Datenschutzerklärung für die App „Ally“

Stand: 19.02.2026
Geltungsbereich: Mobile App „Ally“ (iOS/Android)

1. Verantwortlicher

Aumio GmbH
Mühlenstraße 8a
14167 Berlin
Germany

Die Datenschutzerklärung ist außerdem online abrufbar unter:


https://www.ally.aumio.com/datenschutzerklarung-app

2. Datenschutzbeauftragter

Externer Datenschutzbeauftragter (DSB): Daniel June (Workstreet)
E-Mail: daniel@workstreet.com

Interner Datenschutz-Koordinator: Steffen Scherf (Aumio GmbH)
E-Mail: datenschutz@aumio.de

3. Grundsätzliches zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten, um die App „Ally“ bereitzustellen. „Ally“ ist eine AI-powered Wellbeing Coach App zur präventiven Unterstützung des Wohlbefindens und der Gesundheit.

Ally stellt keine medizinische Diagnose oder Behandlung bereit und ist kein Medizinprodukt im Sinne der EU-Medizinprodukteverordnung (MDR).

Nutzer:innen können in Freitextfeldern Inhalte eingeben. Wir fragen Gesundheitsdaten nicht gezielt ab und empfehlen, keine sensiblen medizinischen Angaben einzugeben.

Die Verarbeitung erfolgt je nach Funktion auf Grundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)

4. Einwilligung (Consent)

Der Consent-Screen befindet sich im Onboarding. Dienste (Analytics/Tracking/Drittanbieter-SDKs) werden erst nach erteilter Einwilligung gestartet.

Die Verarbeitung von Chat-Inhalten ist die Kernfunktion der App und erfolgt zur Bereitstellung des Dienstes (Vertragserfüllung). 

Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

5. Zielgruppe / Altersgrenze

„Ally“ richtet sich an Erwachsene. Die App ist für Personen ab 18 Jahren vorgesehen. Im Onboarding gibt es eine Altersabfrage (Soft-Gate). Bei Auswahl „< 18“ wird ein Hinweis angezeigt („Ally is for ages 18+“) und zur vorherigen Seite zurückgeführt.

6. Welche Daten wir verarbeiten

6.1 Konto- und Profildaten

  • E-Mail-Adresse
  • ggf. Name/Display Name
  • Alter (>18)
  • Sprache
  • Coaching-Präferenzen

Zwecke: Nutzerkonto bereitstellen, Onboarding/Personalisierung, App-Funktionalität.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; ggf. Art. 6 Abs. 1 lit. a DSGVO für optionale Personalisierungen.

6.2 Chat- und Inhaltsdaten (Freitext)

Verarbeitet werden:

  • Chat-Nachrichten
  • KI-Antworten
  • Konversationsobjekte
  • Zusammenfassungen („Memories“), Themen, Empfehlungen

Alle in der App eingegebenen Informationen (Text oder Sprache) werden zur Bereitstellung des Dienstes verarbeitet. 

Nutzer:innen sind dafür verantwortlich, welche Informationen sie teilen.

Hinweis: „Ally“ ist kein medizinisches Gerät und bietet keine medizinische Diagnose oder Behandlung. Wir empfehlen, keine sensiblen medizinischen Unterlagen oder detaillierten Gesundheitsdaten zu teilen.

Speicherung:
Teile der Chat-Inhalte werden gespeichert zur Sicherstellung der Gesprächskontinuität, Personalisierung sowie technischen Bereitstellung der App-Funktion.

Zwecke: Bereitstellung der Chat-Funktion, Kontext über Gespräche, Personalisierung, Qualitätsverbesserung (z. B. Zusammenfassungen/Topics).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit Gesundheitsdaten betroffen sind zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

6.3 Geräte- und technische Daten

Wir verarbeiten technische Daten zur Bereitstellung, Stabilität und Sicherheit

  • OS / App-Version
  • Push-Token
  • Geräteinformationen

Zwecke: Betrieb, Sicherheit, Fehleranalyse, Push-Zustellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und/oder lit. f DSGVO.

6.4 Nutzungs- und Analysedaten

Je nach Einbindung verarbeiten wir Ereignisse zur Nutzung und Stabilität der App, z. B.: 

  • App-Events
  • Sessions
  • Feature-Nutzung (Analytics)
  • Crash-Reports
  • Performance-Metriken

Zwecke: Produktverbesserung, Stabilität, Fehlerbehebung, Auswertung der Nutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern Tracking/Analytics eingesetzt wird.

Hinweis: Nach aktuellem Stand werden Analytics-/Tracking-Dienste erst nach Einwilligung gestartet.

6.5 Zahlungsdaten

Abonnements und Zahlung werden über App Store / Play Store abgewickelt.

Zusätzlich werden für die Verwaltung/Validierung von Abos folgende Anbieter genutzt:

  • RevenueCat (USA)
  • Purchasely (EU)

Zwecke: Abo-Verwaltung, Freischaltung von Premium-Funktionen, Receipt-Validierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; rechtliche Aufbewahrungspflichten können gelten.

6.6 Support (Freshdesk)

Bei Supportanfragen verarbeiten wir:

  • Name
  • E-Mail
  • Ticketinhalte

Zweck: Bearbeitung von Supportanfragen und Fehlerberichten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Support) oder lit. f DSGVO.

Support-Kanal: Nutzer:innen können den Support u. a. über unsere Freshdesk-Service-Seite erreichen und über das dort eingebundene Support-Widget direkt Kontakt aufnehmen, Fragen stellen oder Fehler melden:

https://heyally.freshdesk.com/de/support/home

7. Wie KI eingesetzt wird

7.1 Serverseitige KI-Verarbeitung

Zur Generierung von Antworten werden Chat-Inhalte an KI-Dienste, wie Open AI, übermittelt.

Übermittelt werden Chat-Eingaben und notwendiger Kontext. Wir übermitteln nur die Inhalte, die für die jeweilige Antwort erforderlich sind (Datenminimierung).
Vor der Übermittlung erfolgt standardmäßig eine PII-Redaktion.

Die übermittelten Inhalte werden ausschließlich zur Generierung der jeweiligen KI-Antwort verarbeitet. OpenAI verwendet diese Daten nicht zum Training eigener Modelle.

7.2 Sprachfunktionen

Bei Nutzung von Sprachfunktionen können Audio-/Sprachdaten verarbeitet werden (STT/TTS).

7.3 Sicherheit und Krisenerkennung

Zur Unterstützung der Nutzersicherheit kann Ally Inhalte automatisiert erkennen, die auf akute Krisensituationen hinweisen, um passende Unterstützungsressourcen anzuzeigen.

Dies dient ausschließlich zur Sicherheit der Nutzer:innen.
Es erfolgt keine medizinische Bewertung, kein Risikoscoring und keine automatisierte Profilbildung sowie keine Profilbildung zu Werbe- oder Marketingzwecken.

8. Empfänger / Auftragsverarbeiter

Wir setzen Dienstleister als Auftragsverarbeiter ein. Relevante Empfänger:

  • Google/Firebase: Auth, Firestore, Remote Config, Analytics, Crashlytics, Performance, FCM
  • Render: Hosting des Backends (FastAPI)
  • OpenAI: KI-Chat sowie ggf. STT/TTS
  • LangSmith: Tracing/Observability inkl. Input/Output (i. d. R. redacted)
  • Mixpanel: Analytics
  • CleverTap: Analytics, Push, App Inbox
  • Freshdesk: Support
  • Purchasely: Abo-/IAP-Verwaltung

Werbung/Ads: Es werden keine Werbe- oder Ads-SDKs eingesetzt.

9. Drittlandübermittlungen

Bei Übermittlungen in Drittländer werden geeignete Garantien gemäß Art. 46 DSGVO eingesetzt, insbesondere EU-Standardvertragsklauseln (SCC).

Soweit Anbieter nach dem EU-US Data Privacy Framework zertifiziert sind, erfolgt die Übermittlung auf dieser Grundlage.

10. Speicherung & Aufbewahrungsfristen

Kontodaten, sowie Chat- und Konversationsdaten werden grundsätzlich solange gespeichert, wie das Nutzerkonto besteht, um Gesprächskontinuität, Personalisierung und die Bereitstellung der App-Funktion zu ermöglichen. Nach Löschung des Nutzerkontos werden die zugehörigen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Push Notifications

Technik: Firebase Cloud Messaging (FCM) und APNs; zusätzlich CleverTap Push/App Inbox.

Inhalte: Titel, Text, optional Bild/Sound. Keine sensiblen Chat-Inhalte in Push-Payloads.

Opt-in/Opt-out: über Betriebssystem-Einstellungen sowie ggf. App-Einstellungen.

12. Rechte der betroffenen Personen

Betroffene Personen haben – soweit anwendbar – die folgenden Rechte: 

- Auskunft (Art. 15 DSGVO) 

- Berichtigung (Art. 16 DSGVO) 

- Löschung (Art. 17 DSGVO) 

- Einschränkung (Art. 18 DSGVO) 

- Datenübertragbarkeit (Art. 20 DSGVO) 

- Widerspruch (Art. 21 DSGVO) 

- Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft 

- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Widerruf von Einwilligungen: Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Soweit die ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO) betroffen ist und diese Verarbeitung für die Bereitstellung der Kernfunktion (KI-Chat) erforderlich ist, kann die App ohne Einwilligung nicht weiter genutzt werden.

Anfragen können an datenschutz@aumio.de gerichtet werden.

12a. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO statt.

13. Löschung & Datenexport

Kontolöschung: Derzeit gibt es keine Self-Service-Kontolöschung in der App. Nutzer:innen können eine Löschung ihres Kontos und der zugehörigen Daten über den Support anfragen, indem sie ein Ticket über unsere Support-Seite erstellen: https://heyally.freshdesk.com/de/support/home

Nach Eingang der Löschanfrage löscht das Support-Team den Account sowie die zugehörigen Daten aus unseren Systemen.

Bearbeitungsfrist: Wir bearbeiten Lösch- und Auskunftsanfragen in der Regel innerhalb von 30 Tagen.

Identitätsprüfung: Um Missbrauch zu verhindern, kann es erforderlich sein, dass wir vor Umsetzung der Löschung die Identität bzw. Kontozugehörigkeit angemessen verifizieren (z. B. Bestätigung über die registrierte E-Mail-Adresse).

Datenexport / Auskunft: Ein Datenexport bzw. Auskunft kann ebenfalls über den Support angefragt werden. Üblicherweise stellen wir Daten in einem gängigen elektronischen Format (z. B. CSV oder JSON) bereit. Externe Zahlungsdaten der App Stores werden nicht bereitgestellt.

Wichtig: Für externe Analytics-Systeme kann eine separate Löschung/Anonymisierung anhand der Firebase UID erforderlich sein. Außerdem können Daten aufgrund technischer Backup-Retention (siehe Abschnitt 10) noch für einen begrenzten Zeitraum in Sicherungskopien vorhanden sein; sie werden jedoch nicht mehr produktiv verarbeitet.

14. Sicherheitsmaßnahmen

Wir setzen technische und organisatorische Maßnahmen ein, um Daten zu schützen, u.a.: 

  • TLS-Verschlüsselung
  • Verschlüsselung at rest
  • Zugriffsbeschränkungen
  • PII-Redaction vor KI-Weitergabe
  • Logging ohne Request/Response-Bodies

15. KI-Transparenz nach EU AI Act

Ally ist eine KI-gestützte Anwendung. Nutzer:innen interagieren mit einem KI-System, nicht mit einer menschlichen Person. Inhalte werden automatisiert generiert und können fehlerhaft sein. Ally ist nicht für Notfälle bestimmt und ersetzt keine professionelle Beratung oder Behandlung.

16. Änderungen

Aktuelle Version jederzeit in der App und online abrufbar.

Rechtliches

ImpressumDatenschutzerklärung WebsiteDatenschutzerklärung AppAGBsBarrierefreiheit WebsiteBarrierefreiheit AppCookies

App

ÜbersichtWissenschaftÜber UnsFAQs

Folge uns

Akute Hilfe

Die Ally App berät nur Personen, die nicht unter einer psychischen Krankheit leiden.

Solltest du oder ein Familienmitglied dringend psychotherapeutische Hilfe benötigen, wende dich bitte umgehend an folgende Anlaufstelle:

telefonseelsorge.de
+49 (0)800 111 0 111

Psychosoziale Hilfe vom Dachverband Gemeindepsychiatrie
obeon.de