Ombok EN DE

Datenschutzerklärung

Zuletzt aktualisiert: 29. April 2026 · Inkrafttreten: 29. April 2026

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir verarbeiten, wenn Sie die Ombok-App und damit verbundene Dienste (der „Dienst") nutzen, warum wir sie verarbeiten, mit wem wir sie teilen und welche Rechte Sie nach der EU-Datenschutz-Grundverordnung („DSGVO") und dem Bundesdatenschutzgesetz („BDSG") haben.

1. Verantwortlicher

Verantwortlicher für die in dieser Erklärung beschriebene Verarbeitung ist der Betreiber von Ombok. Vollständige Kontaktangaben finden Sie im Impressum. Für Datenschutzanfragen erreichen Sie uns direkt unter privacy@ombok.app.

2. Welche Daten wir verarbeiten

2.1 Konto und Authentifizierung

• E-Mail-Adresse — erforderlich, um Ihr Konto anzulegen, Sie anzumelden, den Zugang wiederherzustellen und Ihnen kontobezogene E-Mails wie Verifizierungs- und Passwort-Zurücksetzungs-Nachrichten zuzusenden.
• Altersbestätigung — bei der Registrierung bestätigen Sie, dass Sie mindestens 18 Jahre alt sind. Wir speichern den Zeitpunkt dieser Bestätigung; Ihr Geburtsdatum speichern wir nicht.

2.2 Profil

• Anzeigename, Handle, bevorzugte Sprachen sowie eine kurze Beschreibung, falls Sie eine angeben. Wir speichern diese Angaben, damit andere Ombok-Nutzer Ihr Profil innerhalb der App sehen können — sie werden nicht im offenen Web veröffentlicht oder von Suchmaschinen indexiert.

2.3 Nachrichten, Sprachnachrichten und Audio

• Direktnachrichten und Sprachnachrichten in Verbindungsanfragen werden auf Ihrem Gerät Ende-zu-Ende-verschlüsselt. Unsere Server speichern den Chiffretext, die verschlüsselte Audiodatei und die minimalen Metadaten, die zur Zustellung der Nachricht nötig sind (etwa wer sie an wen und wann gesendet hat). Wir können den Inhalt dieser Nachrichten nicht lesen.
• Waves (gemeinschaftliche Audio-Threads) können je nach Einstellung der Wave allen Ombok-Nutzern in der App offenstehen oder auf eingeladene Teilnehmer beschränkt sein. Innerhalb einer Wave geteilte Inhalte sind nicht auf dieselbe Weise Ende-zu-Ende-verschlüsselt und sind für die übrigen Teilnehmer sichtbar — und bei Waves, die für alle offen sind, auch für andere Ombok-Nutzer innerhalb der App.
• Verbindungsanfragen, Blockierungen, Wave-Mitgliedschaften und Wave-Likes insoweit, als sie für die Funktion des Dienstes erforderlich sind. Wir erfassen außerdem, welche Waves Sie abgespielt haben, um den In-App-Feed für Sie zu sortieren und zu personalisieren.

2.4 Schlüsselmaterial zur Verschlüsselung

• Öffentliche Verschlüsselungsschlüssel werden auf unsere Server hochgeladen, damit andere Nutzer eine Ende-zu-Ende-verschlüsselte Konversation mit Ihnen beginnen können. Sie geben den Inhalt einer Nachricht nicht preis.
• Ihre privaten Schlüssel verlassen Ihr Gerät nicht und werden vom Betriebssystem Ihres Geräts geschützt.

2.5 Missbrauchsmeldungen

Damit Missbrauchsmeldungen möglich sind, ohne die Ende-zu-Ende-Verschlüsselung aufzubrechen, speichern wir neben jeder verschlüsselten Nachricht für 90 Tage eine kleine Verifikationsangabe. Mit ihr können wir Meldungen prüfen, ohne Ihre Nachrichten zu entschlüsseln. Nach 90 Tagen wird diese Angabe gelöscht und die Nachricht kann nicht mehr gemeldet werden.

2.6 Push-Benachrichtigungen

• Push-Token — wird von Firebase Cloud Messaging (Google) ausgegeben und auf unseren Servern gespeichert, damit wir Benachrichtigungen an Ihr Gerät senden können.
• Benachrichtigungs-Nutzdaten enthalten ausschließlich Routing-Informationen (z. B. „Sie haben eine neue Nachricht") und niemals den entschlüsselten Inhalt einer verschlüsselten Nachricht.

2.7 Geräte- und Diagnosedaten

• App-Version, Build-Nummer, Plattform (iOS / Android), Betriebssystemversion, Hersteller und Modell des Geräts. Diese Angaben werden im User-Agent-Header übermittelt, damit wir Support-Anfragen bearbeiten, Force-Updates steuern und Fehlerbehebungen ausspielen können.
• Server-Logs — bei jedem Abruf des Dienstes protokollieren wir Anfragemethode, URL-Pfad, HTTP-Status, Antwortzeit sowie die oben genannten Diagnose-Header. Wir protokollieren weder Anfrage- oder Antwort-Bodies noch Ihre IP-Adresse in unseren Anwendungs-Logs. Logs werden nur so lange aufbewahrt, wie sie für Betriebs- und Sicherheitszwecke erforderlich sind, und danach gelöscht. Unser Hosting-Anbieter sieht auf Netzwerkebene Verbindungs-Metadaten wie IP-Adressen, um Ihren Datenverkehr zu routen und vor Missbrauch zu schützen; dies erfolgt nach den Vorgaben des Anbieters.

2.8 Analyse und Absturzberichte

Um zu verstehen, wie die App genutzt wird, und um Fehler zu beheben, setzen wir folgende Google-Dienste ein:

• Firebase Analytics — erfasst App-Nutzungsereignisse (etwa den Abschluss des Onboardings oder die Veröffentlichung von Inhalten), die mit Ihrer Konto-ID verknüpft sind, sodass wir die Nutzung auswerten können. Wir senden weder Nachrichteninhalte noch Sprachinhalte, E-Mail-Adressen, Telefonnummern oder Zugangstoken an Firebase; entsprechende Muster werden vor dem Versand jedes Ereignisses automatisch entfernt.
• Firebase Crashlytics — erfasst Absturzberichte und Berichte zu nicht-fatalen Fehlern zusammen mit begrenzten technischen Kontextdaten, damit wir Fehler reproduzieren und beheben können.
• Firebase Performance Monitoring — erfasst aggregierte Performance-Metriken über die App und ihre Netzwerkanfragen. Diese Metriken sind nicht mit Ihrer Konto-ID verknüpft.

Serverseitig führen wir außerdem in unserer eigenen Datenbank ein internes Protokoll von Aktivitätsereignissen (etwa Konto- und Inhaltserstellung sowie Engagement) zu Produktanalysezwecken. Kein externer Analyseanbieter erhält diese Daten.

Sie können Firebase Analytics, Crashlytics und Performance jederzeit in der App in Ihrem Profil unter „Datenschutz" deaktivieren.

3. Warum wir Ihre Daten verarbeiten & Rechtsgrundlagen

• Zur Erbringung des Dienstes (Kontoerstellung, Authentifizierung, Messaging, Schlüsselaustausch, Inhaltsspeicherung, Push-Zustellung, Waves) — Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags mit Ihnen).
• Zur Sicherheit des Dienstes und Missbrauchsprävention (Rate-Limiting, Force-Update-Steuerung, Altersprüfung, Missbrauchsmeldungen, Moderation öffentlicher Inhalte) — Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb eines sicheren Dienstes) und für die Altersprüfung Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung nach jugendschutzrechtlichen Vorgaben).
• Für Diagnostik, Absturzberichte und Produktanalyse (Firebase Analytics, Crashlytics, Performance sowie unser eigenes serverseitiges Ereignisprotokoll) — Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung), die Sie jederzeit in Ihrem Profil unter „Datenschutz" widerrufen können.
• Zur Bearbeitung von Support- und Missbrauchsanfragen — Art. 6 Abs. 1 lit. b oder lit. f DSGVO.
• Zur Erfüllung gesetzlicher Pflichten, einschließlich der Reaktion auf rechtmäßige Anfragen — Art. 6 Abs. 1 lit. c DSGVO.

4. Empfänger & Auftragsverarbeiter

Wir geben personenbezogene Daten ausschließlich an Auftragsverarbeiter weiter, die uns beim Betrieb des Dienstes unterstützen, auf Grundlage schriftlicher Vereinbarungen, die den Anforderungen von Art. 28 DSGVO genügen. Wir verkaufen oder vermieten Ihre personenbezogenen Daten nicht und verwenden sie nicht für Werbezwecke. Folgende Empfängerkategorien erhalten personenbezogene Daten:

• Cloud-Hosting-Anbieter (EU) — betreibt unseren Anwendungsserver und unsere Datenbank, in denen Kontodaten, Profildaten, verschlüsselte Nachrichten-Metadaten, Wave-Metadaten und die Verifikationsangaben für Missbrauchsmeldungen liegen.
• Object-Storage-Anbieter (EU) — speichert Ihre verschlüsselten Audiodateien und Avatare. Speicherung innerhalb der Europäischen Union.
• Anbieter für transaktionale E-Mails (EU) — versendet Verifizierungs- und Passwort-Zurücksetzungs-E-Mails.
• Push-Benachrichtigungsdienst — Google Ireland Limited / Google LLC (Firebase Cloud Messaging). Liefert Benachrichtigungen an Android- und iOS-Geräte aus.
• Analyse & Absturzberichte — Google Ireland Limited / Google LLC (Firebase Analytics, Crashlytics, Performance Monitoring). Empfängt die in Ziff. 2.8 beschriebenen Ereignisse und Absturzberichte.

Die Namen einzelner Subunternehmer und ihre vertraglichen Schutzmaßnahmen sind in unserem internen Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) dokumentiert und können Ihnen auf begründete Anfrage zugänglich gemacht werden.

5. Übermittlungen in Drittländer

Der Großteil der Verarbeitung findet innerhalb der Europäischen Union statt. Einige unserer Auftragsverarbeiter — insbesondere Google (für Push-Benachrichtigungen, Analyse und Absturzberichte) sowie die Muttergesellschaft unseres Object-Storage-Anbieters — haben ihren Sitz in den Vereinigten Staaten und können dorthin personenbezogene Daten übermitteln. Wo dies geschieht, stützen wir uns auf die Standardvertragsklauseln der Europäischen Kommission (Art. 46 DSGVO) und, soweit anwendbar, auf den EU–US Data Privacy Framework, jeweils mit ergänzenden Maßnahmen.

6. Wie lange wir Ihre Daten speichern

• Konto- und Profildaten — werden so lange gespeichert, wie Ihr Konto aktiv ist. Wenn Sie Kontolöschung beantragen (siehe Ziff. 8), werden Ihr Kontodatensatz und alle damit verknüpften Daten (Profil, Verschlüsselungsschlüssel, Nachrichten, Audioaufnahmen, Verbindungen, Blockierungen, Wave-Beteiligungen, Push-Token) innerhalb von 30 Tagen gelöscht, sofern nicht eine längere Aufbewahrung gesetzlich vorgeschrieben oder zur Verteidigung gegen Rechtsansprüche erforderlich ist. Aggregierte Engagement-Zahlen (etwa wie oft eine Wave abgespielt oder geliked wurde) können ohne Personenbezug erhalten bleiben.
• Verschlüsselte Nachrichten und Audio — werden kurz nach Zustellung und Empfangsbestätigung des Empfängers von unseren Servern gelöscht. Nicht zugestellte Nachrichten verfallen nach 7 Tagen.
• Verbindungsanfragen — offene Anfragen verfallen nach 7 Tagen.
• Verifikationsangaben für Missbrauchsmeldungen — 90 Tage, danach gelöscht.
• Anwendungs-Logs — werden nur so lange aufbewahrt, wie sie für Betriebs- und Sicherheitszwecke erforderlich sind, und danach gelöscht.
• Serverseitige Produktanalyse-Ereignisse — bis zu 24 Monate, danach gelöscht.
• Firebase Analytics & Crashlytics — werden gemäß den von Google veröffentlichten Standardeinstellungen aufbewahrt; aktuelle Details finden Sie in der Firebase-Dokumentation zur Datenaufbewahrung.
• Moderationsentscheidungen und Admin-Audit-Trail — werden so lange aufbewahrt, wie es für Trust-and-Safety-Prozesse und zur Verteidigung gegen Rechtsansprüche erforderlich ist.

7. Verschlüsselung & Sicherheit

Direktnachrichten und Sprachnachrichten in Verbindungsanfragen werden auf Ihrem Gerät Ende-zu-Ende-verschlüsselt, sodass wir ihre Inhalte nicht lesen können. Alle übrigen Daten werden bei der Übertragung und im Ruhezustand verschlüsselt. Ihr Passwort wird niemals im Klartext gespeichert. Kein System ist vollkommen sicher — wählen Sie bitte ein starkes Passwort und schützen Sie Ihr Gerät.

8. Ihre Rechte (DSGVO)

Sie haben hinsichtlich Ihrer personenbezogenen Daten folgende Rechte:

• Auskunft (Art. 15 DSGVO) — Sie können eine Kopie der über Sie gespeicherten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO) — Sie können unrichtige oder unvollständige Daten berichtigen lassen. Die meisten Profilfelder können Sie selbst in der App bearbeiten; für Korrekturen, die Sie nicht selbst vornehmen können, wenden Sie sich an privacy@ombok.app.
• Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihres Kontos und Ihrer personenbezogenen Daten („Recht auf Vergessenwerden") in der App anfordern, in Ihrem Profil unter „Datenschutz".
• Einschränkung (Art. 18 DSGVO) — Sie können die Verarbeitung unter bestimmten Voraussetzungen einschränken lassen.
• Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung auf Grundlage unserer berechtigten Interessen widersprechen (etwa Sicherheits- und Missbrauchsabwehr).
• Widerruf der Einwilligung jederzeit, wenn die Verarbeitung auf Einwilligung beruht (Art. 7 Abs. 3 DSGVO) — etwa für die in Ziff. 3 genannte Diagnostik- und Analyseverarbeitung, die Sie in Ihrem Profil unter „Datenschutz" deaktivieren können. Der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung.
• Beschwerde bei einer Aufsichtsbehörde. Sie können sich an die Behörde Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden.

Zur Ausübung dieser Rechte schreiben Sie an privacy@ombok.app. Wir antworten innerhalb der gesetzlich vorgeschriebenen Frist (in der Regel ein Monat).

9. Kinder

Der Dienst richtet sich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Personen unter 18. Wenn Sie der Auffassung sind, dass sich eine minderjährige Person registriert hat, wenden Sie sich bitte an report@ombok.app.

10. Tracking, Cookies & Werbung

Die Ombok-App enthält keine Werbe-SDKs, keine Drittanbieter-Tracker, keine Werbe-IDs (IDFA) und keine Geräte-Fingerprinting-Bibliotheken. Wir erstellen keine Werbeprofile über Sie. Wir synchronisieren Ihre Kontakte nicht und erfassen Ihren Standort nicht.

Die App enthält die in Ziff. 2.8 beschriebenen Diagnose- und Analyse-SDKs von Google (Firebase Analytics, Crashlytics, Performance). Diese können Sie in den Datenschutzeinstellungen der App deaktivieren.

Die statischen Webseiten dieser Website verwenden ausschließlich die für die Anzeige notwendigen Ressourcen; sie setzen keine Tracking-Cookies.

11. Änderungen dieser Erklärung

Wir können diese Erklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir Sie vorab per E-Mail oder In-App-Nachricht und aktualisieren das Datum „Zuletzt aktualisiert" oben auf dieser Seite.

12. Kontakt