Datenschutzerklaerung fuer die Somma-App

Stand: 08.04.2026
Version: 1.3

1. Verantwortlicher und Datenschutzkontakt

Verantwortlicher gem. Art. 4 Nr. 7 DSGVO

Marlon Becker
Erzgiessereistrasse 51
80335 Muenchen, Deutschland

Kontaktart Details E-Mail datenschutz@somma.one Website www.somma.one Telefon +49 176 66869158

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfuer nicht erfuellt sind. Fuer saemtliche Datenschutzanfragen nutzen Sie bitte die obige Kontaktadresse.

2. Allgemeine Informationen zur Datenverarbeitung

Zwecke der Verarbeitung

• Betrieb der App

• Nutzerverwaltung

• Kommunikations- und Planungsfunktionen

• Sicherheit/Fehlerbehebung

• Support

• Nutzungsanalyse (sofern zugestimmt)

Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)

• a) Einwilligung — z. B. Kontakte / Push / Analyse / Kalenderzugriff

• b) Vertragserfuellung — Registrierung, Login, Kernfunktionen

• c) Rechtliche Verpflichtung — z. B. Aufbewahrungspflichten

• f) Berechtigte Interessen — Betrugspraevention, IT-Sicherheit, Fehler-/Crash-Diagnose

Erforderlichkeit der Angaben

Pflichtfelder:

• Telefonnummer (fuer Verifizierung)

• Name

• Geburtsdatum

Ohne diese Angaben ist eine Nutzung der App nicht moeglich.

Optionale Angaben:

• Profilbild

• E-Mail

Speicherdauer (allgemein)

Wir speichern personenbezogene Daten nur so lange, wie es fuer die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konkrete Fristen siehe Abschnitt 10.3.

Empfaengerkategorien

Daten werden verarbeitet durch:

• IT-Hosting/Backend

• Authentifizierung/Messaging

• Push-Dienst

• Crash-/Performance-Diagnose

• Analyse (sofern zugestimmt)

Mit allen Auftragsverarbeitern bestehen Vertraege gem. Art. 28 DSGVO.

Datenquellen

• Direkt von Ihnen — Registrierung, Profil, Inhalte

• Externe Quellen — Bei der Funktion "Freunde finden" verarbeiten wir von Ihnen bereitgestellte Kontaktdaten Dritter (siehe 4.2 / Art. 14 DSGVO)

3. Datenverarbeitung bei Registrierung & Benutzerkonto

3.1 Kontodaten

Aspekt Details Datenarten Name (Pflicht), Telefonnummer (Pflicht), Geburtsdatum (Pflicht), E-Mail (optional), Profilbild (optional), Benutzer-ID Zwecke Kontoanlage, Authentifizierung, Kommunikation, Alterskontrolle Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO Speicherdauer Bis Kontoloeschung; danach 30 Tage, sofern keine gesetzlichen Pflichten entgegenstehen

3.2 Telefonnummer-Verifizierung (SMS-OTP)

Aspekt Details Vorgehen Versand eines Einmalcodes per SMS Dienstleister Twilio Ireland Limited (Irland) / Twilio Inc. (USA) Datenarten Telefonnummer, Verifizierungscode, Meta-/Protokolldaten Rechtsgrundlage Art. 6(1)(b) — Vertrag; Art. 6(1)(f) — Betrugspraevention Drittlandtransfer USA auf Basis von EU-Standardvertragsklauseln (SCC)

4. App-Berechtigungen und Geraetedaten

4.1 Kalenderzugriff (Google Calendar / Apple Calendar)

Umfang:
Lesen/Schreiben von Terminen — Titel, Datum/Uhrzeit, Ort, Teilnehmer, Beschreibung, Wiederholungen

Zwecke:

• Verfuegbarkeitsplanung

• Synchronisation von Somma-Events mit Ihrem Kalender

• Vermeidung von Konflikten

Delta-Synchronisation:
Bei aktivierter Apple-Synchronisation ermittelt die App auf Ihrem Geraet Aenderungspakete ("Deltas") inklusive Event-Kennungen, Zeitstempel, Teilnehmerlisten und Aenderungsankern (Change Tokens). Diese Pakete werden verschluesselt an unseren Backend-Dienst uebertragen, dort in strukturierter Form gespeichert und mit bestehenden Somma-Ereignissen abgeglichen. Zur Wiederaufnahme des Syncs speichern wir den neuesten Change Token sowohl lokal (App-Speicher) als auch in der Kalender-Verbindungs-Tabelle (Supabase).

Aspekt Details Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Google APIs Nutzung nur fuer bereitgestellte App-Funktionen; keine Weitergabe/kein Verkauf; keine Werbenutzung

Transparenzhinweis:
Vor dem Verbinden deines Kalenders informieren wir dich in der App darueber, welche Daten synchronisiert werden, wofuer wir sie nutzen und wie du die Berechtigungen jederzeit widerrufen kannst. Die Detailinformationen sind auch ueber die Startseite der App abrufbar.

4.2 Kontaktezugriff (Freunde finden/Einladen)

Umfang:
Mit Ihrer Einwilligung werden die Telefonnummern Ihrer Kontakte lokal gehasht und ausschliesslich zum Abgleich genutzt.

• Telefonnummern werden uebertragen (verschluesselt, dann gehasht)

• Kontaktnamen werden NICHT uebertragen

• Kontaktdaten von Nicht-Nutzern werden nicht dauerhaft gespeichert

Aspekt Details Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) Art. 14 DSGVO Individuelle Benachrichtigung aller Kontakte ist unverhaeltnismaessig. Verarbeitung beschraenkt sich auf Hash-Abgleich; anschliessend werden die Hashes verworfen (siehe 10.3)

4.3 Standortdaten & Event-Adressen

Wir erheben Standortdaten auf zwei Wegen:

1. Manuelle Text-Eingabe

• Sie geben einen Ort manuell ein (z. B. Strasse, Venuename, Postleitzahl)

• Dies ist vollstaendig in Ihrer Kontrolle

• Es findet keine automatische Datenerfassung statt

2. Automatische GPS-basierte Standorterkennung

• Wird nur ausgeloest, wenn Sie "Aktuellen Standort verwenden" tippen

• Wir erfassen die GPS-Koordinaten Ihres Geraets (ueber expo-location)

• Diese werden nur temporaer verwendet, um Ihren Standort zu einem menschenlesbaren Ort zu konvertieren (Reverse Geocoding)

• Die GPS-Koordinaten werden NICHT gespeichert — nur die resultierende Adresse

• Beispiel: GPS-Koordinaten "48.1375, 11.5755" -> gespeicherte Adresse: "Marienplatz, 80331 Muenchen"

3. Google Places Autocomplete (Adressvorschlaege)

• Bei der Suche nach einem Ort erhalten Sie Vorschlaege aus Google Places

• Dies verwendet nur den Text, den Sie eingeben — nicht Ihren echten GPS-Standort

• Rechtsbasis: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

Berechtigungen erforderlich:

• iOS: Standortberechtigung fuer GPS-Zugriff erforderlich

• Android: Fein- und Grobstandort-Berechtigungen erforderlich

• Sie koennen diese Berechtigungen jederzeit in den Geraeteeinstellungen widerrufen

Datenspeicherung:

• GPS-Koordinaten: Nur temporaer (nicht dauerhaft gespeichert)

• Adresstext: Solange das Event existiert

• Keine Hintergrund-Standortverfolgung oder kontinuierliche Ueberwachung

Aspekt Details Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung/App-Kernfunktion) Hinweis GPS-Koordinaten sind temporaer und werden nicht mit Ihrem Event gespeichert. Nur die menschenlesbare Adresse wird dauerhaft gespeichert.

4.4 Kamera & Fotomediathek

Aspekt Details Zwecke Profilbild aufnehmen/auswaehlen; Bilder in Events oder Chats teilen Verarbeitung Upload nur nach Ihrer aktiven Auswahl Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO

4.5 Push-Benachrichtigungen

Arten:

• Event-Einladungen

• Chat-Nachrichten

• Freundschaftsanfragen

• Erinnerungen

Aspekt Details iOS Apple Push Notification service (APNs) — Apple Inc. Android Firebase Cloud Messaging (FCM) — Google Ireland Ltd.

Datenarten:

• Geraetespezifisches Push-Token

• App-/Nutzer-ID (Zuweisung)

• Benachrichtigungsinhalt

Benachrichtigungsinhalte:
Benachrichtigungen werden mit Betreffzeile und ggf. Vorschautext versendet. Die Push-Dienste nutzen diese Daten zum Versand an Ihr Geraet; sie speichern diese Inhalte nicht dauerhaft. Nachrichtenvorschauen sind optional — Sie koennen diese in den App-Einstellungen deaktivieren.

Aspekt Details Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in den Systemeinstellungen; jederzeit widerrufbar)

4.6 Nutzungs-, Protokoll- & Diagnosedaten

Umfang:

• App-Version

• Geraetetyp/OS

• Technische Protokolle

• Crash-Reports

• Performance-Metriken

• Interaktionsdaten (z. B. Bildschirmaufrufe)

Zwecke:

• Fehlerbehebung

• Stabilitaet

• Missbrauchsabwehr

• (sofern zugestimmt) Produktanalyse

Aspekt Details Dienstleister PostHog, Inc. (EU-Instanz: eu.i.posthog.com) — Produktanalyse; Functional Software, Inc. / Sentry (EU-Instanz: de.sentry.io) — Crash-/Performance-Diagnose; Expo Software, Inc. (USA) — OTA-Updates Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit/Fehlerdiagnose) + Art. 6 Abs. 1 lit. a (optionale Analyse) Besonderheit Keine Profilerstellung zu Werbezwecken

4.7 Mikrofon & Spracherkennung (KI-Sprachassistent)

Aspekt Details Zwecke Spracheingabe fuer den KI-Assistenten; Spracherkennung zur Transkription Verarbeitung Audiodaten werden nur waehrend aktiver Sprachsitzungen erfasst und zur Transkription verarbeitet. Keine dauerhafte Speicherung von Audioaufnahmen. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Drittanbieter (Auftragsverarbeiter) & Empfaenger

5.1 Supabase (Backend-Infrastruktur)

Aspekt Details Anbieter Supabase, Inc., USA Zweck Datenbank, Authentifizierung, Realtime-Funktionen, Dateispeicher Datenarten Nutzer-, Event-, Freundschafts-, Chat- und Medien-Daten Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO Uebermittlung USA auf Basis von SCC Sicherheit Transportverschluesselung (TLS), rollenbasierte Zugriffe

5.2 Twilio (SMS-Versand)

Siehe Abschnitt 3.2

5.3 Google Calendar API

Aspekt Details Anbieter Google Ireland Limited (Irland) / Google LLC (USA) Zweck Kalendersynchronisation fuer Google-Konten Datenarten Kalenderdaten (Termine, Verfuegbarkeit u. Ae.) Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO Uebermittlung ggf. USA auf Basis von SCC Policy Einhaltung der Google API Services User Data Policy ("Limited Use")

Transparenzhinweis:
Vor dem Verbinden deines Kalenders informieren wir dich in der App darueber, welche Daten synchronisiert werden, wofuer wir sie nutzen und wie du die Berechtigungen jederzeit widerrufen kannst. Die Detailinformationen sind auch ueber die Startseite der App abrufbar.

5.3.1 Weitere Details zu Google-Kalenderdaten

Interne Nutzung:
Google-Kalenderdaten werden ausschliesslich fuer Somma-Funktionen (Verfuegbarkeiten, Terminuebersichten, Einladungen) innerhalb unserer Systeme verarbeitet. Zugriff erhalten nur berechtigte Teammitglieder mit Support- oder Entwicklungsauftrag.

Auftragsverarbeiter:
Zur Bereitstellung der App setzen wir Supabase, Inc. (USA) als gehostetes Backend (Datenbank, Authentifizierung, Dateispeicher) ein. Supabase verarbeitet Google-Kalenderdaten ausschliesslich nach unserer Weisung und zum Zweck der App-Funktionen.

Weitere Empfaenger:

• Keine Weitergabe an andere Drittparteien

• Keine Offenlegung gegenueber Werbenetzwerken oder Datenhaendlern

• Kein Verkauf von Google-Nutzerdaten

• Twilio (SMS), Expo (Crash/OTA) und andere Dienstleister erhalten keinen Zugriff auf Google-Kalenderinhalte

Transparenz & Widerruf:
Saemtliche Uebermittlungen erfolgen auf Basis von Art. 28 DSGVO (Auftragsverarbeitung) und — bei Zugriffen aus Drittlaendern — unter Einsatz der EU-Standardvertragsklauseln (siehe Abschnitt 9). Sie koennen den Zugriff jederzeit widerrufen:

• In den Somma-Einstellungen, oder

• Direkt im Google-Konto unter https://myaccount.google.com/permissions

Anschliessend loeschen wir ausstehende Synchronisationsdaten.

5.4 Apple EventKit

Aspekt Details Anbieter Apple Inc., USA Zweck Kalendersynchronisation auf Apple-Geraeten Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO

Verarbeitete Daten:
Eventtitel, Notizen, Ort, Start-/Endzeit, ganztaegig-Markierung, Teilnahmeinformationen, Wiederholungen, Erinnerungen, zuletzt geaendert, EventKit-Identifier sowie Synchronisationsanker (Change Tokens) und Loeschkennzeichen.

Interne Nutzung:
Verarbeitung ausschliesslich zur Bereitstellung der Somma-Funktionen (Verfuegbarkeiten, Terminplanung, Konfliktpruefung). Apple-Kalenderdaten werden in der Somma-Datenbank (Supabase) gespeichert, Versionierung und Historie werden zur Fehleranalyse protokolliert. Zugriff erhalten nur autorisierte Teammitglieder mit Support- oder Entwicklungsauftrag.

Auftragsverarbeiter:
Supabase, Inc. (USA) als Backend. Verarbeitung auf Basis von Art. 28 DSGVO; Uebermittlungen in die USA erfolgen unter Einsatz der Standardvertragsklauseln (siehe Abschnitt 9).

Speicherdauer:
Kalenderereignisse und Sync-Anker bleiben gespeichert, solange die Kalenderverbindung aktiv ist bzw. bis Sie das Konto oder die Verbindung loeschen. Bei Widerruf der Einwilligung (z. B. in den Somma-Einstellungen) werden ausstehende Deltas verworfen und bestehende Apple-Kalenderdaten innerhalb von 30 Tagen geloescht, sofern keine gesetzlichen Pflichten entgegenstehen.

Widerruf:
Sie koennen den Zugriff jederzeit deaktivieren:

• iOS: Einstellungen -> Datenschutz & Sicherheit -> Kalender

• Somma App: Einstellungen

Nach Widerruf werden keine neuen Deltas mehr erfasst; vorhandene Daten werden gemaess obiger Frist geloescht.

5.5 Push-Dienste

APNs (Apple) und FCM (Google) — siehe Abschnitt 4.5

5.6 Expo (Framework/OTA/Diagnose)

Aspekt Details Anbieter Expo Software, Inc., USA Zweck App-Bereitstellung (OTA-Updates), Crash- & Performance-Diagnose Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit/Betrieb) + Art. 6 Abs. 1 lit. a (optionale Analyse) Uebermittlung USA auf Basis von SCC

5.7 PostHog (Produktanalyse)

Aspekt Details Anbieter PostHog, Inc., USA (EU-Instanz: eu.i.posthog.com) Zweck Anonymisierte Analyse der App-Nutzung zur Produktverbesserung Datenarten Anonymisierte Nutzungsereignisse (z. B. Feature-Nutzung, App-Starts), Geraetetyp, Betriebssystem-Version. Keine personenbezogenen Daten wie Name oder Telefonnummer werden an PostHog uebermittelt. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Produkts) Uebermittlung EU-Instanz (eu.i.posthog.com). Zusaetzlich abgesichert durch EU-Standardvertragsklauseln (SCC) und das EU-US Data Privacy Framework. Aufbewahrung Ereignisdaten werden nach 90 Tagen automatisch geloescht. Opt-out Nutzer koennen die Analyse-Erhebung in den App-Einstellungen deaktivieren.

5.8 Sentry (Fehlerdiagnose und Performance-Monitoring)

Aspekt Details Anbieter Functional Software, Inc. (Sentry), USA (EU-Instanz: de.sentry.io) Zweck Erkennung und Diagnose von App-Abstuerzen, Fehlern und Performance-Problemen Datenarten Fehlerberichte (Stack-Traces, Breadcrumbs), App-Performance-Metriken (Startzeiten, Frame-Raten, ANR/Hang-Erkennung), Geraeteinformationen (Modell, OS-Version, verfuegbarer Speicher). Screenshots bei Abstuerzen (mit maskierten Texten und Bildern). Keine Uebermittlung personenbezogener Daten (sendDefaultPii ist deaktiviert). Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilitaet und Sicherheit der App) Uebermittlung EU-Instanz (de.sentry.io). Zusaetzlich abgesichert durch EU-Standardvertragsklauseln (SCC). Aufbewahrung Fehlerberichte: 90 Tage (Standard), bis zu 12 Monate bei sicherheitsrelevanten Vorfaellen. Sampling Im Produktivbetrieb werden nur 20 % der Transaktionen und 5 % der CPU-Profile erfasst, um die Geraetebelastung zu minimieren.

5.9 Geoapify (Geocoding)

Aspekt Details Anbieter Geoapify GmbH Zweck Geocoding und Reverse-Geocoding fuer Veranstaltungsorte Datenarten Suchanfragen (Adresstext), GPS-Koordinaten (temporaer) Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung)

6. Datenverarbeitung in App-Funktionen

6.1 Events

Aspekt Details Datenarten Titel, Beschreibung, Ort, Zeit, Teilnehmerliste, Bilder, Sichtbarkeit Zweck Organisation sozialer Aktivitaeten, Einladungen, Erinnerungen Sichtbarkeit Gemaess Ihrer Auswahl: privat / nur Freunde / ausgewaehlte Gruppen / oeffentlich Rechtsgrundlage Art. 6 Abs. 1 lit. b (App-Funktion) / lit. a (optionale Angaben/Uploads)

6.2 Chat

Aspekt Details Datenarten Nachrichten (Text/Bild/Datei), Zeitstempel, Lesebestaetigungen, Teilnehmer Sicherheit Transportverschluesselung (TLS) zwischen App und Server. Keine Ende-zu-Ende-Verschluesselung. Serverseitige Verarbeitung ueber Supabase Realtime Speicherdauer Bis zur Loeschung durch Nutzer oder Kontoloeschung (siehe 10.3) Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO

6.3 Freundschaften & Gruppen ("Tags")

Aspekt Details Datenarten Freundesliste, Verknuepfungen, Gruppen/Tags, Sichtbarkeiten Zweck Vernetzung, zielgerichtete Sichtbarkeit/Einladungen Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO

6.4 Verfuegbarkeits-Status ("Swipe")

Aspekt Details Datenarten Status (verfuegbar/nicht), Zeitfenster, optional Stimmung/Mood Sichtbarkeit Von Ihnen steuerbar: alle Freunde / bestimmte Gruppen / niemand Rechtsgrundlage Art. 6 Abs. 1 lit. b / lit. a (bei optionalen Angaben)

6.5 Aktivitaetsfeed

Aspekt Details Inhalte Kalendersynchronisation (wenn aktiviert), erstellte Events, Interaktionen Optionale Funktionen Up/Downvotes zur Relevanzbestimmung Rechtsgrundlage Art. 6 Abs. 1 lit. b; fuer Lernalgorithmen Art. 6 Abs. 1 lit. f (Interessenabwaegung: bessere Ergebnisse, jederzeit Widerspruch — siehe 11.6)

6.6 KI-Assistent

Aspekt Details Datenarten Chat-Nachrichten an den KI-Assistenten, Sprachnachrichten (temporaer), vom Assistenten ausgefuehrte Aktionen (z. B. Event-Erstellung, Terminabfragen) Zweck Unterstuetzung bei der Planung sozialer Aktivitaeten, Terminkoordination, Empfehlungen Verarbeitung Eingaben werden zur Verarbeitung an KI-Modelle uebermittelt. Audiodaten werden nur waehrend aktiver Sitzungen verarbeitet und nicht dauerhaft gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (App-Funktion)

6.7 Gespeicherte Inhalte & Listen

Aspekt Details Datenarten Gespeicherte URLs, Orte, Empfehlungen, benutzerdefinierte Listen, Kollaborateure Zweck Verwaltung und Teilen von Orten und Empfehlungen mit Freunden Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO

6.8 Ausgaben & Kostenteilung

Aspekt Details Datenarten Ausgabenbeschreibung, Betraege, Aufteilung pro Teilnehmer, Zahlungsstatus Zweck Kostenteilung innerhalb von Events Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO Hinweis Keine Zahlungsabwicklung in der App. Zahlungslinks (PayPal, Revolut) werden nur als externe Verweise bereitgestellt.

7. Automatisierte Entscheidungen / Profiling

Wir verwenden Empfehlungs- und Sortieralgorithmen (z. B. Event-Vorschlaege).

Es finden keine Entscheidungen statt, die gegenueber Ihnen rechtliche Wirkung entfalten oder Sie in vergleichbarer Weise erheblich beeintraechtigen (Art. 22 DSGVO).

Aspekt Details Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (Interessenabwaegung) Ihr Widerspruch Sie koennen der Nutzung jederzeit widersprechen

8. Weitergabe & Kategorien von Empfaengern

Grundsatz: Keine Weitergabe an Dritte ausserhalb der hier genannten Zwecke

Empfaenger:

• Auftragsverarbeiter nach Art. 28 DSGVO (Abschnitt 5)

• Behoerden/Strafverfolgung nur bei gesetzlicher Verpflichtung oder Rechtsverteidigung (Art. 6 Abs. 1 lit. c/f)

Keine Datenverkaeufe
Keine Weitergabe zu Werbezwecken

9. Internationale Datenuebermittlungen

Soweit Dienstleister Daten in Drittlaender (insb. USA) verarbeiten, erfolgt die Uebermittlung auf Basis von:

• EU-Standardvertragsklauseln (SCC)

• EU-US Data Privacy Framework (sofern Anbieter teilnimmt)

• Zusaetzliche Schutzmassnahmen (TLS, Zugriffskontrollen, Protokollierung)

Hinweis: Restrisiken lassen sich nicht vollstaendig ausschliessen.

10. Datensicherheit & Aufbewahrung

10.1 Technische und organisatorische Massnahmen

• Transportverschluesselung (in Transit)

• Zugriffsbeschraenkungen/RBAC (rollenbasierte Zugriffe)

• Zwei-Faktor-Schutz fuer administrative Zugaenge

• Regelmaessige Updates/Backups

• Protokollierung (Audit Logs)

• Vertraulichkeitsverpflichtung fuer Mitarbeiter/Dienstleister

10.2 Umgang mit Datenpannen

Bei Verletzungen des Schutzes personenbezogener Daten:

• Informieren wir die Aufsichtsbehoerde gem. Art. 33 DSGVO

• Benachrichtigen betroffene Personen gem. Art. 34 DSGVO (sofern erforderlich)

10.3 Konkrete Aufbewahrungsfristen

Datentyp Aufbewahrungsfrist Kontodaten (Name, Tel., DOB, E-Mail) Bis Kontoloeschung; danach 30 Tage (sofern keine gesetzlichen Pflichten) Profilbild & Medien Bis zur Entfernung durch Sie oder Kontoloeschung Events & Einladungen Bis zur Loeschung; Protokolle max. 180 Tage Chats Bis zur Loeschung durch Nutzer oder Kontoloeschung Kontakt-Hashes (Freunde-Abgleich) Nur kurzfristig zum Matching; sofortige Loeschung nach Abschluss Einladungen/Referrals (unakzeptiert) Max. 180 Tage, dann Loeschung Push-Token Bis Abmeldung oder Kontoloeschung Crash/Diagnose-Logs (Sentry) 90 Tage Standard; max. 12 Monate bei Sicherheitsvorfaellen Analyse-Ereignisse (PostHog) 90 Tage, dann automatische Loeschung Rechts-/Nachweiszwecke Bis Ablauf einschlaegiger Verjaerungs-/Aufbewahrungsfristen

11. Ihre Rechte

Sie haben folgende Betroffenenrechte nach der DSGVO:

Informations- und Auskunftsrechte

• Auskunft (Art. 15) — Sie koennen erfragen, welche Daten wir ueber Sie speichern

• Berichtigung (Art. 16) — Unrichtige Daten koennen korrigiert werden

• Loeschung (Art. 17) — Unter bestimmten Bedingungen koennen Sie die Loeschung verlangen

• Einschraenkung (Art. 18) — Verarbeitung kann eingeschraenkt werden

• Datenuebertragbarkeit (Art. 20) — Ihre Daten koennen in strukturierter Form abgerufen werden

Widersprechen und Widerrufen

• Widerspruch (Art. 21) — Gegen Verarbeitungen auf Grundlage berechtigter Interessen und gegen Direktwerbung

• Widerruf von Einwilligungen (Art. 7 Abs. 3) — Mit Wirkung fuer die Zukunft:

  • Kalendersync

  • Kontaktabgleich

  • Push-Benachrichtigungen

  • Analyse

Widerruf erfolgt in den App-Einstellungen oder via E-Mail an datenschutz@somma.one

Beschwerderecht

Sie haben das Recht, bei einer Aufsichtsbehoerde Beschwerde einzureichen:

Bayerisches Landesamt fuer Datenschutzaufsicht (BayLDA)
Promenade 27 (Schloss)
91522 Ansbach, Deutschland
Website: www.lda.bayern.de

12. Minderjaehrigenschutz

• Mindestalter: 16 Jahre

• Bei der Registrierung erfragen wir das Geburtsdatum

• Nutzer unter 16 Jahren duerfen die App nicht verwenden

• Fuer 16-18-Jaehrige empfehlen wir die Einbindung der Erziehungsberechtigten

13. Cookies & Tracking in der App

• Keine Werbe-SDKs oder geraetuebergreifende Werbetracker

• Technisch notwendig:

  • Session-IDs

  • Geraete-IDs

  • Push-Token

Optionale Nutzungsanalyse:
Eine optionale Nutzungsanalyse zur Produktverbesserung (ueber PostHog) erfolgt nur mit Ihrer Einwilligung. Sie koennen diese in der App jederzeit deaktivieren.

iOS Hinweis: Bei iOS kann zusaetzlich die App Tracking Transparency-Abfrage erscheinen, sofern relevant.

14. Social-Sharing

Wenn Sie Inhalte aus der App in externen Social-Media-Plattformen teilen, verarbeitet die jeweilige Plattform Daten eigenverantwortlich gemaess deren Datenschutzhinweisen.

15. Aenderungen dieser Erklaerung

Wir koennen diese Erklaerung anpassen, wenn Funktionen oder Rechtslagen sich aendern.

Benachrichtigung bei wesentlichen Aenderungen:

• In-App-Hinweis

• E-Mail

Aktuelle Version:

• In der App

• Unter https://www.somma.one/datenschutz

16. Kontakt

Kontaktart Details Datenschutz-Kontakt datenschutz@somma.one Postanschrift Erzgiessereistrasse 51, 80335 Muenchen, Deutschland Support support@somma.one

Transparenzkurzinfo fuer App-Stores (Apple/Google)

Mit dir verknuepfte Daten

• Kontaktinformationen (Name, Tel., E-Mail)

• Kennungen (Benutzer-ID, Push-Token)

• Kontakte (zum Abgleich)

• Benutzerinhalte (Chats, Fotos/Videos, Event-Inhalte, Event-Adressen)

• Nutzungsdaten (Produktinteraktion)

• Diagnose (Crash/Performance)

Standortdaten

• Event-Adressen (manuell eingegeben) — z. B. Strassenname, Venuename

• Aktuelle Position (GPS) — temporaer, um Adresse zu ermitteln, wird nicht gespeichert

• Adressvorschlaege — von Google Places basierend auf Sucheingabe

• Keine Hintergrund-Standortverfolgung oder kontinuierliche Ueberwachung

Zwecke

• App-Funktionalitaet

• Support

• (mit Einwilligung) Analyse/Verbesserung

Datenschutz

• Keine Werbenutzung

• Kein Verkauf

Drittanbieter-Uebersicht

Dienst Zweck Standort Supabase, Inc. Backend, Datenbank, Auth, Realtime USA (SCC) Twilio, Inc. SMS-Verifizierung USA (SCC) Google Calendar API Kalender-Synchronisation USA (SCC) Apple EventKit iOS-Kalender-Integration USA Expo Software, Inc. OTA-Updates, Build-Infrastruktur USA (SCC) APNs / FCM Push-Benachrichtigungen USA PostHog, Inc. Produktanalyse EU-Instanz (eu.i.posthog.com) Functional Software / Sentry Crash-/Performance-Diagnose EU-Instanz (de.sentry.io) Geoapify GmbH Geocoding fuer Veranstaltungsorte EU

Zuletzt aktualisiert: 8. April 2026 | Version 1.3