Privacy Policy

Last updated: 2026-04-24

Draft notice: this policy is a best-effort draft. It has not been reviewed by a lawyer. If you operate this app commercially or publicly, have a qualified privacy lawyer review it before relying on it.

This policy describes how we collect and process personal data when you use Kids Coin Quest (the "App"), available at kidscoinquest.app. It complies with the EU General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG).

1. Controller

The data controller responsible for processing your personal data is:

Email:

2. What data we collect

2.1 If you use the App without an account

All your data (hero names, chore list, balances, transactions, language and PIN settings) stays in your browser's localStorage on your device. It never leaves your device. We do not see it. If you clear your browser data, it is gone.

2.2 If you create an account

When you sign up with email + password or "Continue with Google", we process the following personal data:

Data	Purpose	Legal basis
Email address	Account identification, sign-in, password reset, admin contact	Art. 6(1)(b) GDPR — contract
Password (hashed) or Google ID token	Authentication	Art. 6(1)(b) GDPR — contract
Family data (hero names, chores, balances, transactions, settings)	Provide the App's features across devices	Art. 6(1)(b) GDPR — contract
Timestamps (account created, last updated)	Operating the service	Art. 6(1)(f) GDPR — legitimate interest

2.3 Children's data

The "hero names" and chore history you enter about your children are personal data about your children. Under GDPR Art. 8, we rely on your authority as the parent or legal guardian to enter and manage this data. We ask that you use first names or nicknames only, not last names. We do not collect any data directly from children and do not let children create their own accounts.

3. Where the data is stored

We use the following processors. Each is bound by a Data Processing Agreement (DPA) under Art. 28 GDPR:

Supabase (Supabase Inc., 970 Toa Payoh North, Singapore 318992) — database + authentication. Depending on the project region, servers are located in the EU (Frankfurt, Germany) or other regions. Our Supabase project is configured for the EU region where possible. Supabase privacy policy.
Netlify (Netlify Inc., 44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA) — static site hosting. Servers are in the USA; data transfers rely on the EU-U.S. Data Privacy Framework. Netlify privacy policy.
Google (Google LLC / Google Ireland Ltd.) — only if you use "Continue with Google". Google sees your sign-in request. Google privacy policy.
esm.sh — CDN that serves the Supabase JavaScript SDK to your browser. Your IP address is visible to the CDN at load time.

4. How long we keep your data

Offline (no account) data: only on your device, for as long as you keep it.
Account data: for as long as your account exists. When you delete your account (see §6), all family data is erased immediately, and your authentication record is removed.
Server logs (Supabase / Netlify) are kept for the processor's standard retention period, typically 7–30 days.

5. Who we share data with

We do not sell your data. We do not use advertising, analytics, or tracking tools. The only parties who see your data are the processors listed above — each strictly for the purpose of running the service.

6. Your rights

Under the GDPR you have the right to:

Access (Art. 15) — request a copy of your data. In the App, go to Council → Backup & PIN → Backup All Data to export a complete JSON file of everything we store.
Rectification (Art. 16) — correct inaccurate data. You can edit hero names, chores, settings directly in the App.
Erasure (Art. 17) — delete your account and data. In the App, go to Council → Account → Delete my account. This is irreversible.
Restriction (Art. 18) — ask us to limit processing; contact us.
Data portability (Art. 20) — the JSON export above is machine-readable and portable.
Objection (Art. 21) — object to processing based on legitimate interest; contact us.
Complaint (Art. 77) — lodge a complaint with a supervisory authority, e.g. the Berlin Commissioner for Data Protection and Freedom of Information (Berliner Beauftragte für Datenschutz und Informationsfreiheit).

7. Cookies and similar technologies

The App uses only first-party localStorage and session-state storage, strictly necessary to provide the service (remembering your login, your language, your hero data). We do not use tracking cookies, analytics cookies, or any third-party cookies. No cookie banner is shown because none is required for strictly necessary storage under §25 (2) TTDSG.

8. International transfers

If you use "Continue with Google" or the site is served from a CDN, data may be transferred to the USA. We rely on the EU-U.S. Data Privacy Framework (adequacy decision of 10 July 2023) and, where applicable, Standard Contractual Clauses (Art. 46 GDPR).

9. Security

All traffic is encrypted with HTTPS. Passwords are hashed (bcrypt) server-side by Supabase. Access to family data is enforced by Postgres Row-Level Security: each account can only read/write its own data. Administrators have read-only access to aggregate counts (name, email, hero count) for support purposes.

10. Changes to this policy

We may update this policy when the App or the law changes. Material changes will be announced in the App before they take effect.

11. Contact

For any question about your data, write to:

Datenschutzerklärung

Zuletzt aktualisiert: 24.04.2026

Hinweis (Entwurf): Diese Erklärung ist ein nach bestem Wissen erstellter Entwurf und nicht anwaltlich geprüft. Wer die App kommerziell oder öffentlich betreibt, sollte sie vor Produktivnahme durch eine Fachanwältin/einen Fachanwalt für Datenschutzrecht prüfen lassen.

Diese Erklärung beschreibt, wie wir personenbezogene Daten erheben und verarbeiten, wenn Sie Kids Coin Quest (die „App") unter kidscoinquest.app nutzen. Sie entspricht der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist:

E-Mail:

2. Welche Daten wir verarbeiten

2.1 Nutzung ohne Konto

Alle Ihre Daten (Heldennamen, Aufgabenliste, Guthaben, Transaktionen, Sprache und PIN) bleiben im localStorage Ihres Browsers auf Ihrem Gerät. Sie verlassen Ihr Gerät nicht. Wir sehen sie nicht. Löschen Sie Ihren Browser-Speicher, sind die Daten weg.

2.2 Mit Konto

Wenn Sie sich mit E-Mail + Passwort oder über „Mit Google fortfahren" registrieren, verarbeiten wir folgende Daten:

Daten	Zweck	Rechtsgrundlage
E-Mail-Adresse	Identifikation des Kontos, Anmeldung, Passwort-Reset, Admin-Kontakt	Art. 6 Abs. 1 lit. b DSGVO — Vertrag
Passwort (gehasht) oder Google-ID-Token	Authentifizierung	Art. 6 Abs. 1 lit. b DSGVO — Vertrag
Familiendaten (Heldennamen, Aufgaben, Guthaben, Transaktionen, Einstellungen)	Bereitstellen der App-Funktionen über mehrere Geräte	Art. 6 Abs. 1 lit. b DSGVO — Vertrag
Zeitstempel (Konto erstellt, letzte Aktualisierung)	Betrieb des Dienstes	Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

2.3 Daten von Kindern

Die „Heldennamen" und die Aufgabenhistorie, die Sie über Ihr Kind eintragen, sind personenbezogene Daten Ihres Kindes. Gemäß Art. 8 DSGVO stützen wir uns auf Ihre Autorität als Erziehungsberechtigte(r), diese Daten einzugeben und zu verwalten. Wir bitten Sie, ausschließlich Vornamen oder Spitznamen zu verwenden — keine Nachnamen. Wir erheben keine Daten direkt von Kindern und erlauben Kindern nicht, eigene Konten anzulegen.

3. Wo die Daten gespeichert sind

Wir nutzen folgende Auftragsverarbeiter. Mit jedem besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO:

Supabase (Supabase Inc., 970 Toa Payoh North, Singapur 318992) — Datenbank + Authentifizierung. Je nach Projekt-Region stehen Server in der EU (Frankfurt) oder anderen Regionen. Unser Projekt ist nach Möglichkeit auf die EU-Region konfiguriert. Supabase-Datenschutzerklärung.
Netlify (Netlify Inc., 44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA) — Hosting der statischen Seiten. Server stehen in den USA; Übermittlungen stützen sich auf das EU-U.S. Data Privacy Framework. Netlify-Datenschutzerklärung.
Google (Google LLC / Google Ireland Ltd.) — nur wenn Sie „Mit Google fortfahren" nutzen. Google sieht Ihre Anmelde-Anfrage. Google-Datenschutz.
esm.sh — CDN, das das Supabase-JavaScript-SDK an Ihren Browser ausliefert. Ihre IP-Adresse ist beim Laden sichtbar.

4. Speicherdauer

Offline-Nutzung (ohne Konto): nur auf Ihrem Gerät, solange Sie die Daten dort behalten.
Kontodaten: solange Ihr Konto besteht. Wenn Sie Ihr Konto löschen (siehe Abschnitt 6), werden alle Familiendaten sofort gelöscht und Ihr Authentifizierungsdatensatz entfernt.
Server-Logs (Supabase / Netlify) werden nach den Standard-Fristen der Auftragsverarbeiter aufbewahrt, typischerweise 7–30 Tage.

5. Weitergabe

Wir verkaufen Ihre Daten nicht. Wir nutzen keine Werbung, keine Analytics-Tools, kein Tracking. Die einzigen Stellen, die Ihre Daten sehen, sind die oben genannten Auftragsverarbeiter — ausschließlich zur Bereitstellung des Dienstes.

6. Ihre Rechte

Nach der DSGVO haben Sie das Recht auf:

Auskunft (Art. 15) — eine Kopie Ihrer Daten erhalten. In der App unter Rat → Sicherung & PIN → Alle Daten sichern exportieren Sie alles als JSON-Datei.
Berichtigung (Art. 16) — unrichtige Daten korrigieren. Sie können Heldennamen, Aufgaben und Einstellungen direkt in der App ändern.
Löschung (Art. 17) — Konto und Daten löschen. In der App unter Rat → Konto → Mein Konto löschen. Der Vorgang ist unumkehrbar.
Einschränkung (Art. 18) — Verarbeitung einschränken lassen; per E-Mail.
Datenübertragbarkeit (Art. 20) — der JSON-Export ist maschinenlesbar und portabel.
Widerspruch (Art. 21) — gegen Verarbeitung auf Basis berechtigten Interesses; per E-Mail.
Beschwerde (Art. 77) — bei einer Aufsichtsbehörde, z. B. der Berliner Beauftragten für Datenschutz und Informationsfreiheit.

7. Cookies und ähnliche Technologien

Die App verwendet ausschließlich First-Party-localStorage und Session-Speicher, die für den Betrieb zwingend erforderlich sind (Login-Status, Spracheinstellung, Helden-Daten). Wir nutzen keine Tracking- oder Analyse-Cookies und keine Cookies Dritter. Ein Cookie-Banner wird nicht gezeigt, weil für zwingend erforderliche Speicherung nach § 25 Abs. 2 TTDSG kein Einwilligungserfordernis besteht.

8. Datenübermittlung ins Ausland

Wenn Sie „Mit Google fortfahren" nutzen oder die Seite aus einem CDN ausgeliefert wird, können Daten in die USA übermittelt werden. Wir stützen uns auf das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023) und, soweit einschlägig, auf Standardvertragsklauseln (Art. 46 DSGVO).

9. Sicherheit

Die Übertragung erfolgt verschlüsselt über HTTPS. Passwörter werden serverseitig von Supabase gehasht (bcrypt). Der Zugriff auf Familiendaten wird durch Postgres Row-Level-Security erzwungen: jedes Konto kann nur eigene Daten lesen/schreiben. Administratoren haben ausschließlich Lesezugriff auf aggregierte Kennzahlen (Name, E-Mail, Anzahl Helden) zu Support-Zwecken.

10. Änderungen

Wir können diese Erklärung aktualisieren, wenn die App oder das Recht sich ändert. Wesentliche Änderungen werden in der App vor Inkrafttreten angekündigt.

11. Kontakt

Bei Fragen zu Ihren Daten wenden Sie sich an: