Stand: 13.05.2026
Niklas Pape
Niklas Pape Gesundheits und Fitnesstraining
Mengstraße 40
23552 Lübeck
Telefon: +49 176 404 715 28
E-Mail: [email protected]
Wir hosten unsere Website bei Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Beim Aufruf unserer Website wird Ihre Anfrage über das nächstgelegene Cloudflare-Rechenzentrum geleitet. Dabei werden automatisch Server-Log-Dateien erhoben:
Speicherdauer: max. 72 Stunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Bereitstellung). Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
Weitere Informationen: Cloudflare Datenschutzerklärung
Diese Website nutzt eine SSL/TLS-Verschlüsselung. Verschlüsselte Verbindungen erkennen Sie am Schloss-Symbol und „https://“ in der Adresszeile.
Wir nutzen Cloudflare Web Analytics – einen cookiefreien Analysedienst, der keine personenbezogenen Daten erhebt und keine Cookies setzt. Es werden ausschließlich aggregierte, anonyme Metriken erfasst. Ein Cookie-Consent ist dafür nicht erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse der Websitenutzung).
Es werden auf dieser Website kein Google Analytics, kein Google Tag Manager, kein Meta Pixel und keine sonstigen Tracking-Cookies eingesetzt.
Wenn Sie uns per E-Mail kontaktieren, erheben wir Ihren Namen, Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beantwortung).
Bei Anmeldung auf unsere Warteliste unter newprime.studio/registrieren erheben wir folgende Daten:
Double-Opt-In: Nach Eintragung erhalten Sie eine Bestätigungs-E-Mail mit einem Verifikations-Link. Erst nach Klick auf diesen Link werden Sie auf der Warteliste geführt. Nicht verifizierte Anmeldungen werden nach 7 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung) sowie § 7 Abs. 2 Nr. 2 UWG (Werbung an Endkunden mit deren Einwilligung). Die Einwilligung erfolgt mittels aktiver Checkbox im Formular und Klick auf den Bestätigungslink in der DOI-E-Mail.
Speicherort: Die Wartelisten-Daten werden in der Cloudflare KV-Datenbank (Cloudflare Workers KV) gespeichert. Cloudflare KV ist ein Edge-Storage-Dienst der Cloudflare, Inc. (USA). Cloudflare ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO Angemessenheitsbeschluss). Zusätzlich greifen Standardvertragsklauseln (SCCs) der EU-Kommission nach Art. 46 Abs. 2 DSGVO, falls der DPF-Status entfällt.
Speicherdauer: Verifizierte Wartelisten-Einträge werden bis zum Ende der SaaS Early-Access-Phase (geplant 31.12.2026) bzw. bis zum Widerruf Ihrer Einwilligung gespeichert. Sie können sich jederzeit über den Abmelde-Link in jeder E-Mail oder per Anfrage an [email protected] abmelden — Ihr Eintrag wird dann unverzüglich gelöscht.
Auf der Seite newprime.studio/dsgvo-checkliste bieten wir eine kostenlose PDF-Checkliste zum Download an. Sie können wählen, ob Sie nur das PDF erhalten möchten (kein Newsletter, keine Speicherung Ihrer Daten) oder zusätzlich auf die Warteliste aufgenommen werden möchten (Double-Opt-In wie unter Punkt 4.2 beschrieben).
Wenn Sie nur das PDF herunterladen (Warteliste-Checkbox nicht aktiviert), wird Ihre E-Mail-Adresse nicht in unserer Datenbank gespeichert. Lediglich die Cloudflare-Server-Logs erfassen den API-Aufruf für maximal 72 Stunden zu Sicherheits- und Diagnose-Zwecken (vgl. Punkt 2). Wenn Sie zusätzlich die Warteliste-Checkbox aktivieren, gelten die Bedingungen aus 4.2 (Double-Opt-In).
Bestätigungs-, Welcome- und Abmelde-E-Mails werden über den Dienstleister Resend (Resend Inc., 2261 Market Street #4253, San Francisco, CA 94114, USA) versendet. Resend ist nach EU-U.S. Data Privacy Framework zertifiziert. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
Diese Website verwendet die Schriftarten Bebas Neue und Montserrat. Die Schriftarten werden lokal auf unserem Server gehostet (Self-Hosting). Es findet keine Verbindung zu Google-Servern statt und es werden keine Daten an Google oder andere Dritte übermittelt.
Im Rahmen der Bereitstellung unserer Software „New Prime“ (erreichbar unter app.newprime.studio) setzen wir die nachfolgend genannten Dienstleister als Unterauftragsverarbeiter ein. Mit allen Dienstleistern wurden – soweit erforderlich – Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen.
| Dienst | Anbieter | Sitz | Zweck | Rechtsgrundlage |
|---|---|---|---|---|
| Datenbank, Auth, Storage | Supabase Inc. | USA (Server: EU-Frankfurt) | App-Backend, Authentifizierung, File-Storage | Art. 28 DSGVO + SCCs |
| Zahlungsabwicklung | Stripe Payments Europe Ltd. | Irland (EU) | SEPA-Lastschrift, Kreditkarte (alternativ wählbar) | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungsabwicklung | Mollie B.V. | Niederlande (EU) | SEPA-Lastschrift, Kreditkarte (alternativ wählbar) | Art. 6 Abs. 1 lit. b DSGVO |
| E-Mail-Versand | Resend Inc. | USA | Transaktions- und Marketing-Mails | Art. 28 DSGVO + SCCs |
| KI-Services | Anthropic PBC | USA | Claude-API für KI-Assistent | Art. 28 DSGVO + SCCs |
| CDN, Web-Hosting | Cloudflare, Inc. | USA (mit EU-Präsenz) | Website-Auslieferung, DDoS-Schutz | Art. 6 Abs. 1 lit. f DSGVO |
| Kalender-Sync (optional) | Google LLC | USA | Calendar-Sync auf Kundenwunsch | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Fehler-Tracking | Functional Software, Inc. (Sentry) | USA | Anonymisiertes Fehler- und Performance-Tracking mit aktivem PII-Scrubber (Email, IBAN, BIC, Kreditkarte, Telefon, Geburtsdatum, Steuer-ID werden vor Übermittlung entfernt) | Art. 6 Abs. 1 lit. f DSGVO + SCCs |
| WhatsApp (optional, pro Studio) | Meta Platforms Ireland Ltd. | Irland (EU) / USA | Trainer-Kunden-Chat via WhatsApp Cloud API — nur aktiv wenn Studio WhatsApp im Settings konfiguriert | Art. 6 Abs. 1 lit. a / lit. f DSGVO (je nach Use-Case) |
| WhatsApp-Bridge (optional, pro Studio) | ManyContacts S.L. | Spanien (EU) | WhatsApp-Inbox-Bridge als Alternative zur Meta-Direktintegration — nur aktiv wenn Studio diese Option wählt | Art. 28 DSGVO |
| Push-Notifications (iOS) | Apple Inc. | USA / EU | APNs für Native-iOS-App Push-Versand (nur Device-Token + Notification-Payload, keine personenbezogenen Inhalte über das technische Minimum hinaus) | Art. 6 Abs. 1 lit. f DSGVO |
| Push-Notifications (Android) | Google LLC (Firebase Cloud Messaging) | USA / EU | FCM für Native-Android-App Push-Versand (analog Apple APNs) | Art. 6 Abs. 1 lit. f DSGVO + SCCs |
Alle Dienstleister mit Sitz außerhalb der EU sind durch Standardvertragsklauseln (SCCs) der EU-Kommission gebunden. Cloudflare ist darüber hinaus unter dem EU-U.S. Data Privacy Framework zertifiziert.
Einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO stellen wir unseren Kunden zur Verfügung. Nähere Informationen hierzu finden Sie auf unserer Seite AVV (Auftragsverarbeitungsvertrag).
New Prime nutzt die Claude-API der Anthropic PBC (USA) für mehrere KI-gestützte Funktionen: den in-App Co-Trainer-Assistenten („Teddy"), kontextbezogene Coaching-Tipps, die Analyse von Mahlzeitenfotos sowie die Beantwortung fachlicher Fragen zu Training und Ernährung.
Welche Daten an Anthropic übermittelt werden: ausschließlich der Chat-Inhalt, den der/die Nutzer:in aktiv eingibt, sowie gegebenenfalls ein begrenzter Kontext aus dem Kundenprofil (z.B. Trainingsziel, Fitness-Level, aktueller Trainingsplan), soweit für die Beantwortung der konkreten Frage erforderlich. Es werden keine IBAN-, Zahlungs- oder Kontaktdaten an Anthropic gesendet.
Gesundheitsbezogene Daten: Da die App im Coaching-Kontext betrieben wird, können Nutzer:innen im KI-Chat freiwillig gesundheitsbezogene Informationen (z.B. Verletzungen, Schmerzen, Medikamente, PAR-Q-Angaben, Stimmung, Schlaf) teilen. Diese sind besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO.
Rechtsgrundlage für die Verarbeitung solcher Angaben ist Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsvorsorge und des Trainings/Coachings) in Verbindung mit einer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Nutzer:innen vor der ersten KI-Chat-Nutzung in der App aktiv erteilen. Die Einwilligung kann jederzeit in den Einstellungen zur Datenverarbeitung mit Wirkung für die Zukunft widerrufen werden.
Speicherung und technische Schutzmaßnahmen: Anthropic verarbeitet die übermittelten Daten ausschließlich zur Beantwortung der jeweiligen Anfrage und nicht zum Training seiner Modelle. Wir haben mit Anthropic einen Auftragsverarbeitungsvertrag (AVV / Data Processing Addendum) nach Art. 28 DSGVO abgeschlossen, der die Übermittlung in die USA durch Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO absichert. Für die Verarbeitung besonderer Kategorien personenbezogener Daten haben wir bei Anthropic zusätzlich eine „Zero Data Retention“-Vereinbarung beantragt, mit der API-Eingaben und -Ausgaben nach Abschluss des jeweiligen Requests unverzüglich gelöscht werden.
Automatisierte Entscheidungen: Die KI-Antworten sind rein informatorisch; eine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt. Medizinische Entscheidungen trifft der Nutzer eigenverantwortlich oder in Abstimmung mit einem/einer Arzt/Ärztin.
Widerspruch / Opt-Out: Wer die KI-Funktionen nicht nutzen möchte, kann sie in den Profil-Einstellungen vollständig deaktivieren. Ohne Einwilligung werden keine Chatinhalte an Anthropic übermittelt.
Im Ernährungs-Modul können Nutzer:innen Mahlzeiten per Sprache loggen. Die Spracherkennung läuft browser-nativ auf dem Endgerät über die Web Speech API — es wird kein Audio an Cloud-Anbieter gestreamt. Nur das fertige Transkript wird an die KI (Anthropic) übergeben, um Lebensmittel und Makros zu extrahieren. Nutzer:innen sehen das Transkript vor Absenden und können es korrigieren oder verwerfen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 9 Abs. 2 lit. a DSGVO (Einwilligung) bei gesundheitsbezogenen Angaben.
Beim Foto-Scanner wird das Foto der Mahlzeit zur Bild- und Nährwert-Erkennung an die Vision-API von Anthropic (USA) übermittelt. Die übertragenen Bilder werden nicht zum Training der Modelle verwendet (Zero Data Retention, siehe Punkt 7). Das erkannte Ergebnis (Items + Makros + Mikronährstoffe) wird im Kunden-Tagebuch gespeichert; das Original-Foto kann optional ebenfalls gespeichert werden (User-Wahl). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Nutzer:innen können den Food-Scanner in den Einstellungen deaktivieren.
Kunden können freiwillig Fortschrittsfotos hochladen, die im verschlüsselten Supabase-Storage (EU-Frankfurt) abgelegt werden. Standardmäßig sind diese Fotos ausschließlich für den/die Eigentümer:in sowie den/die zuständigen Trainer:in sichtbar (Row-Level-Security). Zugriff durch andere Studio-Mitarbeiter:innen ist nur möglich, wenn explizite Sub-Berechtigungen gesetzt sind. Fotos können jederzeit einzeln gelöscht werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Upload).
Die App berechnet aus den Daten des/der Nutzer:in automatisch Muster zwischen Schlaf, Training, Ernährung und Recovery — z. B. „weniger Schlaf führt im Mittel zu 12 % weniger Trainings-Volumen am Folgetag“. Diese Analyse erfolgt vollständig in unserer eigenen Infrastruktur (Supabase-DB + Edge Functions im EU-Frankfurt-Rechenzentrum). Es findet keine Übertragung an externe ML-Anbieter und keine Profilbildung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt. Nutzer:innen können die Insight-Anzeige in den Einstellungen deaktivieren. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und ergänzend Art. 9 Abs. 2 lit. a DSGVO, soweit besondere Kategorien einbezogen werden.
Über die Coaching-Funktionen hinaus können in der App weitere gesundheitsbezogene Daten erhoben werden — alle ausschließlich auf freiwilliger Basis und mit explizitem Hinweis. Diese gelten als besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO und werden ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet.
Speicherung: Alle gesundheitsbezogenen Daten werden ausschließlich in der EU (Supabase-Rechenzentrum Frankfurt) gespeichert. Zugriff ist durch Row-Level-Security auf den/die Eigentümer:in sowie autorisierte Studio-Mitarbeiter:innen beschränkt.
Widerruf: Jede einzelne Einwilligung kann in den Profil-Einstellungen mit Wirkung für die Zukunft widerrufen werden. Auf Wunsch werden die zugrundeliegenden Daten zusätzlich gelöscht (Art. 17 DSGVO).
Studios können in den Einstellungen optional eine WhatsApp-Integration aktivieren, um mit ihren Kunden über WhatsApp zu kommunizieren. Die Integration ist standardmäßig deaktiviert und muss vom jeweiligen Studio aktiv eingerichtet werden.
Drei Provider-Optionen stehen zur Wahl (jedes Studio entscheidet pro Org):
Übertragen werden ausschließlich Telefonnummer, Nachrichten-Inhalt und Zeitstempel. Vor Aktivierung muss das jeweilige Studio den Kunden über die Verarbeitung informieren und die nötigen Einwilligungen einholen. Rechtsgrundlage je nach Use-Case: Art. 6 Abs. 1 lit. b DSGVO (vertragsbezogen, z. B. Terminbestätigung) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Marketing-Nachrichten).
Studios sind als Verantwortliche im Sinne des Art. 26 DSGVO mitverantwortlich für rechtskonforme Nutzung des WhatsApp-Kanals und insbesondere für die Einhaltung der 24-Stunden-Antwort-Frist gemäß Meta-Richtlinien.
Zum Schutz von Konten und sensiblen Daten setzen wir mehrere Sicherheits-Mechanismen ein:
Trainer:innen und Studio-Inhaber:innen können in den Profil-Einstellungen ihren persönlichen Google-Kalender mit New Prime verbinden. Die Verbindung ist strikt freiwillig und kann jederzeit in den Einstellungen wieder getrennt werden.
Welche Daten werden verarbeitet:
Wofür wir den Zugriff nutzen:
Eingeforderter OAuth-Scope: https://www.googleapis.com/auth/calendar.events (Lesen und Schreiben von Kalender-Ereignissen). Wir fragen keine weiteren Google-Scopes ab — kein Zugriff auf Gmail, Drive, Kontakte oder andere Google-Dienste.
Datenweitergabe an Dritte: Die übermittelten Kalenderdaten werden ausschließlich für die oben genannten Synchronisierungs-Zwecke verarbeitet. Kein Verkauf, kein Sharing mit Dritten, keine Werbe-Profilbildung, kein KI-Modell-Training.
Speicherdauer: Solange die Verbindung aktiv ist. Beim Trennen der Verbindung wird der Refresh-Token gelöscht. Synchronisierte „belegt“-Blocks werden bei Trennung innerhalb von 24 Stunden aus unserer Datenbank entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch Verbinden des Kalenders im Profil), gesichert durch Standardvertragsklauseln und EU-U.S. Data Privacy Framework.
Die Nutzung Ihrer Google-Daten durch New Prime entspricht der Google API Services User Data Policy einschließlich der „Limited Use"-Anforderungen.
Teile der oben genannten Dienstleister haben ihren Sitz außerhalb der Europäischen Union (insbesondere in den USA). Die Übertragung personenbezogener Daten erfolgt – soweit einschlägig – auf Grundlage des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss gemäß Art. 45 DSGVO) und/oder auf Grundlage der von der EU-Kommission erlassenen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 DSGVO. Eine Übermittlung darüber hinaus findet nicht statt.
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Zur Ausübung Ihrer Rechte genügt eine E-Mail an [email protected]. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
Der Nutzung Ihrer Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung wird hiermit widersprochen. Wir behalten uns bei unverlangter Zusendung von Werbeinformationen rechtliche Schritte vor.
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
www.datenschutzzentrum.de
Eine automatisierte Einzelfallentscheidung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung oder erheblicher Beeinträchtigung der betroffenen Person findet nicht statt.
Die App nutzt allerdings app-internes Profiling im weiteren Sinne — konkret die unter Punkt 7.4 beschriebenen Korrelations-Insights (Auswertung eigener Daten zu Schlaf, Training, Ernährung, Recovery), die unter Punkt 7 beschriebenen KI-Coaching-Empfehlungen sowie unter Punkt 7.1–7.3 beschriebene KI-Erkennung. Diese Funktionen liefern ausschließlich informatorische Vorschläge. Jede Entscheidung mit rechtlicher Wirkung (Vertrag, Diagnose, medizinische Behandlung) trifft der/die Nutzer:in eigenverantwortlich oder in Abstimmung mit einem/einer Arzt/Ärztin.
Nutzer:innen können die Profiling-Funktionen in den Einstellungen einzeln deaktivieren (KI-Assistent, Korrelations-Insights, Food-Scanner usw.).
Diese Datenschutzerklärung hat den Stand 13.05.2026 und wird bei Bedarf angepasst (insbesondere bei Änderungen der eingesetzten Dienstleister, neuer Funktionen oder Rechtsgrundlagen). Die aktuelle Fassung ist jederzeit auf dieser Seite abrufbar. Wesentliche Änderungen werden Wartelisten-Mitgliedern zusätzlich per E-Mail mitgeteilt.
Wesentliche Änderungen gegenüber der Vorfassung vom 05.05.2026: