Datenschutz — was wirklich passiert

| Daten | Wo | Wie lange | Wer sieht es | |---|---|---|---| | E-Mail (Account) | Supabase EU | bis Account-Löschung | nur Sie | | Name (Kind/Tier/Objekt, optional) | Supabase EU | bis Sie es löschen | Sie + Finder beim Scan | | Kontaktnummer | Supabase EU | bis Sie es ändern | Sie + Finder beim Scan | | Typ-Daten (Allergien / Mikrochip / Beschreibung etc.) | Supabase EU | bis Sie es ändern | Sie + Finder beim Scan | | Standort nach Scan | Supabase EU | automatisch nach 24 Stunden gelöscht | nur Sie | | IP-Adresse des Finders | Supabase EU, gehasht (HMAC-SHA256) | 24 Stunden | niemand im Klartext | | SMS-Versand-Log | Twilio | gemäß Twilio-AVV | – |

Grundsätze

• Datenminimierung: keine Adresse, keine Schule, keine biometrischen Daten.
• UUID als Tag-ID — nicht enumerierbar, niemand kann „durchprobieren".
• HTTPS überall, Rate Limiting gegen Missbrauch.
• Auftragsverarbeitungsverträge mit allen Dienstleistern (Supabase, Twilio, Resend, Vercel, Cloudflare, Google Maps) — siehe /docs/dsgvo.