Wabihana
Bild starten

Datenschutzerklärung

Zuletzt aktualisiert: 2026-06-26

Eine Erklärung in klarer Sprache, was Wabihana erhebt, wie wir es nutzen und welche Kontrollmöglichkeiten du hast.

Dies ist eine Übersetzung zur besseren Verständlichkeit. Verbindlich ist die englische Fassung.

1. Die Kurzfassung

  • Deine Fotos gehören dir. Wir verarbeiten sie, um Malen-nach-Zahlen-Szenen zu erstellen, und löschen die Originale innerhalb von 7 Tagen nach erfolgreicher Verarbeitung von unseren Servern.
  • Du kannst als Gast malen – ohne Konto, ohne E-Mail, ohne Namen.
  • Du kannst dein Konto löschen und deine Daten jederzeit aus der App exportieren.
  • Wir verkaufen deine personenbezogenen Daten nicht und zeigen niemals Werbung, während du malst. Kostenlose Nutzer sehen Werbung auf der Start- und Galerieseite, ausgeliefert von Google und standardmäßig nicht personalisiert; Pro entfernt sie.
  • In der EU, im Vereinigten Königreich und im EWR sind Absturz- und Fehlerberichte standardmäßig aus und laufen nur nach deiner Zustimmung. Außerhalb dieser Regionen laufen sie standardmäßig und können in den Einstellungen ausgeschaltet werden.

2. Wer für deine Daten verantwortlich ist

Wabihana wird als Einzelunternehmen mit Sitz in Vietnam betrieben und ist der Verantwortliche („wir", „uns") für die in dieser Erklärung beschriebenen personenbezogenen Daten. Postanschrift: Lo 121 K98 Tran Nhat Duat, Nha Trang, Khanh Hoa, Vietnam. Bei Fragen zum Datenschutz, Auskunftsersuchen oder Beschwerden wende dich an [email protected].

3. Was wir erheben

Wir versuchen, so wenig wie möglich zu erheben. Die Daten, die wir erheben, lassen sich diesen Gruppen zuordnen:

3.1 Kontodaten

  • Wenn du dich mit Google, Apple oder Telegram anmeldest, erhalten wir eine stabile Konto-Kennung und deine E-Mail-Adresse (Google/Apple) oder deine Telegram-Nutzer-ID (Telegram). Wir erhalten weder deine Kontakte, deinen Kalender noch andere Profildaten.
  • Wenn du dich per E-Mail-Magic-Link anmeldest, speichern wir deine E-Mail-Adresse und einen gehashten Bestätigungscode.
  • Als Gast erzeugen wir eine zufällige gerätelokale Kennung („Gast-UUID") und ein signiertes anonymes Token, damit wir deine Projekte und dein Guthaben einer Sitzung zuordnen können. Keine E-Mail, kein Name, kein Profil. Die Gast-UUID bleibt auf deinem Gerät, bis du die App deinstallierst oder die App-Daten löschst. Wenn du dich später anmeldest, werden deine Projekte und dein Guthaben in dein Konto übertragen und die Gast-UUID wird stillgelegt.

3.2 Von dir hochgeladene Inhalte

  • Das Foto, das du hochlädst für ein Bild. Wir entfernen EXIF-Metadaten (Standort, Kameramodell, Zeitstempel) bereits auf deinem Gerät vor dem Hochladen. Das Originalfoto wird innerhalb von 7 Tagen nach erfolgreicher Verarbeitung von unseren Servern gelöscht.
  • Die abgeleiteten Daten, die wir aus deinem Foto erzeugen – die Indexkarte, die Farbpalette, die Konturdaten und das Vorschaubild – werden aufbewahrt, damit das Bild spielbar bleibt. Das sind nicht die Originalfotos.
  • Wir verwenden zur Verarbeitung deines Bildes keine generative KI oder Machine-Learning-Modelle. Die Umwandlung von Foto zu Bild ist ein deterministischer Bildverarbeitungsalgorithmus (Farbquantisierung und Regionserkennung) – kein generatives KI- oder Machine-Learning-Modell. Deine Fotos werden nie zum Trainieren irgendeines KI-Modells verwendet, weder von uns noch von jemand anderem.
  • Dein Malfortschritt (welche Zonen ausgefüllt sind). Bei kostenlosen Konten liegt er nur auf deinem Gerät. Bei Pro-Konten wird er in deinem Konto gesichert, damit du geräteübergreifend synchronisieren kannst.

3.3 Wirtschaft und Zahlungen

  • Dein Credit-Guthaben und ein Verlauf von Gutschriften, Ausgaben und Käufen. Der Verlauf ermöglicht uns korrekte Rückerstattungen, wenn etwas schiefgeht.
  • Wenn du Credits oder Pro im Web kaufst, verarbeitet Whop (unser Reseller und Verkäufer) oder PayPal die Zahlung. Wir erhalten einen Datensatz des Kaufs (Preis, SKU, Status, die Bestell- und Transaktions-IDs des Anbieters) und eine Kundenreferenz – nicht deine vollständige Kartennummer. Für die Daten, die der Anbieter beim Bezahlen erhebt, gilt dessen eigene Datenschutzerklärung (Whop, PayPal).
  • Auf Mobilgeräten werden In-App-Käufe vom Plattform-Store (Google Play, Apple App Store oder Telegram Stars) verarbeitet. Wir erhalten einen verifizierten Beleg vom Store; der Store sieht die Zahlungsdetails.

3.4 Geräte- und Diagnosedaten

  • Standard-Serverprotokolle – IP-Adresse, User-Agent, Zeitstempel, angefragte Route, Statuscode. Wir bewahren diese bis zu 30 Tage für Sicherheit, Missbrauchsuntersuchung und Fehlersuche auf, danach werden sie entfernt.
  • Absturzberichte (Sentry). Werden bei Fehlern gesendet, damit wir Bugs beheben können. Enthalten den Stacktrace und begrenzte Umgebungsdaten. Wir versuchen, alles zu bereinigen, was wie ein personenbezogenes Datum aussieht.

3.5 Cookies und ähnliche Speicherung

  • Unbedingt erforderlich: ein Sitzungs-Token (hält dich angemeldet) und ein Einwilligungs-Datensatz (merkt sich, was du im Cookie-Banner gewählt hast).
  • Funktional: IndexedDB (Web) oder SQLite (Mobil), um deine Projekte, deinen Malfortschritt und Uploads in der Warteschlange auf deinem Gerät zu speichern.
  • Absturz- und Fehlerberichte: werden nur nach deiner Zustimmung (EU / Vereinigtes Königreich / EWR) oder bis zu deinem Widerspruch (überall sonst) gesetzt.
  • Werbung: Für kostenlose Nutzer setzen Google AdSense (Web) und AdMob (Android) Cookies oder Gerätekennungen, um Werbung auszuliefern, ihre Häufigkeit zu begrenzen und sie zu messen — das geschieht auch bei nicht personalisierter Werbung, und Google liest zudem deine IP-Adresse. Werbung ist standardmäßig nicht personalisiert; Cookies für personalisierte Werbung werden nur mit deiner Einwilligung verwendet (und in der EU / im Vereinigten Königreich / im EWR fragen wir, bevor überhaupt Werbung geladen wird). Pro-Nutzer sehen weder Werbung noch Werbe-Cookies. Siehe „Wie Google Informationen von Websites oder Apps verwendet, die unsere Dienste nutzen".

Wabihana setzt keine eigenen Werbe- oder seitenübergreifenden Tracking-Cookies.

4. Wie wir das Erhobene nutzen

  • Um den Dienst zu betreiben – Bilder zu erstellen, deine Galerie zu speichern, Pro-Projekte geräteübergreifend zu synchronisieren, Push-Benachrichtigungen zuzustellen, denen du zugestimmt hast.
  • Um Zahlungen zu verarbeiten und Rückerstattungen anzuwenden.
  • Um hochgeladene Inhalte zu moderieren (siehe Abschnitt 5).
  • Um Fehler zu beheben, die Leistung zu messen und das Produkt zu verbessern.
  • Um Missbrauch, Betrug und Verstöße gegen unsere Nutzungsbedingungen zu verhindern.
  • Um gesetzliche Pflichten zu erfüllen, einschließlich der in Abschnitt 5 beschriebenen verpflichtenden CSAM-Meldung.

Wabihana erstellt keine verhaltensbasierten Werbeprofile von dir und verkauft deine personenbezogenen Daten nicht. Werbung für kostenlose Nutzer wird von Google ausgeliefert (AdSense im Web, AdMob auf Android); sie ist standardmäßig nicht personalisiert und nur dann personalisiert, wenn du eingewilligt hast. Während du malst, zeigen wir niemals Werbung, und Pro entfernt sie vollständig.

5. Inhaltsmoderation

Jedes hochgeladene Foto wird automatisch geprüft, bevor wir ein Bild erstellen:

  • Ein CSAM-Hash-Abgleich läuft bei jedem Upload, mit Project Arachnid Shield, einem Dienst des Canadian Centre for Child Protection. Wir senden nur einen Hash des Bildes zum Abgleich, sodass dein Bild privat bleibt. Treffer werden blockiert und den zuständigen Behörden (z. B. NCMEC) gemeldet, wie gesetzlich vorgeschrieben. Es ist eine gesetzliche Pflicht, keine Moderationspräferenz.
  • Wenn ein Upload durch eine dieser Prüfungen blockiert wird, entfernen wir ihn und teilen dir mit, dass er nicht verwendet werden konnte.
  • Grenzfälle werden von einem menschlichen Moderator geprüft. Die Prüfer sehen nur das Bild und deine Konto-Kennung.

6. Rechtsgrundlage (EU / Vereinigtes Königreich / EWR)

Wenn die DSGVO oder die UK-DSGVO für dich gilt, ist unsere Rechtsgrundlage für die Verarbeitung:

  • Vertragserfüllung – Betrieb des Dienstes, Verarbeitung deiner Käufe, Synchronisierung deiner Projekte.
  • Berechtigte Interessen – Missbrauchsverhinderung, Sicherheit des Dienstes, Messung der aggregierten Nutzung, Fehlersuche.
  • Einwilligung – für Absturzberichte und nicht notwendige Cookies in Regionen, in denen eine Einwilligung erforderlich ist. Du kannst deine Einwilligung jederzeit in den Einstellungen widerrufen.
  • Werbung – Auslieferung kontextbezogener Werbung an kostenlose Nutzer (berechtigte Interessen); Auslieferung personalisierter Werbung, sofern du deine ausdrückliche Einwilligung gegeben hast.
  • Rechtliche Verpflichtung – CSAM-Hash-Abgleich, Aufbewahrung für Steuer- / Buchhaltungszwecke, Beantwortung rechtmäßiger Anfragen.

7. Mit wem wir Daten teilen

Wir teilen Daten nur mit den Dienstanbietern, die wir zum Betrieb des Produkts benötigen, und nur das Minimum, das jeder für seine Aufgabe braucht:

  • Cloudflare R2 – Objektspeicher für abgeleitete Daten und Vorschaubilder.
  • Cloudflare Web Analytics – datenschutzfreundliche Seitenleistungsmetriken. Keine Cookies; kein seitenübergreifendes Tracking. (Nach EU-US DPF zertifiziert.)
  • Unsere verwalteten Datenbank- und Redis-Anbieter (z. B. Neon, Upstash) – speichern dein Konto, dein Guthaben und Projekt-Metadaten.
  • Whop – primärer Web-Zahlungsabwickler und Verkäufer (Credit-Pakete und Pro-Abos); erhebt und führt Steuern ab und stellt Belege aus.
  • PayPal – sekundärer Web-Zahlungsabwickler (Credit-Pakete und Pro-Abos).
  • Google Play, Apple App Store, Telegram – mobile / Mini-App-Zahlungen und -Authentifizierung.
  • Resend – ausgehende Transaktions-E-Mails (Bestätigungscodes, Belege).
  • Sentry – Absturz- und Fehlerberichte (vorbehaltlich der Einwilligung in der EU / im Vereinigten Königreich / im EWR).
  • Project Arachnid Shield (Canadian Centre for Child Protection) – erhält einen Hash der hochgeladenen Bilder, um auf bekanntes CSAM zu prüfen. Gesetzlich vorgeschrieben; nicht optional.
  • Google AdSense / AdMob – Werbung für kostenlose Nutzer im Web und auf Android. Als nicht personalisierte Werbung konfiguriert, wo keine Einwilligung vorliegt. Im nicht personalisierten Modus kann Google dennoch technische Signale erhalten (Gerätetyp, ungefährer Standort anhand der IP und Seitenkontext), wie in der Datenschutzerklärung von Google beschrieben (https://policies.google.com/privacy). (Nach EU-US DPF zertifiziert.)
  • NCMEC / entsprechende Stellen – wo gesetzlich vorgeschrieben, im Falle eines bestätigten CSAM-Hash-Treffers.
  • Strafverfolgungs- und Regulierungsbehörden – nur als Reaktion auf eine rechtmäßige, angemessen begrenzte Anfrage und nur die Daten, die die Anfrage tatsächlich abdeckt.

Wir verkaufen keine personenbezogenen Daten und geben sie nicht an Dritte für deren eigene Marketingzwecke weiter.

8. Wo deine Daten liegen

Unsere primäre Infrastruktur läuft in der Europäischen Union. Einige der in Abschnitt 7 aufgeführten Dienstanbieter verarbeiten Daten in anderen Ländern – einschließlich der Vereinigten Staaten. Wo erforderlich, stützen wir uns für diese Übermittlungen auf die Standardvertragsklauseln der Europäischen Kommission (oder das EU-US Data Privacy Framework, wo der Anbieter zertifiziert ist). Zu den nach dem EU-US Data Privacy Framework zertifizierten Anbietern gehören Google, Cloudflare, Sentry und Resend. Mit Anbietern, die nicht vom DPF abgedeckt sind, bestehen Standardvertragsklauseln.

9. Wie lange wir es aufbewahren

  • Hochgeladenes Originalfoto – innerhalb von 7 Tagen nach erfolgreicher Verarbeitung von unseren Servern gelöscht.
  • Abgeleitete Bilddaten (Indexkarte, Palette, Vorschaubild) – aufbewahrt, solange das Projekt in deiner Galerie existiert, damit das Bild spielbar bleibt.
  • Konto- und Guthabendaten – aufbewahrt, solange dein Konto aktiv ist.
  • Gelöschte Konten – sofort vorläufig gelöscht, nach 30 Tagen endgültig entfernt (Kulanzfrist bei versehentlicher Löschung). Einige Datensätze können länger aufbewahrt werden, wo das Gesetz es verlangt.
  • Zahlungs- und Transaktionsdatensätze werden 7 Jahre aufbewahrt, um geltende steuer- und buchhaltungsrechtliche Pflichten zu erfüllen.
  • Moderationsdatensätze im Zusammenhang mit einem bestätigten Richtlinienverstoß oder einer Rechtsanfrage werden 3 Jahre aufbewahrt und danach gelöscht, sofern keine fortbestehende gesetzliche Pflicht etwas anderes verlangt.
  • Serverprotokolle – bis zu 30 Tage.
  • Absturz- und Fehlerereignisse – aufbewahrt gemäß der Standardeinstellung des jeweiligen Anbieters (in der Regel 90 Tage).

10. Deine Rechte

Vorbehaltlich deines lokalen Rechts (DSGVO / UK-DSGVO / CCPA und ähnliche) kannst du:

  • auf die Daten, die wir über dich haben, zugreifen.
  • unrichtige Daten berichtigen lassen.
  • dein Konto und die damit verbundenen Daten löschen.
  • eine Kopie deiner Daten in einem portablen Format exportieren.
  • der auf berechtigten Interessen beruhenden Verarbeitung widersprechen oder sie einschränken.
  • deine Einwilligung für Absturzberichte und personalisierte Werbung jederzeit widerrufen.
  • eine Beschwerde bei deiner lokalen Datenschutzbehörde einreichen. Natürlich ist es uns viel lieber, du sagst es zuerst uns, damit wir das Problem lösen können. Einwohner der EU können sich über edpb.europa.eu/about-edpb/about-edpb/members_en an ihre nationale Aufsichtsbehörde wenden. Einwohner des Vereinigten Königreichs können sich an die ICO unter ico.org.uk/make-a-complaint/ wenden.

Die meisten davon sind Self-Service unter Einstellungen → Konto:

  • Meine Daten exportieren – erstellt eine ZIP-Datei mit deinen Kontodaten, Projekt-Metadaten, Vorschaubildern und der Zahlungshistorie. Wir senden dir per E-Mail einen 7 Tage gültigen Download-Link.
  • Mein Konto löschen – löscht sofort vorläufig. Nach 30 Tagen werden alle personenbezogenen Daten endgültig entfernt.

Für alles, was in der App nicht verfügbar ist, schreib an [email protected]. Wir antworten innerhalb von 30 Tagen, meist deutlich früher. Bei komplexen oder mehreren Anfragen können wir diese Frist um weitere zwei Monate verlängern; wir informieren dich innerhalb der ersten 30 Tage, falls eine Verlängerung erforderlich ist.

11. Kinder

Wabihana ist nicht für Kinder unter 13 Jahren bestimmt. Wir blockieren Registrierungen von unter 13-Jährigen an der Altersabfrage und erheben nicht wissentlich personenbezogene Daten von Kindern. Wenn du dich in der Europäischen Union oder im Vereinigten Königreich befindest, musst du mindestens 16 Jahre alt sein, um den Dienst zu nutzen. Wenn du glaubst, dass ein Kind personenbezogene Daten angegeben hat, schreib an [email protected] und wir löschen sie.

12. Sicherheit

Wir verwenden branchenübliche Maßnahmen: HTTPS überall, ruhend verschlüsselter Objektspeicher, vom Server ausgestellte signierte Token, gehashte Anmeldedaten, kurzlebige signierte URLs für den Zugriff auf Ressourcen. Kein System ist vollkommen sicher; wir geben unser Bestes und informieren betroffene Nutzer ohne unangemessene Verzögerung, falls es zu einer Verletzung kommt. Wo gesetzlich vorgeschrieben, benachrichtigen wir außerdem die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, nachdem uns eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist.

13. Einwohner Kaliforniens (CCPA / CPRA)

Wenn du in Kalifornien lebst, hast du zusätzliche Rechte, einschließlich des Rechts zu erfahren, welche personenbezogenen Daten wir über dich erheben, und des Rechts, sie zu löschen. Die Kontrollen in Abschnitt 10 erfüllen auch diese Anfragen. Wir „verkaufen" keine personenbezogenen Daten im Sinne der Definition der CCPA und teilen keine personenbezogenen Daten für kontextübergreifende verhaltensbasierte Werbung.

14. Änderungen dieser Erklärung

Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen – zum Beispiel eine erweiterte Datenerhebung, neue Kategorien von Empfängern oder Änderungen, die deine Rechte einschränken – kündigen wir mindestens 30 Tage vor ihrem Inkrafttreten in der App oder per E-Mail an, damit du die Möglichkeit hast, sie zu prüfen und, falls du nicht einverstanden bist, dein Konto vor ihrer Anwendung zu löschen. Kleinere Änderungen (Klarstellungen, Tippfehler- korrekturen, Änderungen der Kontaktdaten) können sofort wirksam werden.

15. Kontakt

Wabihana wird als Einzelunternehmen mit Sitz in Vietnam betrieben.
Postanschrift: Lo 121 K98 Tran Nhat Duat, Nha Trang, Khanh Hoa, Vietnam.
Datenschutzfragen, Auskunftsersuchen oder alles, was du uns mitteilen möchtest: schreib an [email protected].

Siehe auch: Nutzungsbedingungen · Rückerstattungsrichtlinie · Preise.

Fragen zu deinen Daten?
Zugriffsanfragen, Löschungen oder alles, was wir wissen sollten.
E-Mail schreiben
Datenschutzerklärung · Wabihana