enmaru.app

Datenschutzerklärung
auf Deutsch

Datenschutzerklärung

Stand: 30. Mai 2026
Verantwortlicher: Sebastian Hesse, Winsstr. 61, 10405 Berlin — privacy@enmaru.app
Impressum: In der App unter Einstellungen → Support & Legal → Impressum

1. Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung der enmaru (iOS und Android) sowie aller damit verbundenen Dienste. Die App richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 18 Jahren.

2. Erhobene Daten

2.1 Registrierung

  • E-Mail-Adresse, Passwort (verschlüsselt), Einwilligungs-Zeitstempel
  • Alternativ: Registrierung und Anmeldung per Google-Konto (Google OAuth 2.0) — siehe Abschnitt 2.6 und Abschnitt 5

2.2 Profilerstellung

  • Vor- und Nachname (Pflicht), Profilfoto (Pflicht)
  • Beruf, Unternehmen, Branche, Interessen, Kontaktdaten (freiwillig)

2.3 App-Nutzung

  • GPS-Standort (nur mit Einwilligung, nur bei aktivem Refresh)
  • Check-in-Standort (Venue-Name + Adresse, nur nach Bestätigung)
  • Chat-Nachrichten
  • App-Nutzungsereignisse (anonymisiert, kein Personenbezug möglich — siehe Abschnitt 6)

2.4 Gerätezugriffsrechte

Die App benötigt folgende Gerätezugriffsrechte:

Zugriffsrecht Zweck Aktivierung
Standort (GPS) Entfernung zu anderen Nutzern berechnen Nur nach expliziter Einwilligung in der App
Fotobibliothek / Kamera Profilfoto hochladen Nur auf Anforderung beim Fotoauswahl-Dialog
Push-Benachrichtigungen Hinweise auf neue Nachrichten Nur nach expliziter Einwilligung in der App

Alle Zugriffsrechte können jederzeit in den Systemeinstellungen des Geräts widerrufen werden.

2.5 Einwilligungen (mit Zeitstempel)

  • AGB und Datenschutz, GPS-Standort, Push-Benachrichtigungen, Chat-Benachrichtigungen

2.6 Google-Authentifizierung (OAuth 2.0)

Wenn du dich über die Schaltfläche „Mit Google anmelden” registrierst oder anmeldest, übermittelt Google LLC nach deiner Freigabe folgende Daten an uns:

Datum Herkunft Speicherort
E-Mail-Adresse deines Google-Kontos Google Supabase Auth (EU, Irland)
Google Account ID (pseudonymisierter Bezeichner) Google Supabase Auth (EU, Irland)
Anzeigename deines Google-Kontos Google Supabase Auth (EU, Irland)

Was wir nicht übernehmen: Dein Google-Profilfoto wird nicht automatisch importiert. Du lädst dein Profilfoto separat und bewusst innerhalb der App hoch.

Token-Verarbeitung: Das von Google ausgestellte OAuth-Token wird ausschließlich zur sicheren Authentifizierung über Supabase (PKCE-Verfahren, RFC 7636) verarbeitet und nicht für andere Zwecke genutzt. Es wird serverseitig gespeichert und ist für uns nicht im Klartext zugänglich.

Einwilligung: Die Nutzung von Google OAuth setzt voraus, dass du zuvor aktiv die Schaltfläche „Mit Google anmelden” betätigt sowie unsere AGB und diese Datenschutzerklärung per Checkbox ausdrücklich akzeptiert hast. Eine stillschweigende oder voreingestellte Einwilligung findet nicht statt.

3. Zweck und Rechtsgrundlage

Daten Zweck Rechtsgrundlage
E-Mail, Name Account-Verwaltung Art. 6 Abs. 1 lit. b DSGVO
Profilfoto, Profildaten Darstellung im Netzwerk Art. 6 Abs. 1 lit. b DSGVO
Google Account ID, E-Mail (OAuth) Authentifizierung via Google-Konto Art. 6 Abs. 1 lit. a DSGVO
GPS-Standort Echtzeit-Discovery (~100 m Genauigkeit) Art. 6 Abs. 1 lit. a DSGVO
Check-in Verfügbarkeitsanzeige für Nutzer im Umkreis Art. 6 Abs. 1 lit. a DSGVO
Chat-Nachrichten Direkte Kommunikation Art. 6 Abs. 1 lit. b DSGVO
Push-Benach­richtigungen Hinweise auf Aktivitäten Art. 6 Abs. 1 lit. a DSGVO
Analytics Produktverbesserung (anonymisiert) Art. 6 Abs. 1 lit. f DSGVO

4. Einwilligungen und Widerruf

Alle datenintensiven Funktionen erfordern eine explizite In-App-Einwilligung. Widerruf jederzeit über:

  • Standort: Einstellungen → Location Sharing (löscht gespeicherte Koordinaten sofort)
  • Push: Einstellungen → Notifications
  • Chat-Benachrichtigungen: Einstellungen → Chat Notifications
  • Google-Verknüpfung: Einstellungen → Account löschen (entfernt alle mit deinem Google-Konto verknüpften Daten aus der enmaru; die Verarbeitung durch Google LLC richtet sich nach deren Datenschutzrichtlinie)

5. Drittanbieter

App-Stores (Apple / Google)

Beim Download der App über den Apple App Store bzw. Google Play Store werden personenbezogene Daten (z. B. Apple-ID/Google-Konto, Gerätekennung, IP-Adresse, Zeitpunkt des Downloads) durch Apple Inc. bzw. Google LLC als eigenständig Verantwortliche verarbeitet. Auf diese Verarbeitung haben wir keinen Einfluss.

Google LLC — OAuth-Authentifizierung

Für die optional nutzbare Anmeldung per Google-Konto (Google Sign-In / OAuth 2.0) ist Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, als eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO tätig.

Datenfluss: Beim Klick auf „Mit Google anmelden” wird dein Browser/Gerät zur Google-Authentifizierungsseite weitergeleitet. Google protokolliert diese Anfrage sowie deinen Anmeldevorgang gemäß seiner eigenen Datenschutzrichtlinie. Anschließend übermittelt Google uns einen verschlüsselten Autorisierungscode (PKCE-Verfahren), den wir gegen ein Zugriffstoken austauschen. Dabei erhalten wir ausschließlich die in Abschnitt 2.6 genannten Daten.

Drittlandtransfer: Die Übermittlung von Daten an Google-Server in den USA erfolgt auf Basis von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Google LLC ist darüber hinaus dem EU-U.S. Data Privacy Framework (Beschluss der EU-Kommission vom 10. Juli 2023) beigetreten.

Optionalität: Die Nutzung von Google OAuth ist vollständig freiwillig. Eine Registrierung und Anmeldung ausschließlich per E-Mail-Adresse und Passwort ist jederzeit möglich und führt zu keinen funktionalen Nachteilen.

Supabase

OneSignal (Push)

Google Maps Platform (Venue-Suche)

GitHub, Inc. (Feedback-Einreichungen)

  • GitHub, Inc. (Microsoft-Tochter), 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
  • Funktion: Wenn du freiwillig In-App-Feedback einreichst (Einstellungen → Feedback), wird dein Feedback als Issue in unser privates GitHub-Repository übermittelt. GitHub handelt dabei als unser Auftragsverarbeiter.
  • Verarbeitete Daten: Dein Feedback-Text, Geräteinformationen (Plattform, OS-Version, Gerätemodell, App-Version), aktueller Bildschirm sowie eine pseudonymisierte Nutzer-ID (erste 8 Zeichen deiner Konto-ID — nicht auf deine Identität zurückführbar). Es werden keine Namen, E-Mail-Adressen oder genauen Standortdaten übermittelt.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — ausdrückliche Einwilligung (freiwillige, nutzerinitiierte Aktion)
  • Freiwilligkeit: Vollständig freiwillig — du bist zu keiner Zeit verpflichtet, Feedback einzureichen
  • Drittlandtransfer: GitHub Inc. ist in den USA ansässig; Grundlage: EU-Standardvertragsklauseln
  • Datenschutzerklärung: docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement
  • Aufbewahrung: Feedback-Issues werden in unserem privaten Repository gespeichert und können von uns jederzeit gelöscht werden

IONOS (DNS, Hosting & Transaktions-E-Mail)

  • Hosting: Deutschland (EU) · AVV automatisch über AGB eingeschlossen

6. Analytics

Wir betreiben ein selbst gehostetes, serverseitiges Analysesystem auf Basis von Supabase (EU Irland). Dabei werden ausschließlich anonymisierte App-Nutzungsereignisse erfasst (z. B. welche Funktionen aufgerufen werden). Es werden keine Geräte-IDs, IP-Adressen, Standortdaten oder sonstige personenbezogene Daten für Analytics-Zwecke verarbeitet. Ein Rückschluss auf einzelne Personen ist technisch ausgeschlossen. Daten werden nicht an Dritte weitergegeben und nicht für Werbezwecke genutzt.

7. Standortdaten

  • Exakter Standort wird niemals anderen Nutzern übermittelt
  • Angezeigt wird ausschließlich eine gerundete Entfernung (~100 m Schritte)
  • Check-in: Venue-Name und Verfügbarkeit sichtbar für Nutzer im Umkreis — du wirst vor jedem Check-in ausdrücklich informiert

8. Speicherdauer

  • Operative Daten: bis zur Kontolöschung
  • Google-OAuth-Daten (Supabase Auth): bis zur Kontolöschung; Google verarbeitet Daten auf seiner Seite nach seiner eigenen Löschrichtlinie
  • Compliance-Daten (nach Löschung): anonymisierter Nachweis für max. 3 Jahre (Art. 5 Abs. 2, Art. 17 Abs. 3 DSGVO), danach automatisch gelöscht

9. Deine Rechte

  • Auskunft (Art. 15) — privacy@enmaru.app
  • Berichtigung (Art. 16) — direkt in der App
  • Löschung (Art. 17) — Einstellungen → Account löschen
  • Einschränkung (Art. 18) — privacy@enmaru.app
  • Datenübertragbarkeit (Art. 20) — Einstellungen → Support & Legal → Download my data. Du erhältst einen sicheren Download-Link per E-Mail (gültig 24 Stunden, max. 3 Anfragen pro 24 Stunden). Die Datei wird nach Ablauf automatisch gelöscht. Keine personenbezogenen Daten im E-Mail-Anhang.
  • Widerspruch (Art. 21) — Location Sharing Toggle
  • Widerruf (Art. 7 Abs. 3) — jederzeit über die Toggles in den Einstellungen

10. Beschwerderecht

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin · mailbox@datenschutz-berlin.de
datenschutz-berlin.de

11. Änderungen

Wesentliche Änderungen werden registrierten Nutzern mitgeteilt.

Privacy Policy
in English

Privacy Policy

Last updated: 30 May 2026
Controller: Sebastian Hesse, Winsstr. 61, 10405 Berlin, Germany — privacy@enmaru.app

1. Scope

This Privacy Policy applies to the use of the enmaru (iOS and Android) and all related services. The app is intended exclusively for persons aged 18 and over. We do not knowingly collect personal data from persons under the age of 18.

2. Data We Collect

2.1 Registration

  • Email address, password (hashed), consent timestamps
  • Alternatively: registration and sign-in via Google account (Google OAuth 2.0) — see Sections 2.6 and 5

2.2 Profile Setup

  • First and last name (required), profile photo (required)
  • Profession, company, industry, interests, contact details (optional)

2.3 App Usage

  • GPS coordinates (only with your consent, only on explicit refresh)
  • Check-in location (venue name + address, only after confirmation)
  • Chat messages, anonymised analytics events

2.4 Device Permissions

The app requires the following device permissions:

Permission Purpose Activation
Location (GPS) Calculate distance to other users Only after explicit in-app consent
Photo Library / Camera Upload profile photo Only when requested via photo picker
Push Notifications Alerts for new messages Only after explicit in-app consent

All permissions can be revoked at any time via your device’s system settings.

2.5 Consents (stored with timestamp)

  • Terms & Privacy, GPS location, push notifications, chat notifications

2.6 Google Sign-In (OAuth 2.0)

If you register or sign in using the “Continue with Google” button, Google LLC transmits the following data to us after your explicit authorisation:

Data Source Storage Location
Email address of your Google account Google Supabase Auth (EU, Germany — Frankfurt)
Google Account ID (pseudonymous identifier) Google Supabase Auth (EU, Germany — Frankfurt)
Display name of your Google account Google Supabase Auth (EU, Germany — Frankfurt)

What we do not import: Your Google profile photo is not automatically transferred. You upload your profile photo separately and deliberately within the app.

Token processing: The OAuth token issued by Google is processed exclusively for secure authentication via Supabase (PKCE flow, RFC 7636) and is not used for any other purpose. It is stored server-side and is not accessible to us in plaintext.

Consent: Use of Google OAuth requires that you have actively clicked the “Continue with Google” button and explicitly accepted our Terms of Service and this Privacy Policy by ticking the corresponding checkboxes. No implied or pre-ticked consent takes place.

3. Purpose and Legal Basis

Data Purpose Legal Basis
Email, name Account management Art. 6(1)(b) GDPR — contract
Profile photo, profile data Display in network Art. 6(1)(b) GDPR
Google Account ID, email (OAuth) Authentication via Google account Art. 6(1)(a) GDPR — consent
GPS location Real-time discovery (~100 m accuracy) Art. 6(1)(a) GDPR — consent
Check-in Availability signal to nearby users Art. 6(1)(a) GDPR — consent
Chat messages Direct communication Art. 6(1)(b) GDPR
Push notifications Activity alerts Art. 6(1)(a) GDPR — consent
Analytics Product improvement (anonymised) Art. 6(1)(f) GDPR

4. Consent and Withdrawal

All data-intensive features require explicit in-app consent. You can withdraw at any time:

  • Location: Settings → Location Sharing (clears stored coordinates immediately)
  • Push notifications: Settings → Notifications
  • Chat notifications: Settings → Chat Notifications
  • Google sign-in: Settings → Delete Account (removes all enmaru data linked to your Google account; processing by Google LLC is governed by Google’s own Privacy Policy)

5. Third-Party Providers

App Stores (Apple / Google)

When downloading the app via the Apple App Store or Google Play Store, personal data (e.g. Apple ID/Google account, device identifier, IP address, download timestamp) is processed by Apple Inc. and Google LLC respectively as independent controllers. We have no influence over this processing.

Google LLC — OAuth Authentication

For the optional sign-in via Google account (Google Sign-In / OAuth 2.0), Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA acts as an independent data controller within the meaning of Art. 4(7) GDPR.

Data flow: When you click “Continue with Google”, your browser/device is redirected to Google’s authentication page. Google logs this request and your sign-in event in accordance with its own Privacy Policy. Google then transmits an encrypted authorisation code (PKCE flow) to us, which we exchange for an access token. In doing so, we receive only the data specified in Section 2.6.

Third-country transfer: The transfer of data to Google servers in the United States is based on Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR. Google LLC is additionally a participant of the EU-U.S. Data Privacy Framework (European Commission adequacy decision of 10 July 2023).

Optionality: Use of Google OAuth is entirely voluntary. Registration and sign-in using only an email address and password is always available and results in no functional disadvantage.

Supabase

OneSignal (Push Notifications)

Google Maps Platform (Venue Search)

GitHub, Inc. (Feedback Submissions)

  • GitHub, Inc. (a Microsoft subsidiary), 88 Colin P Kelly Jr St, San Francisco, CA 94107, USA
  • Function: When you voluntarily submit in-app feedback (Settings → Feedback), your feedback is sent to our private GitHub repository as an issue. GitHub acts as our processor.
  • Data processed: Your feedback text, device information (platform, OS version, device model, app version), current screen, and a pseudonymised partial user ID (first 8 characters of your account ID — not reversible to your identity without additional data). No name, email address, or exact location is transmitted.
  • Legal basis: Art. 6(1)(a) GDPR — explicit consent (voluntary, user-initiated action)
  • Optionality: Entirely optional — you are never required to submit feedback
  • Third-country transfer: GitHub Inc. is US-based; transfer basis: EU Standard Contractual Clauses
  • Privacy Policy: docs.github.com/en/site-policy/privacy-policies/github-general-privacy-statement
  • Retention: Feedback issues are stored in our private repository and may be deleted at any time by us

IONOS (DNS, Hosting & Transactional Email)

  • Hosting: Germany (EU) · DPA auto-incorporated via Terms of Service

6. Location Data

  • Your exact location is never transmitted to other users
  • Other users only see a rounded distance (~100 m increments)
  • Check-ins are voluntary; you are explicitly informed before each check-in

7. Retention Periods

  • Operational data: until account deletion
  • Google OAuth data (Supabase Auth): until account deletion; Google processes data on its end in accordance with its own deletion policy
  • Compliance records (post-deletion): anonymised consent evidence for up to 3 years (Art. 5(2), Art. 17(3) GDPR), then automatically deleted

8. Your Rights

  • Access (Art. 15) — privacy@enmaru.app
  • Rectification (Art. 16) — directly in the app
  • Erasure (Art. 17) — Settings → Delete Account
  • Restriction (Art. 18) — privacy@enmaru.app
  • Data portability (Art. 20) — Settings → Support & Legal → Download my data. You receive a secure download link by email (valid 24 hours, max. 3 requests per 24 hours). The file is automatically deleted after expiry. No personal data in the email attachment.
  • Object (Art. 21) — Location Sharing toggle
  • Withdraw consent (Art. 7(3)) — per-feature toggles in Settings

9. Right to Lodge a Complaint

Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Friedrichstr. 219, 10969 Berlin, Germany · mailbox@datenschutz-berlin.de
datenschutz-berlin.de

10. Automated Decision-Making and Profiling

Pursuant to Art. 13(2)(f) GDPR, we hereby inform you:

No automated decision-making, including profiling within the meaning of Art. 22(1) and (4) GDPR, takes place. All decisions that have legal effect on users or similarly significantly affect them are made exclusively by human beings.

Note: The app calculates distances between users based on GPS coordinates. This constitutes a purely technical calculation without any evaluation, classification, or legal effect on the data subject.

11. Changes

Material changes will be communicated to registered users.