Somma
Datenschutzerklärung für die Somma‑App
Stand: 20.08.2025 – Version 1.1
1. Verantwortlicher und Datenschutzkontakt
Verantwortlicher gem. Art. 4 Nr. 7 DSGVO
Marlon Becker
Erzgießereistraße 51
80335 München, Deutschland
E‑Mail: datenschutz@somma.one
Website: www.somma.one
Telefon: +49 176 66869158
Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind. Für sämtliche Datenschutzanfragen nutzen Sie bitte die obige Kontaktadresse.
2. Allgemeine Informationen zur Datenverarbeitung
Zwecke der Verarbeitung
Betrieb der App, Nutzerverwaltung, Kommunikations‑ und Planungsfunktionen, Sicherheit/Fehlerbehebung, Support und (sofern zugestimmt) Nutzungsanalyse.
Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)
a) Einwilligung (z. B. Kontakte/Push/Analyse/Kalenderzugriff)
b) Vertragserfüllung oder vorvertragliche Maßnahmen (Registrierung, Login, Kernfunktionen)
c) Rechtliche Verpflichtung (z. B. Aufbewahrungspflichten)
f) Berechtigte Interessen (z. B. Betrugsprävention, IT‑Sicherheit, Fehler‑/Crash‑Diagnose)
Erforderlichkeit der Angaben
Telefonnummer und Name sind für die Kontoerstellung erforderlich. Ohne diese Angaben ist eine Nutzung der App nicht möglich. Weitere Angaben (Profilbild, E‑Mail) sind optional.
Speicherdauer (allgemein)
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konkrete Fristen siehe Abschnitt 10.3.
Empfängerkategorien
IT‑Hosting/Backend, Authentifizierung/Messaging, Push‑Dienst, Crash‑/Performance‑Diagnose, (sofern zugestimmt) Analyse. Mit allen Auftragsverarbeitern bestehen Verträge gem. Art. 28 DSGVO.
Datenquellen
Grundsätzlich direkt von Ihnen. Bei der Funktion „Freunde finden“ verarbeiten wir außerdem von Ihnen bereitgestellte Kontaktdaten Dritter (siehe 4.2 / Art. 14 DSGVO).
3. Datenverarbeitung bei App‑Nutzung
3.1 Registrierung & Benutzerkonto
Datenarten: Name (Pflicht), Telefonnummer (Pflicht/Verifizierung), Geburtsdatum (Pflicht/Altersprüfung), E‑Mail (optional), Profilbild (optional), Benutzer‑ID.
Zwecke: Kontoanlage, Authentifizierung, Kommunikationsmöglichkeit, Alterskontrolle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis Kontolöschung; danach Löschung innerhalb von 30 Tagen, sofern keine gesetzlichen Pflichten entgegenstehen.
3.2 Telefonnummer‑Verifizierung (SMS‑OTP)
Vorgehen: Versand eines Einmalcodes per SMS.
Dienstleister: Twilio Ireland Limited (Irland) / Twilio Inc. (USA, ggf. Unterauftragsverarbeiter).
Datenarten: Telefonnummer, Verifizierungscode, Meta‑/Protokolldaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag), lit. f (Betrugsprävention).
Übermittlung in Drittländer: USA auf Basis der EU‑Standardvertragsklauseln (SCC).
4. App‑Berechtigungen und Gerätedaten
4.1 Kalenderzugriff (Google Calendar / Apple Calendar)
Umfang: Lesen/Schreiben von Terminen (Titel, Datum/Uhrzeit, Ort, Teilnehmer, Beschreibung, Wiederholungen).
Zwecke: Verfügbarkeiten anzeigen, Terminplanung, Synchronisation von Somma‑Events mit Ihrem Kalender, Vermeidung von Konflikten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Besonderheit Google‑APIs: Nutzung nur für die bereitgestellten App‑Funktionen; keine Weitergabe/kein Verkauf von Google‑Kalenderdaten und keine Verwendung für Werbung.
4.2 Kontaktezugriff (Freunde finden/Einladen)
Umfang: Mit Ihrer Einwilligung werden die Telefonnummern Ihrer Kontakte lokal gehasht und ausschließlich zum Abgleich genutzt. Kontaktnamen übertragen wir nicht. Kontaktdaten von Nicht‑Nutzern speichern wir nicht dauerhaft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Hinweis Art. 14 DSGVO (Daten Dritter): Eine individuelle Benachrichtigung aller Kontakte ist unverhältnismäßig (Art. 14 Abs. 5 lit. b DSGVO). Verarbeitung beschränkt sich auf Hash‑Abgleich; anschließend werden die Hashes verworfen (siehe 10.3).
4.3 Standortdaten
Derzeit erheben oder verarbeiten wir keine Standortdaten. Sollten Standortfunktionen künftig eingeführt werden, holen wir vorab eine Einwilligung ein und aktualisieren diese Erklärung.
4.4 Kamera & Fotomediathek
Zwecke: Profilbild aufnehmen/auswählen, Bilder in Events oder Chats teilen.
Verarbeitung: Upload nur nach Ihrer aktiven Auswahl.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
4.5 Push‑Benachrichtigungen
Arten: Event‑Einladungen, Chat‑Nachrichten, Freundschaftsanfragen, Erinnerungen.
Dienstleister: Apple Push Notification service (APNs) – Apple Inc. (für iOS) / Firebase Cloud Messaging (FCM) – Google Ireland Ltd. (für Android).
Datenarten: Gerätespezifisches Push‑Token, App‑/Nutzer‑ID (Zuweisung), Benachrichtigungsinhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in den Systemeinstellungen; jederzeit widerrufbar).
4.6 Nutzungs‑, Protokoll‑ & Diagnosedaten
Umfang: App‑Version, Gerätetyp/OS, technische Protokolle, Crash‑Reports, Performance‑Metriken, Interaktionsdaten (z. B. Bildschirmaufrufe).
Zwecke: Fehlerbehebung, Stabilität, Missbrauchsabwehr; (sofern zugestimmt) Produktanalyse.
Dienstleister: Expo Software, Inc. (USA) – Crash/Performance/OTA‑Updates.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT‑Sicherheit/Fehlerdiagnose) sowie Art. 6 Abs. 1 lit. a DSGVO für optionale Analyse.
Hinweis: Keine Profilerstellung zu Werbezwecken.
5. Drittanbieter (Auftragsverarbeiter) & Empfänger
5.1 Supabase (Backend‑Infrastruktur)
Anbieter: Supabase, Inc., USA.
Leistungen: Datenbank, Authentifizierung, Realtime‑Funktionen, Dateispeicher.
Datenarten: Nutzer‑, Event‑, Freundschafts‑, Chat‑ und Medien‑Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Übermittlung: USA auf Basis von SCC.
Sicherheit: Transportverschlüsselung (TLS), rollenbasierte Zugriffe.
5.2 Twilio (SMS‑Versand)
Siehe 3.2.
5.3 Google Calendar API
Anbieter: Google Ireland Limited (Irland) / Google LLC (USA).
Zweck: Kalendersynchronisation für Google‑Konten.
Datenarten: Kalenderdaten (Termine, Verfügbarkeit u. Ä.).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Übermittlung: ggf. USA auf Basis von SCC.
Policy‑Hinweis: Einhaltung der Google API Services User Data Policy („Limited Use“).
5.4 Apple EventKit
Anbieter: Apple Inc., USA.
Zweck: Kalendersynchronisation auf Apple‑Geräten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
5.5 Push‑Dienste
APNs (Apple) und FCM (Google) – siehe 4.5.
5.6 Expo (Framework/OTA/Diagnose)
Anbieter: Expo Software, Inc., USA.
Zweck: App‑Bereitstellung (OTA‑Updates), Crash‑ & Performance‑Diagnose.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT‑Sicherheit/Betrieb) und Art. 6 Abs. 1 lit. a DSGVO (sofern Analyse aktiviert).
Übermittlung: USA auf Basis von SCC.
6. Datenverarbeitung in App‑Funktionen
6.1 Events
Datenarten: Titel, Beschreibung, Ort, Zeit, Teilnehmerliste, Bilder, Sichtbarkeit.
Zweck: Organisation sozialer Aktivitäten, Einladungen, Erinnerungen.
Sichtbarkeit: gemäß Ihrer Auswahl (privat / nur Freunde / ausgewählte Gruppen / öffentlich).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (App‑Funktion) bzw. lit. a (bei optionalen Angaben/Uploads).
6.2 Chat
Datenarten: Nachrichten (Text/Bild/Datei), Zeitstempel, Lesebestätigungen, Teilnehmer.
Sicherheit: Transportverschlüsselung (TLS) zwischen App und Server. Keine Ende‑zu‑Ende‑Verschlüsselung. Serverseitige Verarbeitung über Supabase Realtime.
Speicherdauer: Bis zur Löschung durch Nutzer oder Kontolöschung (siehe 10.3).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.3 Freundschaften & Gruppen („Tags“)
Datenarten: Freundesliste, Verknüpfungen, Gruppen/Tags, Sichtbarkeiten.
Zweck: Vernetzung, zielgerichtete Sichtbarkeit/Einladungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.4 Verfügbarkeits‑Status („Swipe“)
Datenarten: Status (verfügbar/nicht), Zeitfenster, optional Stimmung/Mood.
Sichtbarkeit: von Ihnen steuerbar (alle Freunde / bestimmte Gruppen / niemand).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. a bei optionalen Angaben.
6.5 Aktivitätsfeed
Inhalte: Kalendersynchronisation (wenn aktiviert), erstellte Events, Interaktionen.
Optionale Funktionen: Up/Downvotes zur Relevanzbestimmung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b; für Lernalgorithmen Art. 6 Abs. 1 lit. f (Interessenabwägung: bessere Ergebnisse, jederzeit Widerspruch – siehe 8.3).
7. Automatisierte Entscheidungen / Profiling
Wir verwenden Empfehlungs‑ und Sortieralgorithmen (z. B. Event‑Vorschläge). Es finden keine Entscheidungen statt, die gegenüber Ihnen rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung).
Widerspruch: Sie können der Nutzung jederzeit widersprechen (siehe 11.6).
8. Weitergabe & Kategorien von Empfängern
Grundsatz: Keine Weitergabe an Dritte außerhalb der hier genannten Zwecke.
Empfänger: Auftragsverarbeiter nach Art. 28 DSGVO (Abschnitt 5).
Behörden/Strafverfolgung: nur bei gesetzlicher Verpflichtung oder zur Rechtsverteidigung (Art. 6 Abs. 1 lit. c/f).
Keine Datenverkäufe, keine Weitergabe zu Werbezwecken.
9. Internationale Datenübermittlungen
Soweit Dienstleister Daten in Drittländer (insb. USA) verarbeiten, erfolgt die Übermittlung auf Basis der EU‑Standardvertragsklauseln (SCC) und ggf. zusätzlicher Schutzmaßnahmen. Sofern ein Anbieter an einem Anerkennungs‑/Angemessenheitsmechanismus (z. B. EU‑US Data Privacy Framework) teilnimmt, stützen wir Übermittlungen ergänzend hierauf. Restrisiken lassen sich nicht vollständig ausschließen.
10. Datensicherheit & Aufbewahrung
10.1 Technische und organisatorische Maßnahmen
TLS‑Verschlüsselung, Zugriffsbeschränkungen/RBAC, Zwei‑Faktor‑Schutz administrativer Zugänge, regelmäßige Updates/Backups, Protokollierung, Mitarbeiter‑/Dienstleister‑Verpflichtung auf Vertraulichkeit.
10.2 Umgang mit Datenpannen
Bei Verletzungen des Schutzes personenbezogener Daten informieren wir die Aufsichtsbehörde gem. Art. 33 DSGVO und – sofern erforderlich – betroffene Personen gem. Art. 34 DSGVO.
10.3 Konkrete Aufbewahrungsfristen
Kontodaten (Name, Tel., DOB, E‑Mail): bis Kontolöschung; danach Löschung binnen 30 Tagen (sofern keine gesetzlichen Pflichten).
Profilbild & Medien: bis zur Entfernung durch Sie oder Kontolöschung.
Events & Einladungen: bis zur Löschung durch Ersteller oder Kontolöschung; Protokolle max. 180 Tage.
Chats: bis zur Löschung durch Nutzer oder Kontolöschung.
Kontakt‑Hashes (Freunde‑Abgleich): nur kurzfristig zum Matching, sofortige Löschung nach Abschluss des Abgleichs.
Push‑Token: bis Abmeldung von Push oder Kontolöschung.
Crash/Diagnose‑Logs: i. d. R. 90 Tage, sofern keine Sicherheitsvorfälle eine längere Aufbewahrung erfordern.
Rechts‑/Nachweiszwecke: bis zum Ablauf einschlägiger Verjährungs‑/Aufbewahrungsfristen.
11. Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).
Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie gegen Direktwerbung.
Widerruf von Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft – z. B. in den System‑/App‑Einstellungen (Kalender, Kontakte, Push, Analyse).
Beschwerderecht (Art. 77) bei einer Aufsichtsbehörde, z. B.:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27 (Schloss), 91522 Ansbach, Deutschland, www.lda.bayern.de.
Anfragen richten Sie bitte an datenschutz@somma.one. Wir verifizieren aus Sicherheitsgründen Ihre Identität (z. B. per Login/SMS‑Code).
12. Minderjährigenschutz
Mindestalter für die App‑Nutzung: 16 Jahre. Bei der Registrierung erfragen wir das Geburtsdatum. Nutzer unter 16 Jahren dürfen die App nicht verwenden. Für 16‑ bis 18‑Jährige empfehlen wir die Einbindung der Erziehungsberechtigten.
13. Cookies & Tracking in der App
Wir verwenden keine Werbe‑SDKs oder geräteübergreifende Werbetracker.
Session‑IDs und Geräte‑IDs/Push‑Token sind technisch notwendig.
Eine optionale Nutzungsanalyse zur Produktverbesserung erfolgt nur mit Ihrer Einwilligung; Sie können diese in der App jederzeit deaktivieren. (Hinweis: Bei iOS kann zusätzlich die App Tracking Transparency‑Abfrage erscheinen, sofern relevant.)
14. Social‑Sharing
Wenn Sie Inhalte aus der App in externen Social‑Media‑Diensten teilen, verarbeitet die jeweilige Plattform eigenverantwortlich Daten gemäß deren Datenschutzhinweisen.
15. Änderungen dieser Erklärung
Wir können diese Erklärung anpassen, wenn Funktionen oder Rechtslagen sich ändern. Über wesentliche Änderungen informieren wir per In‑App‑Hinweis oder E‑Mail. Die jeweils aktuelle Fassung ist in der App und unter www.somma.one/datenschutz-app abrufbar.
16. Kontakt
Datenschutz‑Kontakt: datenschutz@somma.one
Postanschrift: Erzgießereistraße 51, 80335 München, Deutschland
Support: support@somma.one
Transparenzkurzinfo für App‑Stores (Apple/Google)
Mit dir verknüpfte Daten: Kontaktinformationen (Name, Tel., E‑Mail), Kennungen (Benutzer‑ID, Push‑Token), Kontakte (zum Abgleich), Benutzerinhalte (Chats, Fotos/Videos, Event‑Inhalte), Nutzungsdaten (Produktinteraktion), Diagnose (Crash/Performance).
Nicht erhoben: Standortdaten (derzeit).
Zwecke: App‑Funktionalität, Support, (mit Einwilligung) Analyse/Verbesserung.
Keine Werbenutzung/kein Verkauf.
Datenschutzerklärung für die Somma‑App
Stand: 20.08.2025 – Version 1.1
1. Verantwortlicher und Datenschutzkontakt
Verantwortlicher gem. Art. 4 Nr. 7 DSGVO
Marlon Becker
Erzgießereistraße 51
80335 München, Deutschland
E‑Mail: datenschutz@somma.one
Website: www.somma.one
Telefon: +49 176 66869158
Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind. Für sämtliche Datenschutzanfragen nutzen Sie bitte die obige Kontaktadresse.
2. Allgemeine Informationen zur Datenverarbeitung
Zwecke der Verarbeitung
Betrieb der App, Nutzerverwaltung, Kommunikations‑ und Planungsfunktionen, Sicherheit/Fehlerbehebung, Support und (sofern zugestimmt) Nutzungsanalyse.
Rechtsgrundlagen (Art. 6 Abs. 1 DSGVO)
a) Einwilligung (z. B. Kontakte/Push/Analyse/Kalenderzugriff)
b) Vertragserfüllung oder vorvertragliche Maßnahmen (Registrierung, Login, Kernfunktionen)
c) Rechtliche Verpflichtung (z. B. Aufbewahrungspflichten)
f) Berechtigte Interessen (z. B. Betrugsprävention, IT‑Sicherheit, Fehler‑/Crash‑Diagnose)
Erforderlichkeit der Angaben
Telefonnummer und Name sind für die Kontoerstellung erforderlich. Ohne diese Angaben ist eine Nutzung der App nicht möglich. Weitere Angaben (Profilbild, E‑Mail) sind optional.
Speicherdauer (allgemein)
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konkrete Fristen siehe Abschnitt 10.3.
Empfängerkategorien
IT‑Hosting/Backend, Authentifizierung/Messaging, Push‑Dienst, Crash‑/Performance‑Diagnose, (sofern zugestimmt) Analyse. Mit allen Auftragsverarbeitern bestehen Verträge gem. Art. 28 DSGVO.
Datenquellen
Grundsätzlich direkt von Ihnen. Bei der Funktion „Freunde finden“ verarbeiten wir außerdem von Ihnen bereitgestellte Kontaktdaten Dritter (siehe 4.2 / Art. 14 DSGVO).
3. Datenverarbeitung bei App‑Nutzung
3.1 Registrierung & Benutzerkonto
Datenarten: Name (Pflicht), Telefonnummer (Pflicht/Verifizierung), Geburtsdatum (Pflicht/Altersprüfung), E‑Mail (optional), Profilbild (optional), Benutzer‑ID.
Zwecke: Kontoanlage, Authentifizierung, Kommunikationsmöglichkeit, Alterskontrolle.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Bis Kontolöschung; danach Löschung innerhalb von 30 Tagen, sofern keine gesetzlichen Pflichten entgegenstehen.
3.2 Telefonnummer‑Verifizierung (SMS‑OTP)
Vorgehen: Versand eines Einmalcodes per SMS.
Dienstleister: Twilio Ireland Limited (Irland) / Twilio Inc. (USA, ggf. Unterauftragsverarbeiter).
Datenarten: Telefonnummer, Verifizierungscode, Meta‑/Protokolldaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag), lit. f (Betrugsprävention).
Übermittlung in Drittländer: USA auf Basis der EU‑Standardvertragsklauseln (SCC).
4. App‑Berechtigungen und Gerätedaten
4.1 Kalenderzugriff (Google Calendar / Apple Calendar)
Umfang: Lesen/Schreiben von Terminen (Titel, Datum/Uhrzeit, Ort, Teilnehmer, Beschreibung, Wiederholungen).
Zwecke: Verfügbarkeiten anzeigen, Terminplanung, Synchronisation von Somma‑Events mit Ihrem Kalender, Vermeidung von Konflikten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Besonderheit Google‑APIs: Nutzung nur für die bereitgestellten App‑Funktionen; keine Weitergabe/kein Verkauf von Google‑Kalenderdaten und keine Verwendung für Werbung.
4.2 Kontaktezugriff (Freunde finden/Einladen)
Umfang: Mit Ihrer Einwilligung werden die Telefonnummern Ihrer Kontakte lokal gehasht und ausschließlich zum Abgleich genutzt. Kontaktnamen übertragen wir nicht. Kontaktdaten von Nicht‑Nutzern speichern wir nicht dauerhaft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Hinweis Art. 14 DSGVO (Daten Dritter): Eine individuelle Benachrichtigung aller Kontakte ist unverhältnismäßig (Art. 14 Abs. 5 lit. b DSGVO). Verarbeitung beschränkt sich auf Hash‑Abgleich; anschließend werden die Hashes verworfen (siehe 10.3).
4.3 Standortdaten
Derzeit erheben oder verarbeiten wir keine Standortdaten. Sollten Standortfunktionen künftig eingeführt werden, holen wir vorab eine Einwilligung ein und aktualisieren diese Erklärung.
4.4 Kamera & Fotomediathek
Zwecke: Profilbild aufnehmen/auswählen, Bilder in Events oder Chats teilen.
Verarbeitung: Upload nur nach Ihrer aktiven Auswahl.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
4.5 Push‑Benachrichtigungen
Arten: Event‑Einladungen, Chat‑Nachrichten, Freundschaftsanfragen, Erinnerungen.
Dienstleister: Apple Push Notification service (APNs) – Apple Inc. (für iOS) / Firebase Cloud Messaging (FCM) – Google Ireland Ltd. (für Android).
Datenarten: Gerätespezifisches Push‑Token, App‑/Nutzer‑ID (Zuweisung), Benachrichtigungsinhalt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in den Systemeinstellungen; jederzeit widerrufbar).
4.6 Nutzungs‑, Protokoll‑ & Diagnosedaten
Umfang: App‑Version, Gerätetyp/OS, technische Protokolle, Crash‑Reports, Performance‑Metriken, Interaktionsdaten (z. B. Bildschirmaufrufe).
Zwecke: Fehlerbehebung, Stabilität, Missbrauchsabwehr; (sofern zugestimmt) Produktanalyse.
Dienstleister: Expo Software, Inc. (USA) – Crash/Performance/OTA‑Updates.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT‑Sicherheit/Fehlerdiagnose) sowie Art. 6 Abs. 1 lit. a DSGVO für optionale Analyse.
Hinweis: Keine Profilerstellung zu Werbezwecken.
5. Drittanbieter (Auftragsverarbeiter) & Empfänger
5.1 Supabase (Backend‑Infrastruktur)
Anbieter: Supabase, Inc., USA.
Leistungen: Datenbank, Authentifizierung, Realtime‑Funktionen, Dateispeicher.
Datenarten: Nutzer‑, Event‑, Freundschafts‑, Chat‑ und Medien‑Daten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Übermittlung: USA auf Basis von SCC.
Sicherheit: Transportverschlüsselung (TLS), rollenbasierte Zugriffe.
5.2 Twilio (SMS‑Versand)
Siehe 3.2.
5.3 Google Calendar API
Anbieter: Google Ireland Limited (Irland) / Google LLC (USA).
Zweck: Kalendersynchronisation für Google‑Konten.
Datenarten: Kalenderdaten (Termine, Verfügbarkeit u. Ä.).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Übermittlung: ggf. USA auf Basis von SCC.
Policy‑Hinweis: Einhaltung der Google API Services User Data Policy („Limited Use“).
5.4 Apple EventKit
Anbieter: Apple Inc., USA.
Zweck: Kalendersynchronisation auf Apple‑Geräten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
5.5 Push‑Dienste
APNs (Apple) und FCM (Google) – siehe 4.5.
5.6 Expo (Framework/OTA/Diagnose)
Anbieter: Expo Software, Inc., USA.
Zweck: App‑Bereitstellung (OTA‑Updates), Crash‑ & Performance‑Diagnose.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT‑Sicherheit/Betrieb) und Art. 6 Abs. 1 lit. a DSGVO (sofern Analyse aktiviert).
Übermittlung: USA auf Basis von SCC.
6. Datenverarbeitung in App‑Funktionen
6.1 Events
Datenarten: Titel, Beschreibung, Ort, Zeit, Teilnehmerliste, Bilder, Sichtbarkeit.
Zweck: Organisation sozialer Aktivitäten, Einladungen, Erinnerungen.
Sichtbarkeit: gemäß Ihrer Auswahl (privat / nur Freunde / ausgewählte Gruppen / öffentlich).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (App‑Funktion) bzw. lit. a (bei optionalen Angaben/Uploads).
6.2 Chat
Datenarten: Nachrichten (Text/Bild/Datei), Zeitstempel, Lesebestätigungen, Teilnehmer.
Sicherheit: Transportverschlüsselung (TLS) zwischen App und Server. Keine Ende‑zu‑Ende‑Verschlüsselung. Serverseitige Verarbeitung über Supabase Realtime.
Speicherdauer: Bis zur Löschung durch Nutzer oder Kontolöschung (siehe 10.3).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.3 Freundschaften & Gruppen („Tags“)
Datenarten: Freundesliste, Verknüpfungen, Gruppen/Tags, Sichtbarkeiten.
Zweck: Vernetzung, zielgerichtete Sichtbarkeit/Einladungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
6.4 Verfügbarkeits‑Status („Swipe“)
Datenarten: Status (verfügbar/nicht), Zeitfenster, optional Stimmung/Mood.
Sichtbarkeit: von Ihnen steuerbar (alle Freunde / bestimmte Gruppen / niemand).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. a bei optionalen Angaben.
6.5 Aktivitätsfeed
Inhalte: Kalendersynchronisation (wenn aktiviert), erstellte Events, Interaktionen.
Optionale Funktionen: Up/Downvotes zur Relevanzbestimmung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b; für Lernalgorithmen Art. 6 Abs. 1 lit. f (Interessenabwägung: bessere Ergebnisse, jederzeit Widerspruch – siehe 8.3).
7. Automatisierte Entscheidungen / Profiling
Wir verwenden Empfehlungs‑ und Sortieralgorithmen (z. B. Event‑Vorschläge). Es finden keine Entscheidungen statt, die gegenüber Ihnen rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Interessenabwägung).
Widerspruch: Sie können der Nutzung jederzeit widersprechen (siehe 11.6).
8. Weitergabe & Kategorien von Empfängern
Grundsatz: Keine Weitergabe an Dritte außerhalb der hier genannten Zwecke.
Empfänger: Auftragsverarbeiter nach Art. 28 DSGVO (Abschnitt 5).
Behörden/Strafverfolgung: nur bei gesetzlicher Verpflichtung oder zur Rechtsverteidigung (Art. 6 Abs. 1 lit. c/f).
Keine Datenverkäufe, keine Weitergabe zu Werbezwecken.
9. Internationale Datenübermittlungen
Soweit Dienstleister Daten in Drittländer (insb. USA) verarbeiten, erfolgt die Übermittlung auf Basis der EU‑Standardvertragsklauseln (SCC) und ggf. zusätzlicher Schutzmaßnahmen. Sofern ein Anbieter an einem Anerkennungs‑/Angemessenheitsmechanismus (z. B. EU‑US Data Privacy Framework) teilnimmt, stützen wir Übermittlungen ergänzend hierauf. Restrisiken lassen sich nicht vollständig ausschließen.
10. Datensicherheit & Aufbewahrung
10.1 Technische und organisatorische Maßnahmen
TLS‑Verschlüsselung, Zugriffsbeschränkungen/RBAC, Zwei‑Faktor‑Schutz administrativer Zugänge, regelmäßige Updates/Backups, Protokollierung, Mitarbeiter‑/Dienstleister‑Verpflichtung auf Vertraulichkeit.
10.2 Umgang mit Datenpannen
Bei Verletzungen des Schutzes personenbezogener Daten informieren wir die Aufsichtsbehörde gem. Art. 33 DSGVO und – sofern erforderlich – betroffene Personen gem. Art. 34 DSGVO.
10.3 Konkrete Aufbewahrungsfristen
Kontodaten (Name, Tel., DOB, E‑Mail): bis Kontolöschung; danach Löschung binnen 30 Tagen (sofern keine gesetzlichen Pflichten).
Profilbild & Medien: bis zur Entfernung durch Sie oder Kontolöschung.
Events & Einladungen: bis zur Löschung durch Ersteller oder Kontolöschung; Protokolle max. 180 Tage.
Chats: bis zur Löschung durch Nutzer oder Kontolöschung.
Kontakt‑Hashes (Freunde‑Abgleich): nur kurzfristig zum Matching, sofortige Löschung nach Abschluss des Abgleichs.
Push‑Token: bis Abmeldung von Push oder Kontolöschung.
Crash/Diagnose‑Logs: i. d. R. 90 Tage, sofern keine Sicherheitsvorfälle eine längere Aufbewahrung erfordern.
Rechts‑/Nachweiszwecke: bis zum Ablauf einschlägiger Verjährungs‑/Aufbewahrungsfristen.
11. Ihre Rechte
Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20).
Widerspruch (Art. 21) gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie gegen Direktwerbung.
Widerruf von Einwilligungen (Art. 7 Abs. 3) mit Wirkung für die Zukunft – z. B. in den System‑/App‑Einstellungen (Kalender, Kontakte, Push, Analyse).
Beschwerderecht (Art. 77) bei einer Aufsichtsbehörde, z. B.:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27 (Schloss), 91522 Ansbach, Deutschland, www.lda.bayern.de.
Anfragen richten Sie bitte an datenschutz@somma.one. Wir verifizieren aus Sicherheitsgründen Ihre Identität (z. B. per Login/SMS‑Code).
12. Minderjährigenschutz
Mindestalter für die App‑Nutzung: 16 Jahre. Bei der Registrierung erfragen wir das Geburtsdatum. Nutzer unter 16 Jahren dürfen die App nicht verwenden. Für 16‑ bis 18‑Jährige empfehlen wir die Einbindung der Erziehungsberechtigten.
13. Cookies & Tracking in der App
Wir verwenden keine Werbe‑SDKs oder geräteübergreifende Werbetracker.
Session‑IDs und Geräte‑IDs/Push‑Token sind technisch notwendig.
Eine optionale Nutzungsanalyse zur Produktverbesserung erfolgt nur mit Ihrer Einwilligung; Sie können diese in der App jederzeit deaktivieren. (Hinweis: Bei iOS kann zusätzlich die App Tracking Transparency‑Abfrage erscheinen, sofern relevant.)
14. Social‑Sharing
Wenn Sie Inhalte aus der App in externen Social‑Media‑Diensten teilen, verarbeitet die jeweilige Plattform eigenverantwortlich Daten gemäß deren Datenschutzhinweisen.
15. Änderungen dieser Erklärung
Wir können diese Erklärung anpassen, wenn Funktionen oder Rechtslagen sich ändern. Über wesentliche Änderungen informieren wir per In‑App‑Hinweis oder E‑Mail. Die jeweils aktuelle Fassung ist in der App und unter www.somma.one/datenschutz-app abrufbar.
16. Kontakt
Datenschutz‑Kontakt: datenschutz@somma.one
Postanschrift: Erzgießereistraße 51, 80335 München, Deutschland
Support: support@somma.one
Transparenzkurzinfo für App‑Stores (Apple/Google)
Mit dir verknüpfte Daten: Kontaktinformationen (Name, Tel., E‑Mail), Kennungen (Benutzer‑ID, Push‑Token), Kontakte (zum Abgleich), Benutzerinhalte (Chats, Fotos/Videos, Event‑Inhalte), Nutzungsdaten (Produktinteraktion), Diagnose (Crash/Performance).
Nicht erhoben: Standortdaten (derzeit).
Zwecke: App‑Funktionalität, Support, (mit Einwilligung) Analyse/Verbesserung.
Keine Werbenutzung/kein Verkauf.
Made with
in Munich
Made with
in Munich
Made with
in Munich