Privacy Policy

Last updated: April 19, 2026

NearSpotio („die App“) ist eine mobile Anwendung, die Points of Interest (POIs) entlang von Rad- und Tourenrouten anzeigt. Deine Privatsphäre ist uns wichtig. Diese Erklärung beschreibt, welche Daten erhoben werden, wie sie verwendet werden und welche Rechte du hast.

Die Abschnitte 1–13 beziehen sich auf die App, Abschnitt 14 auf diese Webseite (nearspotio.app).

Verantwortlicher

1. Daten, die wir nicht erheben

Die App erhebt keine:

  • Registrierung oder Benutzerkonten
  • Namen, E-Mail-Adressen oder andere persönliche Identifikationsmerkmale
  • Automatische Übertragung deines Geräte-Standorts an Server
  • GPX-Routen oder Track-Dateien auf Servern
  • Persönliche Daten zur Weitergabe an Dritte zu Marketingzwecken

Hinweis: Wenn du über die App aktiv einen fehlenden oder nicht mehr vorhandenen POI meldest, werden die Koordinaten des betreffenden POIs (nicht dein Geräte-Standort) zusammen mit der gehashten Geräte-ID an Google Cloud Firestore übermittelt. Diese Übermittlung erfolgt nur nach deiner ausdrücklichen Bestätigung.

2. Standortdaten

Die App verwendet den Standort deines Geräts nur während der Nutzung, um nahegelegene Points of Interest auf der Karte anzuzeigen. Dein Standort wird lokal auf deinem Gerät verarbeitet und nicht an unsere Server übertragen oder extern gespeichert.

3. Analyse (Firebase Analytics)

Wir verwenden Google Firebase Analytics zur Erhebung pseudonymer Nutzungsstatistiken, wie z.B.:

  • Welche Funktionen genutzt werden (z.B. Kategorie-Umschaltung, GPX-Export)
  • Sprachauswahl
  • App-Sitzungen und allgemeine Nutzungsmuster

Diese Daten werden unter einer zufällig generierten Installations-ID erfasst und enthalten keine Namen, E-Mail-Adressen oder Kontodaten. Firebase kann dabei technische Gerätekennungen und IP-Adressen verarbeiten, die unter der DSGVO als pseudonyme bzw. personenbezogene Daten gelten. Die Verarbeitung erfolgt durch Google Firebase gemäß der Firebase-Datenschutzrichtlinie.

Auf GA4-Seite wird aus der IP-Adresse serverseitig der ungefähre Standort auf Land-/Regionsebene abgeleitet (keine exakte Geolokalisierung). Die IP-Adresse selbst wird von Google gekürzt und nicht gespeichert (IP-Anonymisierung ist standardmäßig aktiv).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung wird über einen Consent-Dialog (Google Certified Consent Management Platform) eingeholt. Analytics-Daten werden erst nach erteilter Einwilligung erhoben. Du kannst deine Einwilligung jederzeit widerrufen, indem du die App deinstallierst und neu installierst oder uns per E-Mail kontaktierst.

4. Absturzberichte (Firebase Crashlytics)

Bei einem App-Absturz wird automatisch ein Absturzbericht an Firebase Crashlytics gesendet. Diese Berichte enthalten:

  • Gerätetyp und Betriebssystemversion
  • App-Version
  • Stack-Trace (technische Fehlerinformationen)

Absturzberichte enthalten keine Namen, Standortdaten oder Routeninformationen. Firebase kann dabei technische Gerätekennungen verarbeiten, die unter der DSGVO als pseudonyme Daten gelten.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Absturzberichte werden erst nach erteilter Einwilligung über den Consent-Dialog gesendet.

5. Werbung (Google AdMob)

Die kostenlose Version der App zeigt Werbung von Google AdMob an. AdMob kann folgende Daten erheben:

  • Werbe-Identifikator (IDFA unter iOS, Advertising ID unter Android)
  • Allgemeine Geräteinformationen

Werbe-IDs gelten unter der DSGVO als personenbezogene Daten. In der Europäischen Union, dem Vereinigten Königreich und der Schweiz zeigt die App beim ersten Start einen Einwilligungsdialog (Google Certified Consent Management Platform). Du kannst dort wählen, ob du personalisierte Werbung zulässt. Bei Ablehnung werden ausschließlich nicht-personalisierte Anzeigen dargestellt. Unter iOS wird zusätzlich der App-Tracking-Transparenz-Dialog (ATT) angezeigt. Weitere Informationen: Google-Datenschutzerklärung.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) über den Consent-Dialog bzw. ATT-Dialog (iOS). Bei nicht-personalisierter Werbung: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

6. Lokale Datenspeicherung

Die App speichert folgende Daten lokal auf deinem Gerät:

  • Deine Einstellungen (Design, Sprache, Suchradius etc.)
  • POI-Datenbank (mit der App gebündelt)
  • Importierte GPX-Dateien (temporär zwischengespeichert)

Die POI-Datenbank und importierte GPX-Dateien verlassen dein Gerät nur, wenn du eine Datei bewusst exportierst oder teilst.

POI-Daten-Updates

Die App prüft bei jedem Start automatisch, ob aktualisierte POI-Daten verfügbar sind. Dazu wird eine Verbindung zu raw.githubusercontent.com hergestellt und eine kleine Manifest-Datei heruntergeladen. Sind Updates verfügbar, werden diese bei einer Größe unter 2 MB automatisch im Hintergrund heruntergeladen. Bei Updates über 2 MB wirst du zuvor um Bestätigung gebeten. Wenn die Offline-Karte als Kartenquelle eingestellt ist, findet keine Update-Prüfung statt.

7. Geräteerkennung und Nutzungsanalyse

Für die kostenlose Testphase (12 Tage volle POI-Sichtbarkeit und 12 kostenlose Pro-Exports) sowie zur pseudonymen Nutzungsanalyse wird eine gehashte Geräte-ID (SHA-256) in Google Cloud Firestore gespeichert.

Gespeicherte Daten:

  • Gehashte Geräte-ID (nicht direkt einer Person zuordenbar)
  • Plattform (Android/iOS)
  • Betriebssystemversion (z. B. „Android 14", „iOS 17.2")
  • Installationsquelle (z. B. Play Store, App Store)
  • Registrierungszeitpunkt und Ablaufdaten der Testphase
  • Export-Zähler (Trial und gesamt) sowie aktive Kategorien bei Exports
  • Pro-Status und Kaufzeitpunkt (falls zutreffend)
  • Letzter App-Start (Zeitstempel)
  • Anzahl der App-Starts
  • Spracheinstellung
  • App-Version
  • Pseudonyme Nutzungsstatistiken: POI-Aktionen (z. B. Navigation, Teilen), Anzahl der Routenimporte, Anzahl gemeldeter POI-Korrekturen
  • App-Einstellungen (z. B. Kartenquelle, Darstellungsmodus, Suchradius)
  • Länder/Regionen der exportierten Route-POIs (abgeleitet aus den POI-Daten, nicht aus dem Geräte-Standort)
  • Gerätehersteller und Gerätemodell (z. B. „Samsung", „SM-S928B")
  • Absturzzähler (Anzahl der App-Abstürze)
  • Promo-Code-Versuche (Anzahl der Eingabeversuche), Hash des eingelösten Promo-Codes, Promo-Status (aktiv/inaktiv) und Promo-Ablaufdatum (falls zutreffend)

Wenn du einen Promo-Code einlöst, wird deine gehashte Geräte-ID zusammen mit dem Einlösungszeitpunkt im entsprechenden Code-Eintrag in Google Cloud Firestore gespeichert, um eine Mehrfachnutzung zu verhindern.

Es werden keine personenbezogenen Daten (Namen, E-Mail-Adressen, Routen) gespeichert. Dein Geräte-Standort wird nicht an Server übermittelt. Die Länder-/Regionsdaten stammen ausschließlich aus den POI-Daten der exportierten Route.

Diese Daten dienen ausschließlich der Produktverbesserung, der Sicherheit der App-Nutzung und dem Schutz vor Missbrauch der kostenlosen Testphase. Sie werden nicht für Werbezwecke oder zur Erstellung personenbezogener Profile verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Vermeidung von Missbrauch der kostenlosen Testphase sowie an der Verbesserung der App).

Speicherdauer: Die Daten werden dauerhaft gespeichert. Auf Anfrage per E-Mail können sie gelöscht werden.

Wenn du deine Nutzungsdaten über die App löschst, werden ab diesem Zeitpunkt nur noch die für die Testphasen-Verwaltung notwendigen Daten gespeichert (Zeitpunkt des letzten App-Starts, App-Version, Anzahl der App-Starts). Alle weiteren Nutzungsstatistiken (z. B. POI-Aktionen, Export-Zähler, Einstellungen, Regionen) werden nicht mehr erhoben.

8. Drittanbieter-Dienste

Die App verwendet folgende Drittanbieter-Dienste:

  • Google Firebase Analytics (Nutzungsstatistiken) – Betreiber: Google Ireland Limited – Datenschutzrichtlinie
  • Google Firebase Crashlytics (Absturzberichte) – Betreiber: Google Ireland Limited – Datenschutzrichtlinie
  • Google AdMob (Werbung) – Betreiber: Google Ireland Limited – Datenschutzrichtlinie
  • Google Cloud Firestore (Geräteerkennung und Nutzungsanalyse) – Betreiber: Google Ireland Limited – Datenschutzrichtlinie
  • OpenFreeMap / MapTiler / OpenStreetMap (Kartendarstellung) – Kartenkacheln werden von externen Servern geladen; dabei wird der ungefähre sichtbare Kartenausschnitt als Teil der Standard-Tile-Anfragen übertragen. Je nach gewählter Kartenquelle werden Anfragen an OpenFreeMap, MapTiler AG (Schweiz) oder OpenStreetMap-Server gesendet.
  • OpenStreetMap Nominatim (Geocoding) – Beim Öffnen geteilter Karten-Links kann eine Adressauflösung über nominatim.openstreetmap.org erfolgen. Dabei wird die Suchanfrage und deine IP-Adresse übertragen. Betreiber: OpenStreetMap Foundation – Datenschutzrichtlinie
  • GitHub (POI-Daten-Updates) – Die App lädt regelmäßig POI-Updates von raw.githubusercontent.com herunter. Dabei wird deine IP-Adresse übertragen. Betreiber: GitHub, Inc. (Microsoft) – Datenschutzrichtlinie

9. Auftragsverarbeitung & Internationale Datenübermittlung

Auftragsverarbeiter für die Firebase- und AdMob-Dienste ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google kann diese Daten auf Servern in den USA verarbeiten. Die Datenübermittlung in die USA erfolgt auf Grundlage von:

  • dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023), sowie
  • Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzmaßnahme.

Die konkret genutzten Dienste und die jeweils verarbeiteten Daten:

  • Firebase Analytics – Pseudonyme Nutzungsstatistiken (Funktionsnutzung, Sitzungsdaten, Gerätekennungen)
  • Firebase Crashlytics – Automatische Absturzberichte (Geräteinformationen, Stack-Traces)
  • Google AdMob – Werbe-Identifikatoren (IDFA / Advertising ID), allgemeine Geräteinformationen
  • Google Cloud Firestore – Gehashte Geräte-ID, Plattform, OS-Version, Gerätehersteller, Gerätemodell, Installationsquelle, Ablaufdaten, Export-Zähler, Kategorie-Nutzung, POI-Aktionen, App-Einstellungen, Regionen der Route-POIs, POI-Korrekturmeldungen, Absturzzähler, Promo-Code-Versuche, eingelöster Code-Hash, Promo-Status und Promo-Ablaufdatum (Trial-System, Promo-System und Nutzungsanalyse)
Weiterführende Links:
Google-Datenschutzerklärung · Firebase Datenschutz · EU-US Data Privacy Framework · AdMob

10. Speicherdauer

  • Firebase Analytics: Nutzungsdaten werden 2 Monate aufbewahrt, danach automatisch gelöscht.
  • Firebase Crashlytics: Absturzberichte werden 90 Tage aufbewahrt.
  • AdMob: Werbe-Interaktionsdaten unterliegen den Aufbewahrungsfristen von Google (siehe Google-Aufbewahrungsrichtlinie).
  • Lokale Daten: Werden mit der Deinstallation der App gelöscht.
  • Trial-Daten (Cloud Firestore): Dauerhaft gespeichert. Löschung auf Anfrage per E-Mail.

11. Deine Rechte (DSGVO)

Du hast gegenüber dem Verantwortlichen folgende Rechte bezüglich deiner personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) – Recht auf Information, welche Daten über dich verarbeitet werden
  • Berichtigung (Art. 16 DSGVO) – Recht auf Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO) – Recht auf Löschung deiner Daten (siehe auch unsere Seite zur Datenlöschung)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) – soweit technisch anwendbar
  • Widerspruch (Art. 21 DSGVO) – insbesondere gegen Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft (z.B. Tracking über iOS-ATT oder Geräteeinstellungen)

Praktische Maßnahmen:

  • Tracking über den iOS-ATT-Dialog oder die Android-Werbeeinstellungen ablehnen bzw. widerrufen
  • Werbe-ID in den Geräteeinstellungen zurücksetzen
  • Lokal gespeicherte App-Daten durch Deinstallation der App löschen
  • Nutzungsdaten direkt in der App über Einstellungen → Meine Daten löschen entfernen. Zur Verhinderung von Missbrauch der Testphase wird die pseudonyme Gerätekennung sowie der Testphasen-Status auch nach Löschung beibehalten.

12. Aufsichtsbehörde

Du hast das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen. Die für uns zuständige Behörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at

Du kannst dich auch an die Aufsichtsbehörde deines Wohnsitzlandes wenden.

13. Hinweise für Nutzer in den USA (CCPA/CPRA)

Wenn du in Kalifornien oder einem anderen US-Bundesstaat mit vergleichbaren Datenschutzgesetzen ansässig bist, hast du folgende zusätzliche Rechte:

  • Recht auf Auskunft: Du kannst erfahren, welche Kategorien personenbezogener Daten wir erheben und zu welchem Zweck.
  • Recht auf Löschung: Du kannst die Löschung deiner personenbezogenen Daten beantragen (siehe unsere Seite zur Datenlöschung).
  • Recht auf Opt-Out: Du hast das Recht, dem „Verkauf" oder der „Weitergabe" deiner personenbezogenen Daten zu widersprechen.

Verkaufen oder teilen wir deine Daten? NearSpotio verkauft deine personenbezogenen Daten nicht. Die kostenlose Version der App zeigt jedoch Werbung über Google AdMob, wobei Werbe-Identifikatoren an Google übermittelt werden. Dies kann unter dem CCPA als „Weitergabe" (Sharing) gelten. Du kannst personalisierte Werbung jederzeit über die Geräteeinstellungen deaktivieren oder im Consent-Dialog ablehnen.

Wir diskriminieren dich nicht aufgrund der Ausübung deiner Datenschutzrechte.

14. Webseite (nearspotio.app)

Die Abschnitte 1–13 betreffen die mobile App. Dieser Abschnitt beschreibt die Datenverarbeitung auf unserer Webseite www.nearspotio.app.

14.1 Hosting

Die Webseite wird als statische Seite über GitHub Pages (GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA) mit einem vorgelagerten Cloudflare-CDN/Proxy (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA) ausgeliefert. Bei jedem Aufruf werden aus technischen Gründen Server-Logdaten (IP-Adresse, Datum/Uhrzeit, aufgerufene URL, User-Agent, Referrer) kurzzeitig verarbeitet, um die Auslieferung sicherzustellen und Missbrauch abzuwehren.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an einem stabilen, sicheren Betrieb der Webseite.

Drittlandtransfer: Übermittlung in die USA auf Basis des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023); GitHub und Cloudflare sind zertifiziert.

14.2 Cookies & lokaler Speicher

Die Webseite verwendet nur technisch notwendige Speicherung:

  • nearspotio-theme (localStorage) – speichert deine Theme-Auswahl (hell/dunkel).
  • nearspotio-lang (localStorage) – speichert deine Sprach-Auswahl (DE/EN).
  • cc_cookie (First-Party-Cookie) – speichert deine Cookie-Einwilligung für 6 Monate.

Rechtsgrundlage: § 165 Abs. 3 TKG (AT) bzw. § 25 Abs. 2 DDG (DE) – unbedingt erforderlich; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

14.3 Webanalyse (Google Analytics 4)

Nach deiner ausdrücklichen Einwilligung über unseren Cookie-Dialog setzen wir Google Analytics 4 ein (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Zweck: pseudonyme Reichweitenmessung, um die Webseite zu verbessern.

Erhoben werden u. a.:

  • besuchte Seiten, Verweildauer, Klickpfade innerhalb der Webseite
  • Sitzungsdauer, Einstiegs- und Ausstiegsseiten
  • Geräte- und Browsertyp, Bildschirmauflösung, Spracheinstellung
  • ungefährer Standort auf Land-/Regionsebene (keine exakte Geolokalisierung)
  • pseudonyme Client-ID (Cookie _ga, _ga_*)

Datenschutzfreundliche Konfiguration:

  • IP-Anonymisierung ist aktiv (IPv4 wird in GA4 standardmäßig gekürzt und nicht gespeichert).
  • Google Signals ist deaktiviert (kein geräteübergreifendes Tracking, kein Zusammenführen mit Google-Konten).
  • Werbefunktionen und Personalisierung sind deaktiviert (allow_ad_personalization_signals=false).
  • Google Consent Mode v2: ohne Einwilligung wird kein Google-Analytics-Script geladen und kein Cookie gesetzt.
  • Aufbewahrungsdauer: 2 Monate.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 165 Abs. 3 TKG AT / § 25 Abs. 1 DDG DE). Die Einwilligung ist freiwillig und jederzeit mit Wirkung für die Zukunft widerrufbar.

Drittlandtransfer: Übermittlung an Google LLC in die USA auf Basis des EU-US Data Privacy Framework; Google ist zertifiziert. Zusätzlich bestehen Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO.

Auftragsverarbeitungsvertrag: Mit Google Ireland besteht ein Vertrag gem. Art. 28 DSGVO (Google Ads Data Processing Terms).

14.4 Einwilligung widerrufen

Du kannst deine Cookie-Einwilligung jederzeit widerrufen, indem du unten im Seitenfuß auf „Cookie-Einstellungen" klickst und die Auswahl anpasst. Bereits gesetzte Analytics-Cookies werden dabei gelöscht. Zusätzlich kannst du das Google Analytics Browser-Add-on installieren oder den Global Privacy Control (GPC)-Header in deinem Browser aktivieren, den wir respektieren.

14.5 Externe Ressourcen

Die Webseite lädt keine Google Fonts, keine externen Icon-Bibliotheken und keine Social-Media-Plugins. Alle Schriften und Icons werden von unserer eigenen Domain ausgeliefert.

15. Kontakt

Bei Fragen zu dieser Datenschutzerklärung kontaktiere uns unter:

NearSpotio ("the App") is a mobile application that displays points of interest (POIs) along cycling and touring routes. Your privacy is important to us. This policy explains what data is collected, how it is used, and your rights.

Sections 1–13 apply to the App; section 14 applies to this website (nearspotio.app).

Data Controller

1. Data We Do Not Collect

The App does not:

  • Require registration or user accounts
  • Collect your name, email address, or other personal identifiers
  • Automatically transmit your device location to servers
  • Upload your GPX routes or track files
  • Share personal data with third parties for marketing

Note: If you actively report a missing or no-longer-existing POI via the App, the coordinates of the POI in question (not your device location) are transmitted to Google Cloud Firestore along with your hashed device ID. This transmission only occurs after your explicit confirmation.

2. Location Data

The App uses your device's location only while the App is in use to display nearby points of interest on the map. Your location is processed locally on your device and is not transmitted to our servers or stored externally.

3. Analytics (Firebase Analytics)

We use Google Firebase Analytics to collect pseudonymous usage statistics, such as:

  • Which features are used (e.g. category toggles, GPX export)
  • Language selection
  • App sessions and general usage patterns

This data is collected under a randomly generated installation ID and does not include names, email addresses, or account data. Firebase may process technical device identifiers and IP addresses, which are considered pseudonymous or personal data under the GDPR. Data is processed by Google Firebase under the Firebase Privacy Policy.

On the GA4 side, the IP address is used server-side to derive approximate location at country/region level (no precise geolocation). The IP address itself is truncated by Google and not stored (IP anonymization is enabled by default).

Legal basis: Consent (Art. 6(1)(a) GDPR). Consent is obtained via a consent dialog (Google Certified Consent Management Platform). Analytics data is only collected after consent has been granted. You can withdraw your consent at any time by reinstalling the app or contacting us by email.

4. Crash Reports (Firebase Crashlytics)

In the event of an App crash, an automatic crash report is sent to Firebase Crashlytics. These reports contain:

  • Device type and operating system version
  • App version
  • Stack trace (technical error information)

Crash reports do not contain names, location data, or route information. Firebase may process technical device identifiers, which are considered pseudonymous data under the GDPR.

Legal basis: Consent (Art. 6(1)(a) GDPR). Crash reports are only sent after consent has been granted via the consent dialog.

5. Advertising (Google AdMob)

The free version of the App displays ads provided by Google AdMob. AdMob may collect:

  • Advertising identifier (IDFA on iOS, Advertising ID on Android)
  • General device information

Advertising IDs are considered personal data under the GDPR. In the European Union, the United Kingdom, and Switzerland, the App displays a consent dialog (Google Certified Consent Management Platform) on first launch. You can choose whether to allow personalized advertising. If declined, only non-personalized ads are shown. On iOS, the App Tracking Transparency (ATT) dialog is shown additionally. More information: Google Privacy Policy.

Legal basis: Consent (Art. 6(1)(a) GDPR) via the consent dialog or ATT dialog (iOS). For non-personalized ads: legitimate interest (Art. 6(1)(f) GDPR).

6. Local Data Storage

The App stores the following data locally on your device:

  • Your preferences (theme, language, search radius, etc.)
  • POI database (bundled with the App)
  • Imported GPX files (temporarily cached)

The POI database and imported GPX files never leave your device unless you explicitly choose to export or share a file.

POI Data Updates

The App automatically checks for updated POI data on every launch. To do so, it connects to raw.githubusercontent.com and downloads a small manifest file. If updates are available and smaller than 2 MB, they are downloaded automatically in the background. For updates larger than 2 MB, you will be asked for confirmation first. When the offline map is selected as the map source, no update check takes place.

7. Device Identification and Usage Analysis

For the free trial period (12 days of full POI visibility and 12 free pro exports) and for pseudonymous usage analysis, a hashed device ID (SHA-256) is stored in Google Cloud Firestore.

Stored data:

  • Hashed device ID (not directly attributable to a person)
  • Platform (Android/iOS)
  • Operating system version (e.g. "Android 14", "iOS 17.2")
  • Install source (e.g. Play Store, App Store)
  • Registration timestamp and trial expiry dates
  • Export counter (trial and total) and active categories per export
  • Pro status and purchase timestamp (if applicable)
  • Last app launch (timestamp)
  • Number of app launches
  • Language setting
  • App version
  • Pseudonymous usage statistics: POI actions (e.g. navigation, sharing), number of route imports, number of submitted POI corrections
  • App settings (e.g. map source, display mode, search radius)
  • Countries/regions of exported route POIs (derived from POI data, not from device location)
  • Device manufacturer and device model (e.g. "Samsung", "SM-S928B")
  • Crash counter (number of app crashes)
  • Promo code attempts (number of input attempts), hash of the redeemed promo code, promo status (active/inactive) and promo expiration date (if applicable)

When you redeem a promo code, your hashed device ID and the redemption timestamp are stored in the corresponding code entry in Google Cloud Firestore to prevent multiple use.

No personal data (names, email addresses, routes) is stored. Your device location is not transmitted to servers. Country/region data is derived solely from the POI data of the exported route.

This data is used exclusively for product improvement, user safety, and prevention of trial abuse. It is not used for advertising purposes or to create personal profiles.

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) in preventing abuse of the free trial period and improving the app.

Retention: The data is stored permanently. It can be deleted upon request via email.

If you delete your usage data via the app, only the data necessary for trial management will be stored from that point on (last app launch timestamp, app version, number of app launches). All other usage statistics (e.g. POI actions, export counters, settings, regions) will no longer be collected.

8. Third-Party Services

The App uses the following third-party services:

  • Google Firebase Analytics (Usage statistics) – Operator: Google Ireland Limited – Privacy Policy
  • Google Firebase Crashlytics (Crash reports) – Operator: Google Ireland Limited – Privacy Policy
  • Google AdMob (Advertising) – Operator: Google Ireland Limited – Privacy Policy
  • Google Cloud Firestore (Device identification and usage analysis) – Operator: Google Ireland Limited – Privacy Policy
  • OpenFreeMap / MapTiler / OpenStreetMap (Map display) – Map tiles are loaded from external servers; your approximate map viewport area is transmitted as part of standard tile requests. Depending on the selected map source, requests are sent to OpenFreeMap, MapTiler AG (Switzerland), or OpenStreetMap servers.
  • OpenStreetMap Nominatim (Geocoding) – When opening shared map links, address resolution may be performed via nominatim.openstreetmap.org. Your search query and IP address are transmitted. Operator: OpenStreetMap Foundation – Privacy Policy
  • GitHub (POI data updates) – The App periodically downloads POI updates from raw.githubusercontent.com. Your IP address is transmitted. Operator: GitHub, Inc. (Microsoft) – Privacy Policy

9. Data Processing & International Data Transfers

The data processor for the Firebase and AdMob services is Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland.

Google may process this data on servers in the United States. Data transfers to the USA are based on:

  • the EU-US Data Privacy Framework (EU Commission adequacy decision of July 10, 2023), and
  • Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR as a supplementary safeguard.

The specific services used and the data they process:

  • Firebase Analytics – Pseudonymous usage statistics (feature usage, session data, device identifiers)
  • Firebase Crashlytics – Automatic crash reports (device information, stack traces)
  • Google AdMob – Advertising identifiers (IDFA / Advertising ID), general device information
  • Google Cloud Firestore – Hashed device ID, platform, OS version, device manufacturer, device model, install source, expiry dates, export counter, category usage, POI actions, app settings, regions of route POIs, POI correction reports, crash counter, promo code attempts, redeemed code hash, promo status and promo expiration date (trial system, promo system and usage analysis)
Further information:
Google Privacy Policy · Firebase Privacy · EU-US Data Privacy Framework · AdMob

10. Data Retention

  • Firebase Analytics: Usage data is retained for 2 months, then automatically deleted.
  • Firebase Crashlytics: Crash reports are retained for 90 days.
  • AdMob: Advertising interaction data is subject to Google's retention policies (see Google Retention Policy).
  • Local data: Deleted when you uninstall the App.
  • Trial data (Cloud Firestore): Stored permanently. Can be deleted upon request via email.

11. Your Rights (GDPR)

You have the following rights regarding your personal data:

  • Access (Art. 15 GDPR) – Right to information about what data is processed about you
  • Rectification (Art. 16 GDPR) – Right to correct inaccurate data
  • Erasure (Art. 17 GDPR) – Right to deletion of your data (see also our Data Deletion page)
  • Restriction of processing (Art. 18 GDPR)
  • Data portability (Art. 20 GDPR) – where technically applicable
  • Objection (Art. 21 GDPR) – in particular against processing based on legitimate interests
  • Withdrawal of consent (Art. 7(3) GDPR) – at any time with effect for the future (e.g. tracking via iOS ATT or device settings)

Practical measures:

  • Deny or revoke tracking via the iOS ATT dialog or Android advertising settings
  • Reset your advertising identifier in your device settings
  • Delete locally stored App data by uninstalling the App
  • Delete usage data directly in the app via Settings → Delete my data. To prevent abuse of the trial period, the pseudonymous device identifier and trial status are retained even after deletion.

12. Supervisory Authority

You have the right to lodge a complaint with a data protection supervisory authority. The authority responsible for us is:

Austrian Data Protection Authority (Österreichische Datenschutzbehörde)
Barichgasse 40–42, 1030 Vienna, Austria
www.dsb.gv.at

You may also contact the supervisory authority in your country of residence.

13. Notice for Users in the United States (CCPA/CPRA)

If you reside in California or another US state with comparable privacy laws, you have the following additional rights:

  • Right to know: You can request information about what categories of personal data we collect and for what purpose.
  • Right to delete: You can request the deletion of your personal data (see our Data Deletion page).
  • Right to opt out: You have the right to opt out of the "sale" or "sharing" of your personal data.

Do we sell or share your data? NearSpotio does not sell your personal data. However, the free version of the App displays advertising via Google AdMob, which involves transmitting advertising identifiers to Google. This may qualify as "sharing" under the CCPA. You can disable personalized advertising at any time via your device settings or by declining in the consent dialog.

We do not discriminate against you for exercising your privacy rights.

14. Website (nearspotio.app)

Sections 1–13 apply to the mobile App. This section describes the data processing on our website www.nearspotio.app.

14.1 Hosting

The website is served as a static site via GitHub Pages (GitHub, Inc., 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA) with a Cloudflare CDN/proxy in front (Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). For every request, server log data (IP address, date/time, requested URL, user agent, referrer) is briefly processed to deliver the site and prevent abuse.

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) in stable and secure operation of the website.

International transfer: Data is transferred to the USA on the basis of the EU-US Data Privacy Framework (European Commission adequacy decision of 10 July 2023); GitHub and Cloudflare are certified.

14.2 Cookies & local storage

The website uses only strictly necessary storage:

  • nearspotio-theme (localStorage) – stores your theme preference (light/dark).
  • nearspotio-lang (localStorage) – stores your language preference (DE/EN).
  • cc_cookie (first-party cookie) – stores your cookie consent for 6 months.

Legal basis: § 165(3) TKG (Austria) / § 25(2) DDG (Germany) – strictly necessary; Art. 6(1)(f) GDPR (legitimate interest).

14.3 Web analytics (Google Analytics 4)

Subject to your explicit consent via our cookie dialog, we use Google Analytics 4 (provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland). Purpose: pseudonymous reach measurement to improve the website.

Data collected includes:

  • pages visited, time on site, click paths within the website
  • session duration, landing and exit pages
  • device and browser type, screen resolution, language
  • approximate location at country/region level (no precise geolocation)
  • pseudonymous client ID (cookies _ga, _ga_*)

Privacy-friendly configuration:

  • IP anonymisation is enabled (IPv4 is truncated by default in GA4 and not stored).
  • Google Signals is disabled (no cross-device tracking, no linking with Google accounts).
  • Ad features and personalisation are disabled (allow_ad_personalization_signals=false).
  • Google Consent Mode v2: without consent, no Google Analytics script is loaded and no cookies are set.
  • Retention period: 2 months.

Legal basis: Consent (Art. 6(1)(a) GDPR, § 165(3) TKG Austria / § 25(1) DDG Germany). Consent is voluntary and can be withdrawn at any time with effect for the future.

International transfer: Data is transferred to Google LLC in the USA on the basis of the EU-US Data Privacy Framework; Google is certified. Standard Contractual Clauses under Art. 46(2)(c) GDPR apply additionally.

Data processing agreement: A DPA under Art. 28 GDPR is in place with Google Ireland (Google Ads Data Processing Terms).

14.4 Withdrawing consent

You can withdraw your cookie consent at any time by clicking "Cookie settings" in the footer and adjusting your choice. Analytics cookies that were already set will be deleted. You can also install the Google Analytics browser add-on or enable the Global Privacy Control (GPC) signal in your browser, which we honour.

14.5 External resources

The website does not load Google Fonts, third-party icon libraries, or social-media plugins. All fonts and icons are served from our own domain.

15. Contact

If you have questions about this privacy policy, please contact us at:

© nearspotio
Home Terms Legal Notice Data Deletion Cookie settings