vorralo Anmelden

Datenschutzerklärung

Diese Erklärung beschreibt, welche personenbezogenen Daten wir beim Betrieb von vorralo.com verarbeiten, wozu, auf welcher Rechtsgrundlage und welche Rechte du hast. Wir verarbeiten nur, was die App tatsächlich braucht — keine Werbung, kein Tracking, kein Verkauf von Daten.

Stand: 09.06.2026

Im Klartext (Datenschutz-Kurzfassung)

  • Keine Werbung, kein Tracking, kein Profiling. Wir nutzen keine Analyse- oder Marketing-Cookies.
  • Hosting in Deutschland (Strato AG, Berlin). Server stehen in der EU.
  • Standort nur nach Browser-Erlaubnis. Du wirst pro Funktion explizit gefragt.
  • Gruppendaten sind in deiner Gruppe sichtbar — das ist der Zweck der App. Nicht öffentlich.
  • KI-Funktionen verarbeiten nur Stammdaten (Artikelnamen, Stadt). Niemals E-Mail oder Klarnamen.
  • Konto-Löschung jederzeit möglich (Konto-Seite). Datenexport auf Wunsch per E-Mail an mail@firestarter.business.

1. Verantwortlicher

firestarter.business UG (haftungsbeschränkt)
Dietmar Hölscher
Blomenesch 3, 48653 Coesfeld
E-Mail: mail@firestarter.business
WhatsApp: +49 174 8614380

Vollständige Anbieterangaben siehe Impressum.

2. Was vorralo grundsätzlich macht

vorralo ist eine geteilte Einkaufslisten-App für WGs, Familien und kleine Teams. Du legst ein Konto an, gründest oder trittst einer Gruppe bei und teilst dort Einkaufslisten, Artikel, Ladenstandorte und Einkaufshistorie mit den anderen Gruppenmitgliedern. Alles, was du in einer Gruppe einträgst (Artikel, Mengen, Notizen, abgehakte Einkäufe), ist für die übrigen Mitglieder dieser Gruppe sichtbar.

3. Welche Daten verarbeitet werden

3.1 Konto-Daten

  • Name (frei wählbar, wird in Gruppen angezeigt)
  • E-Mail-Adresse (Login, Bestätigungs- und Servicemails, Passwort-Reset)
  • Passwort (ausschließlich als gesalzener Hash gespeichert; Klartext-Passwörter werden nicht abgelegt)
  • Rolle (Standard-Nutzer/Admin) und Verifizierungsstatus der E-Mail
  • Zeitstempel für Konto-Erstellung, letzte Anmeldung, ausstehende E-Mail-Änderungen

3.2 Inhaltsdaten

  • Gruppen (Name, optionaler Standort), Mitgliedschaften und Rollen innerhalb der Gruppe
  • Einkaufslisten und Listen-Positionen (Artikel, Menge, Notizen, Status-Tags wie „dringend" / „nur im Angebot")
  • Artikel-Stammdaten und Aliase, Kategorien, Varianten
  • Geschäfte (Name, Anschrift, optional Geokoordinaten)
  • Einkauf-Sessions (Zeitfenster, zugeordnetes Geschäft) — auch zur statistischen Auswertung in der Gruppe
  • Einkaufshistorie: wer hat wann was abgehakt, in welchem Geschäft, zu welchem Preis (sofern erfasst)

3.3 Standortdaten

Wenn du die App aktiv aufforderst, deinen Standort zu nutzen (z. B. „Geschäfte in der Nähe", „Aktueller Standort" beim Anlegen eines Geschäfts, „Genauigkeit verbessern" während eines Einkaufs), fragt dein Browser die Geo-Erlaubnis ab. Die übermittelten Koordinaten werden genutzt, um Treffer in der Nähe zu finden oder Geschäftskoordinaten zu präzisieren. Der Browser zeigt vor jeder Abfrage einen eigenen Dialog. Ohne deine Einwilligung erfolgt keine Standortermittlung.

3.4 Technische Daten

  • Session-Cookie (PHP-Session) zur Anmeldung — ausschließlich technisch notwendig (Art. 6 Abs. 1 lit. f DSGVO, § 25 Abs. 2 Nr. 2 TDDDG)
  • CSRF-Token im Cookie zur Absicherung gegen Cross-Site-Request-Forgery
  • HTTP-Serverlogs des Hosters (IP-Adresse, Zeitstempel, abgerufene URL, User-Agent) — kurzlebig, dienen der Sicherheit und Fehleranalyse

Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies. Es findet kein Profiling statt.

3.5 KI-Funktionen (Admin)

Bestimmte Funktionen (z. B. Aliase-Erkennung, Filial-Recherche, Nährwert-Anreicherung) sind administrativ ausgelöste Hintergrundjobs. Dabei werden Stammdaten (z. B. Artikelnamen oder Stadt) an OpenAI gesendet, um strukturierte Vorschläge zurückzubekommen. Es werden keine persönlichen Identifikatoren wie E-Mail oder Klarname dorthin übertragen. Details siehe Abschnitt 5 (Auftragsverarbeiter).

4. Zwecke und Rechtsgrundlagen

Bereitstellung des Dienstes (Konto, Listen, Synchronisation in der Gruppe)
Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen)
Sicherheit, Missbrauchsabwehr, Stabilität (CSRF, Session, Hoster-Logs)
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)
Transaktionale E-Mails (Bestätigung, Passwort-Reset, E-Mail-Änderung)
Art. 6 Abs. 1 lit. b DSGVO
Standortermittlung im Browser
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den Browser-Dialog, jederzeit widerrufbar)
KI-gestützte Anreicherung (Admin-Jobs)
Art. 6 Abs. 1 lit. f DSGVO — Qualität der Produktdaten
Erfüllung gesetzlicher Pflichten (z. B. Auskunftsersuchen)
Art. 6 Abs. 1 lit. c DSGVO

5. Empfänger / Auftragsverarbeiter

Wir geben deine Daten nicht zu Werbezwecken weiter. Folgende Dienstleister verarbeiten in unserem Auftrag und auf Basis entsprechender Verträge (Art. 28 DSGVO):

  • Strato AG, Pascalstraße 10, 10587 Berlin — Hosting der Website, der Datenbank und der ausgehenden E-Mails. Server stehen in Deutschland.
  • OpenAI Ireland Ltd., 1st Floor, The Liffey Trust Centre, 117–126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland — Verarbeitung von Produkt-/Suchanfragen für KI-Anreicherung (nur Admin-getriggerte Jobs). Übermittlung erfolgt verschlüsselt; eine Drittlandsübermittlung in die USA wird durch die Standardvertragsklauseln und das DPF abgesichert. Es werden keine personenbezogenen Identifikatoren übermittelt.
  • Meta Platforms Ireland Ltd. — nur, wenn du uns aus eigenem Antrieb über WhatsApp kontaktierst. Für die Verarbeitung gelten dann zusätzlich die Datenschutzhinweise von WhatsApp/Meta.

Innerhalb einer Gruppe sind deine Einträge für die anderen Gruppenmitglieder sichtbar — das ist der Zweck der App.

6. Speicherdauer

  • Konto-Daten: bis zur Löschung des Kontos durch dich (Konto → „Konto löschen") oder durch uns nach längerer Inaktivität.
  • Listen-, Einkaufs- und Gruppendaten: solange die Gruppe besteht oder bis sie von einem berechtigten Mitglied gelöscht werden. Beim Verlassen einer Gruppe bleiben deine Beiträge aus historischen Gründen erhalten, dein Name kann je nach Einstellung anonymisiert werden.
  • E-Mail-Verifizierungs- und Reset-Tokens: kurzlebig, üblicherweise wenige Stunden bis Tage.
  • Hoster-Logs: gemäß Vorgaben des Hosters, üblicherweise wenige Tage.

7. Deine Rechte

Du hast nach DSGVO insbesondere folgende Rechte:

  • Auskunft über deine gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung (Art. 17) — über „Konto löschen" oder formlos per E-Mail
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77), für uns zuständig: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Kavalleriestraße 2-4, 40213 Düsseldorf.

Für Anfragen reicht eine kurze Nachricht an mail@firestarter.business.

8. Cookies

Wir setzen ausschließlich technisch notwendige Cookies:

  • PHPSESSID (oder vergleichbar) — Sitzungs-Cookie nach der Anmeldung. Wird beim Schließen des Browsers bzw. nach Sitzungs-Timeout entfernt.
  • CSRF-Schutz-Token in der Session — verhindert Angriffe auf Formulare.

Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Tracking-, Marketing- oder Drittanbieter-Cookies setzen wir nicht.

9. Datensicherheit

Wir betreiben vorralo.com mit TLS-Verschlüsselung (HTTPS), speichern Passwörter nur als Hash, schützen Formulare per CSRF-Token, beschränken Zugriffe per rollenbasierter Berechtigung und halten die Server bei einem deutschen Hoster (Strato). Trotzdem: keine Datenübertragung im Internet ist absolut sicher. Wenn du den Verdacht hast, dass dein Konto missbraucht wurde, melde dich bitte sofort.

10. Änderungen dieser Erklärung

Wir passen die Datenschutzerklärung an, wenn sich Funktionen, Dienstleister oder Rechtsgrundlagen ändern. Die jeweils aktuelle Fassung findest du immer unter /datenschutz.