Splex

Privacy Policy

How this Splex instance handles personal data.

English version below

Datenschutzerklaerung

Diese Datenschutzerklaerung informiert Sie ueber die Verarbeitung personenbezogener Daten bei der Nutzung von Splex als Webanwendung und Android-App. Verantwortliche Stelle und Anbieter wird im Impressum genannt. Die Nutzungsbedingungen finden Sie unter Nutzungsbedingungen.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Stefan Ruf
Rebmannsweg 4
79539 Loerrach
Deutschland
E-Mail: splex@sterul.com

Fuer datenschutzbezogene Anfragen, Auskunftsersuchen, Berichtigungen, Loeschungen oder sonstige Anliegen koennen Sie dieselbe Kontaktadresse verwenden: splex@sterul.com. Ein gesonderter Datenschutzbeauftragter ist derzeit nicht benannt.

2. Beschreibung des Dienstes

Splex ist ein selbst gehosteter Dienst zur gemeinsamen Verwaltung und Aufteilung von Ausgaben, Gruppen, Freundschaften, Einladungen, Salden und freiwilligen Benachrichtigungen. Der Dienst ist als Webanwendung und als Android-App nutzbar.

3. Verarbeitete Daten

Bei der Nutzung des Dienstes koennen insbesondere folgende Daten verarbeitet werden:

  • Bestandsdaten wie E-Mail-Adresse, Anzeigename, Spracheinstellungen und Profilbild,
  • Authentifizierungsdaten wie Magic-Login-Codes, Login-Token, Refresh- und Access-Token,
  • Inhaltsdaten wie Gruppen, Freundschaften, Teilnehmer, Ausgaben, Zahlungsdaten, Salden und Einladungen,
  • freiwillig hochgeladene Bilder fuer Profil und Gruppen,
  • freiwillige Standortdaten bei aktivierter Standortfunktion, insbesondere Breiten- und Laengengrad sowie ggf. ein Ortsbezug bei Ausgaben,
  • technische Protokolldaten wie IP-Adresse, Zeitpunkt, aufgerufene Endpunkte und Fehlermeldungen, soweit dies fuer Sicherheit und Betrieb erforderlich ist,
  • Benachrichtigungsdaten wie Expo-Push-Token, Browser-Push-Abonnements oder fuer Android erforderliche technische Push-Kennungen.

4. Zwecke und Rechtsgrundlagen

Die Verarbeitung erfolgt zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:

  • Bereitstellung des Dienstes und Erfuellung der Nutzung des Kontos gemaess Art. 6 Abs. 1 lit. b DSGVO,
  • IT-Sicherheit, Missbrauchsabwehr, Fehleranalyse und stabile Bereitstellung gemaess Art. 6 Abs. 1 lit. f DSGVO,
  • Versand von Login-E-Mails und systembezogenen Nachrichten gemaess Art. 6 Abs. 1 lit. b DSGVO,
  • freiwillige Push-Benachrichtigungen, freiwillige Standortnutzung und freiwillige Google-Anmeldung auf Grundlage Ihrer Einwilligung bzw. Ihrer aktiven Entscheidung gemaess Art. 6 Abs. 1 lit. a DSGVO beziehungsweise Art. 6 Abs. 1 lit. b DSGVO, soweit die Funktion von Ihnen angefordert wird,
  • Erfuellung gesetzlicher Pflichten gemaess Art. 6 Abs. 1 lit. c DSGVO, soweit einschlaegig.

5. Hosting

Der Dienst wird auf privater Hardware in Deutschland betrieben. Die eigentliche Anwendung, Datenbank, hochgeladene Bilder und sonstige gespeicherte Inhaltsdaten werden auf dieser in Deutschland betriebenen Infrastruktur verarbeitet.

6. Magic-Login per E-Mail

Fuer die Anmeldung per E-Mail werden Ihre E-Mail-Adresse, technische Versanddaten und ein zeitlich befristeter Login-Code beziehungsweise Login-Link verarbeitet. Der Versand erfolgt ueber einen selbst betriebenen SMTP-Dienst auf derselben Server-Infrastruktur.

7. Google-Login

Wenn Sie den Google-Login verwenden, werden Daten an Google uebermittelt oder von Google bezogen, insbesondere Ihre Google-ID-Token-Informationen, Ihre E-Mail-Adresse, der Verifizierungsstatus der E-Mail-Adresse sowie gegebenenfalls Ihr bei Google hinterlegter Name. Zur Verifikation des von Ihnen uebermittelten Google-Tokens kommuniziert der Server mit Google-Diensten.

Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, beziehungsweise verbundene Unternehmen von Google. Eine Datenuebermittlung in Drittstaaten, insbesondere in die USA, kann dabei nicht ausgeschlossen werden.

8. Expo, Firebase und Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, verarbeitet Splex die fuer die Zustellung noetigen technischen Kennungen. Auf Android koennen hierbei Expo-Dienste sowie Google Firebase Cloud Messaging genutzt werden. Auf dem Web koennen Browser-Push-Abonnements mit VAPID-basierter Zustellung verarbeitet werden.

Je nach genutzter Plattform koennen dabei insbesondere folgende Daten an Drittanbieter uebermittelt werden:

  • Expo-Push-Token und technische Metadaten zur Zustellung von Benachrichtigungen,
  • FCM- beziehungsweise Firebase-bezogene Geraetekennungen fuer Android-Push,
  • Browser-Push-Endpunkte und kryptografische Push-Schluessel fuer Web-Push,
  • Informationen ueber erfolgreiche oder fehlgeschlagene Zustellversuche.

Expo wird von Expo, Inc., USA, bereitgestellt. Firebase Cloud Messaging wird von Google angeboten. Auch hierbei kann eine Uebermittlung personenbezogener Daten in Drittstaaten, insbesondere in die USA, stattfinden.

9. Expo Updates

Die Android-App kann Aktualisierungen ueber Expo Updates beziehen. Dabei koennen technische Informationen ueber App-Version, Plattform, Geraet und Abrufzeitpunkt an Expo uebermittelt werden, soweit dies fuer die Auslieferung der Aktualisierung erforderlich ist.

10. Standortdaten

Wenn Sie die Standortfunktion aktivieren, koennen Standortdaten Ihres Geraets verwendet werden, um Ausgaben mit einem Ortsbezug zu versehen oder standortbezogene Vorschlaege innerhalb des Dienstes zu erzeugen. Diese Nutzung ist freiwillig und kann in den Kontoeinstellungen deaktiviert werden.

11. Lokale Speicherung auf Ihrem Endgeraet

Auf Ihrem Endgeraet beziehungsweise in Ihrem Browser koennen technisch erforderliche lokale Daten gespeichert werden, etwa Zugangstoken, Spracheinstellungen, Theme-Einstellungen, Konfigurationswerte, Einladungsbezug oder Benachrichtigungspraeferenzen. Diese Speicherung dient dem sicheren Betrieb und der Nutzerfreundlichkeit des Dienstes.

12. Empfaenger und Kategorien von Empfaengern

Empfaenger Ihrer Daten koennen insbesondere sein:

  • andere von Ihnen eingeladene oder mit Ihnen gruppenbezogen verbundene Nutzerinnen und Nutzer innerhalb des Dienstes,
  • technische Dienstleister fuer Login, Updates oder Push-Zustellung, insbesondere Google, Expo oder Browser-Push-Infrastrukturen,
  • eingesetzte Mail- oder Infrastrukturkomponenten, soweit dies fuer den Betrieb erforderlich ist.

13. Drittlanduebermittlungen

Soweit Google-, Expo-, Firebase- oder browserbezogene Push-Dienste verwendet werden, kann eine Uebermittlung personenbezogener Daten in Staaten ausserhalb der Europaeischen Union beziehungsweise des EWR stattfinden, insbesondere in die USA. In solchen Faellen erfolgt die Nutzung nur, soweit dies fuer die von Ihnen gewuenschte Funktion erforderlich ist oder eine geeignete Rechtsgrundlage besteht.

14. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies fuer die Bereitstellung des Dienstes, fuer die jeweilige Funktion, zur Missbrauchsabwehr oder aufgrund gesetzlicher Aufbewahrungspflichten erforderlich ist. Kontobezogene Daten, Ausgaben und Gruppeninhalte bleiben grundsaetzlich gespeichert, bis sie geloescht, anonymisiert oder das Konto entfernt wird, soweit keine gesetzlichen Pflichten entgegenstehen. Technische Login-Codes und abgelaufene Einladungstoken werden regelmaessig entfernt.

15. Kontoloeschung

Sie koennen Ihr Konto jederzeit in den Kontoeinstellungen der App oder Webanwendung loeschen. Dabei werden Ihre kontobezogenen Daten geloescht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Alternativ koennen Sie die Loeschung formlos per E-Mail an splex@sterul.com beantragen.

16. Ihre Rechte

Sie haben nach Massgabe der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

  • Recht auf Auskunft gemaess Art. 15 DSGVO,
  • Recht auf Berichtigung gemaess Art. 16 DSGVO,
  • Recht auf Loeschung gemaess Art. 17 DSGVO,
  • Recht auf Einschraenkung der Verarbeitung gemaess Art. 18 DSGVO,
  • Recht auf Datenuebertragbarkeit gemaess Art. 20 DSGVO,
  • Recht auf Widerspruch gemaess Art. 21 DSGVO,
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung fuer die Zukunft,
  • Recht auf Beschwerde bei einer Datenschutzaufsichtsbehoerde.

17. Beschwerderecht

Sie koennen sich bei einer Datenschutzaufsichtsbehoerde beschweren, insbesondere in dem Mitgliedstaat Ihres gewoehnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmasslichen Verstosses.

18. Hinweise zur Kommunikation per E-Mail

Die Kommunikation per E-Mail kann Sicherheitsluecken aufweisen. Wenn Sie vertrauliche Inhalte uebermitteln moechten, sollten Sie einen sicheren Kommunikationsweg abstimmen.

19. Stand

Stand: Mai 2026

Privacy Policy

This privacy policy informs you about the processing of personal data when using Splex as a web application and Android app. The responsible operator is named in the Legal Notice. The terms of service are available at Terms of Service.

1. Controller

The controller within the meaning of Article 4 No. 7 GDPR is:

Stefan Ruf
Rebmannsweg 4
79539 Loerrach
Germany
Email: splex@sterul.com

For privacy-related requests, access requests, rectification, deletion or other concerns, please use: splex@sterul.com. No separate data protection officer is currently designated.

2. Description of the Service

Splex is a self-hosted service for managing and splitting expenses, groups, friendships, invitations, balances and optional notifications. The service can be used as a web application and as an Android app.

3. Data Processed

The following categories of personal data may be processed when you use the service:

  • account data such as email address, display name, language settings and profile image,
  • authentication data such as magic login codes, login tokens, refresh tokens and access tokens,
  • content data such as groups, friendships, participants, expenses, payment information, balances and invitations,
  • voluntarily uploaded profile and group images,
  • optional location data if the location feature is enabled, including latitude, longitude and related place information for expenses,
  • technical log data such as IP address, timestamps, accessed endpoints and error messages where required for security and operation,
  • notification data such as Expo push tokens, browser push subscriptions or other technical identifiers required for push delivery.

4. Purposes and Legal Bases

Data is processed for the following purposes and legal bases:

  • providing the service and enabling account use under Article 6(1)(b) GDPR,
  • IT security, prevention of abuse, error analysis and stable operation under Article 6(1)(f) GDPR,
  • sending login emails and system-related messages under Article 6(1)(b) GDPR,
  • optional push notifications, optional location features and optional Google login based on your consent or your active request under Article 6(1)(a) GDPR or Article 6(1)(b) GDPR where applicable,
  • compliance with legal obligations under Article 6(1)(c) GDPR where applicable.

5. Hosting

The service is hosted on private hardware located in Germany. The application itself, the database, uploaded images and the stored content data are processed on infrastructure operated in Germany.

6. Magic Login by Email

If you use email login, your email address, technical sending data and a time-limited login code or login link are processed. Emails are sent through a self-hosted SMTP service on the same server infrastructure.

7. Google Login

If you use Google login, data is transmitted to or obtained from Google, especially your Google ID token information, your email address, the verification status of your email address and, where available, your Google profile name. The server communicates with Google services to validate the token you submit.

The provider is Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, and/or affiliated Google entities. Transfers of personal data to third countries, especially the United States, cannot be ruled out in this context.

8. Expo, Firebase and Push Notifications

If you enable push notifications, Splex processes the technical identifiers required for delivery. On Android, this may involve Expo services and Google Firebase Cloud Messaging. On the web, browser push subscriptions may be processed using VAPID-based delivery.

The following data may in particular be transmitted to third parties depending on the platform you use:

  • Expo push tokens and technical metadata needed for notification delivery,
  • FCM or Firebase-related device identifiers for Android push,
  • browser push endpoints and cryptographic push keys for web push,
  • information about successful or failed delivery attempts.

Expo is provided by Expo, Inc., USA. Firebase Cloud Messaging is provided by Google. In these cases, personal data may also be transferred to third countries, especially the United States.

9. Expo Updates

The Android app may receive updates through Expo Updates. This may require transmitting technical information such as app version, platform, device type and request time to Expo for update delivery.

10. Location Data

If you enable location features, your device location may be used to attach location data to expenses or to generate location-related suggestions within the service. This feature is voluntary and can be disabled in the account settings.

11. Local Storage on Your Device

Your device or browser may locally store technically necessary data such as access tokens, language preferences, theme settings, configuration values, pending invitation context and notification preferences. This storage is used for secure operation and usability of the service.

12. Recipients and Categories of Recipients

Recipients of your data may include in particular:

  • other users invited by you or linked to you in groups within the service,
  • technical service providers for login, update delivery or push delivery, especially Google, Expo or browser push infrastructures,
  • email or infrastructure components used to operate the service where required.

13. International Transfers

Where Google, Expo, Firebase or browser-related push services are used, personal data may be transferred to countries outside the European Union or the EEA, especially the United States. Such services are only used where necessary for the feature you requested or where another appropriate legal basis exists.

14. Retention Period

Personal data is stored only for as long as necessary to provide the service, enable the respective function, prevent abuse or comply with legal retention requirements. Account-related data, expenses and group content are generally kept until deleted, anonymised or the account is removed, unless statutory obligations require longer retention. Technical login codes and expired invitation tokens are removed on a regular basis.

15. Account Deletion

You can delete your account at any time in the account settings of the app or web application. Your account-related data will then be deleted or anonymised, unless legal retention obligations require longer storage. Alternatively, you can request deletion informally by email to splex@sterul.com.

16. Your Rights

Subject to the statutory requirements, you have the following rights in particular:

  • right of access under Article 15 GDPR,
  • right to rectification under Article 16 GDPR,
  • right to erasure under Article 17 GDPR,
  • right to restriction of processing under Article 18 GDPR,
  • right to data portability under Article 20 GDPR,
  • right to object under Article 21 GDPR,
  • right to withdraw any consent with future effect,
  • right to lodge a complaint with a supervisory authority.

17. Right to Lodge a Complaint

You have the right to lodge a complaint with a data protection supervisory authority, in particular in the Member State of your habitual residence, place of work or the place of the alleged infringement.

18. Communication by Email

Communication by email may have security vulnerabilities. If you want to send confidential information, please coordinate a secure communication method first.

19. Version

Version: May 2026