Datenschutzerklärung

Stand: Mai 2026

Heia ist als Bedtime-App bewusst datensparsam gebaut. Wir erheben so wenig Daten wie möglich, übertragen nichts an Dritte zu Werbe- oder Tracking-Zwecken und nutzen ausschließlich Auftragsverarbeiter mit Standort in der EU oder mit gleichwertigem Datenschutzniveau.

1. Verantwortlicher

Nandino Cakar
Pfälzer Weg 48A, 45481 Mülheim an der Ruhr, Deutschland
E-Mail: info.nandino@gmail.com

2. Lokale Speicherung im Browser (LocalStorage)

Folgende Daten werden ausschließlich lokal in Ihrem Browser (LocalStorage) gespeichert. Sie verlassen Ihr Gerät nicht und werden nicht an unsere Server übertragen:

• Altersgruppe (3–4, 5–6 oder 7–8 Jahre) heia.ageGroup.v1
• Audio-Wiedergabeposition einer Story heia.progress.{story-id}
• »Schon-dabei«-Liste bereits gehörter/gelesener Stories heia.heard.v1
• Lese-Einstellungen (Schriftgröße, Dark-Mode) heia.readerPrefs.v1
• Bewertete Stories (Liste, damit das Bewertungs-Formular nicht doppelt erscheint) heia.feedbackGiven.v1
• Anonyme Geräte-ID für Bewertungen heia.sessionId.v1 — eine zufällig generierte UUID, die ausschließlich verhindert, dass eine Familie versehentlich mehrfach dieselbe Bewertung sendet. Sie ist mit keiner Person verknüpft.

Sie können diese lokalen Daten jederzeit über die Browser-Einstellungen löschen (Browserdaten / Website-Daten löschen).

3. Optionale Anmeldung (E-Mail-Login)

Sie können Heia vollständig ohne Anmeldung nutzen — alle Geschichten sind frei zugänglich. Für die optionale Anmeldung (z. B. um Bewertungen mit einem Konto zu verknüpfen oder um künftige Premium-Funktionen zu nutzen) erheben wir folgende Daten:

• E-Mail-Adresse — wird zum Versand des Anmelde-Links genutzt und mit Ihrem Konto verknüpft.
• Anmelde-Cookies — nach erfolgreicher Anmeldung werden technisch notwendige Session-Cookies gesetzt, damit Sie angemeldet bleiben. Ohne diese Cookies funktioniert die Anmeldung nicht. Es findet kein Tracking über diese Cookies statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags). Die Daten werden gespeichert, solange Ihr Konto besteht. Sie können Ihr Konto jederzeit per Mail an die oben genannte Adresse löschen lassen.

4. Bewertungen und Feedback

Wenn Sie eine Geschichte bewerten, speichern wir folgende Daten in unserer Datenbank: Story-ID, Bewertung (1–5 Sterne), optionaler Kommentar, Zeitstempel und entweder die anonyme Geräte-ID (siehe §2) oder — falls Sie angemeldet sind — Ihre User-ID. Diese Daten dienen ausschließlich der Verbesserung der Inhalte und werden nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Absenden).

5. Server-Logs

Wenn Sie Heia aufrufen, erfasst unser Hosting-Anbieter aus technischen Gründen automatisch Daten in Server-Logs: Ihre IP-Adresse, Datum und Uhrzeit der Anfrage, die aufgerufene URL, der HTTP-Statuscode sowie User-Agent (Browser/Gerät). Diese Daten sind technisch notwendig zum Ausspielen der Inhalte und zur Abwehr von Missbrauch (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse). Sie werden typischerweise nach 24 Stunden bis 7 Tagen automatisch gelöscht und nicht mit anderen Daten zusammengeführt.

6. Anonyme Reichweitenmessung (Vercel Analytics)

Wir nutzen Vercels eingebaute Web Analytics, um zu sehen welche Stories aufgerufen werden und über welche Geräte. Die Messung ist cookie-frei, IP-Adressen werden nicht gespeichert, es werden keine eindeutigen Nutzer-IDs gebildet. Es ist daher nicht möglich, einzelne Besucher wiederzuerkennen oder ihr Verhalten über Sessions hinweg zu verknüpfen. Mehr Details: vercel.com/docs/analytics/privacy-policy. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung).

7. Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, die im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO für uns tätig sind:

• Vercel Inc. (Hosting, Reichweitenmessung), 440 N Barranca Ave #4133, Covina, CA 91723, USA. Datenübermittlungen in die USA erfolgen auf Grundlage der EU-Standardvertragsklauseln und Vercels Verpflichtung zum EU-US Data Privacy Framework. Datenschutzerklärung: vercel.com/legal/privacy-policy.
• Supabase Inc. (Authentifizierung, Datenbank für Bewertungen), 970 Toa Payoh North #07-04, Singapore 318992. Wir nutzen ausschließlich die Region Frankfurt (eu-central-1); alle personenbezogenen Daten werden in der EU verarbeitet. Datenschutzerklärung: supabase.com/privacy.

8. Schriftarten (Google Fonts)

Heia verwendet die Schriftarten Fraunces und Lora. Diese werden beim Build der App auf unseren Server kopiert und nicht dynamisch von Google geladen. Es findet daher keine Datenübermittlung an Google statt, wenn Sie Heia aufrufen.

9. Keine Drittanbieter-Tracker

Wir verwenden weder Google Analytics noch Facebook Pixel, PostHog, Hotjar oder vergleichbare Tracking-Werkzeuge. Wir betreiben keine Werbung und teilen keine Daten mit Werbenetzwerken.

10. Ihre Rechte

Sie haben jederzeit die in der DSGVO verankerten Rechte:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung Ihrer Daten (Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch gegen die Verarbeitung (Art. 21)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)

Anfragen senden Sie bitte per E-Mail an die oben genannte Adresse. Wir bearbeiten Ihr Anliegen innerhalb der gesetzlichen Fristen.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Eine Liste der zuständigen Behörden finden Sie unter bfdi.bund.de. Für Heia zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (Sitz Düsseldorf).

12. Hinweis zu Kindern

Heia richtet sich an Eltern, die Geschichten an Kinder im Alter von 3–8 Jahren weitergeben. Wir verarbeiten keine Daten der Kinder. Eine Anmeldung mit der E-Mail-Adresse eines Kindes ist nicht vorgesehen — die Anmeldung sollte stets durch eine erwachsene Person erfolgen.

13. Änderungen dieser Erklärung

Wir aktualisieren diese Datenschutzerklärung, sobald sich an den beschriebenen Datenpraktiken etwas ändert (z. B. neue Funktionen, neue Auftragsverarbeiter). Die jeweils aktuelle Version ist immer unter /datenschutz abrufbar.