App Privacy Policy

Verantwortlicher

PopUp App
Entwickelt von: Dorian Weissenböck
E-Mail: contact@popupevent.org

Weitere Pflichtangaben zum Medieninhaber finden Sie im Impressum.

Welche Daten werden verarbeitet?

Wir verarbeiten personenbezogene Daten, die Sie uns direkt mitteilen, sowie Daten, die bei der Nutzung der App anfallen. Außerdem können wir öffentlich zugängliche Informationen zu Events und zugehörigen Profilen verarbeiten, soweit dies zur Darstellung von Events, zur Organisator-Verifizierung und zum Betrieb der Plattform erforderlich ist und gesetzliche Vorgaben eingehalten werden.

Persönliche Daten

Vollständiger Name, Benutzername, E-Mail-Adresse
Universität/Hochschule
Profilbild (optional), Profiltyp (öffentlich/privat)

App-Nutzungsdaten

Standortdaten nur bei aktiver Freigabe; ggf. Kartenanzeige über einen Kartenanbieter
Chatnachrichten und -verläufe
Erstellte und beigetretene Events
Follower-/Freundeslisten
App-Nutzungsanalytics (z. B. Screen-Views, Verweildauer), soweit erhoben

Instagram (Meta) – nur bei „Login mit Instagram“ / Verifizierung

Identifikatoren und Profilinformationen von Meta/Instagram, insbesondere Instagram-Benutzername und ggf. technische Nutzer-IDs
Zweck: Verifizierung als passender Organisator zu einem Event sowie zugehörige App-Funktionen
Meta verarbeitet Daten auch eigenverantwortlich; siehe die Datenschutzhinweise von Meta

Feedback und Reports

Feedback, Bewertungen
User-Reports: gemeldete Benutzernamen
Event-Reports: Event-Titel und Hosts
Report-Gründe
Geräte-/Verbindungsinformationen in begrenztem Umfang zum Spam- und Missbrauchsschutz

Zweck der Datenverarbeitung

Kernfunktionen

Profil, Events, Nutzer in der Nähe, Chats, Follower
Standortfunktionen nur mit Freigabe
Feedback und Bug-Reports
Optional: Instagram zur Organisator-Verifizierung

App-Verbesserung

Nutzungsanalyse zur Verbesserung der Benutzerfreundlichkeit
Fehleranalyse und Optimierung
Personalisierung

Moderation und Sicherheit

Prüfung von Meldungen
Automatisierte Vorab-Prüfung hochgeladener Bilder und Event-Texte (Titel/Beschreibung) auf rechtswidrige oder anstößige Inhalte vor der Veröffentlichung – mittels KI-Diensten von AWS (Bild- und Texterkennung, EU-Central-1). Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung statt; auffällige Inhalte werden von einem Menschen geprüft.
KI-gestützte Prüfung gemeldeter Chat-Nachrichten (Gruppen- und private Direktnachrichten): Meldet ein Nutzer eine Nachricht, wird ausschließlich diese gemeldete Nachricht (mit etwas Kontext) durch einen KI-Dienst (AWS Bedrock, Claude, EU-Central-1 Frankfurt) bewertet. Es werden nicht alle Nachrichten automatisch durchsucht, sondern nur konkret gemeldete. Bei einem eindeutigen Verstoß kann die Nachricht automatisch entfernt und – bei wiederholten oder schweren Verstößen – der Zugang zum betreffenden Chat bzw. zu privaten Nachrichten zeitweise oder dauerhaft eingeschränkt werden (Verwarnungen/„Strikes"). In Zweifelsfällen entscheidet ein Mensch.
Einspruchsrecht (Art. 22 DSGVO): Gegen eine automatische Maßnahme (Entfernen einer Nachricht, Einschränkung/Sperre) kannst du in der App unter „Einstellungen → Moderation & Sperren" oder per E-Mail an support@popupevent.org Einspruch einlegen; der Fall wird dann von einer Person erneut geprüft und die Maßnahme ggf. aufgehoben.
Spam- und Missbrauchsprävention
IT-Sicherheit und Durchsetzung der Nutzungsbedingungen

Rechtsgrundlage (DSGVO)

Einwilligung (Art. 6 Abs. 1 lit. a), z. B. Standort, Push, freiwillige Instagram-Verifizierung
Vertrag (Art. 6 Abs. 1 lit. b), z. B. Account, Events, Chats
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f), z. B. IT-Sicherheit, Missbrauchsprävention, Moderation, aggregierte Statistik
Rechtspflichten (Art. 6 Abs. 1 lit. c)

Auftragsverarbeiter und Dienstleister

Keine „Weitergabe“ an Werbenetzwerke. Technische Dienstleister verarbeiten Daten in unserem Auftrag (Art. 28 DSGVO), u. a.:

Server-Hosting: Hetzner Online GmbH, Deutschland (Nürnberg)
Dateispeicherung, E-Mail, KI: Amazon Web Services (AWS), EU-Central-1 Frankfurt (KI-Moderation primär über AWS Bedrock in Frankfurt)
KI-Fallback: Anthropic PBC (USA) – wird nur ersatzweise genutzt, falls der KI-Dienst in Frankfurt vorübergehend nicht erreichbar ist; dabei kann der zu prüfende Text in die USA übermittelt werden (Garantien siehe „Übermittlung in Drittländer")
Datenbank: Supabase Inc., EU-Region
E-Mail-Versand
Push über Apple/Google (z. B. Expo Notifications)
Karten (z. B. Mapbox), soweit aktiviert
Absturz- & Fehlerdiagnose: Sentry (Functional Software Inc.), Datenverarbeitung in der EU (Frankfurt). Erfasst technische Fehler- und Gerätedaten (z. B. Absturzberichte, App-Version, Gerätemodell, Betriebssystem) zur Stabilitätsverbesserung – keine Bildschirmaufnahmen, keine Zuordnung zu deiner Identität, IP-Adresse standardmäßig nicht gespeichert
Meta (Instagram) bei Nutzung des Instagram-Logins

Verträge mit Auftragsverarbeitern, soweit gesetzlich erforderlich. Liste auf Anfrage zumutbar aktualisierbar.

Hinweis: Ticketing und Zahlungsabwicklung sind derzeit nicht aktiv. Bei Einführung können zusätzliche Zahlungsdienstleister hinzukommen; diese Erklärung wird ergänzt.

Übermittlung in Drittländer (z. B. USA)

Einige Anbieter verarbeiten außerhalb der EU/EWR. Wo erforderlich, setzen wir geeignete Garantien ein (z. B. EU-Standardvertragsklauseln, Angemessenheitsbeschluss), sofern und solange anwendbar. Dies betrifft insbesondere den oben genannten KI-Fallback (Anthropic, USA), der nur zum Einsatz kommt, wenn der primäre KI-Dienst in Frankfurt vorübergehend nicht verfügbar ist.

Speicherdauer

Aktive Nutzung: für die Dauer der Nutzung
Nach Account-Löschung: Löschung personenbezogener Daten, soweit keine gesetzlichen Pflichten entgegenstehen
Analytics: Anonymisierung/Bereinigung
Standort: nicht dauerhaft, nur für aktive Nutzung/Sessions
Feedback/Reports: solange für Missbrauchsbekämpfung und Qualitätssicherung erforderlich
Als rechtswidrig erkannte oder gemeldete Inhalte (insbesondere beanstandete Bilder und gemeldete Chat-Nachrichten samt zugehörigem Verursacher-Bezug) können zu Beweis- und Sicherheitszwecken sowie zur etwaigen Meldung an Behörden – auch über eine Account-Löschung hinaus – aufbewahrt werden, soweit erforderlich und rechtlich zulässig. Der gemeldete Nachrichtentext wird dabei verschlüsselt gespeichert.

Ihre Rechte

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf von Einwilligungen
Beschwerde bei einer Datenschutzbehörde

Kontakt

E-Mail: contact@popupevent.org

Standortdaten

Nur mit ausdrücklicher Freigabe; jederzeit widerrufbar in den Geräte-/App-Einstellungen; keine dauerhafte Speicherung des genauen Verlaufs, soweit technisch so umgesetzt.

Sicherheit

Übertragung per HTTPS/TLS, soweit unterstützt
Passwörter mit bcrypt gehasht
Angemessene technische und organisatorische Maßnahmen

Analytics und Tracking

Auswertung in der Regel pseudonymisiert/aggregiert
Keine Werbe-Cookies in der nativen App; Web-Oberflächen können technisch notwendige Cookies nutzen
Keine Weitergabe an Werbenetzwerke zu Profilbildungszwecken
Rohdaten typischerweise bis zu ca. 12 Monaten, dann Löschung oder Anonymisierung, soweit nicht technisch länger nötig

Push-Benachrichtigungen

z. B. Chat, Event-Einladungen, Follower-Updates
Deaktivierbar in den System- oder App-Einstellungen

Speicherort und internationale Übertragung

Primär EU: Server in Deutschland (Hetzner, Nürnberg), Datenbank EU-Region (Supabase), Dateispeicherung/E-Mail/KI EU-Central-1 Frankfurt (AWS). Einzelne Dienstleister (z. B. Supabase Inc., Apple, Google) können zusätzlich außerhalb der EU verarbeiten; geeignete Garantien (Art. 46 DSGVO) sind vorhanden.

Änderungen

Wir passen diese Erklärung an, wenn sich Verarbeitung oder Rechtslage ändert
Wesentliche Änderungen: Hinweis in der App oder auf angemessenem Weg
Aktuelle Fassung unter dieser URL und in der App
Letzte Aktualisierung: 18.06.2026

Datenschutzanfragen

E-Mail: legal@popupevent.org

Controller

PopUp App
Developed by: Dorian Weissenböck
Email: contact@popupevent.org

Further statutory provider details are provided in the German-language Impressum (legal notice).

What data we process

We process personal data you provide directly and data generated when you use the app. We may also process publicly available information about events and related profiles where this is necessary to display events, verify organisers, and operate the platform, in compliance with applicable law.

Personal data

Full name, username, email address
University / school
Profile photo (optional), profile visibility (public/private)

App usage data

Location data only if you grant permission; maps may be provided by a map vendor
Chat messages and history
Events you create or join
Follower / friend lists
In-app analytics (e.g. screen views, dwell time), where collected

Instagram (Meta) – only if you use “Login with Instagram” / verification

Identifiers and profile information from Meta/Instagram, in particular Instagram username and, where applicable, technical user IDs
Purpose: verify that you are the appropriate organiser for an event and related app features
Meta also processes data as an independent controller; see Meta’s privacy notices

Feedback and reports

Feedback and ratings
User reports: reported usernames
Event reports: event titles and hosts
Report reasons
Limited device/connection information for spam and abuse prevention

Purposes of processing

Core features

Profile, events, nearby users, chats, followers
Location features only with permission
Feedback and bug reports
Optional: Instagram for organiser verification

Product improvement

Usage analysis to improve usability
Error detection and optimisation
Personalisation

Moderation and security

Reviewing reports
Automated pre-publication screening of uploaded images and event text (title/description) for unlawful or objectionable content – using AWS AI services (image and text recognition, EU-Central-1). There is no solely automated decision with legal effect; flagged content is reviewed by a human.
AI-assisted review of reported chat messages (group chats and private direct messages): when a user reports a message, only that reported message (with some context) is assessed by an AI service (AWS Bedrock, Claude, EU-Central-1 Frankfurt). We do not automatically scan all messages – only the ones that are specifically reported. For a clear violation the message may be removed automatically and – for repeated or serious violations – access to the relevant chat or to private messaging may be restricted temporarily or permanently (warnings/"strikes"). In unclear cases a human decides.
Right to object (Art. 22 GDPR): you can appeal an automated action (message removal, restriction/ban) in the app under "Settings → Moderation & bans" or by email to support@popupevent.org; the case is then re-reviewed by a person and the action reversed where appropriate.
Preventing spam and abuse
IT security and enforcing terms of use

Legal bases (GDPR)

Consent (Art. 6(1)(a)), e.g. location, push notifications, optional Instagram verification
Contract (Art. 6(1)(b)), e.g. account, events, chats
Legitimate interests (Art. 6(1)(f)), e.g. IT security, abuse prevention, moderation, aggregated statistics
Legal obligations (Art. 6(1)(c))

Processors and service providers

We do not sell data to advertising networks. Technical providers process data on our behalf (Art. 28 GDPR), including:

Server hosting: Hetzner Online GmbH, Germany (Nuremberg)
File storage, email, AI: Amazon Web Services (AWS), EU-Central-1 Frankfurt (AI moderation primarily via AWS Bedrock in Frankfurt)
AI fallback: Anthropic PBC (USA) – used only as a backup if the AI service in Frankfurt is temporarily unavailable; the text to be reviewed may then be transferred to the USA (safeguards see "Transfers to third countries")
Database: Supabase Inc., EU region
Email delivery
Push notifications via Apple/Google (e.g. Expo Notifications)
Maps (e.g. Mapbox), where enabled
Crash & error diagnostics: Sentry (Functional Software Inc.), data processed in the EU (Frankfurt). Collects technical error and device data (e.g. crash reports, app version, device model, operating system) to improve stability – no screen recordings, not linked to your identity, IP address not stored by default
Meta (Instagram) when you use Instagram login

Processor agreements are in place where required. We can provide an updated list on reasonable request.

Note: Ticketing and payment processing are not active in the app today. When introduced, additional payment processors may be added; this policy will be updated in advance.

Transfers to third countries (e.g. USA)

Some providers may process data outside the EU/EEA. Where required, we implement appropriate safeguards (e.g. EU Standard Contractual Clauses, adequacy decisions), as long as they remain valid and applicable. This applies in particular to the AI fallback (Anthropic, USA) mentioned above, which is only used when the primary AI service in Frankfurt is temporarily unavailable.

Retention

Active use: for the duration of use
After account deletion: deletion of personal data unless statutory retention applies
Analytics: anonymisation/cleanup
Location: not stored permanently; used for active sessions/features as implemented
Feedback/reports: as long as needed for abuse prevention and quality assurance
Content identified as unlawful or reported (in particular flagged images and reported chat messages together with the related offender reference) may be retained for evidence and safety purposes and for possible reporting to authorities – including beyond account deletion – where necessary and legally permitted. The reported message text is stored encrypted.

Your rights

Access, rectification, erasure, restriction, data portability, withdrawal of consent
Right to lodge a complaint with a supervisory authority

Contact

Email: contact@popupevent.org

Location data

Only with explicit permission; you can revoke access in device/app settings; we do not permanently store a detailed movement history where implemented accordingly.

Security

Transmission via HTTPS/TLS where supported
Passwords hashed with bcrypt
Appropriate technical and organisational measures

Analytics and tracking

Typically pseudonymous or aggregated analysis
No advertising cookies in the native app; web views may use technically necessary cookies
No sharing with ad networks for profiling
Raw analytics data typically retained for up to about 12 months, then deleted or anonymised unless longer retention is technically necessary

Push notifications

e.g. chat, event invites, follower updates
Can be disabled in system or app settings

Storage location and international transfers

Primary processing in the EU: servers in Germany (Hetzner, Nuremberg), database EU region (Supabase), file storage/email/AI EU-Central-1 Frankfurt (AWS). Some providers (e.g. Supabase Inc., Apple, Google) may additionally process outside the EU; appropriate safeguards (Art. 46 GDPR) are in place.

Changes to this policy

We update this policy when our processing or legal requirements change
Material changes: notice in the app or by other appropriate means
Current version at this URL and in the app
Last updated: 18 Jun 2026

Privacy requests

Email: legal@popupevent.org