The short version. Step Town reads the step count from your phone's health system so you can earn coins in a game. We store a small profile (display name, town progress, friends list, gift history) in Firebase so it syncs across devices. We use Firebase Crashlytics to find bugs. We do not run ads, we do not sell data, and we do not share your Health data with anyone for advertising or marketing.
1. Who we are
Step Town is a single-developer project operated as a sole proprietorship by:
Friedrich Henle
Leuchtenberger Kirchweg 50a
40489 Düsseldorf
Germany
Email: henlefreddy@gmail.com
We are the data controller (verantwortliche Stelle) under Article 4(7) GDPR for everything described in this policy.
2. Data we process
2.1 Health data (step count)
On iOS we read your daily step count from Apple HealthKit. On Android we read it from Android Health Connect or the on-device step sensor. We only read the daily step count — we do not read heart rate, sleep, workouts, weight, distance, calories, or any other health record, and we do not write anything back to your health store.
The number of steps you walked each day is then stored in our database as a small record per day (e.g. 2026-05-14: 7,832 steps, 432 coins earned).
2.2 Account data
- Anonymous user ID generated by Firebase Authentication on first launch.
- Sign in with Apple or Sign in with Google identifier when you choose to link your account, so your village survives a reinstall or device change. Apple Sign-In gives us a relay email; we never see your real Apple ID email unless you choose to share it.
- Display name and friend code you create in the app.
2.3 Game data
- Town Hall level, buildings placed, villager population, coin balance, lifetime steps, lifetime coins.
- Friends list (the friend codes you have added), pending and claimed gifts, gift counters.
- A public projection of the above (display name, town hall level, population, friend code) which other signed-in players can see when you become friends or appear in shared leaderboards.
2.4 Diagnostics
- Crash reports via Firebase Crashlytics: a stack trace, operating system version, device model, app version, and the anonymous user ID at the moment of crash.
- Server logs for our Cloud Functions (gift sending, account deletion) containing the user ID and the action performed.
2.5 What we do not collect
- We do not collect your name, email address, phone number, postal address, or any other PII unless you explicitly send it to henlefreddy@gmail.com.
- We do not collect precise location data.
- We do not collect contacts.
- We do not include any advertising SDK and we do not use any analytics SDK for behavioural tracking.
3. Why we process it (legal basis)
- Performance of a contract (Art. 6(1)(b) GDPR) — to provide the game itself: convert your steps to coins, sync your village across devices, deliver friend gifts. Without this data the app cannot function.
- Legitimate interest (Art. 6(1)(f) GDPR) — to operate, secure, and improve the service. Crash reports and server logs fall here. Our interest is keeping the app working; the data involved is minimal and you can opt out by uninstalling.
- Explicit consent for special-category data (Art. 9(2)(a) GDPR) — health data (step counts) is a special category under GDPR. We ask for HealthKit / Health Connect permission inside the app; you can revoke it at any time from your phone's Settings.
4. Service providers we use
To run the app we rely on a small number of processors. We have data processing agreements (DPA) with each of them as required by Art. 28 GDPR.
- Google Ireland Ltd. — Firebase (Authentication, Firestore database, Cloud Functions, Crashlytics, Cloud Storage). Hosting is on Google Cloud infrastructure (multi-region, currently us-central1 for Cloud Functions; data may also be replicated to other Google regions). Google's terms: firebase.google.com/terms/data-processing-terms.
- Apple Inc. — HealthKit, Sign in with Apple, App Store. Health data is read on-device and never transmitted to Apple by us. Apple's privacy policy: apple.com/legal/privacy.
- Google LLC — Android Health Connect, Sign in with Google, Google Play. Google's privacy policy: policies.google.com/privacy.
We do not share your data with anyone else and we never sell data.
5. How long we keep your data
- Account, game, and friends data: for as long as you keep the app installed and signed in. If you delete your account from inside the app (Settings → Delete Account), all of it is purged from our database within minutes.
- Crash reports: retained by Firebase Crashlytics for 90 days, then automatically deleted.
- Server logs: retained for 30 days, then automatically deleted.
- Backups: Firestore performs internal backups managed by Google with rolling retention up to 7 days, after which deleted data is unrecoverable.
6. Your rights
Under GDPR you have the right to:
- Access the personal data we hold about you (Art. 15).
- Rectify inaccurate data (Art. 16). You can change your display name in Settings.
- Erase your data (Art. 17). Use Settings → Delete Account, or email us.
- Restrict processing (Art. 18).
- Data portability (Art. 20) — request a copy of your data.
- Object to processing based on legitimate interest (Art. 21).
- Withdraw consent at any time, by disabling HealthKit / Health Connect permission and uninstalling the app.
- Complain to a supervisory authority. For Step Town this is the data protection authority of the German federal state of North Rhine-Westphalia: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW.
To exercise any right, email henlefreddy@gmail.com. We respond within 30 days.
7. Account deletion
Open the app, tap Settings → Delete Account. We will immediately:
- Delete your user record, town, buildings, coins, step history, and gift history.
- Remove your entry from every friend's list.
- Delete the public profile mirror (display name, town hall level) other players can see.
- Delete your Firebase Auth account.
If you cannot access the app, email henlefreddy@gmail.com with the friend code visible in your profile and we will delete the account manually.
8. Children
Step Town is rated 4+ on the App Store and PEGI 3 on Google Play. The game does not contain ads, in-app purchases, or open chat. We do not knowingly collect data from children under 13 (under 16 in the EU). If you are a parent or guardian and believe your child has provided data without your consent, email henlefreddy@gmail.com and we will delete the account on receipt.
9. International transfers
Firebase services are operated by Google. Some processing occurs on servers in the United States. Where personal data is transferred outside the European Economic Area, the transfer is covered by Google's EU Standard Contractual Clauses and Google's adherence to the EU–US Data Privacy Framework.
10. Changes to this policy
If we materially change this policy we will update the "Last updated" date at the top and, where required by law, notify you in-app. Continued use of Step Town after a change means you accept the new policy.
Die Kurzfassung. Step Town liest deinen Schrittzähler aus dem Gesundheitssystem deines Smartphones, damit du im Spiel Münzen verdienen kannst. Wir speichern ein kleines Profil (Anzeigename, Dorf-Fortschritt, Freundesliste, Geschenkverlauf) in Firebase, damit dein Stand zwischen Geräten synchron bleibt. Über Firebase Crashlytics finden wir Programmfehler. Wir zeigen keine Werbung, verkaufen keine Daten und geben deine Gesundheitsdaten niemals zu Werbe- oder Marketingzwecken weiter.
1. Wer wir sind
Step Town ist ein Ein-Personen-Projekt und wird als Einzelunternehmen betrieben von:
Friedrich Henle
Leuchtenberger Kirchweg 50a
40489 Düsseldorf
Deutschland
E-Mail: henlefreddy@gmail.com
Wir sind die verantwortliche Stelle im Sinne von Art. 4 Nr. 7 DSGVO für die in dieser Erklärung beschriebene Datenverarbeitung.
2. Welche Daten wir verarbeiten
2.1 Gesundheitsdaten (Schrittzahl)
Auf iOS lesen wir deine tägliche Schrittzahl über Apple HealthKit. Auf Android lesen wir sie über Android Health Connect oder den geräteinternen Schrittsensor. Wir lesen ausschließlich die tägliche Schrittzahl — keine Herzfrequenz, keinen Schlaf, keine Workouts, kein Gewicht, keine Distanz, keine Kalorien — und wir schreiben nichts in deinen Gesundheitsdatenspeicher zurück.
Deine tägliche Schrittzahl wird in unserer Datenbank als kleiner Tageseintrag gespeichert (z. B. 2026-05-14: 7.832 Schritte, 432 Münzen verdient).
2.2 Kontodaten
- Anonyme Nutzer-ID, die Firebase Authentication beim ersten Start erzeugt.
- Sign in with Apple oder Sign in with Google, falls du dein Konto verknüpfst, damit dein Dorf eine Neuinstallation oder einen Gerätewechsel überlebt. Apple Sign-In gibt uns nur eine Relay-E-Mail-Adresse; deine echte Apple-ID-E-Mail erfahren wir nie, außer du teilst sie selbst.
- Anzeigename und Freundescode, die du in der App erstellst.
2.3 Spieldaten
- Rathauslevel, platzierte Gebäude, Dorfbevölkerung, Münzstand, Gesamt-Schritte, Gesamt-Münzen.
- Freundesliste (deine hinzugefügten Freundescodes), offene und eingelöste Geschenke, Geschenkzähler.
- Eine öffentliche Projektion der vorgenannten Felder (Anzeigename, Rathauslevel, Bevölkerung, Freundescode), die andere angemeldete Spielende sehen können, wenn ihr befreundet seid oder gemeinsam in einer Bestenliste erscheint.
2.4 Diagnosedaten
- Absturzberichte über Firebase Crashlytics: Stack-Trace, Betriebssystemversion, Gerätemodell, App-Version und die anonyme Nutzer-ID zum Zeitpunkt des Absturzes.
- Server-Logs unserer Cloud Functions (Geschenke verschicken, Konto löschen) mit Nutzer-ID und ausgeführter Aktion.
2.5 Was wir nicht erheben
- Wir erheben weder deinen Klarnamen, deine E-Mail-Adresse, Telefonnummer, Postanschrift noch andere personenbezogene Daten, es sei denn, du sendest sie uns ausdrücklich an henlefreddy@gmail.com.
- Wir erheben keinen Standort.
- Wir lesen keine Kontakte aus.
- Wir binden keine Werbe-SDKs ein und nutzen keine Analytics-SDKs zum Verhaltens-Tracking.
3. Zwecke und Rechtsgrundlagen
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Bereitstellung des Spiels selbst: Schritte in Münzen umwandeln, dein Dorf zwischen Geräten synchronisieren, Geschenke an Freunde zustellen. Ohne diese Daten funktioniert die App nicht.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Betrieb, Sicherheit und Verbesserung des Dienstes. Hierunter fallen Absturzberichte und Server-Logs. Unser Interesse besteht im stabilen Betrieb der App; die Datenmenge ist minimal und du kannst durch Deinstallation widersprechen.
- Ausdrückliche Einwilligung für Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO) — Schritte zählen als besondere Kategorie personenbezogener Daten. Wir fragen die HealthKit- bzw. Health-Connect-Berechtigung in der App ab; du kannst sie jederzeit in den Systemeinstellungen widerrufen.
4. Auftragsverarbeiter
Wir nutzen eine kleine Zahl von Dienstleistern. Mit jedem davon besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
- Google Ireland Ltd. — Firebase (Authentication, Firestore-Datenbank, Cloud Functions, Crashlytics, Cloud Storage). Das Hosting läuft auf Google-Cloud-Infrastruktur (multi-region, Cloud Functions derzeit in us-central1; Daten können in weiteren Google-Regionen repliziert werden). Vertragsgrundlage: firebase.google.com/terms/data-processing-terms.
- Apple Inc. — HealthKit, Sign in with Apple, App Store. Gesundheitsdaten werden auf dem Gerät gelesen und von uns nicht an Apple übermittelt. Datenschutzerklärung: apple.com/legal/privacy.
- Google LLC — Android Health Connect, Sign in with Google, Google Play. Datenschutzerklärung: policies.google.com/privacy.
Wir geben deine Daten an niemanden sonst weiter und verkaufen keine Daten.
5. Speicherdauer
- Konto-, Spiel- und Freundesdaten: solange die App installiert ist und du angemeldet bist. Löschst du dein Konto in der App (Einstellungen → Konto löschen), wird alles binnen weniger Minuten aus unserer Datenbank entfernt.
- Absturzberichte: 90 Tage Speicherung bei Firebase Crashlytics, danach automatische Löschung.
- Server-Logs: 30 Tage Speicherung, danach automatische Löschung.
- Backups: Firestore erstellt interne Backups durch Google mit rollierender Aufbewahrung von bis zu 7 Tagen; danach sind gelöschte Daten nicht wiederherstellbar.
6. Deine Rechte
Nach der DSGVO hast du das Recht auf:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15).
- Berichtigung unrichtiger Daten (Art. 16). Deinen Anzeigenamen kannst du in den App-Einstellungen ändern.
- Löschung deiner Daten (Art. 17). Nutze Einstellungen → Konto löschen oder schreibe uns.
- Einschränkung der Verarbeitung (Art. 18).
- Datenübertragbarkeit (Art. 20) — Anforderung einer Kopie deiner Daten.
- Widerspruch gegen Verarbeitung auf Grundlage berechtigter Interessen (Art. 21).
- Widerruf deiner Einwilligung jederzeit durch Entzug der HealthKit- bzw. Health-Connect-Berechtigung und Deinstallation.
- Beschwerde bei einer Aufsichtsbehörde. Zuständig ist für Step Town die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
Zur Ausübung deiner Rechte schreibe an henlefreddy@gmail.com. Wir antworten innerhalb von 30 Tagen.
7. Konto löschen
Öffne die App und tippe auf Einstellungen → Konto löschen. Wir entfernen daraufhin sofort:
- deinen Nutzereintrag, dein Dorf, Gebäude, Münzen, Schrittverlauf und Geschenkverlauf,
- deinen Eintrag aus jeder Freundesliste anderer Spielender,
- das öffentliche Profil (Anzeigename, Rathauslevel), das andere sehen können,
- deinen Firebase-Auth-Account.
Falls du die App nicht mehr öffnen kannst, schreibe an henlefreddy@gmail.com mit dem in deinem Profil sichtbaren Freundescode; wir löschen das Konto dann manuell.
8. Kinder
Step Town ist im App Store mit 4+ und auf Google Play mit PEGI 3 eingestuft. Das Spiel enthält keine Werbung, keine In-App-Käufe und keinen offenen Chat. Wir erheben wissentlich keine Daten von Kindern unter 13 Jahren (in der EU unter 16). Falls du Elternteil oder Erziehungsberechtigter bist und glaubst, dass dein Kind ohne deine Einwilligung Daten übermittelt hat, schreibe an henlefreddy@gmail.com; wir löschen das Konto nach Eingang.
9. Internationale Datenübermittlung
Firebase-Dienste werden von Google bereitgestellt. Teile der Verarbeitung erfolgen auf Servern in den USA. Soweit personenbezogene Daten außerhalb des EWR übermittelt werden, ist die Übermittlung durch Googles EU-Standardvertragsklauseln sowie Googles Bekenntnis zum EU-US Data Privacy Framework gedeckt.
10. Änderungen dieser Erklärung
Bei wesentlichen Änderungen aktualisieren wir das Datum oben und informieren dich, sofern gesetzlich erforderlich, in der App. Mit weiterer Nutzung von Step Town nach einer Änderung akzeptierst du die neue Fassung.
