Amilu – operated by Zypheris GmbH
Last updated: April 2026
The controller responsible for the processing of your personal data is: Zypheris GmbH, c/o BlueAUDIT GmbH, Schindellegistrasse 73, 8808 Pfäffikon, Switzerland Email: hello@amilu.app We operate the Amilu app and the website amilu.app (“App” or “Service”).
As our registered office is in Switzerland and we offer the App to users in the European Union, we have appointed the following representative in the EU: IT.LAW GmbH - Zypheris GmbH - Colmantstraße 15 53115 Bonn, Germany Email: art-27-rep-zypheris@it.law You may contact our EU representative directly regarding any data protection matters.
This privacy policy applies to the use of the Amilu app and our website. It complies with the EU General Data Protection Regulation (GDPR) and the Swiss Federal Act on Data Protection (nDSG).
Account data: Upon registration we collect your first name, email address, birth year and month (to calculate your age and confirm the minimum age of 18), your gender (with the option “Prefer not to say”), optionally a profile photo, and an encrypted password. Alternatively you may sign in with Apple or Google. In that case we receive your name and email address from the provider and no password is stored. Profile data: You may voluntarily add information such as city, interests, a short bio, Instagram and Snapchat handles, and spoken or learning languages. If you register as an organizer, you may additionally provide a website, LinkedIn profile, category and organizer bio. Activities: When you create or join an activity we process title, description, location, date, time, category and participant list. Location data: With your explicit consent we process your approximate location to show relevant activities nearby. For automatic GPS check-in we use precise location data to confirm your attendance at an activity. Both features can be disabled at any time in the app settings or your device settings. Chat content: When you chat with other users or in activity groups we store your messages on our servers so they are available on your devices. Transmission is encrypted (TLS), storage is encrypted at rest. End-to-end encryption is not used as we need to process content for safety and content moderation (see Section 11). Photo uploads: Uploaded photos are stored on our servers and automatically checked for prohibited content via the OpenAI Moderation API (see Section 11). Device and usage data: Device type, OS version, app version, language, push token, IP address and crash reports. Payment data: Payments for subscriptions or paid features are processed exclusively through the Apple App Store or Google Play Store. We only receive confirmation that a payment was made and no payment method data. Events: When you save an event, mark yourself as going, or join a waitlist, we process the corresponding event data and your participation status. If you click on an external ticket link, the click is logged for safety purposes. Support tickets: If you contact us via the in-app support feature, we store the subject, message and optionally attached screenshots to process your inquiry.
| Purpose | Legal basis |
|---|---|
| Account creation and management | Art. 6(1)(b) GDPR (contract performance) |
| Display of activities and users | Art. 6(1)(b) GDPR (contract performance) |
| Chat functionality | Art. 6(1)(b) GDPR (contract performance) |
| Location-based services | Art. 6(1)(a) GDPR (consent) |
| Geocoding and map display | Art. 6(1)(b) GDPR (contract performance) |
| Push notifications | Art. 6(1)(a) GDPR (consent) |
| Content moderation | Art. 6(1)(f) GDPR (legitimate interest: platform safety) |
| URL safety check | Art. 6(1)(f) GDPR (legitimate interest: protection from malware) |
| AI-generated profile introductions | Art. 6(1)(a) GDPR (consent) |
| Crash reports | Art. 6(1)(f) GDPR (legitimate interest: app stability) |
| Payments | Art. 6(1)(b) GDPR (contract performance) |
| Legal obligations | Art. 6(1)(c) GDPR |
We use the following service providers:
| Service provider | Purpose |
|---|---|
| Supabase (Frankfurt, DE) | Database hosting, authentication, file storage. Data processed exclusively in the EU. |
| Firebase / Google Cloud (USA) | Push notifications (FCM) and crash reports (Crashlytics). Transfer based on EU SCCs and EU-US Data Privacy Framework. |
| Apple Push Notification Service (USA) | Push notifications on iOS devices. |
| OpenAI (USA) | Automated content moderation of text and photos. OpenAI operates zero data retention for moderation requests. Transfer based on EU SCCs. |
| Anthropic (USA) | AI-generated profile introductions. Optional feature. No storage for AI training. Transfer based on EU SCCs. |
| Resend (USA) | System emails (password reset, account confirmation). Transfer based on EU SCCs. |
| Apple App Store / Google Play Store | In-app purchases. We receive no payment method data. |
| Cloudflare (USA / global) | Email routing, DNS, CDN. Transfer based on EU SCCs. |
| Netlify (USA) | Website hosting (amilu.app). Transfer based on EU SCCs. |
| Mapbox (USA) | Location search and geocoding. When you search for a city, your query and IP address are sent to Mapbox. Transfer based on EU SCCs. |
| OpenStreetMap Foundation (UK) | Map display via open map tiles. |
| Google Web Risk API (USA) | URL safety checks for ticket links. Transfer based on EU SCCs. |
Some of our service providers are based in the USA or other third countries. Transfers outside the EU/EEA are based on appropriate safeguards: • EU Standard Contractual Clauses pursuant to Art. 46(2) GDPR • EU-US Data Privacy Framework, where the provider is certified A copy of the Standard Contractual Clauses is available upon request. For the United Kingdom, an EU adequacy decision applies.
We retain your data only as long as necessary for the stated purposes: • Account and profile data: as long as your account exists. After deletion, all data is removed within 30 days unless legal retention obligations apply. • Chat messages: as long as your account or your chat partner’s account exists. • Crash reports: maximum 6 months. • Consent archive (consent timestamps): 3 years after account deletion. • Moderation archive: 3 years after account deletion. • Support tickets: 12 months after closure. • Billing and accounting data: 10 years (Swiss Code of Obligations / German Tax Code).
Under the GDPR and nDSG you have the following rights: • Access to your stored personal data (Art. 15 GDPR) • Rectification of inaccurate data (Art. 16 GDPR) • Erasure of your data (Art. 17 GDPR) • Restriction of processing (Art. 18 GDPR) • Data portability in a structured, commonly used format (Art. 20 GDPR) • Objection to processing (Art. 21 GDPR) • Withdrawal of consent at any time with effect for the future To exercise your rights, contact us at hello@amilu.app. We will respond within 30 days. You can also delete your account at any time directly in the app. For data portability (Art. 20 GDPR), a JSON export of all your data is available in the app under Settings.
You have the right to lodge a complaint with a data protection supervisory authority: Switzerland: Federal Data Protection and Information Commissioner (FDPIC), www.edoeb.admin.ch Germany: Bavarian State Office for Data Protection Supervision (BayLDA), www.lda.bayern.de, or the competent authority in your federal state Other EU: Supervisory authority of your country of residence
For user safety we use the OpenAI Moderation API to automatically check text and photos for prohibited content, in particular violence, sexual content, hate speech and self-harm content. The check is automated. Detected content may be blocked or flagged for manual review. In cases of suspected criminal content, in particular child sexual abuse material (CSAM), the content is immediately blocked and we report the incident to the competent authorities. In Switzerland we report to the Federal Office of Police (fedpol), internationally to the National Center for Missing & Exploited Children (NCMEC).
When creating or editing your profile you may optionally have a short introduction generated by AI (provider: Anthropic). You can accept, reject, or generate a new one. Inputs (e.g. keywords about your interests) are used only for generation and are not stored for AI training purposes.
With your consent we send push notifications for new messages, friend requests, activity updates (e.g. when someone joins your activity) and new events from organizers you follow. You can disable these at any time in the app settings or your device settings.
The Amilu app does not use cookies. We use local device storage to save your login status. We do not create personal tracking profiles and do not use advertising IDs. Our website amilu.app uses only technically necessary cookies.
Amilu is a platform exclusively for persons aged 18 and over. We do not knowingly collect data from minors. If you become aware that a minor has created an account, please contact us at hello@amilu.app. In activities in the Family category, children may be physically present but only under the sole supervision and responsibility of their parents or legal guardians. We do not process any data of these children.
We implement technical and organizational measures to protect your data: • Encrypted data transmission (TLS / HTTPS) • Encrypted password storage (bcrypt) • Access control and role restrictions at database level (Supabase Row Level Security) • Regular security updates and monitoring
We may update this privacy policy when our services or legal requirements change. For material changes we will notify you in the app in a timely manner.
For data protection inquiries: Email: hello@amilu.app Postal address: Zypheris GmbH, c/o BlueAUDIT GmbH, Schindellegistrasse 73, 8808 Pfäffikon, Switzerland
Verantwortlich für die Verarbeitung deiner personenbezogenen Daten ist: Zypheris GmbH, c/o BlueAUDIT GmbH, Schindellegistrasse 73, 8808 Pfäffikon, Schweiz E-Mail: hello@amilu.app Wir betreiben die Amilu App und die Webseite amilu.app (im Folgenden „App“ oder „Service“).
Da unser Sitz in der Schweiz liegt und wir die App auch Nutzern in der Europäischen Union anbieten, haben wir folgenden Vertreter in der EU benannt: IT.LAW GmbH - Zypheris GmbH - Colmantstraße 15 53115 Bonn, Deutschland E-Mail: art-27-rep-zypheris@it.law Du kannst dich in allen datenschutzrechtlichen Fragen direkt an unseren EU-Vertreter wenden.
Diese Datenschutzerklärung gilt für die Nutzung der Amilu App und unserer Webseite. Sie ist konform mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem Schweizer Datenschutzgesetz (nDSG).
Account-Daten: Bei der Registrierung erfassen wir deinen Vornamen, deine E-Mail-Adresse, dein Geburtsjahr und -monat (zur Berechnung deines Alters und Bestätigung des Mindestalters von 18 Jahren), dein Geschlecht (mit der Auswahlmöglichkeit „Prefer not to say“), optional ein Profilfoto sowie ein verschlüsselt gespeichertes Passwort. Alternativ kannst du dich mit Apple oder Google anmelden. In diesem Fall erhalten wir deinen Namen und deine E-Mail-Adresse vom jeweiligen Anbieter, ein Passwort wird nicht gespeichert. Profil-Daten: Du kannst freiwillig zusätzliche Informationen ergänzen wie Stadt, Interessen, eine kurze Vorstellung, Instagram- und Snapchat-Handle sowie gesprochene oder lernende Sprachen. Wenn du dich als Organizer registrierst, kannst du zusätzlich Website, LinkedIn-Profil, Kategorie und Organizer-Bio angeben. Aktivitäten: Wenn du eine Aktivität erstellst oder beitrittst, verarbeiten wir Titel, Beschreibung, Ort, Datum, Uhrzeit, Kategorie und Teilnehmerliste. Standortdaten: Mit deiner ausdrücklichen Einwilligung verarbeiten wir deinen ungefähren Standort, um dir relevante Aktivitäten in deiner Nähe anzuzeigen. Beim automatischen GPS-Check-in nutzen wir präzise Standortdaten, um deine Anwesenheit bei einer Aktivität zu bestätigen. Beide Funktionen kannst du jederzeit in den App-Einstellungen oder den Systemeinstellungen deines Geräts deaktivieren. Chat-Inhalte: Wenn du mit anderen Nutzern oder in Aktivitätsgruppen chattest, speichern wir deine Nachrichten auf unseren Servern, damit sie auf deinen Geräten verfügbar sind. Die Übertragung erfolgt verschlüsselt (TLS), die Speicherung at-rest verschlüsselt. Eine Ende-zu-Ende-Verschlüsselung erfolgt nicht, da wir die Inhalte zur Sicherheits- und Inhaltsprüfung verarbeiten müssen (siehe Abschnitt 11). Foto-Uploads: Hochgeladene Fotos werden auf unseren Servern gespeichert und automatisch durch die OpenAI Moderation API auf unzulässige Inhalte geprüft (siehe Abschnitt 11). Geräte- und Nutzungsdaten: Gerätetyp, Betriebssystem-Version, App-Version, Sprache, Push-Token, IP-Adresse und Crash-Reports. Zahlungsdaten: Zahlungen für Abonnements oder kostenpflichtige Funktionen werden ausschliesslich über den Apple App Store oder Google Play Store abgewickelt. Wir erhalten von Apple oder Google nur die Bestätigung, dass eine Zahlung erfolgt ist, und keine Zahlungsmittel-Daten. Events: Wenn du ein Event speicherst, dich als „Going“ markierst oder auf eine Warteliste setzt, verarbeiten wir die entsprechenden Event-Daten und deinen Teilnahmestatus. Klicks auf externe Ticket-Links werden aus Sicherheitsgründen protokolliert. Support-Tickets: Wenn du uns über die In-App-Supportfunktion kontaktierst, speichern wir Betreff, Nachricht und optional angehängte Screenshots zur Bearbeitung deiner Anfrage.
| Zweck | Rechtsgrundlage |
|---|---|
| Account-Erstellung und -Verwaltung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Anzeige von Aktivitäten und Nutzern | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Chat-Funktion | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Standortbasierte Dienste | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Geocoding und Kartenanzeige | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Push-Benachrichtigungen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Inhaltsmoderation | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Sicherheit) |
| URL-Sicherheitsprüfung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz vor Malware) |
| KI-generierte Profil-Vorstellungen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Crash-Reports | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Stabilität) |
| Zahlungen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Erfüllung gesetzlicher Pflichten | Art. 6 Abs. 1 lit. c DSGVO |
Wir setzen folgende Dienstleister ein:
| Dienstleister | Zweck |
|---|---|
| Supabase (Frankfurt, DE) | Hosting der Datenbank, Authentifizierung, Datei-Speicher. Daten ausschliesslich in der EU. |
| Firebase / Google Cloud (USA) | Push-Benachrichtigungen (FCM) und Crash-Reports (Crashlytics). Übermittlung auf Basis von EU-SCCs und EU-US Data Privacy Framework. |
| Apple Push Notification Service (USA) | Push-Benachrichtigungen auf iOS-Geräten. |
| OpenAI (USA) | Automatische Inhaltsmoderation von Texten und Fotos. OpenAI speichert keine Daten aus Moderationsanfragen (Zero Data Retention). Übermittlung auf Basis von EU-SCCs. |
| Anthropic (USA) | KI-generierte Vorstellungstexte. Optionale Funktion. Keine Speicherung für KI-Training. Übermittlung auf Basis von EU-SCCs. |
| Resend (USA) | Versand von System-E-Mails. Übermittlung auf Basis von EU-SCCs. |
| Apple App Store / Google Play Store | Abwicklung von In-App-Käufen. Wir erhalten keine Zahlungsmittel-Daten. |
| Cloudflare (USA / global) | Email-Routing, DNS, CDN. Übermittlung auf Basis von EU-SCCs. |
| Netlify (USA) | Hosting der Webseite amilu.app. Übermittlung auf Basis von EU-SCCs. |
| Mapbox (USA) | Ortssuche und Geocoding. Bei der Suche nach einer Stadt werden Suchanfrage und IP-Adresse an Mapbox gesendet. Übermittlung auf Basis von EU-SCCs. |
| OpenStreetMap Foundation (UK) | Kartenanzeige über offene Kartendaten. |
| Google Web Risk API (USA) | Prüfung von Ticket-URLs auf Malware und Phishing. Übermittlung auf Basis von EU-SCCs. |
Einige unserer Dienstleister haben ihren Sitz in den USA oder einem anderen Drittland. Übermittlungen ausserhalb der EU/des EWR erfolgen auf Basis geeigneter Garantien: • EU-Standardvertragsklauseln nach Art. 46 Abs. 2 DSGVO • EU-US Data Privacy Framework, sofern der jeweilige Anbieter zertifiziert ist Auf Anfrage stellen wir dir eine Kopie der Standardvertragsklauseln zur Verfügung. Für das Vereinigte Königreich gilt ein EU-Angemessenheitsbeschluss.
Wir speichern deine Daten nur so lange, wie sie für die genannten Zwecke erforderlich sind: • Account- und Profil-Daten: solange dein Account besteht. Nach Löschung werden alle Daten innerhalb von 30 Tagen vollständig entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen. • Chat-Nachrichten: solange dein Account oder der Account des Chat-Partners besteht. • Crash-Reports: maximal 6 Monate. • Consent-Archiv (Einwilligungszeitpunkte): 3 Jahre nach Account-Löschung. • Moderations-Archiv: 3 Jahre nach Account-Löschung. • Support-Tickets: 12 Monate nach Schliessung des Tickets. • Rechnungs- und Buchhaltungsdaten: 10 Jahre (Schweizer Obligationenrecht / deutsche Abgabenordnung).
Nach DSGVO und nDSG hast du folgende Rechte: • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO) • Berichtigung unrichtiger Daten (Art. 16 DSGVO) • Löschung deiner Daten (Art. 17 DSGVO) • Einschränkung der Verarbeitung (Art. 18 DSGVO) • Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO) • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) • Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft Zur Ausübung deiner Rechte kontaktiere uns unter hello@amilu.app. Wir antworten innerhalb von 30 Tagen. Du kannst deinen Account jederzeit direkt in der App löschen. Für die Datenübertragbarkeit (Art. 20 DSGVO) steht dir in der App unter Settings ein JSON-Export aller deiner Daten zur Verfügung.
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren: Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch Deutschland: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), www.lda.bayern.de, oder die zuständige Aufsichtsbehörde deines Bundeslandes Übrige EU: Aufsichtsbehörde deines Wohnsitzlandes
Zur Sicherheit unserer Nutzer setzen wir die OpenAI Moderation API ein, um Texte und Fotos automatisch auf unzulässige Inhalte zu prüfen, insbesondere Gewalt, sexuelle Inhalte, Hassrede und Selbstverletzungs-Inhalte. Die Prüfung erfolgt automatisiert. Erkannte Inhalte können blockiert oder zur manuellen Prüfung markiert werden. Bei Verdacht auf strafbare Inhalte, insbesondere Darstellungen sexuellen Kindesmissbrauchs (CSAM), wird der Inhalt sofort blockiert und der Vorfall an die zuständigen Behörden gemeldet. In der Schweiz melden wir an das Bundesamt für Polizei (fedpol), international an das National Center for Missing & Exploited Children (NCMEC).
Beim Anlegen oder Bearbeiten deines Profils kannst du dir optional eine kurze Vorstellung durch KI generieren lassen (Anbieter: Anthropic). Du kannst den generierten Text übernehmen, ablehnen oder einen neuen generieren lassen. Eingaben (z.B. Stichworte zu deinen Interessen) werden nur zur Generierung verwendet und nicht für KI-Trainingszwecke gespeichert.
Mit deiner Einwilligung senden wir dir Push-Benachrichtigungen zu neuen Nachrichten, Freundschaftsanfragen, Aktivitäts-Updates (z.B. wenn jemand deiner Aktivität beitritt) und neuen Events von Organizern, denen du folgst. Du kannst diese jederzeit in den App-Einstellungen oder den Systemeinstellungen deines Geräts deaktivieren.
Die Amilu App verwendet keine Cookies. Wir nutzen lokalen Geräte-Speicher zur Speicherung deines Login-Status. Wir erstellen keine personenbezogenen Tracking-Profile und verwenden keine Werbe-IDs. Unsere Webseite amilu.app verwendet ausschliesslich technisch notwendige Cookies.
Amilu ist eine Plattform ausschliesslich für Personen ab 18 Jahren. Wir erfassen wissentlich keine Daten von Minderjährigen. Falls du Kenntnis davon erhältst, dass ein Minderjähriger einen Account angelegt hat, kontaktiere uns bitte unter hello@amilu.app. In Aktivitäten der Kategorie Family können Kinder physisch anwesend sein, jedoch ausschliesslich in Begleitung und unter alleiniger Verantwortung ihrer Eltern oder Erziehungsberechtigten. Wir verarbeiten keine Daten dieser Kinder.
Wir setzen technische und organisatorische Massnahmen ein, um deine Daten zu schützen: • Verschlüsselte Datenübertragung (TLS / HTTPS) • Verschlüsselte Speicherung von Passwörtern (bcrypt) • Zugriffskontrolle und Rollenbeschränkungen auf Datenbank-Ebene (Supabase Row Level Security) • Regelmässige Sicherheitsupdates und Monitoring
Wir können diese Datenschutzerklärung anpassen, wenn sich unsere Dienste oder rechtliche Anforderungen ändern. Bei wesentlichen Änderungen informieren wir dich rechtzeitig in der App.
Bei Fragen zum Datenschutz erreichst du uns unter: E-Mail: hello@amilu.app Postanschrift: Zypheris GmbH, c/o BlueAUDIT GmbH, Schindellegistrasse 73, 8808 Pfäffikon, Schweiz