Datenschutzerklärung

Stand: 28. Mai 2026

Wir nehmen den Schutz deiner Daten ernst. In dieser Datenschutzerklärung erklären wir transparent, welche Daten wir verarbeiten, wofür wir sie nutzen und welche Rechte du hast. Wenn du Fragen hast, melde dich jederzeit bei uns.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

bloomnow (in Gründung als bloomnow FlexCo)
vertreten durch Anna Christine Enzinger
Unter Bregarten 22/1
2482 Münchendorf, Österreich
E-Mail: ace@bloomnow.ai

Sobald die bloomnow FlexCo im Firmenbuch eingetragen ist, geht die Verantwortlichkeit auf die FlexCo über. Wir aktualisieren diese Erklärung dann entsprechend.

2. Datenschutzbeauftragte

Roxane Hunot, Mitgründerin von bloomnow, ist intern für alle Datenschutzanliegen zuständig.

E-Mail: rh@bloomnow.ai

Du kannst dich mit allen Fragen zur Verarbeitung deiner Daten direkt an sie wenden.

3. Allgemeine Grundsätze

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Website und unserer Leistungen sowie zur Erfüllung gesetzlicher Pflichten erforderlich ist. Eine Verarbeitung erfolgt nur auf einer der folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

  • lit. a (Einwilligung)
  • lit. b (Vertragserfüllung oder vorvertragliche Maßnahmen)
  • lit. c (Erfüllung einer rechtlichen Verpflichtung)
  • lit. f (Wahrung berechtigter Interessen)

Bei besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten) verarbeiten wir Daten ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

4. Verarbeitungstätigkeiten im Einzelnen

4.1 Aufruf der Website (Server-Logs)

Beim Besuch unserer Website erfasst unser Hosting-Anbieter automatisch technische Daten, die dein Browser übermittelt:

  • IP-Adresse (gekürzt bzw. anonymisiert, soweit technisch möglich)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene Seite oder Datei
  • Verwendeter Browser und Betriebssystem
  • Referrer-URL

Diese Daten werden zur technischen Bereitstellung der Website, zur Stabilität, Sicherheit und zur Abwehr von Angriffen verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Server-Logs werden nach maximal 30 Tagen gelöscht.

4.2 Cookies und Consent-Management

Wir verwenden auf unserer Website Cookies, also kleine Textdateien, die in deinem Browser gespeichert werden. Wir unterscheiden:

  • Technisch notwendige Cookies, die für die Funktion der Website erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
  • Optionale Cookies (z. B. für Web-Analyse oder eingebettete Inhalte), die nur mit deiner Einwilligung gesetzt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Optionale Cookies (insbesondere für Web-Analyse und Reichweitenmessung sowie für die Messung von Werbeerfolg) setzen wir erst, nachdem du über unseren Cookie-Banner eingewilligt hast. Wir verwenden dafür kein Tool eines Drittanbieters, sondern eine eigene, schlanke Consent-Lösung in Kombination mit dem Google Consent Mode v2. Bis zu deiner Einwilligung bleiben analyse- und werbebezogene Speicherzugriffe (insbesondere Cookies) deaktiviert; Google-Dienste werden in diesem Zustand nur ohne Cookies und ohne Wiedererkennung ausgeführt.

Deine Auswahl speichern wir lokal in deinem Browser (localStorage), damit der Banner nicht bei jedem Besuch erneut erscheint. Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft über den Link „Cookie-Einstellungen" im Footer jeder Seite widerrufen oder anpassen. Der Widerruf ist genauso einfach wie die Erteilung.

4.3 Web-Analyse und Marketing (Google-Dienste)

Auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) setzen wir folgende Dienste der Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) ein. Du kannst die Einwilligung jederzeit über die „Cookie-Einstellungen" im Footer widerrufen.

Google Tag Manager. Wir nutzen den Google Tag Manager, um die nachfolgenden Tags (Skripte) verwaltet auszuspielen. Der Tag Manager selbst setzt keine Cookies und erfasst keine personenbezogenen Daten zu Analysezwecken; er steuert lediglich das einwilligungsbasierte Laden der anderen Dienste.

Google Analytics 4. Wir verwenden Google Analytics 4, um zu verstehen, wie unsere Website genutzt wird (z. B. aufgerufene Seiten, Verweildauer, ungefähre Herkunft sowie Geräte- und Browser-Informationen). Dabei werden ein pseudonymer Kennwert (Client-ID) sowie deine gekürzte IP-Adresse verarbeitet; eine direkte Zuordnung zu deiner Person nehmen wir nicht vor. Wir betreiben Google Analytics mit aktivierter IP-Kürzung und ohne Verknüpfung mit anderen Datenquellen.

Google Ads (Conversion-Tracking und Remarketing). Wir messen den Erfolg unserer Werbeanzeigen (z. B. ob nach einem Anzeigenklick eine Anmeldung erfolgt) und können auf dieser Basis Werbung ausspielen. Hierzu können von Google Cookies gesetzt werden, sofern du eingewilligt hast.

Die durch diese Dienste erhobenen Daten können in die USA übermittelt werden. Hierfür stützen wir uns auf den EU-US Data Privacy Framework (Google LLC ist zertifiziert) sowie ergänzend auf Standardvertragsklauseln nach Art. 46 DSGVO. Weitere Informationen findest du in der Datenschutzerklärung von Google unter policies.google.com/privacy.

4.4 Anmeldung zur Warteliste (Frühzugang)

Wenn du dich für den Frühzugang anmeldest, verarbeiten wir folgende Daten, um dich über den Start von bloomnow zu informieren und dir die Bestätigung zukommen zu lassen:

  • Name (optional)
  • E-Mail-Adresse
  • Sprachpräferenz (Deutsch oder Englisch)
  • Zeitpunkt der Anmeldung

Nach der Anmeldung erhältst du eine Bestätigungs-E-Mail. Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Du kannst dich jederzeit per Nachricht an rh@bloomnow.ai abmelden. Nach Abmeldung löschen wir deine Daten innerhalb von 30 Tagen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Für die Verwaltung der Warteliste und den Versand der Bestätigungs-E-Mails nutzen wir eine eigene Lösung auf Basis von Google Apps Script und Gmail (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern Google LLC, USA). Die Daten werden in einer Google-Sheet-Tabelle in der EU-Region gespeichert. Sobald wir auf ein dediziertes Newsletter-Tool umstellen, ergänzen wir hier den Anbieter.

4.5 Eingebettete Videos und Social Embeds

Auf unserer Website sind YouTube-Videos eingebettet (z. B. Vorstellungsvideos und Stimmen aus unserem Beirat). Bei Klick auf das Video-Vorschaubild laden wir den YouTube-Player nach und dein Browser stellt eine Verbindung zu den Servern von YouTube her und überträgt dabei technische Daten, mindestens deine IP-Adresse.

Anbieter und mögliche Drittlandstransfers:

  • YouTube: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern Google LLC, USA

Rechtsgrundlage ist deine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, die du durch den Klick auf das Vorschaubild erteilst. Bei Übermittlungen in die USA stützen wir uns auf den EU-US Data Privacy Framework, sofern der jeweilige Anbieter dort zertifiziert ist, und ergänzend auf Standardvertragsklauseln nach Art. 46 DSGVO.

4.6 Kommunikation per E-Mail

Wenn du uns eine E-Mail schreibst, etwa an beta@bloomnow.ai, ace@bloomnow.ai oder rh@bloomnow.ai, verarbeiten wir die in der Nachricht enthaltenen personenbezogenen Daten zur Bearbeitung deines Anliegens.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).

E-Mails werden gelöscht, sobald der Anlass der Kommunikation entfallen ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Hosting und Subprozessoren

5.1 Hosting

Unsere Website wird über Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) bereitgestellt und über deren europäische Edge-Standorte ausgeliefert. Wir haben mit Vercel einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Da Vercel ein US-Unternehmen ist, stützen wir die Datenübermittlung ergänzend auf den EU-US Data Privacy Framework sowie auf Standardvertragsklauseln nach Art. 46 DSGVO.

Die Backend-Infrastruktur unserer App (Datenbank, Authentifizierung, Speicher) wird auf Supabase betrieben (Supabase Inc., 970 Toa Payoh North, Singapur), mit Serverstandort Frankfurt im AWS-Rechenzentrum eu-central-1. Personenbezogene Daten unserer App-Nutzer:innen werden ausschließlich innerhalb der EU gespeichert. Wir haben mit Supabase einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen. Da Supabase eine US-Muttergesellschaft hat, stützen wir die Datenverarbeitung ergänzend auf den EU-US Data Privacy Framework sowie auf Standardvertragsklauseln nach Art. 46 DSGVO.

5.2 Übersicht über Subprozessoren

Wir setzen folgende Auftragsverarbeiter ein:

  • Vercel Inc. (USA) — Website-Hosting und Auslieferung über europäische Edge-Standorte
  • Supabase Inc. (Singapur, Serverstandort EU/Frankfurt) — Datenbank, Authentifizierung und Speicher für die App
  • Google Ireland Ltd. (Irland) — Google Apps Script und Gmail für die Verwaltung der Warteliste und den Versand der Bestätigungs-E-Mails
  • Google Ireland Ltd. (Irland) — Google Tag Manager, Google Analytics 4 und Google Ads für Web-Analyse und Werbeerfolgsmessung (nur nach Einwilligung)
  • Mistral AI (Frankreich) — KI-Modell für den App-internen Chat (wird aktiv, sobald der entsprechende App-Bereich freigeschaltet ist)
  • Resend Inc. (USA) — Transaktions-E-Mails aus der App
  • Firebase / Google LLC (USA) — Push-Benachrichtigungen für die App
  • Google LLC (USA) — Google OAuth für die optionale Anmeldung in der App

Mit allen Auftragsverarbeitern haben wir Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO geschlossen.

6. Drittlandstransfers

Eine Übermittlung deiner Daten in Drittländer (außerhalb der EU bzw. des EWR) findet nur statt, wenn dies für die Erbringung der gewünschten Leistung notwendig ist, etwa bei eingebetteten Inhalten von US-Anbietern, und du dem zugestimmt hast oder eine andere Rechtsgrundlage besteht.

In diesen Fällen stützen wir uns auf:

  • den EU-US Data Privacy Framework (für entsprechend zertifizierte US-Anbieter) oder
  • Standardvertragsklauseln nach Art. 46 DSGVO mit ergänzenden technischen und organisatorischen Maßnahmen.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweilige Verarbeitung erforderlich ist oder eine gesetzliche Aufbewahrungspflicht besteht:

  • Warteliste / Frühzugang: bis zum App-Launch und maximal 6 Monate danach, sofern kein Account erstellt wird; Widerruf jederzeit möglich, anschließend Löschung innerhalb von 30 Tagen
  • App-Daten: solange dein Account besteht; nach Kontolöschung 30 Tage Aufbewahrungsfrist, dann endgültige Löschung
  • Server-Logs: maximal 30 Tage
  • E-Mail-Kommunikation: bis zur Erledigung des Anliegens, maximal 3 Jahre danach
  • Buchhaltungs- und steuerrelevante Daten: gemäß gesetzlicher Aufbewahrungspflichten (in Österreich i. d. R. 7 Jahre)

8. Deine Rechte

Du hast jederzeit folgende Rechte gegenüber uns:

  • Recht auf Auskunft nach Art. 15 DSGVO: Wir teilen dir mit, welche Daten wir über dich gespeichert haben.
  • Recht auf Berichtigung nach Art. 16 DSGVO: Du kannst unrichtige Daten korrigieren lassen.
  • Recht auf Löschung nach Art. 17 DSGVO: Du kannst die Löschung deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
  • Recht auf Datenübertragbarkeit nach Art. 20 DSGVO: Du erhältst deine Daten in einem strukturierten, gängigen, maschinenlesbaren Format.
  • Recht auf Widerspruch nach Art. 21 DSGVO: Gegen Verarbeitungen, die auf berechtigtem Interesse beruhen, kannst du jederzeit Widerspruch einlegen.
  • Recht auf Widerruf einer Einwilligung nach Art. 7 Abs. 3 DSGVO: Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Eine kurze E-Mail an rh@bloomnow.ai reicht aus. Wir antworten dir innerhalb der gesetzlichen Frist von einem Monat.

9. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Auffassung bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Für uns zuständig ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at

Du kannst dich auch an die Aufsichtsbehörde deines Wohnsitzes oder Arbeitsplatzes wenden.

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen, insbesondere Verschlüsselung bei Übertragung (TLS) und Speicherung, Zugriffsbeschränkungen innerhalb des Teams, vertragliche Verschwiegenheitspflichten sowie regelmäßige Sicherheits-Reviews.

11. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet aktuell nicht statt. Vorschläge und Inhalte in unserer App werden auf Grundlage regelbasierter Logik ausgespielt, die wir selbst überprüfen und nachvollziehen können.

Falls wir in Zukunft KI-gestützte Funktionen einsetzen, informieren wir dich vorab gesondert und holen, soweit gesetzlich erforderlich, deine Einwilligung ein.

12. Verarbeitung besonderer Datenkategorien (Gesundheitsdaten)

bloomnow richtet sich an Familien neurodivergenter Kinder. Gesundheitsbezogene Daten zählen zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen einem besonderen Schutz.

Aktuell verarbeiten wir keine detaillierten Neurodivergenz-Profile oder Antworten aus Selbsttests. Wir warten damit, bis bloomnow als Software als Medizinprodukt nach EU-MDR zertifiziert ist und alle dafür erforderlichen organisatorischen und technischen Voraussetzungen vorliegen.

Sollten wir in Zukunft solche Daten verarbeiten, erfolgt dies ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Wir informieren dich dann gesondert und transparent über Zweck, Umfang und Schutzmaßnahmen.

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, etwa wenn wir neue Funktionen einführen oder sich Rechtslage oder eingesetzte Tools ändern. Bei wesentlichen Änderungen informieren wir dich aktiv, z. B. per E-Mail an angemeldete Nutzer:innen. Die jeweils aktuelle Version ist immer auf bloomnow.ai abrufbar.

14. Kontakt

Für alle Fragen zum Datenschutz kannst du dich jederzeit an uns wenden:

Roxane Hunot
Datenschutzbeauftragte
rh@bloomnow.ai

Allgemeine Anfragen: beta@bloomnow.ai