Privacy Policy

Version 1.0 · Last updated: March 20, 2026

1. Introduction

Storybook Adventures ("the App," "we," "us," or "our") is operated by:

Constantin Klöcker
Friedrichstr. 155
10117 Berlin
Germany

Email: contact@storybookadventures.io

Storybook Adventures is a creative app for children (primarily ages 6–12) that transforms hand-drawn pictures into AI-powered animations. Children draw scenes on paper, photograph them through the App, and watch their artwork come to life as short animated videos. Each animation uses one token, which parents purchase through Apple In-App Purchase.

This Privacy Policy explains what information we collect, why we collect it, and how we protect it. We built Storybook Adventures with privacy as a foundation: no names, emails, or personal information are ever required. We use no advertising, no behavioral tracking, and no data selling — ever. Users are identified only by a random anonymous device identifier that cannot be linked to any real person.

We comply with the EU General Data Protection Regulation (GDPR), the US Children's Online Privacy Protection Act (COPPA), the UK Age Appropriate Design Code (UK AADC), and Apple's App Store guidelines.

2. Information We Collect

2.1 Data We Collect and Store

Data	Purpose	Storage Location	Retention
Anonymous device identifier (UUID)	Links token balance, submissions, and progress to a device — not to a person	Device Keychain + our server (EU)	Permanent — kept even after deletion requests to enable token recovery and prevent voucher abuse. Cannot identify you as a person.
Consent records (terms version, privacy policy version, age bracket, consent method, timestamp, app version)	Legal compliance and audit trail	Our server (EU)	Permanent
Child's drawings (photographed or selected from photo library)	Processed by AI to create animations; stored for reinstall recovery	Our server (EU); transmitted to OpenAI (moderation) and Replicate (animation) during processing — both delete content after use	Until deletion request
Animated videos	Delivered to the child's device; stored for reinstall recovery	Our server (EU) + device	Until deletion request
Custom scene prompts	User-entered text to guide each animation	Our server (EU); transmitted to Replicate during animation processing — deleted after use	Until deletion request
Token balance	Tracks purchased animation credits	Our server (EU)	Permanent — kept so unspent tokens can be recovered on reinstall
Purchase transaction records	Legal and tax compliance	Our server (EU)	Up to 10 years (German AO §147), even after account deletion
Voucher redemption records	Prevents duplicate redemptions; marketing attribution	Our server (EU)	Persistent
Onboarding state (age bracket, consent status, parental PIN)	Age gating, consent, parental controls	Device only	Until app deletion
Moderation flags (fingerprint of rejected images, rejection reason, AI-generated description)	Safety monitoring and abuse prevention	Our server (EU)	Persistent (no images stored — fingerprint and description only)
Scene progress	Tracks completed scenes within each storyline	Our server (EU) + device	Until deletion request

2.2 What We Do NOT Collect

Names, email addresses, phone numbers, or any personally identifiable information
Location data or GPS coordinates
Random photos from the device's camera roll — when uploading a drawing, users either take a new photo or pick one from their library; only that chosen image is uploaded, and all location metadata is removed on-device before it leaves the phone
Browsing history, app usage patterns, or behavioral analytics
Advertising identifiers or cross-app tracking data
Social media accounts, contacts, or messages
Apple ID or any Apple account information

2.3 Your Anonymous Account

When you first use the App, we generate a random identifier (UUID) and store it in the device's secure Keychain. This is your account — no sign-up, no password, no email required. It links your token balance, drawings, and progress across sessions and reinstalls, but it cannot be traced back to any real person.

If you ever need to contact us about your data, a support reference code derived from this identifier is available under Settings → My Data → Data Request. This lets us locate your account without you needing to share the identifier itself.

3. Why We're Allowed to Use This Data (Legal Basis)

For users in the EU, UK, and other jurisdictions with similar laws, we process data on the following legal grounds:

Consent (Art. 6(1)(a) GDPR / Art. 8 GDPR): For underage users, a parent or guardian provides explicit consent before any drawings are uploaded or processed. Adults consent via the in-app terms acceptance flow.
Performance of a contract (Art. 6(1)(b) GDPR): Processing drawings, delivering animations, and managing token balances are necessary to provide the service you've paid for.
Legal obligation (Art. 6(1)(c) GDPR): Purchase transaction records are kept for up to 10 years under German tax law (AO §147). Consent records are kept permanently to demonstrate COPPA and GDPR compliance.
Legitimate interest (Art. 6(1)(f) GDPR): Moderation flag records and voucher redemption records are retained to prevent abuse and fraud. These interests are proportionate — we store only a fingerprint and a description, never the image or any personal information.

4. How We Use Your Data

We use data only to operate and improve the App:

Deliver animations: Process drawings through AI moderation and animation to produce the animated video
Manage tokens: Track purchased credits and deduct one per animation
Enable recovery: Store drawings, animations, prompts, and progress so content is restored if the App is reinstalled
Keep content safe: Screen uploaded drawings for inappropriate content before animation
Prevent abuse: Retain fingerprints (not images) of rejected content to identify repeat violations
Comply with the law: Validate purchases and retain transaction records for tax and legal purposes
Track vouchers fairly: Record which promotional codes were redeemed to prevent duplicates and calculate partner compensation
Keep the service running: Monitor system health and fix technical issues

We do not use data for advertising, profiling, or any purpose beyond what is listed here.

5. Third-Party Services

We share data with the following providers to operate the App. None of them receive personally identifiable information.

Provider	Purpose	Data They Receive	Location	How Long They Keep It
Cloud infrastructure (Supabase)	Database, file storage, server functions	Anonymous UUID, drawings, animations, prompts, scene progress, voucher data	EU (Frankfurt, Germany)	Per our retention schedule
OpenAI	Checks drawings for child safety before animation	Drawing image (via a short-lived secure link)	United States	Processed in memory — not stored
Replicate	Generates the animated video from drawing + text prompt	Drawing image + scene prompt	United States	Auto-deleted within ~1 hour
Fly.io	Runs the animation pipeline — downloads the drawing, coordinates video and audio generation via Replicate, and assembles the final video	Drawing image, scene prompt, generated video, generated audio	EU (Frankfurt, Germany)	Processed during pipeline — not stored after completion
Apple (In-App Purchase)	Processes token purchases	Purchase receipt (Apple handles this — we never see payment details)	United States	Per Apple's Privacy Policy

We never sell, rent, or share user data with third parties for their own purposes. All providers are bound by data processing agreements.

6. Children's Privacy

6.1 Age Thresholds

On first launch, the App asks the user's age. We apply the appropriate legal threshold based on the device's region:

Region	Threshold	Law
United States	Under 13	COPPA
United Kingdom	Under 13	UK AADC
Germany, Netherlands	Under 16	GDPR
France	Under 15	GDPR
Italy, Spain	Under 14	GDPR
Sweden, Denmark, Finland	Under 13	GDPR
Other EU countries	Under 16	GDPR (default)

6.2 Parental Consent

If a user is under the applicable threshold, a parent or guardian must complete a consent flow before the App processes any data. The flow includes an information walkthrough, an adult verification step (a math challenge), and explicit consent checkboxes covering drawing upload, AI processing, server storage, token purchases, and saving animations to the photo gallery.

Consent is recorded both on the device and on our servers. The server record contains age bracket, consent method, terms versions accepted, and timestamp — no personal information. It is kept permanently as a legal audit trail. Device-side consent flags are cleared if the App is deleted.

Consent is one-time and persistent. It only needs to be renewed if we make a material change to how we handle children's data.

6.3 What Parents Can Do

At any time, parents can:

Revoke consent via Settings → Parental Controls, which re-triggers the consent flow
View and delete data via Settings → My Data or Settings → Parental Controls → Delete All Data
Get a support reference code for data requests via Settings → My Data → Data Request
Contact us at contact@storybookadventures.io with any questions

Note: "Delete All Data" removes drawings, animations, prompts, and scene progress. Some records are kept for legal and safety reasons — see §8 for the full breakdown.

6.4 Content Moderation

Every uploaded drawing is automatically screened by OpenAI's content moderation before animation begins. Drawings with inappropriate content are rejected, the image is deleted from our servers, and the token is automatically refunded. We also attempt to detect drawings that contain visible personal information (like names or addresses) and flag those for rejection as well.

7. Data Security

Device encryption: The anonymous identifier is stored in the iOS Keychain, which is encrypted by the operating system
Encrypted connections: All data transfers use HTTPS/TLS
Metadata removal: Location data and other photo metadata are stripped from images on-device before upload
No personal data on servers: Our servers contain no names, emails, phone numbers, or any information that could identify a person
Expiring file links: Drawings and animations are shared via secure links that expire automatically — files are never permanently publicly accessible
Data isolation: Each anonymous profile can only access its own data; profiles cannot see each other's content
Minimal exposure to AI providers: AI services receive images via temporary links and delete them after processing

8. Data Retention

Data	How Long We Keep It
Drawings, animations, custom prompts, scene progress	Until you request deletion
Anonymous UUID + token balance	Permanent — kept so tokens can be recovered after reinstall
Consent records	Permanent — legal audit trail
Purchase records	Up to 10 years (German tax law, AO §147)
Voucher redemption records	Permanent — anti-abuse and affiliate attribution
Moderation flag records	Permanent — abuse prevention (no images stored)
Onboarding state (device only)	Deleted when App is removed from device
Drawings processed by Replicate	Auto-deleted by Replicate within ~1 hour

What Happens When You Delete All Data

When you use Delete All Data in the App, here is exactly what happens:

✅ Deleted immediately: All drawings, animations, custom prompts, and scene progress are permanently removed from our servers
🔒 Kept for account recovery: Your anonymous profile and token balance are retained so unspent tokens can be restored if you reinstall the App on the same device. This record contains no personal information.
🔒 Kept for abuse prevention: A fingerprint of any previously rejected images (not the images themselves) is retained to detect repeat violations
🔒 Kept to prevent voucher fraud: Voucher redemption records (anonymous ID + campaign code) are kept to stop the same device from claiming multiple free tokens
🔒 Kept for legal compliance: Purchase records are kept in anonymized form for up to 10 years as required by German tax law
🔒 Kept as legal proof of consent: Consent records (age bracket, terms versions, timestamp) are kept permanently as evidence of lawful data processing
📱 On your device: The anonymous identifier remains in the device Keychain for account recovery. A full factory reset will remove it.
🖼 In your photo gallery: Any animations you previously saved to your gallery are not affected.

9. International Data Transfers

Most data processing happens within the EU. Our servers (Supabase), animation pipeline (Fly.io), and primary storage are all based in Frankfurt, Germany.

Two providers are based in the United States: OpenAI (content moderation) and Replicate (video and audio generation). When a drawing is submitted, the image and scene prompt text are sent to these providers via Fly.io for processing under time-limited secure links. These transfers comply with GDPR Article 46 via EU Standard Contractual Clauses (SCCs).

Crucially, no personal data is included in these transfers: drawings contain no identifying information (metadata is stripped before upload), and scene prompts are creative text with no personal content. Neither can be traced back to any individual.

10. Your Rights Under GDPR

If you are in the EU, EEA, United Kingdom, or Switzerland, you have the following rights over data linked to your anonymous profile:

Access (Art. 15): Request a copy of your data
Erasure (Art. 17): Request deletion of your data
Restriction (Art. 18): Ask us to limit how we process your data
Portability (Art. 20): Request your data in a machine-readable format
Object (Art. 21): Object to certain types of processing
Complaint: Lodge a complaint with your local data protection authority

Easiest way: Use the in-app tools under Settings → My Data — most requests can be handled immediately without contacting us.

By email: Write to contact@storybookadventures.io and include your support reference code (Settings → My Data → Data Request). Because we don't collect names or emails, we can only locate accounts using this code.

Note on anonymous processing: Because our service operates entirely on anonymous identifiers (GDPR Article 11), we are not required to collect additional personal information just to process data subject requests. If you contact us without your support reference code, we won't be able to locate your account — and we'll let you know how to find it.

Data Protection Authority for Germany:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn, Germany
https://www.bfdi.bund.de

11. Your Rights Under COPPA (United States)

If you are a parent or guardian of a child under 13 in the United States:

Review data collected from your child's use of the App (Settings → My Data)
Delete drawings, animations, prompts, and scene progress (Settings → My Data → Delete All Data, or contact us). Some records are kept for legal and safety reasons — see §8.
Revoke consent at any time via Settings → Parental Controls
Refuse further collection — note that without consent, the animation features cannot function

12. Purchases and Promotions

Token purchases are handled entirely by Apple In-App Purchase. We never see or store payment details (card numbers, billing addresses, Apple ID credentials). After purchase, Apple sends us a receipt which we validate server-side to add tokens to your anonymous profile.

We keep a transaction record (anonymous profile ID, token amount, timestamp, receipt validation result) for up to 10 years as required by German tax law. These records contain no personal information. For details on how Apple handles payment data, see Apple's Privacy Policy.

Voucher codes may be distributed through marketing partners or campaigns. When you redeem one, the code is linked to your anonymous profile to prevent duplicate use. We record the anonymous profile ID, the campaign code, and a timestamp. No personal information is collected. We use this data to prevent abuse, measure campaign performance, and calculate partner compensation.

13. Local Storage

The App stores some data directly on your device: animations, scene progress, parental settings, and onboarding state. This data is removed if you delete the App. However, because we also store drawings, animations, prompts, and progress on our servers, reinstalling the App on the same device (with the same Keychain) will restore your content.

We recommend saving completed animations to your photo gallery as an additional backup.

14. Changes to This Policy

We may update this policy from time to time. If we make material changes to how we handle children's data, we will notify you prominently within the App and, where required by law, seek renewed parental consent. The version number and "Last updated" date at the top of this document always reflect the current version.

15. Contact

Questions about this policy, your data, or your child's privacy? We're happy to help.

Constantin Klöcker
Friedrichstr. 155
10117 Berlin
Germany

Email: contact@storybookadventures.io

When writing about a specific account, please include your support reference code (Settings → My Data → Data Request) so we can locate your data.

This Privacy Policy is available in English and German within the App and at www.storybookadventures.io.

Datenschutzerklärung

Version 1.0 · Zuletzt aktualisiert: 20. März 2026

1. Einleitung

Storybook Adventures („die App", „wir", „uns" oder „unser") wird betrieben von:

Constantin Klöcker
Friedrichstr. 155
10117 Berlin
Deutschland

E-Mail: contact@storybookadventures.io

Storybook Adventures ist eine kreative App für Kinder (vorwiegend im Alter von 6–12 Jahren), die handgezeichnete Bilder in KI-gestützte Animationen verwandelt. Kinder zeichnen Szenen auf Papier, fotografieren diese mit der App und sehen ihre Kunstwerke als kurze animierte Videos zum Leben erwachen. Jede Animation verbraucht einen Token, den Eltern über Apple In-App-Kauf erwerben.

Diese Datenschutzerklärung erläutert, welche Informationen wir erheben, warum wir sie erheben und wie wir sie schützen. Wir haben Storybook Adventures mit Datenschutz als Grundlage entwickelt: Es werden keine Namen, E-Mail-Adressen oder personenbezogenen Daten benötigt. Wir verwenden keine Werbung, kein Verhaltens-Tracking und verkaufen keine Daten — niemals. Nutzer werden ausschließlich durch eine zufällige, anonyme Gerätekennung identifiziert, die nicht mit einer realen Person verknüpft werden kann.

Wir halten die EU-Datenschutz-Grundverordnung (DSGVO), den US-amerikanischen Children's Online Privacy Protection Act (COPPA), den UK Age Appropriate Design Code (UK AADC) und die Richtlinien des Apple App Store ein.

2. Erhobene Informationen

2.1 Daten, die wir erheben und speichern

Daten	Zweck	Speicherort	Aufbewahrung
Anonyme Gerätekennung (UUID)	Verknüpft Token-Guthaben, Einreichungen und Fortschritt mit einem Gerät — nicht mit einer Person	Geräte-Keychain + unser Server (EU)	Dauerhaft — auch nach Löschanfragen aufbewahrt, um Token-Wiederherstellung und Schutz vor Gutscheinmissbrauch zu ermöglichen. Kann Sie nicht als Person identifizieren.
Einwilligungsnachweise (Nutzungsbedingungsversion, Datenschutzrichtlinienversion, Altersgruppe, Einwilligungsmethode, Zeitstempel, App-Version)	Rechtliche Compliance und Nachweisführung	Unser Server (EU)	Dauerhaft
Zeichnungen des Kindes (fotografiert oder aus der Fotobibliothek ausgewählt)	Werden von KI verarbeitet, um Animationen zu erstellen; für Wiederherstellung bei Neuinstallation gespeichert	Unser Server (EU); zur Verarbeitung an OpenAI (Moderation) und Replicate (Animation) übermittelt — beide löschen Inhalte nach der Verarbeitung	Bis zur Löschanfrage
Animierte Videos	Werden an das Gerät des Kindes geliefert; für Wiederherstellung bei Neuinstallation gespeichert	Unser Server (EU) + Gerät	Bis zur Löschanfrage
Individuelle Szenenbeschreibungen	Vom Nutzer eingegebener Text zur Steuerung jeder Animation	Unser Server (EU); zur Animationsverarbeitung an Replicate übermittelt — nach Nutzung gelöscht	Bis zur Löschanfrage
Token-Guthaben	Verfolgt erworbene Animations-Guthaben	Unser Server (EU)	Dauerhaft — aufbewahrt, damit nicht verbrauchte Token bei Neuinstallation wiederhergestellt werden können
Kauftransaktionsdaten	Rechtliche und steuerliche Compliance	Unser Server (EU)	Bis zu 10 Jahre (AO §147), auch nach Kontolöschung
Gutschein-Einlösedaten	Verhindert doppelte Einlösungen; Marketing-Zuordnung	Unser Server (EU)	Dauerhaft
Onboarding-Status (Altersgruppe, Einwilligungsstatus, elterliche PIN)	Altersüberprüfung, Einwilligung, Kindersicherung	Nur auf dem Gerät	Bis zur App-Löschung
Moderations-Flags (Fingerabdruck abgelehnter Bilder, Ablehnungsgrund, KI-generierte Beschreibung)	Sicherheitsüberwachung und Missbrauchsprävention	Unser Server (EU)	Dauerhaft (keine Bilder gespeichert — nur Fingerabdruck und Beschreibung)
Szenenfortschritt	Verfolgt abgeschlossene Szenen innerhalb jeder Geschichte	Unser Server (EU) + Gerät	Bis zur Löschanfrage

2.2 Was wir NICHT erheben

Namen, E-Mail-Adressen, Telefonnummern oder sonstige personenbezogene Daten
Standortdaten oder GPS-Koordinaten
Beliebige Fotos aus der Kamerarolle — beim Hochladen einer Zeichnung können Nutzer entweder ein neues Foto aufnehmen oder ein vorhandenes Foto aus ihrer Bibliothek auswählen; nur dieses eine ausgewählte Bild wird hochgeladen, und alle Standortmetadaten werden auf dem Gerät entfernt, bevor es das Gerät verlässt
Browserverlauf, App-Nutzungsmuster oder Verhaltensanalysen
Werbekennungen oder app-übergreifende Tracking-Daten
Social-Media-Konten, Kontakte oder Nachrichten
Apple-ID oder Apple-Kontoinformationen

2.3 Ihr anonymes Konto

Bei der ersten Nutzung der App generieren wir eine zufällige Kennung (UUID) und speichern sie im sicheren Keychain des Geräts. Das ist Ihr Konto — keine Registrierung, kein Passwort, keine E-Mail erforderlich. Es verknüpft Ihr Token-Guthaben, Zeichnungen und Fortschritt über Sitzungen und Neuinstallationen hinweg, kann jedoch nicht auf eine reale Person zurückgeführt werden.

Wenn Sie uns bezüglich Ihrer Daten kontaktieren müssen, steht Ihnen unter Einstellungen → Meine Daten → Datenanfrage ein Support-Referenzcode zur Verfügung, der von dieser Kennung abgeleitet ist. Damit können wir Ihr Konto identifizieren, ohne dass Sie die Kennung selbst mitteilen müssen.

3. Rechtsgrundlage für die Datenverarbeitung

Für Nutzer in der EU, dem Vereinigten Königreich und anderen Ländern mit vergleichbaren Gesetzen verarbeiten wir Daten auf folgenden Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 8 DSGVO): Bei minderjährigen Nutzern erteilt ein Elternteil oder Erziehungsberechtigter vor der Verarbeitung von Zeichnungen eine ausdrückliche Einwilligung. Erwachsene willigen über den App-internen Einwilligungsprozess ein.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung von Zeichnungen, die Bereitstellung von Animationen und die Verwaltung von Token-Guthaben sind für die Erbringung des gebuchten Dienstes erforderlich.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Kauftransaktionsdaten werden gemäß deutschem Steuerrecht (AO §147) bis zu 10 Jahre aufbewahrt. Einwilligungsnachweise werden dauerhaft aufbewahrt, um die Einhaltung von COPPA und DSGVO nachzuweisen.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Moderations-Flag-Datensätze und Gutschein-Einlösedaten werden zur Missbrauchsprävention aufbewahrt. Diese Interessen sind verhältnismäßig — wir speichern nur einen Fingerabdruck und eine Beschreibung, niemals das Bild oder personenbezogene Daten.

4. Verwendung Ihrer Daten

Wir verwenden Daten ausschließlich zum Betrieb und zur Verbesserung der App:

Animationen bereitstellen: Zeichnungen durch KI-Moderation und -Animation verarbeiten, um das animierte Video zu erzeugen
Token verwalten: Erworbene Guthaben verfolgen und pro Animation einen Token abziehen
Wiederherstellung ermöglichen: Zeichnungen, Animationen, Beschreibungen und Fortschritt speichern, damit Inhalte bei Neuinstallation der App wiederhergestellt werden
Inhalte sichern: Hochgeladene Zeichnungen vor der Animation auf unangemessene Inhalte prüfen
Missbrauch verhindern: Fingerabdrücke (keine Bilder) abgelehnter Inhalte aufbewahren, um Wiederholungsverstöße zu erkennen
Gesetzliche Vorgaben erfüllen: Käufe validieren und Transaktionsdaten für steuerliche und rechtliche Zwecke aufbewahren
Gutscheine fair verfolgen: Einlösungen protokollieren, um Duplikate zu verhindern und Partnerprovisionen zu berechnen
Dienst aufrechterhalten: Systemzustand überwachen und technische Probleme beheben

Wir verwenden Daten nicht für Werbung, Profiling oder andere Zwecke als die hier aufgeführten.

5. Drittanbieter-Dienste

Wir geben Daten an folgende Anbieter weiter, um die App zu betreiben. Keiner von ihnen erhält personenbezogene Daten.

Anbieter	Zweck	Erhaltene Daten	Standort	Aufbewahrung beim Anbieter
Cloud-Infrastruktur (Supabase)	Datenbank, Dateispeicher, Serverfunktionen	Anonyme UUID, Zeichnungen, Animationen, Beschreibungen, Szenenfortschritt, Gutscheindaten	EU (Frankfurt am Main)	Gemäß unserem Aufbewahrungsplan
OpenAI	Prüft Zeichnungen auf Kindersicherheit vor der Animation	Zeichnungsbild (über einen kurzlebigen sicheren Link)	Vereinigte Staaten	Im Arbeitsspeicher verarbeitet — nicht gespeichert
Replicate	Generiert das animierte Video aus Zeichnung + Textbeschreibung	Zeichnungsbild + Szenenbeschreibung	Vereinigte Staaten	Automatisch innerhalb von ca. 1 Stunde gelöscht
Fly.io	Führt die Animations-Pipeline aus — lädt die Zeichnung herunter, koordiniert Video- und Audiogenerierung über Replicate und assembliert das fertige Video	Zeichnungsbild, Szenenbeschreibung, generiertes Video, generierter Ton	EU (Frankfurt am Main)	Während der Pipeline verarbeitet — nach Abschluss nicht gespeichert
Apple (In-App-Kauf)	Verarbeitet Token-Käufe	Kaufbeleg (von Apple abgewickelt — wir sehen keine Zahlungsdetails)	Vereinigte Staaten	Gemäß Apples Datenschutzrichtlinie

Wir verkaufen, vermieten oder teilen Nutzerdaten niemals mit Dritten für deren eigene Zwecke. Alle Anbieter sind durch Datenverarbeitungsverträge gebunden.

6. Datenschutz für Kinder

6.1 Altersschwellen

Beim ersten Start fragt die App das Alter des Nutzers ab. Wir wenden die entsprechende gesetzliche Schwelle basierend auf der Region des Geräts an:

Region	Schwelle	Gesetz
Vereinigte Staaten	Unter 13	COPPA
Vereinigtes Königreich	Unter 13	UK AADC
Deutschland, Niederlande	Unter 16	DSGVO
Frankreich	Unter 15	DSGVO
Italien, Spanien	Unter 14	DSGVO
Schweden, Dänemark, Finnland	Unter 13	DSGVO
Andere EU-Länder	Unter 16	DSGVO (Standard)

6.2 Elterliche Einwilligung

Liegt ein Nutzer unterhalb der anwendbaren Schwelle, muss ein Elternteil oder Erziehungsberechtigter einen Einwilligungsprozess abschließen, bevor die App Daten verarbeitet. Der Prozess umfasst einen Informationsdurchlauf, einen Erwachsenennachweis (eine Rechenaufgabe) sowie ausdrückliche Einwilligungs-Kontrollkästchen zu Zeichnungs-Upload, KI-Verarbeitung, Serverspeicherung, Token-Käufen und dem Speichern von Animationen in der Fotogalerie.

Die Einwilligung wird sowohl auf dem Gerät als auch auf unseren Servern aufgezeichnet. Der Serverdatensatz enthält Altersgruppe, Einwilligungsmethode, akzeptierte Bedingungsversionen und Zeitstempel — keine personenbezogenen Daten. Er wird dauerhaft als rechtlicher Nachweis aufbewahrt. Geräteseitige Einwilligungsflags werden gelöscht, wenn die App deinstalliert wird.

Die Einwilligung ist einmalig und dauerhaft. Sie muss nur erneuert werden, wenn wir wesentliche Änderungen am Umgang mit Kinderdaten vornehmen.

6.3 Was Eltern tun können

Eltern können jederzeit:

Einwilligung widerrufen über Einstellungen → Kindersicherung, was den Einwilligungsprozess erneut auslöst
Daten einsehen und löschen über Einstellungen → Meine Daten oder Einstellungen → Kindersicherung → Alle Daten löschen
Einen Support-Referenzcode anfordern für Datenanfragen über Einstellungen → Meine Daten → Datenanfrage
Uns kontaktieren unter contact@storybookadventures.io bei Fragen

Hinweis: „Alle Daten löschen" entfernt Zeichnungen, Animationen, Beschreibungen und Szenenfortschritt. Einige Datensätze werden aus rechtlichen und Sicherheitsgründen aufbewahrt — siehe §8 für die vollständige Übersicht.

6.4 Inhaltsmoderation

Jede hochgeladene Zeichnung wird vor dem Animationsbeginn automatisch durch das Inhaltsmoderierungssystem von OpenAI geprüft. Zeichnungen mit unangemessenen Inhalten werden abgelehnt, das Bild wird von unseren Servern gelöscht und der Token wird automatisch erstattet. Wir versuchen außerdem, Zeichnungen zu erkennen, die sichtbare personenbezogene Daten (wie Namen oder Adressen) enthalten, und markieren diese zur Ablehnung.

7. Datensicherheit

Geräteverschlüsselung: Die anonyme Kennung wird im iOS-Keychain gespeichert, der vom Betriebssystem verschlüsselt wird
Verschlüsselte Verbindungen: Alle Datenübertragungen verwenden HTTPS/TLS
Metadaten-Entfernung: Standortdaten und andere Foto-Metadaten werden auf dem Gerät vor dem Upload entfernt
Keine personenbezogenen Daten auf Servern: Unsere Server enthalten keine Namen, E-Mail-Adressen, Telefonnummern oder Informationen, die eine Person identifizieren könnten
Ablaufende Dateilinks: Zeichnungen und Animationen werden über sichere Links geteilt, die automatisch ablaufen — Dateien sind nie dauerhaft öffentlich zugänglich
Datenisolierung: Jedes anonyme Profil kann nur auf seine eigenen Daten zugreifen; Profile können die Inhalte der anderen nicht einsehen
Minimale Exposition gegenüber KI-Anbietern: KI-Dienste erhalten Bilder über temporäre Links und löschen diese nach der Verarbeitung

8. Datenaufbewahrung

Daten	Aufbewahrungsdauer
Zeichnungen, Animationen, individuelle Beschreibungen, Szenenfortschritt	Bis zur Löschanfrage
Anonyme UUID + Token-Guthaben	Dauerhaft — aufbewahrt, damit Token nach Neuinstallation wiederhergestellt werden können
Einwilligungsnachweise	Dauerhaft — rechtlicher Nachweis
Kaufdaten	Bis zu 10 Jahre (deutsches Steuerrecht, AO §147)
Gutschein-Einlösedaten	Dauerhaft — Missbrauchsprävention und Affiliate-Zuordnung
Moderations-Flag-Datensätze	Dauerhaft — Missbrauchsprävention (keine Bilder gespeichert)
Onboarding-Status (nur Gerät)	Wird gelöscht, wenn die App vom Gerät entfernt wird
Von Replicate verarbeitete Zeichnungen	Automatisch von Replicate innerhalb von ca. 1 Stunde gelöscht

Was passiert, wenn Sie alle Daten löschen

Wenn Sie in der App „Alle Daten löschen" verwenden, passiert Folgendes:

✅ Sofort gelöscht: Alle Zeichnungen, Animationen, individuellen Beschreibungen und Szenenfortschritt werden dauerhaft von unseren Servern entfernt
🔒 Für Kontowiederherstellung aufbewahrt: Ihr anonymes Profil und Token-Guthaben bleiben erhalten, damit nicht verbrauchte Token bei Neuinstallation auf demselben Gerät wiederhergestellt werden können. Dieser Datensatz enthält keine personenbezogenen Daten.
🔒 Zur Missbrauchsprävention aufbewahrt: Ein Fingerabdruck zuvor abgelehnter Bilder (nicht die Bilder selbst) wird aufbewahrt, um Wiederholungsverstöße zu erkennen
🔒 Zur Verhinderung von Gutscheinbetrug aufbewahrt: Gutschein-Einlösedaten (anonyme ID + Kampagnencode) werden aufbewahrt, um zu verhindern, dass dasselbe Gerät mehrere kostenlose Token beansprucht
🔒 Für die gesetzliche Compliance aufbewahrt: Kaufdaten werden in anonymisierter Form bis zu 10 Jahre gemäß deutschem Steuerrecht aufbewahrt
🔒 Als rechtlicher Einwilligungsnachweis aufbewahrt: Einwilligungsnachweise (Altersgruppe, Bedingungsversionen, Zeitstempel) werden dauerhaft als Beleg für eine rechtmäßige Datenverarbeitung aufbewahrt
📱 Auf Ihrem Gerät: Die anonyme Kennung verbleibt im Geräte-Keychain für die Kontowiederherstellung. Ein vollständiges Zurücksetzen auf Werkseinstellungen löscht den Keychain.
🖼 In Ihrer Fotogalerie: Bereits gespeicherte Animationen sind nicht betroffen.

9. Internationale Datenübertragungen

Der Großteil der Datenverarbeitung findet innerhalb der EU statt. Unsere Server (Supabase), die Animations-Pipeline (Fly.io) und der primäre Speicher befinden sich in Frankfurt am Main.

Zwei Anbieter haben ihren Sitz in den Vereinigten Staaten: OpenAI (Inhaltsmoderation) und Replicate (Video- und Audiogenerierung). Wenn eine Zeichnung eingereicht wird, werden das Bild und der Szenenbeschreibungstext über Fly.io zur Verarbeitung unter kurzlebigen sicheren Links an diese Anbieter gesendet. Diese Übertragungen erfolgen gemäß Art. 46 DSGVO auf Basis von EU-Standardvertragsklauseln (SCC).

Entscheidend ist, dass diese Übertragungen keine personenbezogenen Daten enthalten: Zeichnungen enthalten keine identifizierenden Informationen (Metadaten werden vor dem Upload entfernt), und Szenenbeschreibungen sind kreative Texte ohne persönliche Inhalte. Weder die Zeichnung noch die Beschreibung kann einer Person zugeordnet werden.

10. Ihre Rechte nach der DSGVO

Wenn Sie sich in der EU, dem EWR, dem Vereinigten Königreich oder der Schweiz befinden, haben Sie folgende Rechte bezüglich der mit Ihrem anonymen Profil verknüpften Daten:

Auskunft (Art. 15): Kopie Ihrer Daten anfordern
Löschung (Art. 17): Löschung Ihrer Daten beantragen
Einschränkung (Art. 18): Uns bitten, die Verarbeitung Ihrer Daten einzuschränken
Datenübertragbarkeit (Art. 20): Ihre Daten in einem maschinenlesbaren Format anfordern
Widerspruch (Art. 21): Der Verarbeitung Ihrer Daten widersprechen
Beschwerde: Eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einreichen

Einfachster Weg: Nutzen Sie die App-internen Tools unter Einstellungen → Meine Daten — die meisten Anfragen können sofort ohne Kontaktaufnahme bearbeitet werden.

Per E-Mail: Schreiben Sie an contact@storybookadventures.io und geben Sie Ihren Support-Referenzcode an (Einstellungen → Meine Daten → Datenanfrage). Da wir keine Namen oder E-Mail-Adressen erheben, können wir Konten nur über diesen Code lokalisieren.

Hinweis zur anonymen Verarbeitung: Da unser Dienst vollständig auf anonymen Kennungen basiert (DSGVO Art. 11), sind wir nicht verpflichtet, zusätzliche personenbezogene Daten zu erheben, nur um Betroffenenrechte zu bearbeiten. Wenn Sie uns ohne Ihren Support-Referenzcode kontaktieren, können wir Ihr Konto nicht finden — wir werden Sie dann darüber informieren, wo Sie ihn finden.

Zuständige Datenschutzbehörde:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn
https://www.bfdi.bund.de

11. Ihre Rechte nach COPPA (USA)

Wenn Sie Elternteil oder Erziehungsberechtigter eines Kindes unter 13 Jahren in den USA sind:

Einsehen der von der App Ihres Kindes erhobenen Daten (Einstellungen → Meine Daten)
Löschen von Zeichnungen, Animationen, Beschreibungen und Szenenfortschritt (Einstellungen → Meine Daten → Alle Daten löschen oder Kontaktaufnahme). Einige Datensätze werden aus rechtlichen und Sicherheitsgründen aufbewahrt — siehe §8.
Einwilligung widerrufen jederzeit über Einstellungen → Kindersicherung
Weitere Erhebung ablehnen — ohne Einwilligung können die Animationsfunktionen nicht genutzt werden

Kontaktieren Sie uns unter contact@storybookadventures.io mit Ihrem Support-Referenzcode (Einstellungen → Meine Daten → Datenanfrage).

12. Käufe und Aktionen

Token-Käufe werden vollständig über Apple In-App-Kauf abgewickelt. Wir sehen oder speichern keine Zahlungsdetails (Kartennummern, Rechnungsadressen, Apple-ID-Zugangsdaten). Nach dem Kauf sendet Apple uns einen Beleg, den wir serverseitig validieren, um Token dem anonymen Profil gutzuschreiben.

Wir führen einen Transaktionsdatensatz (anonyme Profil-ID, Token-Menge, Zeitstempel, Belegvalidierungsergebnis) für bis zu 10 Jahre gemäß deutschem Steuerrecht. Diese Datensätze enthalten keine personenbezogenen Daten. Informationen zum Umgang von Apple mit Zahlungsdaten finden Sie in Apples Datenschutzrichtlinie.

Gutscheincodes können über Marketingpartner oder Kampagnen verteilt werden. Bei der Einlösung wird der Code mit Ihrem anonymen Profil verknüpft, um Doppelnutzung zu verhindern. Wir erfassen die anonyme Profil-ID, den Kampagnencode und einen Zeitstempel. Es werden keine personenbezogenen Daten erhoben. Wir verwenden diese Daten zur Missbrauchsprävention, Messung der Kampagnenleistung und Berechnung von Partnerprovisionen.

13. Lokale Speicherung

Die App speichert einige Daten direkt auf Ihrem Gerät: Animationen, Szenenfortschritt, elterliche Einstellungen und Onboarding-Status. Diese Daten werden entfernt, wenn Sie die App löschen. Da wir Zeichnungen, Animationen, Beschreibungen und Fortschritt jedoch auch auf unseren Servern speichern, werden Ihre Inhalte bei Neuinstallation der App auf demselben Gerät (mit demselben Keychain) wiederhergestellt.

Wir empfehlen, fertige Animationen als zusätzliche Sicherung in Ihrer Fotogalerie zu speichern.

14. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen im Umgang mit Kinderdaten werden wir Sie in der App deutlich benachrichtigen und, wo gesetzlich vorgeschrieben, eine erneute elterliche Einwilligung einholen. Versionsnummer und Datum „Zuletzt aktualisiert" oben in diesem Dokument entsprechen stets der aktuellen Version.

15. Kontakt

Fragen zu dieser Datenschutzerklärung, Ihren Daten oder dem Datenschutz Ihres Kindes? Wir helfen gerne.

Constantin Klöcker
Friedrichstr. 155
10117 Berlin
Deutschland

E-Mail: contact@storybookadventures.io

Wenn Sie uns zu einem bestimmten Konto kontaktieren, geben Sie bitte Ihren Support-Referenzcode an (Einstellungen → Meine Daten → Datenanfrage), damit wir Ihre Daten finden können.

Diese Datenschutzerklärung ist auf Englisch und Deutsch in der App sowie unter www.storybookadventures.io verfügbar.