Datenschutzerklärung
Stand: 13. Mai 2026 · Version 2.0
Kurz gesagt: PATI sammelt keine Daten zentral, hat keine Tracking-SDKs, kein Analytics und keinen eigenen Backend-Server. Alle Daten bleiben entweder auf deinem Gerät oder gehen direkt zu den von dir verbundenen Diensten (Nextcloud, Google, Apple iCloud).
1. Verantwortlicher im Sinne der DSGVO
Verantwortlich für die Datenverarbeitung im Rahmen der App PATI und der Website usepati.app ist:
Maximilian Mainitz
c/o PATI — Postanschrift auf Anfrage
Deutschland
E-Mail: [email protected]
Allgemein: [email protected]
PATI wird als Hobby-Projekt einer Einzelperson betrieben. Eine ladungsfähige Postanschrift wird auf schriftliche Anfrage hin mitgeteilt. Für formale Beschwerden im Rahmen der DSGVO ist die E-Mail-Adresse oben der primäre Kontaktweg.
2. Datenschutzbeauftragter
Es besteht keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO i.V.m. § 38 BDSG): PATI ist ein Solo-Hobby-Projekt ohne Mitarbeitende, ohne systematische umfangreiche Überwachung und ohne Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO.
3. Überblick über PATI
PATI (Plan Ahead, Track Instantly) ist eine native App für iOS, iPadOS, macOS und Android zur Verwaltung von Kalendern, Aufgaben, Tagesplänen und Routinen. Die App ist Open Source unter der MIT-Lizenz und wird kostenlos angeboten.
4. Grundprinzip: Lokal zuerst, dezentral, ohne Tracking
PATI speichert deine Inhalte primär lokal auf deinem Gerät mittels Apple SwiftData (iOS/iPadOS/macOS) bzw. Room (Android). Es gibt keine zentrale PATI-Datenbank und keinen eigenen Backend-Server. Auch für externe Dienste wie Google oder Nextcloud bleibt die Kommunikation direkt zwischen deinem Gerät und dem jeweiligen Anbieter — PATI ist niemals Zwischenstation.
PATI verwendet:
- keine Tracking-SDKs (Firebase, Sentry, Crashlytics, Mixpanel, Amplitude etc.)
- keine Werbe-Netzwerke und keine Werbe-IDs (IDFA, AAID)
- keine Nutzungsstatistiken oder Telemetrie
- keine Cookies (in der App) und keine serverseitigen Web-Cookies außer auf der Marketing-Website
5. Welche Daten werden verarbeitet?
5.1 Lokal auf deinem Gerät gespeicherte Daten
Inhalte: Aufgaben, Listen, Tagesplan-Templates, Routinen, Checklisten, Timer-Einstellungen, App-Präferenzen, Onboarding-Status, Konfiguration der externen Konten (URL, Benutzername, Anzeigename — nicht das Passwort).
Speicherort: SwiftData (iOS) bzw. Room (Android) im App-Container, für Apple-Plattformen optional gespiegelt über CloudKit in deinem persönlichen iCloud-Account.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Funktion der App, für die du sie installiert hast).
5.2 iOS-Kalender und Apple Erinnerungen (EventKit)
Was passiert: Nach deiner Berechtigungs-Bestätigung greift PATI über Apples EventKit-Framework auf deine lokalen Kalender-Events und Erinnerungen zu. Die Daten verlassen dein Gerät nicht über PATI — sie werden ausschließlich innerhalb der App angezeigt.
Empfänger / Drittland-Transfer: Keiner. Verarbeitung lokal.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den iOS-System-Berechtigungsdialog). Widerruf jederzeit in den iOS-Systemeinstellungen unter Einstellungen → Datenschutz & Sicherheit → Kalender / Erinnerungen → PATI.
5.3 Android-Kalender (CalendarContract)
Analog zu 5.2 auf Android über den CalendarContract-ContentProvider. Widerruf unter Einstellungen → Apps → PATI → Berechtigungen.
5.4 Nextcloud / CalDAV-Server (optional, nutzergesteuert)
Was passiert: Wenn du in den App-Einstellungen einen CalDAV-Server hinzufügst, kommuniziert PATI direkt mit diesem Server über HTTPS, um deine Kalender-Events zu lesen und zu schreiben.
Verarbeitete Daten: Server-URL, Benutzername, Passwort (verschlüsselt im iOS Keychain bzw. Android EncryptedSharedPreferences gespeichert), abgerufene Kalender-Events.
Empfänger: Ausschließlich der von dir konfigurierte CalDAV-Server. Bei selbst gehostetem Nextcloud bist du selbst der Empfänger.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Hinzufügen des Kontos in den App-Einstellungen) und Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der gewählten Funktion).
5.5 Google Calendar (optional, nutzergesteuert)
Was passiert: Wenn du dich in den App-Einstellungen mit deinem Google-Konto verbindest, wirst du an die offizielle Google-Anmeldeseite weitergeleitet (OAuth2 mit PKCE). Nach erfolgreicher Autorisierung erhält PATI einen Access-Token und einen Refresh-Token von Google. Damit ruft PATI über die Google-Calendar-API deine Events ab.
Verarbeitete Daten: E-Mail-Adresse deines Google-Kontos (zur Anzeige des Kontonamens in der App), OAuth-Tokens, abgerufene Kalender-Events. Dein Google-Passwort wird nie an PATI übermittelt.
Empfänger: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Drittland-Transfer: Google nutzt Server in den USA. Die Übermittlung stützt sich auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023). Google ist unter dem Framework zertifiziert. Siehe Google's Datenschutzerklärung: policies.google.com/privacy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine ausdrückliche Einwilligung über den OAuth-Consent-Screen). Widerruf jederzeit unter myaccount.google.com/permissions oder durch Löschen des Kontos in den PATI-Einstellungen.
5.6 ICS-Datei-Import (optional)
Du kannst lokale oder per URL abonnierte ICS-Dateien importieren. Die Datei wird in PATI geparst, die enthaltenen Events lokal in deine Datenbank übernommen, die Originaldatei nicht dauerhaft gespeichert. Bei URL-Abos pollt PATI deine abonnierte URL in deinem Auftrag.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Funktion).
5.7 Apple iCloud / CloudKit (optional)
Wenn du in iOS in deinem iCloud-Account angemeldet bist, synchronisiert PATI deine lokalen App-Daten optional zwischen deinen Apple-Geräten über Apple's CloudKit (Private Database).
Empfänger: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland.
Drittland-Transfer: Apple kann Daten zur Verarbeitung in die USA übermitteln. Apple ist unter dem EU-US Data Privacy Framework zertifiziert. Siehe apple.com/legal/privacy.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine iCloud-Account-Einstellung). PATI selbst hat keinen Zugriff auf deine CloudKit-Daten — diese sind in deinem persönlichen iCloud-Account und unterstehen Apples Verschlüsselung.
5.8 Benachrichtigungen (Push-Tokens)
PATI verwendet ausschließlich lokale Benachrichtigungen über UNUserNotificationCenter (iOS) bzw. NotificationManager (Android). Es werden weder APNs- noch FCM-Tokens an einen PATI-Server übertragen — weil es keinen PATI-Server gibt. Push-Notification-Server werden nicht verwendet.
5.9 Optionaler PATI Viewer (lokaler HTTP-Server)
Wenn du in den App-Einstellungen den PATI Viewer aktivierst, startet die App einen lokalen HTTP-Server, der nur im selben WLAN erreichbar ist. Der Zugriff ist mit einer PIN geschützt. Verbindungen werden via mDNS (Bonjour) im lokalen Netz ausgeschrieben. Daten verlassen das Netz nicht.
6. Website usepati.app — Server-Logs
Beim Aufruf der Website werden technisch notwendige Daten im Webserver-Logfile gespeichert (anonymisierte IP-Adresse, User-Agent, Datum/Uhrzeit, abgerufene URL). Diese werden nach 7 Tagen automatisch gelöscht und nicht ausgewertet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit). Die Website verwendet keine Cookies, kein Analytics und keine Third-Party-Skripte außer der selbst-gehosteten Inter-Webfont.
7. Speicherdauer
- Lokale App-Daten: bis zu deiner aktiven Löschung oder Deinstallation.
- Externe Konten-Credentials (Keychain): bis du das Konto in den PATI-Einstellungen entfernst.
- iCloud-Sync-Daten: unterliegt deinen iCloud-Einstellungen, kein Zugriff durch PATI.
- Server-Logs der Website: 7 Tage.
- E-Mail-Korrespondenz mit [email protected]: bis zur Beantwortung der Anfrage plus aufbewahrungspflichtige Zeit gem. AO/HGB (max. 6 Jahre für etwaige Korrespondenz mit rechtlichem Bezug).
8. Empfänger und Auftragsverarbeiter
PATI hat keinen eigenen Backend-Server und engagiert keine Auftragsverarbeiter für App-Datenverarbeitung. Drittanbieter werden nur als Empfänger bei den jeweiligen vom Nutzer optional aktivierten Integrationen relevant:
| Empfänger | Anlass | Datenkategorie |
|---|---|---|
| Google Ireland Ltd. | Google-Calendar-Verbindung (opt-in) | E-Mail, OAuth-Tokens, abgerufene Events |
| Apple Distribution Int. Ltd. | iCloud-Sync (opt-in) | App-Daten im persönlichen Apple-Account |
| Apple Distribution Int. Ltd. | App-Store-Distribution | Apple-ID für Download (nicht an PATI) |
| Google Ireland Ltd. | Play-Store-Distribution (Android) | Google-Account für Download (nicht an PATI) |
| Vom Nutzer gewählter CalDAV-Server | Nextcloud-Verbindung (opt-in) | vom Nutzer kontrolliert |
9. Welche Daten werden ausdrücklich NICHT erhoben?
- Keine Standortdaten
- Keine Geräte-Fingerprints oder Werbe-IDs (IDFA / AAID)
- Keine Nutzungsstatistiken, kein A/B-Testing, kein Heatmap-Tracking
- Keine Crash-Reports mit personenbezogenen Daten
- Keine Weitergabe an Dritte außer den oben genannten nutzergesteuerten Integrationen
- Keine Cookies oder ähnliche Technologien (in der App)
- Kein Tracking (Art. 5 Abs. 1 lit. c DSGVO — Datenminimierung)
10. Deine Rechte nach Art. 13, 15-22 DSGVO
Du hast jederzeit das Recht auf:
- Auskunft über gespeicherte personenbezogene Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung („Recht auf Vergessenwerden“, Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit in einem strukturierten Format (Art. 20)
- Widerspruch gegen Verarbeitungen (Art. 21)
- Widerruf von Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Für alle Auskunfts- und Löschungsanfragen wende dich bitte an [email protected]. Bearbeitung in der Regel innerhalb einer Woche, spätestens binnen 30 Tagen.
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Behörde deines Bundeslandes (du als betroffene Person) bzw. die Behörde am Sitz des Verantwortlichen. Für den Verantwortlichen ist das die Behörde seines Bundeslandes. Eine Liste aller deutschen Aufsichtsbehörden findest du bei der BfDI.
11. Sicherheit
- Credentials ausschließlich im iOS Keychain bzw. Android EncryptedSharedPreferences
- Alle Netzwerk-Verbindungen über HTTPS/TLS (App Transport Security auf iOS erzwungen)
- Keine Klartext-Speicherung sensibler Daten
- OAuth-Tokens werden nie in Logs geschrieben
- OAuth-Flow mit PKCE (RFC 7636) gegen Authorization-Code-Interception
- Open Source — jeder kann den Code prüfen: gitlab.maaax.me/usepati
12. Automatisierte Entscheidungen & Profiling
PATI trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber dir und führt kein Profiling im Sinne von Art. 22 DSGVO durch.
13. Kinder
PATI richtet sich nicht spezifisch an Kinder unter 16 Jahren. Es werden bewusst keine Daten von Kindern erhoben.
14. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an veränderte Rechtslage oder geänderte App-Funktionen anzupassen. Die jeweils aktuelle Version ist auf usepati.app/legal/datenschutz.html abrufbar. Wesentliche Änderungen werden in der App und auf der Website angekündigt.
15. Kontakt
Maximilian Mainitz
E-Mail (Datenschutz): [email protected]
E-Mail (Allgemein): [email protected]
E-Mail (Sicherheit): [email protected]