Eggspence - Privacy Policy

Last Updated: July 3, 2025 | Effective Date: July 3, 2025

1. INTRODUCTION

Welcome to Eggspence, an expense sharing and bill splitting application. This Privacy Policy explains how we collect, use, share, and protect your personal information when you use our mobile application and related services.

                Data Controller:

                Name: Tobias Hohendanner

                Email: support@eggspence.com

We are committed to protecting your privacy and ensuring transparency about our data practices. This policy applies to all users regardless of location and complies with the EU General Data Protection Regulation (GDPR), California Consumer Privacy Act (CCPA), and Austrian data protection laws.

2. INFORMATION WE COLLECT

2.1 Information You Provide Directly

Account Information: Email address, username, phone number, profile picture
Expense Data: Expense amounts, descriptions, categories, dates, currency, participants, and cost-sharing arrangements
Receipt Images: Photos of receipts you upload (stored with metadata including potential location data)
Group Information: Group names, descriptions, member lists, and group settings

2.2 Information Collected Automatically

Technical Information:

Device information (model, operating system, version, manufacturer)
App version and usage statistics
IP address (may be anonymized)
Device identifiers (iOS IDFV, Android GAID where applicable)
Firebase Installation ID (FID)
Network type (WiFi/cellular)
Time zone and language settings
Screen resolution

Usage Information:

App interactions and feature usage
Session duration and frequency
Crash reports and error logs
Performance diagnostics

Advertising Information (Free Version):

Advertising IDs (GAID/IDFA) for personalized ads
Ad engagement metrics
Publisher-first-party ID for ad optimization

2.3 Information from Third Parties

Social Login Data: When using Google or Apple sign-in, we receive your email address and basic profile information as permitted by these services
Contact Import: Contact information when you choose to invite others via SMS or email (processed locally on your device)

3. HOW WE USE YOUR INFORMATION

3.1 Primary Purposes (Legal Basis: Contract Performance - Art. 6(1)(b) GDPR)

Provide core expense tracking and bill splitting functionality
Manage user accounts and authentication
Enable group creation and expense sharing
Process OCR text recognition on receipts (performed locally using Google ML Kit)
Facilitate expense settlement and record keeping

3.2 Secondary Purposes

Product Improvement (Legal Basis: Legitimate Interest - Art. 6(1)(f) GDPR)

Analyze app usage to improve features and user experience
Identify and fix technical issues
Develop new features and services

Communication (Legal Basis: Legitimate Interest - Art. 6(1)(f) GDPR)

Provide customer support
Send important service updates and security notices

Advertising (Free Version) (Legal Basis: Consent - Art. 6(1)(a) GDPR)

Display personalized advertisements through Google AdMob
Measure ad performance and engagement

Subscription Management (Legal Basis: Contract Performance - Art. 6(1)(b) GDPR)

Process ad-free subscription payments through RevenueCat
Manage subscription status and billing

4. INFORMATION SHARING AND DISCLOSURE

4.1 Third-Party Service Providers

Google Firebase/Cloud Services:

Purpose: App infrastructure, data storage, user authentication
Data Shared: User account data, expense information, technical data
Location: USA (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043)
Safeguards: EU-US Data Privacy Framework, Standard Contractual Clauses
DPA: Available at firebase.google.com/terms/data-processing-terms

Google Analytics for Firebase:

Purpose: Usage analytics and app performance monitoring
Data Shared: Pseudonymized usage data, device information, engagement metrics
Retention: 2 months for events, 14 months for audiences
Control: Analytics can be disabled in app settings

Google AdMob (Free Version Only):

Purpose: Serving personalized advertisements
Data Shared: Advertising IDs, device information, IP address, engagement data
Location: USA
Control: Personalized ads can be disabled; upgrade to ad-free version

Firebase Crashlytics:

Purpose: Crash reporting and app stability monitoring
Data Shared: Crash logs, device information, app state data
Retention: 90 days before automatic deletion
Data Protection: No personally identifiable information in crash reports

RevenueCat:

Purpose: Subscription management and payment processing
Data Shared: Anonymous user IDs, subscription status, transaction data
Location: USA (primary servers in Brandon, Florida)
Safeguards: EU Standard Contractual Clauses, data encryption
DPA: Available at revenuecat.com/dpa

4.2 Legal Disclosure

We may disclose information when required by law, court order, or to protect our rights, users' safety, or comply with legal processes.

4.3 Business Transfers

In case of merger, acquisition, or sale of assets, user data may be transferred as part of the transaction, subject to equivalent privacy protections.

5. DATA RETENTION

Account Data: Retained while your account is active plus 30 days after deletion
Expense Data: Retained while your account exists or as long as you choose to keep them
Receipt Images: Same retention as expense data
Technical Logs: Maximum 90 days, then anonymized or deleted
Subscription Data: Retained for billing and tax compliance as legally required

6. DATA SECURITY

We implement appropriate technical and organizational measures to protect your data:

Encryption: Data encrypted in transit (TLS) and at rest
Access Control: Restricted access to personal data for authorized personnel only
Regular Security Reviews: Ongoing monitoring and security assessments
Secure Infrastructure: Hosted on Google Cloud with enterprise-grade security

7. YOUR PRIVACY RIGHTS

7.1 EU/GDPR Rights

If you're in the EU/EEA, you have the following rights:

Access: Request copies of your personal data
Rectification: Correct inaccurate or incomplete data
Erasure: Request deletion of your data ("right to be forgotten")
Portability: Receive your data in a machine-readable format
Restriction: Limit processing of your data
Objection: Object to processing based on legitimate interests
Withdraw Consent: Withdraw consent for consent-based processing

7.2 California/CCPA Rights

If you're a California resident, you have rights to:

Know: What personal information we collect, use, share, and sell
Delete: Request deletion of your personal information
Opt-Out: Opt out of the "sale" or "sharing" of personal information
Non-Discrimination: Equal service regardless of privacy choices
Correct: Correct inaccurate personal information

                Important: We do not "sell" personal information as traditionally understood. However, our use of advertising services may constitute "sharing" under CCPA definitions.
            

7.3 Exercise Your Rights

To exercise any of these rights:

Email: support@eggspence.com
Subject Line: "Privacy Rights Request"
Response Time: Within 30 days (EU) or 45 days (California)
Identity Verification: May be required for security purposes

8. CHILDREN'S PRIVACY

Our app is intended for users 13 years and older. We do not knowingly collect personal information from children under 13. If you believe we have collected information from a child under 13, please contact us immediately.

For users aged 13-16 in the EU: Where required by local law, we verify parental consent before processing personal data.

9. INTERNATIONAL DATA TRANSFERS

Your data may be transferred to and processed in countries outside your residence, including the United States. We ensure appropriate safeguards through:

EU-US Data Privacy Framework (for certified US companies)
Standard Contractual Clauses approved by the European Commission
Adequacy Decisions for transfers to countries with adequate data protection

10. COOKIES AND TRACKING

10.1 Mobile App

Our mobile app uses:

Essential Identifiers: For app functionality and user authentication
Analytics SDKs: Firebase Analytics for usage measurement
Advertising SDKs: AdMob for ad serving (free version only)

10.2 Website (eggspence.com)

Our website uses:

Necessary Cookies: Essential for website functionality
Analytics Cookies: Google Analytics for website performance
Preference Cookies: Remember your settings and preferences

11. PRIVACY POLICY UPDATES

We may update this Privacy Policy periodically. Material changes will be communicated through:

In-app notification upon next app launch
Website notice on our privacy policy page
Email notification for significant changes (where we have your email)

12. CONTACT INFORMATION

                Data Protection Inquiries:
                Email: support@eggspence.com

                Response Time: Within 30 days
            

                Supervisory Authority (Austria):
                Austrian Data Protection Authority (DSB)

                Address: Barichgasse 40-42, 1030 Vienna, Austria

                Website: dsb.gv.at

                Phone: +43 1 52 152-0

                California Privacy Rights:
                For California-specific requests: support@eggspence.com with "CCPA Request" in the subject line.
            

Letzte Aktualisierung: 3. Juli 2025 | Inkrafttreten: 3. Juli 2025

1. EINFÜHRUNG

Willkommen bei Eggspence, einer Anwendung zum Teilen von Ausgaben und Aufteilen von Rechnungen. Diese Datenschutzerklärung erklärt, wie wir Ihre personenbezogenen Daten erheben, verwenden, weitergeben und schützen, wenn Sie unsere mobile Anwendung und die damit verbundenen Dienste nutzen.

                Verantwortlicher:

                Name: Tobias Hohendanner

                E-Mail: support@eggspence.com

Wir sind dem Schutz Ihrer Privatsphäre verpflichtet und sorgen für Transparenz bezüglich unserer Datenverarbeitungspraktiken. Diese Erklärung gilt für alle Nutzer unabhängig vom Standort und entspricht der EU-Datenschutz-Grundverordnung (DSGVO), dem kalifornischen Verbraucherdatenschutzgesetz (CCPA) und den österreichischen Datenschutzgesetzen.

2. DATEN, DIE WIR ERHEBEN

2.1 Daten, die Sie direkt bereitstellen

Kontoinformationen: E-Mail-Adresse, Benutzername, Telefonnummer, Profilbild
Ausgabendaten: Ausgabenbeträge, Beschreibungen, Kategorien, Daten, Währung, Teilnehmer und Kostenaufteilungen
Belegbilder: Fotos von Belegen, die Sie hochladen (gespeichert mit Metadaten einschließlich möglicher Standortdaten)
Gruppeninformationen: Gruppennamen, Beschreibungen, Mitgliederlisten und Gruppeneinstellungen

2.2 Automatisch erhobene Daten

Technische Informationen:

Geräteinformationen (Modell, Betriebssystem, Version, Hersteller)
App-Version und Nutzungsstatistiken
IP-Adresse (kann anonymisiert werden)
Gerätekennungen (iOS IDFV, Android GAID falls zutreffend)
Firebase Installation ID (FID)
Netzwerktyp (WLAN/Mobilfunk)
Zeitzone und Spracheinstellungen
Bildschirmauflösung

Nutzungsinformationen:

App-Interaktionen und Feature-Nutzung
Sitzungsdauer und -häufigkeit
Absturzberichte und Fehlerlogs
Leistungsdiagnostik

Werbeinformationen (Kostenlose Version):

Werbe-IDs (GAID/IDFA) für personalisierte Werbung
Anzeigen-Interaktionsmetriken
Publisher-First-Party-ID für Anzeigenoptimierung

2.3 Daten von Dritten

Social Login-Daten: Bei Verwendung von Google- oder Apple-Anmeldung erhalten wir Ihre E-Mail-Adresse und grundlegende Profilinformationen, wie von diesen Diensten erlaubt
Kontaktimport: Kontaktinformationen, wenn Sie andere per SMS oder E-Mail einladen (lokal auf Ihrem Gerät verarbeitet)

3. WIE WIR IHRE DATEN VERWENDEN

3.1 Hauptzwecke (Rechtsgrundlage: Vertragserfüllung - Art. 6 Abs. 1 lit. b DSGVO)

Bereitstellung der Kernfunktionen für Ausgabenverfolgung und Rechnungsaufteilung
Verwaltung von Benutzerkonten und Authentifizierung
Ermöglichung der Gruppenerstellung und des Ausgabenteilens
Verarbeitung der OCR-Texterkennung auf Belegen (lokal mit Google ML Kit durchgeführt)
Unterstützung der Ausgabenabrechnung und Aufzeichnung

3.2 Sekundäre Zwecke

Produktverbesserung (Rechtsgrundlage: Berechtigtes Interesse - Art. 6 Abs. 1 lit. f DSGVO)

Analyse der App-Nutzung zur Verbesserung von Features und Benutzererfahrung
Identifizierung und Behebung technischer Probleme
Entwicklung neuer Features und Dienste

Kommunikation (Rechtsgrundlage: Berechtigtes Interesse - Art. 6 Abs. 1 lit. f DSGVO)

Bereitstellung von Kundensupport
Versendung wichtiger Dienstmitteilungen und Sicherheitshinweise

Werbung (Kostenlose Version) (Rechtsgrundlage: Einwilligung - Art. 6 Abs. 1 lit. a DSGVO)

Anzeige personalisierter Werbung über Google AdMob
Messung der Anzeigenleistung und -interaktion

Abonnementverwaltung (Rechtsgrundlage: Vertragserfüllung - Art. 6 Abs. 1 lit. b DSGVO)

Verarbeitung werbefreier Abonnementzahlungen über RevenueCat
Verwaltung von Abonnementstatus und Abrechnung

4. DATENWEITERGABE UND OFFENLEGUNG

4.1 Drittanbieter-Dienstleister

Google Firebase/Cloud-Dienste:

Zweck: App-Infrastruktur, Datenspeicherung, Benutzerauthentifizierung
Geteilte Daten: Benutzerkontodaten, Ausgabeninformationen, technische Daten
Standort: USA (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043)
Schutzmaßnahmen: EU-US Data Privacy Framework, Standardvertragsklauseln
AVV: Verfügbar unter firebase.google.com/terms/data-processing-terms

Google Analytics für Firebase:

Zweck: Nutzungsanalyse und App-Leistungsüberwachung
Geteilte Daten: Pseudonymisierte Nutzungsdaten, Geräteinformationen, Interaktionsmetriken
Aufbewahrung: 2 Monate für Ereignisse, 14 Monate für Zielgruppen
Kontrolle: Analytics können in den App-Einstellungen deaktiviert werden

Google AdMob (nur kostenlose Version):

Zweck: Bereitstellung personalisierter Werbung
Geteilte Daten: Werbe-IDs, Geräteinformationen, IP-Adresse, Interaktionsdaten
Standort: USA
Kontrolle: Personalisierte Werbung kann deaktiviert werden; Upgrade auf werbefreie Version

Firebase Crashlytics:

Zweck: Absturzberichterstattung und App-Stabilitätsüberwachung
Geteilte Daten: Absturzlogs, Geräteinformationen, App-Zustandsdaten
Aufbewahrung: 90 Tage vor automatischer Löschung
Datenschutz: Keine personenbezogenen Daten in Absturzberichten

RevenueCat:

Zweck: Abonnementverwaltung und Zahlungsverarbeitung
Geteilte Daten: Anonyme Benutzer-IDs, Abonnementstatus, Transaktionsdaten
Standort: USA (Hauptserver in Brandon, Florida)
Schutzmaßnahmen: EU-Standardvertragsklauseln, Datenverschlüsselung
AVV: Verfügbar unter revenuecat.com/dpa

4.2 Rechtliche Offenlegung

Wir können Informationen offenlegen, wenn dies gesetzlich vorgeschrieben ist, durch Gerichtsbeschluss oder zum Schutz unserer Rechte, der Sicherheit der Nutzer oder zur Einhaltung rechtlicher Verfahren.

4.3 Unternehmensübertragungen

Bei Fusion, Übernahme oder Verkauf von Vermögenswerten können Nutzerdaten als Teil der Transaktion übertragen werden, vorbehaltlich gleichwertiger Datenschutzbestimmungen.

5. DATENSPEICHERUNG

Kontodaten: Aufbewahrt, solange Ihr Konto aktiv ist, plus 30 Tage nach Löschung
Ausgabendaten: Aufbewahrt, solange Ihr Konto besteht oder solange Sie sie behalten möchten
Belegbilder: Gleiche Aufbewahrung wie Ausgabendaten
Technische Logs: Maximum 90 Tage, dann anonymisiert oder gelöscht
Abonnementdaten: Aufbewahrt für Abrechnungs- und Steuerkonformität, wie gesetzlich erforderlich

6. DATENSICHERHEIT

Wir implementieren angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

Verschlüsselung: Daten verschlüsselt bei Übertragung (TLS) und im Ruhezustand
Zugriffskontrolle: Beschränkter Zugang zu personenbezogenen Daten nur für autorisiertes Personal
Regelmäßige Sicherheitsüberprüfungen: Laufende Überwachung und Sicherheitsbewertungen
Sichere Infrastruktur: Gehostet auf Google Cloud mit Sicherheit auf Unternehmensniveau

7. IHRE DATENSCHUTZRECHTE

7.1 EU/DSGVO-Rechte

Wenn Sie sich in der EU/im EWR befinden, haben Sie folgende Rechte:

Auskunft: Kopien Ihrer personenbezogenen Daten anfordern
Berichtigung: Unrichtige oder unvollständige Daten korrigieren
Löschung: Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden")
Datenübertragbarkeit: Ihre Daten in maschinenlesbarem Format erhalten
Einschränkung: Verarbeitung Ihrer Daten einschränken
Widerspruch: Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
Einwilligung widerrufen: Einwilligung für einwilligungsbasierte Verarbeitung widerrufen

7.2 Kalifornien/CCPA-Rechte

Wenn Sie Einwohner Kaliforniens sind, haben Sie Rechte auf:

Wissen: Welche personenbezogenen Daten wir erheben, verwenden, weitergeben und verkaufen
Löschung: Löschung Ihrer personenbezogenen Daten verlangen
Opt-Out: Austritt aus dem "Verkauf" oder "Teilen" personenbezogener Daten
Nicht-Diskriminierung: Gleichberechtigter Service unabhängig von Datenschutzentscheidungen
Korrektur: Unrichtige personenbezogene Daten korrigieren

                Wichtig: Wir "verkaufen" keine personenbezogenen Daten im herkömmlichen Sinne. Jedoch kann unsere Nutzung von Werbediensten als "Teilen" unter CCPA-Definitionen gelten.
            

7.3 Ausübung Ihrer Rechte

Um diese Rechte auszuüben:

E-Mail: support@eggspence.com
Betreff: "Datenschutzrechte-Anfrage"
Antwortzeit: Innerhalb von 30 Tagen (EU) oder 45 Tagen (Kalifornien)
Identitätsverifikation: Kann aus Sicherheitsgründen erforderlich sein

8. KINDERDATENSCHUTZ

Unsere App ist für Nutzer ab 13 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren. Wenn Sie glauben, dass wir Daten von einem Kind unter 13 Jahren erhoben haben, kontaktieren Sie uns bitte umgehend.

Für Nutzer im Alter von 13-16 in der EU: Wo dies nach lokalem Recht erforderlich ist, verifizieren wir die elterliche Einwilligung vor der Verarbeitung personenbezogener Daten.

9. INTERNATIONALE DATENÜBERTRAGUNGEN

Ihre Daten können in Länder außerhalb Ihres Wohnsitzes übertragen und verarbeitet werden, einschließlich der Vereinigten Staaten. Wir gewährleisten angemessene Schutzmaßnahmen durch:

EU-US Data Privacy Framework (für zertifizierte US-Unternehmen)
Standardvertragsklauseln genehmigt von der Europäischen Kommission
Angemessenheitsbeschlüsse für Übertragungen in Länder mit angemessenem Datenschutz

10. COOKIES UND TRACKING

10.1 Mobile App

Unsere mobile App verwendet:

Wesentliche Kennungen: Für App-Funktionalität und Benutzerauthentifizierung
Analytics SDKs: Firebase Analytics für Nutzungsmessung
Werbe-SDKs: AdMob für Anzeigenbereitstellung (nur kostenlose Version)

10.2 Website (eggspence.com)

Unsere Website verwendet:

Notwendige Cookies: Wesentlich für Website-Funktionalität
Analytics-Cookies: Google Analytics für Website-Leistung
Präferenz-Cookies: Merken sich Ihre Einstellungen und Präferenzen

11. UPDATES DER DATENSCHUTZERKLÄRUNG

Wir können diese Datenschutzerklärung regelmäßig aktualisieren. Wesentliche Änderungen werden kommuniziert durch:

In-App-Benachrichtigung beim nächsten App-Start
Website-Hinweis auf unserer Datenschutzerklärungsseite
E-Mail-Benachrichtigung bei bedeutenden Änderungen (wenn wir Ihre E-Mail haben)

12. KONTAKTINFORMATIONEN

                Datenschutzanfragen:
                E-Mail: support@eggspence.com

                Antwortzeit: Innerhalb von 30 Tagen
            

                Aufsichtsbehörde (Österreich):
                Österreichische Datenschutzbehörde (DSB)

                Anschrift: Barichgasse 40-42, 1030 Wien, Österreich

                Website: dsb.gv.at

                Telefon: +43 1 52 152-0

                Kalifornische Datenschutzrechte:
                Für kalifornien-spezifische Anfragen: support@eggspence.com mit "CCPA-Anfrage" im Betreff.
            