Somma

Problem

Lösung

Jetzt Voranmelden

Somma

Problem

Lösung

Jetzt Voranmelden

Somma

Datenschutzerklärung

1. Verantwortlicher & Kontakt

Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO
Marlon Becker
Erzgießereistraße 51
80335 München, Deutschland

E-Mail (Datenschutz): datenschutz@somma.one
Support: support@somma.one
Telefon: +49 176 66869158
Website: https://www.somma.one

Datenschutzbeauftragter: Nicht bestellt; die gesetzlichen Voraussetzungen sind aktuell nicht erfüllt. Bitte nutzen Sie die obigen Kontaktwege für alle Datenschutzanfragen.

2. Zweck, Umfang & Anwendungsbereich dieser Erklärung

Diese Seite ist die einzige, maßgebliche Datenschutzerklärung von Somma und deckt beide Produkte ab:

  • Somma-App: Konto/Registrierung, Events & Einladungen, Chat, Freundesnetzwerk/Tags, Verfügbarkeiten/Mood, Kalendersynchronisation (Google/Apple), Push-Benachrichtigungen, Diagnose/Fehlerbehebung, (sofern einwilligungsbasiert) Nutzungsanalyse.

  • Somma-Website: Hosting/Server-Logs, Wartelisten-/Kontakt-Formulare, Google Fonts, Google Tag Manager & Google Analytics 4 (nur mit Einwilligung).

Wir aktualisieren diese Erklärung bei wesentlichen Änderungen und informieren Nutzer angemessen.

3. Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)

  • Vertrag (lit. b): Konto, Kernfunktionen der App (Events, Chat, Freunde, Kalendersync bei aktivierter Verbindung).

  • Einwilligung (lit. a): Kontakte-Abgleich, Push, Website-Analytics, Fonts-/Tracking, Medien-Uploads, ggf. Kalendersync (plattformabhängig).

  • Rechtliche Pflicht (lit. c): z. B. Aufbewahrung/Behördenanfragen.

  • Berechtigte Interessen (lit. f): IT-Sicherheit, Betrugsprävention, Stabilität/Diagnostik, produktnahe Verbesserungen (Widerspruch möglich, s. § 13).

4. Datenkategorien, Zwecke & Speicherdauern

4.1 Konto & Identität (App)

  • Daten: Name (Pflicht), Telefonnummer (Pflicht für Verifizierung), Geburtsdatum (Pflicht für Altersprüfung 16+), E-Mail (optional), Profilbild (optional), Nutzer-ID.

  • Zwecke: Kontoanlage, Authentifizierung, Altersprüfung, Kommunikation.

  • Rechtsgrundlage: Art. 6(1)(b) DSGVO.

  • Dauer: Bis Kontolöschung; Löschung i. d. R. binnen 30 Tagen, sofern keine Pflichten entgegenstehen.

4.2 Telefonnummer-Verifizierung (SMS-OTP, App)

  • Daten: Telefonnummer, Einmal-Code, Protokolle.

  • Dienstleister: Twilio Ireland Limited / Twilio Inc. (USA).

  • Zwecke: Betrugsprävention, Eigentumsnachweis.

  • Rechtsgrundlage: Art. 6(1)(b), (f).

  • Drittlandtransfer: USA auf Basis EU-Standardvertragsklauseln (SCC).

4.3 Google-Nutzerdaten über Google-APIs (App – nur bei aktivierter Google-Kalender-Verbindung)

  • Welche Google-Daten? Kalender-Metadaten, die Sie zur Synchronisation auswählen: Titel, Beschreibung, Ort, Start/Ende, Wiederholungen, Teilnehmer, Kalender-IDs, Sync-Tokens (Delta-Sync).

  • Wofür nutzen wir sie? Verfügbarkeiten anzeigen, Terminkonflikte prüfen, Somma-Events mit Ihrem Google-Kalender synchronisieren, Vorschläge/Planung.

  • Mit wem teilen wir sie? Nur mit Auftragsverarbeitern, die zur Bereitstellung der App erforderlich sind (insb. Supabase als gehostetes Backend). Kein Verkauf, keine Weitergabe an Werbenetzwerke oder Datenhändler.

  • Schutzmaßnahmen (sensible Daten): TLS-Transport, rollenbasierte Zugriffsrechte (RBAC), Least-Privilege, Audit-Logs, SCC bei internationaler Verarbeitung, Vertraulichkeitsbindung.

  • Aufbewahrung & Löschung: Nur solange die Kalenderverbindung aktiv ist und für die Kernfunktionen erforderlich. Bei Widerruf/Trennung in Somma oder bei Zugriffsentzug unter https://myaccount.google.com/permissions werden gespeicherte Google-Kalenderinhalte i. d. R. binnen 30 Tagen gelöscht.

  • Compliance: Einhaltung der Google API Services User Data Policy (Limited Use) – Nutzung ausschließlich zur Bereitstellung/Verbesserung der kalenderspezifischen App-Funktionen.

4.4 Apple-Kalender via EventKit (App – nur bei aktivierter Verbindung)

  • Daten: Entspricht 4.3 (Event-Metadaten, EventKit-IDs, Change Tokens).

  • Nutzung/Löschung: Wie 4.3; Entfernung i. d. R. binnen 30 Tagen nach Widerruf/Trennung.

4.5 Kontakte-Abgleich (App – optional, nur mit Einwilligung)

  • Daten: Telefonnummern aus dem Adressbuch werden lokal gehasht; keine Namen-Übertragung. Hashes werden nur kurzzeitig zum Matching genutzt und anschließend verworfen.

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

  • Art. 14-Hinweis (Daten Dritter): Einzelbenachrichtigung ist nach Art. 14(5)(b) unverhältnismäßig; Verarbeitung strikt auf Hash-Matching beschränkt.

4.6 Events, Chat, Freunde/Tags, Verfügbarkeiten (App)

  • Events: Titel, Beschreibung, Ort, Zeit, Teilnehmer, Sichtbarkeit.

  • Chat: Nachrichten (Text/Medien/Dateien), Zeitstempel, Lesebestätigungen. Transportverschlüsselt (TLS), keine Ende-zu-Ende-Verschlüsselung.

  • Freunde/Tags: Freundesliste, Gruppen, Sichtbarkeiten.

  • Verfügbarkeiten/Mood: Status, Zeitfenster, optional Stimmung.

  • Rechtsgrundlage: Art. 6(1)(b) DSGVO.

  • Dauer: Bis Löschung durch Nutzer oder Kontolöschung (Details § 11).

4.7 Push-Benachrichtigungen (App – optional)

  • Daten: Gerätespezifisches Push-Token, App/Nutzer-ID-Zuordnung, Inhalte von Benachrichtigungen.

  • Dienste: APNs (Apple) / FCM (Google).

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO (Einwilligung, jederzeit in OS/App widerrufbar).

4.8 Diagnose & Performance (App)

  • Daten: App-Version, Gerät/OS, Crash-Reports, Performance-Metriken, Interaktionsereignisse (z. B. Screen-Loads).

  • Dienstleister: Expo Software, Inc.

  • Rechtsgrundlage: Art. 6(1)(f) (IT-Sicherheit/Stabilität); optionale Produktanalyse nur mit Art. 6(1)(a).

  • Keine Werbe-Profile.

4.9 Website-Hosting & Server-Logs

  • Provider: Framer B.V. (EU).

  • Daten: IP-Adresse, Zeitstempel, User-Agent, Geräte/Browser-Infos; technisch notwendige Cookies.

  • Rechtsgrundlage: Art. 6(1)(f) DSGVO (Verfügbarkeit & Sicherheit).

4.10 Website-Formulare (Warteliste/Kontakt)

  • Daten: Name, E-Mail, Telefon (freiwillig).

  • Zweck: Kontaktaufnahme zu App-Tests/Updates.

  • Speicherung: Google Sheets/Drive (Google Ireland Ltd.).

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

  • Dauer: Bis Zweck erfüllt ist oder auf Anfrage gelöscht.

4.11 Website-Schriftarten & Analytics (nur mit Consent)

  • Google Fonts: Abruf von Google-Servern; IP & Seitenaufruf werden übertragen. Prüfung lokaler Einbindung zur Reduktion.

    • Rechtsgrundlage: Art. 6(1)(f) DSGVO.

  • Google Tag Manager & Google Analytics 4: Aktivierung erst nach Einwilligung (Consent Mode); IP-Anonymisierung aktiv; Datenaufbewahrung 14 Monate.

    • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

    • Keine weiteren Tracker (z. B. Meta Pixel) ohne ausdrückliche Offenlegung & Einwilligung.

5. Empfänger & Kategorien von Dritten

Kein Verkauf personenbezogener Daten. Keine Weitergabe von Google-Nutzerdaten an Dritte zu Werbe-/Marketing- oder nicht funktionsbezogenen Zwecken.

Auftragsverarbeiter (Art. 28 DSGVO):

  • Supabase, Inc. (USA): Datenbank/Auth/Realtime/Storage (App-Backend).

  • Twilio Ireland Ltd. / Twilio Inc. (USA): SMS-Verifizierung.

  • Google Ireland Ltd. / Google LLC (USA): Google Calendar API (App), Google Analytics/Tag Manager & Google Drive/Sheets (Website/Formulare).

  • Apple Inc. (USA): APNs (Push), EventKit (On-Device) für Apple-Kalender.

  • Expo Software, Inc. (USA): OTA-Updates, Crash/Performance.

  • Framer B.V. (NL/EU): Website-Hosting.

Behörden/Strafverfolgung: Nur bei gesetzlicher Verpflichtung (Art. 6(1)(c)) oder zur Rechtsverteidigung (Art. 6(1)(f)).

6. Internationale Datenübermittlungen (Art. 44 ff. DSGVO)

Soweit Daten außerhalb der EU/EWR verarbeitet werden (insb. USA), nutzen wir EU-Standardvertragsklauseln (SCC) und – soweit verfügbar – das EU-US Data Privacy Framework, ergänzt um technische/organisatorische Maßnahmen (TLS, Zugriffskontrollen, Protokollierung). Ein Restrisiko lässt sich nicht vollständig ausschließen.

7. Technische & Organisatorische Maßnahmen (Sicherheit)

TLS-Verschlüsselung, RBAC/Least-Privilege, 2-Faktor-Schutz für Admin-Zugänge, Secret-Management, Monitoring/Logging, regelmäßige Updates/Backups, Vertraulichkeitsvereinbarungen mit Mitarbeitenden/Dienstleistern, Vorfälle-/Incident-Prozesse mit Meldewegen.

8. Minderjährigenschutz

Mindestalter für die App-Nutzung: 16 Jahre. Bei Registrierung wird das Geburtsdatum abgefragt. Unter 16-Jährige dürfen die App nicht nutzen. Für 16–18-Jährige empfehlen wir die Einbindung der Erziehungsberechtigten.

9. Cookies & Tracking

App: Keine Werbe-SDKs; nur technisch notwendige Kennungen (Session-/Geräte-IDs, Push-Tokens). Optionale Analyse nur mit Einwilligung (in-App widerrufbar).
Website: Essenzielle Cookies für Betrieb/Sicherheit; Analytics nur nach Consent (Consent Mode).

10. Automatisierte Entscheidungen / Profiling

Somma verwendet Empfehlungs-/Sortieralgorithmen (z. B. Event-Vorschläge). Es finden keine Entscheidungen statt, die rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Widerspruch möglich (s. § 13).

11. Konkrete Aufbewahrungsfristen

  • Kontodaten (Name, Tel., DOB, E-Mail): bis Kontolöschung; danach i. d. R. 30 Tage.

  • Profilbilder & Medien: bis Entfernung durch Sie oder Kontolöschung.

  • Events/Einladungen: bis zur Löschung; relevante Protokolle max. 180 Tage.

  • Chats: bis zur Löschung durch Nutzer oder Kontolöschung.

  • Kontakt-Hashes (Matching): nur kurzfristig; sofortige Löschung nach Abschluss.

  • Push-Tokens: bis Abmeldung oder Kontolöschung.

  • Crash/Diagnose-Logs: i. d. R. 90 Tage, außer Sicherheitsvorfälle erfordern längere Aufbewahrung.

  • Website-Analytics: GA4-Aufbewahrung 14 Monate.

Löschung/Entzug:

12. Empfänger von Google-Nutzerdaten (Transparenzmodul)

  • Interne Nutzung: Ausschließlich für Somma-Funktionen (Verfügbarkeit, Konfliktprüfung, Event-Sync). Zugriff nur für befugte Teammitglieder mit Support-/Entwicklungsauftrag.

  • Auftragsverarbeiter: v. a. Supabase, Inc. (USA) als Hosting/Backend – Verarbeitung nur nach Weisung, zweckgebunden.

  • Keine weiteren Empfänger: keine Offenlegung an Werbenetzwerke/Datenhändler; kein Verkauf von Google-Nutzerdaten.

  • Widerruf/Transparenz: Zugriff jederzeit in Somma oder direkt im Google-Konto widerrufbar; anschließend werden ausstehende Deltas verworfen und gespeicherte Inhalte i. d. R. binnen 30 Tagen gelöscht.

13. Ihre Rechte (Betroffenenrechte)

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).

  • Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie gegen Direktwerbung.

  • Widerruf von Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft (z. B. Kalender, Kontakte, Push, Analytics).

Beschwerderecht:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27 (Schloss), 91522 Ansbach, Deutschland — https://www.lda.bayern.de

Identitätsprüfung: Wir verifizieren Anfragen (z. B. In-App-Login/SMS-Code) aus Sicherheitsgründen.

14. Social-Sharing

Beim Teilen von Inhalten in externe Plattformen verarbeitet der jeweilige Anbieter Daten eigenverantwortlich nach dessen Richtlinien.

15. Änderungen dieser Erklärung

Wir können diese Erklärung anpassen, wenn Funktionen oder Rechtslage sich ändern. Wesentliche Änderungen teilen wir per In-App-Hinweis/E-Mail mit. Die jeweils aktuelle Fassung ist unter der kanonischen Datenschutz-URL verfügbar.

16. Kontakt

Datenschutz-Kontakt: datenschutz@somma.one
Postanschrift: Erzgießereistraße 51, 80335 München, Deutschland
Support: support@somma.one

1. Verantwortlicher & Kontakt

Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO
Marlon Becker
Erzgießereistraße 51
80335 München, Deutschland

E-Mail (Datenschutz): datenschutz@somma.one
Support: support@somma.one
Telefon: +49 176 66869158
Website: https://www.somma.one

Datenschutzbeauftragter: Nicht bestellt; die gesetzlichen Voraussetzungen sind aktuell nicht erfüllt. Bitte nutzen Sie die obigen Kontaktwege für alle Datenschutzanfragen.

2. Zweck, Umfang & Anwendungsbereich dieser Erklärung

Diese Seite ist die einzige, maßgebliche Datenschutzerklärung von Somma und deckt beide Produkte ab:

  • Somma-App: Konto/Registrierung, Events & Einladungen, Chat, Freundesnetzwerk/Tags, Verfügbarkeiten/Mood, Kalendersynchronisation (Google/Apple), Push-Benachrichtigungen, Diagnose/Fehlerbehebung, (sofern einwilligungsbasiert) Nutzungsanalyse.

  • Somma-Website: Hosting/Server-Logs, Wartelisten-/Kontakt-Formulare, Google Fonts, Google Tag Manager & Google Analytics 4 (nur mit Einwilligung).

Wir aktualisieren diese Erklärung bei wesentlichen Änderungen und informieren Nutzer angemessen.

3. Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)

  • Vertrag (lit. b): Konto, Kernfunktionen der App (Events, Chat, Freunde, Kalendersync bei aktivierter Verbindung).

  • Einwilligung (lit. a): Kontakte-Abgleich, Push, Website-Analytics, Fonts-/Tracking, Medien-Uploads, ggf. Kalendersync (plattformabhängig).

  • Rechtliche Pflicht (lit. c): z. B. Aufbewahrung/Behördenanfragen.

  • Berechtigte Interessen (lit. f): IT-Sicherheit, Betrugsprävention, Stabilität/Diagnostik, produktnahe Verbesserungen (Widerspruch möglich, s. § 13).

4. Datenkategorien, Zwecke & Speicherdauern

4.1 Konto & Identität (App)

  • Daten: Name (Pflicht), Telefonnummer (Pflicht für Verifizierung), Geburtsdatum (Pflicht für Altersprüfung 16+), E-Mail (optional), Profilbild (optional), Nutzer-ID.

  • Zwecke: Kontoanlage, Authentifizierung, Altersprüfung, Kommunikation.

  • Rechtsgrundlage: Art. 6(1)(b) DSGVO.

  • Dauer: Bis Kontolöschung; Löschung i. d. R. binnen 30 Tagen, sofern keine Pflichten entgegenstehen.

4.2 Telefonnummer-Verifizierung (SMS-OTP, App)

  • Daten: Telefonnummer, Einmal-Code, Protokolle.

  • Dienstleister: Twilio Ireland Limited / Twilio Inc. (USA).

  • Zwecke: Betrugsprävention, Eigentumsnachweis.

  • Rechtsgrundlage: Art. 6(1)(b), (f).

  • Drittlandtransfer: USA auf Basis EU-Standardvertragsklauseln (SCC).

4.3 Google-Nutzerdaten über Google-APIs (App – nur bei aktivierter Google-Kalender-Verbindung)

  • Welche Google-Daten? Kalender-Metadaten, die Sie zur Synchronisation auswählen: Titel, Beschreibung, Ort, Start/Ende, Wiederholungen, Teilnehmer, Kalender-IDs, Sync-Tokens (Delta-Sync).

  • Wofür nutzen wir sie? Verfügbarkeiten anzeigen, Terminkonflikte prüfen, Somma-Events mit Ihrem Google-Kalender synchronisieren, Vorschläge/Planung.

  • Mit wem teilen wir sie? Nur mit Auftragsverarbeitern, die zur Bereitstellung der App erforderlich sind (insb. Supabase als gehostetes Backend). Kein Verkauf, keine Weitergabe an Werbenetzwerke oder Datenhändler.

  • Schutzmaßnahmen (sensible Daten): TLS-Transport, rollenbasierte Zugriffsrechte (RBAC), Least-Privilege, Audit-Logs, SCC bei internationaler Verarbeitung, Vertraulichkeitsbindung.

  • Aufbewahrung & Löschung: Nur solange die Kalenderverbindung aktiv ist und für die Kernfunktionen erforderlich. Bei Widerruf/Trennung in Somma oder bei Zugriffsentzug unter https://myaccount.google.com/permissions werden gespeicherte Google-Kalenderinhalte i. d. R. binnen 30 Tagen gelöscht.

  • Compliance: Einhaltung der Google API Services User Data Policy (Limited Use) – Nutzung ausschließlich zur Bereitstellung/Verbesserung der kalenderspezifischen App-Funktionen.

4.4 Apple-Kalender via EventKit (App – nur bei aktivierter Verbindung)

  • Daten: Entspricht 4.3 (Event-Metadaten, EventKit-IDs, Change Tokens).

  • Nutzung/Löschung: Wie 4.3; Entfernung i. d. R. binnen 30 Tagen nach Widerruf/Trennung.

4.5 Kontakte-Abgleich (App – optional, nur mit Einwilligung)

  • Daten: Telefonnummern aus dem Adressbuch werden lokal gehasht; keine Namen-Übertragung. Hashes werden nur kurzzeitig zum Matching genutzt und anschließend verworfen.

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

  • Art. 14-Hinweis (Daten Dritter): Einzelbenachrichtigung ist nach Art. 14(5)(b) unverhältnismäßig; Verarbeitung strikt auf Hash-Matching beschränkt.

4.6 Events, Chat, Freunde/Tags, Verfügbarkeiten (App)

  • Events: Titel, Beschreibung, Ort, Zeit, Teilnehmer, Sichtbarkeit.

  • Chat: Nachrichten (Text/Medien/Dateien), Zeitstempel, Lesebestätigungen. Transportverschlüsselt (TLS), keine Ende-zu-Ende-Verschlüsselung.

  • Freunde/Tags: Freundesliste, Gruppen, Sichtbarkeiten.

  • Verfügbarkeiten/Mood: Status, Zeitfenster, optional Stimmung.

  • Rechtsgrundlage: Art. 6(1)(b) DSGVO.

  • Dauer: Bis Löschung durch Nutzer oder Kontolöschung (Details § 11).

4.7 Push-Benachrichtigungen (App – optional)

  • Daten: Gerätespezifisches Push-Token, App/Nutzer-ID-Zuordnung, Inhalte von Benachrichtigungen.

  • Dienste: APNs (Apple) / FCM (Google).

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO (Einwilligung, jederzeit in OS/App widerrufbar).

4.8 Diagnose & Performance (App)

  • Daten: App-Version, Gerät/OS, Crash-Reports, Performance-Metriken, Interaktionsereignisse (z. B. Screen-Loads).

  • Dienstleister: Expo Software, Inc.

  • Rechtsgrundlage: Art. 6(1)(f) (IT-Sicherheit/Stabilität); optionale Produktanalyse nur mit Art. 6(1)(a).

  • Keine Werbe-Profile.

4.9 Website-Hosting & Server-Logs

  • Provider: Framer B.V. (EU).

  • Daten: IP-Adresse, Zeitstempel, User-Agent, Geräte/Browser-Infos; technisch notwendige Cookies.

  • Rechtsgrundlage: Art. 6(1)(f) DSGVO (Verfügbarkeit & Sicherheit).

4.10 Website-Formulare (Warteliste/Kontakt)

  • Daten: Name, E-Mail, Telefon (freiwillig).

  • Zweck: Kontaktaufnahme zu App-Tests/Updates.

  • Speicherung: Google Sheets/Drive (Google Ireland Ltd.).

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

  • Dauer: Bis Zweck erfüllt ist oder auf Anfrage gelöscht.

4.11 Website-Schriftarten & Analytics (nur mit Consent)

  • Google Fonts: Abruf von Google-Servern; IP & Seitenaufruf werden übertragen. Prüfung lokaler Einbindung zur Reduktion.

    • Rechtsgrundlage: Art. 6(1)(f) DSGVO.

  • Google Tag Manager & Google Analytics 4: Aktivierung erst nach Einwilligung (Consent Mode); IP-Anonymisierung aktiv; Datenaufbewahrung 14 Monate.

    • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

    • Keine weiteren Tracker (z. B. Meta Pixel) ohne ausdrückliche Offenlegung & Einwilligung.

5. Empfänger & Kategorien von Dritten

Kein Verkauf personenbezogener Daten. Keine Weitergabe von Google-Nutzerdaten an Dritte zu Werbe-/Marketing- oder nicht funktionsbezogenen Zwecken.

Auftragsverarbeiter (Art. 28 DSGVO):

  • Supabase, Inc. (USA): Datenbank/Auth/Realtime/Storage (App-Backend).

  • Twilio Ireland Ltd. / Twilio Inc. (USA): SMS-Verifizierung.

  • Google Ireland Ltd. / Google LLC (USA): Google Calendar API (App), Google Analytics/Tag Manager & Google Drive/Sheets (Website/Formulare).

  • Apple Inc. (USA): APNs (Push), EventKit (On-Device) für Apple-Kalender.

  • Expo Software, Inc. (USA): OTA-Updates, Crash/Performance.

  • Framer B.V. (NL/EU): Website-Hosting.

Behörden/Strafverfolgung: Nur bei gesetzlicher Verpflichtung (Art. 6(1)(c)) oder zur Rechtsverteidigung (Art. 6(1)(f)).

6. Internationale Datenübermittlungen (Art. 44 ff. DSGVO)

Soweit Daten außerhalb der EU/EWR verarbeitet werden (insb. USA), nutzen wir EU-Standardvertragsklauseln (SCC) und – soweit verfügbar – das EU-US Data Privacy Framework, ergänzt um technische/organisatorische Maßnahmen (TLS, Zugriffskontrollen, Protokollierung). Ein Restrisiko lässt sich nicht vollständig ausschließen.

7. Technische & Organisatorische Maßnahmen (Sicherheit)

TLS-Verschlüsselung, RBAC/Least-Privilege, 2-Faktor-Schutz für Admin-Zugänge, Secret-Management, Monitoring/Logging, regelmäßige Updates/Backups, Vertraulichkeitsvereinbarungen mit Mitarbeitenden/Dienstleistern, Vorfälle-/Incident-Prozesse mit Meldewegen.

8. Minderjährigenschutz

Mindestalter für die App-Nutzung: 16 Jahre. Bei Registrierung wird das Geburtsdatum abgefragt. Unter 16-Jährige dürfen die App nicht nutzen. Für 16–18-Jährige empfehlen wir die Einbindung der Erziehungsberechtigten.

9. Cookies & Tracking

App: Keine Werbe-SDKs; nur technisch notwendige Kennungen (Session-/Geräte-IDs, Push-Tokens). Optionale Analyse nur mit Einwilligung (in-App widerrufbar).
Website: Essenzielle Cookies für Betrieb/Sicherheit; Analytics nur nach Consent (Consent Mode).

10. Automatisierte Entscheidungen / Profiling

Somma verwendet Empfehlungs-/Sortieralgorithmen (z. B. Event-Vorschläge). Es finden keine Entscheidungen statt, die rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Widerspruch möglich (s. § 13).

11. Konkrete Aufbewahrungsfristen

  • Kontodaten (Name, Tel., DOB, E-Mail): bis Kontolöschung; danach i. d. R. 30 Tage.

  • Profilbilder & Medien: bis Entfernung durch Sie oder Kontolöschung.

  • Events/Einladungen: bis zur Löschung; relevante Protokolle max. 180 Tage.

  • Chats: bis zur Löschung durch Nutzer oder Kontolöschung.

  • Kontakt-Hashes (Matching): nur kurzfristig; sofortige Löschung nach Abschluss.

  • Push-Tokens: bis Abmeldung oder Kontolöschung.

  • Crash/Diagnose-Logs: i. d. R. 90 Tage, außer Sicherheitsvorfälle erfordern längere Aufbewahrung.

  • Website-Analytics: GA4-Aufbewahrung 14 Monate.

Löschung/Entzug:

12. Empfänger von Google-Nutzerdaten (Transparenzmodul)

  • Interne Nutzung: Ausschließlich für Somma-Funktionen (Verfügbarkeit, Konfliktprüfung, Event-Sync). Zugriff nur für befugte Teammitglieder mit Support-/Entwicklungsauftrag.

  • Auftragsverarbeiter: v. a. Supabase, Inc. (USA) als Hosting/Backend – Verarbeitung nur nach Weisung, zweckgebunden.

  • Keine weiteren Empfänger: keine Offenlegung an Werbenetzwerke/Datenhändler; kein Verkauf von Google-Nutzerdaten.

  • Widerruf/Transparenz: Zugriff jederzeit in Somma oder direkt im Google-Konto widerrufbar; anschließend werden ausstehende Deltas verworfen und gespeicherte Inhalte i. d. R. binnen 30 Tagen gelöscht.

13. Ihre Rechte (Betroffenenrechte)

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).

  • Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie gegen Direktwerbung.

  • Widerruf von Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft (z. B. Kalender, Kontakte, Push, Analytics).

Beschwerderecht:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27 (Schloss), 91522 Ansbach, Deutschland — https://www.lda.bayern.de

Identitätsprüfung: Wir verifizieren Anfragen (z. B. In-App-Login/SMS-Code) aus Sicherheitsgründen.

14. Social-Sharing

Beim Teilen von Inhalten in externe Plattformen verarbeitet der jeweilige Anbieter Daten eigenverantwortlich nach dessen Richtlinien.

15. Änderungen dieser Erklärung

Wir können diese Erklärung anpassen, wenn Funktionen oder Rechtslage sich ändern. Wesentliche Änderungen teilen wir per In-App-Hinweis/E-Mail mit. Die jeweils aktuelle Fassung ist unter der kanonischen Datenschutz-URL verfügbar.

16. Kontakt

Datenschutz-Kontakt: datenschutz@somma.one
Postanschrift: Erzgießereistraße 51, 80335 München, Deutschland
Support: support@somma.one

1. Verantwortlicher & Kontakt

Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO
Marlon Becker
Erzgießereistraße 51
80335 München, Deutschland

E-Mail (Datenschutz): datenschutz@somma.one
Support: support@somma.one
Telefon: +49 176 66869158
Website: https://www.somma.one

Datenschutzbeauftragter: Nicht bestellt; die gesetzlichen Voraussetzungen sind aktuell nicht erfüllt. Bitte nutzen Sie die obigen Kontaktwege für alle Datenschutzanfragen.

2. Zweck, Umfang & Anwendungsbereich dieser Erklärung

Diese Seite ist die einzige, maßgebliche Datenschutzerklärung von Somma und deckt beide Produkte ab:

  • Somma-App: Konto/Registrierung, Events & Einladungen, Chat, Freundesnetzwerk/Tags, Verfügbarkeiten/Mood, Kalendersynchronisation (Google/Apple), Push-Benachrichtigungen, Diagnose/Fehlerbehebung, (sofern einwilligungsbasiert) Nutzungsanalyse.

  • Somma-Website: Hosting/Server-Logs, Wartelisten-/Kontakt-Formulare, Google Fonts, Google Tag Manager & Google Analytics 4 (nur mit Einwilligung).

Wir aktualisieren diese Erklärung bei wesentlichen Änderungen und informieren Nutzer angemessen.

3. Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)

  • Vertrag (lit. b): Konto, Kernfunktionen der App (Events, Chat, Freunde, Kalendersync bei aktivierter Verbindung).

  • Einwilligung (lit. a): Kontakte-Abgleich, Push, Website-Analytics, Fonts-/Tracking, Medien-Uploads, ggf. Kalendersync (plattformabhängig).

  • Rechtliche Pflicht (lit. c): z. B. Aufbewahrung/Behördenanfragen.

  • Berechtigte Interessen (lit. f): IT-Sicherheit, Betrugsprävention, Stabilität/Diagnostik, produktnahe Verbesserungen (Widerspruch möglich, s. § 13).

4. Datenkategorien, Zwecke & Speicherdauern

4.1 Konto & Identität (App)

  • Daten: Name (Pflicht), Telefonnummer (Pflicht für Verifizierung), Geburtsdatum (Pflicht für Altersprüfung 16+), E-Mail (optional), Profilbild (optional), Nutzer-ID.

  • Zwecke: Kontoanlage, Authentifizierung, Altersprüfung, Kommunikation.

  • Rechtsgrundlage: Art. 6(1)(b) DSGVO.

  • Dauer: Bis Kontolöschung; Löschung i. d. R. binnen 30 Tagen, sofern keine Pflichten entgegenstehen.

4.2 Telefonnummer-Verifizierung (SMS-OTP, App)

  • Daten: Telefonnummer, Einmal-Code, Protokolle.

  • Dienstleister: Twilio Ireland Limited / Twilio Inc. (USA).

  • Zwecke: Betrugsprävention, Eigentumsnachweis.

  • Rechtsgrundlage: Art. 6(1)(b), (f).

  • Drittlandtransfer: USA auf Basis EU-Standardvertragsklauseln (SCC).

4.3 Google-Nutzerdaten über Google-APIs (App – nur bei aktivierter Google-Kalender-Verbindung)

  • Welche Google-Daten? Kalender-Metadaten, die Sie zur Synchronisation auswählen: Titel, Beschreibung, Ort, Start/Ende, Wiederholungen, Teilnehmer, Kalender-IDs, Sync-Tokens (Delta-Sync).

  • Wofür nutzen wir sie? Verfügbarkeiten anzeigen, Terminkonflikte prüfen, Somma-Events mit Ihrem Google-Kalender synchronisieren, Vorschläge/Planung.

  • Mit wem teilen wir sie? Nur mit Auftragsverarbeitern, die zur Bereitstellung der App erforderlich sind (insb. Supabase als gehostetes Backend). Kein Verkauf, keine Weitergabe an Werbenetzwerke oder Datenhändler.

  • Schutzmaßnahmen (sensible Daten): TLS-Transport, rollenbasierte Zugriffsrechte (RBAC), Least-Privilege, Audit-Logs, SCC bei internationaler Verarbeitung, Vertraulichkeitsbindung.

  • Aufbewahrung & Löschung: Nur solange die Kalenderverbindung aktiv ist und für die Kernfunktionen erforderlich. Bei Widerruf/Trennung in Somma oder bei Zugriffsentzug unter https://myaccount.google.com/permissions werden gespeicherte Google-Kalenderinhalte i. d. R. binnen 30 Tagen gelöscht.

  • Compliance: Einhaltung der Google API Services User Data Policy (Limited Use) – Nutzung ausschließlich zur Bereitstellung/Verbesserung der kalenderspezifischen App-Funktionen.

4.4 Apple-Kalender via EventKit (App – nur bei aktivierter Verbindung)

  • Daten: Entspricht 4.3 (Event-Metadaten, EventKit-IDs, Change Tokens).

  • Nutzung/Löschung: Wie 4.3; Entfernung i. d. R. binnen 30 Tagen nach Widerruf/Trennung.

4.5 Kontakte-Abgleich (App – optional, nur mit Einwilligung)

  • Daten: Telefonnummern aus dem Adressbuch werden lokal gehasht; keine Namen-Übertragung. Hashes werden nur kurzzeitig zum Matching genutzt und anschließend verworfen.

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

  • Art. 14-Hinweis (Daten Dritter): Einzelbenachrichtigung ist nach Art. 14(5)(b) unverhältnismäßig; Verarbeitung strikt auf Hash-Matching beschränkt.

4.6 Events, Chat, Freunde/Tags, Verfügbarkeiten (App)

  • Events: Titel, Beschreibung, Ort, Zeit, Teilnehmer, Sichtbarkeit.

  • Chat: Nachrichten (Text/Medien/Dateien), Zeitstempel, Lesebestätigungen. Transportverschlüsselt (TLS), keine Ende-zu-Ende-Verschlüsselung.

  • Freunde/Tags: Freundesliste, Gruppen, Sichtbarkeiten.

  • Verfügbarkeiten/Mood: Status, Zeitfenster, optional Stimmung.

  • Rechtsgrundlage: Art. 6(1)(b) DSGVO.

  • Dauer: Bis Löschung durch Nutzer oder Kontolöschung (Details § 11).

4.7 Push-Benachrichtigungen (App – optional)

  • Daten: Gerätespezifisches Push-Token, App/Nutzer-ID-Zuordnung, Inhalte von Benachrichtigungen.

  • Dienste: APNs (Apple) / FCM (Google).

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO (Einwilligung, jederzeit in OS/App widerrufbar).

4.8 Diagnose & Performance (App)

  • Daten: App-Version, Gerät/OS, Crash-Reports, Performance-Metriken, Interaktionsereignisse (z. B. Screen-Loads).

  • Dienstleister: Expo Software, Inc.

  • Rechtsgrundlage: Art. 6(1)(f) (IT-Sicherheit/Stabilität); optionale Produktanalyse nur mit Art. 6(1)(a).

  • Keine Werbe-Profile.

4.9 Website-Hosting & Server-Logs

  • Provider: Framer B.V. (EU).

  • Daten: IP-Adresse, Zeitstempel, User-Agent, Geräte/Browser-Infos; technisch notwendige Cookies.

  • Rechtsgrundlage: Art. 6(1)(f) DSGVO (Verfügbarkeit & Sicherheit).

4.10 Website-Formulare (Warteliste/Kontakt)

  • Daten: Name, E-Mail, Telefon (freiwillig).

  • Zweck: Kontaktaufnahme zu App-Tests/Updates.

  • Speicherung: Google Sheets/Drive (Google Ireland Ltd.).

  • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

  • Dauer: Bis Zweck erfüllt ist oder auf Anfrage gelöscht.

4.11 Website-Schriftarten & Analytics (nur mit Consent)

  • Google Fonts: Abruf von Google-Servern; IP & Seitenaufruf werden übertragen. Prüfung lokaler Einbindung zur Reduktion.

    • Rechtsgrundlage: Art. 6(1)(f) DSGVO.

  • Google Tag Manager & Google Analytics 4: Aktivierung erst nach Einwilligung (Consent Mode); IP-Anonymisierung aktiv; Datenaufbewahrung 14 Monate.

    • Rechtsgrundlage: Art. 6(1)(a) DSGVO.

    • Keine weiteren Tracker (z. B. Meta Pixel) ohne ausdrückliche Offenlegung & Einwilligung.

5. Empfänger & Kategorien von Dritten

Kein Verkauf personenbezogener Daten. Keine Weitergabe von Google-Nutzerdaten an Dritte zu Werbe-/Marketing- oder nicht funktionsbezogenen Zwecken.

Auftragsverarbeiter (Art. 28 DSGVO):

  • Supabase, Inc. (USA): Datenbank/Auth/Realtime/Storage (App-Backend).

  • Twilio Ireland Ltd. / Twilio Inc. (USA): SMS-Verifizierung.

  • Google Ireland Ltd. / Google LLC (USA): Google Calendar API (App), Google Analytics/Tag Manager & Google Drive/Sheets (Website/Formulare).

  • Apple Inc. (USA): APNs (Push), EventKit (On-Device) für Apple-Kalender.

  • Expo Software, Inc. (USA): OTA-Updates, Crash/Performance.

  • Framer B.V. (NL/EU): Website-Hosting.

Behörden/Strafverfolgung: Nur bei gesetzlicher Verpflichtung (Art. 6(1)(c)) oder zur Rechtsverteidigung (Art. 6(1)(f)).

6. Internationale Datenübermittlungen (Art. 44 ff. DSGVO)

Soweit Daten außerhalb der EU/EWR verarbeitet werden (insb. USA), nutzen wir EU-Standardvertragsklauseln (SCC) und – soweit verfügbar – das EU-US Data Privacy Framework, ergänzt um technische/organisatorische Maßnahmen (TLS, Zugriffskontrollen, Protokollierung). Ein Restrisiko lässt sich nicht vollständig ausschließen.

7. Technische & Organisatorische Maßnahmen (Sicherheit)

TLS-Verschlüsselung, RBAC/Least-Privilege, 2-Faktor-Schutz für Admin-Zugänge, Secret-Management, Monitoring/Logging, regelmäßige Updates/Backups, Vertraulichkeitsvereinbarungen mit Mitarbeitenden/Dienstleistern, Vorfälle-/Incident-Prozesse mit Meldewegen.

8. Minderjährigenschutz

Mindestalter für die App-Nutzung: 16 Jahre. Bei Registrierung wird das Geburtsdatum abgefragt. Unter 16-Jährige dürfen die App nicht nutzen. Für 16–18-Jährige empfehlen wir die Einbindung der Erziehungsberechtigten.

9. Cookies & Tracking

App: Keine Werbe-SDKs; nur technisch notwendige Kennungen (Session-/Geräte-IDs, Push-Tokens). Optionale Analyse nur mit Einwilligung (in-App widerrufbar).
Website: Essenzielle Cookies für Betrieb/Sicherheit; Analytics nur nach Consent (Consent Mode).

10. Automatisierte Entscheidungen / Profiling

Somma verwendet Empfehlungs-/Sortieralgorithmen (z. B. Event-Vorschläge). Es finden keine Entscheidungen statt, die rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO). Widerspruch möglich (s. § 13).

11. Konkrete Aufbewahrungsfristen

  • Kontodaten (Name, Tel., DOB, E-Mail): bis Kontolöschung; danach i. d. R. 30 Tage.

  • Profilbilder & Medien: bis Entfernung durch Sie oder Kontolöschung.

  • Events/Einladungen: bis zur Löschung; relevante Protokolle max. 180 Tage.

  • Chats: bis zur Löschung durch Nutzer oder Kontolöschung.

  • Kontakt-Hashes (Matching): nur kurzfristig; sofortige Löschung nach Abschluss.

  • Push-Tokens: bis Abmeldung oder Kontolöschung.

  • Crash/Diagnose-Logs: i. d. R. 90 Tage, außer Sicherheitsvorfälle erfordern längere Aufbewahrung.

  • Website-Analytics: GA4-Aufbewahrung 14 Monate.

Löschung/Entzug:

12. Empfänger von Google-Nutzerdaten (Transparenzmodul)

  • Interne Nutzung: Ausschließlich für Somma-Funktionen (Verfügbarkeit, Konfliktprüfung, Event-Sync). Zugriff nur für befugte Teammitglieder mit Support-/Entwicklungsauftrag.

  • Auftragsverarbeiter: v. a. Supabase, Inc. (USA) als Hosting/Backend – Verarbeitung nur nach Weisung, zweckgebunden.

  • Keine weiteren Empfänger: keine Offenlegung an Werbenetzwerke/Datenhändler; kein Verkauf von Google-Nutzerdaten.

  • Widerruf/Transparenz: Zugriff jederzeit in Somma oder direkt im Google-Konto widerrufbar; anschließend werden ausstehende Deltas verworfen und gespeicherte Inhalte i. d. R. binnen 30 Tagen gelöscht.

13. Ihre Rechte (Betroffenenrechte)

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).

  • Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie gegen Direktwerbung.

  • Widerruf von Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft (z. B. Kalender, Kontakte, Push, Analytics).

Beschwerderecht:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27 (Schloss), 91522 Ansbach, Deutschland — https://www.lda.bayern.de

Identitätsprüfung: Wir verifizieren Anfragen (z. B. In-App-Login/SMS-Code) aus Sicherheitsgründen.

14. Social-Sharing

Beim Teilen von Inhalten in externe Plattformen verarbeitet der jeweilige Anbieter Daten eigenverantwortlich nach dessen Richtlinien.

15. Änderungen dieser Erklärung

Wir können diese Erklärung anpassen, wenn Funktionen oder Rechtslage sich ändern. Wesentliche Änderungen teilen wir per In-App-Hinweis/E-Mail mit. Die jeweils aktuelle Fassung ist unter der kanonischen Datenschutz-URL verfügbar.

16. Kontakt

Datenschutz-Kontakt: datenschutz@somma.one
Postanschrift: Erzgießereistraße 51, 80335 München, Deutschland
Support: support@somma.one

© Somma - Alle Rechte vorbehalten

Kontakt

Impressum

Kontakt

Rechtliches

Datenschutzerklärung

AGBs

Made with

in Munich

© Somma - Alle Rechte vorbehalten

Kontakt

Impressum

Kontakt

Rechtliches

Datenschutzerklärung

AGBs

Made with

in Munich

© Somma - Alle Rechte vorbehalten

Kontakt

Impressum

Kontakt

Rechtliches

Datenschutzerklärung

AGBs

Made with

in Munich