Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Luis Newton - Newton Systems
Dasselstraße 63
50674 Köln
E-Mail: hi@kchromik.com
Telefon: +49 174 8873354
2. Überblick über die Datenverarbeitung
Der Schutz Ihrer persönlichen Daten ist uns wichtig. Die oneWeek App wurde mit dem Prinzip der Datensparsamkeit entwickelt.
Die App kann ohne Anmeldung genutzt werden — in diesem Fall werden Ihre Todos und Einstellungen ausschließlich lokal auf Ihrem Gerät gespeichert und nicht an Server übertragen (siehe Abschnitt 3).
Optional können Sie ein kostenloses oneWeek-Konto erstellen, um Ihre Daten zwischen mehreren Geräten zu synchronisieren. Hierbei werden Ihre Daten in der Google Cloud (Firebase) gespeichert (siehe Abschnitt 4).
3. Datenverarbeitung in der App
3.1 Lokale Datenspeicherung
Alle Daten, die Sie in der oneWeek App eingeben, werden ausschließlich lokal auf Ihrem Gerät gespeichert:
- Ihre Todos und deren Status (erledigt/offen)
- App-Einstellungen (z.B. Farbschema, Wochenstart)
- Benachrichtigungs- und Erinnerungseinstellungen (z.B. ob der tägliche Reminder aktiviert ist und zu welcher Uhrzeit)
- Statistiken über erledigte Aufgaben
Sofern Sie kein Konto nutzen, werden diese Einstellungen ausschließlich lokal gehalten und erst bei Nutzung eines Kontos in die Cloud synchronisiert (siehe Abschnitt 4).
Diese Daten verlassen Ihr Gerät nicht und werden nicht an uns oder Dritte übermittelt. Die Rechtsgrundlage für die lokale Speicherung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.2 Push-Benachrichtigungen
Ohne Konto werden Erinnerungen ausschließlich lokal auf Ihrem Gerät geplant; dabei werden keine Daten an externe Server gesendet. Wenn Sie ein Konto nutzen und den serverseitigen täglichen Abend-Reminder aktivieren, werden Push-Benachrichtigungen über Firebase Cloud Messaging zugestellt und serverseitig verarbeitet (siehe Abschnitt 4.10). Die Rechtsgrundlage für lokal geplante Erinnerungen ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
3.3 In-App-Käufe
Für In-App-Käufe (oneWeek Pro) nutzen wir die Zahlungssysteme von Apple (App Store) bzw. Google (Play Store). Die Zahlungsabwicklung erfolgt ausschließlich über diese Plattformen. Wir erhalten keine Zahlungsdaten wie Kreditkartennummern. Wir erhalten lediglich die Information, ob ein Kauf erfolgreich war.
Weitere Informationen finden Sie in den Datenschutzrichtlinien von:
4. Cloud-Sync mit Firebase (optional)
Wenn Sie sich für die Cloud-Sync-Funktion entscheiden, werden Ihre Daten bei Google LLC bzw. Google Ireland Limited („Firebase") gespeichert und verarbeitet. Die Cloud-Sync ist freiwillig und jederzeit deaktivierbar (durch Abmelden in der App).
4.1 Verarbeitete Datenkategorien
Bei aktivierter Cloud-Sync verarbeiten wir folgende Datenkategorien:
- E-Mail-Adresse — zur Identifikation Ihres Kontos und für sicherheitsrelevante Mitteilungen (z.B. Passwort-Reset)
- Anzeigename — optional, von Ihnen frei wählbar; nur in der App sichtbar
- Firebase User-ID — anonyme Kennung zur internen Zuordnung Ihrer Daten
- Anmelde-Provider — „apple.com" oder „google.com", je nachdem wie Sie sich angemeldet haben
- Todo-Inhalte — Titel, Datum, Erledigt-Status, Wiederholungs-Einstellungen, eine optionale Notiz und Zeitstempel der von Ihnen angelegten Aufgaben
- Design-Einstellungen — Theme-Modus, gewählte Farbpalette, Schriftart, eigene Farbpaletten
- Zeitzone und Spracheinstellung — für korrekte Anzeige von Datum/Uhrzeit und für lokalisierte Push-Benachrichtigungen
- FCM-Push-Token — anonyme Geräte-Kennung von Firebase Cloud Messaging, um Push-Benachrichtigungen an Ihre Geräte senden zu können
- Pro-Status-Indikator — boolescher Wert, ob Ihr Konto ein aktives Pro-Abonnement hat (Quelle: RevenueCat)
- Benachrichtigungs-Einstellungen — ob der tägliche Abend-Reminder aktiviert ist und die gewählte Uhrzeit (Stunde/Minute); zusätzlich ein technischer Marker, an welchem Kalendertag zuletzt eine Erinnerung gesendet wurde (zur Vermeidung doppelter Benachrichtigungen)
- Wochenrückblick-Status — welche Woche zuletzt im Wochenrückblick abgeschlossen wurde, damit der Dialog nicht auf mehreren Geräten erneut erscheint
- Anzeige-Status der Hinweise — Zeitstempel und Zähler, wann und wie oft ein Pro-Hinweis angezeigt wurde, um die Anzeigehäufigkeit geräteübergreifend zu begrenzen
- Konto-Zeitstempel — Erstellungs- und Aktualisierungszeitpunkt Ihres Profils
4.2 Zwecke der Verarbeitung
- Synchronisation Ihrer Todos und Einstellungen zwischen Ihren Geräten
- Authentifizierung und Schutz Ihres Kontos
- Versand von Push-Benachrichtigungen (sofern aktiviert)
- Übergreifende Verfügbarkeit Ihres Pro-Abonnements
4.3 Rechtsgrundlage
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist erforderlich, um Ihnen die von Ihnen angeforderte Cloud-Sync-Funktion bereitzustellen. Indem Sie ein oneWeek-Konto erstellen, schließen Sie einen Nutzungsvertrag mit uns ab.
4.4 Auftragsverarbeitung durch Google/Firebase
Wir nutzen Firebase-Dienste der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA). Konkret kommen folgende Dienste zum Einsatz:
- Firebase Authentication — Verwaltung Ihres Kontos und der Anmelde-Methoden (Apple Sign-In, Google Sign-In)
- Cloud Firestore — Speicherung Ihrer Todos und Einstellungen, Synchronisation zwischen Ihren Geräten
- Firebase Cloud Messaging (FCM) — Versand von Push-Benachrichtigungen
- Firebase Cloud Functions — serverseitige Logik in der Region europe-west3: täglicher Abend-Reminder (eveningReminder, siehe 4.10), geräteübergreifende Widget-Aktualisierung über stille Pushes (onTodoWriteRefreshWidgets, siehe 4.12), automatische Bereinigung gelöschter Todos (pruneDeleted), Verarbeitung von RevenueCat-Webhooks (revenuecatWebhook, siehe 4.9) und Account-Löschung (deleteUserAccount)
Die Daten werden primär in der Region eur3 (Multi-Region Europa, u.a. Belgien, Niederlande) gespeichert; die Cloud Functions werden in der Region europe-west3 (Frankfurt, Deutschland) ausgeführt. Mit Google haben wir einen Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO geschlossen.
4.5 Drittlandtransfer (USA)
Google ist ein US-amerikanisches Unternehmen. Auch wenn die primäre Datenspeicherung in der EU erfolgt, kann es bei administrativen Vorgängen (Support, Wartung, Sicherheit) zu Datenübermittlungen in die USA kommen. Für diese Übermittlungen bestehen folgende Garantien:
- EU-US Data Privacy Framework (DPF): Google LLC ist unter dem DPF zertifiziert.
- Standardvertragsklauseln (Standard Contractual Clauses, SCC) der Europäischen Kommission als zusätzliche Absicherung.
Neben Google erhält auch RevenueCat (USA) Daten (siehe Abschnitt 4.9); für diese Übermittlung gelten die Standardvertragsklauseln. Soweit der Feedback-Dienst WishKit (siehe Abschnitt 4.11) Daten außerhalb der EU verarbeitet, kommen ebenfalls geeignete Garantien (Standardvertragsklauseln) zur Anwendung.
Mehr Informationen finden Sie in den Google-Datenschutzbedingungen für Firebase.
4.6 Aufbewahrungsfristen
- Konto und Profil-Daten — solange Ihr Konto existiert; bei Account-Löschung sofortige Entfernung
- Todo-Inhalte — solange Sie diese nicht löschen oder Ihr Konto besteht
- Tombstones (gelöschte Todos) — maximal 180 Tage (6 Monate) zur Synchronisation der Löschung über alle Geräte, danach automatische serverseitige Bereinigung (Cloud Function pruneDeleted)
- FCM-Push-Tokens — bis zur Abmeldung des Geräts oder Account-Löschung; ungültig gewordene Tokens werden zusätzlich automatisch entfernt, sobald eine Zustellung fehlschlägt
4.7 Anmelde-Provider (Apple, Google)
Wenn Sie sich mit „Anmelden mit Apple" oder „Anmelden mit Google" anmelden, werden Sie zur jeweiligen Provider-Anmeldeseite weitergeleitet. Wir erhalten lediglich die folgenden Informationen vom Provider:
- E-Mail-Adresse (bei Apple optional „Hide My Email"-Relay-Adresse möglich)
- Anzeigename (nur beim allerersten Sign-In, danach vom Provider nicht mehr übermittelt)
- Eindeutige Provider-Kennung (Sub-Identifier)
Beim Account-Löschen über Apple Sign-In widerrufen wir Ihre Apple-Authorisierung gemäß App Store Review Guideline 5.1.1(v).
4.8 Nutzungsanalyse (Firebase Analytics)
Wir nutzen Firebase Analytics (Google), um aggregierte Nutzungsstatistiken zu erheben und Fehler in den App-Flows zu erkennen. Konkret werden folgende Ereignisse anonymisiert oder pseudonymisiert übermittelt:
- Anmeldung erfolgreich/fehlgeschlagen (mit Provider Apple/Google und ggf. Fehlercode)
- Konto-Erstellung, Email-Bestätigung, Konto-Löschung
- Migrations-Ergebnis nach erstem Login (Anzahl hoch-/heruntergeladener Todos)
- Cloud-Sync-Intro angezeigt/akzeptiert/abgelehnt
- Pro-Kauf (Store: App Store/Play Store, Produkt-Variante)
- Tap auf „Abo verwalten"
- Öffnen einer Push-Benachrichtigung
Bei eingeloggtem Konto wird Ihre Firebase-User-ID als Analytics-Nutzerkennung verwendet, damit wir Ereignisse über mehrere Geräte hinweg konsistent zuordnen können. Die User-ID ist eine opake, von Firebase generierte Zeichenkette und enthält keine personenbezogenen Daten wie E-Mail oder Name.
Inhalte Ihrer Todos sowie Ihre E-Mail-Adresse werden NICHT an Firebase Analytics übermittelt.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Auswertung dient der Verbesserung der App-Stabilität und der User-Experience. Die Erhebung ist standardmäßig aktiviert. Sie können sie jederzeit selbst deaktivieren unter Einstellungen → Allgemein → „Anonyme Nutzungsstatistiken“ — bei deaktiviertem Schalter werden keine Analytics-Ereignisse mehr an Firebase übermittelt. Alternativ können Sie der Verarbeitung gemäß Art. 21 DSGVO formlos per E-Mail an hi@kchromik.com widersprechen.
Aufbewahrung: Die Standard-Aufbewahrungsdauer von Firebase Analytics beträgt 14 Monate für ereignisbezogene Daten.
4.9 Pro-Abonnement-Verwaltung (RevenueCat)
Zur Verwaltung von Pro-Abonnements über alle Plattformen hinweg nutzen wir den Dienst RevenueCat (RevenueCat, Inc., USA). RevenueCat erhält von uns nur Ihre Firebase User-ID, keine personenbezogenen Daten wie E-Mail oder Name. Die Zahlungsabwicklung selbst erfolgt ausschließlich über Apple bzw. Google (siehe 3.3).
RevenueCat informiert uns über einen serverseitigen Webhook über Abo-Änderungen (Kauf, Verlängerung, Ablauf, Erstattung, Übertragung). Dabei werden der Ereignistyp und Transaktionskennungen (u.a. die Original-Transaktions-ID) übermittelt und in Ihrem Profil als Pro-Status (proActive, proSource, proOriginalTransactionId, revenuecatAppUserId) gespeichert, damit Ihr Pro-Status auf allen Geräten verfügbar ist. Diese Felder werden ausschließlich serverseitig gesetzt; die App selbst kann sie nicht verändern. RevenueCat ist ein US-Unternehmen; für Datenübermittlungen in die USA gelten die Garantien aus Abschnitt 4.5.
Hinweis: Ein aktives Pro-Abonnement bleibt nach Löschung Ihres oneWeek-Kontos in Ihrem Apple-ID- bzw. Google-Play-Konto bestehen und muss dort gesondert verwaltet oder gekündigt werden.
4.10 Täglicher Abend-Reminder (serverseitig)
Wenn Sie in den App-Einstellungen den täglichen Abend-Reminder aktivieren, prüft eine Cloud Function (eveningReminder) in regelmäßigen Abständen serverseitig, ob zu der von Ihnen gewählten Uhrzeit (in Ihrer Zeitzone) noch offene Aufgaben für den aktuellen Tag bestehen. Dazu liest die Funktion serverseitig die Todos des aktuellen lokalen Kalendertages aus Ihrem Konto und ZÄHLT die noch nicht erledigten, nicht gelöschten Aufgaben. Nur wenn mindestens eine Aufgabe offen ist, erhalten Sie eine Push-Benachrichtigung.
Hierfür werden Ihre Zeitzone, Ihre Spracheinstellung (zur Lokalisierung des Textes), Ihre Reminder-Einstellungen (aktiviert/Uhrzeit) und Ihre FCM-Push-Tokens verwendet. Die Benachrichtigung enthält ausschließlich die ANZAHL offener Aufgaben (z.B. „Du hast noch 3 offene Aufgaben heute.“) — nicht den Inhalt Ihrer Todos. Bitte beachten Sie, dass diese Anzahl ggf. auf Ihrem Sperrbildschirm sichtbar ist. Zur Vermeidung doppelter Benachrichtigungen speichern wir, an welchem Kalendertag zuletzt gesendet wurde (lastEveningPushSentKey, lastEveningPushSentAt).
Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch Aktivieren des Reminders erteilen und durch Deaktivieren jederzeit widerrufen können.
4.11 Feedback & Feature-Wünsche (WishKit)
In der App können Sie über die Feedback-/Wunschzettel-Funktion Feature-Wünsche einreichen und für bestehende Wünsche abstimmen. Hierfür nutzen wir den Drittanbieter-Dienst WishKit. Erst wenn Sie diese Funktion aktiv öffnen bzw. einen Beitrag absenden, werden Daten an WishKit übermittelt: der von Ihnen eingegebene Wunsch-/Feedback-Text, Ihre Abstimmungen sowie technische Übertragungsdaten (z.B. Geräte-/Anfrage-Metadaten). Eingereichte Wünsche können auf einem öffentlich sichtbaren Feature-Board angezeigt werden — geben Sie dort daher keine personenbezogenen oder vertraulichen Informationen ein.
Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch die aktive Nutzung der Feedback-Funktion erteilen. Weitere Informationen zur Datenverarbeitung durch WishKit entnehmen Sie bitte den Datenschutzhinweisen des Anbieters.
4.12 Geräteübergreifende Widget-Aktualisierung & interaktive Widgets
Wenn Sie ein Konto nutzen, sorgt eine Cloud Function (onTodoWriteRefreshWidgets) dafür, dass Ihre Home- bzw. Sperrbildschirm-Widgets auf allen Ihren Geräten aktuell bleiben: Bei jeder Änderung an Ihren Todos wird eine STILLE (für Sie nicht sichtbare) Push-Nachricht an Ihre Geräte gesendet, die das jeweilige Widget im Hintergrund aktualisiert. Es wird dabei keine sichtbare Benachrichtigung angezeigt. Auf iOS erfolgt die Zustellung systembedingt nur nach bestem Bemühen und kann vom Betriebssystem gedrosselt werden.
Zusätzlich können Sie auf unterstützten Geräten (iOS 17 und neuer) eine Aufgabe direkt im Widget als erledigt markieren; diese Änderung wird im Hintergrund mit Ihrem Konto (Firestore) synchronisiert, ohne dass die App geöffnet werden muss. Diese Funktionen sind Bestandteil der von Ihnen angeforderten Geräte-Synchronisation und erfolgen bei eingeloggtem Konto automatisch. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5. Datenverarbeitung auf der Website
5.1 Hosting
Unsere Website wird bei einem externen Dienstleister gehostet. Beim Besuch der Website werden automatisch Informationen in Server-Log-Dateien gespeichert, die Ihr Browser automatisch übermittelt:
- IP-Adresse
- Browsertyp und -version
- Betriebssystem
- Referrer URL
- Datum und Uhrzeit des Zugriffs
Diese Daten werden zur Sicherstellung eines störungsfreien Betriebs der Website erhoben. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
5.2 Cookies
Diese Website verwendet keine Cookies und keine Tracking-Technologien.
5.3 Externe Links
Unsere Website enthält Links zu externen Websites (App Store, Play Store). Beim Klick auf diese Links verlassen Sie unsere Website. Für die Datenverarbeitung auf diesen externen Seiten sind deren Betreiber verantwortlich.
5.4 Schriftarten
Die auf dieser Website verwendeten Schriftarten (u.a. „Figtree“ und „Geist Mono“) werden lokal von unserem eigenen Server ausgeliefert (Self-Hosting). Es werden hierfür keine Schriftdateien von Servern Dritter (z.B. Google Fonts) nachgeladen; insbesondere wird Ihre IP-Adresse zu diesem Zweck nicht an Google oder andere Dritte übermittelt.
6. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten Daten verlangen.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem übertragbaren Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.
- Beschwerderecht (Art. 77 DSGVO): Sie können sich bei einer Aufsichtsbehörde beschweren.
Wenn Sie die App ohne Konto nutzen, sind Ihre Daten ausschließlich lokal auf Ihrem Gerät; Sie können sie jederzeit durch Deinstallation der App löschen. Wenn Sie ein Konto verwenden, können Sie Ihren gesamten Datenbestand jederzeit über Einstellungen → Konto → „Konto löschen" entfernen — dabei werden sowohl die Cloud-Daten als auch die Daten auf dem aktuellen Gerät gelöscht. Eine separate Anleitung finden Sie unter one-week.app/delete-account.
7. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.
8. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.
9. Kontakt
Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten, bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten wenden Sie sich bitte an:
Luis Newton - Newton Systems
E-Mail: hi@kchromik.com