DSGVO · Art. 13 / 14
Datenschutzhinweise
App „LUME – Voice Diary“ und Website lume-diary.com
Wir nehmen den Schutz deiner personenbezogenen Daten ernst. Mit diesen Datenschutzhinweisen informieren wir dich gemäß Art. 13 und 14 DSGVO darüber, wie und zu welchem Zweck wir deine personenbezogenen Daten bei der Nutzung der iOS-App „LUME – Voice Diary“ und der Website lume-diary.com verarbeiten.
LUME ist ein Sprach-Tagebuch: Du sprichst deine Gedanken ein, eine KI wandelt deine Worte in einen Tagebucheintrag um. Optional kannst du Fotos und eine Stimmung hinzufügen.
1. Verantwortlicher
Tobias Bach
Hoheluftchaussee 145A
20253 Hamburg, Deutschland
E-Mail: [email protected]
2. Allgemeines und Rechtsgrundlagen
Unsere Anwendung ist nicht darauf ausgerichtet, besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO gezielt zu erheben oder zu verarbeiten. Da du die Inhalte deines Tagebuchs frei gestalten kannst, kann es jedoch vorkommen, dass deine Einträge sensible Informationen enthalten, etwa Angaben zu Gesundheit, religiösen oder weltanschaulichen Überzeugungen oder vergleichbare besonders schutzwürdige Informationen. Du entscheidest eigenverantwortlich, welche Inhalte du in der Anwendung erfasst. Sofern durch deine Eingaben besondere Kategorien personenbezogener Daten verarbeitet werden, erfolgt die Verarbeitung auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten deine Einwilligung einholen, dient Art. 6 Abs. 1 S. 1 lit. a DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Erfüllung eines Vertrags mit dir oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, erfolgt sie auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO. Soweit wir personenbezogene Daten zur Erfüllung gesetzlicher Verpflichtungen verarbeiten müssen, ist Art. 6 Abs. 1 S. 1 lit. c DSGVO die Rechtsgrundlage. Verarbeiten wir personenbezogene Daten zur Wahrung unserer berechtigten Interessen oder der Interessen eines Dritten, erfolgt dies auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO, sofern deine Interessen, Grundrechte und Grundfreiheiten nicht überwiegen. Für die Speicherung von Informationen auf deinem Endgerät oder den Zugriff auf bereits dort gespeicherte Informationen gilt ergänzend § 25 TDDDG.
Für die Nutzung der App ist die Erstellung eines Nutzerkontos erforderlich. Hierfür benötigen wir mindestens deine E-Mail-Adresse und ein Passwort; ohne diese Angaben ist eine Nutzung der App nicht möglich. Tagebuchinhalte, Fotos, Stimmungen und vergleichbare Angaben stellst du freiwillig bereit.
3. Verarbeitungen der App im Einzelnen
3.1 Registrierung
Für die Nutzung von LUME ist die Erstellung eines Nutzerkontos erforderlich. Im Rahmen der Registrierung und Verwaltung deines Nutzerkontos verarbeiten wir insbesondere deine E-Mail-Adresse, deinen Namen, dein Passwort in verschlüsselter bzw. gehashter Form sowie den Zeitpunkt deiner Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.
Die Verarbeitung erfolgt, um dein Nutzerkonto bereitzustellen, die Anmeldung zu ermöglichen und dich bei der Nutzung sicher zu authentifizieren. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Für die technische Bereitstellung der Authentifizierung und Datenbank nutzen wir Supabase, einen Dienst der Supabase, Inc., als Auftragsverarbeiter. Die Verarbeitung erfolgt auf Servern innerhalb der Europäischen Union, insbesondere am Serverstandort Irland, Region eu-west-1. Mit Supabase wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.
Die Daten speichern wir grundsätzlich bis zur Löschung deines Kontos. Nach Löschung deines Kontos werden sie gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlichen Gründe entgegenstehen. Die Daten erhalten wir direkt von dir.
3.2 Download über den App Store
Beim Download unserer App über den Apple App Store verarbeitet Apple personenbezogene Daten in eigener Verantwortung. Hierzu können insbesondere deine Apple-ID, deine E-Mail-Adresse, Gerätekennungen, Zahlungsinformationen sowie der Zeitpunkt des Downloads gehören.
Auf diese Datenverarbeitung durch Apple haben wir keinen Einfluss. Verantwortlich hierfür ist Apple als eigenständig Verantwortlicher. Die Speicherdauer richtet sich nach den Vorgaben von Apple. Die Daten entstehen im Rahmen des Download-Vorgangs über den App Store.
3.3 Erstellung von Tagebucheinträgen
Du kannst in unserer App Tagebucheinträge per Spracheingabe oder Texteingabe erstellen. Dabei verarbeiten wir insbesondere deine Sprachaufnahme vorübergehend, den daraus erstellten Transkriptionstext, den KI-gestützt erzeugten oder umformulierten Eintragetext, die von dir ausgewählte Stimmung sowie das Eintragsdatum.
Die Verarbeitung erfolgt, um deine Eingabe in einen Tagebucheintrag umzuwandeln, den Eintrag aufzubereiten und innerhalb der App zu speichern. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Da du die Inhalte deiner Tagebucheinträge frei gestalten kannst, können diese besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten. Solche Daten erheben wir nicht gezielt. Sofern du entsprechende Inhalte selbst einsprichst, eingibst oder anderweitig mitteilst, erfolgt die Verarbeitung zusätzlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
Für die Transkription deiner Spracheingabe und die KI-gestützte Umwandlung nutzen wir OpenAI, L.L.C., USA, als Auftragsverarbeiter. Dabei können deine vorübergehende Sprachaufnahme sowie die daraus erzeugten Texte an OpenAI übermittelt und dort verarbeitet werden. Die KI-Funktion dient ausschließlich dazu, deine Eingaben zu transkribieren und sprachlich in einen Tagebucheintrag umzuwandeln; sie trifft keine Entscheidungen über dich, bewertet dich nicht und erstellt kein Profil über dich. Über die OpenAI-API übermittelte Inhalte werden nach Angaben von OpenAI nicht zum Training der Modelle verwendet.
Für die Speicherung deiner Tagebucheinträge nutzen wir Supabase als Auftragsverarbeiter innerhalb der Europäischen Union. Mit den eingesetzten Dienstleistern wurden jeweils Auftragsverarbeitungsverträge geschlossen. Informationen zur Übermittlung personenbezogener Daten in die USA findest du in Abschnitt 4.
Deine gespeicherten Tagebucheinträge bleiben gespeichert, bis du sie löschst oder dein Nutzerkonto gelöscht wird, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlichen Gründe entgegenstehen. Die Sprachaufnahme wird nur vorübergehend zur Transkription verarbeitet und danach verworfen. Eine dauerhafte Speicherung der Sprachaufnahme erfolgt nicht. Die Daten erhalten wir direkt von dir.
3.4 Fotos zu Einträgen
Du kannst deine Tagebucheinträge freiwillig mit Fotos ergänzen. Dabei verarbeiten wir ausschließlich die von dir ausgewählten Fotos, um diese deinen Einträgen hinzuzufügen und in deinem privaten Bereich der App zu speichern. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Je nach Inhalt können Fotos besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO enthalten. Solche Inhalte erheben wir nicht gezielt. Sofern du entsprechende Fotos selbst hochlädst, erfolgt die Verarbeitung zusätzlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
Für die Speicherung der Fotos nutzen wir Supabase als Auftragsverarbeiter innerhalb der Europäischen Union. Mit Supabase wurde ein Auftragsverarbeitungsvertrag geschlossen. Die Fotos speichern wir, bis du sie löschst oder dein Nutzerkonto gelöscht wird, sofern keine rechtlichen Gründe entgegenstehen. Zugriff auf deine Fotomediathek erhalten wir nur, wenn du diesen zuvor erlaubst. Die Fotos erhalten wir direkt von dir.
3.5 Abonnement und In-App-Kauf LUME Pro
Wenn du ein kostenpflichtiges Abonnement für LUME Pro abschließt oder eine Testphase nutzt, verarbeiten wir Informationen zu deinem Abo- bzw. Trial-Status, eine anonymisierte Gerätekennung sowie Kaufinformationen. Zahlungsdaten, wie Kreditkarten- oder Kontodaten, erhalten wir nicht.
Die Verarbeitung erfolgt, um dein Premium-Abonnement bereitzustellen und kostenpflichtige Funktionen freizuschalten. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.
Für die Verwaltung von Abonnements und In-App-Käufen nutzen wir RevenueCat, Inc., USA, als Auftragsverarbeiter. Mit RevenueCat wurde ein Auftragsverarbeitungsvertrag geschlossen. Die Zahlungsabwicklung erfolgt über Apple, wobei Apple insoweit eigenständig verantwortlich ist.
Die Daten verarbeiten wir für die Dauer des Nutzungs- bzw. Vertragsverhältnisses. Kauf- und Rechnungsdaten werden von Apple nach den dort geltenden Vorgaben verarbeitet und gespeichert. Die Daten erhalten wir von dir bzw. aus dem Kaufvorgang über Apple.
3.6 Push-Benachrichtigungen
Wenn du Push-Benachrichtigungen aktivierst, verarbeiten wir deinen Push-Token sowie deine Erinnerungseinstellungen, um dir Erinnerungen an deine Tagebuchführung zu senden. Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO.
Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem du Push-Benachrichtigungen in den Einstellungen deines Endgeräts deaktivierst. Die Zustellung erfolgt über den Apple Push Notification service APNs von Apple.
Die hierfür verarbeiteten Daten speichern wir, bis du Push-Benachrichtigungen deaktivierst oder dein Nutzerkonto gelöscht wird, sofern keine rechtlichen Gründe entgegenstehen. Die Daten erhalten wir von dir bzw. von deinem Endgerät.
3.7 Nutzungsanalyse
Zur Verbesserung und Stabilität unserer App verarbeiten wir pseudonymisierte oder aggregierte Ereignisdaten. Dabei erstellen wir keine Personenprofile, verwenden keine IP-Geolokalisierung, verarbeiten keine Tagebuchinhalte und erfassen keine direkt identifizierenden Daten.
Die Verarbeitung dient dazu, die technische Funktion der App zu verstehen, Fehler zu erkennen und die App datensparsam weiterzuentwickeln. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der datensparsamen Produktverbesserung und der Sicherstellung der Stabilität unserer App.
Für die Nutzungsanalyse nutzen wir PostHog, Inc. als Dienstleister. Die Analyse erfolgt auf Servern innerhalb der Europäischen Union. Mit PostHog wurde ein Auftragsverarbeitungsvertrag geschlossen.
Die Ereignisdaten speichern wir nur so lange, wie dies für die Analyse und Verbesserung der App erforderlich ist. Die Daten entstehen automatisch bei der Nutzung der App.
3.8 Technischer Betrieb der App und Hosting der Website
Für den technischen Betrieb der App und der Website verarbeiten wir technisch erforderliche Daten, insbesondere Server- und Zugriffsdaten wie IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Inhalte, übertragene Datenmenge, Geräte- und Browserinformationen sowie technische Fehlerprotokolle.
Die Verarbeitung erfolgt, um die App und Website sicher, stabil und funktionsfähig bereitzustellen, technische Fehler zu erkennen und Missbrauch zu verhindern. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und zuverlässigen Bereitstellung unserer digitalen Angebote.
Für den technischen Betrieb setzen wir insbesondere Supabase für App-Backend und Datenbank sowie Cloudflare für die Bereitstellung, Sicherheit und Performance der Website ein. Die eingesetzten Dienstleister verarbeiten Daten als Auftragsverarbeiter oder, soweit ausdrücklich angegeben, in eigener Verantwortung. Mit den Auftragsverarbeitern wurden Auftragsverarbeitungsverträge geschlossen.
Technische Protokolldaten speichern wir nur so lange, wie dies für die genannten Zwecke erforderlich ist, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlichen Gründe entgegenstehen.
3.9 App-Einstellungen und technische Speicherung auf deinem Gerät
Für den Betrieb und die Sicherheit der App speichern wir technisch notwendige Informationen auf deinem Gerät. Dazu gehören insbesondere deine Sprachauswahl, App-Einstellungen sowie — falls aktiviert — ein PIN- oder Face-ID-Schlüssel im geschützten Schlüsselbund deines Geräts.
Diese Speicherung erfolgt ausschließlich, um die App funktionsfähig, sicher und nutzerfreundlich bereitzustellen. Wir setzen keine Cookies oder vergleichbaren Technologien zu Werbe- oder Marketingzwecken ein und greifen nicht auf den Werbe-Identifier IDFA zu.
Rechtsgrundlage für die technisch notwendige Speicherung ist § 25 Abs. 2 TDDDG. Soweit hierbei personenbezogene Daten verarbeitet werden, erfolgt dies auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren und funktionsfähigen Bereitstellung der App.
Die gespeicherten Informationen verbleiben grundsätzlich auf deinem Gerät und werden nicht zu Werbe- oder Marketingzwecken an uns oder Dritte übermittelt. Sie bleiben gespeichert, bis du sie löschst, etwa über die Geräteeinstellungen oder durch Deinstallation der App. Die Daten entstehen durch deine Nutzung und Konfiguration der App.
3.10 Kontakt und Feedback
Wenn du uns kontaktierst oder Feedback übermittelst, verarbeiten wir deine E-Mail-Adresse sowie den Inhalt deiner Nachricht bzw. deines Feedbacks.
Die Verarbeitung erfolgt, um dein Anliegen zu bearbeiten und mit dir zu kommunizieren. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO, sofern deine Anfrage einen Vertragsbezug hat, und Art. 6 Abs. 1 S. 1 lit. f DSGVO in allen übrigen Fällen. Unser berechtigtes Interesse liegt in der effektiven Bearbeitung deiner Anfrage.
Sofern Feedback innerhalb der App gespeichert wird, nutzen wir hierfür Supabase als Auftragsverarbeiter innerhalb der Europäischen Union. Mit Supabase wurde ein Auftragsverarbeitungsvertrag geschlossen.
Wir speichern deine Anfrage nur so lange, wie dies für die Bearbeitung erforderlich ist. Danach löschen wir die Daten, sofern keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlichen Gründe entgegenstehen. Die Daten erhalten wir direkt von dir.
4. Drittlandübermittlung
Im Rahmen der Nutzung einzelner Dienstleister kann es zu einer Übermittlung personenbezogener Daten in Drittländer außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums kommen, insbesondere in die USA. Dies betrifft insbesondere OpenAI, RevenueCat und Cloudflare.
Soweit für das jeweilige Drittland ein Angemessenheitsbeschluss der Europäischen Kommission besteht oder der jeweilige Anbieter nach einem anerkannten Datenschutzrahmen, insbesondere dem EU-US Data Privacy Framework, zertifiziert ist, erfolgt die Übermittlung auf dieser Grundlage. Soweit kein Angemessenheitsbeschluss oder keine einschlägige Zertifizierung vorliegt, erfolgt die Übermittlung auf Grundlage geeigneter Garantien, insbesondere der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Über die OpenAI-API übermittelte Daten werden nach Angaben von OpenAI nicht zum Training der Modelle verwendet. Wir haben die eingesetzten Dienstleister und die jeweiligen Übermittlungsmechanismen geprüft und berücksichtigen die hierfür erforderlichen Schutzmaßnahmen.
5. Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen, um deine personenbezogenen Daten vor Verlust, Missbrauch, unbefugtem Zugriff und unbefugter Offenlegung zu schützen. Hierzu gehören insbesondere die verschlüsselte Übertragung mittels TLS, zugriffsbeschränkte Speicherung in deinem Nutzerkonto, Zugriffskontrollen sowie technische Sicherheitsmechanismen wie Row-Level-Security. Zusätzlich kannst du die App — sofern von deinem Gerät unterstützt und von dir aktiviert — durch eine PIN, Face ID oder vergleichbare Sicherheitsfunktionen schützen.
Unsere Sicherheitsmaßnahmen werden unter Berücksichtigung des Stands der Technik, der Art und des Umfangs der Verarbeitung sowie des jeweiligen Risikos fortlaufend überprüft und bei Bedarf angepasst.
6. Keine automatisierte Entscheidungsfindung
Deine Spracheingabe kann mithilfe künstlicher Intelligenz automatisiert transkribiert und in einen Tagebuchtext umgewandelt werden. Dabei findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die dir gegenüber rechtliche Wirkung entfaltet oder dich in vergleichbarer Weise erheblich beeinträchtigt. Profiling findet nicht statt.
7. Deine Rechte
Als betroffene Person stehen dir nach der DSGVO verschiedene Rechte zu. Zur Ausübung deiner Rechte genügt eine Nachricht an [email protected].
7.1 Recht auf Auskunft
Du hast das Recht, von uns eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von dir verarbeiten. Ist dies der Fall, hast du das Recht auf Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen und eine Kopie der Daten gemäß Art. 15 DSGVO.
7.2 Recht auf Berichtigung
Du hast das Recht, die Berichtigung unrichtiger personenbezogener Daten oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, die dich betreffen, Art. 16 DSGVO.
7.3 Recht auf Löschung
Du hast das Recht, von uns die Löschung personenbezogener Daten zu verlangen, die dich betreffen, sofern einer der gesetzlich vorgesehenen Gründe vorliegt und keine gesetzlichen Aufbewahrungspflichten oder sonstigen rechtlichen Gründe entgegenstehen, Art. 17 DSGVO.
7.4 Recht auf Einschränkung der Verarbeitung
Du hast das Recht, von uns die Einschränkung der Verarbeitung deiner personenbezogenen Daten zu verlangen, wenn die gesetzlichen Voraussetzungen hierfür vorliegen, Art. 18 DSGVO.
7.5 Recht auf Datenübertragbarkeit
Du hast das Recht, die personenbezogenen Daten, die du uns bereitgestellt hast, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung dieser Daten an einen anderen Verantwortlichen zu verlangen, Art. 20 DSGVO.
7.6 Widerspruchsrecht
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung deiner personenbezogenen Daten Widerspruch einzulegen, soweit die Verarbeitung auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO erfolgt, Art. 21 DSGVO.
7.7 Widerruf von Einwilligungen
Du hast das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, Art. 7 Abs. 3 DSGVO. Die Rechtmäßigkeit der Verarbeitung, die bis zum Widerruf auf Grundlage deiner Einwilligung erfolgt ist, bleibt hiervon unberührt.
7.8 Beschwerderecht bei einer Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner personenbezogenen Daten gegen die DSGVO verstößt, Art. 77 DSGVO. Für uns zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, HmbBfDI.
8. Änderung und Stand
Diese Datenschutzhinweise sind aktuell gültig und haben den Stand Juni 2026.
Durch die Weiterentwicklung unserer App, unserer Website und unserer Angebote oder aufgrund geänderter gesetzlicher oder behördlicher Vorgaben kann es erforderlich werden, diese Datenschutzhinweise anzupassen. Die jeweils aktuelle Fassung kann jederzeit auf unserer Website abgerufen werden.