FeaturesPricingClient AppDatenschutzAGBImpressumDPAKonto löschen
Start Free Trial

Datenschutzerklärung

Stand: April 2026 · Version 2.0

1. Allgemeines und Geltungsbereich

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (EU-Datenschutz-Grundverordnung, DSGVO; Bundesdatenschutzgesetz, BDSG; Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, TDDDG). Diese Datenschutzerklärung gilt für die Nutzung der Plattform Ownit (Website ownit-app.de, Coach-Dashboard app.ownit-app.desowie die mobile App „Ownit Coach“ für iOS und Android).

2. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
Ownit GmbH
Musterstraße 1, 12345 Musterstadt, Deutschland
E-Mail: datenschutz@ownit-app.de
Tel.: +49 (0)XXX XXX XXX

3. Datenschutzbeauftragter

Sie erreichen unseren Datenschutzbeauftragten unter datenschutz@ownit-app.de oder postalisch an die oben genannte Adresse mit dem Zusatz „Der Datenschutzbeauftragte“.

4. Verarbeitete Datenkategorien

Im Rahmen der Plattformnutzung verarbeiten wir folgende Daten:

  • Stammdaten: Name, E-Mail-Adresse, Geburtsdatum, ggf. Rollenzuweisung (Coach / Klient).
  • Gesundheits- und Fitnessdaten (Art. 9 DSGVO): Körpergewicht, Körpermaße, Trainingsdaten (Übungen, Sätze, Wiederholungen, Gewichte, Volumen), Fortschrittsfotos, Form-Check-Videos, Bereitschafts-/Erholungsscores.
  • Ernährungsdaten: Makronährstoffe, Kalorienzufuhr, Mahlzeitenprotokolle, Nahrungsmittel-Barcodes, KI-erkannte Lebensmittelfotos.
  • Kommunikationsdaten: Chat-Nachrichten (Coach↔Klient sowie AI-Coach), geteilte Medien, Typisch-Indikatoren, Lesebestätigungen.
  • Nutzungs- und Gerätedaten: Log-Daten, IP-Adresse (anonymisiert), Gerätemodell, Betriebssystemversion, App-Version, Abstürze und Fehlermeldungen.
  • Zahlungs- und Abrechnungsdaten: Abonnementstatus, Laufzeiten, Transaktions-IDs (konkrete Karten-/Kontodaten werden ausschließlich von unseren Zahlungsdienstleistern verarbeitet).
  • Einwilligungs- und Audit-Daten: Zeitpunkt und Version der erteilten Einwilligungen zum Nachweis gemäß Art. 7 DSGVO.

5. Zwecke der Verarbeitung

Die Verarbeitung erfolgt zu folgenden Zwecken:

  • Bereitstellung, Betrieb und Weiterentwicklung der Coaching-Plattform
  • Authentifizierung, Kontoverwaltung und Passwort-Reset
  • Kommunikation zwischen Coach und Klient, einschließlich AI-gestützter Coach-Chat
  • Erstellung, Anpassung und Optimierung von Trainings- und Ernährungsplänen unter Einsatz generativer KI (siehe Ziffer 9)
  • Analyse von Trainings-, Ernährungs- und Fortschrittstrends zur Optimierung des Coachings
  • Abrechnung, Zahlungsabwicklung und Abonnementverwaltung
  • Push-Benachrichtigungen über App-Ereignisse (mit Einwilligung)
  • Fehlerüberwachung, Sicherheitsanalyse und Missbrauchserkennung
  • Produktanalytik zur Verbesserung der Benutzerfreundlichkeit (nur mit Einwilligung, siehe Ziffer 12)
  • Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten

6. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — Bereitstellung der Plattform, Abwicklung des Coaching- und Abonnementverhältnisses.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) — steuer- und handelsrechtliche Aufbewahrungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — Sicherheit der Plattform, Missbrauchsabwehr, anonymisierte Fehlerüberwachung.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Produktanalytik, Marketing-Kommunikation (sofern angeboten), optionale Funktionen.
  • Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) — Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheits- und Fitnessdaten).

7. Einwilligung und Widerruf

Die Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO erfolgt ausschließlich auf Basis einer ausdrücklichen Einwilligung, die bei der Registrierung bzw. bei der Annahme einer Coach-Einladung durch eine explizite Checkbox erteilt wird. Die Einwilligung erfasst:

  • Körpergewicht, Körpergröße und Körpermaße
  • Trainingsdaten (Übungen, Gewichte, Wiederholungen, Trainingsvolumen)
  • Ernährungsdaten (Makronährstoffe, Kalorienzufuhr)
  • Fortschrittsfotos und Form-Check-Videos
  • Übermittlung dieser Daten an den beauftragten Coach

Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden — entweder über die Profileinstellungen in der App (Tab „Manage“ → „Profil“ → „Einwilligungen“) oder per E-Mail an datenschutz@ownit-app.de. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt.

Nach Widerruf wird das Nutzerkonto deaktiviert und die betroffenen Gesundheitsdaten werden innerhalb von 30 Tagen gelöscht. Stamm- und Rechnungsdaten bleiben gemäß gesetzlicher Aufbewahrungspflichten erhalten (siehe Ziffer 8).

8. Speicher- und Löschfristen

Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt. Im Einzelnen gelten:

  • Fortschrittsfotos: konfigurierbar 30–180 Tage (Standard: 90 Tage), danach automatische Löschung.
  • Form-Check-Videos: 30 Tage nach Empfang; vom Coach archivierte Videos bleiben bis Ende der Coaching-Beziehung erhalten.
  • Chat-Medien und -Nachrichten: Dauer der Coaching-Beziehung + 30 Tage.
  • Trainings- und Ernährungsprotokolle: Dauer der Coaching-Beziehung + 30 Tage.
  • AI-Coach-Konversationen: in der Plattform gespeichert, löschbar auf Nutzerwunsch; werden nicht zum Training von KI-Modellen verwendet.
  • Einwilligungs-Audit-Log: 3 Jahre (Nachweispflicht gem. Art. 7 Abs. 1 DSGVO).
  • Rechnungs- und Transaktionsbelege: 10 Jahre gem. § 147 AO.
  • Sentry-Fehlerprotokolle: 90 Tage (Standard-Retention des Anbieters), IP-Adressen werden sofort anonymisiert.
  • Kontodaten (nach Löschanforderung): innerhalb von 30 Tagen vollständige Löschung in allen aktiven Systemen. Details siehe Konto löschen.

9. Einsatz generativer KI (Google Gemini)

Für die KI-gestützte Erstellung und Anpassung von Trainings- und Ernährungsplänen, die Analyse von Check-Ins und Fortschritt, den AI-Coach-Chat sowie die Lebensmittel-Fotoerkennung setzen wir Google Gemini (Gemini-Modellfamilie) über die Google Generative Language API ein. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (für EU-Nutzer).

  • Übermittelte Daten: nur die für die jeweilige Anfrage nötigen Informationen (z. B. Trainingsziele, aktuelle Statistiken, Mahlzeitenfoto). Wir pseudonymisieren dabei, wo immer möglich — Klarnamen und E-Mail-Adressen werden nicht übermittelt.
  • Speicherung bei Google: Google speichert API-Eingaben und -Ausgaben gemäß der Gemini API Terms of Service temporär zu Missbrauchsabwehr; die Daten werden gemäß der abonnierten Stufe nicht zum Modelltraining verwendet.
  • Drittlandübermittlung: Die Verarbeitung kann auch auf Google-Servern außerhalb der EU/EWR stattfinden. Google LLC ist unter dem EU–US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten).

Wichtiger Hinweis: KI-generierte Inhalte (Trainingspläne, Ernährungsempfehlungen, Coach-Antworten) stellen keine medizinische oder ernährungswissenschaftliche Beratung dar. Details siehe unsere AGB § 11.

10. Auftragsverarbeiter und weitere Empfänger

Wir setzen folgende externe Dienstleister als Auftragsverarbeiter gem. Art. 28 DSGVO ein. Für alle Anbieter mit Sitz bzw. möglicher Verarbeitung außerhalb der EU/EWR liegen Standardvertragsklauseln (SCC) oder ein Angemessenheitsbeschluss vor.

  • Supabase Inc. (1 Letterman Dr, San Francisco, USA) — Datenbank, Authentifizierung, Storage. Datenverarbeitung in der EU-Region (Irland). Grundlage: SCC + EU Data Privacy Framework.
  • Vercel Inc. (440 N Barranca Ave #4133, Covina, USA) — Hosting der Website und des Coach-Dashboards. EU/US-Edge-Regionen, SCC + Data Privacy Framework.
  • Google Ireland Limited / Google LLC — Google Generative Language API (Gemini). Details siehe Ziffer 9.
  • Stripe Payments Europe, Ltd. (Dublin, Irland) — Zahlungsabwicklung für Coach-Abonnements. Stripe Inc. ist unter dem EU–US Data Privacy Framework zertifiziert; PCI-DSS Level 1.
  • RevenueCat, Inc. (San Francisco, USA) — Abonnement- und Kaufabwicklung in der mobilen App (iOS/Android). SCC + Data Privacy Framework.
  • Apple Inc. (Cupertino, USA) / Google Ireland Limited— In-App-Kauf- und Abonnementabwicklung über den App Store bzw. Google Play. Einzelheiten zur Datenverarbeitung regeln die Datenschutzerklärungen der Stores.
  • Functional Software, Inc. d/b/a Sentry (San Francisco, USA) — Fehlerüberwachung und Performance-Monitoring (Web + Mobile). IP-Adressen werden serverseitig sofort anonymisiert. SCC + Data Privacy Framework.
  • PostHog, Inc. (San Francisco, USA) — Produktanalytik im Coach-Dashboard (nur mit ausdrücklicher Einwilligung). Hosting wahlweise EU; SCC + Data Privacy Framework.
  • Expo, Inc. (Palo Alto, USA) — Mobile Push Notifications (Expo Push Service) und Build-Infrastruktur (EAS). SCC + Data Privacy Framework.
  • FatSecret Platform API (FatSecret Australia Pty Ltd.) — Bereitstellung der öffentlichen Lebensmitteldatenbank. Übermittelt werden ausschließlich Suchbegriffe und Barcodes, keine personenbezogenen Daten.

Eine aktuelle Unterauftragnehmer-Liste für Coaches, die als eigenständige Verantwortliche handeln, finden Sie in unserem Auftragsverarbeitungsvertrag (AVV).

11. Drittlandübermittlung

Sofern Daten in Länder außerhalb der EU/EWR übertragen werden (insbesondere USA), stützen wir uns auf:

  • Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 zum EU–US Data Privacy Framework, soweit der jeweilige Empfänger zertifiziert ist (u. a. Google, Stripe, Sentry, Vercel, PostHog).
  • Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Durchführungsbeschluss (EU) 2021/914) mit ergänzenden technischen und organisatorischen Maßnahmen.

12. Cookies, lokale Speicherung und Web-Analyse

Auf der öffentlichen Website (ownit-app.de) verwenden wir ausschließlich technisch notwendige Cookies (Session, Authentifizierung) gemäß § 25 Abs. 2 Nr. 2 TDDDG.

Im Coach-Dashboard setzen wir — nur mit Ihrer Einwilligung — zusätzlich PostHog zur anonymisierten Produktanalytik ein. Die Einwilligung erfolgt über ein Consent-Banner nach erstem Login und kann jederzeit in den Kontoeinstellungen widerrufen werden. Ohne Einwilligung werden keinerlei Analytics-Cookies gesetzt.

Die mobile App nutzt die lokale Speicherung des Geräts (AsyncStorage / SQLite) ausschließlich zur Bereitstellung der Kernfunktionen und für den Offline-Betrieb. Es werden keine Werbe-Identifier (IDFA / AAID) ausgelesen.

13. Push-Benachrichtigungen

Für Push-Benachrichtigungen in der mobilen App verarbeiten wir eindeutige Geräte-Tokens, die uns Apple (APNs) bzw. Google (FCM) über den Expo Push Service zur Verfügung stellen. Der Versand erfolgt nur, wenn Sie den Geräteberechtigungen zugestimmt haben (iOS / Android System-Dialog, Art. 6 Abs. 1 lit. a DSGVO). Ein Widerruf ist jederzeit in den Geräteeinstellungen möglich.

14. Rolle der Coaches (Art. 26 / Art. 28 DSGVO)

Registrieren Sie sich als Coach und laden Sie Klienten auf die Plattform ein, verarbeiten Sie deren personenbezogene Daten als eigenständig Verantwortliche(r) im Sinne der DSGVO. Wir fungieren insoweit als Auftragsverarbeiter des Coaches und stellen einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zur Verfügung.

15. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO, „Recht auf Vergessenwerden“)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — wir stellen Ihnen einen vollständigen Export im JSON-Format zur Verfügung.
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)
  • Nichtunterwerfung unter eine ausschließlich automatisierte Entscheidung, einschließlich Profiling (Art. 22 DSGVO). Hinweis: KI-gestützte Plan-Vorschläge werden stets durch Sie bzw. Ihren Coach überprüft und freigegeben.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an datenschutz@ownit-app.de. Ein Selbstbedienungs-Export sowie die Kontolöschung sind in der App unter Manage → Profil verfügbar.

Sie haben zudem das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts. Zuständig für uns ist:
Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit des jeweils zuständigen Bundeslandes — maßgeblich ist der Sitz der Ownit GmbH (siehe Impressum).

16. Datensicherheit (Art. 32 DSGVO)

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • TLS 1.2+ Verschlüsselung aller Datenverbindungen (HSTS, HTTPS-only)
  • AES-256 Verschlüsselung im Ruhezustand (Datenbank und Storage-Buckets)
  • Row-Level-Security (RLS) auf Datenbankebene — Coaches sehen ausschließlich die Daten ihrer eigenen Klienten
  • PKCE-Flow für OAuth/Passwort-Reset; Multi-Faktor-fähige Authentifizierung
  • Audit-Logging sicherheitsrelevanter Aktionen (Login, Datenexport, Löschungen)
  • Getrennte Produktions-/Staging-Umgebungen, regelmäßige Backups, Zugriffsprotokollierung
  • Rate-Limiting und Missbrauchsabwehr auf KI- und Authentifizierungs-Endpunkten

17. Gesundheitshinweis (Haftungsausschluss)

Die über Ownit bereitgestellten Trainings-, Ernährungs- und KI-Empfehlungen ersetzen keine medizinische, physiotherapeutische oder ernährungswissenschaftliche Beratung. Bei gesundheitlichen Einschränkungen konsultieren Sie bitte einen qualifizierten Heilberufler, bevor Sie Trainings- oder Ernährungsänderungen vornehmen.

18. Minderjährige

Die Nutzung der Plattform ist Personen unter 16 Jahren nicht gestattet. Wir verarbeiten wissentlich keine Daten von Minderjährigen ohne ausdrückliche Zustimmung der Erziehungsberechtigten.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an veränderte rechtliche oder technische Anforderungen anzupassen. Bei wesentlichen Änderungen informieren wir Sie mindestens 14 Tage vor Inkrafttreten per E-Mail oder über einen deutlich sichtbaren Hinweis in der App. Bei Einwilligungs-relevanten Änderungen werden Sie erneut um Zustimmung gebeten.