Legal · Datenschutz

Datenschutz

Letzte Aktualisierung: April 2026

Der Schutz deiner personen­bezogenen Daten ist uns wichtig. Diese Datenschutz­erklärung informiert dich transparent darüber, welche Daten wir verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und an welche Empfänger wir sie weitergeben. Sie gilt für die Nutzung der malla-App (iOS, Android) und dieser Website. Rechtsgrundlagen sind die EU-Datenschutz­grundverordnung (DSGVO) und das deutsche Bundesdaten­schutzgesetz (BDSG).

1. Verantwortlicher

Odin Adventure Labs LLC
30 N Gould St, Ste R
Sheridan, WY 82801 · USA
E-Mail: support@themalla.app
Inhaltlich verantwortlich: Lukas Langhammer.

Einen Datenschutz­beauftragten haben wir gesetzlich nicht zu bestellen. Anfragen zu Datenschutz richte bitte an die obige E-Mail-Adresse mit Betreff „Datenschutz".

1.1 Vertreter in der EU (Art. 27 DSGVO)

Da wir keinen Sitz in der EU haben, haben wir einen Vertreter in der Union gemäß Art. 27 DSGVO benannt. Du kannst dich direkt an ihn wenden. Unser EU-Vertreter ist über support@themalla.app mit Betreff „EU-Vertreter / Art. 27 DSGVO" erreichbar. Die aktuellen Kontaktdaten teilen wir dir auf Anfrage unverzüglich mit.

1.2 Vertreter im Vereinigten Königreich (UK GDPR, Art. 27)

Für Nutzer:innen im Vereinigten Königreich haben wir einen UK-Vertreter gemäß Art. 27 UK GDPR benannt, erreichbar über support@themalla.app mit Betreff „UK-Vertreter".

2. Quellen deiner Daten

  • Von dir direkt: bei Registrierung, Profilerstellung, Chat-Nachrichten, RSVPs, Support-Anfragen.
  • Automatisch bei Nutzung: Geräte- und Nutzungsdaten, Absturz-Signale, ggf. Standort (je nach Berechtigung).
  • Von Drittanbietern:Apple / Google (Abo-Status, Kauf-Bestätigungen), Twilio (Zustellstatus SMS), Branch.io (Attributions­daten — nur bei Einwilligung).
  • Aus öffentlichen Quellen: sehr begrenzt, z.B. zur Missbrauchs-Prävention (IP-Reputation, bekannte Spam-Signaturen).

3. Welche Daten wir verarbeiten

  • Account-Stammdaten: Vorname/Nickname, Geburtsdatum (zur Altersprüfung ab 18), E-Mail-Adresse, Telefonnummer (für OTP-Login), Sprache, Zeitzone.
  • Profil-Inhalte: Fotos, Bio, Interessen, Präferenzen, Mode (Love/Group/Friends). Inhalte können Rückschlüsse auf besondere Kategorien nach Art. 9 DSGVO (z.B. sexuelle Orientierung) zulassen — du stellst sie freiwillig bereit; Rechtsgrundlage ist deine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.
  • Standortdaten: grober Standort (Stadt-Ebene) zur Darstellung relevanter Profile und Events; feiner Standort nur, wenn du „Nearby" aktivierst. Du kannst die Standort-Berechtigung jederzeit in den System-Einstellungen widerrufen.
  • Kommunikations-Inhalte: Chats und Gruppen-Nachrichten, Meldungen an Support oder Safety-Team.
  • Nutzungsdaten: Likes, Matches, RSVPs, verwendete Filter, App-Events (pseudonymisiert), Session-Dauer, Absturzberichte.
  • Geräte- und technische Daten:Geräte-Modell, OS, App-Version, Sprach­einstellung, IP-Adresse (gekürzt, wo möglich), Push-Token.
  • Zahlungs- und Abo-Status:Kaufbestätigungen, Abo-Status und ggf. Storno-Signale von Apple App Store bzw. Google Play. Wir verarbeiten keine Karten- oder Konto­daten.
  • Deep-Link- und Attributions-Daten: eingehende Install-Links, Kampagnen-Parameter, Referrer (via Branch.io — siehe unten).

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung der Kern­funktionen (Profil, Matching, Chats, Events): Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
  • Alters­verifikation und Schutz vor Fake-Profilen / Missbrauch: Art. 6 Abs. 1 lit. c und lit. f DSGVO (rechtliche Pflicht & berechtigtes Interesse).
  • Push-Nachrichten zu Matches/Events: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Produkt-Analytics und Absturz-Analyse (pseudonymisiert): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Marketing-Attribution (Install-Quelle): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Durchsetzung unserer AGB und Safety-Regeln: Art. 6 Abs. 1 lit. f DSGVO.
  • Gesetzliche Aufbewahrung (z.B. Steuer-/Handelsrecht bei Zahlungs­belegen): Art. 6 Abs. 1 lit. c DSGVO.

5. Empfänger / Auftrags­verarbeiter (Subprocessors)

Wir verkaufen deine Daten nicht. Folgende Dienstleister verarbeiten Daten in unserem Auftrag (Art. 28 DSGVO) oder als eigene Verantwortliche bei Drittanbieter-Plattformen:

  • Supabase (Supabase Inc., USA / EU-Region Frankfurt): Backend-Hosting, Datenbank, Auth, Storage, Realtime-Messaging. Primäre Datenresidenz: EU.
  • Twilio Inc. (USA / Irland):Versand von SMS-Einmal­codes (OTP) für Telefonnummer-Verifizierung und Login.
  • Mixpanel Inc. (USA) — EU-Datenresidenz: pseudonymisierte Produkt-Analytics (nur nach deiner Einwilligung); Daten werden in der EU verarbeitet (EU-Endpoint, EU-Projekt). IP-Adressen werden gekürzt, Tracking ist opt-in.
  • Google Firebase / Google Ireland Ltd.: Firebase Cloud Messaging (Push-Nachrichten) und Crashlytics (Absturz-Analyse).
  • Branch.io (Branch Metrics Inc., USA): Deep-Linking und Install-Referrer; Verarbeitung nur bei Einwilligung.
  • RevenueCat Inc. (USA): Verwaltung und Validierung von In-App-Abonnements; erhält eine pseudonyme Nutzer-ID und Kauf-Ereignisse. Keine Zahlungs- oder Kartendaten.
  • Apple Inc. (App Store): App-Bereitstellung, In-App-Purchase-Abwicklung; eigenverantwortliche Verarbeitung durch Apple.
  • Google LLC / Google Ireland Ltd. (Google Play): App-Bereitstellung, In-App-Purchase-Abwicklung; eigenverantwortliche Verarbeitung durch Google.
  • Event- und Venue-Partner(nur bei Einlösung eines Rabatts/RSVP): ausschließlich Vorname, Buchungs­code, ggf. Altersstatus.
  • Behörden / Strafverfolgung: nur bei gesetzlicher Verpflichtung (z.B. §§ 100a, 100g StPO, DSA / DDG).

Ein aktuelles, vollständiges Verzeichnis der Auftragsverarbeiter stellen wir auf Anfrage an support@themalla.app bereit.

6. Übermittlung in Drittländer

Einige oben genannte Dienste (u.a. Twilio, Mixpanel, Branch.io, RevenueCat, Apple, Google) verarbeiten Daten auch in den USA oder anderen Drittländern. Die Übermittlung stützen wir auf:

  • EU-Standard­vertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO);
  • sofern einschlägig, die Zertifizierung unter dem EU-U.S. Data Privacy Framework (Art. 45 DSGVO);
  • sowie zusätzliche technische und organisatorische Maßnahmen (Verschlüsselung, Pseudonymisierung, Daten­minimierung).

7. Push-Benachrichtigungen & App-Berechtigungen

Push-Nachrichten senden wir nur nach deiner ausdrücklichen Einwilligung in der System­abfrage. Du kannst sie jederzeit in den System-Einstellungen deines Geräts deaktivieren. Gleiches gilt für Zugriffe auf Kamera (Profil-Fotos), Fotomediathek und Standort.

8. Analytics & Werbe-Tracking

Wir nutzen kein geräteübergreifendes Werbe-Tracking und keinen Werbe-Identifier (IDFA/AAID). Produkt-Analytics (Mixpanel) und Absturz-Analyse (Crashlytics) laufen ausschließlich pseudonymisiert und nur nach deiner Einwilligung; lehnst du ab, findet keine Analyse statt.

9. Cookies und lokale Speicher

In der App setzen wir nur technisch notwendige lokale Speicher (z.B. Session-Token, Sprach­einstellung). Details zur Website findest du unter Cookie-Hinweise.

10. Speicherdauer

  • Account-Daten: bis zur Löschung deines Profils.
  • Inaktive Accounts (keine Anmeldung >24 Monate): Anonymisierung.
  • Chat-Inhalte: gelöscht beim Löschen der Konversation/des Accounts.
  • Absturz- und Analytics-Logs: max. 14 Monate, danach Aggregation.
  • Moderations-Protokolle bei Regelverstößen: bis zu 36 Monate (berechtigtes Interesse).
  • Zahlungs- und Rechnungs­nachweise: 10 Jahre (§ 147 AO / Handelsrecht).

11. Deine Rechte

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO)
  • Einschränkung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
  • Beschwerde bei einer Aufsichts­behörde, z.B. dem Bayerischen Landesamt für Datenschutz­aufsicht (BayLDA) oder der Agencia Española de Protección de Datos (AEPD).

Account-Löschung ist direkt in der App möglich: Einstellungen → Account → „Account löschen". Alternativ per E-Mail an support@themalla.app. Die technische Endlöschung erfolgt innerhalb von 30 Tagen.

Zur Ausübung von Auskunft (Art. 15) und Datenübertragbarkeit (Art. 20) schreib uns an support@themalla.app mit dem Betreff „Datenauskunft" — wir antworten innerhalb von 30 Tagen.

12. Automatisierte Entscheidungen / Profiling

Unsere Empfehlungen für Profile und Events beruhen auf deinen Angaben (Mode, Interessen, Distanz, Altersrange). Eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung findet nicht statt.

13. Datensicherheit

Transport­verschlüsselung (TLS 1.2+), Passwörter als Salted Hash, Zugriff auf Produktions­daten nach Least-Privilege, regelmäßige Security-Reviews und Abhängigkeits-Updates. Sensible Datensätze sind in der Datenbank zusätzlich verschlüsselt.

14. Minderjährigen­schutz

malla ist ausschließlich für Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Hinweise auf Verstöße bitte an support@themalla.app.

15. Safety-Features und Moderation

Zum Schutz unserer Community verarbeiten wir bestimmte Daten zur Erkennung und Verhinderung von Missbrauch: automatische Filter gegen Spam / Belästigung, Prüfung gemeldeter Inhalte durch Moderation, Rate-Limits, Device- und IP-basierte Fraud-Signale sowie Sperren bei Verstößen gegen AGB / Community Guidelines. Rechts­grundlage ist Art. 6 Abs. 1 lit. b und f DSGVO.

16. Daten­pannen / Breach-Notification

Kommt es zu einer meldepflichtigen Verletzung deiner personen­bezogenen Daten, informieren wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnis (Art. 33 DSGVO). Besteht ein hohes Risiko für deine Rechte und Freiheiten, benachrichtigen wir auch dich unverzüglich (Art. 34 DSGVO).

17. Änderungen dieser Erklärung

Wir aktualisieren diese Erklärung bei Änderungen unserer Verarbeitung oder der Rechts­lage. Die jeweils aktuelle Fassung ist in der App und auf dieser Seite abrufbar; wesentliche Änderungen kündigen wir zusätzlich per E-Mail oder In-App-Banner 30 Tage vor Inkrafttreten an.

18. Regionale Zusatz­hinweise

18.1 EU / EWR / Schweiz

Du kannst bei der Datenschutz­aufsichtsbehörde deines Wohnsitzes Beschwerde einlegen. Eine Liste der europäischen Aufsichts­behörden findest du unter edpb.europa.eu. In der Schweiz gilt zusätzlich das revidierte Datenschutzgesetz (revDSG); Aufsichts­behörde: Eidgenössischer Datenschutz- und Öffentlichkeits­beauftragter (EDÖB).

18.2 Vereinigtes Königreich

Für UK-Nutzer:innen gilt zusätzlich das UK GDPR und der Data Protection Act 2018. Beschwerden: Information Commissioner's Office (ICO), ico.org.uk.

18.3 Kalifornien, USA (CCPA / CPRA)

Wenn du in Kalifornien wohnst, hast du unter dem California Consumer Privacy Act (in der Fassung des California Privacy Rights Act) u.a. folgende Rechte:

  • Auskunft über erhobene Kategorien und konkrete Informationen (Right to Know);
  • Löschung (Right to Delete);
  • Berichtigung (Right to Correct);
  • Opt-out gegen „Sale" oder „Share" personen­bezogener Daten — wir verkaufen keine personen­bezogenen Daten und „sharen" sie nicht für Cross-Context Behavioral Advertising;
  • Beschränkung der Nutzung sensibler Daten (Right to Limit Use of Sensitive Personal Information);
  • Nicht-Diskriminierung für die Ausübung deiner Rechte;
  • Autorisierte Vertretung für Anfragen.

Wir berücksichtigen die Global Privacy Control (GPC)-Opt-out-Signale deines Browsers für die Webseite. Anfragen bitte an support@themalla.app mit Betreff „CCPA / CPRA". Wir verifizieren Anfragen zur Vermeidung unbefugter Offenlegung.

Kategorien erhobener Daten (CCPA): Identifikatoren (Name, E-Mail, Telefon), Internet-/Netzwerk-Aktivität, Geolocation (ungefähr), sensible PI (ggf. aus Profilinhalten ableitbar wie sexuelle Orientierung — nur freiwillig), kommerzielle Informationen (Käufe / Abos via Apple / Google), Schlussfolgerungen (Interessen).

18.4 Brasilien (LGPD)

Für Nutzer:innen in Brasilien gilt die Lei Geral de Proteção de Dados (LGPD). Du hast entsprechende Betroffenen­rechte (Artikel 18 LGPD). Aufsicht: Autoridade Nacional de Proteção de Dados (ANPD), gov.br/anpd.

18.5 Australien

Für australische Nutzer:innen gelten die Australian Privacy Principles (APP). Aufsicht: Office of the Australian Information Commissioner (OAIC), oaic.gov.au.

19. Kontakt & Beschwerde

Alle Anliegen zum Datenschutz: per E-Mail an support@themalla.app mit Betreff „Datenschutz". Wir beantworten Anfragen regelmäßig innerhalb von 30 Tagen (DSGVO) bzw. 45 Tagen (CCPA, verlängerbar um weitere 45 Tage).