Datenschutzerklärung.
Die kurze Fassung zuerst: Wir wollen deine Daten nicht. Das meiste, was es zu schützen gäbe, erheben wir gar nicht erst. Unten findest du die vollständigen Angaben nach der Datenschutz-Grundverordnung (DSGVO).
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO ist:
Daniel Kimmich
c/o Block Services
Stuttgarter Str. 106
70736 Fellbach, Deutschland
E-Mail: info@nimmit.app
Einen Datenschutzbeauftragten müssen wir gesetzlich nicht benennen; bei allen Datenschutzfragen wendest du dich direkt an die oben genannte Adresse.
2. Grundsatz: Datenminimierung
Nimmit ist lokal-first und privacy by design gebaut. Es gibt keinen Account, keine Registrierung und keine Newsletter. Wir setzen keine Cookies, kein Tracking, keine Analyse-Tools und keine Werbung ein.
3. Diese Website
3.1 Hosting und Server-Logfiles
Diese Website wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet (Standort der Server in Deutschland/EU). Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Beim Aufruf der Seite verarbeitet der Server automatisch technisch notwendige Verbindungsdaten, die dein Browser übermittelt, in sogenannten Server-Logfiles:
- gekürzte bzw. vollständige IP-Adresse,
- Datum und Uhrzeit des Zugriffs,
- angeforderte Datei/URL und HTTP-Statuscode,
- übertragene Datenmenge,
- Referrer-URL und Browser-/Betriebssystemkennung (User-Agent).
Zweck: Auslieferung und Stabilität der Website sowie Abwehr von Angriffen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, störungsfreien Betrieb). Speicherdauer: Logfiles werden nur kurzfristig gespeichert und regelmäßig gelöscht, sobald sie für diese Zwecke nicht mehr erforderlich sind.
3.2 Schriftarten (lokal gehostet)
Die Schrift „Nunito" wird von unserem eigenen Server ausgeliefert. Es besteht keine Verbindung zu Google Fonts oder anderen Drittanbietern; deine IP-Adresse wird dafür an niemanden außerhalb übermittelt.
3.3 Keine Cookies, kein Tracking, keine Drittdienste
Die Website ist statisch. Wir verwenden keine Cookies, kein Analytics, keine Werbe-IDs, keine Social-Media-Plugins und binden keine externen Inhalte ein. Es gibt keinen Newsletter und keine E-Mail-Liste – wir fragen nirgends nach deiner E-Mail-Adresse.
3.4 Verschlüsselte Übertragung
Die Website wird ausschließlich verschlüsselt (TLS/HTTPS) ausgeliefert.
3.5 Geteilte Listen über einen Link
Öffnest du einen Einladungs- oder Schnappschuss-Link (z. B. nimmit.app/j#…),
steckt der geheime Schlüssel im Teil hinter dem # (dem URL-Fragment). Dieses
Fragment wird vom Browser technisch nie an einen Server gesendet – die
Entschlüsselung passiert ausschließlich in deinem Gerät. Wie sicheres Teilen funktioniert →
4. Die App Nimmit
4.1 Lokal-first
Deine Einkaufslisten liegen standardmäßig nur auf deinem Gerät. Ohne dein Zutun verlässt kein Listeninhalt dein Telefon, und es gibt keine Cloud-Pflicht.
4.2 Kein Account, keine personenbezogenen Daten
Nimmit funktioniert ohne Registrierung. Es gibt keinen Account, kein Profil, keinen Namen und keine E-Mail-Adresse. Wir wissen nicht, wer du bist.
4.3 Optionales Teilen / Synchronisierung (Ende-zu-Ende-verschlüsselt)
Nur wenn du eine Liste bewusst teilbar machst, wird sie über einen Server synchronisiert. Die Daten werden dabei vorher auf deinem Gerät Ende-zu-Ende verschlüsselt (XChaCha20-Poly1305). Der Server speichert ausschließlich Chiffretext, zufällige Kennungen und Zeitstempel – niemals lesbare Inhalte. Auch wir können diese Inhalte nicht entschlüsseln.
Für diese Synchronisierung nutzen wir Supabase (Supabase Inc.) mit Datenhaltung in einer EU-Region; ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor. Rechtsgrundlage: deine Einwilligung durch das aktive Einschalten des Teilens (Art. 6 Abs. 1 lit. a DSGVO) sowie die Erfüllung der von dir gewünschten Sync-Funktion (Art. 6 Abs. 1 lit. b DSGVO).
Ehrlich dazu: Beim Sync entstehen minimale Metadaten (welche zufällige Kennung wann mit welcher Liste synchronisiert). Welche Personen Mitglied einer geteilten Liste sind und wann sie synchronisieren, ist serverseitig sichtbar – was in der Liste steht, nie.
4.4 Spracheingabe
Die Spracheingabe läuft, wo immer möglich, direkt auf dem Gerät. Wo das Betriebssystem dafür eine Netzverbindung benötigt (bei manchen Android-Geräten), wird die Spracherkennung durch den jeweiligen Betriebssystem-Anbieter (Apple bzw. Google) verarbeitet; darauf weisen wir in der App hin. Es gilt dann zusätzlich die Datenschutzerklärung des jeweiligen Anbieters.
4.5 System-Backups
System-Backups (z. B. iCloud oder Android-Backup) können App-Daten enthalten. Das steuerst du in den Einstellungen deines Betriebssystems – es liegt außerhalb unseres Einflusses.
5. Empfänger / Auftragsverarbeiter
- Hetzner Online GmbH (Website-Hosting, Deutschland/EU).
- Supabase Inc. (verschlüsselte Synchronisierung geteilter Listen, EU-Region) – nur bei aktiviertem Teilen.
- Apple Inc. / Google LLC – nur, soweit das Betriebssystem die Spracheingabe verarbeitet oder die App über deren Stores bezogen wird.
Eine Weitergabe oder ein Verkauf deiner Daten zu Werbe- oder anderen Zwecken findet nicht statt.
6. Übermittlung in Drittländer
Für den Betrieb dieser Website findet keine Übermittlung in Drittländer statt (Hosting und Schriften in der EU). Soweit im Rahmen der App die Spracheingabe oder der App-Bezug über Apple oder Google erfolgt, kann dabei eine Verarbeitung in den USA stattfinden; diese Anbieter stützen sich auf das EU-US Data Privacy Framework bzw. die EU-Standardvertragsklauseln (Art. 46 DSGVO).
7. Deine Rechte
Du hast nach der DSGVO das Recht auf:
- Auskunft (Art. 15), Berichtigung (Art. 16) und Löschung (Art. 17),
- Einschränkung der Verarbeitung (Art. 18) und Datenübertragbarkeit (Art. 20),
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21),
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3).
Wichtig: Weil wir bewusst keine identifizierenden Daten erheben und geteilte Inhalte Ende-zu-Ende-verschlüsselt sind, können wir dich in der Regel nicht einer bestimmten Person zuordnen (Art. 11 DSGVO). Manche der genannten Rechte laufen deshalb mangels Bezug ins Leere – das ist kein Versehen, sondern Folge der Datensparsamkeit.
8. Beschwerderecht bei einer Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).
Zuständig ist u. a.:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg,
Lautenschlagerstraße 20, 70173 Stuttgart –
baden-wuerttemberg.datenschutz.de
9. Keine automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.
10. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich die Funktionen von Nimmit oder die Rechtslage ändern. Stand: Juni 2026.