Datenschutzerklärung

Stand: 24. April 2026

1. Verantwortlicher

2. Datenschutzbeauftragter

Es ist kein Datenschutzbeauftragter bestellt. Wir erfüllen die Voraussetzungen für eine Bestellpflicht nach Art. 37 DSGVO nicht.

3. Zwecke und Funktionen der App

Zielfit ist eine Gesundheits- und Fitness-App. Wir verarbeiten deine Daten, um folgende Funktionen bereitzustellen:

• Kalorien-, Nährstoff- und Ernährungstracking
• Gewichts-, Wasser-, Schritt-, Trainings-, Supplement- und Fasten-Tracking
• Körpermaße (Figurdaten) und Energieumsatz-Berechnungen
• KI-gestützte Foto-Analyse von Lebensmitteln
• KI-Chat für Ernährungs- und Trainingsfragen
• Sprachbasierte Food-Eingabe (Speech-to-Text)
• Barcode-Scanner für verpackte Lebensmittel
• Integration von Apple Health bzw. Health Connect
• Personalisierte Push-Benachrichtigungen (Erinnerungen, Streaks)
• Premium-Abonnement-Verwaltung
• Werbung (nur außerhalb des Premium-Abos, personalisiert nur mit ATT-Einwilligung)

4. Welche Daten wir erheben

4.1 Account-Daten

• E-Mail-Adresse, Name, Passwort (verschlüsselt gespeichert)
• Bei Anmeldung via Apple oder Google: User-ID und E-Mail-Adresse des Anbieters
• Profilbild (optional)

4.2 Gesundheits- und Fitnessdaten (Art. 9 DSGVO)

Diese Daten sind besonders geschützte Kategorien personenbezogener Daten. Ihre Verarbeitung erfolgt nur auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die du bei der Ersterfassung des jeweiligen Trackings erteilst.

• Größe, Gewicht, Zielgewicht, Alter, Geschlecht
• Körpermaße (Brust, Taille, Hüfte, Oberarme, Oberschenkel, Waden, Hals)
• BMI, Körperfettanteil, Muskelmasse
• Schrittzahl (über Pedometer bzw. CMPedometer)
• Trainingsaktivitäten (Typ, Dauer, Intensität, verbrannte Kalorien)
• Fasten-Sessions (Start, Ende, Ziel-Dauer)
• Wasseraufnahme
• Supplement-Einnahme
• Check-In-Ereignisse und Streaks

4.3 Ernährungsdaten

• Eingegebene Mahlzeiten, Nährwerte, Portionen, Mahlzeit-Typ
• Selbst erstellte Foods und Lieblings-Foods
• Barcode-Scans
• Fotos von Mahlzeiten (werden nicht dauerhaft gespeichert, siehe Abschnitt 5.2)

4.4 KI-Nutzung

• An OpenAI übermittelte Texte aus dem KI-Chat
• An OpenAI Vision übermittelte Mahlzeit-Fotos
• An OpenAI Whisper übermittelte Sprachaufnahmen
• Chat-Verlauf zur Kontexterhaltung in unserer Datenbank

4.5 Apple Health / Health Connect

Wenn du zustimmst, lesen wir Schritte, Gewicht, Größe, Distanz, aktive Energie und Wasser aus der Health-App (iOS) bzw. Health Connect (Android) und schreiben Schritte, Gewicht, Wasser und aktive Energie zurück. Die Kontrolle liegt jederzeit bei dir in den System-Einstellungen.

4.6 Zahlungsdaten

Zahlungen laufen ausschließlich über Apple (App Store) bzw. Google (Play Store). Wir erhalten keine Kreditkarten- oder Kontodaten. Unser Abwicklungspartner RevenueCat übermittelt uns lediglich den Abo-Status und eine interne User-ID.

4.7 Werbedaten

Nur bei Zustimmung via ATT-Dialog (iOS) bzw. Consent-Form (Android):

• Werbe-ID (IDFA auf iOS, Advertising ID auf Android)
• IP-Adresse (pseudonymisiert)
• Grobe Standortableitung aus IP
• Gerätemodell, OS-Version, Sprache
• Interaktionen mit Werbeanzeigen

Ohne Zustimmung zeigen wir nur nicht-personalisierte Werbung.

4.8 Technische Daten

• Geräteinformationen (Modell, OS-Version)
• App-Version
• Absturzberichte (über Apple bzw. Google Play Console)
• Sicherheitsinformationen (erfolglose Login-Versuche)

4.9 Push-Benachrichtigungen

Lokale Benachrichtigungen werden direkt auf dem Gerät ausgelöst; wir verschicken keine Push-Nachrichten von unseren Servern.

5. Drittanbieter

5.1 Supabase (Backend, Datenbank, Authentifizierung, Storage)

Anbieter: Supabase Inc., San Francisco, USA. Unsere Instanz ist in Europa gehostet. Alle personenbezogenen Daten (Account, Health, Ernährung, Chat-Verlauf, Profilbild) werden bei Supabase gespeichert.

Datenschutz: supabase.com/privacy

5.2 OpenAI (KI-Dienste)

Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA. OpenAI erhält:

• Chat-Nachrichten (AI-Chat)
• Fotos von Mahlzeiten (Food-Vision)
• Sprachaufnahmen (Whisper)

OpenAI nutzt diese Daten bei Zugriff über die API nicht zum Training der Modelle. Löschung bei OpenAI nach spätestens 30 Tagen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO.

Datenschutz: openai.com/enterprise-privacy

5.3 Google AdMob (Werbung)

Anbieter: Google Ireland Ltd., Irland, mit Verarbeitung auch bei Google LLC, USA. Personalisierte Werbung nur bei ATT- bzw. Consent-Einwilligung.

Datenschutz: policies.google.com/privacy

5.4 RevenueCat (Abo-Verwaltung)

Anbieter: RevenueCat Inc., San Francisco, USA. Erhält anonymisierte User-ID, Abo-Status und Kaufereignisse. Keine E-Mail, kein Name.

Datenschutz: revenuecat.com/privacy

5.5 Apple Sign-In und Google Sign-In

Bei Login-Nutzung werden dein Apple- bzw. Google-Account-Token verarbeitet.

• Apple: apple.com/legal/privacy
• Google: policies.google.com/privacy

5.6 Apple In-App Purchase / Google Play Billing

Zahlungen werden ausschließlich durch Apple bzw. Google verarbeitet. Wir erhalten keine Zahlungsdaten.

5.7 Apple HealthKit / Google Health Connect

Die Gesundheitsdaten-Integration ist optional. Wir übertragen HealthKit-Daten nicht an Dritte. Apple untersagt ausdrücklich die Nutzung von HealthKit-Daten für Werbung – dies wird von uns eingehalten.

6. Drittlandtransfer

Einige Anbieter (OpenAI, RevenueCat, Google USA-Tochter, Supabase Support) verarbeiten Daten in den USA. Übermittlung erfolgt auf folgenden Grundlagen:

• Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO
• EU-US Data Privacy Framework, sofern der Empfänger zertifiziert ist
• Deine ausdrückliche Einwilligung (bei optionalen Funktionen)

Teilnahme am EU-US DPF prüfbar unter dataprivacyframework.gov/list.

7. Speicherdauer

• Account-Daten: bis zur Kontolöschung
• Gesundheits- und Ernährungsdaten: bis zur Kontolöschung oder individuellen Löschung
• Chat-Verlauf: bis zur Kontolöschung oder aktiver Löschung
• Fotos und Sprachaufnahmen an OpenAI: max. 30 Tage bei OpenAI, nicht dauerhaft bei uns
• Backup-Kopien: max. 30 Tage nach Kontolöschung
• Werbedaten: max. 12 Monate
• Support-Korrespondenz: max. 3 Jahre

8. Kontolöschung

Du kannst dein Konto jederzeit in der App löschen unter Einstellungen → Konto löschen. Alle personenbezogenen Daten werden innerhalb von 30 Tagen unwiderruflich gelöscht, einschließlich Backup-Kopien. Alternativ per E-Mail an infozielfit@gmail.com.

9. Deine Rechte

• Art. 15 DSGVO: Auskunft
• Art. 16 DSGVO: Berichtigung
• Art. 17 DSGVO: Löschung
• Art. 18 DSGVO: Einschränkung der Verarbeitung
• Art. 20 DSGVO: Datenübertragbarkeit
• Art. 21 DSGVO: Widerspruch
• Art. 7 Abs. 3 DSGVO: Widerruf einer Einwilligung mit Wirkung für die Zukunft

Anfragen an: infozielfit@gmail.com. Zur Identifikation verwende bitte die registrierte E-Mail-Adresse.

10. Beschwerderecht

Zuständige Aufsichtsbehörde:

11. Automatisierte Entscheidungsfindung

Die App berechnet auf Basis deiner Angaben Grundumsatz (BMR), Kalorienbedarf, Fortschrittsprognosen und KI-Empfehlungen. Diese Berechnungen haben keine rechtliche oder vergleichbar erhebliche Wirkung im Sinne des Art. 22 DSGVO.

12. Minderjährige

Die App ist für Nutzer ab 13 Jahren. Nutzer zwischen 13 und 17 Jahren sollten die App nur unter elterlicher Aufsicht verwenden. Wenn wir Kenntnis von der Nutzung durch unter 13-Jährige erhalten, löschen wir den Account.

13. Sicherheit

• Transportverschlüsselung: TLS 1.3
• Ruhende Verschlüsselung: AES-256 auf dem Backend
• Session-Tokens: verschlüsselt in iOS Keychain bzw. Android EncryptedSharedPreferences
• Row-Level-Security (RLS) in der Datenbank
• Rollenbasierte Zugriffskontrolle (RBAC)

14. Cookies und lokale Speicherung

Die App nutzt keine Web-Cookies. Lokal werden auf deinem Gerät gespeichert:

• Einstellungen (SharedPreferences)
• Offline-Cache (SQLite)
• Session-Token (Keychain bzw. EncryptedSharedPreferences)

15. Änderungen dieser Erklärung

Wesentliche Änderungen werden per In-App-Hinweis und/oder E-Mail angekündigt. Die fortgesetzte Nutzung nach Inkrafttreten gilt als Zustimmung.