SOU · DATENSCHUTZRICHTLINIE · v1.0 — 14 MAI 2026
Datenschutzrichtlinie
Diese Datenschutzrichtlinie erläutert, wie die SOU-Anwendung („App“) durch den
Verantwortlichen Gökhan Camcı („SOU“, „wir“) personenbezogene Daten
verarbeitet. Verantwortlicher: HELLO@SOUPRIVATE.COM · POSTAL · ISTANBUL
§ 1. Verarbeitete Daten
- Identitätsdaten (Name, Geburtsdatum, Ausweisnummer — wird im Rahmen des KYC-Verfahrens durch Persona Inc. verarbeitet; SOU erhält lediglich den Verifizierungsstatus)
- Kontaktdaten (E-Mail-Adresse, Telefonnummer)
- Bewerbungsantworten, Profil-Prompts (werden zur Matching-Ähnlichkeit in ein OpenAI-Embedding umgewandelt — abhängig von der ausdrücklichen Einwilligung)
- Fotos (Firebase Storage, ausschließlich für den Inhaber einsehbar; zur Sicherheitsprüfung an Google Cloud Vision übermittelt)
- Standort: Wenn die Funktionen „Mitglieder in der Nähe“ und automatischer Check-in aktiviert sind, wird der ungefähre Standort Ihres Geräts verwendet. Auf dem Server werden keine genauen GPS-Koordinaten gespeichert; der auf eine Genauigkeit von ~111 m gerundete Standort wird vorübergehend (höchstens 5 Min.) vorgehalten. Der beim Hinzufügen eines Ortes eingegebene Standort wird zur Adressumwandlung an OpenStreetMap Nominatim (EU) übermittelt.
- Mitgliedschafts- und Abonnementstatus (RevenueCat-ID)
- Chat-Nachrichten (Firestore, beschränkt auf aktuelle und ehemalige Gesprächsteilnehmer; zur Wahrung der Sicherheit der Gemeinschaft der OpenAI-Moderation und Gesprächs-Gesundheitsanalyse unterzogen)
- Verhaltensmetriken (Antwortquote, No-Show-Einträge, Drop-Entscheidungen)
- Sprachvorstellungsaufnahme (zur Transkription an OpenAI Whisper übermittelt; die Rohaudiodatei wird nach 90 Tagen gelöscht)
- Aus Ihrem Profiltext und Ihren In-App-Präferenzen abgeleitete Kategorien (Werte, Interessen, Kommunikationsstil) sowie ein aus Ihren Drop-Entscheidungen berechneter Zuverlässigkeitsindikator — werden ausschließlich für das Matching verwendet
- Gerätekennungen (Push-Token, Fehler-Logging über Sentry)
§ 2. Rechtsgrundlage (DSGVO Art. 6 / Art. 9)
Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (Art. 6 Abs. 1 lit. b) und
berechtigte Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f). Für besondere
Kategorien personenbezogener Daten (Gesichtsfoto, Ausweisdokument) ist die
ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a die alleinige
Rechtsgrundlage; sie wird im KI-Einwilligungsbildschirm der App eingeholt.
§ 3. Übermittlung in Drittländer
Die nachstehenden Auftragsverarbeiter können sich in den USA oder in der EU befinden;
die Übermittlung erfolgt auf Grundlage einer Einwilligung sowie
Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO:
- Persona Inc. (USA) — KYC + Liveness; SOC 2 Type II
- OpenAI (USA) — Redaktionelle Texterstellung, Nachrichtenmoderation und Gesprächs-Gesundheitsanalyse, Embedding der Profil-Prompts, Transkription der Sprachvorstellung (Whisper); ausdrückliche Einwilligung + DPA/SCC
- Google Cloud Vision (USA/EU) — Sicherheitsprüfung (NSFW) der hochgeladenen Fotos
- OpenStreetMap Nominatim (EU) — Adressumwandlung beim Hinzufügen eines Ortes (Koordinaten→Adresse)
- RevenueCat (USA) — Abonnement-Spiegelung
- Google / Firebase (EU — Frankfurt) — Datenbank, Auth, Functions
- Resend (EU) — Transaktionale E-Mails
- Sentry (EU) — Fehler-Logging (PII geschwärzt)
- Apple App Store (USA/EU) — App Store + In-App-Kauf
§ 4. Speicherfristen
Solange die Mitgliedschaft aktiv ist. Nach Kontolöschung 30 Tage Soft-Delete,
anschließend dauerhafte Löschung. Aufgrund gesetzlicher Pflichten können bestimmte
Daten länger aufbewahrt werden (Finanzdaten 5 Jahre, Meldungen über
Datenschutzverletzungen für die gesetzlich vorgeschriebene Dauer).
§ 5. Ihre Rechte (DSGVO Art. 15–22)
- Auskunft darüber, ob Ihre Daten verarbeitet werden
- Auskunft über die Verarbeitungszwecke
- Berichtigung, Löschung oder Anonymisierung Ihrer Daten
- Auskunft über Empfänger, an die Ihre Daten übermittelt wurden
- Widerspruch gegen Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen (Matchmaking-Algorithmus), und Geltendmachung daraus resultierender Ansprüche
- Geltendmachung von Schadensersatzansprüchen
Anfragen richten Sie bitte an: kvkk@souprivate.com.
Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde:
bfdi.bund.de.
§ 6. Minderjährige
Die App richtet sich nicht an Personen unter 21 Jahren. Das Alter wird im
Bewerbungsprozess durch Persona KYC verifiziert.
§ 7. KI und automatisierte Entscheidungsfindung
Match-Vorschläge sind teilweise automatisiert: redaktionelle Texterstellung mit OpenAI
und (sofern eine ausdrückliche Einwilligung vorliegt) Berechnung eines Ähnlichkeitswerts
durch Umwandlung der Profil-Prompts in ein Embedding. Darüber hinaus werden Ihre
Nachrichten (OpenAI-Moderation + Gesprächs-Gesundheitsanalyse), Ihre Fotos
(Google Cloud Vision) und Ihre Sprachvorstellung (OpenAI Whisper) zur Sicherheit und
Qualität automatisch verarbeitet. Die endgültige Matching-Entscheidung trifft ein
menschlicher Redakteur. Im KI-Einwilligungsbildschirm haben Sie das Recht zu widersprechen;
widersprechen Sie, wird mit dem manuellen Prüfungsablauf fortgefahren.
§ 8. Sicherheitsmaßnahmen
- TLS 1.3 Transportverschlüsselung
- Firebase Firestore AES-256-Verschlüsselung im Ruhezustand
- Auth-Token im iOS Keychain / Android Keystore
- Sentry PII-Schwärzung
- Firebase Security Rules mit Deny-by-Default
- Persona Webhook HMAC-SHA256 + Replay-Schutz
§ 9. Aktualisierungen
Bei Änderungen dieser Richtlinie werden Sie per In-App-Benachrichtigung informiert.
Aktuelle Version: v1.0 · 14·05·2026.