Rechtliches
Datenschutzerklärung
Version 1.0 · Stand 07. Mai 2026
1. Verantwortlicher
Jonathan Scheele
E-Mail: datenschutz@getfluxio.de
Vollständige Kontaktdaten: siehe Impressum
2. Welche Daten wir verarbeiten
| Kategorie | Beispiele | Art. 9? |
|---|---|---|
| Identitätsdaten | E-Mail-Adresse, Anzeigename | Nein |
| Profildaten | Geburtsdatum, Größe, Gewicht, Geschlecht | Nein |
| Gesundheitsdaten | Schlaf, Ernährung, Körpermaße, Trainingsdaten, Recovery | Ja |
| Zyklus-Daten | Zykluslänge, Phasendaten | Ja |
| KI-Coach-Gespräche | Fragen, Antworten, Kontextdaten | Ja (indirekt) |
| Integrationsdaten | OAuth-Tokens für Spotify, Garmin, Fitbit, Strava | Nein |
| Kommunikation | Direktnachrichten, Community-Posts | Nein |
| Technische Daten | IP-Hash, User-Agent-Hash, Fehlerlogs | Nein |
Art. 9-Daten = besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO (Gesundheitsdaten).
3. Zwecke und Rechtsgrundlagen
| Verarbeitungszweck | Rechtsgrundlage |
|---|---|
| Account-Verwaltung, Login | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Gesundheits- und Trainingsdaten | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) |
| KI-Coach-Analyse | Art. 9 Abs. 2 lit. a DSGVO (Einwilligung KI-Coach) |
| Fehlertracking (Sentry) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Stabilität) |
| Marketing-E-Mails | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, optional) |
| Sicherheit & Missbrauchsschutz | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
4. Empfänger und Subverarbeiter
| Anbieter | Sitz | Funktion | Mechanismus |
|---|---|---|---|
| Supabase Inc. | USA / EU (Irland) | Datenbank, Auth, Storage | AVV, EU-SCCs |
| Vercel Inc. | USA | Web-Hosting | AVV, EU-SCCs |
| Anthropic PBC | USA | KI-Coach | AVV, EU-SCCs, Zero-Data-Retention |
| Sentry | EU-Region | Fehlertracking | AVV, EU-SCCs |
| Resend Inc. | USA | E-Mail-Versand | AVV, EU-SCCs |
Anthropic ZDR-Addendum: Inputs werden nach 7 Tagen gelöscht, kein Training auf deinen Daten.
5. Drittland-Übermittlungen
Vercel (USA): Hosting auf US-Servern mit EU-Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO. Restrisiko ist durch Pseudonymisierung und Verschlüsselung technisch minimiert.
Anthropic (USA): KI-Coach-Anfragen laufen über Anthropic Commercial API mit DPA und ZDR-Addendum. Inputs werden nach maximal 7 Tagen gelöscht. Kein Training auf App-Daten.
6. Speicherdauer
| Daten | Aufbewahrung |
|---|---|
| Account-Daten | Bis zur Löschung des Kontos |
| Gesundheits- und Trainingsdaten | Bis zur Löschung des Kontos |
| KI-Coach-Gespräche | 90 Tage (verlängerbar auf 12 Monate) |
| Direktnachrichten | 24 Monate |
| Fehlerberichte (Sentry) | 90 Tage |
| Einwilligungs-Protokoll | Unbegrenzt (Nachweis gem. Art. 7 Abs. 1 DSGVO) |
| Löschungs-Audit | 5 Jahre nach Hard-Delete |
7. Deine Rechte (Art. 15–22 DSGVO)
- Art. 15: Auskunft über gespeicherte Daten
- Art. 16: Berichtigung unrichtiger Daten
- Art. 17: Löschung — in der App: Einstellungen → Daten → Konto löschen
- Art. 18: Einschränkung der Verarbeitung
- Art. 20: Datenübertragbarkeit — in der App: Einstellungen → Daten → Exportieren
- Art. 21: Widerspruch gegen berechtigte Interessen
- Art. 7 Abs. 3: Widerruf der Einwilligung — in der App: Einstellungen → Datenschutz
Anfragen per E-Mail an datenschutz@getfluxio.de — Antwort binnen 30 Tagen (Art. 12 Abs. 3 DSGVO).
8. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutzbehörde zu beschweren:
- Deutschland: Hamburgischer Beauftragter für Datenschutz (HmbBfDI) — datenschutz.hamburg.de
- Österreich: Datenschutzbehörde — dsb.gv.at
- Schweiz: Eidgenössischer Datenschutzbeauftragter (EDÖB) — edoeb.admin.ch
9. KI-Coach und automatisierte Entscheidungsfindung
Der KI-Coach analysiert deine Gesundheits- und Trainingsdaten und gibt Empfehlungen. Es findet kein automatisiertes Profiling i.S.v. Art. 22 DSGVO mit rechtlichen oder ähnlich erheblichen Auswirkungen statt. Alle Empfehlungen sind unverbindlich. Bei medizinischen Fragen wende dich an Fachpersonal.
Daten werden vor der Übermittlung an KI-Anbieter pseudonymisiert — dein echter Name wird durch einen Platzhalter ersetzt.
10. Cookies und lokaler Speicher
| Name | Zweck | Dauer | Kategorie |
|---|---|---|---|
| sb-access-token, sb-refresh-token | Supabase-Authentifizierung | Session / 1 Jahr | Notwendig |
| apex_consent_v1 | Cookie-Einwilligungs-Status | 1 Jahr | Notwendig |
| apex_theme | UI-Einstellungen | Persistent | Funktional |
| apex_anon_id | Anonyme Consent-Zuordnung | Bis Login | Funktional |
Keine Marketing-Cookies. Technisch notwendige Cookies gem. § 25 Abs. 2 Nr. 2 TDDDG benötigen keine Einwilligung.
11. Änderungen dieser Erklärung
Bei wesentlichen Änderungen informieren wir dich in der App. Bei Änderungen, die eine neue Einwilligung erfordern, wirst du beim nächsten Login zur Bestätigung aufgefordert.