Datenschutzerklärung
1. Verantwortlicher
Tilman Krauß
Tillitworks - IT Dienstleistungen
Telleringstraße 17
40597 Düsseldorf
Deutschland
E-Mail: me@till-it-works.de
2. Übersicht der Datenverarbeitungen
Diese Datenschutzerklärung gilt für die mobile App „CostPulse" (im Folgenden „App") sowie die zugehörige Website costpulse.cloud.
3. Welche Daten wir erheben
3.1 Account-Daten
Bei der Registrierung erheben wir:
- E-Mail-Adresse
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.
3.2 AWS-Integrationsdaten
Zur Bereitstellung der Kernfunktionalität der App richtet der Nutzer über einen geführten Einrichtungsprozess (Wizard) AWS Cross-Account IAM-Rollen ein, die unserem Backend Zugriff auf Kostendaten (lesend), Budgetverwaltung (lesend/schreibend), Anomalieerkennung (lesend/schreibend) sowie Stack-Bereinigung (für das Offboarding) im AWS-Account des Nutzers ermöglichen. Dabei werden verarbeitet:
- AWS Account-ID
- ARN der eingerichteten IAM-Rolle
- Abgerufene Kostendaten, Budgets und Alarme aus dem AWS-Account des Nutzers
Wir speichern keine AWS-Zugangsdaten (Access Keys oder Secret Keys). Der Zugriff erfolgt ausschließlich über die vom Nutzer eingerichtete IAM-Rolle mit minimalen Berechtigungen (Least Privilege).
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.
3.3 Subscription-Daten
Die Abwicklung von Abonnements erfolgt vollständig über Apple (App Store / StoreKit). Wir erhalten von Apple:
- Transaktions-IDs
- Abonnementstatus (aktiv, abgelaufen, Testzeitraum)
Zahlungsdaten (Kreditkartennummer etc.) werden nicht an uns übermittelt.
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.
3.4 Push-Benachrichtigungen
Für Kosten-Alarme und Budget-Warnungen nutzen wir den Apple Push Notification Service (APNs). Dabei wird ein gerätebasiertes Push-Token verarbeitet. Push-Benachrichtigungen können jederzeit in den Geräteeinstellungen deaktiviert werden.
Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO. Push-Benachrichtigungen für Budget-Alarme und Anomalie-Warnungen sind eine Kernfunktion des Dienstes. Wenn Sie Push-Benachrichtigungen in Ihren Geräteeinstellungen deaktivieren, entfällt diese Datenverarbeitung.
3.5 Technische Nutzungsdaten
Beim Zugriff auf unsere Dienste werden automatisch erhoben:
- IP-Adresse (temporär verarbeitet zur Ratenbegrenzung und Sicherheit; keine langfristige Speicherung)
- Gerätetyp, Betriebssystemversion
- Zeitpunkt des Zugriffs
- App-Version
Rechtsgrundlage: Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung des Betriebs und der Sicherheit).
4. Auftragsverarbeiter und Drittdienste
| Dienst | Anbieter | Zweck | Standort | Grundlage Drittlandtransfer |
|---|---|---|---|---|
| Backend-Infrastruktur (inkl. Authentifizierung über Amazon Cognito und E-Mail-Versand über Amazon SES) | Amazon Web Services, Inc. | Hosting, Datenverarbeitung, Authentifizierung, E-Mail-Versand, Abruf von AWS-Kostendaten | EU (Frankfurt, Deutschland) und USA | EU-US Data Privacy Framework |
| Push-Benachrichtigungen | Apple Inc. | Zustellung von Kosten-Alarmen | USA | EU-US Data Privacy Framework |
| Subscription-Abwicklung | Apple Inc. | Verwaltung von Abonnements | USA | EU-US Data Privacy Framework |
Die Datenverarbeitung unterliegt den jeweiligen Datenschutzbestimmungen der Anbieter: dem AWS Data Processing Addendum (Art. 28 DSGVO) für Amazon Web Services sowie dem Apple Developer Program License Agreement (einschließlich dessen Datenschutzbestimmungen) für Apple Inc.
5. Cookies und Tracking
Die CostPulse-Website und die App verwenden keine Cookies, Tracking-Pixel oder Analysetools von Drittanbietern. Ein Consent-Banner ist nicht erforderlich.
6. Datenübermittlung in Drittländer
Die primäre Datenverarbeitung erfolgt in der EU (AWS-Region eu-central-1, Frankfurt am Main, Deutschland). Bestimmte AWS-Dienste (Cost Explorer API) erfordern eine Datenverarbeitung in den USA (us-east-1). Bei der Einrichtung des AWS-Accounts kann der Nutzer den CloudFormation-Stack in einer AWS-Region seiner Wahl bereitstellen, einschließlich Regionen außerhalb der EU. Alarmdaten aus der gewählten Region des Nutzers werden an unsere Verwaltungsinfrastruktur in der EU (eu-central-1) weitergeleitet. Alle Übermittlungen erfolgen auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO) sowie, soweit anwendbar, der Standardvertragsklauseln und des Auftragsverarbeitungsvertrags von AWS. Die eingesetzten Dienstleister sind unter dem Data Privacy Framework zertifiziert.
7. Speicherdauer
- Account-Daten: Bis zur Löschung des Accounts durch den Nutzer.
- AWS-Integrationsdaten: AWS Account-ID und Rollen-ARN bis zur Löschung des Accounts. Abgerufene Kostendaten werden temporär zwischengespeichert (maximal 24 Stunden) zur Reduzierung von API-Aufrufen und danach automatisch gelöscht. Alarm-Datensätze (Budget- und Anomalie-Benachrichtigungen) werden 90 Tage aufbewahrt.
- Push-Token: Bis zur Deaktivierung von Push-Benachrichtigungen oder Löschung des Accounts.
- Technische Nutzungsdaten: Maximal 30 Tage.
- Subscription-Daten: Gemäß gesetzlicher Aufbewahrungsfristen (bis zu 10 Jahre für steuerrelevante Daten).
8. Ihre Rechte
Sie haben das Recht auf:
- Auskunft (Art. 15 DSGVO) über Ihre gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) unrichtiger Daten
- Löschung (Art. 17 DSGVO) Ihrer Daten
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO) gegen die Verarbeitung
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: me@till-it-works.de
9. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
https://www.ldi.nrw.de
10. Vertragssprache
Diese Datenschutzerklärung ist in deutscher und englischer Sprache verfügbar. Im Falle von Abweichungen ist die deutsche Fassung maßgeblich.
11. Ihre kalifornischen Datenschutzrechte (CCPA/CPRA)
Wenn Sie in Kalifornien ansässig sind, gewährt Ihnen der California Consumer Privacy Act (CCPA) in der durch den California Privacy Rights Act (CPRA) geänderten Fassung zusätzliche Rechte in Bezug auf Ihre personenbezogenen Daten.
Kategorien der von uns erhobenen personenbezogenen Daten: Identifikatoren (E-Mail-Adresse), kommerzielle Informationen (Abonnementstatus, Transaktions-IDs), Internet- oder elektronische Netzwerkaktivitätsdaten (IP-Adresse, Gerätetyp, App-Version) sowie berufs- oder beschäftigungsbezogene Informationen (AWS Account-ID, IAM-Rollen-ARN, Kostendaten verknüpfter AWS-Accounts).
Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht im Sinne des CCPA/CPRA. Wir verwenden Ihre personenbezogenen Daten nicht für kontextübergreifende verhaltensbezogene Werbung. Ein „Meine personenbezogenen Daten nicht verkaufen oder teilen"-Opt-out ist nicht erforderlich, da kein Verkauf oder Teilen stattfindet.
Ihre Rechte gemäß CCPA/CPRA: Sie haben das Recht (1) zu erfahren, welche personenbezogenen Daten wir erheben und wie sie verwendet werden, (2) die Löschung Ihrer personenbezogenen Daten zu verlangen, (3) die Berichtigung unrichtiger personenbezogener Daten zu verlangen, (4) nicht wegen der Ausübung Ihrer Rechte diskriminiert zu werden. Zur Ausübung dieser Rechte kontaktieren Sie uns unter me@till-it-works.de. Wir werden Ihre Identität vor der Bearbeitung Ihres Antrags überprüfen.
Do Not Track: Wir verfolgen Nutzer nicht über Websites Dritter und reagieren daher nicht auf Do-Not-Track-Browsersignale (DNT), da kein Tracking stattfindet.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Über wesentliche Änderungen werden wir Sie per E-Mail oder In-App-Benachrichtigung informieren. Die aktuelle Version ist stets unter costpulse.cloud/de/privacy abrufbar.
Stand: 25. Februar 2026