# Datenschutzerklärung

Stand: 11. Juni 2026

Diese Datenschutzerklärung informiert dich darüber, wie deine personenbezogenen Daten verarbeitet werden, wenn du Bluumme nutzt — sowohl in der mobilen App (iOS, Android) als auch auf der Website https://bluumme.com.

1. Verantwortlicher

Emir Atay Metzer Str. 62 40476 Düsseldorf Deutschland E-Mail: hello@bluumme.com

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO, § 38 BDSG).

2. Welche Daten wir verarbeiten

2.1 Kontodaten

Bei der Registrierung erfassen wir: E-Mail-Adresse, Benutzername, Passwort (in gehashter Form), optionalen Anzeigenamen, optionales Profilbild.

Bei „Sign in with Apple": einen anonymisierten Apple-Identifier, optionale E-Mail (auch privates Apple-Relay). Bei „Sign in with Google": E-Mail, Name, Profilbild-URL (sofern verfügbar).

2.2 Inhalte

Fotos, Videos, Bildunterschriften, Kommentare, Likes, gespeicherte Challenges, Streaks und Rangdaten.

2.3 Standortdaten (nur mit Einwilligung)

Wenn du in einem Post Standort teilst, speichern wir die ungefähren Koordinaten dieses Posts. Du kannst die Standortfreigabe jederzeit in den Geräteeinstellungen oder in den App-Einstellungen widerrufen.

2.4 Geräte- und Nutzungsdaten

IP-Adresse (gekürzt bei Logs), Gerätetyp, Betriebssystemversion, App-Version, Spracheinstellung, Absturzberichte, Performance-Metriken sowie pseudonyme Produkt-Analyse-Ereignisse (z. B. „App geöffnet", „Post erstellt" — siehe Abschnitt 4.6).

2.5 Push-Benachrichtigungen (nur mit Einwilligung)

Wenn du Benachrichtigungen aktivierst, speichern wir einen geräte­spezifischen Token, um dir z. B. Streak-Erinnerungen oder Challenge-Updates senden zu können.

2.6 Moderations- und Sicherheitsdaten

Wenn du die Sicherheits-Funktionen der App nutzt, speichern wir nur die Daten, die wir zum Handeln benötigen:

deine Nutzer-ID, die gemeldete ID, die gewählte Kategorie (Spam, Belästigung, Nacktheit, Hass oder Sonstiges) und einen Zeitstempel.

Nutzer-IDs und einen Zeitstempel, damit Inhalte in beide Richtungen ausgeblendet werden können.

Bedingungen, die du bei der Registrierung akzeptiert hast, um zu wissen, wann eine erneute Zustimmung erforderlich ist.

2.7 Automatische Inhaltsfilterung

Bei der Erstellung eines Posts läuft ein kleiner Sprachfilter über Bildunterschriften und Benutzernamen, der allgemein anerkannte Schimpfwörter in den unterstützten Sprachen blockiert. Inhalte werden dabei nicht gespeichert; nur das Ablehnungs-Ereignis wird dir in der App angezeigt.

2.8 Direktnachrichten

Wenn du einem anderen Bluumme-Nutzer eine Direktnachricht (DM) sendest, speichern wir die folgenden Daten, damit die Nachricht zugestellt und beiden Teilnehmern angezeigt werden kann:

das in der App aufgenommene Foto oder Video).

DMs werden per TLS (HTTPS) übertragen und bei unserem Auftragsverarbeiter (Google Cloud / Firestore, AES-256 server-seitige Verschlüsselung) verschlüsselt gespeichert. Sie sind nicht Ende-zu-Ende-verschlüsselt — das bedeutet, dass Mitarbeiter von Bluumme grundsätzlich Zugriff auf Nachrichteninhalte haben könnten, um auf rechtmäßige Anfragen, Missbrauchs- meldungen oder gerichtliche Anordnungen reagieren zu können. Wir lesen DMs nicht zu Werbe-, Profiling- oder KI-Trainingszwecken und geben ihre Inhalte nicht an Dritte weiter.

Du kannst eine einzelne Nachricht oder eine gesamte Unterhaltung jederzeit in der App löschen. Wenn du deinen Account löschst, werden auch alle von dir gesendeten DMs gelöscht; empfangene DMs werden aus deiner Ansicht entfernt, bleiben aber im Posteingang des Empfängers bestehen, bis dieser sie löscht (analog zur Funktionsweise von E-Mail).

3. Zwecke und Rechtsgrundlagen

ZweckRechtsgrundlage
Bereitstellung des Dienstes (Account, Feed, Posts, Ranking)Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Direktnachrichten zwischen NutzernArt. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Standortfreigabe in PostsArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Push-BenachrichtigungenArt. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Sicherheit, Missbrauchsprävention, ModerationArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Absturzberichte und Performance-AnalyseArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Eigene Analyse — Verständnis der Funktionsnutzung (Registrierungen, Aktivierung, Wiederkehr) zur Verbesserung der AppArt. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Erfüllung gesetzlicher Pflichten (z. B. Löschverlangen)Art. 6 Abs. 1 lit. c DSGVO

4. Empfänger und Drittlandstransfer

Wir nutzen folgende Auftragsverarbeiter:

4.1 Google (Firebase)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Datenverarbeitung auch in den USA durch Google LLC). Genutzte Dienste: Firebase Authentication, Firestore (Datenbank), Cloud Storage, Cloud Functions, Firebase Hosting. Rechtsgrundlage für Drittlandtransfer (USA): EU-US Data Privacy Framework (DPF), Google ist zertifiziert. Datenschutzerklärung: https://policies.google.com/privacy DPF-Eintrag: https://www.dataprivacyframework.gov

4.2 Apple (Sign in with Apple, App Store, Push)

Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Datenschutzerklärung: https://www.apple.com/legal/privacy/

4.3 Hosting der Website

Firebase Hosting (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland)

4.4 Interne Moderations-Benachrichtigungen

Neue Meldungen lösen über einen privaten Discord-Webhook eine interne Benachrichtigung an den Betreiber aus, damit wir die 24-Stunden-Frist einhalten können. Der Webhook erhält die Meldungs-ID, die gewählte Kategorie und den öffentlichen Handle des gemeldeten Accounts — keine privaten Kontoinformationen, keine Beitragsinhalte über die öffentliche Bildunterschrift hinaus und keine personenbezogenen Daten des Meldenden über den öffentlichen Anzeigenamen hinaus.

4.5 Absturzberichte (Sentry)

Functional Software, Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Wir nutzen Sentry, um Absturzberichte und Performance-Daten zu erfassen und Fehler beheben zu können. Unser Sentry-Projekt ist auf EU-Datenresidenz konfiguriert — Absturzdaten werden in der Europäischen Union (Deutschland) erfasst und gespeichert. Absturzberichte können deine interne Nutzer-ID, Geräteinformationen und den App-Zustand zum Fehlerzeitpunkt enthalten — niemals dein Passwort oder Nachrichteninhalte. Rechtsgrundlage für einen etwaigen Rest-Transfer in die USA: EU-US Data Privacy Framework (DPF); Sentry ist DPF-zertifiziert. Datenschutzerklärung: https://sentry.io/privacy/

4.6 Produkt-Analyse (PostHog)

PostHog, Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA. Wir nutzen PostHog Cloud EU, um zu verstehen, wie Bluumme genutzt wird (z. B. wie viele Nutzer die App öffnen, Posts erstellen oder nach der Registrierung zurückkehren), und das Produkt zu verbessern. Ereignisse werden auf Servern in der Europäischen Union (Frankfurt, Deutschland) gespeichert und sind ausschließlich mit einer pseudonymen Kennung verknüpft — einer zufälligen Geräte-ID bzw. nach der Anmeldung deiner internen Nutzer-ID. Sie werden niemals mit deinem Namen, deiner E-Mail-Adresse, deinen Fotos oder Nachrichteninhalten verknüpft; wir nutzen diese Daten nicht für Werbung und geben sie nicht zu eigenen Zwecken an Dritte weiter. Du kannst dieser Verarbeitung jederzeit widersprechen (Art. 21 DSGVO) über hello@bluumme.com; wir löschen dann dein Analyse-Profil. Rechtsgrundlage für einen etwaigen Rest-Transfer in die USA: EU-US Data Privacy Framework (DPF); PostHog ist DPF-zertifiziert. Datenschutzerklärung: https://posthog.com/privacy

Wir verkaufen keine Daten an Dritte. Wir geben keine Daten an Werbenetzwerke weiter.

5. Speicherdauer

DatenSpeicherdauer
Aktive KontodatenSolange dein Account besteht
Posts, Kommentare, LikesSolange dein Account besteht oder du sie löschst
DirektnachrichtenBis du die Nachricht/Unterhaltung löschst oder einer der Teilnehmer seinen Account löscht
EULA-Zustimmung (Zeitstempel + Version)Solange dein Account besteht
Blockierungs-EinträgeBis du den Nutzer entblockst oder dein Konto gelöscht wird
Meldungen (Posts oder Nutzer)12 Monate zur Missbrauchsprävention
Daten nach Account-LöschungBis zu 30 Tage in Backups, dann unwiderruflich gelöscht
Server-Logs (gekürzte IP)14 Tage
Absturzberichte90 Tage
Produkt-Analyse-Ereignisse (pseudonym)Max. 24 Monate bzw. bis zu deinem Widerspruch / Löschverlangen

6. Deine Rechte

Nach DSGVO stehen dir folgende Rechte zu:

Zur Ausübung dieser Rechte: hello@bluumme.com oder direkt in den App-Einstellungen.

Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2-4, 40213 Düsseldorf https://www.ldi.nrw.de

7. Minderjährige

Bluumme richtet sich an Personen ab 13 Jahren. Personen unter 16 Jahren benötigen in Deutschland gemäß Art. 8 DSGVO die Zustimmung eines Erziehungsberechtigten. Wir nehmen wissentlich keine Registrierungen von Kindern unter 13 Jahren entgegen.

8. Sicherheit

Wir verwenden TLS für die Datenübertragung, Firebase-Standardverschlüsselung für ruhende Daten, gehashte Passwörter (bcrypt durch Firebase Auth) und beschränken den Zugang zu Produktionsdaten auf den Verantwortlichen.

9. Cookies und Tracking

Die Bluumme-App selbst setzt keine Cookies. Die Website setzt nur technisch notwendige Cookies (Session, Spracheinstellung). Es werden keine Werbe- oder Analyse-Cookies ohne deine ausdrückliche Einwilligung gesetzt.

10. Automatisierte Entscheidungen

Wir nutzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO. Das Ranking-System basiert auf veröffentlichten Posts und Interaktionen, hat aber keine rechtliche oder ähnlich erhebliche Wirkung auf dich.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, um neuen rechtlichen Anforderungen oder Änderungen am Dienst Rechnung zu tragen. Wesentliche Änderungen kündigen wir in der App und per E-Mail mindestens 14 Tage vor Inkrafttreten an.