RumX-Datenschutzerklärung: Wie wir deine Daten schützen

Stand: 5. Juni 2026

Diese Datenschutzerklärung erklärt, wie wir deine personenbezogenen Daten verarbeiten, wenn du die RumX-Website (rumx.com), die RumX-App und unser Community-Forum (community.rumx.com) nutzt — zusammen der „Dienst". Sie informiert dich außerdem über deine Rechte nach der Datenschutz-Grundverordnung (DSGVO) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Oliver Gerhardt
Böblinger Str. 24
70178 Stuttgart, Deutschland
E-Mail: info@rumx.com
Telefon: +49 711 39682888

2. Aufsichtsbehörde und dein Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)
Lautenschlagerstraße 20, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

Du kannst dich auch an die Aufsichtsbehörde deines Wohnorts wenden.

3. Deine Rechte

Dir stehen folgende Rechte in Bezug auf deine personenbezogenen Daten zu:

  • Auskunft (Art. 15 DSGVO) — eine Kopie der Daten anfordern, die wir über dich gespeichert haben.
  • Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren lassen.
  • Löschung (Art. 17 DSGVO) — deine Daten löschen lassen („Recht auf Vergessenwerden").
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — deine Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten.
  • Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) — jederzeit mit Wirkung für die Zukunft, z. B. über den Link „Cookie-Einstellungen" im Footer oder in deinen Geräteeinstellungen.

Widerspruchsrecht (Art. 21 DSGVO): Soweit wir deine Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, kannst du aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit widersprechen. Gegen Direktwerbung kannst du jederzeit ohne Angabe von Gründen widersprechen.

Zur Ausübung deiner Rechte genügt eine E-Mail an info@rumx.com. Wir können dich bitten, deine Identität zu bestätigen.

Konto löschen

Du kannst dein Konto und alle damit verbundenen Daten direkt in der App löschen: einloggen, Profil-Tab öffnen (unten rechts) und ganz unten auf „Benutzerkonto löschen" tippen. Diese Aktion ist unwiderruflich — alle mit dem Konto verknüpften personenbezogenen Daten werden dauerhaft gelöscht. Bei Fragen hilft dir info@rumx.com.

4. Einwilligungsverwaltung (Cookie-Banner)

Beim ersten Besuch unserer Website fragt ein Consent-Banner deine Einwilligung ab, bevor nicht notwendige Cookies oder ähnliche Technologien eingesetzt werden. Rechtsgrundlage für das Speichern und Auslesen von Informationen auf deinem Gerät ist § 25 Abs. 1 TDDDG; die anschließende Verarbeitung personenbezogener Daten beruht auf deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Technisch notwendige Technologien nutzen wir auf Basis von § 25 Abs. 2 TDDDG ohne Einwilligung.

Wir verwenden folgende Consent-Kategorien:

  • Essenziell / Funktional (im Banner als „Reibungsloses Erlebnis" bezeichnet) — für den Betrieb des Dienstes erforderlich (z. B. deine Consent-Auswahl selbst, Warenkorb, Sprach- und Länderauswahl). Immer aktiv.
  • Analyse & Personalisierung — Nutzungsstatistiken und personalisierte Empfehlungen (Google Analytics 4, Microsoft Clarity, Recombee-Personalisierung, Algolia Insights, Google-Ads-Conversion-Messung). Wird erst nach deiner Einwilligung geladen.
  • Marketing (im Banner als „Verbinden & Entdecken" bezeichnet) — Werbung und Retargeting (Meta Pixel, Releva.nz, YouTube-Einbettungen, Chat-Widget). Wird erst nach deiner Einwilligung geladen.

Deine Auswahl wird in einem Cookie („consent-settings") für 180 Tage gespeichert. Du kannst sie jederzeit über den Link „Cookie-Einstellungen" im Footer ändern oder widerrufen. „Alle akzeptieren" und „Nur essenzielle" werden auf der ersten Banner-Ebene gleichwertig angeboten.

5. Hosting und Server-Logs

Netlify: Unsere Website wird von Netlify, Inc., 512 2nd Street, Suite 200, San Francisco, CA 94107, USA gehostet. Beim Besuch der Website verarbeitet Netlify Verbindungsdaten (IP-Adresse, Datum und Uhrzeit, aufgerufene URL, Browser-User-Agent) in Server-Logs, um die Website sicher und zuverlässig auszuliefern. Rechtsgrundlage: berechtigtes Interesse am sicheren und performanten Betrieb der Website (Art. 6 Abs. 1 lit. f DSGVO). Netlify ist unter dem EU-US Data Privacy Framework zertifiziert; zusätzlich haben wir einen Auftragsverarbeitungsvertrag inkl. EU-Standardvertragsklauseln geschlossen. Log-Daten werden nach kurzer Zeit (max. 30 Tage) automatisch gelöscht.

Backend (Google Firebase / Google Cloud): Unser App-Backend, Benutzerkonten, Bilder und APIs laufen auf Google Firebase und Google Cloud Platform (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland), primär in der Region europe-west3 (Frankfurt); einzelne Funktionen laufen in den USA (us-central1). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.

Community-Forum (Discourse): Unser Forum unter community.rumx.com ist eine von uns selbst betriebene Discourse-Instanz auf Infrastruktur von DigitalOcean LLC. Wenn du im Forum mitmachst, werden dein Profil und deine Beiträge dort verarbeitet. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

6. Welche Daten wir erheben

Konto- und Profildaten

Wenn du ein Konto anlegst, verarbeiten wir: E-Mail-Adresse, Benutzername, Vor- und Nachname (optional), Profilbild (optional) und dein Passwort in verschlüsselter Form. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Social Login

Du kannst dich über Anmeldedienste von Drittanbietern registrieren und einloggen (z. B. Google, Apple, Facebook). In diesem Fall erhalten wir die dort von dir freigegebenen Profildaten (üblicherweise Name, E-Mail-Adresse). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Für die eigene Verarbeitung des Anbieters gilt dessen Datenschutzerklärung.

Von dir veröffentlichte Inhalte

Bewertungen, Tasting Notes, Reviews, Fotos, Kommentare und Forenbeiträge, die du veröffentlichst, sind zusammen mit deinem Benutzernamen für andere Nutzer:innen sichtbar. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Optionale Wohnort-Stadt

Du kannst optional deine Stadt aus einem Google-Places-Autocomplete-Vorschlag auswählen. Wir speichern die Google-Places-ID, den Anzeigenamen der Stadt und den ISO-Ländercode. Wir speichern keine GPS-Koordinaten, Straßenadressen oder genauere Standortdaten zu deinem Konto. Du kannst die Stadt jederzeit in den Kontoeinstellungen ändern oder entfernen; die Entfernung wirkt sich innerhalb von 24 Stunden auf die Community Map aus.

Geschmacksprofil (Match Score)

Wenn du Rums bewertest, berechnen wir aus deinen Bewertungen vier numerische Geschmacksachsen (süß/trocken, fruchtig/holzig, mild/intensiv, Komplexität), um dir personalisierte Empfehlungen zu geben (der „Match Score"). Details in Abschnitt 9.

Nutzungsdaten

Bei der Nutzung des Dienstes verarbeiten wir automatisch technische Daten wie IP-Adresse, Browsertyp und -version, Gerätetyp, Betriebssystem, besuchte Seiten und Zeitstempel. Rechtsgrundlage: berechtigtes Interesse am Betrieb, an der Sicherheit und der Verbesserung des Dienstes (Art. 6 Abs. 1 lit. f DSGVO).

App-Berechtigungen

Die App fragt folgende Berechtigungen nur mit deiner vorherigen Einwilligung an (Art. 6 Abs. 1 lit. a DSGVO); du kannst sie jederzeit in den Geräteeinstellungen widerrufen:

  • Kamera und Fotobibliothek — um Bilder zu deinen Bewertungen und deinem Profil hinzuzufügen.
  • Kontakte — nur wenn du aktiv die Freunde-Einladen-Funktion nutzt.
  • Push-Benachrichtigungen — siehe Abschnitt 11.

Die App greift für die Community Map und den Match Score nicht auf das GPS deines Geräts zu.

7. Einkäufe über den RumX-Marktplatz

RumX verkauft selbst keine alkoholischen Getränke. Wenn du eine Bestellanfrage abschickst, kommt der Kaufvertrag mit dem vor dem Checkout benannten lizenzierten Partner-Shop zustande. Zur Abwicklung deiner Bestellung übermitteln wir die erforderlichen Bestelldaten (Name, Lieferadresse, E-Mail, Bestellpositionen) an diesen Partner-Shop. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Zahlung (Mollie): Zahlungen werden von Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Niederlande, als Zahlungsdienstleister des jeweiligen Verkäufers abgewickelt (Mollie Connect). Mollie verarbeitet deine Zahlungsdaten (z. B. Kartendaten, PayPal-Konto, Bankverbindung) in eigener zahlungsregulatorischer Verantwortung. Wir speichern keine vollständigen Zahlungsdaten. Je nach Zahlungsart sind Apple Pay (Apple Distribution International Ltd., Irland) oder PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg) beteiligt. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Altersprüfung: Da alkoholische Getränke nur an Erwachsene abgegeben werden dürfen, führt der Zustelldienst im Auftrag des Verkäufers bei der Lieferung eine Alterskontrolle durch. Rechtsgrundlage: rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 9 JuSchG).

8. Dienste und Tools auf der Website

Essenziell (keine Einwilligung erforderlich)

  • Algolia Search (Algolia SAS, 55 Rue d'Amsterdam, 75008 Paris, Frankreich) — betreibt die Seitensuche. Deine Suchanfragen werden zur Ergebnisanzeige an Algolia übermittelt. Rechtsgrundlage: berechtigtes Interesse an einer funktionierenden Suche (Art. 6 Abs. 1 lit. f DSGVO).
  • IPinfo-Geolokalisierung (IPinfo Inc., USA) — wir ermitteln aus deiner IP-Adresse dein Land (nur Länderebene), um dir die richtigen Shops, Preise und Währungen anzuzeigen. Die IP-Adresse wird von uns nicht zusammen mit deinem Konto gespeichert. Rechtsgrundlage: berechtigtes Interesse an regional korrekten Angeboten (Art. 6 Abs. 1 lit. f DSGVO).
  • Recombee (nicht personalisiert) — einfache, nicht personalisierte Rum-Empfehlungen werden ohne Nutzerprofil von Recombee s.r.o. (Prag, Tschechien; EU-Rechenzentrum) abgerufen. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Analyse & Personalisierung (nur mit deiner Einwilligung, Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG)

  • Google Analytics 4 (Google Ireland Limited) — Nutzungsstatistiken mit Google Consent Mode v2. IP-Adressen werden von GA4 nicht protokolliert oder gespeichert. Daten können an Google LLC (USA, DPF-zertifiziert) übermittelt werden. Speicherdauer: bis zu 14 Monate.
  • Google-Ads-Conversion-Messung (Google Ireland Limited) — misst, ob Besuche über Google-Anzeigen zu Bestellungen führen.
  • Microsoft Clarity (Microsoft Ireland Operations Ltd.) — Session-Aufzeichnungen und Heatmaps zur Verbesserung der Bedienbarkeit. Daten können an Microsoft Corporation (USA, DPF-zertifiziert) übermittelt werden.
  • Recombee (personalisiert) — mit deiner Einwilligung werden deine Interaktionen (angesehene und bewertete Rums) für personalisierte Empfehlungen genutzt. EU-Rechenzentrum.
  • Algolia Insights — anonyme Klick- und Conversion-Ereignisse auf Suchergebnissen zur Verbesserung der Suchqualität.

Marketing (nur mit deiner Einwilligung, Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG)

  • Meta Pixel (Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, Irland) — misst Werbung auf Facebook/Instagram (z. B. ViewContent-, AddToCart-, Purchase-Ereignisse) und ermöglicht Retargeting. Für die über das Pixel erhobenen Daten sind wir mit Meta gemeinsam verantwortlich (Art. 26 DSGVO); die Vereinbarung findest du unter facebook.com/legal/controller_addendum. Daten können an Meta Platforms, Inc. (USA, DPF-zertifiziert) übermittelt werden.
  • Releva.nz (Releva GmbH, Deutschland) — Retargeting-Pixel, das dir unsere Anzeigen auf anderen Websites zeigt. Verarbeitung innerhalb der EU.
  • YouTube-Einbettungen (Google Ireland Limited) — Videos sind im erweiterten Datenschutzmodus (youtube-nocookie.com) eingebettet und laden erst dann Daten von YouTube, wenn du ein Video abspielst und ins Marketing eingewilligt hast.
  • OpenWidget-Chat (LiveChat Software S.A. / Text, Inc.) — Chat-Widget auf unserer Assistant-Seite; lädt nur mit Marketing-Einwilligung.

9. Community Map und Match Score

Community Map

Mit der Community Map kannst du andere Rum-Fans in deiner Nähe entdecken. Sie basiert auf einem strikten k=5-Anonymitätsdesign: Eine Stadt wird erst dann auf der Karte sichtbar, wenn mindestens 5 Nutzer:innen diese Stadt (oder benachbarte Städte, die ein Cluster bilden) ausgewählt haben. Unterhalb dieser Schwelle wird die Stadt serverseitig vollständig unterdrückt und niemals an andere Nutzer:innen übertragen.

  • Was wir zu deinem Konto speichern: die Google-Places-ID deiner gewählten Stadt, den Anzeigenamen der Stadt und deinen Ländercode (ISO 3166-1 alpha-2). Wir speichern keine Koordinaten pro Nutzer:in, keine Straßenadressen, und wir greifen für dieses Feature nicht auf das GPS deines Geräts zu.
  • Was andere sehen: aggregierte Cluster-Marker mit Mitgliederzahl, einem gewichteten Zentroid (Stadtebene, niemals eine individuelle Adresse), dem Ländercode und dem Zeitstempel der letzten Aktivität des Clusters.
  • Cluster-Leaderboard: Wer ein Cluster antippt, sieht eine Top-50-Liste von Benutzernamen mit der monatlichen Tasting-Anzahl. Es werden keine Standortdaten angezeigt, die genauer sind als der Cluster-Zentroid.
  • Aktualisierung: Die Karte wird nächtlich neu berechnet. Jede Änderung deiner Stadtauswahl — auch die Entfernung — wirkt innerhalb von 24 Stunden.
  • Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für die Verarbeitung deiner Stadtauswahl; unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für die Anzeige aggregierter, anonymisierter Cluster, da k=5-Schwelle und gewichteter Zentroid eine Re-Identifizierung verhindern.

Match Score

Der Match Score ist eine personalisierte Empfehlung, die aus deinen Rum-Bewertungen berechnet wird: ein Geschmacksprofil aus vier numerischen Achsen (süß/trocken, fruchtig/holzig, mild/intensiv, Komplexität) und ein Match-Wert pro Rum.

  • Eingaben: nur deine eigenen Bewertungen und die von uns gepflegten Aromaprofile der Rums.
  • Ausgaben: eine Empfehlung in der App. Der Match Score beeinflusst weder Preise noch Vertragsbedingungen oder den Kontozugang und entfaltet keine rechtliche oder ähnlich erhebliche Wirkung im Sinne von Art. 22 DSGVO.
  • Speicherung und Löschung: Das abgeleitete Geschmacksprofil wird als Teil deines Kontos gespeichert und automatisch gelöscht, wenn du dein Konto löschst. Du kannst die Löschung auch jederzeit unter info@rumx.com anfordern.
  • Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. E-Mail-Kommunikation

Transaktionale E-Mails (Bestellbestätigungen, Konto-Benachrichtigungen, Sicherheitshinweise) versenden wir über Mailgun (Mailgun Technologies, Inc., ein Sinch-Unternehmen, USA; EU-Versandregion soweit verfügbar, DPF-zertifiziert). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Newsletter und Produkt-E-Mails versenden wir über OneSignal (OneSignal, Inc., USA, DPF-zertifiziert) nur, wenn du sie abonniert hast. Du kannst dich jederzeit über den Link in jeder E-Mail abmelden. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

11. Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen in der App oder im Browser aktivierst, versenden wir sie über OneSignal (OneSignal, Inc., USA, DPF-zertifiziert). Du kannst Push-Benachrichtigungen jederzeit in deinen Geräte- oder Browser-Einstellungen deaktivieren. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

12. Social-Media-Auftritte

Wir betreiben Seiten in sozialen Netzwerken, u. a. eine Facebook-Seite (facebook.com/rumxapp). Für die Statistiken, die Facebook uns bereitstellt („Page Insights"), sind wir mit Meta Platforms Ireland Ltd. gemeinsam verantwortlich (Art. 26 DSGVO); die Vereinbarung findest du unter facebook.com/legal/terms/page_controller_addendum. Details zur Verarbeitung durch Meta: facebook.com/privacy/policy.

13. Datenübermittlung in Drittländer

Soweit wir personenbezogene Daten in die USA übermitteln, stützen wir uns auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023, Durchführungsbeschluss (EU) 2023/1795) für zertifizierte Empfänger (u. a. Google, Microsoft, Meta, Netlify, OneSignal, Mailgun/Sinch). Als Absicherung haben wir mit unseren Auftragsverarbeitern zusätzlich EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) geschlossen. Für andere Drittländer nutzen wir Standardvertragsklauseln oder stützen uns auf Angemessenheitsbeschlüsse.

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

  • Kontodaten und Inhalte: bis du dein Konto (oder einzelne Inhalte) löschst.
  • Bestelldaten: gemäß handels- und steuerrechtlicher Aufbewahrungspflichten (bis zu 10 Jahre, §§ 147 AO, 257 HGB).
  • Server-Logs: max. 30 Tage.
  • Consent-Nachweise: Consent-Cookie 180 Tage; Einwilligungsnachweise so lange, wie gesetzlich erforderlich.
  • Analysedaten: siehe die in Abschnitt 8 je Tool genannten Speicherdauern.

15. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein (TLS-Verschlüsselung, Zugriffskontrollen, verschlüsselte Passwortspeicherung), um deine Daten zu schützen. Keine Übertragungs- oder Speichermethode ist zu 100 % sicher, aber wir überprüfen und verbessern unsere Schutzmaßnahmen laufend.

16. Kinder und Minderjährige

Der Dienst befasst sich mit alkoholischen Getränken und richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Soweit eine Einwilligung die Rechtsgrundlage ist, gilt nach der DSGVO in Deutschland ein Mindestalter von 16 Jahren (Frankreich: 15 Jahre); da unser Dienst ohnehin 18+ voraussetzt, löschen wir Konten minderjähriger Nutzer:innen, sobald wir davon erfahren. Wenn du glaubst, dass uns ein:e Minderjährige:r Daten übermittelt hat, kontaktiere uns bitte unter info@rumx.com.

17. Keine automatisierte Entscheidungsfindung

Wir setzen keine automatisierte Entscheidungsfindung einschließlich Profiling ein, die dir gegenüber rechtliche Wirkung entfaltet oder dich ähnlich erheblich beeinträchtigt (Art. 22 DSGVO). Empfehlungen wie der Match Score sind reine Entdeckungshilfen.

18. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, z. B. wenn wir neue Funktionen oder Dienste einführen. Die aktuelle Fassung ist immer auf dieser Seite verfügbar; das „Stand"-Datum oben zeigt die letzte Überarbeitung. Über wesentliche Änderungen informieren wir dich über den Dienst oder per E-Mail.

19. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zum Datenschutz bei RumX erreichst du uns unter info@rumx.com.