Datenschutzhinweise

1. Verantwortlicher und Kontakt

Verantwortlicher für die Datenverarbeitung ist die im Impressum genannte Person bzw. Stelle.

Bei Fragen zum Datenschutz kannst du uns über die im Impressum angegebene E-Mail-Adresse oder über das Support-Formular in den Einstellungen kontaktieren.

2. Welche Daten wir verarbeiten

• Konto- und Profildaten: E-Mail-Adresse, optional Anzeigename, Kontostatus, Zeitstempel.
• Authentifizierungsdaten: gehashte Passwörter, Access-/Refresh-Token, OAuth- und Session-Metadaten.
• Social-Login-Daten: Provider, Provider-ID, verifizierte E-Mail (z. B. Google, GitHub, Apple via Supabase).
• Nutzungs- und Inhaltsdaten: Trainings-/Gesundheits-/Ernährungseinträge, daraus berechnete Projektionen und zugehörige Metadaten.
• Access-Request-Daten: E-Mail, optional Name und Kontext.
• Supportdaten: Kategorie, Nachricht, Absenderadresse.
• Technische Daten: Spracheinstellung, sicherheitsrelevante Log- und Zugriffsdaten.

3. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Kontoanlage, Login, Bereitstellung der Web-App und API-Funktionen.
• Sicherheit und Missbrauchsabwehr (Art. 6 Abs. 1 lit. f): Rate-Limiting, Session-Schutz, Token-Widerruf, technische Fehleranalyse.
• Kommunikation und Support (Art. 6 Abs. 1 lit. b und f): Bearbeitung von Anfragen und Service-Nachrichten.
• Anonymisierte Lern- und Verbesserungsprozesse (Art. 6 Abs. 1 lit. a und/oder b): sofern und soweit im jeweiligen Produktmodus vorgesehen.
• Besondere Kategorien personenbezogener Daten (Gesundheitsbezug, Art. 9 DSGVO): Verarbeitung nur bei ausdrücklicher Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
• Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c), sofern einschlägig.

4. Registrierung, Login und Kontofunktionen

Bei der Registrierung verarbeiten wir E-Mail, Passwort (nur als Hash), optional Anzeigename, Invite-Informationen, die explizite Art.-9-Einwilligung für gesundheitsbezogene Daten sowie ggf. die Zustimmung zur anonymisierten Datennutzung im Early-Access-Kontext.

Ohne aktive Art.-9-Einwilligung können gesundheitsbezogene Trainings-, Recovery-, Schlaf- und Schmerz-Events nicht gespeichert werden.

Bei Passwort-Reset werden zeitlich begrenzte Reset-Token verwendet (derzeit 60 Minuten gültig). Beim Zurücksetzen werden bestehende Sessions/Tokens widerrufen.

Bei Kontolöschung wird dein Konto zunächst deaktiviert; die endgültige Löschung ist derzeit nach einer Schonfrist von 30 Tagen vorgesehen.

5. Social Login (Google, GitHub, Apple)

Wenn du Social Login nutzt, prüfen wir den bereitgestellten Session-Token über Supabase und übernehmen nur die für Anmeldung/Verknüpfung erforderlichen Identitätsdaten.

Es werden keine Passwörter der Social-Provider bei uns gespeichert. Wir speichern nur die für die Kontoverknüpfung notwendigen Kennungen.

6. E-Mail-Kommunikation

Für transaktionale E-Mails (z. B. Zugangseinladung, Passwort-Reset, Kontaktformular) nutzen wir derzeit Resend als Versanddienstleister.

Dabei werden insbesondere Empfängeradresse, Nachrichteninhalt und technische Versanddaten verarbeitet.

7. Cookies, Local Storage und ähnliche Technologien

• NEXT_LOCALE (Cookie): Speicherung der gewählten Sprache (technisch notwendig für konsistente Lokalisierung).
• kura_rt (Local Storage): Refresh-Token zur Aufrechterhaltung der Sitzung.
• kura_setup_seen (Local Storage): Merker für den Onboarding-Status.
• kura_oauth_session (HttpOnly Cookie im OAuth-Kontext): Session-Unterstützung für OAuth-Autorisierung.
• Aktuell verwenden wir keine Marketing- oder Werbetracker im Web-Frontend.

8. Zugriffsdaten und Sicherheitstelemetrie

Zur Stabilität und Sicherheit protokollieren wir API-Zugriffe (u. a. Methode, Pfad, Statuscode, Antwortzeit, ggf. Benutzer-ID).

IP-basierte Informationen können für Rate-Limits und Missbrauchsabwehr technisch verarbeitet werden.

9. Empfänger und Auftragsverarbeiter

• Supabase (Region EU West / eu-west-1, Projekt-Ref slawzzhovquintrsmfby): Hosting für Auth-/Datenbankfunktionen als Auftragsverarbeiter.
• Resend (USA): Versand transaktionaler E-Mails (z. B. Einladungen, Passwort-Reset, Support-Bestätigungen) als Auftragsverarbeiter.
• OpenAI API (optional, USA): nur falls Embeddings-Funktionen aktiviert sind; Verarbeitung als Auftragsverarbeiter gemäß separatem Vertrag.
• Interne Administratoren und Support nur im erforderlichen Umfang (Need-to-know-Prinzip, mit Auditierung).
• Maßgeblich ist die versionierte Auftragsverarbeiter-/Drittlandliste in docs/legal/processors-and-transfers.md.

10. Drittlandübermittlungen

Supabase wird produktiv in der EU-Region eu-west-1 betrieben. Für Resend (USA) und optional OpenAI (USA) können Drittlandübermittlungen erfolgen.

Drittlandübermittlungen erfolgen nur unter den gesetzlichen Voraussetzungen, insbesondere auf Basis von EU-Standardvertragsklauseln (SCC) und Auftragsverarbeitungsverträgen.

11. Speicherdauer

• Kontodaten: bis zur Kontolöschung bzw. bis zum Ablauf gesetzlicher Aufbewahrungspflichten.
• Kontolöschung: derzeit 30 Tage Schonfrist nach Deaktivierung; anschließend Hard-Delete der zugeordneten Daten gemäß Systemlogik.
• Invite-Token: derzeit 7 Tage gültig.
• Passwort-Reset-Token: derzeit 60 Minuten gültig.
• API-Schlüssel: bis Widerruf oder Kontolöschung.
• API-Zugriffslogs (api_access_log): 30 Tage.
• Security-Abuse-Telemetrie (security_abuse_telemetry): 90 Tage.
• Kill-Switch-Audit (security_kill_switch_audit): 365 Tage.
• Support-Zugriffsaudit (support_access_audit): 730 Tage (24 Monate).
• Ablauf-/genutzte Passwort-Reset-Token: 30 Tage.
• Log-Löschfristen werden technisch über einen wiederkehrenden Maintenance-Job durchgesetzt und in log_retention_runs auditiert.

12. Deine Rechte

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) bei Verarbeitungen nach Art. 6 Abs. 1 lit. f
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

13. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO).

14. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, insbesondere rollenbasierten Zugriff, Token-Widerruf, Hashing sensibler Geheimnisse, Transportverschlüsselung sowie sicherheitsbezogene Audits und Logging.

15. Aktualisierung dieser Hinweise

Wir können diese Datenschutzhinweise anpassen, wenn sich Funktionen, Rechtslage oder Datenverarbeitungen ändern. Die jeweils aktuelle Version ist in der Web-App abrufbar.