Datenschutzerklärung
Stand: 25. Mai 2026
Diese Datenschutzerklärung informiert dich darüber, wie deine personenbezogenen Daten verarbeitet werden, wenn du Bluumme nutzt — sowohl in der mobilen App (iOS, Android) als auch auf der Website https://bluumme.com.
1. Verantwortlicher
Emir Atay Metzer Str. 62 40476 Düsseldorf Deutschland E-Mail: hello@bluumme.com
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO, § 38 BDSG).
2. Welche Daten wir verarbeiten
2.1 Kontodaten
Bei der Registrierung erfassen wir: E-Mail-Adresse, Benutzername, Passwort (in gehashter Form), optionalen Anzeigenamen, optionales Profilbild.
Bei „Sign in with Apple": einen anonymisierten Apple-Identifier, optionale E-Mail (auch privates Apple-Relay). Bei „Sign in with Google": E-Mail, Name, Profilbild-URL (sofern verfügbar).
2.2 Inhalte
Fotos, Videos, Bildunterschriften, Kommentare, Likes, gespeicherte Challenges, Streaks und Rangdaten.
2.3 Standortdaten (nur mit Einwilligung)
Wenn du in einem Post Standort teilst, speichern wir die ungefähren Koordinaten dieses Posts. Du kannst die Standortfreigabe jederzeit in den Geräteeinstellungen oder in den App-Einstellungen widerrufen.
2.4 Geräte- und Nutzungsdaten
IP-Adresse (gekürzt bei Logs), Gerätetyp, Betriebssystemversion, App-Version, Spracheinstellung, Absturzberichte, Performance-Metriken.
2.5 Push-Benachrichtigungen (nur mit Einwilligung)
Wenn du Benachrichtigungen aktivierst, speichern wir einen gerätespezifischen Token, um dir z. B. Streak-Erinnerungen oder Challenge-Updates senden zu können.
2.6 Moderations- und Sicherheitsdaten
Wenn du die Sicherheits-Funktionen der App nutzt, speichern wir nur die Daten, die wir zum Handeln benötigen:
- Meldungen — wenn du einen Post oder Nutzer meldest, speichern wir deine Nutzer-ID, die gemeldete ID, die gewählte Kategorie (Spam, Belästigung, Nacktheit, Hass oder Sonstiges) und einen Zeitstempel.
- Blockierungen — wenn du einen Nutzer blockierst, speichern wir beide Nutzer-IDs und einen Zeitstempel, damit Inhalte in beide Richtungen ausgeblendet werden können.
- EULA-Zustimmung — wir speichern Zeitstempel und Version der Bedingungen, die du bei der Registrierung akzeptiert hast, um zu wissen, wann eine erneute Zustimmung erforderlich ist.
2.7 Automatische Inhaltsfilterung
Bei der Erstellung eines Posts läuft ein kleiner Sprachfilter über Bildunterschriften und Benutzernamen, der allgemein anerkannte Schimpfwörter in den unterstützten Sprachen blockiert. Inhalte werden dabei nicht gespeichert; nur das Ablehnungs-Ereignis wird dir in der App angezeigt.
2.8 Direktnachrichten
Wenn du einem anderen Bluumme-Nutzer eine Direktnachricht (DM) sendest, speichern wir die folgenden Daten, damit die Nachricht zugestellt und beiden Teilnehmern angezeigt werden kann:
- Die Nutzer-IDs von Sender und Empfänger.
- Den Nachrichteninhalt (Text und, falls angehängt, eine Referenz auf das in der App aufgenommene Foto oder Video).
- Einen Zeitstempel sowie Lese- und Zustellstatus.
DMs werden per TLS (HTTPS) übertragen und bei unserem Auftragsverarbeiter (Google Cloud / Firestore, AES-256 server-seitige Verschlüsselung) verschlüsselt gespeichert. Sie sind nicht Ende-zu-Ende-verschlüsselt — das bedeutet, dass Mitarbeiter von Bluumme grundsätzlich Zugriff auf Nachrichteninhalte haben könnten, um auf rechtmäßige Anfragen, Missbrauchs- meldungen oder gerichtliche Anordnungen reagieren zu können. Wir lesen DMs nicht zu Werbe-, Profiling- oder KI-Trainingszwecken und geben ihre Inhalte nicht an Dritte weiter.
Du kannst eine einzelne Nachricht oder eine gesamte Unterhaltung jederzeit in der App löschen. Wenn du deinen Account löschst, werden auch alle von dir gesendeten DMs gelöscht; empfangene DMs werden aus deiner Ansicht entfernt, bleiben aber im Posteingang des Empfängers bestehen, bis dieser sie löscht (analog zur Funktionsweise von E-Mail).
3. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Dienstes (Account, Feed, Posts, Ranking) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Direktnachrichten zwischen Nutzern | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Standortfreigabe in Posts | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Push-Benachrichtigungen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Sicherheit, Missbrauchsprävention, Moderation | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Absturzberichte und Performance-Analyse | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Eigene Analyse — Verständnis der Funktionsnutzung (Registrierungen, Aktivierung, Wiederkehr) zur Verbesserung der App | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Erfüllung gesetzlicher Pflichten (z. B. Löschverlangen) | Art. 6 Abs. 1 lit. c DSGVO |
4. Empfänger und Drittlandstransfer
Wir nutzen folgende Auftragsverarbeiter:
4.1 Google (Firebase)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Datenverarbeitung auch in den USA durch Google LLC). Genutzte Dienste: Firebase Authentication, Firestore (Datenbank), Cloud Storage, Cloud Functions, Crashlytics. Rechtsgrundlage für Drittlandtransfer (USA): EU-US Data Privacy Framework (DPF), Google ist zertifiziert. Datenschutzerklärung: https://policies.google.com/privacy DPF-Eintrag: https://www.dataprivacyframework.gov
4.2 Apple (Sign in with Apple, App Store, Push)
Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Datenschutzerklärung: https://www.apple.com/legal/privacy/
4.3 Hosting der Website
Firebase Hosting (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland)
4.4 Interne Moderations-Benachrichtigungen
Neue Meldungen lösen über einen privaten Discord-Webhook eine interne Benachrichtigung an den Betreiber aus, damit wir die 24-Stunden-Frist einhalten können. Der Webhook erhält die Meldungs-ID, die gewählte Kategorie und den öffentlichen Handle des gemeldeten Accounts — keine privaten Kontoinformationen, keine Beitragsinhalte über die öffentliche Bildunterschrift hinaus und keine personenbezogenen Daten des Meldenden über den öffentlichen Anzeigenamen hinaus.
Wir verkaufen keine Daten an Dritte. Wir geben keine Daten an Werbenetzwerke weiter.
5. Speicherdauer
| Daten | Speicherdauer |
|---|---|
| Aktive Kontodaten | Solange dein Account besteht |
| Posts, Kommentare, Likes | Solange dein Account besteht oder du sie löschst |
| Direktnachrichten | Bis du die Nachricht/Unterhaltung löschst oder einer der Teilnehmer seinen Account löscht |
| EULA-Zustimmung (Zeitstempel + Version) | Solange dein Account besteht |
| Blockierungs-Einträge | Bis du den Nutzer entblockst oder dein Konto gelöscht wird |
| Meldungen (Posts oder Nutzer) | 12 Monate zur Missbrauchsprävention |
| Daten nach Account-Löschung | Bis zu 30 Tage in Backups, dann unwiderruflich gelöscht |
| Server-Logs (gekürzte IP) | 14 Tage |
| Absturzberichte | 90 Tage |
6. Deine Rechte
Nach DSGVO stehen dir folgende Rechte zu:
- Auskunft (Art. 15 DSGVO) — welche Daten wir über dich gespeichert haben.
- Berichtigung (Art. 16 DSGVO) — Korrektur falscher Daten.
- Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden". In der App: Einstellungen → Konto löschen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Datenübertragbarkeit (Art. 20 DSGVO) — Export deiner Daten im JSON-Format. In der App: Einstellungen → Daten exportieren.
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen.
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO), z. B. für Standort oder Push, in den App-Einstellungen.
Zur Ausübung dieser Rechte: hello@bluumme.com oder direkt in den App-Einstellungen.
Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2-4, 40213 Düsseldorf https://www.ldi.nrw.de
7. Minderjährige
Bluumme richtet sich an Personen ab 13 Jahren. Personen unter 16 Jahren benötigen in Deutschland gemäß Art. 8 DSGVO die Zustimmung eines Erziehungsberechtigten. Wir nehmen wissentlich keine Registrierungen von Kindern unter 13 Jahren entgegen.
8. Sicherheit
Wir verwenden TLS für die Datenübertragung, Firebase-Standardverschlüsselung für ruhende Daten, gehashte Passwörter (bcrypt durch Firebase Auth) und beschränken den Zugang zu Produktionsdaten auf den Verantwortlichen.
9. Cookies und Tracking
Die Bluumme-App selbst setzt keine Cookies. Die Website setzt nur technisch notwendige Cookies (Session, Spracheinstellung). Es werden keine Werbe- oder Analyse-Cookies ohne deine ausdrückliche Einwilligung gesetzt.
10. Automatisierte Entscheidungen
Wir nutzen keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO. Das Ranking-System basiert auf veröffentlichten Posts und Interaktionen, hat aber keine rechtliche oder ähnlich erhebliche Wirkung auf dich.
11. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung anpassen, um neuen rechtlichen Anforderungen oder Änderungen am Dienst Rechnung zu tragen. Wesentliche Änderungen kündigen wir in der App und per E-Mail mindestens 14 Tage vor Inkrafttreten an.