Datenschutzerklärung

Stand: 2025-10-08

1. Verantwortlicher

Mochi GmbH
C/O Fabian Lucas
Revaler Str. 19
10245 Berlin
Deutschland

Geschäftsführer: Piran Asci, Fabian Lucas

2. Verarbeitung in der App

2.1 Nutzerkonto

Bei der Registrierung oder Anmeldung (E-Mail, Apple-ID, Google-ID) verarbeiten wir:

  • Username

  • E-Mail-Adresse

  • Passwort (gehasht)

  • Avatar

  • ggf. von Apple/Google übermittelte Profildaten

Zwecke: Einrichtung und Verwaltung des Nutzerkontos, Nutzung der App
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 Bewertungen und Kommentare

Bei Bewertungen oder Kommentaren speichern wir Inhalte, Datum und Nutzerkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.3 Protokolldaten & Sicherheit

Wir erfassen automatisch technische Daten wie IP-Adresse, Gerätetyp, Betriebssystem und App-Version.
Zweck: IT-Sicherheit, Missbrauchsprävention und Sicherstellung der Systemintegrität (z. B. durch AppCheck)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Zur Absicherung unserer App-API gegen Angriffe und Missbrauch nutzen wir außerdem Cloudflare. Dabei können technische Verbindungsdaten (z. B. IP-Adresse und Request-Metadaten) verarbeitet werden.

2.4 Analysen & Statistiken

Wir verwenden Amplitude (EU) zur Analyse der App-Nutzung. Dabei verarbeiten wir insbesondere Nutzungsereignisse (z. B. aufgerufene Screens und Interaktionen) in pseudonymer Form, um unser Angebot technisch sowie inhaltlich zu optimieren.

In der App wird Firebase Analytics/Google Analytics nicht eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

2.5 Abstürze & Fehlerberichte

Wir nutzen Firebase Crashlytics (Google Cloud, EU-Hosting). Erfasst werden Gerätespezifikationen, Fehlerprotokolle und Zeitpunkte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

2.6 Authentifizierung und Datenhaltung von Kontodaten

Zur Verwaltung von Nutzerkonten und zugehörigen Kontodaten verwenden wir Firebase Auth und Firebase Firestore.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO

2.7 Messaging und Nutzerkommunikation

Für den Versand von E-Mails, Push-Benachrichtigungen sowie In-App-Nachrichten nutzen wir den Dienst Customer.io (EU-Serverstandort).

Dabei können insbesondere folgende Daten verarbeitet werden:

  • E-Mail-Adresse

  • Geräte- bzw. Push-Token

  • Nutzer-ID

  • Nutzungsereignisse (z. B. Interaktionen in der App)

  • Zeitpunkte der Zustellung und Interaktion mit Nachrichten

Zwecke der Verarbeitung sind:

  • Versand transaktionaler Nachrichten (z. B. konto- oder servicebezogene Mitteilungen)

  • Versand von Push-Benachrichtigungen

  • Ausspielung von In-App-Nachrichten

  • Segmentierung und Personalisierung der Kommunikation auf Basis von Nutzungsereignissen

  • Analyse der Zustellung und Interaktion zur Optimierung der Kommunikation

Push-Benachrichtigungen können jederzeit über die Einstellungen Ihres Betriebssystems deaktiviert werden.

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (vertraglich erforderliche Kommunikation)

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern für werbliche oder nicht erforderliche Kommunikation erforderlich)

2.8 In der App gespeicherte Daten (Datenbank)

Für die App-Funktionen speichern wir in unserer Datenbank insbesondere folgende Daten:

  • Profildaten (z. B. Username, Avatar-Referenz, Bio, Profil-Link, Sichtbarkeitseinstellungen)

  • Interaktionsdaten (z. B. Favoriten, Verlauf, Folgen/Entfolgen, hilfreiche Bewertungen)

  • Scan-Daten (z. B. gescannte Produkte/Barcodes, Produktbezug, Zeitpunkte und technische Metadaten zur Nutzung der Scan-Funktion)

  • Inhalte der Community (Bewertungen, Kommentare, Antworten sowie Referenzen auf Bilder/Videos)

  • Benachrichtigungsdaten (z. B. Typ, Bezug zu Produkt/Bewertung, Lesestatus)

  • Meldungen zur Moderation (z. B. gemeldete Inhalte, Kategorie, Kommentar zur Meldung)

Zwecke: Bereitstellung der Social- und Community-Funktionen, Missbrauchsvermeidung, Moderation und Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (App-Funktionen), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit und Missbrauchsvermeidung)

2.9 Regalfoto (Bilderkennung)

Wenn Sie die Regalfoto-Funktion nutzen, wird ein von Ihnen aufgenommenes Foto (bzw. die Bildreferenz) zur Produkterkennung verarbeitet. Dabei werden Suchbegriffe und passende Produkttreffer ermittelt und im Rahmen der Funktion gespeichert.

Zwecke: Bereitstellung der Bilderkennung und Verbesserung der Produktsuche.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der App-Funktion)

2.10 Auftragsverarbeiter in der App

Für den Betrieb der App setzen wir folgende Dienstleister ein (EU-Hosting, soweit möglich):

  • Google Firebase / Google Cloud (Serverstandorte innerhalb der EU, soweit verfügbar): Auth, Firestore, Crashlytics, AppCheck, Messaging

  • Google Cloud SQL (PostgreSQL): Verarbeitung von Produkt- und Scan-Daten

  • Cloudflare: Schutz und Absicherung der App-API (z. B. DDoS-/Sicherheitsfunktionen)

  • Amplitude (EU): Analyse von Nutzungsverhalten

  • Customer.io (EU): Versand von E-Mails, Push-Nachrichten und In-App-Mitteilungen

  • Cloudinary (Cloudinary Inc.): Speicherung und Abruf von Medien für Regalfoto sowie Nutzerinhalte (z. B. Profilfotos, Review-Bilder, Review-Videos)

  • Google Gemini API (Google LLC): Erkennung von Produkten aus Regalfotos

  • Algolia: Produktsuche auf Basis erkannter Suchbegriffe

Mit allen Anbietern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

3. Verarbeitung auf der Website (Landingpage)

Die folgenden Hinweise gelten für unsere Website (Landingpage), die über Squarespace bereitgestellt wird.

3.1 Hosting und technische Bereitstellung (Squarespace)

Beim Aufruf unserer Website werden technisch erforderliche Daten verarbeitet (z. B. IP-Adresse, Datum/Uhrzeit des Zugriffs, aufgerufene Seite, Browser-Informationen), um die Website bereitzustellen, die Sicherheit zu gewährleisten und Störungen zu erkennen.

Zusätzlich nutzen wir Cloudflare für DNS, Auslieferung und Schutz der Website (insbesondere DDoS-/Sicherheitsfunktionen). Dabei werden technische Verbindungsdaten (z. B. IP-Adresse und Request-Metadaten) verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb der Website)

3.2 Einsatz von Google Analytics

Auf unserer Website nutzen wir Google Analytics, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics hilft uns zu verstehen, wie Besucher unsere Website nutzen (z. B. Seitenaufrufe, Verweildauer, Interaktionen), um Inhalte und Nutzerführung zu verbessern. Dabei werden Cookies und vergleichbare Technologien eingesetzt und personenbezogene Daten verarbeitet, insbesondere die gekürzte IP-Adresse sowie Nutzungsdaten.

IP-Anonymisierung (IP-Masking) ist aktiviert.

Google Analytics wird nur aktiviert, wenn Sie zuvor über unser Consent-Banner eingewilligt haben.

3.3 Widerruf und Opt-out für Website-Analyse

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über die Cookie-/Consent-Einstellungen der Website widerrufen oder anpassen.

3.4 Newsletter-Anmeldung über Customer.io (Double Opt-in)

Wenn Sie sich auf unserer Website für den Newsletter registrieren, verarbeiten wir die von Ihnen eingegebenen Daten (insbesondere E-Mail-Adresse, ggf. Vor- und Nachname) zum Versand von E-Mails über Customer.io.

Die Anmeldung erfolgt im Double-Opt-in-Verfahren. Das bedeutet: Nach der Anmeldung erhalten Sie eine E-Mail, in der Sie Ihre Anmeldung bestätigen müssen. Erst nach dieser Bestätigung wird Ihre Adresse in den Verteiler aufgenommen.

Zum Nachweis der Einwilligung speichern wir den Anmelde- und Bestätigungszeitpunkt sowie die dabei verwendeten technischen Protokolldaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in den Newsletterversand); Speicherung des Einwilligungsnachweises auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am rechtssicheren Nachweis).

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, insbesondere über den Abmeldelink in jeder Newsletter-E-Mail.

3.5 Auftragsverarbeiter auf der Website

  • Squarespace: Hosting und technische Bereitstellung der Website

  • Cloudflare: DNS, Auslieferung und Schutz der Website (z. B. DDoS-/Sicherheitsfunktionen)

  • Google Ireland Limited: Webanalyse mit Google Analytics (nur mit Einwilligung)

  • Customer.io: Verarbeitung von Newsletter-Anmeldungen und Versand von Newsletter-E-Mails

Mit den eingesetzten Anbietern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit erforderlich.

4. Speicherdauer

Personenbezogene Daten speichern wir nur so lange, wie es für die Zwecke erforderlich ist oder gesetzliche Pflichten bestehen. Kontodaten werden bei Löschung umgehend entfernt, sofern keine Aufbewahrungspflichten entgegenstehen.

Technische Protokoll- und Sicherheitsdaten speichern wir in der Regel bis zu 30 Tage. Andere Daten (z. B. Konto-, Community-, Scan- und Kommunikationsdaten) speichern wir für die Dauer des Nutzungsverhältnisses bzw. nur so lange, wie sie für die jeweiligen Funktionen erforderlich sind.

5. Übermittlungen in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA oder anderen Staaten außerhalb der Europäischen Union.

Soweit Anbieter in den USA ansässig sind, erfolgt die Übermittlung auf Grundlage von Standardvertragsklauseln gemäß Art. 46 DSGVO sowie - soweit vorhanden - einer Zertifizierung nach dem EU-US Data Privacy Framework.

6. Rechte der Betroffenen

  • Auskunft über Ihre Daten (Art. 15 DSGVO)

  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)

  • Löschung Ihrer Daten (Art. 17 DSGVO)

  • Einschränkung der Verarbeitung (Art. 18 DSGVO)

  • Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO)

  • Datenübertragbarkeit (Art. 20 DSGVO)

  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben außerdem das Recht auf Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO).

Hinweis auf Widerspruchsrecht (Art. 21 DSGVO): Soweit wir Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen.

7. Minderjährige

Unsere App richtet sich nicht an Kinder unter 16 Jahren. Eine Nutzung ist nur mit Zustimmung der Erziehungsberechtigten erlaubt.

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu ändern. Die aktuelle Version ist jederzeit in der App abrufbar.