, Aufgaben, Bestrafungen und Bildinhalten. Nach Art. 9 DSGVO (sowie CCPA/CPRA) handelt es sich hierbei um besondere Kategorien personenbezogener Daten bzw. um sensible personenbezogene Daten mit Bezug zum Sexualleben oder zur sexuellen Orientierung.

Mit der Erstellung eines Kontos und der Nutzung des Dienstes erteilen Sie Ihre ausdrückliche Einwilligung im Sinne von Art. 9 Abs. 2 lit. a DSGVO in die Verarbeitung dieser besonderen Kategorien personenbezogener Daten zu den in dieser Datenschutzerklärung genannten Zwecken. Sie können diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihr Konto löschen oder uns an privacy@subtasksapp.com kontaktieren.

9. Cookies und lokaler Speicher

Wir nutzen den lokalen Speicher Ihres Browsers für Authentifizierungs-Tokens und Nutzerpräferenzen (z. B. Theme-Einstellungen und Ausblendungen von Benachrichtigungen). Diese sind für die Funktion des Dienstes technisch erforderlich.

PostHog setzt Cookies und Einträge im lokalen Speicher zur Nachverfolgung von Analytik-Sitzungen. Sie können der Analytik-Verarbeitung widersprechen, indem Sie uns an privacy@subtasksapp.com schreiben.

Wir setzen keine Werbe- oder Drittanbieter-Tracking-Cookies ein.

10. Minderjährigenschutz

SubTasks richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren. Erfahren wir, dass wir personenbezogene Daten einer Person unter 18 Jahren erhoben haben, löschen wir diese Daten und schließen das zugehörige Konto. Wenn Sie den Verdacht haben, dass eine minderjährige Person unseren Dienst nutzt, kontaktieren Sie uns bitte unter privacy@subtasksapp.com.

11. Internationale Datenübermittlungen

SubTasks wird aus den Vereinigten Staaten heraus betrieben. Wenn Sie auf den Dienst aus der Europäischen Union bzw. aus dem Europäischen Wirtschaftsraum oder dem Vereinigten Königreich zugreifen, werden Ihre Daten in die Vereinigten Staaten übermittelt und dort verarbeitet.

Für diese Übermittlung in ein Drittland stützen wir uns auf:

  • das EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023), soweit der jeweilige Empfänger zertifiziert ist;
  • Standardvertragsklauseln der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss 2021/914), die wir mit unseren Auftragsverarbeitern, insbesondere AWS, abgeschlossen haben, mit ergänzenden technischen und organisatorischen Maßnahmen (insbesondere der unter Abschnitt 4 beschriebenen feldweisen Verschlüsselung).

Eine Kopie der Standardvertragsklauseln stellen wir Ihnen auf Anfrage unter privacy@subtasksapp.com zur Verfügung.

12. Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Datenschutzverletzung („Data Breach"), die Ihre personenbezogenen Daten betrifft, werden wir Sie gemäß Art. 34 DSGVO unverzüglich per E-Mail benachrichtigen, sofern ein hohes Risiko für Ihre persönlichen Rechte und Freiheiten besteht. Wir werden die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden nach Kenntnisnahme informieren. Die Benachrichtigung enthält Angaben dazu, welche Daten betroffen sind, welche Maßnahmen wir ergreifen und welche Schritte Sie zu Ihrem Schutz unternehmen können.

13. Datenschutzrechte in Kalifornien (CCPA/CPRA)

Haben Sie Ihren Wohnsitz in Kalifornien, stehen Ihnen nach dem California Consumer Privacy Act und dem California Privacy Rights Act zusätzliche Rechte zu:

  • das Recht zu erfahren, welche personenbezogenen Daten wir erheben, verwenden und offenlegen;
  • das Recht, Ihre personenbezogenen Daten löschen zu lassen;
  • das Recht, dem Verkauf oder der Weitergabe („sharing") Ihrer personenbezogenen Daten zu widersprechen. Wir verkaufen und teilen Ihre personenbezogenen Daten nicht zu Werbezwecken;
  • das Recht, die Nutzung Ihrer sensiblen personenbezogenen Daten einzuschränken. Wir nutzen sensible personenbezogene Daten ausschließlich zur Bereitstellung des Dienstes im Rahmen dieser Datenschutzerklärung;
  • das Recht, wegen der Ausübung Ihrer Datenschutzrechte nicht benachteiligt zu werden.

Zur Ausübung dieser Rechte wenden Sie sich an privacy@subtasksapp.com.

14. Datenschutzrechte in Europa (DSGVO)

Für Nutzer im Europäischen Wirtschaftsraum und im Vereinigten Königreich fassen wir die Rechtsgrundlagen und Betroffenenrechte zur Klarheit hier zusammen (Einzelheiten siehe Abschnitte 3 und 7):

Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO) - für die Verarbeitung besonderer Kategorien personenbezogener Daten (Beziehungsdynamiken, Rollen, intime Inhalte) sowie für Analytik.
  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) - für die von Ihnen angeforderte Bereitstellung des Dienstes.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) - für Fehlerüberwachung und IT-Sicherheit.

Ihre Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung, Widerruf der Einwilligung sowie Beschwerde bei einer Aufsichtsbehörde.

15. Änderungen dieser Datenschutzerklärung

Bei wesentlichen Änderungen dieser Datenschutzerklärung informieren wir Sie mindestens 30 Tage vor Inkrafttreten per E-Mail und per In-App-Benachrichtigung. Für Änderungen, die die Verarbeitung besonderer Kategorien personenbezogener Daten betreffen, holen wir Ihre ausdrückliche Einwilligung erneut ein.

16. Kontakt

Für Fragen zu dieser Datenschutzerklärung oder zu Ihren Daten erreichen Sie uns unter privacy@subtasksapp.com. Wir antworten innerhalb von 30 Tagen.