Datenschutzerklärung
Stand: 13.07.2026
1. Verantwortliche Stelle
Niklas Pape
Niklas Pape Gesundheits und Fitnesstraining
Mengstraße 40
23552 Lübeck
Telefon: +49 176 404 715 28
E-Mail: [email protected]
2. Hosting & technische Infrastruktur
Cloudflare Pages
Wir hosten unsere Website bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Beim Aufruf unserer Website wird Ihre Anfrage über das nächstgelegene Cloudflare-Rechenzentrum geleitet. Dabei werden automatisch Server-Log-Dateien erhoben:
- Browsertyp und -version
- Betriebssystem
- Referrer URL
- IP-Adresse (anonymisiert)
- Uhrzeit der Anfrage
Speicherdauer: max. 72 Stunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Bereitstellung). Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
Weitere Informationen: Cloudflare Datenschutzerklärung
SSL/TLS-Verschlüsselung
Diese Website nutzt eine SSL/TLS-Verschlüsselung. Verschlüsselte Verbindungen erkennen Sie am Schloss-Symbol und „https://“ in der Adresszeile.
3. Analyse
Cloudflare Web Analytics
Wir nutzen Cloudflare Web Analytics – einen cookiefreien Analysedienst, der keine personenbezogenen Daten erhebt und keine Cookies setzt. Es werden ausschließlich aggregierte, anonyme Metriken erfasst. Ein Cookie-Consent ist dafür nicht erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung).
Es werden auf dieser Website kein Google Analytics, kein Google Tag Manager, kein Meta Pixel und keine sonstigen Tracking-Cookies eingesetzt.
4. Kontaktaufnahme & Warteliste
4.1 Allgemeine Kontaktaufnahme
Wenn Sie uns per E-Mail kontaktieren, erheben wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beantwortung).
4.2 Wartelisten-Anmeldung (Double-Opt-In)
Bei Anmeldung auf unsere Warteliste unter newprime.studio/registrieren erheben wir folgende Daten:
- E-Mail-Adresse (Pflicht)
- Name (optional)
- Studio-Typ (optional, z. B. Solo-PT, Studio)
- IP-Adresse zum Zeitpunkt der Einwilligung (Schriftform-Nachweis nach Art. 7 DSGVO)
- Zeitstempel der Einwilligung + verwendeter Einwilligungs-Text + Version
Double-Opt-In: Nach Eintragung erhalten Sie eine Bestätigungs-E-Mail mit einem Verifikations-Link. Erst nach Klick auf diesen Link werden Sie auf der Warteliste geführt. Nicht verifizierte Anmeldungen werden nach 7 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) sowie § 7 Abs. 2 Nr. 2 UWG (Werbung an Endkunden mit deren Einwilligung). Die Einwilligung erfolgt mittels aktiver Checkbox im Formular und Klick auf den Bestätigungslink in der DOI-E-Mail.
Speicherort: Die Wartelisten-Daten werden in der Cloudflare KV-Datenbank (Cloudflare Workers KV) gespeichert. Cloudflare KV ist ein Edge-Storage-Dienst der Cloudflare, Inc. (USA). Cloudflare ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO Angemessenheitsbeschluss). Zusätzlich greifen Standardvertragsklauseln (SCCs) der EU-Kommission nach Art. 46 Abs. 2 DSGVO, falls der DPF-Status entfällt.
Speicherdauer: Verifizierte Wartelisten-Einträge werden bis zum Ende der Early-Access-Phase nach dem SaaS-Release (geplant im Laufe von 2027) bzw. bis zum Widerruf Ihrer Einwilligung gespeichert. Sie können sich jederzeit über den Abmelde-Link in jeder E-Mail oder per Anfrage an [email protected] abmelden — Ihr Eintrag wird dann unverzüglich gelöscht.
4.3 DSGVO-Checkliste (Lead-Magnet)
Auf der Seite newprime.studio/dsgvo-checkliste bieten wir eine kostenlose PDF-Checkliste zum Download an. Sie können wählen, ob Sie nur das PDF erhalten möchten (kein Newsletter, keine Speicherung Ihrer Daten) oder zusätzlich auf die Warteliste aufgenommen werden möchten (Double-Opt-In wie unter Punkt 4.2 beschrieben).
Wenn Sie nur das PDF herunterladen (Warteliste-Checkbox nicht aktiviert), wird Ihre E-Mail-Adresse nicht in unserer Datenbank gespeichert. Lediglich die Cloudflare-Server-Logs erfassen den API-Aufruf für maximal 72 Stunden zu Sicherheits- und Diagnose-Zwecken (vgl. Punkt 2). Wenn Sie zusätzlich die Warteliste-Checkbox aktivieren, gelten die Bedingungen aus 4.2 (Double-Opt-In).
4.4 E-Mail-Versand (Resend)
Bestätigungs-, Welcome- und Abmelde-E-Mails werden über den Dienstleister Resend (Resend Inc., 2261 Market Street #4253, San Francisco, CA 94114, USA) versendet. Resend ist nach EU-U.S. Data Privacy Framework zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
5. Externe Dienste
Schriftarten (Self-Hosted)
Diese Website verwendet die Schriftarten Bebas Neue und Montserrat. Die Schriftarten werden lokal auf unserem Server gehostet (Self-Hosting). Es findet keine Verbindung zu Google-Servern statt und es werden keine Daten an Google oder andere Dritte übermittelt.
6. Unterauftragsverarbeiter (Subprocessors)
Im Rahmen der Bereitstellung unserer Software „New Prime“ (erreichbar unter app.newprime.studio) setzen wir die nachfolgend genannten Dienstleister als Unterauftragsverarbeiter ein. Mit allen Dienstleistern wurden – soweit erforderlich – Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen.
| Dienst | Anbieter | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|---|
| Datenbank, Auth, Storage | Supabase Inc. | USA (Server: EU-Frankfurt) | App-Backend, Authentifizierung, File-Storage | Art. 28 DSGVO + SCCs |
| Zahlungsabwicklung | Stripe Payments Europe Ltd. | Irland (EU) | SEPA-Lastschrift, Kreditkarte (alternativ wählbar) | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungsabwicklung | Mollie B.V. | Niederlande (EU) | SEPA-Lastschrift, Kreditkarte (alternativ wählbar) | Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Versand | Resend Inc. | USA | Transaktions- und Marketing-Mails | Art. 28 DSGVO + SCCs |
| KI-Services | Anthropic PBC | USA | Claude-API für KI-Assistent | Art. 28 DSGVO + SCCs |
| CDN, Web-Hosting | Cloudflare, Inc. | USA (mit EU-Präsenz) | Website-Auslieferung, DDoS-Schutz | Art. 6 Abs. 1 lit. f DSGVO |
| Kalender-Sync (optional) | Google LLC | USA | Calendar-Sync auf Kundenwunsch | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Fehler-Tracking | Functional Software, Inc. (Sentry) | USA | Anonymisiertes Fehler- und Performance-Tracking mit aktivem PII-Scrubber (Email, IBAN, BIC, Kreditkarte, Telefon, Geburtsdatum, Steuer-ID werden vor Übermittlung entfernt) | Art. 6 Abs. 1 lit. f DSGVO + SCCs |
| Push-Notifications (iOS) | Apple Inc. | USA / EU | APNs für Native-iOS-App Push-Versand (nur Device-Token + Notification-Payload, keine personenbezogenen Inhalte über das technische Minimum hinaus) | Art. 6 Abs. 1 lit. f DSGVO |
| Push-Notifications (Android) | Google LLC (Firebase Cloud Messaging) | USA / EU | FCM für Native-Android-App Push-Versand (analog Apple APNs) | Art. 6 Abs. 1 lit. f DSGVO + SCCs |
Alle Dienstleister mit Sitz außerhalb der EU sind durch Standardvertragsklauseln (SCCs) der EU-Kommission gebunden. Cloudflare ist darüber hinaus unter dem EU-U.S. Data Privacy Framework zertifiziert.
Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO stellen wir unseren Kunden zur Verfügung. Nähere Informationen hierzu finden Sie auf unserer Seite AVV (Auftragsverarbeitungsvertrag).
7. KI-gestützte Funktionen und Gesundheitsdaten
New Prime nutzt die Claude-API der Anthropic PBC (USA) für mehrere KI-gestützte Funktionen: den in-App Co-Trainer-Assistenten („Teddy"), kontextbezogene Coaching-Tipps, die Analyse von Mahlzeitenfotos sowie die Beantwortung fachlicher Fragen zu Training und Ernährung.
Welche Daten an Anthropic übermittelt werden: ausschließlich der Chat-Inhalt, den der/die Nutzer:in aktiv eingibt, sowie gegebenenfalls ein begrenzter Kontext aus dem Kundenprofil (z.B. Trainingsziel, Fitness-Level, aktueller Trainingsplan), soweit für die Beantwortung der konkreten Frage erforderlich. Es werden keine IBAN-, Zahlungs- oder Kontaktdaten an Anthropic gesendet.
Gesundheitsbezogene Daten: Da die App im Coaching-Kontext betrieben wird, können Nutzer:innen im KI-Chat freiwillig gesundheitsbezogene Informationen (z.B. Verletzungen, Schmerzen, Medikamente, PAR-Q-Angaben, Stimmung, Schlaf) teilen. Diese sind besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO.
Rechtsgrundlage für die Verarbeitung solcher Angaben ist Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsvorsorge und des Trainings/Coachings) in Verbindung mit einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Nutzer:innen vor der ersten KI-Chat-Nutzung in der App aktiv erteilen. Die Einwilligung kann jederzeit in den Einstellungen zur Datenverarbeitung mit Wirkung für die Zukunft widerrufen werden.
Speicherung und technische Schutzmaßnahmen: Anthropic verarbeitet die übermittelten Daten ausschließlich zur Beantwortung der jeweiligen Anfrage und nicht zum Training seiner Modelle. Wir haben mit Anthropic einen Auftragsverarbeitungsvertrag (AVV / Data Processing Addendum) nach Art. 28 DSGVO abgeschlossen, der die Übermittlung in die USA durch Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO absichert. Anthropic speichert API-Anfragen standardmäßig für maximal 30 Tage zur Missbrauchsprävention (Abuse-Monitoring); danach erfolgt eine automatische Löschung. Der Ausschluss des Modell-Trainings ist vertraglich in den Commercial Terms von Anthropic zugesichert.
Automatisierte Entscheidungen: Die KI-Antworten sind rein informatorisch; eine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt. Medizinische Entscheidungen trifft der Nutzer eigenverantwortlich oder in Abstimmung mit einem/einer Arzt/Ärztin.
Widerspruch / Opt-Out: Wer die KI-Funktionen nicht nutzen möchte, kann sie in den Profil-Einstellungen vollständig deaktivieren. Ohne Einwilligung werden keine Chatinhalte an Anthropic übermittelt.
7.1 Voice-Log (Ernährungs-Eingabe per Sprache)
Im Ernährungs-Modul können Nutzer:innen Mahlzeiten per Sprache loggen. Die Spracherkennung läuft browser-nativ auf dem Endgerät über die Web Speech API — es wird kein Audio an Cloud-Anbieter gestreamt. Nur das fertige Transkript wird an die KI (Anthropic) übergeben, um Lebensmittel und Makros zu extrahieren. Nutzer:innen sehen das Transkript vor Absenden und können es korrigieren oder verwerfen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) bei gesundheitsbezogenen Angaben.
7.2 Meal-Scan (Foto-Erkennung von Mahlzeiten)
Beim Foto-Scanner wird das Foto der Mahlzeit zur Bild- und Nährwert-Erkennung an die Vision-API von Anthropic (USA) übermittelt. Die übertragenen Bilder werden nicht zum Training der Modelle verwendet und maximal 30 Tage gespeichert (siehe Punkt 7). Das erkannte Ergebnis (Items + Makros + Mikronährstoffe) wird im Kunden-Tagebuch gespeichert; das Original-Foto kann optional ebenfalls gespeichert werden (User-Wahl). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Nutzer:innen können den Food-Scanner in den Einstellungen deaktivieren.
7.3 Body-Photos (Vorher-Nachher-Galerie)
Kunden können freiwillig Fortschrittsfotos hochladen, die im verschlüsselten Supabase-Storage (EU-Frankfurt) abgelegt werden. Standardmäßig sind diese Fotos ausschließlich für den/die Eigentümer:in sowie den/die zuständigen Trainer:in sichtbar (Row-Level-Security). Zugriff durch andere Studio-Mitarbeiter:innen ist nur möglich, wenn explizite Sub-Berechtigungen gesetzt sind. Fotos können jederzeit einzeln gelöscht werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Upload).
7.4 Korrelations-Insights (App-internes Profiling, keine automatisierte Entscheidung)
Die App berechnet aus den Daten des/der Nutzer:in automatisch Muster zwischen Schlaf, Training, Ernährung und Recovery — z. B. „weniger Schlaf führt im Mittel zu 12 % weniger Trainings-Volumen am Folgetag“. Diese Analyse erfolgt vollständig in unserer eigenen Infrastruktur (Supabase-DB + Edge Functions im EU-Frankfurt-Rechenzentrum). Es findet keine Übertragung an externe ML-Anbieter und keine Profilbildung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt. Nutzer:innen können die Insight-Anzeige in den Einstellungen deaktivieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und ergänzend Art. 9 Abs. 2 lit. a DSGVO, soweit besondere Kategorien einbezogen werden.
8. Gesundheits- und Wellness-Daten in der App (Art. 9 DSGVO)
Über die Coaching-Funktionen hinaus können in der App weitere gesundheitsbezogene Daten erhoben werden — alle ausschließlich auf freiwilliger Basis und mit explizitem Hinweis. Diese gelten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO und werden ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet.
- Anamnese / PAR-Q-Self-Service: Pre-Activity-Readiness-Fragen vor dem Training. Erhebung mit IP-Audit + Zeitstempel zur Nachweisführung der Einwilligung.
- Recovery- und HRV-Daten: Herzraten-Variabilität, Belastungs-Score, Strain-Coach. Verknüpfbar mit Wearable-Quellen (Apple Health auf iOS, Health Connect auf Android) auf ausdrückliche Einwilligung des/der Nutzer:in.
- Apple-Health-Daten (nur iOS-App): Schritte, Herzfrequenz, Ruhepuls, HRV, VO₂max, Atemfrequenz, Blutsauerstoff, Schlaf und abgeschlossene Trainings — nur mit expliziter Einwilligung über den iOS-Berechtigungsdialog; Zugriff jederzeit widerrufbar in den iOS-Einstellungen → Datenschutz → Health.
- Health-Connect-Daten (nur Android-App): Schritte, Schlaf, Gewicht, Herzfrequenzvariabilität (HRV), Trainingseinheiten, aktive Kalorien, Ernährung und Flüssigkeit — ausschließlich lesend, die App schreibt keine Daten nach Health Connect. Zugriff nur mit expliziter Einwilligung über den Health-Connect-Berechtigungsdialog, jederzeit widerrufbar unter Health Connect → App-Berechtigungen. Die Daten dienen ausschließlich der Berechnung der In-App-Werte (Recovery-Score, Schlafindex, Aktivität, Ernährungs-Übersicht); sie werden nicht für Werbung genutzt, nicht verkauft und nicht an Dritte weitergegeben. Löschung zusammen mit dem Nutzerkonto.
- Schlaf-Daten: Schlafphasen (Tief / REM / Wach), Quality-Score, Wochen-Trend.
- Cycle-Tracking (Menstruationszyklus): Optional zuschaltbar, Phase-basierte Trainings-Empfehlungen, Symptom-Logging. Strikt opt-in, jederzeit deaktivierbar.
- Wellness-Journal & Stimmungs-Tracking: Tägliche Selbstauskünfte zu Stimmung, Energie, Stress.
- Fitness-Test-Werte: ILB-Test (Kraft), McGill-Test (Rumpfausdauer), Y-Balance (Stabilität), Cooper-Test (Ausdauer) sowie weitere Messwerte (Gewicht, Umfänge, Körperfett etc.).
- Fortschrittsfotos: Siehe Punkt 7.3.
Speicherung: Alle gesundheitsbezogenen Daten werden ausschließlich in der EU (Supabase-Rechenzentrum Frankfurt) gespeichert. Zugriff ist durch Row-Level-Security auf den/die Eigentümer:in sowie autorisierte Studio-Mitarbeiter:innen beschränkt.
Widerruf: Jede einzelne Einwilligung kann in den Profil-Einstellungen mit Wirkung für die Zukunft widerrufen werden. Auf Wunsch werden die zugrundeliegenden Daten zusätzlich gelöscht (Art. 17 DSGVO).
9. Authentifizierung & Anmelde-Sicherheit
Zum Schutz von Konten und sensiblen Daten setzen wir mehrere Sicherheits-Mechanismen ein:
- Adaptive 2-Faktor-Authentifizierung (2FA / MFA): Optional aktivierbar, mit TOTP-Authenticator-App. Geräte werden nach erstem 2FA-Code rollenbasiert 14–90 Tage als „vertraut“ markiert.
- Passkeys (WebAuthn / FIDO2): Phishing-resistente Anmeldung über Face ID, Touch ID, Windows Hello oder Hardware-Token. Wir speichern nur den öffentlichen Schlüssel, niemals biometrische Daten.
- Recovery-Codes: 10 einmalig nutzbare Backup-Codes für den 2FA-Verlust-Fall.
- Login-History: Die letzten 30 Tage werden mit IP, User-Agent (anonymisiert), Geräte-Hinweis und Zeitstempel protokolliert und sind unter „Einstellungen → Sicherheit“ einsehbar. Zweck: Erkennung verdächtiger Anmeldungen, Möglichkeit andere Sessions abzumelden.
- Server-Rate-Limits: 5 Fehl-Logins / 15 Minuten / Email = 15-Minuten-Sperre, 10 Fehl-Logins / 30 Minuten / IP = 60-Minuten-Sperre. Rechtsgrundlage Art. 32 DSGVO.
10. Google-Kalender-Integration (optional)
Trainer:innen und Studio-Inhaber:innen können in den Profil-Einstellungen ihren persönlichen Google-Kalender mit New Prime verbinden. Die Verbindung ist strikt freiwillig und kann jederzeit in den Einstellungen wieder getrennt werden.
Welche Daten werden verarbeitet:
- OAuth-Refresh-Token (verschlüsselt in unserer Datenbank gespeichert)
- Termininformationen aus dem verbundenen Kalender (Titel, Zeitraum, Status)
- Termin-IDs für die Synchronisation
Wofür wir den Zugriff nutzen:
- Push-Sync: In New Prime gebuchte Trainings-Termine werden automatisch in den verbundenen Google-Kalender geschrieben (Titel: anonymisiert, z.B. „Personal Training — Vorname"; keine sensiblen Kunden-Details).
- Pull-Busy: Bestehende Termine im Google-Kalender werden als „belegt“ in den New-Prime-Kalender übernommen, damit keine Doppelbuchungen entstehen. Andere Mitarbeiter:innen Ihrer Organisation sehen weder Titel noch Details solcher Termine — lediglich, dass die Zeit blockiert ist (technisch durchgesetzt durch dreistufige Privacy-Architektur: Spalten-Berechtigungen, Owner-Filter in Datenbank-Sicht, Row-Level-Security).
Eingeforderter OAuth-Scope: https://www.googleapis.com/auth/calendar.events (Lesen und Schreiben von Kalender-Ereignissen). Wir fragen keine weiteren Google-Scopes ab — kein Zugriff auf Gmail, Drive, Kontakte oder andere Google-Dienste.
Datenweitergabe an Dritte: Die übermittelten Kalenderdaten werden ausschließlich für die oben genannten Synchronisierungs-Zwecke verarbeitet. Kein Verkauf, kein Sharing mit Dritten, keine Werbe-Profilbildung, kein KI-Modell-Training.
Speicherdauer: Solange die Verbindung aktiv ist. Beim Trennen der Verbindung wird der Refresh-Token gelöscht. Synchronisierte „belegt“-Blocks werden bei Trennung innerhalb von 24 Stunden aus unserer Datenbank entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Verbinden des Kalenders im Profil), gesichert durch Standardvertragsklauseln und EU-U.S. Data Privacy Framework.
Die Nutzung Ihrer Google-Daten durch New Prime entspricht der Google API Services User Data Policy einschließlich der „Limited Use"-Anforderungen.
11. Datenübertragung in Drittländer
Teile der oben genannten Dienstleister haben ihren Sitz außerhalb der Europäischen Union (insbesondere in den USA). Die Übertragung personenbezogener Daten erfolgt – soweit einschlägig – auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO) und/oder auf Grundlage der von der EU-Kommission erlassenen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 DSGVO. Eine Übermittlung darüber hinaus findet nicht statt.
12. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie speichern
- Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) – Löschung Ihrer Daten, sofern keine Aufbewahrungspflicht besteht
- Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO) – Herausgabe in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
- Widerruf (Art. 7 Abs. 3 DSGVO) – Erteilte Einwilligungen jederzeit widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird
Zur Ausübung Ihrer Rechte genügt eine E-Mail an [email protected]. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Widerspruch gegen Werbung
Der Nutzung Ihrer Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen. Wir behalten uns bei unverlangter Zusendung von Werbeinformationen rechtliche Schritte vor.
Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
www.datenschutzzentrum.de
13. Automatisierte Entscheidungsfindung & Profiling
Eine automatisierte Einzelfallentscheidung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung oder erheblicher Beeinträchtigung der betroffenen Person findet nicht statt.
Die App nutzt allerdings app-internes Profiling im weiteren Sinne — konkret die unter Punkt 7.4 beschriebenen Korrelations-Insights (Auswertung eigener Daten zu Schlaf, Training, Ernährung, Recovery), die unter Punkt 7 beschriebenen KI-Coaching-Empfehlungen sowie unter Punkt 7.1–7.3 beschriebene KI-Erkennung. Diese Funktionen liefern ausschließlich informatorische Vorschläge. Jede Entscheidung mit rechtlicher Wirkung (Vertrag, Diagnose, medizinische Behandlung) trifft der/die Nutzer:in eigenverantwortlich oder in Abstimmung mit einem/einer Arzt/Ärztin.
Nutzer:innen können die Profiling-Funktionen in den Einstellungen einzeln deaktivieren (KI-Assistent, Korrelations-Insights, Food-Scanner usw.).
14. Aktualität
Diese Datenschutzerklärung hat den Stand 13.07.2026 und wird bei Bedarf angepasst (insbesondere bei Änderungen der eingesetzten Dienstleister, neuer Funktionen oder Rechtsgrundlagen). Die aktuelle Fassung ist jederzeit auf dieser Seite abrufbar. Wesentliche Änderungen werden Wartelisten-Mitgliedern zusätzlich per E-Mail mitgeteilt.
Wesentliche Änderungen gegenüber der Vorfassung vom 13.05.2026:
- Neuer Abschnitt zu Health Connect (Android) und Apple Health (iOS): freiwillige Gesundheitsdaten-Anbindung in der App, Verarbeitung nur nach ausdrücklicher Einwilligung
- Subprocessor-Tabelle erweitert um Sentry, Apple APNs und Google FCM (Push-Notifications iOS / Android)
- Neuer Abschnitt 7.1 Voice-Log (browser-native Spracherkennung, kein Audio-Streaming)
- Neuer Abschnitt 7.2 Meal-Scan via KI-Bilderkennung (Anthropic Vision, kein Modell-Training)
- Abschnitt 7 präzisiert (13.07.2026): Speicherdauer bei Anthropic konkretisiert — max. 30 Tage mit automatischer Löschung, kein Modell-Training (vertraglich in den Commercial Terms zugesichert); frühere Zero-Data-Retention-Formulierung ersetzt
- Neuer Abschnitt 7.3 Body-Photos (Fortschritts-Galerie, EU-Storage, RLS-geschützt)
- Neuer Abschnitt 7.4 Korrelations-Insights (app-internes Profiling, keine externe ML-Verarbeitung, keine Art. 22-Entscheidung)
- Neuer Abschnitt 8 Gesundheits- und Wellness-Daten nach Art. 9 DSGVO (Anamnese, HRV, Schlaf, Cycle-Tracking, Wellness-Journal, Fitness-Tests, Fortschrittsfotos)
- Neuer Abschnitt 9 Authentifizierungs-Sicherheit (2FA, Passkeys, Recovery-Codes, Login-History, Rate-Limits)
- Abschnitt 13 Profiling-Hinweis präzisiert (Art. 22-Klarstellung)
- WhatsApp-Integration entfernt (13.07.2026): Die Funktion wurde zum 28.06.2026 aus der Software entfernt — Meta Platforms Ireland Ltd. und ManyContacts S.L. sind keine Unterauftragsverarbeiter mehr; Abschnitt und Tabellenzeilen gestrichen