Rechtliches

Datenschutzerklärung

1. Einleitung und Geltungsbereich

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) sowie nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen unserer Website gainzbyte.app sowie der mobilen Anwendung GainzByte (iOS).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

2. Verantwortlicher im Sinne der DSGVO

Maximilian Schlecht (Einzelunternehmer)
Peter-Jakob-Schober-Straße 8
71717 Beilstein
Deutschland

Telefon: +49 1575 8362162
E-Mail: max@schlecht2000.de

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht zu benennen, da die Voraussetzungen (u. a. mindestens 20 Personen mit automatisierter Verarbeitung personenbezogener Daten) nicht erfüllt sind. Für datenschutzrechtliche Anliegen ist ausschließlich der Verantwortliche unter obiger Adresse Ansprechpartner.

3. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen folgende Rechte zu:

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an max@schlecht2000.de. Alternativ können Sie innerhalb der App unter Profil → Datenschutz → Daten exportieren / Account löschen einen Export bzw. die Löschung Ihres Kontos anstoßen.

Zuständige Aufsichtsbehörde am Sitz des Verantwortlichen ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de.

4. Allgemeine Grundsätze

4.1 Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur auf Basis einer Rechtsgrundlage nach Art. 6 bzw. Art. 9 DSGVO:

4.2 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Konkrete Fristen sind in den jeweiligen Abschnitten angegeben. Mit Löschung Ihres Accounts werden alle nicht zwingend aufzubewahrenden Daten innerhalb von 30 Tagen unwiderruflich gelöscht.

4.3 SSL-/TLS-Verschlüsselung

Die Website sowie sämtliche API-Kommunikation der App erfolgen ausschließlich über eine verschlüsselte TLS-Verbindung (HTTPS). Dies erkennen Sie am Schloss-Symbol in Ihrem Browser bzw. an der Zertifikats-Pinning-Prüfung innerhalb der App.

4.4 Übermittlung in Drittländer

Einige der von uns eingesetzten Dienste (z. B. Apple, Google, Sentry) verarbeiten Daten außerhalb der EU/des EWR, insbesondere in den USA. Soweit eine Übermittlung stattfindet, stützen wir uns auf den EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023), auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie — wo erforderlich — auf Ihre ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO).

5. Datenverarbeitung beim Besuch der Website

5.1 Server-Logs

Beim Aufruf unserer Website werden durch unseren Hoster automatisch folgende Informationen in Logdateien gespeichert:

Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus, Systemsicherheit, Missbrauchsabwehr.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: maximal 14 Tage, danach automatische Löschung bzw. vollständige Anonymisierung.

5.2 Hosting (Hostinger)

Unsere Website und unser Backend werden betrieben bei Hostinger International Ltd., 61 Lordou Vironos Street, 6023 Larnaca, Zypern. Die Server stehen in einem Rechenzentrum in Frankfurt am Main, Deutschland. Mit Hostinger besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.

5.3 Cookies

Die Website setzt keine Tracking-, Analyse- oder Marketing-Cookies. Verwendet werden ausschließlich technisch notwendige Session-Cookies, die für den sicheren Login-Prozess der Web-Version erforderlich sind. Diese sind nach § 25 Abs. 2 Nr. 2 TTDSG einwilligungsfrei. Ein Cookie-Banner ist daher nicht erforderlich.

5.4 Google Fonts (lokal eingebunden)

Wir verwenden die Schriftart „Inter" von Google. Die Fonts werden nach Möglichkeit lokal ausgeliefert. Sollte dennoch eine Nachladung von fonts.googleapis.com erfolgen, wird Ihre IP-Adresse an Google LLC (USA) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (einheitliche Darstellung).

6. Datenverarbeitung in der GainzByte-App

Die GainzByte-App ist eine Fitness-, Ernährungs- und Angebots-Plattform. Da dabei besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO (Gesundheits- und Biometriedaten) verarbeitet werden, erfolgt die Verarbeitung ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Sie jederzeit widerrufen können.

6.1 Account- und Authentifizierungsdaten

Daten: E-Mail-Adresse, gehashter Passwort-Hash (bcrypt/scrypt via Supabase), Account-ID, Zeitstempel, Gerätekennung, Sign-in-with-Apple-Token (optional).
Zweck: Registrierung, Login, Wiederherstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Empfänger / Auftragsverarbeiter: Supabase, Inc., 970 Toa Payoh North, Singapur — hosted im EU-Raum (Frankfurt). AVV nach Art. 28 DSGVO geschlossen.
Speicherdauer: bis zur Löschung des Accounts (max. 30 Tage nach Löschantrag).

6.2 Profil- und Stammdaten

Daten: Anzeigename, Geburtsdatum/Alter, Geschlecht, Körpergröße, Körpergewicht, Aktivitätslevel, Trainings-/Ernährungsziel, Ernährungspräferenzen.
Zweck: Berechnung von Kalorien- und Makro-Zielen (TDEE), Training-Plan-Generierung, Personalisierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 9 Abs. 2 lit. a DSGVO (Einwilligung hinsichtlich Gewicht/Körpermaßen als Gesundheitsdaten).
Speicherdauer: bis zur Löschung des Accounts.

6.3 Gesundheits- und Trainingsdaten (Art. 9 DSGVO)

Die App verarbeitet folgende besonderen Kategorien personenbezogener Daten:

Zweck: Trainings-Readiness, Fatigue-Management, Übungs-Substitution, Progressions-Coach, persönliche Analysen.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung über System-Dialog sowie App-interne Health-Opt-ins).
Speicherdauer: bis zum Widerruf oder zur Löschung des Accounts. HealthKit-Daten werden primär lokal auf dem Gerät gehalten; nur aggregierte Werte (z. B. Tagesdurchschnitte) werden mit dem Backend synchronisiert.

6.4 Ernährungs- und Food-Log-Daten (Art. 9 DSGVO)

Daten: Mahlzeiten, Lebensmittel (inkl. Portionsgrößen), Kalorien, Makronährstoffe, Essenszeitpunkte, optional Fastenfenster, optional per Kamera erfasste Essensfotos.
Zweck: Nährwert-Tracking, adaptives Kalorienziel, Fasten-Tracking, Integration mit dem Trainings-Modul (NutriBridge).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 9 Abs. 2 lit. a DSGVO.
Speicherdauer: bis zur Löschung des Accounts, Fotos einzeln jederzeit löschbar.

Foto-Food-Analyse via Google Gemini

Bei Nutzung der Funktion „Essen per Foto erkennen" wird das aufgenommene Bild an die API von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) zur Bilderkennung übermittelt. Google kann die Verarbeitung in einem Rechenzentrum außerhalb der EU (USA) vornehmen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO (Einwilligung bei erstmaliger Nutzung), ergänzend Art. 49 Abs. 1 lit. a DSGVO für die Drittland-Übermittlung.
Weitergabe / Drittland: Google LLC, USA — abgesichert durch EU-U.S. Data Privacy Framework und Standardvertragsklauseln.
Speicherdauer: nach Google-Angabe max. 55 Tage für Missbrauchsprüfung, keine Trainingsnutzung der Inhalte (Gemini API Paid Tier).
Weitere Infos: Google Datenschutz.

6.5 KAI-Coach (self-hosted LLM)

Der KAI-Chat-Coach sowie Teilfunktionen wie die Übungs-Substitution werden über ein selbstgehostetes Sprachmodell (Ollama) auf unseren Hostinger-Servern in Frankfurt ausgeführt. Eine Übermittlung an externe LLM-Anbieter findet für diese Funktion nicht statt. Übertragen werden ausschließlich die von Ihnen gesendete Frage sowie kontextrelevante Trainings-/Ernährungsdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 9 Abs. 2 lit. a DSGVO.
Speicherdauer: Chatverläufe werden maximal 180 Tage gespeichert und können in der App jederzeit gelöscht werden.

6.6 Deals- und Standortdaten

Daten: grobe Standortinformation (Postleitzahl oder Koordinaten mit reduzierter Genauigkeit), ausgewählte Händler-Filialen.
Zweck: Anzeige von regional relevanten Supermarkt-Angeboten, Filialzuordnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den iOS-Standort-Dialog, opt-in, nur bei aktiver Nutzung des Deals-Features).
Speicherdauer: nicht persistent — wird nur für die jeweilige Anfrage an unser Deals-Backend verwendet und nicht mit Ihrem Account verknüpft gespeichert.

6.7 Zahlungs- und Abonnementdaten (Apple In-App-Purchase)

Sämtliche Zahlungen (Trial, Monats- und Jahresabonnement) werden ausschließlich über Apple In-App-Purchase abgewickelt. Wir erhalten von Apple lediglich eine pseudonyme Transaktions-ID sowie den Abonnementstatus, jedoch keine Zahlungsdaten wie Kreditkartennummer oder Rechnungsanschrift.
Verantwortlich für die Zahlungsabwicklung: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Es gelten die Apple Datenschutzrichtlinien.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).

6.8 Wearable-Integrationen (Whoop, Oura)

Sie können optional Ihr Whoop- oder Oura-Konto per OAuth-2.0 verbinden. In diesem Fall werden Schlaf-, Recovery-, Strain- und HRV-Daten direkt von den Servern des jeweiligen Anbieters abgerufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO (Einwilligung beim OAuth-Flow). Sie können die Verbindung jederzeit in der App unter Profil → Integrationen trennen; die zugehörigen Tokens werden dann serverseitig widerrufen und gelöscht.

6.9 Push-Benachrichtigungen (APNs)

Daten: APNs-Device-Token.
Zweck: Workout-Erinnerungen, Deal-Hinweise, Comeback-Nachrichten, Coach-Hinweise.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über den iOS-System-Dialog); für servicebezogene Push-Nachrichten ergänzend Art. 6 Abs. 1 lit. b DSGVO.
Empfänger: Apple Inc. (APNs-Infrastruktur).
Speicherdauer: bis zum Widerruf der Benachrichtigungsberechtigung.

6.10 Referral-/Einladungscodes

Daten: Einladungs-Code, zugehöriger Einlader-Account, Zeitpunkt der Einlösung.
Zweck: Gutschrift von Bonus-Trial-Tagen, Missbrauchsschutz (Rate-Limiting).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: bis zur Löschung des Accounts.

6.11 Crash-Reporting & Monitoring (Sentry)

Zur Stabilitätssicherung verwenden wir Sentry der Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Erfasst werden bei App-Abstürzen oder Backend-Fehlern:

IP-Adressen werden unmittelbar nach Empfang durch Sentry anonymisiert (scrub IPs on). PII-Daten werden client- und serverseitig vor Versand gefiltert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Fehlerbehebung).
Drittland: USA — abgesichert durch EU-U.S. Data Privacy Framework und Standardvertragsklauseln.
Speicherdauer: 90 Tage, danach automatische Löschung.

7. Datenverarbeitung bei Kontaktaufnahme

7.1 Kontaktformular und E-Mail-Kontakt

Bei Kontaktaufnahme über das Formular auf gainzbyte.app/kontakt oder per E-Mail verarbeiten wir Name, E-Mail-Adresse, Betreff und den Inhalt Ihrer Nachricht ausschließlich zur Bearbeitung Ihres Anliegens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung Ihrer Anfrage).
Speicherdauer: bis zur vollständigen Erledigung der Anfrage, anschließend maximal 12 Monate zur Nachvollziehbarkeit, längstens bis zum Ablauf gesetzlicher Aufbewahrungspflichten.

7.2 Beta-/Newsletter-Anmeldung

Wenn Sie sich für die GainzByte-Beta registrieren, speichern wir Ihre E-Mail-Adresse sowie den Zeitpunkt der Anmeldung (Double-Opt-in).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können sich jederzeit über den Abmeldelink in jeder E-Mail oder per formloser Nachricht abmelden.

8. Berechtigungen der iOS-App

Die App fordert nur die tatsächlich benötigten System-Berechtigungen an und erklärt deren Zweck unmittelbar im iOS-Dialog (Usage Description Strings):

Sie können jede Berechtigung jederzeit in den iOS-Systemeinstellungen widerrufen, ohne dass der Grundbetrieb der App gefährdet ist.

9. Automatisierte Entscheidungsfindung / Profiling

Die App berechnet aus Ihren Eingaben und HealthKit-/Wearable-Daten automatisierte Empfehlungen (z. B. Readiness-Score, Trainings-Progression, Substitutionsvorschläge, Fasten-Reminder). Diese Empfehlungen sind rein informativ, entfalten keine rechtliche Wirkung i. S. v. Art. 22 DSGVO und sind keine medizinische Diagnose. Sie bleiben jederzeit frei in Ihrer Entscheidung, Empfehlungen anzunehmen oder abzulehnen.

10. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen ein (u. a. TLS 1.2+, Zertifikats-Pinning, gehashte Passwörter, Rollen- und Rechtetrennung, verschlüsselte Backups, PII-Scrubbing für Logs, Rate-Limiting).

11. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand April 2026. Durch die Weiterentwicklung unserer App und neue gesetzliche Vorgaben kann es notwendig werden, diese Erklärung anzupassen. Die jeweils aktuelle Fassung ist jederzeit unter gainzbyte.app/datenschutz abrufbar.

Ergänzend gelten unser Impressum sowie unsere AGB.