Stand: 19. April 2026

Datenschutzerklärung – Vitrin

Verantwortlicher im Sinne der DSGVO:
Gembag
[Vorname Nachname]
[Straße Hausnummer]
[PLZ Ort]
Deutschland

E-Mail: datenschutz@gembag.de

1. Allgemeines

Diese Datenschutzerklärung klärt Nutzer der mobilen Anwendung Vitrin (iOS und Android) über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten auf. Die Verarbeitung erfolgt gemäß den Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG).

Vitrin ist eine digitale Sammlungs-App für Kristall-, Mineralien- und Edelsteinsammler. Nutzer können ihre eigenen Stücke in virtuellen "Kabinetten" organisieren, optional öffentlich teilen, anderen Sammlern folgen und Beiträge liken. Zudem werden Käufe aus dem Gembag-Shopify-Store automatisch in die App übernommen, sofern die verknüpfte E-Mail-Adresse übereinstimmt.

2. Verantwortlicher

Siehe oben. Bei allen Fragen zum Datenschutz wenden Sie sich bitte an datenschutz@gembag.de.

3. Erhobene personenbezogene Daten

3.1 Konto- und Profildaten

Bei der Registrierung über Microsoft Entra External ID (CIAM) werden folgende Daten erhoben und im CIAM-Tenant gespeichert:

• E-Mail-Adresse
• Anzeigename (Display Name)
• Eindeutige Benutzer-ID (CIAM sub)

Diese Daten werden über das JWT-Token an die Vitrin-Backend-API übertragen und dort mit einem Collector-Datensatz verknüpft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – App-Nutzung).

3.2 Sammlungsdaten

Nutzer können in der App Gegenstände hinterlegen (Titel, Steinart, Herkunft, Bilder, Kaufdatum, Kaufpreis, Notizen). Diese Daten werden in der Azure PostgreSQL-Datenbank gespeichert. Bilder werden in Azure Blob Storage abgelegt und über ein CDN ausgeliefert.

Jedes Sammlungsstück kann einer von drei Sichtbarkeitsstufen zugewiesen werden:

• Privat: nur für den Besitzer sichtbar
• Showcase: Titel, Bilder, Steinart, Herkunft für alle sichtbar
• Featured: alle Felder außer Kaufpreis und Notizen für alle sichtbar

Kaufpreis und private Notizen werden niemals mit anderen Nutzern geteilt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Soziale Interaktionen

• Follow-Beziehungen (wer folgt wem)
• Likes (welche Sammlungsstücke dem Nutzer gefallen)
• Aktivitätsfeed-Ereignisse

Diese Daten werden in der Backend-Datenbank gespeichert und – soweit auf sichtbaren Gegenständen – an andere Nutzer ausgespielt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.4 Kaufsynchronisation

Wenn ein Kauf im Gembag-Shopify-Store mit derselben E-Mail-Adresse getätigt wird, die im Vitrin-Konto hinterlegt ist (primäre oder verifizierte sekundäre E-Mail), werden folgende Daten automatisch in das Vitrin-Konto übernommen:

• Bestellnummer (Shopify-ID)
• Artikelbezeichnung, Steinart, Herkunft
• Kaufpreis und Kaufdatum
• Produktbilder

Die Übertragung erfolgt per Webhook ORDERS_PAID von Shopify an die Backend-API und ist HMAC-signaturgeschützt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Zuordnung der E-Mail-Adresse im Konto).

3.5 Push-Benachrichtigungen

Bei Zustimmung zu Push-Benachrichtigungen wird ein Expo-Push-Token erfasst und dem Collector-Datensatz zugeordnet. Das Token dient ausschließlich der Zustellung von App-Benachrichtigungen (z. B. neuer Follower, neuer Kauf synchronisiert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Kann jederzeit in den Geräteeinstellungen widerrufen werden.

3.6 Technische Daten

Die Backend-API erfasst im Rahmen des normalen Serverbetriebs:

• IP-Adresse (nicht dauerhaft gespeichert)
• Zeitstempel der Anfrage
• User-Agent / App-Version
• HTTP-Statuscode

Diese Daten werden für maximal 30 Tage in Azure Monitor / Application Insights gespeichert und ausschließlich zur Fehlerdiagnose und Sicherheitsüberwachung verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

4. Empfänger der Daten

Personenbezogene Daten werden an folgende Auftragsverarbeiter weitergegeben:

• Microsoft Azure (Rechenzentren: Germany West Central, Sweden Central) – Hosting der Backend-API, Datenbank, Blob Storage, CDN, CIAM-Authentifizierung
• Shopify – nur im Kontext der Kaufsynchronisation (bestehende Geschäftsbeziehung zum Gembag-Shop)
• Expo (Exponent, Inc., USA) – Versand von Push-Benachrichtigungen. Übertragung auf Grundlage der EU-Standardvertragsklauseln.
• Apple / Google – Bereitstellung der App über App Store / Google Play Store

Es findet keine Weitergabe an sonstige Dritte zu Werbe- oder Analysezwecken statt.

5. Speicherdauer

• Konto- und Sammlungsdaten: bis zur Kontolöschung durch den Nutzer
• Technische Protokolle: 30 Tage
• Gelöschte Konten: sofortige Löschung aller Collector-, Cabinet-, CabinetItem-, Follow- und Like-Datensätze sowie aller zugehörigen Bilder aus Blob Storage

6. Rechte der Nutzer

Sie haben jederzeit folgende Rechte:

• Auskunft (Art. 15 DSGVO) – die App bietet unter Profil → Konto → Daten exportieren eine vollständige Datenausgabe im JSON-Format
• Berichtigung (Art. 16 DSGVO) – direkt in der App unter Profil bearbeiten
• Löschung (Art. 17 DSGVO) – direkt in der App unter Profil → Konto → Konto löschen (sofortige, irreversible Löschung)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) – über die Export-Funktion
• Widerspruch (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft

Zur Wahrnehmung dieser Rechte genügt eine formlose E-Mail an datenschutz@gembag.de.

7. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Bundeslandes oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.

8. Datensicherheit

• Alle Datenübertragungen zwischen App und Backend erfolgen TLS-verschlüsselt (HTTPS)
• Authentifizierung über OAuth 2.0 / PKCE via Microsoft Entra External ID
• Tokens werden auf dem Gerät ausschließlich in Expo SecureStore (iOS Keychain / Android Keystore) gespeichert
• Serverseitige Passwörter und Secrets liegen in Azure Container App Secrets und Azure Key Vault
• Regelmäßige Sicherheits-Audits und Abhängigkeits-Updates

9. Minderjährige

Vitrin ist nicht für Kinder unter 16 Jahren bestimmt. Wir erfassen wissentlich keine Daten von Kindern unter 16 Jahren. Sollten Eltern feststellen, dass ihr Kind ohne Einwilligung Daten übermittelt hat, bitten wir um Kontaktaufnahme zur umgehenden Löschung.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht. Die jeweils aktuelle Version ist in der App unter Profil → Rechtliches → Datenschutz einsehbar.

Diese Datenschutzerklärung wurde zuletzt am 19. April 2026 aktualisiert.