Datenschutzerklärung

FitMesh Sync ("wir", "unser", "die App") respektiert Ihre Privatsphäre und verpflichtet sich zum Schutz Ihrer personenbezogenen Daten. Diese Datenschutzerklärung erläutert, wie wir Gesundheitsdaten erheben, verwenden und schützen, wenn Sie unsere mobile Anwendung FitMesh Sync (com.fitmeshsync.app auf Google Play) nutzen.

Rechtsgrundlage der Verarbeitung: Art. 6(1)(b) DSGVO (Erfüllung des vom Nutzer angeforderten Dienstes) und Art. 9(2)(a) DSGVO (ausdrückliche Einwilligung zur Verarbeitung gesundheitsbezogener Daten, erteilt über die Health Connect/Samsung Health Berechtigungen innerhalb der App).

FitMesh Sync liest folgende Gesundheitsdaten von Ihrem Android-Gerät über autorisierte Dienste (Health Connect, Samsung Health Data SDK):

• •Körperliche Aktivität: Schritte, zurückgelegte Distanz, verbrannte Kalorien (aktiv und gesamt), erklommene Stockwerke
• •Herzfrequenz: Durchschnitt, Minimum/Maximum, Ruheherzfrequenz, HRV
• •Schlaf: Gesamtdauer, Schlafphasen (Tiefschlaf, REM, Leichtschlaf, wach), Einschlaf- und Aufwachzeiten
• •Körperzusammensetzung: Gewicht, Größe, BMI (sofern vom Nutzer angegeben)
• •Weitere Parameter: Sauerstoffsättigung (SpO₂), VO₂ max, Hauttemperatur, Höhenunterschied
• •Trainingseinheiten: Aktivitätstyp, Dauer, Distanz, Kalorien
• •Konto: E-Mail-Adresse (zur Authentifizierung über Supabase Auth) und Gerätekennung

Die erhobenen Daten werden ausschließlich verwendet für:

• •Synchronisierung: Empfang und Speicherung Ihrer Gesundheitsmetriken in unserem Cloud-Backend
• •Visualisierung: Darstellung der Daten auf der Dashboard-Ansicht der App
• •Support: Diagnose technischer Probleme, wenn Sie uns diese per E-Mail melden
• •Benachrichtigungen: Versand konfigurierbarer Erinnerungen (z. B. Sync-Hinweise) über Firebase Cloud Messaging

Wir verkaufen, teilen oder verwenden Ihre Daten nicht für Werbung oder Marketing. Es findet keine automatisierte Profilbildung statt, die rechtliche Wirkung für den Nutzer entfaltet.

Synchronisierte Daten werden an das FitMesh Sync-Backend gesendet, das gehostet wird bei:

• •Vercel Inc.: Hosting der serverlosen API für fitmesh.fit (bevorzugte Region: Europa fra1; einige Edge-Funktionen laufen in der dem Nutzer nächstgelegenen Region)
• •Supabase Inc.: verwaltete PostgreSQL-Datenbank + Authentifizierung + Speicher (Projekt in EU-Region, eu-central-1 Frankfurt)

Die Daten verbleiben bis zur Synchronisierung in einem lokalen Cache auf Ihrem Android-Gerät. Nach Empfangsbestätigung wird der lokale Cache geleert.

Die primäre Datenbank (Supabase Postgres) wird in der Europäischen Union (Frankfurt, Deutschland) gehostet. Einige Zusatzdienste bedingen jedoch eine Übermittlung in Drittländer, insbesondere in die USA:

• •Vercel (USA): Edge-Runtime und Anfrage-Logging. Übermittlung auf Grundlage der von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCC, Beschluss 2021/914) und eines mit Vercel unterzeichneten Datenverarbeitungsvertrags (DPA)
• •Resend (USA): Versand transaktionaler E-Mails (Beta-Anmeldebestätigung, Support-Kommunikation). Übermittlung auf Grundlage von SCC + DPA
• •Firebase Cloud Messaging (Google LLC, USA): Push-Benachrichtigungstransport. Google hält SCC und das EU-US Data Privacy Framework ein
• •Google Sign-In (Google LLC, USA): optionale Authentifizierung über Google-Konto. Übermittlung auf Grundlage von SCC + DPF

Vor der Übermittlung von Daten in die USA haben wir eine Übertragungsfolgenabschätzung (Transfer Impact Assessment) durchgeführt: die übermittelten Daten sind begrenzt und enthalten keine reinen biometrischen Identifikatoren; die SCC enthalten Aussetzungsklauseln bei Anfragen staatlicher Behörden; die gewählten Anbieter halten das EU-US Data Privacy Framework ein, soweit verfügbar.

• •Gesundheitsmetriken: gespeichert solange das Nutzerkonto aktiv ist. Die Kontolöschung erfolgt automatisch innerhalb von 24 Stunden nach Anfrage (aktiver geplanter Prozess) und löscht die zugehörigen Gesundheitsdaten endgültig
• •Anwendungs- und Sync-Logs: 90 Tage zur Fehlerbehebung aufbewahrt, danach automatisch gelöscht
• •Kontakt-E-Mails (Datenschutz/Support): 24 Monate zur Sicherstellung des Support-Kontinuums aufbewahrt, danach gelöscht
• •Datenbank-Backups: 7-Tage-Rotation über Supabase Point-in-Time-Recovery
• •Beta-Anmeldedaten: bis zum öffentlichen Launch aufbewahrt, danach anonymisiert oder gelöscht

FitMesh Sync benötigt folgende Berechtigungen:

• •Health Connect: zum Lesen von Gesundheitsdaten aus dem Android-Betriebssystem
• •Samsung Health (optional): bei Besitz einer Galaxy Watch, für zusätzliche Daten, die Health Connect nicht bereitstellt
• •Internetzugang: zur Synchronisierung der Daten mit dem FitMesh Sync-Backend
• •Hintergrund-Sync: zum periodischen Senden von Daten auch wenn die App geschlossen ist
• •Benachrichtigungen: zum Empfang von Sync-Erinnerungen und Systemmeldungen
• •Ausnahme von der Akkuoptimierung: zur Gewährleistung regelmäßiger Synchronisierung (erforderlich ab Android 14+)

Alle Berechtigungen werden ausdrücklich angefordert und können jederzeit in den Geräte- oder App-Einstellungen widerrufen werden.

• •Übertragung: alle Daten werden über HTTPS/TLS 1.2+ an fitmesh.fit übertragen
• •Lokale Speicherung: der lokale Cache wird nach vom Server bestätigter Zustellung geleert
• •Authentifizierungs-Token: Supabase-JWT im Android Keystore gespeichert (flutter_secure_storage)
• •Row-Level Security: jeder Nutzer kann ausschließlich seine eigenen Datensätze lesen und schreiben (Supabase-RLS-Richtlinien auf allen exponierten Tabellen)
• •Keine Drittanbieter-Tracker in der App: es sind keine Analytics-, Werbe- oder Profilierungs-SDKs in die App integriert

Gemäß der DSGVO haben Sie das Recht:

• •Auskunft: eine Kopie Ihrer bei uns gespeicherten Daten anzufordern
• •Berichtigung: unrichtige oder unvollständige Daten zu korrigieren
• •Löschung: die vollständige Löschung Ihres Kontos und der zugehörigen Daten zu verlangen. Die Anfrage wird automatisch innerhalb von 24 Stunden ausgeführt
• •Einschränkung: in bestimmten Fällen die Einschränkung der Verarbeitung zu verlangen
• •Datenübertragbarkeit: alle Ihre Daten selbst in strukturiertem JSON-Format aus der Export-Seite im Nutzerbereich (/app/export) zu exportieren
• •Widerspruch: der Verarbeitung aus legitimen Gründen zu widersprechen
• •Widerruf der Einwilligung: die Berechtigungen zum Zugriff auf Gesundheitsdaten jederzeit zu deaktivieren (der Widerruf berührt nicht die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung)

Das Recht auf Datenübertragbarkeit (Datenexport) und auf Löschung können Sie direkt im Nutzerbereich selbst ausüben. Für die übrigen Rechte oder falls Sie es vorziehen, schreiben Sie uns an privacy@fitmesh.fit. Wir antworten innerhalb von 30 Tagen gemäß Art. 12 DSGVO.

FitMesh Sync nutzt folgende Auftragsverarbeiter:

• •Health Connect (Google LLC): Android-Gesundheitsdatenquelle, lokal gelesen, nicht von uns an Google übermittelt
• •Samsung Health Data SDK (Samsung Electronics): Galaxy Watch-Datenquelle, lokal gelesen
• •Supabase Inc.: verwaltetes PostgreSQL + Auth (Frankfurt, DE), DPA unterzeichnet
• •Vercel Inc.: serverlose API-Hosting (USA, globale Edge), DPA unterzeichnet + SCC
• •Resend, Inc.: transaktionale E-Mail-Zustellung (USA), DPA + SCC
• •Google LLC (Firebase Cloud Messaging): Push-Benachrichtigungstransport (USA), DPA + SCC + DPF
• •Google LLC (Google Sign-In, optional): OAuth-Authentifizierung (USA), DPA + SCC + DPF
• •Google LLC (Google Play Billing): Verwaltung von In-App-Käufen, unterliegt den Google Play-Nutzungsbedingungen
• •Google Analytics 4 (nur Website, Opt-in): anonyme Analyse, nur nach ausdrücklicher Einwilligung über das Cookie-Banner aktiviert

Weitere Details zu den Website-Cookies finden Sie in unserer Cookie-Richtlinie.

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Bei wesentlichen Änderungen werden wir Sie per E-Mail oder über einen Hinweis in der App vor der nächsten Synchronisierung informieren. Das Datum der letzten Aktualisierung ist oben auf dieser Seite angegeben.

FitMesh Sync richtet sich nicht an Nutzer unter 16 Jahren (Altersgrenze gemäß Art. 8 DSGVO für die digitale Einwilligung). Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren ohne Einwilligung der Person mit elterlicher Verantwortung.

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, können Sie eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einreichen. Für Nutzer mit Wohnsitz in Italien ist dies der Garante per la Protezione dei Dati Personali: garanteprivacy.it. Wohnen Sie in einem anderen EU-Mitgliedstaat, können Sie sich an Ihre nationale zuständige Behörde wenden.