Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Digital App Group GmbH
Ferdinand-Koch-Str. 31
26133 Oldenburg
Deutschland

E-Mail: digitalappgroupde@gmail.com
Telefon: 0441 3793132

2. Überblick

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir bei der Nutzung unserer mobilen App „Lisora“ (im Folgenden „App“) und der zugehörigen Websitelisora.app erheben, verarbeiten und nutzen.

Lisora ist eine Plattform für spirituelle Beratung. Nutzer können mit KI-gestützten und menschlichen Beratern chatten, die auf Astrologie, Lebensberatung und weitere spirituelle Themen spezialisiert sind. Chats werden über ein Credit-System abgerechnet.

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Registrierung, Bereitstellung der Chat-Funktionen, Abwicklung von Credit-Käufen und Abrechnungen
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Push-Benachrichtigungen, App-Tracking (ATT auf iOS), freiwillige Angabe von Geburtsdaten
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Fehlerbehebung und Stabilitätssicherung (Crashlytics), Betrugsprävention (Play Integrity), grundlegende Nutzungsanalysen
• Gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Transaktionsdaten gemäß steuer- und handelsrechtlichen Vorschriften

Soweit wir besondere Kategorien personenbezogener Daten verarbeiten (z. B. Geburtsdaten für astrologische Zwecke), erfolgt dies auf Grundlage Ihrer ausdrücklichen Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO.

4. Registrierung & Authentifizierung

4.1 Anmeldeverfahren

Sie können sich über folgende Methoden registrieren:

• Apple-Anmeldung: Übermittlung von E-Mail-Adresse und Name über OpenID Connect mit PKCE-Absicherung. Apple ermöglicht das Verbergen der echten E-Mail-Adresse.
• Google-Anmeldung: Übermittlung von E-Mail-Adresse und Name über OAuth 2.0.
• E-Mail & Passwort: Direkte Registrierung mit E-Mail-Adresse und selbst gewähltem Passwort.
• E-Mail-OTP: Anmeldung per Einmalcode (6-stellig), der an Ihre E-Mail-Adresse gesendet wird.

4.2 Erhobene Daten bei der Registrierung

• E-Mail-Adresse (erforderlich)
• Name (optional, wird bei Apple/Google automatisch übermittelt)
• Benutzer-ID (automatisch generierte UUID)
• IP-Adresse und User-Agent (automatisch bei Serveranfragen)
• Zeitstempel der Registrierung

Die Authentifizierung erfolgt über unseren Hosting-Anbieter Supabase (siehe Abschnitt 11). Passwörter werden ausschließlich gehasht gespeichert und sind für uns nicht einsehbar.

5. Profil- und Onboarding-Daten

5.1 Pflichtangaben

Zur Nutzung der App ist lediglich die Angabe eines Anzeigenamens erforderlich.

5.2 Freiwillige Angaben (Onboarding)

Für eine personalisierte Beratung können Sie optional folgende Daten angeben:

• Geschlecht
• Geburtsdatum
• Geburtszeit (Stunde und Minute)
• Geburtsort (inkl. geographischer Koordinaten, ermittelt über Google Places)

Aus dem Geburtsdatum wird Ihr Sternzeichen berechnet. Diese Daten werden ausschließlich für die Erstellung von Horoskopen und Natalcharts verwendet. Die Geburtsdaten können auch im Gespräch mit einem KI-Berater erfragt und gespeichert werden.

5.3 Profilbild

Sie können ein Profilbild hochladen (JPEG, max. 500 KB). Dieses wird in unserem Cloud-Speicher abgelegt und ist für andere Nutzer nicht öffentlich sichtbar.

6. Chat & KI-Verarbeitung

6.1 Chatnachrichten

Wenn Sie mit einem Berater chatten, werden Ihre Nachrichten auf unseren Servern gespeichert. Jede Nachricht enthält den Inhalt, den Absendertyp (Nutzer, KI oder menschlicher Berater), den Status und den Zeitstempel.

6.2 KI-Verarbeitung

Bei KI-Beratern wird Ihre Nachricht wie folgt verarbeitet:

1. Ihre Nachricht wird zusammen mit dem bisherigen Gesprächsverlauf an einen KI-Drittanbieter übermittelt (siehe Abschnitt 7).
2. Der KI-Anbieter generiert eine Antwort basierend auf Ihrem Kontext, Ihren Profildaten (sofern vorhanden) und dem Beraterprofil.
3. Die Antwort wird gespeichert und in Echtzeit an Ihr Gerät übermittelt.

6.3 Kontextgedächtnis

Zur Verbesserung der Beratungsqualität speichern wir einen Kontexttext pro Nutzer. Dieser enthält Zusammenfassungen früherer Gespräche und ermöglicht es dem KI-Berater, auf vorherige Themen Bezug zu nehmen. Zusätzlich werden Erinnerungen (z. B. wichtige Lebensereignisse, die Sie erwähnt haben) pro Berater gespeichert, um eine persönlichere Beratung zu ermöglichen.

6.4 Bildnachrichten

Sie können Bilder im Chat senden (max. 5 MB, JPEG/PNG/WebP). Diese werden in unserem Cloud-Speicher abgelegt und vom KI-Berater analysiert, um eine kontextbezogene Antwort zu geben.

7. KI-Drittanbieter

Für die Generierung von KI-Antworten nutzen wir den Dienst OpenRouter (OpenRouter, Inc., USA), der die Anfragen an folgende KI-Modelle weiterleitet:

• Google Gemini (Google LLC, USA) – Generierung von Chat-Antworten und Beratungsinhalten
• Anthropic Claude (Anthropic, PBC, USA) – Generierung von Chat-Antworten und Beratungsinhalten

7.1 Übermittelte Daten

An die KI-Anbieter werden übermittelt:

• Ihre Chatnachrichten (Inhalt der aktuellen Sitzung)
• Kontextzusammenfassung früherer Gespräche
• Ihr Profil-Kontext (Geburtsdaten, Sternzeichen – sofern angegeben)
• Hochgeladene Bilder (falls vorhanden, zur Bildanalyse)
• Beraterprofil und Beratungskontext

7.2 Verarbeitung durch KI-Anbieter

Die KI-Anbieter verarbeiten Ihre Daten ausschließlich zur Generierung der Antwort. Es erfolgt kein Training der KI-Modelle mit Ihren persönlichen Daten, da wir API-Zugang nutzen. Die Anbieter können Anfragen gemäß ihren eigenen Datenschutzrichtlinien vorübergehend protokollieren. Es gelten die Standardvertragsklauseln (SCC) für die Übermittlung in Drittländer.

8. Astrologie-Daten

Für die Erstellung von Natalcharts und Transitberechnungen nutzen wir eine externe Astrologie-API. Dabei werden Ihr Geburtsdatum, Ihre Geburtszeit und Ihr Geburtsort (übermittelt als geographische Koordinaten) an den Dienst übertragen. Die Ergebnisse werden serverseitig zwischengespeichert (Cache pro Datum und Standort), um unnötige Wiederholungsanfragen zu vermeiden.

Horoskope werden auf Basis Ihres Sternzeichens und vorberechneter Transitdaten erstellt. Tägliche Affirmationen werden automatisiert generiert und können als Push-Benachrichtigung zugestellt werden.

9. Menschliche Berater

Neben KI-Beratern bieten wir auch Chats mit menschlichen Beratern an (Human Takeover). In diesem Fall kann ein menschlicher Berater einen laufenden Chat übernehmen. Der menschliche Berater hat Zugriff auf den bisherigen Nachrichtenverlauf der betreffenden Chat-Sitzung, um eine nahtlose Beratung zu gewährleisten. Menschliche Berater sind zur Vertraulichkeit verpflichtet.

10. Zahlungsdaten & Credits

10.1 Zahlungsabwicklung

Die Zahlungsabwicklung für Credit-Käufe erfolgt über die jeweiligen App Stores (Apple App Store / Google Play Store). Wir erhalten keine Kreditkarten- oder Bankdaten. Die Verwaltung der In-App-Käufe und Credit-Salden erfolgt über RevenueCat (RevenueCat, Inc., USA).

10.2 Von RevenueCat verarbeitete Daten

• Ihre Benutzer-ID (zur Zuordnung der Käufe)
• E-Mail-Adresse und Anzeigename
• Kaufhistorie (Pakete, Zeitpunkte, Beträge)
• Aktueller Credit-Saldo

10.3 Minutenbasierte Abrechnung

Während eines Chats wird Ihr Credit-Guthaben im Minutentakt abgerechnet. Die Kosten pro Minute variieren je nach Berater. Die Abrechnungsdaten (Startzeit, Dauer, verbrauchte Credits) werden bei uns gespeichert.

10.4 Transaktionshistorie

Wir führen ein Transaktionsbuch über alle Credit-Bewegungen (Käufe, Abzüge, Erstattungen, Boni). Diese Daten werden für steuerliche und handelsrechtliche Zwecke gemäß den gesetzlichen Aufbewahrungsfristen gespeichert.

10.5 Boni

Wir gewähren unter bestimmten Voraussetzungen Bonus-Credits (z. B. Willkommensbonus bei Erstregistrierung, Empfehlungsbonus, Rückkehrer-Bonus). Die Vergabe wird protokolliert.

10.6 Empfehlungsprogramm

Lisora bietet ein Empfehlungsprogramm. Wenn Sie einen Empfehlungslink teilen und eine andere Person sich darüber registriert, erhalten beide Parteien Bonus-Credits. Hierfür speichern wir die Zuordnung zwischen Empfehlendem und Empfohlenem sowie die jeweiligen Bonusbeträge.

11. Hosting & Infrastruktur

Wir nutzen Supabase (Supabase, Inc., USA) als Backend-Plattform. Supabase stellt folgende Dienste bereit:

• Datenbank: PostgreSQL-Datenbank für alle Nutzerdaten, Nachrichten und Transaktionen
• Authentifizierung: Verwaltung der Benutzerkonten und Anmeldeverfahren
• Speicher: Cloud-Speicher für Profilbilder und Chat-Bilder
• Echtzeit: WebSocket-Verbindungen für die Echtzeit-Übermittlung von Nachrichten
• Serverlose Funktionen: Serverseitige Verarbeitung von KI-Anfragen, Abrechnung, Benachrichtigungen und Datenverwaltung

11.1 Serverstandort

Unser Supabase-Projekt wird in der Region EU (eu-central-1, Frankfurt) gehostet. Ihre Daten werden primär innerhalb der EU gespeichert.

11.2 Zugriffskontrolle

Alle Datenbankzugriffe sind durch Row Level Security (RLS) abgesichert. Dies bedeutet, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann. Serverseitige Funktionen verwenden privilegierte Zugangsdaten, die nur in der sicheren Serverumgebung verfügbar sind.

12. Firebase-Dienste

Wir nutzen folgende Dienste von Google Firebase (Google Ireland Ltd., Irland / Google LLC, USA):

12.1 Firebase Analytics

Zur Analyse der App-Nutzung erheben wir anonymisierte Nutzungsstatistiken (App-Öffnungen, Bildschirmaufrufe, grundlegende Interaktionen). Es werden keine Klartextnamen oder Nachrichteninhalte an Firebase Analytics übermittelt. Die Erhebung erfolgt auf Grundlage unseres berechtigten Interesses an der Verbesserung unserer Dienste.

12.2 Firebase Crashlytics

Zur Erkennung und Behebung von App-Abstürzen nutzen wir Crashlytics. Im Fehlerfall werden technische Informationen übermittelt (Gerätetyp, Betriebssystem, App-Version, Fehlermeldung und Stack-Trace). Eine pseudonymisierte Nutzer-ID wird zur Korrelation von Fehlerberichten verwendet. Bei Kontolöschung wird diese Zuordnung aufgehoben.

12.3 Firebase Cloud Messaging (FCM)

Für den Versand von Push-Benachrichtigungen verwenden wir Firebase Cloud Messaging. Hierfür wird ein gerätespezifisches Token gespeichert (siehe Abschnitt 16). Bei Abmeldung wird das Token gelöscht.

12.4 Firebase Remote Config

Wir nutzen Remote Config zur serverseitigen Steuerung von App-Konfigurationsparametern. Es werden keine personenbezogenen Daten an Remote Config übermittelt.

13. AppStack (Marketing-Attribution)

Wir nutzen AppStack als Marketing-Attribution-Tool. AppStack erfasst Ereignisse wie Registrierungen, Anmeldungen und Käufe, um die Effektivität unserer Marketingkampagnen zu messen.

Von AppStack verarbeitete Daten:

• Anonyme Geräte-ID
• Registrierungs- und Anmeldeereignisse
• Kaufereignisse (Betrag und Währung, keine Zahlungsdetails)
• Plattform (iOS/Android)

Auf iOS-Geräten wird AppStack-Tracking nur mit Ihrer ausdrücklichen Zustimmung über das App-Tracking-Transparency-Framework (ATT) aktiviert.

14. Google Ads & Consent Mode

Wir nutzen Google Mobile Ads (Google LLC, USA) zur Einblendung von Werbeanzeigen innerhalb der App. Dabei kommt der Google Consent Mode zum Einsatz: Vor der Erhebung personalisierter Werbedaten wird über ein Einwilligungsformular (UMP – User Messaging Platform) Ihre Zustimmung eingeholt. Ohne Einwilligung werden keine personalisierten Anzeigen ausgespielt.

15. Google Places API

Zur Ortssuche bei der Eingabe Ihres Geburtsorts nutzen wir die Google Places API (Google LLC, USA). Dabei wird Ihre Sucheingabe an Google übermittelt, um Ortsvorschläge anzuzeigen. Der ausgewählte Ort wird als Name und geographische Koordinaten gespeichert. Es findet keine Standortbestimmung über GPS statt – die Ortsdaten stammen ausschließlich aus Ihrer manuellen Eingabe.

16. Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Ihnen Push-Benachrichtigungen. Hierfür wird ein gerätespezifisches Token (FCM-Token) bei uns gespeichert. Wir unterscheiden folgende Arten:

• Chat-Nachrichten: Benachrichtigung bei neuen Nachrichten in Ihren Chats
• Tägliche Affirmationen: Täglich generierte spirituelle Botschaften basierend auf aktuellen Transitdaten
• Berater-Verfügbarkeit: Benachrichtigung, wenn ein favorisierter Berater online geht
• Engagement-Benachrichtigungen: Erinnerungen bei längerer Inaktivität

Auf iOS erfolgt die Berechtigungsanfrage per System-Dialog. Auf Android gelten die Standardberechtigungen des Betriebssystems. Das FCM-Token wird bei Gerätewechsel automatisch aktualisiert und bei Abmeldung oder Kontolöschung gelöscht.

17. Bilder & Medien

17.1 Profilbilder

Profilbilder werden als JPEG-Datei (max. 500 KB) in unserem Cloud-Speicher abgelegt. Der Zugriff ist auf authentifizierte Nutzer beschränkt. Sie können Ihr Profilbild jederzeit ändern oder löschen.

17.2 Chat-Bilder

Im Chat gesendete Bilder (max. 5 MB, JPEG/PNG/WebP) werden in einem separaten Speicherbereich abgelegt. Diese Bilder werden bei der Kontolöschung mit allen anderen Daten gelöscht.

17.3 Geräteberechtigungen

Für den Bild-Upload benötigt die App Zugriff auf Ihre Kamera oder Fotobibliothek. Diese Berechtigung wird über das Betriebssystem angefragt und kann jederzeit in den Geräteeinstellungen widerrufen werden.

18. Lokale Speicherung auf Ihrem Gerät

Die App speichert folgende Daten lokal auf Ihrem Gerät:

• Einstellungen: Name, Geburtsdaten, Onboarding-Status, Spracheinstellung, zwischengespeicherter Credit-Saldo (für Offline-Anzeige)
• Offline-Warteschlange: Nachrichten, die ohne Internetverbindung gesendet werden, werden lokal zwischengespeichert und bei Wiederherstellung der Verbindung synchronisiert
• Chat-Cache: Kürzlich angezeigte Nachrichten und Beraterdaten werden lokal gespeichert, um die Ladezeiten zu verkürzen

Bei Abmeldung oder Kontolöschung werden alle lokal gespeicherten Daten gelöscht.

19. Verschlüsselung & Sicherheit

Wir setzen folgende Sicherheitsmaßnahmen ein:

• Transportverschlüsselung: Alle Verbindungen zwischen Ihrem Gerät und unseren Servern sowie zu Drittanbietern erfolgen über TLS 1.2+.
• Authentifizierung: Zugriffstokens (JWT) mit begrenzter Gültigkeit und automatischer Erneuerung.
• PKCE: Proof Key for Code Exchange bei OAuth-Anmeldungen (insbesondere Apple Sign-In).
• Row Level Security: Datenbankebene Zugriffskontrolle – jeder Nutzer kann nur eigene Daten lesen und ändern.
• Passwörter: Passwörter werden ausschließlich als kryptographische Hashes gespeichert.
• Play Integrity (Android): Prüfung der Geräte-Integrität bei zahlungsrelevanten Vorgängen zur Betrugsprävention.

20. Drittland-Transfers

Einige unserer Dienstleister haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage folgender Garantien:

• EU-US Data Privacy Framework (DPF): Google, Anthropic und Apple sind unter dem DPF zertifiziert.
• Standardvertragsklauseln (SCC): Mit Anbietern, die nicht unter dem DPF zertifiziert sind (z. B. Supabase, RevenueCat, OpenRouter), haben wir Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO vereinbart.

21. Speicherdauer

Gelöschte Konten werden zunächst als gelöscht markiert und anschließend durch einen automatisierten Prozess endgültig aus der Datenbank entfernt.

22. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen. Profildaten können Sie direkt in der App ändern.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen (siehe Abschnitt 23).
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen können Sie die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten (siehe Abschnitt 23).
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigtem Interesse beruht.
• Widerruf der Einwilligung: Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an digitalappgroupde@gmail.com.

23. Datenexport & Kontolöschung

23.1 Datenexport

Sie können Ihre Daten direkt in der App exportieren (Einstellungen → Datenexport). Der Export umfasst Ihre Profildaten, Chat-Verläufe, Transaktionshistorie, Abrechnungsdaten und Feedback-Bewertungen im JSON-Format.

23.2 Kontolöschung

Sie können Ihr Konto direkt in der App löschen (Einstellungen → Konto löschen). Bei der Kontolöschung werden folgende Schritte ausgeführt:

1. Beendigung laufender Abrechnungssitzungen
2. Unwiderrufliche Löschung aller Daten auf unseren Servern (Profil, Chats, Nachrichten, Abrechnungsdaten, Feedback, Empfehlungen, Push-Tokens, gespeicherte Bilder)
3. Löschung aller lokal gespeicherten Daten auf Ihrem Gerät
4. Entfernung der Crashlytics-Nutzerkennung
5. Abmeldung bei RevenueCat
6. Abmeldung aus dem Benutzerkonto

Hinweis: Transaktionsdaten, die gesetzlichen Aufbewahrungsfristen unterliegen, werden anonymisiert und für den vorgeschriebenen Zeitraum aufbewahrt. Bereits getätigte Käufe über die App Stores können nicht rückgängig gemacht werden – wenden Sie sich hierfür an Apple oder Google.

24. Drittanbieter-Übersicht

25. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: lfd.niedersachsen.de

26. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Funktionen anzupassen. Die aktuelle Version ist stets auf unserer Website unter lisora.app/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Sie per In-App-Benachrichtigung oder Push-Nachricht.