Datenschutzerklärung

Stand: 28. April 2026 · Version 1.0

Inhalt

Verantwortlicher
Geltungsbereich
Begriffe & Rechtsgrundlagen
Besuch der Webseite
Verarbeitung in der App
Drittanbieter & Auftragsverarbeiter
Drittland-Transfers
Speicherdauer & Löschung
Datensicherheit
Deine Rechte
Beschwerderecht
Automatisierte Entscheidungen
Minderjährige
Änderungen
Kontakt

freimo nimmt den Schutz deiner personenbezogenen Daten ernst. Diese Erklärung informiert dich gemäß Art. 13 und 14 DSGVO darüber, welche Daten wir verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange wir sie speichern und welche Rechte dir zustehen.

1. Verantwortlicher

Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO und sonstiger nationaler Datenschutzgesetze ist:

Nico Zachert
Anschrift: siehe Impressum
E-Mail: privacy@freimo.app

Ein Datenschutzbeauftragter ist nicht bestellt, da freimo aktuell die Schwellenwerte des § 38 BDSG nicht erreicht. Anfragen zum Datenschutz gehen direkt an den Verantwortlichen über die oben genannte Adresse.

2. Geltungsbereich

Diese Erklärung gilt für die Webseite freimo.app (inkl. aller Unterseiten) und die iOS-App freimo, die im Apple App Store unter dem Namen „freimo" erhältlich ist. Sie gilt nicht für externe Dienste, zu denen wir verlinken; für deren Inhalte und Datenschutz sind die jeweiligen Anbieter verantwortlich.

3. Begriffe & Rechtsgrundlagen

Wir verwenden Begriffe wie „personenbezogene Daten", „Verarbeitung" und „Einwilligung" im Sinne von Art. 4 DSGVO. Verarbeitungen stützen wir – je nach Zweck – auf folgende Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. optionales Analytics, Standortabfrage, Push-Erlaubnis)
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der App-Funktionen, Account-Verwaltung)
Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (Aufbewahrung steuerlich relevanter Belege, sofern anwendbar)
Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (IT-Sicherheit, Missbrauchsabwehr, Stabilitätsüberwachung via Crash-Reports)

4. Besuch der Webseite (freimo.app)

Wenn du freimo.app aufrufst, werden vom CDN-Anbieter (Cloudflare) technisch notwendige Verbindungsdaten verarbeitet:

IP-Adresse (gekürzt nach Logging)
Datum und Uhrzeit der Anfrage
aufgerufene URL und HTTP-Statuscode
User-Agent (Browser, Betriebssystem)
Referrer-URL (sofern vom Browser übermittelt)

Diese Daten sind technisch erforderlich, um die Webseite anzuzeigen und Angriffe abzuwehren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse liegt im sicheren Betrieb der Webseite. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Die Webseite setzt keine Tracking-Cookies und keine Drittanbieter-Cookies. Die einzige extern geladene Ressource sind Google Fonts (siehe Abschnitt 6).

5. Verarbeitung in der App

5.1 Account-Daten

Bei der Registrierung erheben wir abhängig von der gewählten Login-Methode:

E-Mail-Login: E-Mail-Adresse, von dir gesetztes Passwort (gehashed gespeichert), Display-Name, Username.
Sign in with Apple: die von Apple bereitgestellte E-Mail (ggf. anonymisierter Apple-Relay), optional dein Name. Apple übermittelt uns deine reale E-Mail-Adresse nur dann, wenn du dies in der Apple-Anmeldung erlaubst.

Zweck: Identifikation, Authentifizierung, Account-Wiederherstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.2 Profildaten

Optional kannst du Profilbild (Avatar) und Stadt/Region angeben. Diese Daten sind für Freunde sichtbar, denen du den Kontakt gewährst. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — du kannst sie jederzeit im Profil ändern oder entfernen.

5.3 Soziale Daten

freimo verarbeitet die Daten, die für die Kernfunktionen erforderlich sind: Freundschaftslisten, von dir geteilte Zeitfenster („Lücken"), Treffen-Vorschläge und -Verläufe, Chat-Nachrichten zwischen dir und deinen Freunden, Statusmeldungen, Reaktionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5.4 Kalender-Daten (lokal)

Wichtig: Dein Geräte-Kalender wird ausschließlich lokal auf deinem iPhone ausgelesen. Inhalte, Titel, Teilnehmer oder Notizen deiner Termine werden niemals an unsere Server übertragen. freimo nutzt nur die Information „belegt/frei" lokal, um dir passende Slots vorzuschlagen.

Wenn du dem Kalenderzugriff zustimmst (iOS-Permission), liest die App die Belegung deiner Tage lokal aus. Du kannst die Erlaubnis jederzeit in den iOS-Einstellungen widerrufen, ohne dass die App ihre Hauptfunktion verliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

5.5 Push-Tokens

Wenn du Benachrichtigungen erlaubst, übermitteln wir deinen APNs-Device-Token an unseren Server (Supabase) und nutzen ihn, um dir Push-Benachrichtigungen über Apples APNs-Dienst zuzustellen. Beim Logout wird der Token in unserer Datenbank auf null gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. lit. b.

5.6 Standortdaten (City-Erkennung)

Optional kannst du der App erlauben, deinen Standort zu nutzen, um deine Stadt zu erkennen und automatisch ins Profil einzutragen. Die Standort-Koordinaten werden lokal verarbeitet; wir speichern auf unseren Servern nur die abgeleitete Stadt-/Regions-Information, nicht die exakten Koordinaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

5.7 Crash- und Fehler-Reports

Zur Stabilisierung der App nutzen wir Sentry. Bei Abstürzen oder Fehlern werden technische Daten (Stack-Trace, Geräteklasse, OS-Version, App-Version) übermittelt. Personenbezogene Daten werden auf dem Gerät vor dem Versand maskiert (E-Mail-Adressen, Tokens, Keys, Auth-Strings). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung).

5.8 Optionale Produktanalyse (PostHog)

Wenn du im Onboarding zustimmst, nutzen wir PostHog (EU-Cloud), um anonymisierte Produktnutzung zu verstehen (z. B. welche Features genutzt werden, Crash-freie Sessions). Du kannst die Zustimmung jederzeit im Profil-Tab unter „Datennutzung" widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

5.9 AI-Coach

Der optionale AI-Coach in freimo verwendet ein Large-Language-Model, um dir kontextbezogene Hinweise zu geben. Wenn du den Coach aufrufst, werden ausschließlich die für die konkrete Anfrage notwendigen Daten (z. B. Vornamen deiner Freunde, allgemeine Treffen-Häufigkeit) an den Modell-Provider übermittelt. Es findet keine Trainingsnutzung statt. Coach-Antworten werden ausdrücklich als KI-generiert gekennzeichnet (Apple-Guideline 4.7). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Coach ist Teil der vertraglich angebotenen Funktion).

6. Drittanbieter & Auftragsverarbeiter

Mit folgenden Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO:

Anbieter	Zweck	Daten	Region
Supabase, Inc.	Datenbank, Auth, Storage, Edge Functions	Account-, Profil-, soziale Daten	EU (Frankfurt)
Resend Inc.	Transaktionale E-Mails (Passwort-Reset, Verify)	E-Mail-Adresse, E-Mail-Inhalt	EU (Irland)
Functional Software Inc. (Sentry)	Crash-Reports, Fehlermonitoring	Stack-Traces, Geräte-Metadaten	EU (Frankfurt — de.ingest)
PostHog, Inc.	Optionale Produktanalyse (nur bei Einwilligung)	Anonymisierte Event-Daten	EU (Frankfurt)
Apple Inc.	Sign in with Apple, APNs Push	Apple-User-ID, Push-Token	USA / global (DPF)
Cloudflare, Inc.	CDN für freimo.app, DDoS-Schutz	IP, Request-Metadaten	global / EU-Edge (DPF)
Google LLC	Google Fonts (Schriftart Inter Tight auf Webseite)	IP zur Schriften-Auslieferung	USA (DPF)

Die Auflistung wird laufend aktuell gehalten. Sollten neue Auftragsverarbeiter hinzukommen, wird diese Erklärung entsprechend aktualisiert.

7. Drittland-Transfers

Verarbeitungen außerhalb des Europäischen Wirtschaftsraums (EWR) finden nur statt, soweit für die Funktion erforderlich (z. B. Apple APNs, Cloudflare-Edge, Google Fonts). Soweit ein Drittland-Transfer erfolgt, stützen wir uns auf:

EU-US Data Privacy Framework (DPF) — Apple, Cloudflare und Google sind unter dem DPF zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).
Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als zusätzliche Absicherung, ergänzt durch „Transfer-Impact-Assessments" wo notwendig.

8. Speicherdauer & Löschung

Aktive Account-Daten: solange dein Account besteht.
Account-Löschung: Wenn du im Profil-Tab „Konto löschen" aufrufst, wird dein Account 30 Tage in einem gesperrten Zustand gehalten („Soft-Delete"). Während dieser 30 Tage kannst du die Löschung durch erneutes Anmelden rückgängig machen. Nach Ablauf der Frist werden alle personenbezogenen Daten irreversibel aus unserer Datenbank und aus den Sicherungskopien entfernt.
Web-Server-Logs: 14 Tage, danach automatische Löschung.
Crash-Reports (Sentry): 90 Tage Standard-Retention.
Analytics (PostHog): 12 Monate, sofern Einwilligung erteilt.
Steuerlich relevante Belege (z. B. bei Inanspruchnahme einer kostenpflichtigen Funktion): 10 Jahre gemäß § 147 AO.

9. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, insbesondere:

Transportverschlüsselung (TLS 1.2+) für jegliche Kommunikation
Verschlüsselung der Datenbank im Ruhezustand (AES-256)
Passwort-Hashing nach Industrie-Standard (bcrypt/Argon2)
Row-Level-Security (RLS): jede Datenbank-Abfrage ist auf den authentifizierten Nutzer begrenzt
Regelmäßige Sicherheits-Updates der Abhängigkeiten (Dependabot)
Zugang zu Produktiv-Systemen mit 2-Faktor-Authentifizierung

10. Deine Rechte

Dir stehen jederzeit folgende Betroffenenrechte zu:

Auskunft (Art. 15 DSGVO) — du erhältst auf Anfrage eine Kopie aller bei uns gespeicherten personenbezogenen Daten. Selfservice in der App: Profil → „Meine Daten exportieren".
Berichtigung (Art. 16) — fehlerhafte Daten kannst du im Profil selbst korrigieren oder uns mitteilen.
Löschung (Art. 17) — über die App im Profil oder per E-Mail an privacy@freimo.app.
Einschränkung der Verarbeitung (Art. 18) — auf Anfrage.
Datenübertragbarkeit (Art. 20) — Export im JSON- und CSV-Format über die App.
Widerspruch (Art. 21) — gegen Verarbeitungen auf Basis berechtigter Interessen.
Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit und mit Wirkung für die Zukunft, z. B. durch Deaktivieren der Analytics-Option in den App-Einstellungen.

Anfragen richtest du an privacy@freimo.app. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

11. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe steht dir das Recht zu, dich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere in dem Mitgliedstaat deines Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Eine Liste der deutschen Aufsichtsbehörden findest du unter: bfdi.bund.de.

12. Automatisierte Entscheidungen

Wir setzen keine automatisierten Entscheidungsfindungen oder Profilbildungen im Sinne von Art. 22 DSGVO ein, die rechtliche Wirkung dir gegenüber entfalten. Der AI-Coach trifft keine für dich verbindlichen Entscheidungen — seine Hinweise sind als Vorschläge zu verstehen.

13. Minderjährige

freimo richtet sich an Personen ab 16 Jahren. Wir verarbeiten wissentlich keine Daten von Personen unter 16 Jahren. Sollte uns bekannt werden, dass ein Account von einer minderjährigen Person betrieben wird, löschen wir den Account unverzüglich.

14. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Verarbeitungstätigkeiten aktuell zu halten. Wesentliche Änderungen werden in der App angekündigt. Es gilt jeweils die zum Zeitpunkt deiner Nutzung aktuelle Fassung; das Datum oben („Stand:") gibt die letzte Aktualisierung an.

15. Kontakt

Für Datenschutz-Fragen, Auskunftsersuchen, Widerrufe oder Beschwerden:

E-Mail: privacy@freimo.app
Postanschrift: siehe Impressum

Diese Datenschutzerklärung wurde mit Sorgfalt erstellt. Sollten Aspekte deiner Verarbeitung unklar bleiben, freuen wir uns über deine Rückfrage.