App-Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten bei der Nutzung der BLOCQ App.

1. Verantwortlicher

Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Florian Zandberg

Am Bahnhof 8A, 21739 Dollern, Deutschland

E-Mail: datenschutz@blocq.io

2. Was ist BLOCQ?

BLOCQ ist ein AppBuilder - eine Anwendung zum Erstellen eigener nativer iOS- und Android-Apps ohne Programmierkenntnisse.

  • Kostenloser Download aus dem App Store
  • Keine Registrierung oder Nutzerkonto bei BLOCQ erforderlich
  • App-Konfigurationen werden zunächst lokal gespeichert

3. Datenspeicherung

Ihre App-Konfiguration wird zunächst lokal auf Ihrem Gerät in einer ISAR-Datenbank gespeichert.

Wenn Sie Module aktivieren, die Firebase benötigen (z.B. Feed, Chat, Profile), müssen Sie Ihre EIGENE Firebase-Instanz verbinden. Die entsprechenden Daten werden dann auf Wunsch in Ihrem eigenen Firebase-Projekt gespeichert - nicht bei BLOCQ.

Während der regulären Nutzung werden keine Daten an BLOCQ-Server übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4. App-Veröffentlichung

Wenn Sie Ihre App veröffentlichen möchten, werden folgende Daten auf unseren Server übertragen:

  • App-Konfiguration (ISAR-Export)
  • Medien-Dateien (Logos, Bilder, Icons)
  • Firebase Service-Dateien (GoogleService-Info.plist, google-services.json)
  • Store-Zertifikate und Signatur-Dateien (API-Keys, Provisioning Profiles, Service Accounts)

Server-Standort: Deutschland (WebGo).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Verarbeitung

Ihre Daten werden auf einem Mac in Deutschland verarbeitet. Ihre App wird kompiliert und anschließend an die Stores übermittelt.

An Apple/Google wird ausschließlich die kompilierte App-Binary übertragen - keine Rohdaten oder Konfigurationen separat.

Speicherdauer

  • Server-Logs: 14 Tage
  • Server-Dateien: Bis zur Löschung auf Anfrage
  • Signatur-Dateien: Für zukünftige Updates gespeichert (Löschung auf Anfrage)

Speicherung der Signatur-Dateien (Auftragsverarbeitung)

Sie übermitteln uns Ihre Zertifikate und Signatur-Dateien (API-Keys, Provisioning Profiles, Service Accounts). Diese werden für die Veröffentlichung in Ihrem Namen verwendet und für zukünftige Updates gespeichert. Löschung ist auf Anfrage jederzeit möglich.

BLOCQ handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO.

5. App-Updates

Wenn Sie ein Framework-Update für Ihre App anfordern:

  • Authentifizierung erfolgt mit API-Key und Admin-PIN
  • Kein erneuter Datei-Upload erforderlich
  • Gespeicherte Daten vom Erstrelease werden wiederverwendet

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Versions-Prüfung

Ihre veröffentlichte App kann automatisch prüfen, ob BLOCQ-Updates verfügbar sind. Dabei wird Ihr API-Key übertragen.

Zweck: Information über verfügbare Sicherheits- und Feature-Updates.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheitsupdates).

6b. Web-Companion (web.blocq.io)

BLOCQ bietet einen optionalen Web-Companion unter web.blocq.io, mit dem du deine App-Inhalte am Browser bearbeiten kannst. Die Verbindung kommt nur zustande, wenn du in der App aktiv das QR-Code-Symbol antippst und den Code im Browser scannst — eine automatische Aktivierung gibt es nicht.

Zweck

Komfortablerer Zugriff auf Inhalte der eigenen App über die Tastatur eines Computers. Der Browser dient ausschließlich als Eingabe-Oberfläche; alle Daten werden weiterhin vom Smartphone aus an deine Firebase-Instanz geschrieben.

Welche Daten werden auf dem Bridge-Server gespeichert?

  • Sitzungs-Tabelle: ein zufälliger Sitzungs-Token, ein Geräte-Label (z.B. "Chrome auf MacBook"), die IP-Adresse, der User-Agent-String sowie Zeitstempel der Erstellung und letzten Aktivität.
  • Pairing-Token (90 Sekunden gültig): ein zufälliges Token sowie nach erfolgreichem Scan IP und User-Agent des Browsers.
  • Audit-Protokoll (pseudonymisiert): pro Aktion Zeitstempel, Aktions-Name (z.B. "wiki.create"), Sitzungs-Token, Geräte-ID, Erfolg/Fehler, Dauer in Millisekunden, Größe der Anfrage in Bytes.

Was ausdrücklich NICHT gespeichert wird

  • Inhalte der API-Anfragen — nur die Größe in Bytes wird festgehalten.
  • IP-Adressen oder User-Agent-Strings im Audit-Protokoll.
  • Klarnamen, E-Mail-Adressen oder andere personenbezogene Inhaltsdaten der bearbeiteten Inhalte.
  • Browser-Fingerprints, Tracking-Cookies oder Drittanbieter-Analytik.

Speicherdauer

  • Sitzungen: 7 Tage rollierend (verlängert sich bei jedem Zugriff). Beendete Sitzungen werden spätestens 30 Tage nach der Trennung automatisch gelöscht.
  • Pairing-Token: 90 Sekunden, danach automatisch gelöscht.
  • Audit-Protokoll: 30 Tage, danach automatisch gelöscht.

Speicherort

Server in Deutschland (Hetzner, Frankfurt). Kein Datentransfer in Drittländer im Rahmen der Bridge.

Zweck der Datenverarbeitung

Die Sitzungsdaten dienen ausschließlich der Authentifizierung des Browsers. Das Audit-Protokoll dient der Fehleranalyse und der Erkennung missbräuchlicher Nutzung (z.B. ein kompromittierter Browser-Tab, der wiederholt schreibende Operationen auslöst).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Dienst). Die Verarbeitung ist auf das technisch erforderliche Maß beschränkt.

Deine Rechte

Du kannst deine Web-Verbindungen jederzeit in der App unter dem QR-Code-Symbol einsehen und einzeln oder alle gemeinsam beenden. Beim Beenden wird die Sitzung sofort ungültig und nach 30 Tagen vollständig gelöscht.

Deine Daten selbst verwalten

Direkt im Browser kannst du unter web.blocq.io/datenschutz/meine-daten jederzeit einsehen, welche Audit-Einträge zu deiner aktuellen Sitzung gespeichert sind, sie als JSON-Datei exportieren (Auskunftsrecht, Art. 15 DSGVO) oder unwiderruflich löschen (Recht auf Löschung, Art. 17 DSGVO). Die Verbindung wird dabei sofort beendet.

Zur Selbstverwaltung

6c. blocq-Server (Lizenz-Verwaltung und Block-Prüfung)

Sobald du eine Business-Lizenz erwirbst, deine App veröffentlichst oder ein Update beziehst, kommuniziert die App mit dem blocq-Server. Dieser Server verwaltet ausschließlich Lizenz-, Update- und Block-Informationen — er enthält keinerlei App-Inhalte oder Endnutzer-Daten deiner veröffentlichten App.

Speicherort

Alle Daten werden auf einem Server in Deutschland (WebGo, Rechenzentrum Frankfurt am Main) gespeichert. Es findet kein Datentransfer in Drittländer statt.

Welche Daten werden gespeichert?

  • Lizenz-Registrierung: API-Key, Bundle-ID (z. B. com.example.app), Lizenz-Typ (Privat/Business), Founders-Status, Apple-/Google-Transaktions-ID, Kauf-Zeitstempel.
  • Wartung-Abo: Abo-Status (aktiv/gekündigt/abgelaufen), nächstes Abrechnungsdatum, Abo-Stufe (Solo 49 €/Pro 99 €).
  • Update-Historie: Quartal-Update-Verbrauch pro Lizenz (z. B. "Q2/2026 verbraucht"), Liste der Einzel-Update-Käufe inkl. Transaktions-ID und Datum.
  • Daily Ping (täglich, sofern App online): API-Key, Bundle-ID, App-Version, Plattform (iOS/Android), Locale (de/en), Liste der aktiven kommerziellen Module. Keine Endnutzer-IDs, keine Inhalte, keine IPs aus deiner App.
  • Block-Protokoll: Wenn eine App durch uns gesperrt wird (z. B. wegen rechtswidriger Inhalte gemäß § 5a AGB), speichern wir Datum, Stufe (still/Banner/hart), Grund-Kategorie und ggf. Referenz zur behördlichen Anordnung.

Zweck der Datenverarbeitung

  • Lizenz-Validierung: Prüfung, ob die installierte App eine gültige Business-Lizenz besitzt und für die genutzten kommerziellen Module berechtigt ist.
  • Update-Berechtigung: Prüfung, ob das laufende Quartal bereits ein Gratis-Update verbraucht hat oder ein kostenpflichtiges Einzel-Update vorliegt.
  • Refund-Schutz: Bei einer Apple-/Google-Rückerstattung wird die Lizenz automatisch zurückgezogen, um Missbrauch zu verhindern.
  • Block-Durchsetzung: Bei berechtigter Sperrung gemäß § 5a AGB stellen wir sicher, dass die App den Block-Status erhält und entsprechend reagiert.

Was ausdrücklich NICHT gespeichert wird

  • Endnutzer-Daten deiner App (Profile, Posts, Nachrichten etc.) — diese verbleiben in deiner eigenen Firebase-Instanz.
  • IP-Adressen aus regulären Lizenz- oder Block-Check-Anfragen (nur für Sicherheits-Logs bei verdächtigem Verhalten temporär 14 Tage).
  • Klarnamen, Adressen oder Kontaktdaten der App-Endnutzer.

Speicherdauer

  • Lizenz-Datensätze und Kauf-Belege: 10 Jahre gemäß § 257 HGB (gesetzliche Aufbewahrungspflicht für Buchungsbelege).
  • Daily-Ping-Daten: aggregiert nach 30 Tagen (Einzel-Pings werden anonymisiert und in monatliche Statistik überführt), Rohdaten danach gelöscht.
  • Block-Protokoll: für die Dauer der Sperrung sowie 3 Jahre danach (zur Dokumentation gegenüber Behörden und für interne Compliance).
  • Sicherheits-Logs (verdächtige Aufrufe): 14 Tage rollierend.

Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für Lizenz-Validierung, Update-Berechtigung und Wartung-Abo.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — für die 10-jährige Aufbewahrung von Kauf-Belegen gemäß § 257 HGB.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für Refund-Schutz, Block-Durchsetzung und Sicherheits-Logs.

Deine Rechte

Du kannst jederzeit eine Auskunft über die zu deinem API-Key gespeicherten Daten verlangen, eine Berichtigung beantragen oder die Löschung deiner Lizenz-Daten verlangen. Letztere ist nach Ablauf der 10-jährigen HGB-Aufbewahrungsfrist für Kauf-Belege möglich; vor Ablauf können nicht-buchhalterische Daten (Daily Pings, Block-Protokolle nach Ende der 3-Jahres-Frist) auf Anfrage gelöscht werden. Anfragen richtest du an datenschutz@blocq.io.

7. In-App-Käufe und Lizenz-Verwaltung

Für eigene In-App-Käufe (Business-Lizenz, Wartung, Einzel-Update) nutzt BLOCQ keinen Drittanbieter wie RevenueCat. Die Abwicklung erfolgt ausschließlich über Apple App Store bzw. Google Play Store. Die Validierung der Receipts (Kaufnachweise) erfolgt direkt zwischen unserem Server in Deutschland und Apple bzw. Google.

  • Zahlungsabwicklung: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA / Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
  • Verarbeitet werden: Transaktions-ID, Produkt-ID (z. B. blocq_business_founders_v2), Apple-/Google-Account-ID-Hash, Kauf-Zeitstempel, Ablaufdatum (bei Abos), Plattform (iOS/Android), gegebenenfalls Refund-Status.
  • Datentransfer USA: Apple und Google unterliegen dem EU-US Data Privacy Framework bzw. nutzen Standardvertragsklauseln (Art. 46 DSGVO).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verhinderung von Refund-Missbrauch).

Datenschutzerklärungen: revenuecat.com/privacy

8. Firebase (Google Cloud)

Im AppBuilder-Modus nutzt BLOCQ ein eigenes Firebase-Projekt für Demo-Daten und Test-Funktionen. Dies ist getrennt von Ihrem eigenen Firebase-Projekt.

  • Firestore-Datenbank: Region eur3 (Belgien/Niederlande) - EU-Speicherung
  • Cloud Functions: us-central1 (Iowa, USA)
  • Cloud Storage: us-central1 (Iowa, USA)
  • Datentransfer USA: EU-Standardvertragsklauseln (SCCs)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: firebase.google.com/support/privacy

9. Keine Nutzerkonten

BLOCQ erstellt keine Benutzerkonten. Es ist keine Registrierung oder Anmeldung erforderlich. Die App verwendet eine simulierte Authentifizierung nur für Entwicklungszwecke. Wir erheben keine personenbezogenen Daten für Kontoverwaltung.

10. Von Ihnen erstellte Apps

Veröffentlichungsmodell

  • Sie benötigen eigene Apple Developer und Google Play Developer Accounts
  • Sie übermitteln uns Ihre Zertifikate und Signatur-Dateien zur App-Veröffentlichung
  • Wir veröffentlichen die App in Ihrem Namen unter Ihrem Account
  • BLOCQ ist Auftragsverarbeiter (Dienstleister) im Sinne der DSGVO

Ihre Verantwortung

  • Wenn Sie Firebase-Module aktivieren, nutzen diese Ihr eigenes Firebase-Projekt
  • Bei Firebase-Nutzung liegen ALLE Nutzerdaten auf Ihrer eigenen Firebase-Instanz - nicht bei BLOCQ
  • Sie sind Verantwortlicher im Sinne der DSGVO für Ihre eigene App
  • Sie sind verpflichtet, eine eigene Datenschutzerklärung für Ihre App zu erstellen
  • BLOCQ hat nach Veröffentlichung keinen Zugriff auf Daten in Ihrer App

11. Mindestalter

BLOCQ ist für Nutzer ab 16 Jahren bestimmt. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren. Sollten wir erfahren, dass wir Daten eines Kindes verarbeiten, werden diese unverzüglich gelöscht.

12. Keine Werbung/Tracking

  • Keine Werbe-SDKs integriert
  • Keine Analytics oder Tracking-Tools
  • Keine Marketing-E-Mails oder Push-Benachrichtigungen
  • Keine Weitergabe von Daten an Werbetreibende

13. Ihre Rechte

Sie haben folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Beschwerderecht bei der Datenschutz-Aufsichtsbehörde

Kontakt: datenschutz@blocq.io

14. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Änderungen werden in der App kommuniziert.

Stand: Mai 2026