SPLITO

Stand: Juni 2026

Splito ist eine App zum Erfassen und Aufteilen von Gruppenausgaben. Sie nutzen Splito als native App (Google Play, Apple App Store), als Web-Anwendung oder beides — technisch angebunden über unsere API. Diese Erklärung beschreibt, welche personenbezogenen Daten dabei anfallen, wofür wir sie brauchen und welche Rechte Sie haben. Für die Marketing-Seiten unter splito.de, Einladungslinks (z. B. /event/…) und den Serverbetrieb hinter der API gilt sie ebenso.

Verantwortlicher

Splito.de
c/o Sven Antwertinger

E-Mail:

Datenverarbeitung in App, Web-App und API

Wenn Sie eine Gruppe anlegen, einer beitreten oder Ausgaben erfassen, verarbeiten wir Daten, die Sie und andere Teilnehmer in Splito eingeben oder hochladen. Das passiert vor allem auf Ihrem Gerät (offline-first); beim Synchronisieren und bei Serverfunktionen werden Daten an unsere API übermittelt und dort gespeichert.

  • Gerätekennung: Beim API-Zugang senden Client-Apps eine Geräte-ID im Header (Device-ID). Damit stellen wir API-Tokens aus und ordnen Anfragen einem Gerät zu — ohne klassisches Nutzerkonto mit E-Mail.
  • Zugangstokens: Nach Token-Anforderung speichern wir einen persönlichen API-Token (Laravel Sanctum). Sie können ihn durch erneute Token-Anforderung ersetzen.
  • Gruppen & Teilnehmer: Gruppenname, optionale Beschreibung und Bild, Anzeigenamen der Teilnehmer, Zuordnung von Ausgaben und Zahlungen.
  • Ausgaben & Aufteilungen: Beträge, Beschreibungen, Datum, Währung, Beteiligte, wiederkehrende Ausgabenvorlagen sowie berechnete Salden.
  • Zahlungen: Erfasste Ausgleichszahlungen zwischen Teilnehmern innerhalb einer Gruppe.
  • Währungen: Eventbezogene Wechselkurse, die Sie für eine Gruppe hinterlegen.
  • Belege: Fotos von Belegen, die Sie hochladen. Bilder werden auf unserem Server abgelegt und einer Ausgabe zugeordnet.
  • Beleganalyse (OCR/KI): Wenn Sie die Analyse nutzen, leiten wir das Belegbild zur Auswertung an einen konfigurierten KI-Dienst weiter (derzeit typischerweise Google Gemini über die Laravel-AI-Anbindung). Dabei können Betrag, Händler, Datum und ähnliche Felder erkannt werden. Für die Analyse wird eine temporäre Kopie erzeugt und nach der Verarbeitung wieder gelöscht; das Ergebnis speichern wir am Beleg bzw. an der Ausgabe.
  • Synchronisierung: Über den Sync-Endpunkt können Clients gebündelt Änderungen übertragen (offline-first).
  • Push-Benachrichtigungen: Optional registrieren Sie einen Firebase-Cloud-Messaging-Token (FCM) pro Gruppe. Wir speichern Token und bevorzugte Sprache (Locale) am Gruppen-Gast-Eintrag. In der Web-App kann zusätzlich Web-Push genutzt werden. Push senden wir nur, wenn Sie das in der App aktivieren — nicht für Marketing unter splito.de.
  • Protokolle: Technische Fehler- und Betriebsprotokolle auf dem Server (ohne Inhalte Ihrer Gruppenchats, sofern es keine Chat-Funktion gibt).

Speicherdauer

Gruppen-, Ausgaben- und Belegdaten bleiben gespeichert, bis Sie oder andere Berechtigte sie löschen oder die Gruppe entfernt wird. API-Tokens und FCM-Registrierungen können Sie durch Abmeldung bzw. Löschen in der App entziehen. Server-Zugriffslogs für die Website und API rotieren wir in der Regel nach etwa 30 Tagen, sofern keine längere Aufbewahrung zur Klärung eines Vorfalls nötig ist. Gesetzliche Aufbewahrungspflichten (z. B. steuer- oder handelsrechtlich) bleiben unberührt, sofern sie greifen.

Marketing-Website (splito.de)

  • Beim Aufruf unserer Seiten verarbeiten wir technisch notwendige Daten (IP-Adresse, Zeitpunkt, angeforderte URL, User-Agent, Referrer) in Server-Logfiles — für Betrieb, Stabilität und Missbrauchserkennung (HTTPS/TLS).
  • Hell/Dunkel-Modus: Wir speichern Ihre Theme-Wahl lokal im Browser (localStorage, Schlüssel splito-theme), nicht auf dem Server.
  • Kontakt-E-Mail: Die Adresse wird im Quelltext verschleiert und erst beim Klick im Browser zusammengesetzt — ohne separate Kontaktformular-Datenbank.
  • Es gibt auf diesen Informationsseiten kein Analyse-Tracking und keinen Cookie-Banner mit Drittanbieter-Marketing: Wir setzen keine Werbe- oder Reichweiten-Cookies ein. Sitzungs-Cookies von Laravel können für technische Sicherheit (CSRF) anfallen, wenn Funktionen sie benötigen.
  • Schriften für die Marketing-Seite laden wir von unserem eigenen Server (Bauhaus-Std), nicht über Google Fonts.
  • Store-Badges und externe Links (Google Play, App Store, ggf. Web-App) führen zu Anbietern außerhalb unserer Kontrolle.

Empfänger und Dienstleister

Wir setzen Hosting- und Infrastruktur-Dienstleister ein, die Daten in unserem Auftrag verarbeiten (Auftragsverarbeitung nach Art. 28 DSGVO, soweit erforderlich). Push-Benachrichtigungen laufen über Google Firebase (FCM). Für die Beleganalyse nutzen wir den jeweils konfigurierten KI-Anbieter (z. B. Google). Mit allen Dienstleistern, die personenbezogene Daten in Drittländern (insbesondere USA) verarbeiten, verwenden wir die erforderlichen Garantien (z. B. EU-US Data Privacy Framework und/oder Standardvertragsklauseln), sofern ein Transfer in ein Drittland stattfindet.

Rechtsgrundlagen

  • Vertrag bzw. vorvertragliche Maßnahmen und Durchführung der App-Funktionen (Art. 6 Abs. 1 lit. b DSGVO), soweit Sie die Dienste aktiv nutzen.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) z. B. an sicherem Betrieb, API-Missbrauchserkennung, Logfiles und technisch notwendigen Website-Funktionen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), wo wir sie einholen — z. B. für Push, sofern Ihr Gerät das verlangt.

Ihre Rechte

Sie haben nach der DSGVO insbesondere Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Beschwerden können Sie bei einer Datenschutz-Aufsichtsbehörde einreichen.

Änderungen

Wenn sich Funktionen oder Anbieter ändern, passen wir diese Erklärung an. Das Datum oben gilt für die aktuelle Fassung.