Datenschutzerklärung

→ Datenschutzerklärung für die Kirum App

Stand: März 2026

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Besuch der Website kirum.app (inkl. Unterseiten) sowie bei Kontaktaufnahme per E-Mail.

1. Verantwortlicher

Jerome Bieler
Sillemstr. 46
20257 Hamburg
Deutschland
E-Mail: datenschutz@kirum.app
Telefon: +49 160 98265059

2. Überblick der Datenverarbeitung

Beim Besuch dieser Website werden aus technischen Gründen Zugriffsdaten verarbeitet, um die Website bereitzustellen, sicher zu betreiben und zu optimieren. Für eine datensparsame Reichweitenmessung verwenden wir Cloudflare Web Analytics (ohne Tracking-/Marketing-Cookies). Eine Kontaktaufnahme ist per E-Mail möglich; hierfür werden die von Ihnen übermittelten Daten verarbeitet.

Wir erstellen keine Marketing-Profile und betreiben kein werbliches Nutzer-Tracking.

3. Rechtsgrundlagen

Je nach Verarbeitung stützen wir uns auf folgende Rechtsgrundlagen:

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), z. B. an sicherer, stabiler und effizienter Website-Bereitstellung sowie an datensparsamer Reichweitenmessung.
Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen), sofern Ihre Anfrage auf Abschluss oder Durchführung eines Vertrags gerichtet ist.
§ 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich), soweit Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden (z. B. technisch notwendige Cookies/ähnliche Technologien).

4. Empfänger, Auftragsverarbeiter, Unterauftragsverarbeiter

Wir setzen teils Dienstleister ein, die Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter gemäß Art. 28 DSGVO), sowie teils Dienstleister, die Daten in eigener Verantwortlichkeit verarbeiten.

Cloudflare kann zur Leistungserbringung Unterauftragsverarbeiter einsetzen. Die Liste der Cloudflare-Unterauftragsverarbeiter ist öffentlich abrufbar (Stichwort: „Cloudflare GDPR Subprocessors“).

5. Drittlandübermittlungen (insb. USA)

Wir nutzen Dienstleister, die (auch) in den USA ansässig sind bzw. Daten dort verarbeiten können. Eine Übermittlung/Verarbeitung erfolgt – soweit erforderlich – auf Grundlage geeigneter Garantien, insbesondere:

EU-U.S. Data Privacy Framework (DPF), sofern für die konkrete Leistung/Verarbeitung anwendbar (z. B. Cloudflare, Inc. und Google LLC sind in der offiziellen Teilnehmerliste geführt), und/oder
EU-Standardvertragsklauseln (SCC) sowie ergänzende vertragliche/technische Maßnahmen.

Hinweis: Auch bei geeigneten Garantien kann ein Restrisiko (z. B. durch Zugriffsrechte staatlicher Stellen) nicht vollständig ausgeschlossen werden.

6. Bereitstellung der Website (Hosting, CDN, Sicherheit) – Cloudflare

6.1 Dienstleister
Für Auslieferung, Performance und Sicherheit nutzen wir Dienste der Cloudflare, Inc. (sowie verbundener Unternehmen), insbesondere als CDN- und Sicherheitsdienstleister.

6.2 Verarbeitete Daten (Zugriffs-/Serverdaten)
Beim Aufruf der Website werden aus technischen Gründen insbesondere folgende Daten verarbeitet:

IP-Adresse (technisch erforderlich; insbesondere relevant für Netzwerkauslieferung, Sicherheit und Missbrauchsprävention)
Datum und Uhrzeit des Zugriffs
aufgerufene Seite/URL
Referrer-URL
Browser-/Betriebssystem-/Geräteinformationen (User-Agent bzw. abgeleitete Klassen)
Statuscodes, Fehlermeldungen, übertragene Datenmenge
ggf. technische Kennungen (z. B. Request-ID) zur Fehler- und Sicherheitsanalyse

6.3 Zwecke

Bereitstellung und Auslieferung der Website
Gewährleistung von Stabilität und Sicherheit (z. B. DDoS-/Missbrauchsschutz)
Fehleranalyse und technische Optimierung

6.4 Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und effizienter Bereitstellung der Website).

6.5 Speicherdauer
Zugriffs- und Sicherheitsdaten werden abhängig von der gewählten Cloudflare-Konfiguration grundsätzlich nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Missbrauchsprävention erforderlich ist, und anschließend gelöscht oder anonymisiert/aggregiert.

6.6 Drittlandübermittlung
Eine Verarbeitung in den USA ist möglich (siehe Ziff. 5).

7. Reichweitenmessung (Cloudflare Web Analytics)

Wir verwenden Cloudflare Web Analytics zur statistischen Auswertung der Website-Nutzung in aggregierter Form, um Inhalte, Struktur und Performance zu verbessern. Dabei werden keine Marketing-Profile erstellt.

Nach Angaben von Cloudflare ist Web Analytics als cookieless Reichweitenmessung konzipiert und verwendet keine Tracking-Cookies. Es ist darauf ausgelegt, Besucher nicht über Zeit zu Werbezwecken zu verfolgen und keine individuellen Nutzungsprofile zu erstellen. Cloudflare gibt an, dass Web Analytics keine client-seitigen Speichermechanismen (z. B. Cookies oder localStorage) nutzt und keine Besucher mittels Fingerprinting identifiziert, um Statistiken bereitzustellen.

7.1 Verarbeitete Daten
Im Rahmen der Reichweitenmessung können insbesondere verarbeitet werden:

Seitenaufrufe/URL und Zeitpunkte von Aufrufen
Referrer-Informationen
grobe technische Informationen (z. B. Browser-/Geräteklasse)
grobe, abgeleitete Standortinformationen (z. B. Land/Region)
ggf. technisch erforderliche Netzwerkinformationen (insb. IP-Verarbeitung) zur Auslieferung/Sicherheit; die Analytics-Auswertung ist auf aggregierte Kennzahlen ausgerichtet

7.2 Zwecke

Reichweitenmessung und Nutzungsanalyse (aggregiert)
Verbesserung von Inhalten, Navigation und Performance
Erkennung von Fehlfunktionen/Unregelmäßigkeiten (aggregiert)

7.3 Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datensparsamer Reichweitenmessung und Optimierung).

7.4 Widerspruch (Art. 21 DSGVO)
Sie können der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Bitte schreiben Sie an datenschutz@kirum.app mit dem Betreff „Widerspruch Web Analytics“. Wir prüfen Ihren Widerspruch und berücksichtigen ihn im Rahmen der technischen und organisatorischen Möglichkeiten (z. B. Deaktivierung der Reichweitenmessung).

7.5 Speicherdauer
Analytics-Daten werden entsprechend der aktiven Cloudflare-Einstellungen nur so lange vorgehalten, wie dies für die Auswertung erforderlich ist, und anschließend gelöscht bzw. dauerhaft aggregiert.

7.6 Drittlandübermittlung
Eine Verarbeitung in den USA ist möglich (siehe Ziff. 5).

8. Cookies / Technologien auf Ihrem Endgerät (TTDSG)

Wir setzen keine Tracking- oder Marketing-Cookies ein.

Zur sicheren und stabilen Bereitstellung dieser Website können jedoch – abhängig von aktivierten Sicherheits- und Performance-Funktionen (insb. über Cloudflare) – technisch notwendige Cookies oder vergleichbare Technologien (z. B. Sicherheits-/Integritätsmechanismen, Challenge-Tokens) eingesetzt werden, etwa zur Abwehr von Bot-/Missbrauchsversuchen oder zur Sicherstellung der Funktionsfähigkeit.

Rechtsgrundlage (Endgerät): Soweit dabei Informationen auf Ihrem Endgerät gespeichert oder ausgelesen werden, erfolgt dies auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich).
Rechtsgrundlage (weitere Verarbeitung): Die anschließende Verarbeitung personenbezogener Daten (z. B. Sicherheits-/Zugriffsdaten) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

9. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir die von Ihnen übermittelten Daten, insbesondere:

E-Mail-Adresse
Inhalte der Nachricht
Datum/Uhrzeit der Kommunikation
ggf. Anhänge und weitere freiwillige Angaben

9.1 Zwecke

Bearbeitung und Beantwortung Ihrer Anfrage
Dokumentation der Kommunikation
ggf. Anbahnung/Durchführung eines Vertragsverhältnisses

9.2 Rechtsgrundlagen

Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage auf (vor)vertragliche Maßnahmen oder Vertragserfüllung gerichtet ist
ansonsten Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Bearbeitung von Anfragen)

9.3 Empfänger / eingesetzte Dienste
Für die technische Weiterleitung eingehender E-Mails kann Cloudflare (Email Routing) als Dienstleister eingesetzt werden.

Das E-Mail-Postfach wird über Google (Consumer Gmail) betrieben. Google handelt hierbei in der Regel als separat Verantwortlicher. Es gelten ergänzend die Datenschutzbestimmungen von Google.

9.4 Speicherdauer
E-Mails werden so lange gespeichert, wie dies zur Bearbeitung erforderlich ist. Darüber hinaus kann eine längere Speicherung erforderlich sein, soweit gesetzliche Aufbewahrungspflichten bestehen oder dies zur Geltendmachung/Verteidigung von Rechtsansprüchen notwendig ist.

Anfragen ohne gesetzliche Aufbewahrungspflicht löschen wir in der Regel innerhalb von 12 Monaten, sofern keine weitere Korrespondenz erforderlich ist.

9.5 Drittlandübermittlung
Eine Verarbeitung in den USA ist möglich (siehe Ziff. 5).

10. Ihre Rechte

Sie haben nach der DSGVO folgende Rechte:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine E-Mail an datenschutz@kirum.app.

11. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für Hamburg ist dies insbesondere:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)

12. Pflicht zur Bereitstellung von Daten

Der Besuch der Website erfordert die Verarbeitung technisch notwendiger Zugriffsdaten (Ziff. 6). Ohne diese Verarbeitung ist ein Aufruf der Website nicht möglich.
Die Kontaktaufnahme per E-Mail ist freiwillig. Ohne Bereitstellung von Kontaktdaten und Nachrichteninhalt können wir Ihre Anfrage ggf. nicht beantworten.

13. Automatisierte Entscheidungsfindung / Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Rechtslage oder unsere Datenverarbeitung ändert. Es gilt die jeweils auf der Website veröffentlichte Version.

Datenschutzerklärung für die Kirum App

Grundprinzip der Kirum App

Die Kirum App funktioniert ohne eigenes Kirum-Benutzerkonto, ohne Tracking, ohne eigene Serverinfrastruktur sowie ohne Analyse-, Profiling- oder Marketingdienste.

Alle vom Nutzer eingegebenen Daten (insbesondere Ausgaben, Beträge, Kategorien, Zeitpunkte und Währungen) werden lokal auf dem Gerät gespeichert. Wenn der Nutzer iCloud aktiviert hat, können diese Daten zusätzlich über die systemseitige iCloud-Infrastruktur (CloudKit Private Database) zwischen den eigenen Apple-Geräten des Nutzers synchronisiert werden.

Kirum speichert selbst keine in der App eingegebenen Daten und hat zu keinem Zeitpunkt Zugriff auf diese Daten.

1. Speicherung und Synchronisation über iCloud (CloudKit)

Zweck der Verarbeitung
Sicherung der vom Nutzer eingegebenen Daten sowie geräteübergreifende Synchronisation zwischen den eigenen Apple-Geräten des Nutzers.

Hinweis
Die Synchronisation setzt eine aktivierte iCloud (Apple-ID) voraus. Wenn iCloud deaktiviert ist oder die Synchronisation technisch bedingt fehlschlägt, verbleiben die Daten ausschließlich lokal auf dem Gerät.

Verarbeitete Datenkategorien

Ausgabendaten
Beträge
Kategorien und Unterkategorien
Zeitpunkte
Währungen
Einstellungsdaten (z. B. Anzeige-, Sicherheits- und Synchronisationseinstellungen; ggf. freiwillige Namensangabe)

Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der vom Nutzer gewünschten App-Funktionalität).

Empfänger und Rolle
Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland, verarbeitet diese Daten eigenverantwortlich im Rahmen der iCloud-Dienste.

Drittlandübermittlung
Die Verarbeitung erfolgt primär innerhalb der Europäischen Union. Eine Übermittlung in Drittländer kann durch Apple jedoch nicht ausgeschlossen werden. Informationen zu etwaigen Übermittlungen, Empfängern sowie den von Apple eingesetzten Garantien ergeben sich aus den Datenschutzinformationen von Apple.

Speicherdauer
Die Speicherung erfolgt solange, wie der Nutzer iCloud nutzt und die Daten nicht selbst löscht.

Weitere Informationen: apple.com/legal/privacy

2. Lokale Erinnerungen (Local Notifications)

Zweck der Verarbeitung
Erinnerung zum Eintragen von Ausgaben.

Diese Erinnerungen werden ausschließlich lokal auf dem Gerät gespeichert und ausgeführt. Für diese lokalen Erinnerungen werden keine Push-Tokens erzeugt und keine Daten an Dritte übermittelt.

Hinweis: Für die iCloud-Synchronisation (CloudKit) kann Apple systemseitig Push-Mechanismen zur Synchronisation verwenden. Kirum betreibt keine eigenen Push-Server und versendet keine eigenen Push-Nachrichten.

3. Nutzung eines Wechselkursdienstes (Frankfurter API)

Zweck der Verarbeitung
Bereitstellung der korrekten historischen Währungsumrechnung sowie Aktualisierung von Referenzkursen (z. B. zur Offline-Nutzung).

Wenn eine Umrechnung erfolgt oder wenn die App Wechselkursdaten aktualisiert, stellt die App eine Anfrage an den Dienst: https://api.frankfurter.dev/v1

Verarbeitete Datenkategorien
Bei einer Anfrage fallen typischerweise folgende Daten an:

IP-Adresse
Datum und Uhrzeit der Anfrage
technische Metadaten der Anfrage (z. B. User-Agent/HTTP-Header)

Es werden keine Ausgabendaten oder sonstige in der App eingegebene Inhalte an den Dienst übermittelt.

Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der App-Funktionalität, insbesondere Währungsumrechnung und Offline-Verfügbarkeit von Referenzwerten).

Empfänger und Rolle
Drittanbieter-Dienst frankfurter.dev. Die datenschutzrechtliche Verantwortlichkeit richtet sich nach den Angaben des Dienstanbieters. Nach Angaben des Dienstes kann die technische Bereitstellung über Infrastruktur-Dienstleister (z. B. Cloudflare) erfolgen, wodurch Verbindungsdaten technisch bedingt mitverarbeitet werden können.

Drittlandübermittlung
Eine Verarbeitung in Drittländern kann technisch nicht ausgeschlossen werden.

Speicherdauer
Die Speicherung erfolgt gemäß den Angaben/Datenschutzinformationen des jeweiligen Dienstanbieters bzw. dessen Infrastruktur-Dienstleister.

3a. In-App-Käufe und Abonnements (Apple In-App Purchase)

Zweck der Verarbeitung
Abwicklung von In-App-Käufen/Abonnements sowie Freischaltung und Verwaltung von Premium-Funktionen innerhalb der App.

Hinweis zur Rollenverteilung
Die Zahlungsabwicklung und Verwaltung von Käufen/Abonnements erfolgt über Apple im Rahmen des App Store / In-App Purchase. Apple verarbeitet dabei Daten eigenverantwortlich nach den Apple-Datenschutzbestimmungen.

Kirum erhält von Apple lediglich Informationen, die zur Prüfung und Durchsetzung des Kauf-/Abo-Status erforderlich sind (z. B. ob ein Abonnement aktiv ist), um Funktionen in der App freizuschalten. Kirum verarbeitet dabei keine Zahlungsdaten (z. B. Kreditkarten- oder Bankdaten).

Verarbeitete Datenkategorien

Kauf-/Abo-bezogene Statusinformationen (z. B. „Abo aktiv/abgelaufen“, Produktkennung)
technische Informationen, die zur Validierung/Zuordnung erforderlich sein können (z. B. App-/Geräteumfeld im Rahmen der Apple-Mechanik)

Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Durchführung des vom Nutzer gewünschten Vertrags über Premium-Funktionen) sowie – soweit erforderlich – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsprävention und Funktionssicherheit der Freischaltung).

Empfänger und Rolle
Apple (App Store / In-App Purchase) verarbeitet die Kaufabwicklung eigenverantwortlich.

Drittlandübermittlung
Eine Verarbeitung in Drittländern kann durch Apple nicht ausgeschlossen werden. Details ergeben sich aus den Datenschutzinformationen von Apple.

Speicherdauer
Abo-/Kaufinformationen werden so lange verarbeitet, wie dies für die Vertragsdurchführung (Freischaltung) erforderlich ist. Darüber hinaus richtet sich die Speicherung nach den Vorgaben von Apple (App Store / In-App Purchase) und den Einstellungen bzw. Löschungen des Nutzers.

4. Kontaktaufnahme per E-Mail

Zweck der Verarbeitung
Bearbeitung und Beantwortung Ihrer Anfrage.

Wenn Sie uns kontaktieren, werden folgende personenbezogene Daten verarbeitet:

E-Mail-Adresse
Nachrichteninhalte
Zeitstempel

Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (bei (vor)vertraglichen Anfragen) und im Übrigen Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation und Bearbeitung von Anfragen).

Empfänger und Rolle

Cloudflare, Inc., USA – Auftragsverarbeiter (Email Routing)
Google LLC, USA – eigenverantwortlicher Anbieter (Gmail)

Beide Unternehmen sind nach eigenen Angaben nach dem EU-US Data Privacy Framework zertifiziert.

Es kann nicht ausgeschlossen werden, dass E-Mails technisch bedingt in Backups und Logsystemen der Anbieter gespeichert werden.

Speicherdauer
Die Speicherung erfolgt so lange, wie dies zur Bearbeitung erforderlich ist, bis eine Löschung verlangt wird oder gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen.

Anfragen ohne gesetzliche Aufbewahrungspflicht löschen wir in der Regel innerhalb von 12 Monaten, sofern keine weitere Korrespondenz erforderlich ist.

5. Kategorien personenbezogener Daten

Im Rahmen der beschriebenen Verarbeitungsvorgänge können folgende personenbezogene Daten anfallen:

Ausgabendaten (bei iCloud-Synchronisation)
Einstellungsdaten (bei iCloud-Synchronisation; z. B. App-Einstellungen, ggf. freiwillige Namensangabe)
Verbindungsdaten (IP-Adresse, Zeitstempel, technische Metadaten der Anfrage)
Kommunikationsdaten (E-Mail-Adresse, Nachrichteninhalte)

Es erfolgt keine Zusammenführung dieser Daten.

6. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung und kein Profiling statt.

Es werden keine personenbezogenen Daten zu Werbe-, Marketing- oder Analysezwecken verarbeitet.

7. Datensicherheit

Die Verarbeitung erfolgt gemäß Art. 32 DSGVO unter Einsatz technischer und organisatorischer Maßnahmen entsprechend dem Stand der Technik, insbesondere durch Verschlüsselung, Zugriffsbeschränkung und Nutzung der iOS-Sicherheitsarchitektur.

8. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn sich die Funktionalität der App oder rechtliche Anforderungen ändern.

Stand: Februar 2026