Datenschutzerklärung
gemäß DSGVO / BDSG / TTDSG — Stand: April 2026
§ 1 Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
VIMMO GbRTimo Kraus & Jonas Poser
Unter Birken 1
53797 Lohmar
E-Mail: hello@vimmo.me
§ 2 Überblick über die Datenverarbeitung
Wir nehmen den Schutz deiner persönlichen Daten sehr ernst. Wir behandeln deine personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (insbesondere DSGVO, BDSG, TTDSG) sowie dieser Datenschutzerklärung.
§ 3 Deine Rechte
Du hast jederzeit folgende Rechte bezüglich deiner personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Du kannst Auskunft über die von uns verarbeiteten Daten verlangen.
- Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Du kannst die Herausgabe deiner Daten in einem maschinenlesbaren Format verlangen.
- Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung auf Grundlage berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Zur Ausübung deiner Rechte wende dich an: hello@vimmo.me
Du hast zudem das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).
§ 4 Hosting und technische Infrastruktur
4.1 Firebase / Google Cloud Platform
Die App nutzt Dienste von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) im Rahmen der Firebase-Plattform. Die Datenverarbeitung erfolgt auf Servern in der EU (Region europe-west1, Belgien).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und zuverlässiger Infrastruktur).
Google ist unter dem EU-US Data Privacy Framework zertifiziert. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor.
Datenschutzhinweise von Google: https://policies.google.com/privacy
4.2 Website-Hosting
Unsere Website (vimmo.me) wird bei einem externen Hosting-Anbieter gehostet. Beim Aufruf der Website werden automatisch Server-Logfiles erhoben (IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL, Zeitpunkt des Zugriffs). Diese Daten dienen der technischen Bereitstellung und Sicherheit der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
§ 5 VIMMO iOS App — Datenverarbeitungen im Detail
5.1 Registrierung und Authentifizierung (Firebase Authentication)
Erhobene Daten:
- Bei anonymer Anmeldung: Automatisch generierte Firebase-Nutzer-ID (UID)
- Bei Apple Sign-In: Apple-ID, ggf. Apple-Relay-E-Mail-Adresse, Vor- und Nachname (sofern vom Nutzer freigegeben)
Zweck: Identifikation des Nutzers, Zuordnung von Reports und Bewertungen, Sicherstellung der Kontofunktionalität.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Kontolöschung durch den Nutzer.
5.2 Adress-Reports (Firebase Firestore, Google BigQuery, Vertex AI)
Erhobene Daten: Eingegebene Adresse (Straße, PLZ, Stadt, Koordinaten); generierter Report (Score, Mängelanalyse, Nachbarschaftsdaten).
Verarbeitungskette:
- Adresse wird an Google BigQuery übermittelt (Abgleich mit öffentlichen Statistikdaten, insbesondere Zensus 2022)
- Daten werden an Google Vertex AI (Gemini 2.5 Flash) übermittelt zur KI-gestützten Analyse und Report-Generierung
- Generierter Report wird in Firebase Firestore gespeichert
Zweck: Bereitstellung des Kerndienstes (Adress-Analyse und Report-Erstellung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Reports werden dem Nutzer dauerhaft zugeordnet und bei Kontolöschung gelöscht.
Hinweis: Es werden ausschließlich öffentlich verfügbare, aggregierte Statistikdaten verwendet. Es findet keine Erhebung personenbezogener Daten über Bewohner oder Vermieter der analysierten Adressen statt.
5.3 Community-Bewertungen (Firebase Firestore)
Erhobene Daten: Bewertungsinhalte (Freitext, Sternebewertungen), Adressbezug der Bewertung, Nutzer-ID und Anzeigename.
Zweck: Bereitstellung der Community-Bewertungsfunktion, Anzeige aggregierter Bewertungen in Reports. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis zur Löschung durch den Nutzer oder bei Kontolöschung.
5.4 Mietvertrags-Check (Firebase Storage, Vertex AI)
Erhobene Daten: Hochgeladene Vertragsdokumente (Fotos oder PDF-Dateien).
Verarbeitungskette:
- Dokument wird verschlüsselt (TLS) an Firebase Storage übertragen
- Dokument wird an Google Vertex AI zur Analyse übermittelt
- Analyseergebnis wird an den Nutzer zurückgegeben
- Dokument wird nach der Analyse nicht dauerhaft gespeichert
Zweck: KI-gestützte Analyse von Mietvertragsklauseln. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Hochladen). Speicherdauer: Nur für die Dauer der Verarbeitung.
Hinweis: Mietverträge können personenbezogene Daten Dritter enthalten (Namen, Adressen, Unterschriften). Wir empfehlen, solche Daten vor dem Upload nach Möglichkeit zu schwärzen.
5.5 In-App-Käufe (Apple StoreKit)
Erhobene Daten: Transaktions-ID des Apple App Store. Zweck: Freischaltung kostenpflichtiger Premium-Reports, Verifizierung des Kaufs. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Hinweis: Die Zahlungsabwicklung erfolgt vollständig durch Apple. Wir haben keinen Zugang zu Zahlungsdaten.
5.6 Firebase Analytics (nur mit Einwilligung)
Erhobene Daten: Anonyme Nutzungsstatistiken, App-Instanz-ID, IDFV (kein geräteübergreifendes Tracking). Zweck: Analyse der App-Nutzung zur Verbesserung des Angebots. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Die Datenerhebung durch Firebase Analytics erfolgt nur nach ausdrücklicher Einwilligung und kann jederzeit in den App-Einstellungen unter „Datenschutz" widerrufen werden. IDFA wird nicht erhoben. Die App implementiert den Google Consent Mode v2; werbebezogene Datenverarbeitungen sind dauerhaft deaktiviert. Speicherdauer: 14 Monate.
5.7 Firebase Crashlytics
Erhobene Daten: Absturzberichte (Stack Traces, Geräteinformationen, App-Zustand), Firebase-Nutzer-ID. Zweck: Erkennung und Behebung von Softwarefehlern. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 90 Tage.
5.8 Firebase Performance Monitoring
Erhobene Daten: Performance-Metriken (Ladezeiten, Netzwerkanfragen, App-Startzeit). Zweck: Überwachung und Verbesserung der App-Performance. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5.9 Firebase Cloud Messaging (Push-Benachrichtigungen)
Erhobene Daten: FCM-Token. Zweck: Zustellung von Push-Benachrichtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Die Berechtigung kann jederzeit über die iOS-Systemeinstellungen widerrufen werden.
5.10 Firebase App Check
Erhobene Daten: App-Attestierungs-Token. Zweck: Schutz der Backend-Dienste vor Missbrauch. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5.11 Empfehlungsprogramm (Referral)
Erhobene Daten: Referral-Code, Referral-Status. Zweck: Zuordnung von Gratis-Reports im Rahmen des Empfehlungsprogramms. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
§ 6 Cookies und lokale Speicherung
6.1 Website
Die Website verwendet keine Tracking-Cookies und keine Drittanbieter-Analysedienste. Es werden ausschließlich technisch notwendige Cookies eingesetzt (§ 25 Abs. 2 TTDSG).
6.2 App
Die App speichert Einstellungen und Einwilligungsstatus lokal auf dem Gerät des Nutzers (UserDefaults). Dies ist technisch notwendig für die Funktionalität der App (§ 25 Abs. 2 TTDSG).
§ 7 Datenübermittlung an Drittländer
Die eingesetzten Firebase/Google-Cloud-Dienste verarbeiten Daten primär in der EU (Region europe-west1, Belgien). Soweit eine Übermittlung in die USA stattfindet, ist diese durch das EU-US Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO) abgesichert. Zusätzlich bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO mit Google.
§ 8 Datensicherheit
- Verschlüsselte Datenübertragung (TLS/HTTPS)
- Firebase App Check zur Absicherung der API-Endpunkte
- Zugriffsbeschränkungen durch Firebase Security Rules
- Keine Speicherung von Zahlungsdaten
- Serverseitige Verarbeitung auf Google Cloud (ISO 27001, SOC 2 zertifiziert)
§ 9 Kontolöschung
Der Nutzer kann sein Konto jederzeit über die App-Einstellungen vollständig löschen. Bei Kontolöschung werden Nutzerprofil und Authentifizierungsdaten, alle erstellten Reports und alle abgegebenen Bewertungen unwiderruflich entfernt. Firebase Analytics- und Crashlytics-Daten werden nach den jeweiligen Aufbewahrungsfristen automatisch gelöscht. Alternativ kann die Kontolöschung per E-Mail an hello@vimmo.me angefordert werden.
§ 10 Minderjährige
Die App richtet sich an Personen ab 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.
§ 11 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist unter https://vimmo.me/privacy abrufbar.
VIMMO GbR — Timo Kraus & Jonas Poser · Stand: April 2026
This is a courtesy translation for your convenience. The legally binding version of this privacy policy is the German original.
Privacy policy
in accordance with GDPR / BDSG / TTDSG — as of: April 2026
§ 1 Controller
The controller within the meaning of the General Data Protection Regulation (GDPR) is:
VIMMO GbRTimo Kraus & Jonas Poser
Unter Birken 1
53797 Lohmar, Germany
Email: hello@vimmo.me
§ 2 Overview of data processing
We take the protection of your personal data very seriously. We treat your personal data confidentially and in accordance with the statutory data protection regulations (in particular the GDPR, BDSG and TTDSG) and this privacy policy.
§ 3 Your rights
You have the following rights regarding your personal data at any time:
- Access (Art. 15 GDPR): You can request information about the data we process.
- Rectification (Art. 16 GDPR): You can request the correction of inaccurate data.
- Erasure (Art. 17 GDPR): You can request the deletion of your data, provided there is no legal retention obligation.
- Restriction of processing (Art. 18 GDPR): You can request the restriction of processing.
- Data portability (Art. 20 GDPR): You can request the release of your data in a machine-readable format.
- Objection (Art. 21 GDPR): You can object to processing based on legitimate interests.
- Withdrawal of consent (Art. 7(3) GDPR): Consent given can be withdrawn at any time with effect for the future.
To exercise your rights, contact: hello@vimmo.me
You also have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR).
§ 4 Hosting and technical infrastructure
4.1 Firebase / Google Cloud Platform
The app uses services from Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ireland) as part of the Firebase platform. Data is processed on servers in the EU (region europe-west1, Belgium).
Legal basis: Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(f) GDPR (legitimate interest in secure and reliable infrastructure).
Google is certified under the EU-US Data Privacy Framework. A data processing agreement (DPA) under Art. 28 GDPR is in place.
Google's privacy information: https://policies.google.com/privacy
4.2 Website hosting
Our website (vimmo.me) is hosted by an external hosting provider. When the website is accessed, server log files are automatically collected (IP address, browser type, operating system, referrer URL, time of access). This data serves the technical provision and security of the website.
Legal basis: Art. 6(1)(f) GDPR (legitimate interest).
§ 5 VIMMO iOS app — data processing in detail
5.1 Registration and authentication (Firebase Authentication)
Data collected:
- For anonymous sign-in: an automatically generated Firebase user ID (UID)
- For Apple Sign-In: Apple ID, possibly an Apple relay email address, first and last name (if released by the user)
Purpose: identification of the user, assignment of reports and reviews, ensuring account functionality.
Legal basis: Art. 6(1)(b) GDPR (performance of a contract). Retention period: until the account is deleted by the user.
5.2 Address reports (Firebase Firestore, Google BigQuery, Vertex AI)
Data collected: the address entered (street, postcode, city, coordinates); the generated report (score, defect analysis, neighbourhood data).
Processing chain:
- The address is transmitted to Google BigQuery (matched against public statistical data, in particular the 2022 Census)
- Data is transmitted to Google Vertex AI (Gemini 2.5 Flash) for AI-assisted analysis and report generation
- The generated report is stored in Firebase Firestore
Purpose: provision of the core service (address analysis and report creation). Legal basis: Art. 6(1)(b) GDPR. Retention period: reports are permanently assigned to the user and deleted when the account is deleted.
Note: only publicly available, aggregated statistical data is used. No personal data about residents or landlords of the analysed addresses is collected.
5.3 Community reviews (Firebase Firestore)
Data collected: review content (free text, star ratings), the address the review relates to, user ID and display name.
Purpose: provision of the community review feature, display of aggregated reviews in reports. Legal basis: Art. 6(1)(b) GDPR. Retention period: until deleted by the user or when the account is deleted.
5.4 Lease check (Firebase Storage, Vertex AI)
Data collected: uploaded contract documents (photos or PDF files).
Processing chain:
- The document is transmitted to Firebase Storage in encrypted form (TLS)
- The document is transmitted to Google Vertex AI for analysis
- The analysis result is returned to the user
- The document is not stored permanently after the analysis
Purpose: AI-assisted analysis of lease clauses. Legal basis: Art. 6(1)(a) GDPR (consent through active upload). Retention period: only for the duration of processing.
Note: leases may contain personal data of third parties (names, addresses, signatures). We recommend redacting such data before uploading where possible.
5.5 In-app purchases (Apple StoreKit)
Data collected: Apple App Store transaction ID. Purpose: unlocking paid premium reports, verifying the purchase. Legal basis: Art. 6(1)(b) GDPR.
Note: payment is handled entirely by Apple. We have no access to payment data.
5.6 Firebase Analytics (only with consent)
Data collected: anonymous usage statistics, app instance ID, IDFV (no cross-device tracking). Purpose: analysis of app usage to improve the service. Legal basis: Art. 6(1)(a) GDPR (consent).
Data collection by Firebase Analytics takes place only after explicit consent and can be withdrawn at any time in the app settings under "Privacy". IDFA is not collected. The app implements Google Consent Mode v2; advertising-related data processing is permanently disabled. Retention period: 14 months.
5.7 Firebase Crashlytics
Data collected: crash reports (stack traces, device information, app state), Firebase user ID. Purpose: detection and resolution of software errors. Legal basis: Art. 6(1)(f) GDPR. Retention period: 90 days.
5.8 Firebase Performance Monitoring
Data collected: performance metrics (load times, network requests, app start time). Purpose: monitoring and improving app performance. Legal basis: Art. 6(1)(f) GDPR.
5.9 Firebase Cloud Messaging (push notifications)
Data collected: FCM token. Purpose: delivery of push notifications. Legal basis: Art. 6(1)(a) GDPR. The permission can be withdrawn at any time via the iOS system settings.
5.10 Firebase App Check
Data collected: app attestation token. Purpose: protecting the backend services from abuse. Legal basis: Art. 6(1)(f) GDPR.
5.11 Referral programme
Data collected: referral code, referral status. Purpose: assigning free reports as part of the referral programme. Legal basis: Art. 6(1)(b) GDPR.
§ 6 Cookies and local storage
6.1 Website
The website uses no tracking cookies and no third-party analytics services. Only technically necessary cookies are used (§ 25(2) TTDSG).
6.2 App
The app stores settings and consent status locally on the user's device (UserDefaults). This is technically necessary for the functionality of the app (§ 25(2) TTDSG).
§ 7 Data transfer to third countries
The Firebase / Google Cloud services used process data primarily in the EU (region europe-west1, Belgium). Where a transfer to the USA takes place, it is safeguarded by the EU-US Data Privacy Framework (adequacy decision under Art. 45 GDPR). In addition, standard contractual clauses (SCCs) under Art. 46(2)(c) GDPR are in place with Google.
§ 8 Data security
- Encrypted data transmission (TLS/HTTPS)
- Firebase App Check to secure the API endpoints
- Access restrictions through Firebase Security Rules
- No storage of payment data
- Server-side processing on Google Cloud (ISO 27001, SOC 2 certified)
§ 9 Account deletion
The user can fully delete their account at any time via the app settings. When the account is deleted, the user profile and authentication data, all reports created and all reviews submitted are irrevocably removed. Firebase Analytics and Crashlytics data are automatically deleted after the respective retention periods. Alternatively, account deletion can be requested by email to hello@vimmo.me.
§ 10 Minors
The app is intended for persons aged 18 and over. We do not knowingly collect personal data from minors.
§ 11 Changes to this privacy policy
We reserve the right to amend this privacy policy in order to adapt it to changes in the law or changes to the service. The current version is available at https://vimmo.me/privacy.
VIMMO GbR — Timo Kraus & Jonas Poser · As of: April 2026
Dit is een hulpvertaling voor je gemak. De juridisch bindende versie van dit privacybeleid is het Duitse origineel.
Privacybeleid
conform AVG / BDSG / TTDSG — Stand: april 2026
§ 1 Verwerkingsverantwoordelijke
Verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) is:
VIMMO GbRTimo Kraus & Jonas Poser
Unter Birken 1
53797 Lohmar, Duitsland
E-mail: hello@vimmo.me
§ 2 Overzicht van de gegevensverwerking
Wij nemen de bescherming van je persoonsgegevens zeer serieus. Wij behandelen je persoonsgegevens vertrouwelijk en conform de wettelijke voorschriften inzake gegevensbescherming (met name AVG, BDSG, TTDSG) en dit privacybeleid.
§ 3 Je rechten
Je hebt te allen tijde de volgende rechten met betrekking tot je persoonsgegevens:
- Inzage (art. 15 AVG): je kunt inzage vragen in de door ons verwerkte gegevens.
- Rectificatie (art. 16 AVG): je kunt verzoeken om correctie van onjuiste gegevens.
- Wissing (art. 17 AVG): je kunt verzoeken om verwijdering van je gegevens, voor zover er geen wettelijke bewaarplicht bestaat.
- Beperking van de verwerking (art. 18 AVG): je kunt om beperking van de verwerking verzoeken.
- Overdraagbaarheid van gegevens (art. 20 AVG): je kunt verzoeken om je gegevens in een machineleesbaar formaat te ontvangen.
- Bezwaar (art. 21 AVG): je kunt bezwaar maken tegen verwerking op grond van gerechtvaardigde belangen.
- Intrekking van de toestemming (art. 7 lid 3 AVG): een gegeven toestemming kan te allen tijde met werking voor de toekomst worden ingetrokken.
Om je rechten uit te oefenen, neem je contact op via: hello@vimmo.me
Je hebt bovendien het recht om een klacht in te dienen bij een toezichthoudende autoriteit voor gegevensbescherming (art. 77 AVG).
§ 4 Hosting en technische infrastructuur
4.1 Firebase / Google Cloud Platform
De app maakt gebruik van diensten van Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Ierland) in het kader van het Firebase-platform. De gegevensverwerking vindt plaats op servers in de EU (regio europe-west1, België).
Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst) en art. 6 lid 1 sub f AVG (gerechtvaardigd belang bij een veilige en betrouwbare infrastructuur).
Google is gecertificeerd onder het EU-US Data Privacy Framework. Er is een verwerkersovereenkomst conform art. 28 AVG aanwezig.
Privacyinformatie van Google: https://policies.google.com/privacy
4.2 Website-hosting
Onze website (vimmo.me) wordt gehost bij een externe hostingprovider. Bij het bezoeken van de website worden automatisch serverlogbestanden verzameld (IP-adres, browsertype, besturingssysteem, referrer-URL, tijdstip van toegang). Deze gegevens dienen voor de technische werking en de beveiliging van de website.
Rechtsgrondslag: art. 6 lid 1 sub f AVG (gerechtvaardigd belang).
§ 5 VIMMO iOS-app — gegevensverwerking in detail
5.1 Registratie en authenticatie (Firebase Authentication)
Verzamelde gegevens:
- Bij anonieme aanmelding: een automatisch gegenereerde Firebase-gebruikers-ID (UID)
- Bij Apple Sign-In: Apple-ID, eventueel een Apple-relay-e-mailadres, voor- en achternaam (voor zover door de gebruiker vrijgegeven)
Doel: identificatie van de gebruiker, koppeling van rapporten en beoordelingen, waarborgen van de accountfunctionaliteit.
Rechtsgrondslag: art. 6 lid 1 sub b AVG (uitvoering van de overeenkomst). Bewaartermijn: tot verwijdering van het account door de gebruiker.
5.2 Adresrapporten (Firebase Firestore, Google BigQuery, Vertex AI)
Verzamelde gegevens: het ingevoerde adres (straat, postcode, plaats, coördinaten); het gegenereerde rapport (score, gebrekenanalyse, buurtgegevens).
Verwerkingsketen:
- Het adres wordt doorgegeven aan Google BigQuery (vergelijking met openbare statistische gegevens, met name de Census 2022)
- Gegevens worden doorgegeven aan Google Vertex AI (Gemini 2.5 Flash) voor AI-ondersteunde analyse en rapportgeneratie
- Het gegenereerde rapport wordt opgeslagen in Firebase Firestore
Doel: levering van de kerndienst (adresanalyse en rapportcreatie). Rechtsgrondslag: art. 6 lid 1 sub b AVG. Bewaartermijn: rapporten worden permanent aan de gebruiker gekoppeld en bij verwijdering van het account verwijderd.
Opmerking: er worden uitsluitend openbaar beschikbare, geaggregeerde statistische gegevens gebruikt. Er worden geen persoonsgegevens verzameld over bewoners of verhuurders van de geanalyseerde adressen.
5.3 Community-beoordelingen (Firebase Firestore)
Verzamelde gegevens: beoordelingsinhoud (vrije tekst, sterbeoordelingen), het adres waarop de beoordeling betrekking heeft, gebruikers-ID en weergavenaam.
Doel: levering van de community-beoordelingsfunctie, weergave van geaggregeerde beoordelingen in rapporten. Rechtsgrondslag: art. 6 lid 1 sub b AVG. Bewaartermijn: tot verwijdering door de gebruiker of bij verwijdering van het account.
5.4 Huurcontractcheck (Firebase Storage, Vertex AI)
Verzamelde gegevens: geüploade contractdocumenten (foto's of pdf-bestanden).
Verwerkingsketen:
- Het document wordt versleuteld (TLS) naar Firebase Storage verzonden
- Het document wordt voor analyse doorgegeven aan Google Vertex AI
- Het analyseresultaat wordt aan de gebruiker teruggegeven
- Het document wordt na de analyse niet permanent opgeslagen
Doel: AI-ondersteunde analyse van huurcontractclausules. Rechtsgrondslag: art. 6 lid 1 sub a AVG (toestemming door actief uploaden). Bewaartermijn: alleen voor de duur van de verwerking.
Opmerking: huurcontracten kunnen persoonsgegevens van derden bevatten (namen, adressen, handtekeningen). Wij raden aan dergelijke gegevens vóór het uploaden waar mogelijk onleesbaar te maken.
5.5 In-app-aankopen (Apple StoreKit)
Verzamelde gegevens: transactie-ID van de Apple App Store. Doel: ontgrendeling van betaalde premiumrapporten, verificatie van de aankoop. Rechtsgrondslag: art. 6 lid 1 sub b AVG.
Opmerking: de betalingsverwerking verloopt volledig via Apple. Wij hebben geen toegang tot betaalgegevens.
5.6 Firebase Analytics (alleen met toestemming)
Verzamelde gegevens: anonieme gebruiksstatistieken, app-instantie-ID, IDFV (geen apparaatoverschrijdende tracking). Doel: analyse van het app-gebruik om het aanbod te verbeteren. Rechtsgrondslag: art. 6 lid 1 sub a AVG (toestemming).
De gegevensverzameling door Firebase Analytics vindt alleen na uitdrukkelijke toestemming plaats en kan te allen tijde in de app-instellingen onder „Privacy" worden ingetrokken. IDFA wordt niet verzameld. De app implementeert Google Consent Mode v2; reclamegerelateerde gegevensverwerking is permanent uitgeschakeld. Bewaartermijn: 14 maanden.
5.7 Firebase Crashlytics
Verzamelde gegevens: crashrapporten (stack traces, apparaatinformatie, app-status), Firebase-gebruikers-ID. Doel: detectie en oplossing van softwarefouten. Rechtsgrondslag: art. 6 lid 1 sub f AVG. Bewaartermijn: 90 dagen.
5.8 Firebase Performance Monitoring
Verzamelde gegevens: prestatiegegevens (laadtijden, netwerkverzoeken, app-starttijd). Doel: bewaking en verbetering van de app-prestaties. Rechtsgrondslag: art. 6 lid 1 sub f AVG.
5.9 Firebase Cloud Messaging (pushmeldingen)
Verzamelde gegevens: FCM-token. Doel: bezorging van pushmeldingen. Rechtsgrondslag: art. 6 lid 1 sub a AVG. De toestemming kan te allen tijde via de iOS-systeeminstellingen worden ingetrokken.
5.10 Firebase App Check
Verzamelde gegevens: app-attestatietoken. Doel: bescherming van de backenddiensten tegen misbruik. Rechtsgrondslag: art. 6 lid 1 sub f AVG.
5.11 Aanbevelingsprogramma (referral)
Verzamelde gegevens: referralcode, referralstatus. Doel: toekenning van gratis rapporten in het kader van het aanbevelingsprogramma. Rechtsgrondslag: art. 6 lid 1 sub b AVG.
§ 6 Cookies en lokale opslag
6.1 Website
De website gebruikt geen trackingcookies en geen analysediensten van derden. Er worden uitsluitend technisch noodzakelijke cookies gebruikt (§ 25 lid 2 TTDSG).
6.2 App
De app slaat instellingen en de toestemmingsstatus lokaal op het apparaat van de gebruiker op (UserDefaults). Dit is technisch noodzakelijk voor de werking van de app (§ 25 lid 2 TTDSG).
§ 7 Gegevensdoorgifte aan derde landen
De gebruikte Firebase- / Google Cloud-diensten verwerken gegevens primair in de EU (regio europe-west1, België). Voor zover een doorgifte naar de VS plaatsvindt, is deze gewaarborgd door het EU-US Data Privacy Framework (adequaatheidsbesluit conform art. 45 AVG). Daarnaast zijn er standaardcontractbepalingen (SCC's) conform art. 46 lid 2 sub c AVG met Google.
§ 8 Gegevensbeveiliging
- Versleutelde gegevensoverdracht (TLS/HTTPS)
- Firebase App Check ter beveiliging van de API-eindpunten
- Toegangsbeperkingen via Firebase Security Rules
- Geen opslag van betaalgegevens
- Serverzijdige verwerking op Google Cloud (ISO 27001, SOC 2 gecertificeerd)
§ 9 Accountverwijdering
De gebruiker kan zijn account te allen tijde volledig verwijderen via de app-instellingen. Bij verwijdering van het account worden het gebruikersprofiel en de authenticatiegegevens, alle gemaakte rapporten en alle uitgebrachte beoordelingen onherroepelijk verwijderd. Gegevens van Firebase Analytics en Crashlytics worden na de respectieve bewaartermijnen automatisch verwijderd. Verwijdering van het account kan ook per e-mail worden aangevraagd via hello@vimmo.me.
§ 10 Minderjarigen
De app is bedoeld voor personen vanaf 18 jaar. Wij verzamelen niet bewust persoonsgegevens van minderjarigen.
§ 11 Wijzigingen van dit privacybeleid
Wij behouden ons het recht voor dit privacybeleid aan te passen om het in lijn te brengen met gewijzigde wetgeving of bij wijzigingen van de dienst. De actuele versie is beschikbaar op https://vimmo.me/privacy.
VIMMO GbR — Timo Kraus & Jonas Poser · Stand: april 2026