Datenschutzerklärung · Privacy Policy
Source of truth: this file. The web app pages at
/[locale]/privacy(Unit 2) render from this Markdown. The German version is the legally binding text; the English version is a convenience translation for non-German-speaking users. In case of conflict, the German version prevails.Status: v1.0 (Draft). For DPO review and legal sign-off. Last updated: 2026-05-28.
🇩🇪 Datenschutzerklärung (verbindliche Fassung)
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Kfir Yehuda Fuggerstraße 9 10777 Berlin Deutschland
E-Mail: legal@bigbro.men
Kfir Yehuda betreibt BigBro zurzeit als Einzelunternehmer mit Sitz in Berlin. Eine Übertragung des Betriebs (und damit der datenschutzrechtlichen Verantwortlichkeit) auf die AlphaX Technologies OÜ (Estland) ist in Vorbereitung. Sobald die OÜ den Betrieb übernimmt, werden Sie hierüber durch eine aktualisierte Fassung dieser Datenschutzerklärung und einen In-App-Hinweis informiert.
USt-IdNr.: [TBD — entweder DE-USt-ID eintragen oder „Kleinunternehmer gemäß § 19 UStG"]
2. Datenschutzkontakt
Für alle Fragen zur Verarbeitung Ihrer personenbezogenen Daten und zur Ausübung Ihrer Rechte:
E-Mail: legal@bigbro.men
Ein Datenschutzbeauftragter wurde nicht förmlich bestellt, da die gesetzlichen Voraussetzungen (§ 38 BDSG, Art. 37 DSGVO) derzeit nicht vorliegen. Die Datenschutzkontaktstelle nimmt jedoch alle datenschutzrechtlichen Anliegen entgegen und bearbeitet sie nach den Vorgaben der DSGVO.
3. Was diese Erklärung abdeckt
Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten
durch die BigBro-Anwendung („App"), einschließlich der zugehörigen Website unter
[TBD — Domain einfügen, z. B. https://wcx.app] und der iOS-/Android-Apps.
BigBro ist eine altersbeschränkte (18+) soziale Plattform für schwule, bi- und queere Männer. Im Vordergrund stehen Freundschaft, gemeinsame Aktivitäten und das Organisieren eigener Events (z. B. Stammtische, Watchparties, Spielerunden). Aus Begegnungen können auch Verabredungen oder Beziehungen entstehen — das ist möglich, aber nicht der primäre Zweck der App.
4. Welche Daten verarbeitet werden
4.1 Kontodaten
- E-Mail-Adresse (oder Apple-/Google-Sub-ID bei Single-Sign-On)
- Passwort-Hash (bcrypt; Klartext-Passwort wird nicht gespeichert)
- Zeitpunkt der Registrierung, letzte Anmeldung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.2 Profildaten (öffentlich oder eingeschränkt sichtbar)
- Anzeigename, Handle (eindeutiger Benutzername)
- Kurzbeschreibung („Bio")
- Alter zum Zeitpunkt der Anmeldung (
age_at_signup) - Stadt / ungefährer Standort
- Pronomen, Körpergröße, Körperbau, Tribes, Beziehungsstatus, gesprochene Sprachen
- Suchpräferenzen: Altersbereich, Entfernung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), soweit Daten Rückschlüsse auf die sexuelle Orientierung erlauben — was bei einer sozialen Plattform für schwule, bi- und queere Männer der Erstellung des Profils inhärent ist.
4.3 Daten besonderer Kategorien (Art. 9 DSGVO)
- Geheime Hashtags / Kinks (
user_kinks) — Präferenzen mit Bezug zu Sexual- und Beziehungspräferenzen - HIV-Status, HIV-Medikation, letzter Testzeitpunkt (optional, nur mit ausdrücklicher Einwilligung und nur sichtbar für Personen, denen Sie eine ausdrückliche „Interaction-Setup-Freigabe" erteilt haben)
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die jeweiligen Felder in Ihrem Profil leeren oder Ihr Konto löschen.
4.4 Standortdaten
- Aus der eingegebenen Stadt abgeleitete ungefähre Koordinaten
- Optional: Plus Code-Standortangaben („Smart Address Share"), die Sie ausdrücklich an einzelne Match-Partner senden können
- Wir verarbeiten keine kontinuierlichen GPS-Standortdaten im Hintergrund
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Stadt-Anzeige; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für jede einzelne Smart-Address-Freigabe.
4.5 Nachrichtendaten
- Nachrichteninhalte, Zeitstempel, Lesebestätigungen
- Reaktionen („Emojis")
- Optionale „Disappearing-Messages"-Einstellungen (Modus + TTL)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.6 Geräte- und Verbindungsdaten
- IP-Adresse (zeitweilig zur Sitzungsverwaltung und Missbrauchsprävention)
- User-Agent / Plattform (Web, iOS, Android)
- Geräte-Identifier (nur soweit zur App-Sitzung erforderlich)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einem sicheren Betrieb der App).
4.7 Moderations- und Sicherheitsdaten
- Inhaltsmoderations-Protokolle (
content_moderation_log): Auszug der geflaggten Inhalte, Treffer-Kategorien, Verdikt - Strikes-Konto (
user_strikes) - Meldungen anderer Nutzer (
reports) - Audit-Log sicherheitsrelevanter Aktionen (
audit_log) - Bei mutmaßlichem CSAM (Child Sexual Abuse Material): Eintrag in
ncmec_queuezur späteren Übermittlung an das National Center for Missing & Exploited Children (NCMEC)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an einer sicheren Plattform und Schutz Dritter) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen aus DSA und ggf. § 24a JMStV bzgl. Kinderschutz).
4.8 Cookies und ähnliche Technologien
- Session-Cookies (technisch notwendig)
- Authentifizierungs-Tokens (Refresh- und Access-Token)
- Wir setzen keine Tracking-Cookies oder Drittanbieter-Werbe-Cookies ein.
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG für technisch notwendige Cookies; keine Einwilligung erforderlich.
5. Zwecke der Verarbeitung
Wir verarbeiten Ihre Daten zu folgenden Zwecken:
- Bereitstellung der App und Erfüllung des Nutzungsvertrags
- Authentifizierung und Sitzungsverwaltung
- Anzeige und Vermittlung von Profilen (Discovery / Matching)
- Kommunikation zwischen Nutzern (Nachrichten, Reaktionen)
- Standortbasierte Funktionen (nur soweit ausdrücklich genutzt)
- Inhaltsmoderation, Missbrauchsprävention, Kinderschutz
- Erfüllung gesetzlicher Pflichten (DSA, GDPR, ggf. JMStV)
- Verteidigung gegen Rechtsansprüche
6. Empfänger Ihrer Daten
6.1 Auftragsverarbeiter
Wir bedienen uns folgender Auftragsverarbeiter (Art. 28 DSGVO):
- Supabase Inc. (Hosting, Datenbank, Authentifizierung, Realtime,
Storage). Alle BigBro-Daten werden ausschließlich in der EU-Region
eu-central-1(Frankfurt am Main) gespeichert. Mit Supabase besteht ein Auftragsverarbeitungsvertrag (Data Processing Agreement) auf Grundlage der EU-Standardvertragsklauseln. - Apple Inc. (nur bei „Sign in with Apple") — Übermittlung der Apple-ID-Tokens und ggf. der E-Mail-Adresse.
- Google LLC (nur bei „Sign in with Google") — Übermittlung der Google-Sub-ID und ggf. der E-Mail-Adresse.
[TBD — Bildmoderations-Anbieter wie Hive, AWS Rekognition o. ä., sobald Fotofunktion freigeschaltet ist]
6.2 Eigenständige Verantwortliche
- National Center for Missing & Exploited Children (NCMEC), USA, bei Verdacht auf CSAM. Übermittlung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c, lit. f, lit. d DSGVO sowie der einschlägigen US-amerikanischen und internationalen Schutzvorschriften.
- Behörden (z. B. Strafverfolgung), wenn wir gesetzlich oder gerichtlich dazu verpflichtet sind.
6.3 Andere Nutzer
Profil-Informationen, die Sie für die Profil-Anzeige freigeben (Anzeigename,
Bio, Stadt, Tribes etc.), sind für andere angemeldete Nutzer sichtbar.
Daten besonderer Kategorien (interaction_setup) sind nur sichtbar, wenn
Sie eine ausdrückliche Freigabe erteilen.
7. Drittlandtransfers
Die BigBro-Datenbank befindet sich in Frankfurt am Main (Deutschland). Datenübermittlungen außerhalb des EWR können in folgenden Fällen vorkommen:
- Supabase Inc. (Konzernsitz in den USA) — auf Grundlage der EU-Standard vertragsklauseln (SCC, Module 2 — Controller-to-Processor) und ergänzender technischer Maßnahmen (Verschlüsselung im Transit und at-rest).
- Apple / Google bei SSO — auf Grundlage der jeweiligen Datenschutz vereinbarungen und des EU-US Data Privacy Framework.
- NCMEC (USA) bei CSAM-Meldungen — auf Grundlage von Art. 49 Abs. 1 lit. d DSGVO (wichtige Gründe des öffentlichen Interesses — Kinderschutz).
8. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Aktives Konto | Solange das Konto besteht |
| Nachrichten (ohne Disappear-Modus) | Solange beide Teilnehmer aktiv sind |
| Nachrichten (Disappear-Modus) | Gemäß TTL des Empfängers, anschließend hart gelöscht |
| Audit-Log | 12 Monate ab Eintrag |
| Inhaltsmoderations-Protokolle | 24 Monate ab Eintrag (gesetzliche Aufbewahrungspflichten DSA) |
| NCMEC-Queue-Einträge | Bis Übermittlung + 12 Monate (Nachverfolgung) |
| Konto gelöscht | Pseudonymisierung; bestimmte Identitäts- und Strike-Daten werden bis zu 24 Monate aufbewahrt zur Verhinderung von Wiedereintritt nach Sperrung |
Eine vollständige Liste der Aufbewahrungsfristen finden Sie im internen „Records of Processing Activities" (Art. 30 DSGVO). Bei berechtigtem Interesse können wir Ihnen Auszüge daraus zur Verfügung stellen.
9. Ihre Rechte als betroffene Person
Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO) — Sie können eine Bestätigung darüber verlangen, ob und welche Daten wir über Sie verarbeiten, und eine Kopie dieser Daten erhalten.
- Berichtigungsrecht (Art. 16 DSGVO) — Sie können die Berichtigung
unrichtiger Daten verlangen. Die meisten Profildaten können Sie selbst
unter
/me/editändern. - Recht auf Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer
Daten verlangen. In der App können Sie Ihr Konto unter
/melöschen (Pseudonymisierung). - Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können einen Export Ihrer Daten in einem strukturierten, maschinenlesbaren Format (JSON) erhalten.
- Widerspruchsrecht (Art. 21 DSGVO) — bei Verarbeitungen auf Grundlage berechtigter Interessen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — mit Wirkung für die Zukunft, jederzeit.
- Beschwerderecht (Art. 77 DSGVO) — Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Die für uns zuständige Aufsichtsbehörde ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Friedrichstr. 219 10969 Berlin Tel.: +49 30 13889-0 E-Mail: mailbox@datenschutz-berlin.de Web: https://www.datenschutz-berlin.de
10. Pflicht zur Bereitstellung der Daten
Die Bereitstellung der Pflichtdaten (E-Mail, Anzeigename, Handle, Alters bestätigung) ist für die Erstellung eines Kontos und die Nutzung der App erforderlich. Ohne diese Daten können wir Ihnen die App nicht zur Verfügung stellen.
Die Bereitstellung aller weiteren Daten (Bio, Tribes, Hashtags, HIV-Status usw.) ist freiwillig und hat keine nachteiligen Folgen außer der eingeschränkten Nutzbarkeit einzelner Funktionen.
11. Automatisierte Entscheidungsfindung und Profiling
Wir setzen automatisierte Vorfilter zur Inhaltsmoderation ein (Wortlisten, ggf. ML-basierte Bildklassifikation, sobald die Fotofunktion freigeschaltet ist). Eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO (rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung allein durch Automatik) findet nicht statt:
- Bei „weißen" (unauffälligen) Inhalten erfolgt keine Maßnahme.
- Bei „hilfsbedürftigen" Inhalten (z. B. Suizidsignale) wird automatisch ein Hinweis mit Hilfsressourcen angezeigt; sonst keine Maßnahme.
- Bei „roten" (problematischen) Inhalten erfolgt eine Strike-Zählung und ggf. eine Sperre — aber die endgültige Entscheidung über eine Konto sperre wird stets von einem Menschen überprüft.
- Bei „schwarzen" (CSAM/illegal) Inhalten erfolgt eine sofortige Konto sperre und Übermittlung an NCMEC; auch hier erfolgt eine menschliche Nachprüfung vor jeder dauerhaften Konsequenz.
Das Matching/Discovery („In your tribe", „Online now", „Top of the top", „Nearby") ist eine reine Sortier-/Filterfunktion ohne rechtliche oder ähnlich erhebliche Wirkung im Sinne des Art. 22 DSGVO.
12. Sicherheit
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, darunter:
- TLS-Verschlüsselung im Transit
- Verschlüsselung der Datenbank im Ruhezustand (Supabase)
- Row-Level-Security (RLS) auf jeder Tabelle
- Authentifizierung mit Apple SIWA / Google OAuth / E-Mail+Passwort (bcrypt)
- Audit-Logging sicherheitsrelevanter Aktionen
- Regelmäßige Sicherheitsüberprüfungen
Eine ausführliche Darstellung finden Sie im internen DPIA-Dokument.
13. Minderjährigenschutz
BigBro ist ausschließlich für Personen ab 18 Jahren bestimmt. Bei der Registrierung müssen Sie ausdrücklich bestätigen, mindestens 18 Jahre alt zu sein. Wir tolerieren keine Minderjährigen auf der Plattform. Bei begründetem Verdacht löschen oder sperren wir das Konto sofort.
Mutmaßliche CSAM-Inhalte (Child Sexual Abuse Material) werden unverzüglich an das National Center for Missing & Exploited Children (NCMEC, USA) gemeldet, das mit deutschen Strafverfolgungsbehörden zusammenarbeitet.
14. Änderungen dieser Datenschutzerklärung
Wir können diese Erklärung von Zeit zu Zeit anpassen, um sie an geänderte Rechtslage oder Funktionen anzupassen. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder über einen In-App-Hinweis vor Inkraft treten der neuen Fassung.
Datum der letzten Aktualisierung: 2026-05-28.
🇬🇧 Privacy Policy (English convenience translation)
The German version above is the legally binding text. This English version is provided for convenience only.
1. Controller
The controller within the meaning of Art. 4(7) GDPR is:
Kfir Yehuda Fuggerstraße 9 10777 Berlin Germany
Email: legal@bigbro.men
Kfir Yehuda currently operates BigBro as a sole proprietor based in Berlin. Transfer of the operation (and with it the data-protection controllership) to AlphaX Technologies OÜ (Estonia) is in preparation. Once the OÜ takes over, you will be informed through an updated version of this Privacy Policy and an in-app notice.
VAT ID: [TBD — DE VAT ID or "Kleinunternehmer per § 19 UStG"]
2. Privacy contact
For all questions about the processing of your personal data and to exercise your rights:
Email: legal@bigbro.men
A formal Data Protection Officer has not been appointed because the statutory thresholds (§ 38 BDSG, Art. 37 GDPR) are not currently met. The privacy contact, however, handles all data-protection requests in accordance with the GDPR.
3. Scope
This Privacy Policy applies to the processing of personal data by the
BigBro application ("the App"), including the website at [TBD] and the
iOS/Android apps.
BigBro is an age-restricted (18+) social platform for gay, bi and queer men. The focus is on friendship, shared activities, and self-organised events (e.g. regular meet-ups, watch-parties, game nights). Dating or relationships may emerge from connections made on BigBro — that's possible, but it's not the primary purpose of the app.
4. Categories of data we process
4.1 Account data
- Email address (or Apple/Google sub-ID for SSO)
- Password hash (bcrypt; the cleartext password is never stored)
- Registration timestamp, last login
Legal basis: Art. 6(1)(b) GDPR (performance of a contract).
4.2 Profile data
- Display name, handle (unique username)
- Bio
- Age at signup (
age_at_signup) - City / approximate location
- Pronouns, height, body type, tribes, relationship status, languages
- Search preferences: age range, distance
Legal basis: Art. 6(1)(b) GDPR and, where the data implies sexual orientation, Art. 9(2)(a) GDPR (explicit consent) — which is inherent to creating a profile on a gay/bi/queer dating app.
4.3 Special-category data (Art. 9 GDPR)
- Secret hashtags / kinks (
user_kinks) — sexual and relationship preferences - HIV status, HIV medication, last test date (optional, with explicit consent, only visible to users to whom you have granted an explicit "Interaction Setup" share)
Legal basis: Art. 9(2)(a) GDPR (explicit consent). You may withdraw consent at any time with effect for the future by clearing the relevant fields in your profile or deleting your account.
4.4 Location data
- Approximate coordinates derived from the entered city
- Optional: Plus-Code location shares ("Smart Address Share") that you send explicitly to individual matches
- We do not process continuous background GPS data.
Legal basis: Art. 6(1)(b) GDPR for the city display; Art. 6(1)(a) GDPR (consent) for each individual Smart Address share.
4.5 Message data
- Message contents, timestamps, read receipts
- Reactions ("emojis")
- Optional disappearing-messages settings (mode + TTL)
Legal basis: Art. 6(1)(b) GDPR.
4.6 Device and connection data
- IP address (transient — session management and abuse prevention)
- User-agent / platform (web, iOS, Android)
- Device identifiers (only as required for the app session)
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in secure operation).
4.7 Moderation and safety data
- Content-moderation log (
content_moderation_log): excerpt of flagged content, hit categories, verdict - Strikes ledger (
user_strikes) - User reports (
reports) - Security audit log (
audit_log) - For suspected CSAM: entry in
ncmec_queuefor later transmission to the National Center for Missing & Exploited Children (NCMEC).
Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a safe platform and protection of third parties) and Art. 6(1)(c) GDPR (legal obligations under the DSA and child-protection law).
4.8 Cookies and similar technologies
- Session cookies (technically necessary)
- Authentication tokens (refresh + access)
- We do not use tracking or advertising cookies.
Legal basis: § 25(2) Nr. 2 TTDSG for technically necessary cookies; no consent required.
5. Purposes
- Operating the App and performing the user contract
- Authentication and session management
- Displaying and matching profiles (discovery / matching)
- User-to-user communication (messages, reactions)
- Location-based features (only as explicitly used)
- Content moderation, abuse prevention, child protection
- Compliance with legal obligations (DSA, GDPR, JMStV)
- Defence against legal claims
6. Recipients
6.1 Processors
- Supabase Inc. (hosting, database, auth, realtime, storage). All BigBro
data is stored exclusively in the EU region
eu-central-1(Frankfurt am Main, Germany). A Data Processing Agreement based on the EU Standard Contractual Clauses is in place. - Apple Inc. (only for "Sign in with Apple")
- Google LLC (only for "Sign in with Google")
[TBD — image moderation vendor once photos are enabled]
6.2 Independent controllers
- NCMEC (USA) for suspected CSAM transmissions.
- Authorities (e.g. law enforcement) where we are legally required.
6.3 Other users
Profile information you make visible on your profile (display name, bio,
city, tribes, etc.) is visible to other signed-in users. Special-category
data (interaction_setup) is only visible if you grant an explicit share.
7. International transfers
The BigBro database is in Frankfurt am Main (Germany). Transfers outside the EEA may occur in the following cases:
- Supabase Inc. (US-based) — based on EU Standard Contractual Clauses (SCCs, Module 2) plus supplementary technical measures (in-transit and at-rest encryption).
- Apple / Google for SSO — based on the EU–US Data Privacy Framework.
- NCMEC (USA) for CSAM reports — based on Art. 49(1)(d) GDPR (important reasons of public interest — child protection).
8. Retention periods
| Data category | Retention |
|---|---|
| Active account | While the account exists |
| Messages (no disappear mode) | While both participants are active |
| Messages (disappear mode) | Per recipient TTL, then hard-deleted |
| Audit log | 12 months from entry |
| Content-moderation log | 24 months from entry (DSA obligations) |
| NCMEC queue entries | Until transmission + 12 months |
| Account deleted | Pseudonymisation; certain identity and strike data may be retained up to 24 months to prevent post-ban re-entry |
9. Your rights
- Right of access (Art. 15 GDPR)
- Right to rectification (Art. 16 GDPR) — most profile data can be
edited yourself at
/me/edit - Right to erasure (Art. 17 GDPR) — you can delete your account at
/me(pseudonymisation) - Right to restriction (Art. 18 GDPR)
- Right to data portability (Art. 20 GDPR) — JSON export via
/me - Right to object (Art. 21 GDPR)
- Right to withdraw consent (Art. 7(3) GDPR)
- Right to lodge a complaint (Art. 77 GDPR) — the competent supervisory authority for us is:
Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Friedrichstr. 219 10969 Berlin, Germany Tel.: +49 30 13889-0 Email: mailbox@datenschutz-berlin.de Web: https://www.datenschutz-berlin.de
10. Obligation to provide data
Providing mandatory data (email, display name, handle, age confirmation) is required to create an account. All other data is voluntary.
11. Automated decision-making and profiling
We use automated pre-filters for content moderation. No automated decision within the meaning of Art. 22 GDPR (legal or similarly significant effect from automation alone) is made: every consequential moderation decision is human-reviewed before becoming permanent.
Matching / discovery features ("In your tribe", "Online now", "Top of the top", "Nearby") are pure sort/filter functions with no legal or similarly significant effect.
12. Security
We implement technical and organisational measures pursuant to Art. 32 GDPR, including TLS in transit, encryption at rest, row-level security, Apple SIWA / Google OAuth / bcrypt-based auth, and audit logging.
13. Protection of minors
BigBro is for users aged 18 and over only. At registration you must explicitly confirm that you are at least 18. We have zero tolerance for minors. Suspected CSAM is reported to NCMEC without delay.
14. Changes to this Privacy Policy
We may update this Policy from time to time. For material changes we will notify you by email or via an in-app notice before the new version takes effect.
Last updated: 2026-05-28.
TODO before publication
- Confirm whether VAT-registered; insert DE-USt-ID or note Kleinunternehmer (§ 19 UStG).
- Insert the canonical BigBro domain once decided.
- Decide which image-moderation vendor will be listed in §§ 4.7 / 6.1 once photos are enabled (Project Arachnid, Microsoft PhotoDNA, Google Hash Matching, Hive, etc.).
- Confirm
legal@bigbro.menis monitored. - German lawyer review and sign-off on the DE text.
- Cross-check the data inventory against the live schema (
docs/legal/dpia.md§ 3.2) and the App Store Connect privacy nutrition labels.
TODO when AlphaX Technologies OÜ takes over
- Swap controller from natural-person Kfir Yehuda to AlphaX Technologies OÜ.
- Insert Estonian Registrikood and registered office.
- Decide on EE-USt-ID vs. DE-USt-ID depending on where the OÜ has its permanent establishment.
- Confirm the BlnBDI is the correct supervisory authority given the c/o establishment in Berlin (vs. Estonian DPA AKI — One-Stop-Shop assessment under Art. 56 GDPR).
- Push an in-app notice to all active users at least 30 days before the controller transition takes effect.