Datenschutzerklärung

Stand: März 2026

Das Wichtigste auf einen Blick

Wer ich bin: Bastian Matzen / Alma Softwareentwicklung (Einzelunternehmen), Kienitzer Str. 113, 12049 Berlin. Kontakt: privacy@alma-app.eu | www.alma-app.eu

Deine Daten bei mir:

✅ Sicher: Verschlüsselte Speicherung ausschließlich in der EU (Frankfurt am Main).

✅ Privat: Keine Weitergabe an Dritte (außer im Notfall an deine Notfallkontakte).

✅ Freiwillig: Gesundheitsdaten und viele andere Angaben sind komplett optional.

✅ Kontrolliert: Du kannst alles jederzeit einsehen, ändern oder löschen.

✅ Transparent: Keine versteckten Datennutzungen, kein Verkauf deiner Daten.

Deine Rechte: Auskunft, Berichtigung, Löschung, Datenexport, Widerspruch, Widerruf – alles jederzeit möglich.

Beschwerde möglich bei: Berliner Beauftragte für Datenschutz und Informationsfreiheit (datenschutz-berlin.de). Nutzer im EWR können sich auch an die Aufsichtsbehörde ihres Wohnsitzlandes wenden. Nutzer im Vereinigten Königreich können sich an das Information Commissioner's Office (ico.org.uk) wenden. Nutzer in der Schweiz können sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden.

1. Verantwortlicher und Kontakt

Ich bin der Verantwortliche für die Datenverarbeitung der Alma App im Sinne der Datenschutz-Grundverordnung (DSGVO), der UK General Data Protection Regulation (UK GDPR), des Schweizer Bundesgesetzes über den Datenschutz (DSG) und anderer anwendbarer datenschutzrechtlicher Bestimmungen:

Bastian Matzen Alma Softwareentwicklung (Einzelunternehmen) Kienitzer Str. 113 12049 Berlin Deutschland

Kontaktmöglichkeiten

Für Datenschutzfragen (bevorzugt): privacy@alma-app.eu

Für technischen Support: support@alma-app.eu

Website: www.alma-app.eu

1a. Vertreter im Vereinigten Königreich

Gemäß Art. 27 UK GDPR haben wir folgenden Vertreter im Vereinigten Königreich für Datenschutzangelegenheiten benannt:

Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London United Kingdom

Email: privacy@alma-app.eu

2. Überblick über die App und ihre Funktionen

Alma ist eine persönliche Sicherheits- und Kommunikations-App mit zwei Hauptfunktionen:

2.1 Alma Safety Net (Nur mit Connect+ Abonnement)

Automatische Sicherheits-Check-Ins zu festgelegten Zeitfenstern.

Bei verpasstem Check-In: automatische Benachrichtigung deiner Notfallkontakte.

Optionale Weitergabe von Standort- und Gesundheitsinformationen im Notfall.

2.2 Alma Moments (kostenlos)

Soziales Netzwerk zum Teilen von Momenten mit bis zu 30 Verbindungen.

Bei verpasstem Check-In: automatischer Beitrag im sozialen Feed (wenn aktiviert).

Gegenseitige Bestätigung von Freundschaften erforderlich.

2.3 Mindestalter

Die Nutzung der Alma App ist ab 16 Jahren gestattet. Personen unter 16 Jahren dürfen die App nicht nutzen. Mit der Registrierung bestätigst du, dass du mindestens 16 Jahre alt bist.

3. Welche Daten werden verarbeitet?

3.1 Pflichtdaten bei der Registrierung

Für die Nutzung der App benötige ich folgende Daten (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung):

E-Mail-Adresse – für Kontoerstellung, Kommunikation und Passwort-Reset.

Passwort – wird verschlüsselt gespeichert und dient der Kontosicherheit.

Vorname – für Personalisierung und Anzeige bei deinen Kontakten.

Nachname – für vollständige Identifikation.

3.2 Optionale Profildaten

Folgende Daten kannst du freiwillig angeben (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung):

Profilbild – für Personalisierung und soziale Funktionen.

Geburtsdatum – zur Altersverifikation.

Telefonnummer – als alternative Kontaktmöglichkeit.

Adresse – für Notfallinformationen.

Biografie – für soziale Funktionen.

Stadt – für soziale Funktionen und Suche.

3.3 Gesundheitsdaten (nur Connect+, vollständig optional)

Diese besonders sensiblen Daten gemäß Art. 9 DSGVO werden nur mit deiner ausdrücklichen Einwilligung verarbeitet.

Erfasste Daten: Blutgruppe, Allergien, Medikamente, Erkrankungen, Haustiere, Hausschlüssel-Info, sonstige Notfallinformationen.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Sicherheit: Diese Daten werden AES-256 verschlüsselt gespeichert und nur im Notfall an deine bestätigten Notfallkontakte übermittelt.

3.4 Standortdaten (optional)

Die Standorterfassung ist vollständig optional und kann in drei Modi betrieben werden (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO – Einwilligung):

Beim Check-In speichern – Standort wird nur manuell beim Check-In erfasst.

Immer senden – Standort wird im Hintergrund aktualisiert. Es wird technisch nur der jeweils letzte bekannte Standort gespeichert und der vorherige überschrieben.

Deaktiviert – Kein Standort wird erfasst oder geteilt.

Hinweis: Standortdaten werden nach 30 Tagen Inaktivität automatisch gelöscht.

3.5 Check-In-Daten

Bei Check-Ins werden folgende Daten erfasst:

Check-In-Zeitpunkt – für die Sicherheitsüberwachung (Speicherdauer: 90 Tage bei Connect+).

Geräteinformationen – zur Fehleranalyse (Speicherdauer: 90 Tage).

Letzter bekannter Standort – für Notfallbenachrichtigungen (Speicherdauer: max. 30 Tage, wird überschrieben).

3.6 Soziale Daten (Alma Moments)

Bei Nutzung der sozialen Funktionen werden folgende Daten verarbeitet: Beiträge (Text, Bilder, Videos), Kommentare, Likes, Verbindungen und Stimmungs-Emojis.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zur Bereitstellung der sozialen Funktionen) sowie Art. 6 Abs. 1 lit. a DSGVO (für freiwillige Inhalte).

3.7 Technische Daten

Für den Betrieb der App werden folgende technische Daten verarbeitet:

Gerätetyp & Betriebssystem – für App-Optimierung und Fehleranalyse (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

App-Version – für Support und Updates (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

FCM-Token – für Push-Benachrichtigungen (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

Zeitzone – für korrekte Check-In-Zeiten (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).

Server-Logfiles – für Sicherheit der Infrastruktur und Abwehr von Angriffen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO).

3.8 Marketing-Kommunikation (optional)

Nur wenn du bei der Registrierung oder später in den Einstellungen durch Anhaken der Checkbox eingewilligt hast, verarbeite ich deine E-Mail-Adresse und deinen Namen für den Versand von Tipps, Neuigkeiten zur App und Updates (Newsletter).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Abmeldung: Du kannst dich jederzeit über den Abmeldelink in jeder E-Mail oder in den Benachrichtigungseinstellungen der App abmelden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

4. Zwecke der Datenverarbeitung

Ich verarbeite deine Daten für folgende Zwecke:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der App, Check-Ins, Alarmierung, Abo-Verwaltung.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Gesundheitsdaten, Standortfreigabe, optionale Profilinfos, Marketing.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Betrugsprävention, technische Sicherheit, Fehlerbehebung.

Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten, Behördenanfragen.

Hinweis zu Automatisierter Entscheidungsfindung: Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung dir gegenüber entfaltet. Die Auslösung von Alarmen basiert ausschließlich auf den von dir selbst festgelegten Zeitfenstern und Regeln (Wenn-Dann-Logik).

5. Datenempfänger und Auftragsverarbeiter

5.1 Dienstleister

Für den Betrieb der App arbeite ich mit folgenden Dienstleistern zusammen:

Google Firebase (Google Ireland Ltd.) – für Hosting, Datenbank und Authentifizierung. Standort: Frankfurt am Main (europe-west3). Datenschutzgarantie: EU-US Data Privacy Framework (DPF), Google Cloud DPA.

RevenueCat – für Abonnementverwaltung (verarbeitete Daten: Abo-Status, Kaufzeitpunkt, pseudonyme App-User-ID, Transaktionsmetadaten). Standort: USA (AWS). Datenschutzgarantie: EU-Standardvertragsklauseln (SCCs), DPA. Für Übermittlungen aus dem Vereinigten Königreich: UK International Data Transfer Agreement (IDTA) bzw. UK Addendum zu den EU-SCCs. Für Übermittlungen aus der Schweiz: Einhaltung der Anforderungen des DSG.

Mailgun (Sinch) – für E-Mail-Versand. Standort: EU. Datenschutzgarantie: DPA, DSGVO-konform.

Algolia – für Nutzersuche. Standort: EU. Datenschutzgarantie: DPA, DSGVO-konform.

5.2 Bedingte Datenübermittlung (Benachrichtigungskanäle)

Die Übermittlung an diese Dienste erfolgt nur, wenn dein Notfallkontakt diese Kanäle explizit wählt:

Meta (WhatsApp Cloud API) – nur bei Wahl von WhatsApp durch den Kontakt. Meta ist unter dem EU-US Data Privacy Framework zertifiziert. Für Übermittlungen aus dem Vereinigten Königreich gilt ergänzend die UK Extension zum EU-US DPF.

Telegram – Die Nutzung von Telegram erfolgt nur, wenn dein Notfallkontakt diesen Kanal selbst aktiv auswählt. In diesem Fall willigt dein Kontakt direkt in die Datenverarbeitung durch Telegram (ggf. auf Servern außerhalb der EU) ein.

5.3 Keine Datenweitergabe an Dritte

Deine Daten werden nicht verkauft.

Keine Weitergabe zu Werbezwecken Dritter.

Keine Weitergabe an Datenbroker.

Ausnahme: Deine Notfallkontakte erhalten im Notfall die von dir freigegebenen Informationen.

6. Datenspeicherung und -löschung

6.1 Speicherort

Alle Daten werden primär in der Europäischen Union gespeichert (Frankfurt am Main, Google Cloud region europe-west3).

6.2 Speicherdauer & Automatische Löschung

Check-In-Verlauf: Automatisch nach 90 Tagen gelöscht.

Standortdaten: Automatisch nach 30 Tagen Inaktivität gelöscht (bzw. laufend überschrieben).

Server-Logfiles: Automatisch nach 90 Tagen gelöscht (zur Fehleranalyse/Abwehr von Angriffen).

Einladungslinks: Automatisch nach 7 Tagen gelöscht.

Gesundheitsdaten: Löschung nach 12 Monaten Inaktivität.

Kontodaten: Löschung nach 24 Monaten Inaktivität.

Erinnerungen vor Inaktivitäts-Löschung:

Nach 12 Monaten ohne Login: Automatische Löschung der Gesundheitsdaten; Erinnerungs-E-Mail.

Nach 13 Monaten ohne Reaktion: Weitere Erinnerung.

Nach 23 Monaten Inaktivität: Finale Warnungs-E-Mail.

Nach 24 Monaten ohne Reaktion: Vollständige Kontolöschung.

Ausnahme bei aktivem Abonnement: Solange ein bezahltes Connect+ Abonnement aktiv ist, erfolgt keine automatische Inaktivitäts-Löschung.

Rechnungsdaten: Rechnungsdaten (Name, Adresse, Transaktionsinformationen) werden gemäß steuerrechtlicher Aufbewahrungspflichten für 10 Jahre gespeichert (§ 147 AO). Diese Daten werden getrennt von den Nutzungsdaten aufbewahrt.

Gelöschte Konten werden nach einer Karenzzeit von 30 Tagen endgültig und unwiderruflich entfernt.

Wichtig: Mit der Kontolöschung endet die Nutzung sofort. Ab diesem Zeitpunkt werden keine Check-In-Erinnerungen, Alarme oder sonstigen Benachrichtigungen mehr ausgelöst – weder an dich noch an deine Notfallkontakte. Außerdem ist dein Profil in Alma Momente nicht mehr sichtbar. Die endgültige physische Löschung aller Daten erfolgt nach der Karenzzeit von 30 Tagen.

7. Datensicherheit

Ich setze moderne Sicherheitsstandards ein:

Verschlüsselung: TLS 1.2+ für Datenübertragung (Transit) und Speicherung auf AES-256 verschlüsselten Servern (At Rest) für sensible Daten.

Zugriffskontrolle: Firebase Security Rules, strikte Authentifizierung.

App-Sicherheit: Firebase App Check, optionaler biometrischer Schutz (Connect+), separate Einstellungssperre.

8. Deine Rechte

Du hast jederzeit folgende Rechte (gemäß Art. 15-21 DSGVO):

Auskunft & Datenexport: In der App unter Einstellungen → Datenschutz.

Berichtigung: Du kannst alle Profil- und Gesundheitsdaten selbst in der App ändern.

Löschung: Du kannst einzelne Daten oder dein gesamtes Konto direkt in der App löschen.

Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen, z.B. wenn du die Richtigkeit deiner Daten bestreitest oder die Verarbeitung unrechtmäßig ist.

Widerruf von Einwilligungen: Du kannst Einwilligungen (z.B. Standort, Gesundheitsdaten, Marketing) jederzeit in den Einstellungen deaktivieren. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Widerspruchsrecht (Art. 21 DSGVO): Wenn die Datenverarbeitung auf berechtigten Interessen basiert (Art. 6 Abs. 1 lit. f DSGVO), hast du das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit Widerspruch einzulegen.

Beschwerderecht: Du kannst dich an die zuständige Datenschutz-Aufsichtsbehörde wenden. Für in Deutschland ansässige Nutzer ist dies die Berliner Beauftragte für Datenschutz und Informationsfreiheit (datenschutz-berlin.de). Nutzer im Europäischen Wirtschaftsraum (EWR) können sich an die Aufsichtsbehörde ihres Wohnsitzlandes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden. Eine Liste der Aufsichtsbehörden ist unter edpb.europa.eu verfügbar. Nutzer im Vereinigten Königreich können sich an das Information Commissioner's Office (ICO) wenden: ico.org.uk. Nutzer in der Schweiz können sich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wenden: edoeb.admin.ch.

9. Besondere Verarbeitungssituationen

9.1 Notfallbenachrichtigung (nur Connect+)

Im Falle eines verpassten Check-Ins werden deine Notfallkontakte benachrichtigt. Es werden nur die Daten übermittelt, die du im Profil hinterlegt und freigegeben hast (z.B. Standort, Gesundheitsinfos). Rechtsgrundlage:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Art. 9 Abs. 2 lit. a DSGVO (Ausdrückliche Einwilligung für Gesundheitsdaten)

Ergänzend Art. 9 Abs. 2 lit. c DSGVO (Schutz lebenswichtiger Interessen), um im Notfall die körperliche Unversehrtheit sicherzustellen.

9.2 Einladung von Notfallkontakten

Um die Privatsphäre Dritter zu schützen, gibst du in der App keine Kontaktdaten anderer Personen direkt ein.

Link-Erstellung: Du generierst in der App einen persönlichen Einladungslink.

Versand: Du sendest diesen Link über einen Kanal deiner Wahl (z.B. WhatsApp, E-Mail) an deine Vertrauensperson.

Registrierung: Deine Vertrauensperson öffnet den Link und gibt selbstständig ihre Kontaktdaten und den gewünschten Benachrichtigungskanal ein. Solange der Link nicht genutzt wird, werden keine Daten deiner Kontakte gespeichert. Ungenutzte Links verfallen nach 7 Tagen.

9.3 Du als Notfallkontakt

Wenn du eine Einladung annimmst, willigst du ein, dass deine angegebenen Kontaktdaten (Name, E-Mail/Telefon/Handle) zur Benachrichtigung im Notfall gespeichert werden. Du kannst dich jederzeit über einen Opt-Out-Link in den Nachrichten wieder abmelden.

9.4 Ferneinrichtung (Connect+)

Du kannst einer Vertrauensperson temporär (per generiertem Code) Zugriff gewähren, um die App für dich einzurichten und Einstellungen zu verwalten. Nach der erfolgreichen Verbindung bleibt dieser Zugriff bestehen, bis du ihn in der App widerrufst. Zu deiner Sicherheit werden alle Änderungen, die durch die Vertrauensperson vorgenommen werden, protokolliert (Audit-Log).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, vom Nutzer initiierte Funktion).

10. Drittanbieter-Authentifizierung

Google Sign-In: Übermittelt werden E-Mail, Name, Profilbild. (Datenschutz: policies.google.com/privacy)

Apple Sign-In: Übermittelt werden E-Mail (oder Relay-Adresse) und Name. (Datenschutz: apple.com/legal/privacy)

11. Push-Benachrichtigungen

Ich nutze Push-Benachrichtigungen für Check-In-Erinnerungen, Alarme und soziale Interaktionen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (für vertragliche Funktionen wie Alarme) und Art. 6 Abs. 1 lit. f DSGVO (für soziale Hinweise).

Steuerung: Du kannst die meisten Benachrichtigungstypen in den App-Einstellungen verwalten. Kritische Sicherheitsbenachrichtigungen sind Teil des Kerndienstes.

12. Analyse und Fehlerbehebung

12.1 Firebase Analytics

Ich nutze Firebase Analytics in einer datensparsamen Konfiguration, um die Stabilität der App zu gewährleisten und Fehler zu beheben.

Datenschutz-Maßnahmen: Es werden keine Werbe-IDs (IDFA/AAID) gesammelt. Die IP-Anonymisierung ist aktiviert.

Zweck: Anonymisierte Absturz- und Nutzungsstatistiken zur technischen Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Fehlerfreiheit und Sicherheit der App).

12.2 Firebase Crashlytics

Bei App-Abstürzen werden technische Details (Stack Trace, Geräteinfos) gesendet, um den Fehler zu beheben. Es werden keine direkt identifizierenden Daten im Absturzbericht gespeichert.

12.3 ePrivacy und elektronische Kommunikation

Der Zugriff auf bestimmte Gerätefunktionen und die Speicherung technischer Informationen auf dem Endgerät (z.B. FCM-Token) kann nationalen Gesetzen unterliegen, die die ePrivacy-Richtlinie (2002/58/EG) umsetzen. Im Vereinigten Königreich gelten die Privacy and Electronic Communications Regulations 2003 (PECR). In der Schweiz gelten die Bestimmungen des Fernmeldegesetzes (FMG). Soweit nach dem jeweils anwendbaren Recht eine Einwilligung erforderlich ist, wird diese vor dem jeweiligen Zugriff eingeholt.

13. Änderungen dieser Datenschutzerklärung

Ich behalte mir vor, diese Datenschutzerklärung anzupassen. Bei wesentlichen Änderungen wirst du per App oder E-Mail informiert. Die aktuelle Version findest du immer in der App und auf der Website.

14. Internationale Datenübermittlungen

Die primäre Datenspeicherung erfolgt in der Europäischen Union (Frankfurt am Main). Soweit Daten an Dienstleister außerhalb des EWR übermittelt werden (siehe Abschnitt 5), stütze ich mich auf folgende Garantien:

EU-US Data Privacy Framework (DPF): Für Übermittlungen an in den USA ansässige Unternehmen, die unter dem DPF zertifiziert sind (z.B. Google, Meta).

EU-Standardvertragsklauseln (SCCs): Für Übermittlungen an Unternehmen, die nicht unter dem DPF zertifiziert sind (z.B. RevenueCat).

Für Übermittlungen aus dem Vereinigten Königreich: Ich nutze das UK International Data Transfer Agreement (IDTA) oder das UK Addendum zu den EU-SCCs sowie die UK Extension zum EU-US DPF, soweit anwendbar.

Für Übermittlungen mit Bezug zur Schweiz: Ich halte die Anforderungen des Schweizer Bundesgesetzes über den Datenschutz (DSG) ein, einschließlich der Anerkennung von Angemessenheitsentscheidungen des Bundesrates und der Nutzung von Standardvertragsklauseln, soweit erforderlich.

Weitere Details zu den einzelnen Dienstleistern findest du in Abschnitt 5.

15. Nutzer außerhalb der EU/des EWR, des Vereinigten Königreichs und der Schweiz

Für Nutzer in Ländern, die nicht dem Geltungsbereich der DSGVO, der UK GDPR oder des Schweizer DSG unterliegen, wendet der Anbieter dieselben technischen und organisatorischen Maßnahmen an wie für Nutzer innerhalb des DSGVO-Geltungsbereichs. Zwingende Datenschutzvorschriften des Landes, in dem der Nutzer seinen gewöhnlichen Aufenthalt hat, bleiben unberührt.

16. Kontakt

Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlin

E-Mail: privacy@alma-app.eu

Website: www.alma-app.eu