Hobby Armory

Privacy Policy / Datenschutzerklärung

Privacy Policy

Status: April 2026

1. Data Controller

Responsible for data processing (Controller) within the meaning of Art. 4 No. 7 GDPR:

Tim Paulus
c/o Postflex #10266
Emsdettener Str. 10
48268 Greven, Germany
Email: support@hobbyarmory.de

Note: No packages or parcels - acceptance will be refused!

2. Types of Data Processed

When using Hobby Armory, the following data may be processed:

  • Authentication data (Google Sign-In): Email address (provided by Google) and a unique user identifier (Firebase UID).
  • Authentication data (Sign in with Apple): Email address — either your real Apple ID email or, if selected, Apple's "Hide My Email" relay address — and a unique Apple User ID; both are stored like any other email address. No name is requested.
  • Collection data: Miniature sets owned, purchase dates, painting progress, notes.
  • Activity history: Hobby activity dates for streak/series tracking.
  • Achievements / milestones: Progress data for achievements and goals.
  • Goals & preferences: Monthly goals, app settings, and preferences.
  • Images (uploads): Photos of miniatures uploaded by you.
  • Push notification token: A device-specific push token (FCM/APNs), processed only if you grant the corresponding permission on your device.
  • Subscription / purchase status: Anonymized status of in-app subscriptions and entitlements processed via Apple, Google and RevenueCat. The operator does not store credit card or other payment-instrument data.
  • Technical / usage data: App version, device/OS information, language, and diagnostic data for stability and crash reporting (Firebase Analytics / Crashlytics).

3. Legal Basis for Data Processing

Data processing is based on the following legal bases (Art. 6 GDPR):

  • Contract performance (Art. 6 (1)(b) GDPR): provision of core App functionality (account, collection, progress tracking, subscription delivery).
  • Consent (Art. 6 (1)(a) GDPR): submission of images to the public community catalog, decision emails, push notifications (where you have granted system permission), and — in the future — any advertising-related processing.
  • Legitimate interests (Art. 6 (1)(f) GDPR): security and fraud prevention, service stability and improvement, analytics and crash reporting on an anonymous/pseudonymous basis. You have the right to object to processing based on legitimate interests at any time.
  • Legal obligation (Art. 6 (1)(c) GDPR): retention obligations under tax and commercial law, where applicable.

4. Data Storage Locations and Processors

Google Firebase (Google Cloud Platform, EU region): Authentication (Google Sign-In), user profiles, collection data, activity history, achievements, preferences, push notifications (Firebase Cloud Messaging), analytics (Firebase Analytics) and crash reporting (Crashlytics). Data is encrypted in transit and at rest.

Cloudflare R2 (EU): Image files you upload are stored in Cloudflare R2 object storage (EU). Images may be delivered via Cloudflare's CDN for performance.

Cloudflare Workers (EU): Used to process image uploads/deletions (e.g., resizing/optimization workflows).

Apple Inc.: Sign in with Apple (authentication), App Store payments and subscription management on iOS. Apple processes data under its own privacy policy.

Google LLC / Google Play: Google Sign-In, Google Play Billing on Android, and — as a placeholder for a possible future ad-supported tier — Google AdMob. Google processes data under its own privacy policy.

RevenueCat Inc.: Subscription management. RevenueCat processes purchase receipts and entitlement data. The operator only receives anonymized subscription status; no payment card data is processed by the operator.

Transactional email: Transactional emails (e.g., approval/rejection notifications) are sent via Firebase/Google email infrastructure. No marketing emails are sent unless you explicitly opt in.

5. Images: Private vs. Community Catalog

Hobby Armory supports two image categories:

  • Private images: Photos you upload for your personal collection. These are intended to be visible only to you.
  • Community catalog images: Photos you voluntarily submit for the public catalog. Submissions are reviewed by an admin. Only approved images become publicly visible to all users.

Image processing: Uploaded images may be automatically resized and optimized for storage and delivery.

6. Email Communications

We send emails only when necessary for the service, in particular for the community image submission process (approval/rejection notifications including admin feedback) and important account or service notices.

  • Reply-to: support@hobbyarmory.de
  • No marketing: No marketing emails are sent unless you explicitly opt in.

7. Push Notifications

The App may send push notifications (e.g., reminders for hobby activity streaks, community submission decisions, important updates). Push notifications are optional and consent-based:

  • They are sent only after you have granted the corresponding system permission on your device.
  • You can revoke this consent at any time via your device's system settings (iOS Settings > Notifications > Hobby Armory or Android settings > Apps > Hobby Armory > Notifications) and/or via in-app preferences.
  • Technical delivery is provided by Apple Push Notification service (APNs) and Firebase Cloud Messaging (FCM).

8. In-App Purchases / Subscriptions

If you purchase a paid subscription via the Apple App Store or Google Play:

  • The actual payment transaction is processed exclusively by Apple Inc. or Google LLC under their own terms and privacy policies. The operator does not receive your payment card or bank account data.
  • Purchase receipts and entitlement information are processed by RevenueCat Inc., which acts as a processor for the operator.
  • The operator only receives an anonymized subscription status (e.g., active/inactive, plan type, renewal date) needed to grant access to premium features.
  • For refunds or billing disputes please contact Apple or Google directly.

9. Advertising (Future, Placeholder)

Hobby Armory currently does not display advertising. If an ad-supported tier is introduced in the future, advertising will be delivered via Google AdMob. AdMob may use device identifiers and similar technologies and typically requires separate consent under the GDPR / ePrivacy framework (e.g., via a consent management platform). Users will be informed and asked for consent before any advertising SDK is activated or any advertising-related processing takes place.

10. Data Sharing and Third Parties

Your personal data is not sold. Data is processed by our infrastructure providers (processors) to operate the App:

  • Google (Firebase / Google Cloud, Google Play): authentication, database, push notifications, analytics, crash reporting, billing, and email infrastructure.
  • Cloudflare: image storage (R2), CDN delivery, and Workers processing.
  • Apple Inc.: Sign in with Apple and App Store payments.
  • RevenueCat Inc.: subscription and entitlement management.

International transfers: While data is configured to be stored in EU data centers wherever possible, the service providers are US-based companies. Where required, GDPR safeguards (e.g., Data Processing Agreements and Standard Contractual Clauses) are used.

11. Data Retention

We store personal data only as long as necessary for the purposes described:

  • Account data: stored until you delete your account, or after 2 years of inactivity (with notice where feasible).
  • Collection / activity / achievement data: stored while your account is active and needed for App functionality.
  • Private images: stored until you delete them or your account.
  • Community submissions (rejected): deleted after rejection.
  • Community catalog images (approved): stored as a public community resource until you request removal / withdraw consent.
  • Push notification tokens: stored while the App is installed and the permission is granted; revoked tokens are deleted.
  • Subscription / purchase status: stored for the duration of the subscription and as required by tax/commercial law (typically up to 10 years for related billing records held by Apple/Google).
  • Diagnostic / crash data: stored for a limited time according to the providers' default retention (typically up to 90 days for crash reports, up to 14 months for analytics).

12. Your GDPR Rights

You have the following rights under the GDPR (Articles 15–22):

  • Right of access: request a copy of your personal data.
  • Right to rectification: correct inaccurate personal data.
  • Right to erasure: request deletion of your data ("right to be forgotten").
  • Right to restrict processing: limit how your data is used in certain cases.
  • Right to data portability: receive your data in a machine-readable format (e.g., JSON export).
  • Right to object: object to processing based on legitimate interests, including analytics and crash reporting.
  • Right to withdraw consent: withdraw consent for community catalog submissions, push notifications, or (future) advertising at any time, with effect for the future.

To exercise these rights, contact us at: support@hobbyarmory.de

13. Children's Privacy

The App is intended for users aged 13 and older. Users under 16 require the consent of a parent or legal guardian for the processing of their personal data (Art. 8 GDPR). If we learn that we have collected personal data from a child without the required consent, we will delete that data without undue delay.

14. Data Security

We implement appropriate technical and organizational measures, including:

  • Encryption in transit (TLS/HTTPS).
  • Encryption at rest by our infrastructure providers (Firebase / Cloudflare).
  • Authentication via Google Sign-In and Sign in with Apple.
  • Principle of least privilege for administrative access.

Note: No system can be guaranteed 100% secure. In the event of a data breach, notifications are handled in line with GDPR requirements (including the 72-hour notification rule where applicable).

15. Data Protection Authority

If you have concerns about our data protection practices, you have the right to lodge a complaint with a supervisory authority:

Independent Data Protection Center of Saarland (Unabhängiges Datenschutzzentrum Saarland):
Fritz-Dobisch-StraĂźe 12
66111 SaarbrĂĽcken, Germany
Phone: +49 681 94781-0
Email: poststelle@datenschutz.saarland.de
Web: datenschutz.saarland.de

16. Updates to This Policy

We may update this Privacy Policy as needed (e.g., to reflect changes in features or legal requirements). Significant changes will be communicated in the App and/or by email where appropriate.

17. Contact

For questions about data protection and this Privacy Policy, please contact:

Email: support@hobbyarmory.de

Hobby Armory
Last updated: April 2026

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher fĂĽr die Datenverarbeitung

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

Tim Paulus
c/o Postflex #10266
Emsdettener Str. 10
48268 Greven, Deutschland
E-Mail: support@hobbyarmory.de

Hinweis: Keine Pakete oder Päckchen - Annahme wird verweigert!

2. Arten der verarbeiteten Daten

Bei der Nutzung von Hobby Armory können insbesondere folgende Daten verarbeitet werden:

  • Authentifizierungsdaten (Google Sign-In): E-Mail-Adresse (von Google bereitgestellt) und eine eindeutige Nutzerkennung (Firebase UID).
  • Authentifizierungsdaten (Anmelden mit Apple): E-Mail-Adresse – entweder Ihre tatsächliche Apple-ID-E-Mail oder, falls gewählt, die Relay-Adresse aus „Meine E-Mail-Adresse verbergen" – sowie eine eindeutige Apple User ID; beide werden wie jede andere E-Mail-Adresse gespeichert. Es wird kein Name angefordert.
  • Sammlungsdaten: Besessene Miniaturen/Sets, Kaufdaten, Malfortschritt, Notizen.
  • Aktivitätsverlauf: Hobby-Aktivitäten (Datum) zur Streak-/Serien-Berechnung.
  • Erfolge / Meilensteine: Fortschrittsdaten zu Achievements und Zielen.
  • Ziele & Einstellungen: Monatsziele, App-Einstellungen und Präferenzen.
  • Bilder (Uploads): Von Ihnen hochgeladene Fotos von Miniaturen.
  • Push-Token: Ein gerätespezifisches Push-Token (FCM/APNs), das nur verarbeitet wird, wenn Sie die entsprechende Berechtigung auf Ihrem Gerät erteilen.
  • Abonnement-/Kaufstatus: Anonymisierter Status zu In-App-Abonnements und Berechtigungen, der ĂĽber Apple, Google und RevenueCat verarbeitet wird. Der Anbieter speichert keine Kreditkarten- oder sonstigen Zahlungsmitteldaten.
  • Technische-/Nutzungsdaten: App-Version, Geräte-/OS-Informationen, Sprache und Diagnosedaten zur Stabilität und Crash-Analyse (Firebase Analytics / Crashlytics).

3. Rechtsgrundlage fĂĽr die Datenverarbeitung

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen (Art. 6 DSGVO):

  • VertragserfĂĽllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der Kernfunktionen der App (Account, Sammlung, Fortschritt, Abonnement-Bereitstellung).
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Einsendungen in den öffentlichen Community-Katalog, Entscheidungs-E-Mails, Push-Benachrichtigungen (sofern Systemberechtigung erteilt) sowie – zukĂĽnftig – jegliche werbebezogene Verarbeitung.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit und Betrugsprävention, Stabilität und Verbesserung des Dienstes, Analyse und Crash-Reporting auf anonymisierter/pseudonymisierter Basis. Sie haben jederzeit das Recht, der Verarbeitung auf Basis berechtigter Interessen zu widersprechen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten nach Steuer- und Handelsrecht, soweit anwendbar.

4. Speicherorte und Auftragsverarbeiter

Google Firebase (Google Cloud Platform, Region EU): Authentifizierung (Google Sign-In), Nutzerprofil, Sammlungsdaten, Aktivitätsverlauf, Erfolge, Einstellungen, Push-Benachrichtigungen (Firebase Cloud Messaging), Analyse (Firebase Analytics) und Crash-Reporting (Crashlytics). Daten werden bei Übertragung und Speicherung verschlüsselt.

Cloudflare R2 (EU): Hochgeladene Bilddateien werden in Cloudflare R2 (EU) gespeichert und ggf. ĂĽber das Cloudflare-CDN ausgeliefert.

Cloudflare Workers (EU): Verarbeitung im Zusammenhang mit Bild-Upload/-Löschung (z. B. Resize/Optimierung).

Apple Inc.: Anmelden mit Apple (Authentifizierung), Zahlungen und Abonnement-Verwaltung im App Store unter iOS. Apple verarbeitet Daten gemäß seiner eigenen Datenschutzerklärung.

Google LLC / Google Play: Google Sign-In, Google Play Billing unter Android sowie – als Platzhalter für eine mögliche zukünftige werbefinanzierte Stufe – Google AdMob. Google verarbeitet Daten gemäß seiner eigenen Datenschutzerklärung.

RevenueCat Inc.: Verwaltung von Abonnements. RevenueCat verarbeitet Kaufbelege und Berechtigungsdaten. Der Anbieter erhält ausschließlich anonymisierten Abonnement-Status; Zahlungsmitteldaten werden vom Anbieter nicht verarbeitet.

Transaktions-E-Mails: Transaktionale Benachrichtigungen (z. B. Annahme/Ablehnung von Community-Einsendungen) werden ĂĽber Firebase/Google-E-Mail-Infrastruktur versendet. Es werden keine Marketing-E-Mails ohne Opt-in versendet.

5. Bilder: Privat vs. Community-Katalog

Hobby Armory unterscheidet zwei Bild-Kategorien:

  • Private Bilder: Fotos fĂĽr Ihre persönliche Sammlung – nur fĂĽr Sie sichtbar.
  • Community-Katalog-Bilder: Freiwillige Einsendungen fĂĽr den öffentlichen Katalog. Einsendungen werden manuell geprĂĽft; nur genehmigte Bilder werden fĂĽr alle Nutzer öffentlich sichtbar.

Bildverarbeitung: Hochgeladene Bilder können automatisch skaliert und optimiert werden.

6. E-Mail-Kommunikation

Wir versenden E-Mails nur, soweit dies fĂĽr den Dienst erforderlich ist, insbesondere im Zusammenhang mit Community-Bild-Einsendungen (Annahme/Ablehnung inkl. Feedback) sowie wichtigen Account- oder Service-Hinweisen.

  • Reply-to: support@hobbyarmory.de
  • Kein Marketing: Es werden keine Marketing-E-Mails versendet, sofern Sie nicht ausdrĂĽcklich zugestimmt haben.

7. Push-Benachrichtigungen

Die App kann Push-Benachrichtigungen versenden (z. B. Erinnerungen an Hobby-Aktivitäts-Streaks, Entscheidungen zu Community-Einsendungen, wichtige Updates). Push-Benachrichtigungen sind optional und einwilligungsbasiert:

  • Sie werden nur versendet, wenn Sie auf Ihrem Gerät die entsprechende Systemberechtigung erteilt haben.
  • Sie können diese Einwilligung jederzeit ĂĽber die Systemeinstellungen Ihres Geräts widerrufen (iOS: Einstellungen > Mitteilungen > Hobby Armory; Android: Einstellungen > Apps > Hobby Armory > Benachrichtigungen) und/oder ĂĽber die In-App-Einstellungen.
  • Die technische Zustellung erfolgt ĂĽber den Apple Push Notification service (APNs) und Firebase Cloud Messaging (FCM).

8. In-App-Käufe / Abonnements

Wenn Sie ein kostenpflichtiges Abonnement ĂĽber den Apple App Store oder Google Play abschlieĂźen:

  • Die eigentliche Zahlungstransaktion wird ausschlieĂźlich von Apple Inc. oder Google LLC nach deren eigenen Bedingungen und Datenschutzerklärungen abgewickelt. Der Anbieter erhält keine Karten- oder Bankdaten.
  • Kaufbelege und Berechtigungsinformationen werden durch RevenueCat Inc. als Auftragsverarbeiter des Anbieters verarbeitet.
  • Der Anbieter erhält lediglich einen anonymisierten Abonnement-Status (z. B. aktiv/inaktiv, Plan, Verlängerungsdatum), der zur Freischaltung von Premium-Funktionen erforderlich ist.
  • Erstattungen oder Abrechnungsfragen wenden Sie sich bitte direkt an Apple oder Google.

9. Werbung (zukĂĽnftig, Platzhalter)

Hobby Armory zeigt derzeit keine Werbung an. Sollte zukünftig eine werbefinanzierte Stufe eingeführt werden, erfolgt die Werbeauslieferung über Google AdMob. AdMob kann Geräte-Identifikatoren und vergleichbare Technologien einsetzen und erfordert in der Regel eine separate Einwilligung nach DSGVO/ePrivacy (z. B. über eine Consent-Management-Plattform). Nutzer werden informiert und um Einwilligung gebeten, bevor ein Werbe-SDK aktiviert oder eine werbebezogene Verarbeitung erfolgt.

10. Datenweitergabe und Dritte

Ihre personenbezogenen Daten werden nicht verkauft. Zur Bereitstellung der App werden Daten durch unsere Auftragsverarbeiter verarbeitet:

  • Google (Firebase / Google Cloud, Google Play): Authentifizierung, Datenbank, Push-Benachrichtigungen, Analyse, Crash-Reporting, Abrechnung, E-Mail-Infrastruktur.
  • Cloudflare: Bildspeicherung (R2), CDN-Auslieferung und Workers-Verarbeitung.
  • Apple Inc.: Anmelden mit Apple und App-Store-Zahlungen.
  • RevenueCat Inc.: Verwaltung von Abonnements und Berechtigungen.

Internationale Datenübermittlungen: Auch wenn die Speicherung soweit möglich in EU-Rechenzentren konfiguriert ist, werden die Dienste von US-Unternehmen betrieben. Soweit erforderlich, werden DSGVO-Schutzmechanismen (z. B. Auftragsverarbeitungsverträge und Standardvertragsklauseln) eingesetzt.

11. Datenspeicherdauer

Wir speichern personenbezogene Daten nur so lange wie fĂĽr die jeweiligen Zwecke erforderlich:

  • Account-Daten: bis zur Kontolöschung oder nach 2 Jahren Inaktivität (mit Benachrichtigung, soweit möglich).
  • Sammlungs-/Aktivitäts-/Erfolgsdaten: solange Ihr Konto aktiv ist bzw. fĂĽr die App-Funktionen benötigt wird.
  • Private Bilder: bis Sie diese oder Ihr Konto löschen.
  • Abgelehnte Community-Einsendungen: Löschung nach Ablehnung.
  • Genehmigte Katalogbilder: als öffentliche Community-Ressource bis zu Ihrem Entfernen / Widerruf der Einwilligung.
  • Push-Token: solange die App installiert ist und die Berechtigung erteilt ist; widerrufene Token werden gelöscht.
  • Abonnement-/Kaufstatus: fĂĽr die Dauer des Abonnements und entsprechend steuer-/handelsrechtlicher Pflichten (typischerweise bis zu 10 Jahre fĂĽr die zugehörigen Belege bei Apple/Google).
  • Diagnose-/Crash-Daten: begrenzt nach den Standardvorgaben der Anbieter (typischerweise bis zu 90 Tage fĂĽr Crash-Reports, bis zu 14 Monate fĂĽr Analytics).

12. Ihre DSGVO-Rechte

Sie haben insbesondere folgende Rechte (Art. 15–22 DSGVO):

  • Auskunft: Kopie Ihrer personenbezogenen Daten.
  • Berichtigung: Korrektur unrichtiger Daten.
  • Löschung: Löschung Ihrer Daten („Recht auf Vergessenwerden").
  • Einschränkung: Einschränkung der Verarbeitung in bestimmten Fällen.
  • DatenĂĽbertragbarkeit: Bereitstellung Ihrer Daten in einem maschinenlesbaren Format (z. B. JSON-Export).
  • Widerspruch: Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen, einschlieĂźlich Analyse und Crash-Reporting.
  • Widerruf der Einwilligung: Jederzeitiger Widerruf der Einwilligung fĂĽr Community-Einsendungen, Push-Benachrichtigungen oder (zukĂĽnftige) Werbung mit Wirkung fĂĽr die Zukunft.

Zur AusĂĽbung Ihrer Rechte: support@hobbyarmory.de

13. Datenschutz fĂĽr Kinder

Die App ist für Nutzer ab 13 Jahren bestimmt. Nutzer unter 16 Jahren benötigen für die Verarbeitung ihrer personenbezogenen Daten die Einwilligung eines Elternteils oder Erziehungsberechtigten (Art. 8 DSGVO). Erlangen wir Kenntnis davon, dass wir personenbezogene Daten eines Kindes ohne erforderliche Einwilligung erhoben haben, löschen wir diese Daten unverzüglich.

14. Datensicherheit

Wir setzen angemessene technische und organisatorische MaĂźnahmen ein, z. B.:

  • VerschlĂĽsselung bei der Ăśbertragung (TLS/HTTPS).
  • VerschlĂĽsselung im Ruhezustand durch die Infrastruktur-Anbieter (Firebase / Cloudflare).
  • Authentifizierung ĂĽber Google Sign-In und Anmelden mit Apple.
  • Minimierung administrativer Zugriffe (Need-to-know-Prinzip).

Hinweis: Absolute Sicherheit ist nicht möglich. Bei Datenschutzvorfällen erfolgt eine Benachrichtigung gemäß den DSGVO-Anforderungen (u. a. 72-Stunden-Regel, soweit anwendbar).

15. Datenschutz-Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, z. B.:

Unabhängiges Datenschutzzentrum Saarland:
Fritz-Dobisch-StraĂźe 12
66111 SaarbrĂĽcken, Deutschland
Telefon: 0681 94781-0
E-Mail: poststelle@datenschutz.saarland.de
Web: datenschutz.saarland.de

16. Aktualisierungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen (z. B. bei Feature-Änderungen oder neuen rechtlichen Anforderungen). Wesentliche Änderungen werden über die App und/oder per E-Mail mitgeteilt, soweit angemessen.

17. Kontakt

Bei Fragen zum Datenschutz und zu dieser Datenschutzerklärung kontaktieren Sie uns bitte unter:

E-Mail: support@hobbyarmory.de

Hobby Armory
Zuletzt aktualisiert: April 2026

© 2026 Hobby Armory  |  Last updated: April 2026  /  Zuletzt aktualisiert: April 2026