Datenschutzrichtlinie

1. Welche Daten wir erheben

1.1 Kontodaten

Bei der Kontoerstellung erheben wir:

• E-Mail-Adresse (zur Authentifizierung und Kommunikation)
• Zeitstempel der Kontoerstellung
• Anmeldeaktivitäten und Sitzungsdaten

1.2 Gesundheits- und Fitnessdaten (besondere Datenkategorie)

WICHTIG: Gemäß Art. 9 DSGVO sind Gesundheitsdaten "besondere Kategorien" personenbezogener Daten, die eine ausdrückliche Einwilligung und besonderen Schutz erfordern.

Wir erheben folgende gesundheitsbezogene Daten:

• Körpermaße: Alter, Gewicht, Größe, Geschlecht
• Fitnessprofil: Trainingserfahrungsstufe, verfügbare Geräte, Trainingshäufigkeit
• Trainingsleistung: Durchgeführte Übungen, Sätze, Wiederholungen, verwendete Gewichte, RIR (Wiederholungen in Reserve), Pausenzeiten
• Schmerz- und Verletzungsdaten: Gemeldete Einschränkungen, Schmerzlokalisationen, Schweregrad, betroffene Übungen
• Trainingsnotizen: Freitextfeedback einschließlich subjektiver Empfindungen, Ermüdung, Beschwerden
• Mentale Bereitschaft: Selbsteinschätzung der Bereitschaftswerte
• Körperzusammensetzung: (falls angegeben) Körperfettanteil, Muskelmasse
• Kalorische Phase: Aufbau-, Erhaltungs- oder Diätstatus

1.3 Nutzungsdaten

Wir erheben automatisch:

• Geräteinformationen (Browser, Betriebssystem, Bildschirmgröße)
• IP-Adresse (anonymisiert)
• Besuchte Seiten und genutzte Funktionen
• Fehlerprotokolle und Leistungskennzahlen
• KI-Interaktionsmuster (z.B. generierte Trainings, ausgewählte Übungen)

1.4 Daten von Drittanbieterdiensten

Wir verwenden:

• Supabase: Authentifizierung und Datenbankhosting
• Anthropic/OpenAI: KI-Modellanbieter für die Trainingserstellung (Daten anonymisiert)
• Vercel: Hosting und Analysen

2. Wie wir Ihre Daten verwenden

2.1 Hauptzwecke

• Trainingserstellung: KI nutzt Ihr Profil, Ihre Historie und Einschränkungen für personalisierte Trainings
• Übungsempfehlungen: Auswahl von Übungen basierend auf Ausrüstung, Erfahrung und Präferenzen
• Progressionsverfolgung: Berechnung geeigneter Gewichts-/Wiederholungsprogressionen basierend auf der Leistung
• Auswertungen: KI analysiert Trainingsnotizen zur Erkennung von Mustern, Präferenzen und potenziellen Problemen
• Sicherheitsfunktionen: Vermeidung von Übungen, die Schmerzen oder Verletzungen verursacht haben
• Volumensteuerung: Verfolgung des Wochenvolumens zur Vermeidung von Übertraining

2.2 Dienstverbesserung

• Verbesserung der KI-Algorithmen und Empfehlungsgenauigkeit
• Fehlerbehebung und Bugfixes
• Verständnis des Nutzerverhaltens zur Verbesserung der Benutzerfreundlichkeit
• Entwicklung neuer Funktionen basierend auf Nutzungsmustern

2.3 Kommunikation

• Versand von Authentifizierungs-E-Mails (Magic Links)
• Dienst-Updates und Sicherheitsbenachrichtigungen
• Beantwortung von Supportanfragen
• Marketing-Kommunikation (nur mit Ihrer ausdrücklichen Einwilligung)

2.4 Gesetzliche Pflichten

• Einhaltung gesetzlicher Anforderungen (z.B. Steuer, Strafverfolgung)
• Schutz unserer Rechte und unseres Eigentums
• Verhinderung von Betrug und Missbrauch

3. Rechtsgrundlage der Verarbeitung (DSGVO)

Wir verarbeiten Ihre Daten auf Grundlage von:

• Ausdrückliche Einwilligung (Artikel 9): Für die Erhebung von Gesundheitsdaten und KI-Verarbeitung
• Vertragserfüllung: Zur Bereitstellung des Dienstes, für den Sie sich angemeldet haben
• Berechtigte Interessen: Dienstverbesserung, Betrugsprävention, Sicherheit
• Gesetzliche Pflichten: Einhaltung von Gesetzen und Vorschriften

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns kontaktieren oder Ihr Konto löschen.

4. Datenspeicherung und Sicherheit

4.1 Speicherort der Daten

• Primäre Datenbank: Supabase (PostgreSQL) gehostet in EU-Rechenzentren
• Clientseitiger Speicher: localStorage (laufende Trainings, Entwürfe)
• Backups: Verschlüsselte Backups in der EU gespeichert

4.2 Sicherheitsmaßnahmen

• Verschlüsselung bei der Übertragung (HTTPS/TLS)
• Verschlüsselung im Ruhezustand für sensible Daten
• Row-Level Security (RLS) in der Datenbank
• Zugriffskontrollen und Authentifizierung
• Regelmäßige Sicherheitsaudits
• Anonymisierung der an KI-Anbieter gesendeten Daten

4.3 Datenaufbewahrung

Wir bewahren Ihre Daten wie folgt auf:

• Aktive Konten: Solange Ihr Konto besteht
• Gelöschte Konten: 30 Tage (zur Wiederherstellung), dann dauerhafte Löschung
• Backups: Bis zu 90 Tage in verschlüsselten Backups
• Anonymisierte Analysen: Unbegrenzt (nicht mehr zu Ihnen zurückverfolgbar)

5. Datenweitergabe und Dritte

5.1 Wir verkaufen Ihre Daten NICHT

Wir verkaufen, vermieten oder handeln nicht mit Ihren personenbezogenen Daten an Dritte zu Marketingzwecken.

5.2 Dienstleister

Wir teilen Daten mit vertrauenswürdigen Dienstleistern, die uns beim Betrieb unterstützen:

• Supabase: Datenbank und Authentifizierung (DSGVO-konform, EU-gehostet)
• Anthropic/OpenAI: KI-Modelle (Daten anonymisiert, keine personenbezogenen Daten übermittelt)
• Vercel: Hosting und CDN (DSGVO-konform)

Alle Dienstleister sind durch Auftragsverarbeitungsverträge (AVV) gebunden und halten die DSGVO ein.

5.3 KI-Modellverarbeitung

Bei der Trainingserstellung senden wir anonymisierte Daten an KI-Anbieter (Anthropic, OpenAI). Diese Daten:

• Enthalten NICHT Ihren Namen, Ihre E-Mail oder andere identifizierende Informationen
• Umfassen nur trainingsrelevante Daten (Trainingshistorie, Präferenzen, Einschränkungen)
• Werden nicht zum Trainieren von KI-Modellen verwendet (gemäß Anbietervereinbarungen)
• Werden von KI-Anbietern nicht über die Verarbeitungszeit hinaus gespeichert

5.4 Drittanbieter-App-Integrationen (ChatGPT)

Sie können Ihr Arvo-Konto optional über OAuth 2.0 mit ChatGPT (von OpenAI) verbinden, um direkt in ChatGPT auf Ihre Trainingsdaten und Coaching-Tools zuzugreifen.

Mit ChatGPT geteilte Daten

Wenn verbunden, kann ChatGPT über Tool-Aufrufe (MCP-Tools) auf folgende Daten zugreifen:

• Profilinformationen (Trainingserfahrung, Ziele, Ausrüstung, Präferenzen)
• Trainingspläne, Sitzungsverlauf und Leistungsdaten
• Persönliche Rekorde und Übungsfortschritt
• Körpermaße und Zusammensetzungsdaten
• Coach-Notizen, KI-Speicher und Trainingseinblicke
• Volumentracking und Muskelgruppenstatistiken

Schreibzugriff

ChatGPT kann Ihre Daten auch über autorisierte Tool-Aufrufe ändern, einschließlich:

• Sätze und Trainingsleistung protokollieren
• Übungen im Training hinzufügen, überspringen oder austauschen
• Profilinformationen und Präferenzen aktualisieren
• Coaching-Speicher und Notizen speichern

Die Authentifizierung verwendet OAuth 2.0 mit PKCE. Zugriffstoken laufen nach 30 Tagen ab und Aktualisierungstoken nach 90 Tagen.

Sie können Arvo jederzeit über die ChatGPT-Einstellungen von ChatGPT trennen. Das Widerrufen des Zugriffs macht alle Token sofort ungültig und stoppt die Datenfreigabe.

Nur Daten, die explizit durch einen bestimmten Tool-Aufruf angefordert werden, werden mit ChatGPT geteilt. ChatGPT erhält keinen Massenzugriff auf alle Ihre Daten.

Über Tool-Aufrufe gesendete Daten unterliegen den Nutzungsrichtlinien und Datenschutzpraktiken von OpenAI. Wir empfehlen Ihnen, die Datenschutzrichtlinie von OpenAI unter https://openai.com/privacy zu lesen.

5.5 Gesetzliche Anforderungen

Wir können Ihre Daten offenlegen, wenn dies erforderlich ist durch:

• Strafverfolgungsbehörden oder Regierungsbehörden
• Gerichtsbeschlüsse oder rechtliche Verfahren
• Schutz unserer Rechte, Sicherheit oder unseres Eigentums
• Verhinderung von Betrug oder illegalen Aktivitäten

6. Ihre Rechte (DSGVO)

Sie haben das Recht auf:

• Auskunft: Eine Kopie aller personenbezogenen Daten anfordern, die wir über Sie gespeichert haben
• Berichtigung: Unrichtige oder unvollständige Daten korrigieren
• Löschung ("Recht auf Vergessenwerden"): Löschung Ihrer Daten beantragen
• Datenübertragbarkeit: Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten
• Einschränkung: Die Verarbeitung Ihrer Daten einschränken
• Widerspruch: Der Verarbeitung auf Grundlage berechtigter Interessen widersprechen
• Einwilligung widerrufen: Die Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit widerrufen
• Beschwerde einlegen: Eine Beschwerde bei einer Datenschutzbehörde einreichen

Zur Ausübung dieser Rechte kontaktieren Sie uns unter privacy@aetha.ai oder nutzen Sie die Einstellungsseite, sobald verfügbar.

7. Cookies und Tracking

Wir verwenden minimale Cookies und Tracking:

7.1 Essenzielle Cookies

• Authentifizierungs-Token (um Sie angemeldet zu halten)
• Sitzungsverwaltung
• Sicherheit und Betrugsprävention

7.2 Analyse-Cookies (Optional)

• Vercel Analytics (anonymisierte Nutzungsstatistiken)
• Fehlerverfolgung (zur Fehlerbehebung)

Sie können Analyse-Cookies über Ihre Browsereinstellungen deaktivieren.

8. Datenschutz für Kinder

Arvo ist für Nutzer ab 14 Jahren bestimmt. Nutzer unter 18 Jahren sollten den Dienst unter elterlicher Aufsicht nutzen.

Wir erheben wissentlich keine Daten von Kindern unter 14 Jahren. Wenn Sie glauben, dass wir solche Daten erhoben haben, kontaktieren Sie uns bitte umgehend, und wir werden sie löschen.

9. Internationale Datenübertragungen

Ihre Daten werden hauptsächlich innerhalb der Europäischen Union gespeichert und verarbeitet. Wenn Daten außerhalb der EU übertragen werden (z.B. an KI-Anbieter in den USA), gewährleisten wir angemessene Schutzmaßnahmen wie:

• Standardvertragsklauseln (SCCs)
• Datenanonymisierung
• DSGVO-konforme Auftragsverarbeitungsverträge

10. Änderungen dieser Richtlinie

Wir können diese Datenschutzrichtlinie aktualisieren, um Änderungen unserer Praktiken oder gesetzlichen Anforderungen widerzuspiegeln. Wir werden:

• Sie über wesentliche Änderungen per E-Mail oder In-App-Benachrichtigung informieren
• Das Datum "Zuletzt aktualisiert" oben aktualisieren
• Ihre Einwilligung einholen, wenn dies gesetzlich erforderlich ist

Die fortgesetzte Nutzung des Dienstes nach Änderungen gilt als Akzeptanz der aktualisierten Richtlinie.

11. Kontakt

Für datenschutzbezogene Fragen, Auskunftsersuchen oder zur Ausübung Ihrer Rechte:

Datenschutzbeauftragter:
E-Mail: privacy@aetha.ai
Webseite: https://aetha.ai

EU-Vertreter (falls zutreffend):
[Wird bei Bedarf basierend auf Ihrer Geschäftsstruktur festgelegt]