Member
← Zurück zur Startseite
DE EN
Member · Datenschutz

Datenschutzerklärung

Stand: 27. Mai 2026 · Version 1.0

Diese Datenschutzerklärung erläutert, wie die brandTURBO GmbH („wir", „uns") personenbezogene Daten verarbeitet, wenn Sie die Plattform Member (Web-App unter https://member.app sowie zukünftige native Apps) nutzen.

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze:

brandTURBO GmbH Straßburger Straße 55 10405 Berlin Deutschland

Telefon: +49 (0)30 83797979 E-Mail: info@member.app

Kontakt für Datenschutzanliegen

Anfragen zum Datenschutz richten Sie bitte an: info@member.app

Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).

Datenschutzbeauftragter

Die brandTURBO GmbH ist nicht zur Bestellung eines Datenschutzbeauftragten nach § 38 BDSG verpflichtet, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und keine Verarbeitung erfolgt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt. Für alle Datenschutzanfragen ist die Geschäftsführung unter den oben genannten Kontaktdaten erreichbar.

2. Übersicht der Verarbeitungen

Member ist eine Community-Plattform für Cannabis-Kultur und -Konsum mit Mindestalter 18. Wir verarbeiten folgende Datenkategorien:

Kategorie Beispiele Zweck
Identifikationsdaten Firebase-UID, E-Mail, Anmeldemethode (Apple/Google/E-Mail-Magic-Link) Authentifizierung
Profildaten Username, Anzeigename, Avatar, Bio, Social-Links, Standortangabe Profil-Anzeige
Inhaltsdaten Posts, Kommentare, Likes, Bookmarks, Chat-Nachrichten, Medien Plattform-Funktionalität
Interaktionsdaten Verbindungen, Community-Mitgliedschaften, Pin-Status, Reports Plattform-Funktionalität
Konsum- und Gesundheitsdaten Strain-Reviews, Sessions, Stimmungs-Werte (Mood) Optionale Sommelier-Journal-Funktion
Moderations- und Sicherheitsdaten Verwarnungen, Sperren, IP-Adresse bei Sicherheitsereignissen, AI-Moderationsergebnisse Community-Schutz
Loyalty-Daten Punkte, Saisons, Badges, Goodie-Einlösungen Punktesystem für Festival-Kampagne
Technische Daten Browser-Typ, Geräte-Typ, Service-Worker-Subscription für Push Push-Benachrichtigungen, Sicherheit

3. Rechtsgrundlagen der Verarbeitung

Verarbeitung Rechtsgrundlage
Account-Erstellung, Login, Profil-Anzeige Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Posts, Kommentare, Likes, Verbindungen Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Strain-Reviews, Sessions, Mood-Tracking (Gesundheitsbezug) Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung beim Aktivieren der Sommelier-Funktion)
Moderation, Strikes, KI-Pre-Filter, Reports Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Community) sowie Art. 6 Abs. 1 lit. c DSGVO (Compliance KCanG, JuSchG)
Server-Logs, Abuse-Prevention Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit)
Push-Benachrichtigungen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Browser-Prompt)
Mindestalter-Bestätigung 18+ Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung KCanG)
Account-Löschung und Anonymisierung Art. 6 Abs. 1 lit. c DSGVO (Art. 17 DSGVO) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Dritter an Thread-Lesbarkeit)

Hinweis zu Gesundheitsdaten

Inhalte, die Sie zu Ihrem Cannabis-Konsum aktiv und freiwillig veröffentlichen — etwa Strain-Reviews, Konsum-Sessions oder Stimmungswerte im Sommelier-Journal — können personenbezogene Daten besonderer Kategorie nach Art. 9 DSGVO darstellen (Gesundheitsdaten). Diese werden ausschließlich auf Ihre Initiative und mit Ihrer ausdrücklichen Einwilligung verarbeitet. Sie können diese Daten jederzeit über Ihr Profil löschen oder Ihren Account vollständig löschen lassen (siehe Abschnitt 9).

Allgemeine Inhalte (Posts, Community-Diskussionen) sind durch Ihre Selbstveröffentlichung nach Art. 9 Abs. 2 lit. e DSGVO („offensichtlich öffentlich gemacht") privilegiert.

4. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen haben. Bei Drittland-Übertragungen sichern Standardvertragsklauseln (SCC) und/oder das EU-US Data Privacy Framework (DPF) das Datenschutzniveau ab.

Cloudflare, Inc. — Hosting, Datenbank, Storage, KI-Inferenz

  • Cloudflare Workers + Pages: Auslieferung der Web-App, Edge-Logik
  • Cloudflare D1: Hauptdatenbank, Region Westeuropa (WEUR — Frankfurt/Amsterdam)
  • Cloudflare R2: Speicherung von Bildern und Medien, Region Westeuropa
  • Cloudflare Stream: Video-Hosting und -Transcoding
  • Cloudflare Workers AI: NSFW-Vor-Screening von Bildern, Embeddings für RAG
  • Cloudflare Vectorize: Vektor-Index für Knowledge-Base-RAG

Cloudflare ist DPF-zertifiziert. Datenverarbeitung primär in der EU; bei Caching-Vorgängen kann Edge-Caching weltweit erfolgen.

Anschrift: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA Datenschutz: https://www.cloudflare.com/privacypolicy/

Google LLC / Google Ireland Ltd. — Firebase Authentication

  • Firebase Auth: Verwaltung von Login-Identitäten (Apple-Login, Google-Login, E-Mail-Magic-Link)
  • Verarbeitete Daten: E-Mail, Hash der Anmeldeinformation, Anbieter-ID, IP-Adresse bei Login-Versuchen
  • Firebase übermittelt für Auth-Zwecke Daten in die USA. Google ist DPF-zertifiziert.

Anschrift: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland Datenschutz: https://policies.google.com/privacy

Anthropic, PBC — KI-Moderation und Knowledge-Assistant

  • Anthropic Claude (Sonnet, Opus): KI-gestützte Moderation von Posts, Kommentaren, Chat-Nachrichten sowie Beantwortung von Community-Wissensfragen über RAG
  • Übermittelt werden: Inhalt des zu prüfenden Posts oder der Frage, ggf. nutzergenerierte Knowledge-Base-Chunks. Keine User-IDs oder Klarnamen werden mit den Inhalten verknüpft übergeben — Anthropic erhält ausschließlich den Textinhalt zur Klassifikation.
  • Anthropic verarbeitet Daten in den USA. Anthropic ist DPF-zertifiziert; zusätzlich greifen Standardvertragsklauseln.

Anschrift: Anthropic, PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA Datenschutz: https://www.anthropic.com/legal/privacy

Apple Inc. (optional, bei Sign-in mit Apple)

Bei Anmeldung über Apple-ID werden Authentifizierungsdaten an Apple übermittelt. Apple ist DPF-zertifiziert. Datenschutz: https://www.apple.com/legal/privacy/

Geplante Dienste (noch nicht aktiv)

  • PostHog (Produktanalyse, EU-Region geplant) — wird erst eingebunden, nachdem ein entsprechender Consent-Mechanismus implementiert ist. Diese Datenschutzerklärung wird vor Einführung aktualisiert.
  • Slack (interne Moderations-Webhooks) — verarbeitet ausschließlich aggregierte Moderationsereignisse, keine User-Inhalte ohne Pseudonymisierung.

5. Übermittlung in Drittländer

Wie unter Abschnitt 4 dargestellt, werden personenbezogene Daten in die USA übermittelt (Firebase, Anthropic, ggf. Apple). Das Datenschutzniveau wird abgesichert durch:

  • EU-US Data Privacy Framework (DPF) — alle genannten Anbieter sind aktuell zertifiziert
  • Standardvertragsklauseln (SCC) der Europäischen Kommission als zusätzliche Absicherung
  • Verschlüsselte Übertragung (TLS 1.3) für alle Datenflüsse

Sie können die jeweiligen Datenschutzerklärungen der genannten Anbieter über die oben angegebenen Links einsehen.

6. Speicherdauer

Daten Speicherdauer
Account-Stammdaten (Username, E-Mail) Bis zur Löschung des Accounts
Posts, Kommentare, Chat-Nachrichten Bis zur Löschung durch den Nutzer; bei Account-Löschung werden Inhalte anonymisiert (siehe Abschnitt 9)
Medien (Bilder, Videos) Bis zur Löschung durch den Nutzer oder mit dem Account
Server-Logs 14 Tage, sofern nicht für Sicherheitsuntersuchungen länger erforderlich
Moderations-Audit (Verwarnungen, Reports, Sperren) 180 Tage aktiv; danach archiviert für 3 Jahre zur Wahrung berechtigter Interessen (Wiederholungstäter-Erkennung)
Push-Subscriptions Bis zum Widerruf durch den Nutzer
Bei Hard-Delete anonymisierte Reste (deleted_xxx) Unbegrenzt, da keine Personenbezug mehr besteht

7. Automatisierte Entscheidungen, KI-Moderation und Profiling

Member nutzt automatisierte Verfahren zur Inhaltsmoderation:

  1. Deterministischer Pre-Filter (Wortlisten DE/EN/TR) — blockiert eindeutige Slurs vor Veröffentlichung
  2. KI-Moderation (Claude Sonnet) — bewertet Inhalte nach Plattform-Regeln und Community-Regeln, ordnet Schweregrade zu
  3. Strike-System — 3 Stufen mit automatisch eskalierenden Sanktionen (Inhalt entfernen → 7-Tage-Community-Mute → 30-Tage-Plattform-Sperre)

Ihre Rechte nach Art. 22 DSGVO:

  • Bei jeder Sanktion erhalten Sie eine Benachrichtigung mit Begründung
  • Sie haben das Recht, Einspruch einzulegen („Appeal") über die In-App-Funktion oder per E-Mail an info@member.app
  • Jeder Einspruch wird von einer natürlichen Person geprüft (menschliche Überprüfung)
  • Sie können die Aufhebung der Maßnahme verlangen und Ihren Standpunkt darlegen
  • KI-Vorschläge mit einer Konfidenz unter 70 % gehen automatisch in die menschliche Review-Queue und werden niemals automatisch vollzogen
  • Schwerwiegende Verdachtsfälle (z. B. Suizidalität, Gewaltandrohung) werden ohne Auto-Strike an eine menschliche Eskalation übergeben

Kein Profiling für Werbe- oder Bonitätszwecke. Die KI-Klassifikation bewertet ausschließlich den einzelnen Inhalt, nicht den Nutzer als Person.

8. Cookies und lokale Speicherung

Member setzt keine Tracking- oder Marketing-Cookies. Wir setzen ausschließlich technisch notwendige Speicher-Elemente nach § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz):

  • Firebase-Auth-Session-Token (HTTP-only-Cookie + IndexedDB) — für angemeldete Sitzungen
  • LocalStorage-Schlüssel mit Präfix member.* — Sprache, Pin-Reihenfolge, Welcome-Status, Mitteilungspräferenzen, Referral-Code
  • Service-Worker-Registrierung — für Push-Benachrichtigungen und Offline-Caching
  • Session-Storage — temporäre UI-Zustände

Detaillierte Liste: siehe Cookie- und Speicher-Hinweis.

Da wir keine nicht-essentiellen Speichervorgänge durchführen, ist nach geltendem Recht kein Consent-Banner erforderlich. Vor Einbindung eines Analytics- oder Marketing-Dienstes (z. B. PostHog) wird ein Consent-Mechanismus eingeführt.

9. Account-Löschung — Soft-Delete und Anonymisierung

Sie können Ihren Account jederzeit über die In-App-Einstellungen löschen:

  1. 30 Tage Grace-Period — Sofortige Sichtbarkeits-Sperre, jederzeit reaktivierbar
  2. Nach 30 Tagen: Hard-Delete — Alle persönlichen Daten werden gelöscht oder anonymisiert (Reddit-/Discord-Pattern): - Gelöscht: Avatar, Cover, E-Mail, Bio, Social-Links, Bookmarks, Push-Subscriptions, Sessions, Moderations-Notifications, Goodie-Einlösungen, Loyalty-Snapshots - Anonymisiert: Username wird zu deleted_xxxxxxxx, Profil zeigt „Konto gelöscht" - Erhalten bleiben: Posts, Kommentare und Chat-Nachrichten bleiben unter dem anonymisierten Account erhalten, damit Diskussionsthreads und Strain-Reviews für andere Mitglieder lesbar bleiben (berechtigtes Interesse Dritter, Art. 6 Abs. 1 lit. f DSGVO)
  3. Audit-Daten (Verwarnungen, Sperren) bleiben zur Wahrung berechtigter Interessen gespeichert, sind aber durch die Anonymisierung nicht mehr Ihrer Person zuordenbar

Eine Reaktivierung nach Hard-Delete ist nicht möglich.

Firebase-Auth-Account: Sollten Sie sich nach Hard-Delete mit derselben E-Mail wieder anmelden, erhalten Sie einen Fehler („Konto wurde gelöscht") und werden ausgeloggt. Die Firebase-Identity selbst können Sie über das jeweilige Identitätskonto (Apple, Google) bei Bedarf entfernen.

10. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Information über die Verarbeitung Ihrer Daten
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO): „Recht auf Vergessenwerden" über die In-App-Account-Löschung oder per E-Mail
  • Einschränkung (Art. 18 DSGVO): Sperrung der Verarbeitung
  • Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in einem maschinenlesbaren Format
  • Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft, etwa bei Push-Benachrichtigungen oder Sommelier-Journal-Aktivierung
  • Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Anlaufstelle für Beschwerden:

Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstraße 219 10969 Berlin https://www.datenschutz-berlin.de

11. Datensicherheit

  • Verschlüsselte Übertragung via TLS 1.3
  • Auth-Token werden serverseitig über JWT-Verifikation gegen das öffentliche Firebase-JWK-Set geprüft
  • Medien-Uploads werden über Pre-Signed-R2-URLs direkt hochgeladen — die Worker sehen die Bilder nur bei Moderationsbedarf
  • Datenbank-Zugriffe ausschließlich über parametrisierte Queries (kein SQL-Injection-Vektor)
  • Sicherheitsrelevante Konfigurationen (API-Tokens) in Cloudflare Secrets, nicht im Code

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung anzupassen, etwa bei neuen Diensten (PostHog) oder gesetzlichen Änderungen. Die aktuelle Version mit Datum finden Sie stets oben auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie zusätzlich per In-App-Benachrichtigung oder E-Mail.