Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:
Philipp Höftmann (AthleteAI)
Maistraße 20, 80337 München, Deutschland
E-Mail: philipp.hoeftmann@gmail.com

2. Welche Daten wir erheben

2.1 Account-Daten

Bei der Registrierung erheben wir:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert via Supabase Auth)
• Optional: Vorname

2.2 Gesundheitsdaten

AthleteAI verarbeitet folgende Gesundheits- und Fitnessdaten, die du über die App Health Auto Export aus Apple Health überträgst:

• Herzratenvariabilität (HRV), Ruhepuls
• Schlafanalyse (Tiefschlaf, REM, Gesamtdauer)
• Schrittanzahl, Aktivitätsdaten
• Workout-Daten (Typ, Dauer, Distanz, Kalorien)
• Ernährungsdaten (Kalorien, Makronährstoffe) — falls in Apple Health erfasst
• Körpergewicht, Körperfettanteil — falls in Apple Health erfasst
• VO2max-Schätzwert

Diese Daten gelten als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Grundlage der Verarbeitung ist deine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die du durch Nutzung des Dienstes erteilst.

2.3 Zahlungsdaten

Zahlungen werden über Stripe abgewickelt. Wir speichern keine Kreditkartendaten. Stripe verarbeitet Zahlungsdaten gemäß deren eigener Datenschutzerklärung (stripe.com/de/privacy). Wir erhalten von Stripe lediglich eine anonyme Kunden-ID.

3. Zweck der Verarbeitung

• Berechnung deines täglichen Recovery Scores
• Generierung personalisierter Trainings- und Ernährungsempfehlungen
• Darstellung deiner Gesundheitsdaten im persönlichen Dashboard
• Versand des täglichen Morning Briefings per E-Mail
• Abwicklung des Abonnements (Stripe)

4. Datenübermittlung an Dritte

Anthropic (Claude AI)

Zur Generierung der Coaching-Texte werden aggregierte Zusammenfassungen deiner Gesundheitsdaten an die Claude-API von Anthropic (USA) übertragen. Es werden keine rohen Messwerte übertragen, sondern nur aufbereitete Tageswerte. Grundlage: Einwilligung gem. Art. 49 Abs. 1 lit. a DSGVO.

Supabase

Deine Daten werden auf Servern von Supabase in der EU (Irland) gespeichert. Supabase ist DSGVO-konform und hält ein gültiges DPA vor.

Hetzner

Der Application Server läuft bei Hetzner in Deutschland (Nürnberg). Hetzner ist ISO 27001 zertifiziert und DSGVO-konform.

Stripe

Zahlungsabwicklung. Weitere Infos: stripe.com/de/privacy

5. Speicherdauer

Deine Gesundheitsdaten werden gespeichert, solange dein Account aktiv ist. Nach Kündigung oder Löschung des Accounts werden alle personenbezogenen Daten und Gesundheitsdaten innerhalb von 30 Tagen gelöscht.

Rechnungsdaten werden gemäß gesetzlicher Aufbewahrungspflicht (§ 147 AO) für 10 Jahre aufbewahrt.

6. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über gespeicherte Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf deiner Einwilligung mit Wirkung für die Zukunft

Zur Ausübung deiner Rechte wende dich an: philipp.hoeftmann@gmail.com

Du hast außerdem das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen. Für Bayern: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA).

7. Widerrufsrecht

Du kannst deine Einwilligung zur Verarbeitung deiner Gesundheitsdaten jederzeit widerrufen, indem du deinen Account löschst oder uns kontaktierst. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

8. Cookies und Tracking

Wir verwenden keine Tracking-Cookies, keine Analyse-Tools (Google Analytics o.ä.) und kein Cross-Site-Tracking. Die einzigen Cookies sind technisch notwendige Session-Cookies für die Authentifizierung.