Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir verarbeiten, wenn Sie die Exelery-App oder unsere Website nutzen, auf welcher Rechtsgrundlage dies geschieht und welche Rechte Ihnen zustehen. Exelery verarbeitet auch Gesundheits- und Fitnessdaten sowie – nach Ihrer Freigabe – Daten aus dem Wearable WHOOP und setzt Künstliche Intelligenz zur Auswertung von Mahlzeiten und zur Plan­erstellung ein. Diese besonders schützenswerten Verarbeitungen sind nachfolgend ausführlich beschrieben.

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie unsere App nutzen oder unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen entnehmen Sie der nachfolgenden Datenschutzerklärung.

Wer ist verantwortlich für die Datenerfassung?

Die Datenverarbeitung in der Exelery-App und auf dieser Website erfolgt durch den Betreiber. Dessen Kontaktdaten finden Sie im Abschnitt „Hinweis zur verantwortlichen Stelle".

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie sie uns mitteilen – etwa bei der Registrierung, im Onboarding-Fragebogen, beim Erfassen von Mahlzeiten, beim Eintragen von Körpermaßen oder im Tagebuch. Andere Daten werden beim Betrieb der App automatisch durch unsere IT-Systeme erfasst (insbesondere technische Protokoll- und Nutzungsdaten). Daten aus Ihrem WHOOP-Konto werden nur nach Ihrer ausdrücklichen Freigabe (OAuth) über die WHOOP-Schnittstelle abgerufen.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten dient der fehlerfreien Bereitstellung von App und Website. Andere Daten nutzen wir, um Ihnen individuell angepasste Fitness- und Ernährungspläne zu erstellen, Ihre Mahlzeiten auszuwerten, Ihren Fortschritt zu verfolgen und KI-gestützte Empfehlungen zu generieren.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht auf Berichtigung oder Löschung dieser Daten. Wenn Sie eine Einwilligung erteilt haben, können Sie diese jederzeit für die Zukunft widerrufen. Ferner haben Sie unter bestimmten Umständen das Recht auf Einschränkung der Verarbeitung sowie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Hierzu können Sie sich jederzeit an uns wenden.

2. Hosting und Backend

Supabase / Amazon Web Services (AWS)

Unsere Anwendung nutzt Supabase als Backend-Plattform (Authentifizierung, Datenbank, Datei-Speicher). Anbieter ist die Supabase, Inc., 970 Toa Payoh North #07-04, 318992 Singapur. Supabase betreibt die für Exelery genutzte Infrastruktur auf Amazon Web Services (AWS) in einer Rechenzentrumsregion innerhalb der Europäischen Union. Für AWS ist die Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, 1855 Luxemburg zuständig.

Wenn Sie unsere App oder Website nutzen, werden Ihre personenbezogenen Daten auf Servern von AWS in der EU verarbeitet. Soweit es in Einzelfällen zu einer Übermittlung an das US-Mutterunternehmen kommt, wird diese auf die EU-Standardvertragsklauseln gestützt; AWS ist zudem nach dem „EU-US Data Privacy Framework" (DPF) zertifiziert. Details: AWS-DSGVO-Zusatz. Datenschutzerklärungen: Supabase und AWS.

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben mit Supabase einen Vertrag über Auftragsverarbeitung (AVV) geschlossen, der sicherstellt, dass personenbezogene Daten nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden.

GitHub Pages (Website)

Unsere Website unter exelery.de – einschließlich dieser Datenschutzerklärung – wird über GitHub Pages bereitgestellt. Anbieter ist die GitHub, Inc., 88 Colin P. Kelly Jr. Street, San Francisco, CA 94107, USA, ein Unternehmen der Microsoft-Gruppe. Beim Aufruf der Website verarbeitet GitHub technisch notwendige Zugriffsdaten – insbesondere Ihre IP-Adresse –, um die Seiten auszuliefern und die Sicherheit und Stabilität des Dienstes zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und zuverlässigen Bereitstellung der Website).

Da GitHub Daten auch in den USA verarbeitet, kann es zu einer Übermittlung in ein Drittland kommen. GitHub bzw. die Microsoft Corporation ist nach dem „EU-US Data Privacy Framework" (DPF) zertifiziert; ergänzend werden die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) herangezogen. Details: Datenschutzerklärung von GitHub.

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten und der Exelery-App nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Wir weisen darauf hin, dass die Datenübertragung im Internet Sicherheitslücken aufweisen kann; ein lückenloser Schutz vor dem Zugriff durch Dritte ist nicht möglich.

Hinweis zur verantwortlichen Stelle

Verantwortliche Stelle für die Datenverarbeitung in der Exelery-App und auf dieser Website ist:

KevsKryptoAcademy GbR
Kevin Baron & Moritz Euler
Dalenaer Straße 18
06193 Wettin-Löbejün

Telefon: +49 17664800709
E-Mail: support@exelery.de

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung widerrufen, werden Ihre Daten gelöscht, sofern keine anderen rechtlich zulässigen Gründe für die Speicherung bestehen. Konkrete Hinweise finden Sie in den jeweiligen Abschnitten sowie unter „Kontolöschung und Datenlöschung".

Rechtsgrundlagen der Datenverarbeitung

Sofern Sie in die Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. – bei besonderen Datenkategorien nach Art. 9 Abs. 1 DSGVO (Gesundheitsdaten) – auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Sind Ihre Daten zur Vertragserfüllung oder für vorvertragliche Maßnahmen erforderlich, verarbeiten wir sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Daneben kann die Verarbeitung auf unserem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO beruhen.

Empfänger Ihrer Daten / eingesetzte Dienstleister

Wir geben personenbezogene Daten nur weiter, wenn dies zur Vertragserfüllung erforderlich ist, wir gesetzlich verpflichtet sind, ein berechtigtes Interesse besteht oder eine sonstige Rechtsgrundlage dies erlaubt. Folgende Dienstleister können dabei in Ihrem Auftrag bzw. zur Bereitstellung der Dienste tätig werden:

• Supabase, Inc. / Amazon Web Services – Backend, Authentifizierung, Datenbank und Datei-Speicher (Hosting in der EU). Singapur / EU · Datenschutz
• Anthropic, PBC (Claude API) – KI-Analyse von Mahlzeiten sowie Erstellung von Plänen, Einkaufslisten und Motivationstexten. USA (Standardvertragsklauseln) · Datenschutz
• Whoop, Inc. – Datenquelle für Wearable-Daten (nur bei aktiver Verbindung Ihres WHOOP-Kontos). USA · Datenschutz
• Open Food Facts (Association loi 1901) – Lebensmittel- und Barcode-Datenbank für die Produktsuche. Frankreich (EU) · Datenschutz
• 650 Industries, Inc. (Expo / EAS) – App-Erstellung, Auslieferung und Updates. USA · Datenschutz
• Google Ireland Ltd. – Anmeldung per Google-Konto (sofern von Ihnen genutzt). Irland · Datenschutz
• Apple Distribution International Ltd. – Anmeldung mit Apple (sofern von Ihnen genutzt). Irland · Datenschutz
• Meta Platforms Ireland Ltd. – Anmeldung per Facebook-Konto (sofern von Ihnen genutzt). Irland · Datenschutz
• GitHub, Inc. (GitHub Pages) – Hosting der Website exelery.de. USA (DPF / Standardvertragsklauseln) · Datenschutz

Übermittlung in Drittländer (insbesondere USA)

Einzelne der oben genannten Dienste verarbeiten Daten in den USA (insbesondere Anthropic, WHOOP, Expo und GitHub). Die USA gelten datenschutzrechtlich als Drittland ohne generell angemessenes Schutzniveau. Eine Übermittlung erfolgt daher nur, wenn geeignete Garantien im Sinne von Art. 44 ff. DSGVO bestehen – in der Regel auf Grundlage der von der EU-Kommission erlassenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und/oder einer Zertifizierung nach dem „EU-US Data Privacy Framework", ergänzt um zusätzliche technische und organisatorische Maßnahmen. Soweit Gesundheitsdaten betroffen sind, stützen wir die Übermittlung zusätzlich auf Ihre ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

Wenn die Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, haben Sie jederzeit das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wenn Sie Widerspruch einlegen, werden wir Ihre betroffenen personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen (Widerspruch nach Art. 21 Abs. 1 DSGVO).

Werden Ihre personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Wenn Sie widersprechen, werden Ihre personenbezogenen Daten anschließend nicht mehr zum Zwecke der Direktwerbung verwendet (Widerspruch nach Art. 21 Abs. 2 DSGVO).

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht Ihnen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere im Mitgliedstaat Ihres gewöhnlichen Aufenthalts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen.

Auskunft, Berichtigung und Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung sowie ggf. ein Recht auf Berichtigung oder Löschung dieser Daten.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Das Recht besteht in folgenden Fällen:

• Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten Daten bestreiten, benötigen wir in der Regel Zeit zur Überprüfung.
• Wenn die Verarbeitung unrechtmäßig geschah/geschieht, können Sie statt der Löschung die Einschränkung verlangen.
• Wenn wir Ihre Daten nicht mehr benötigen, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.
• Wenn Sie Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben und noch nicht feststeht, wessen Interessen überwiegen.

SSL- bzw. TLS-Verschlüsselung

Diese Seite und unsere App nutzen aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Auf dem Gerät werden sicherheitsrelevante Daten (z. B. die Anmelde-Sitzung) verschlüsselt im geschützten Speicher des Betriebssystems (Keystore/Keychain) abgelegt.

Mindestalter

Die Exelery-App richtet sich nicht an Kinder. Eine Nutzung ist erst ab einem Alter von 16 Jahren zulässig. Personen unter 16 Jahren dürfen die App nur mit Einwilligung der Erziehungsberechtigten nutzen. Sollten wir Kenntnis davon erlangen, dass wir ohne entsprechende Einwilligung Daten von Minderjährigen verarbeiten, werden diese Daten gelöscht.

4. Registrierung und Anmeldung

Registrierung mit E-Mail und Passwort

Sie können sich in der Exelery-App mit E-Mail-Adresse und Passwort registrieren. Dabei erheben wir:

• E-Mail-Adresse
• Passwort (ausschließlich als kryptografischer Hash gespeichert, kein Klartext)

Diese Daten dienen der Bereitstellung Ihres Nutzerkontos. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Authentifizierung erfolgt über Supabase Auth; die Anmeldedaten werden auf Servern in der EU gespeichert (siehe Abschnitt 2). Nach der Registrierung erhalten Sie eine Bestätigungs-E-Mail; Ihr Konto wird erst nach Bestätigung vollständig aktiviert.

Anmeldung mit Drittanbietern (Google, Apple, Facebook)

Alternativ können Sie sich über einen externen Anbieter anmelden. Die Anmeldung erfolgt über ein sicheres Autorisierungsverfahren (OAuth); wir erhalten dabei je nach Anbieter insbesondere Ihren Namen, Ihre E-Mail-Adresse, ggf. ein Profilbild sowie eine anbieterseitige Nutzerkennung. Diese Daten dienen ausschließlich der Erstellung und Verwaltung Ihres Nutzerkontos. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Verfügbar sind:

• Google – Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Datenschutz).
• Apple („Mit Apple anmelden") – Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland (Datenschutz). Apple bietet die Möglichkeit, Ihre E-Mail-Adresse zu verbergen („Hide My Email").
• Facebook – Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland (Datenschutz).

Google, Apple und Meta sind nach dem EU-US Data Privacy Framework zertifiziert. Es werden nur die Anbieter angeboten, die in der App aktiviert sind.

5. Profil-, Onboarding-, Ziel- und Tagebuchdaten

Onboarding-Fragebogen und Nutzerprofil

Im Onboarding (mehrteiliger Fragebogen zu Ernährung, Training und Motivation) und in Ihrem Profil erheben wir Angaben zu Ihrer Person und Ihren Fitnesszielen, insbesondere:

• Name
• Geschlecht
• Geburtsdatum bzw. Alter
• Größe und Gewicht
• Ziel (z. B. Abnehmen, Muskelaufbau)
• Aktivitätslevel
• Ernährungstyp / Diätpräferenzen
• Verletzungen oder gesundheitliche Einschränkungen (sofern angegeben)
• Motivationsstil

Diese Daten benötigen wir, um Ihnen personalisierte Pläne und Auswertungen bereitzustellen, und speichern sie in unserer Datenbank bei Supabase (EU). Rechtsgrundlage für die Bereitstellung dieser Funktionen ist Art. 6 Abs. 1 lit. b DSGVO. Soweit es sich um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO handelt (z. B. Gewicht, Verletzungen, gesundheitliche Einschränkungen), erfolgt die Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Sie können diese Einwilligung jederzeit widerrufen.

Ziele und Tagebuch

Sie können in der App persönliche Ziele anlegen (z. B. mit Zieldatum) und Tagebucheinträge verfassen. Diese Daten dienen der Bereitstellung der Ziel- und Tagebuchfunktionen; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Soweit Sie in Tagebucheinträgen freiwillig gesundheitsbezogene Angaben machen, erfolgt die Verarbeitung auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Anhand eines Zieldatums können – sofern von Ihnen aktiviert – lokale Erinnerungen auf Ihrem Gerät geplant werden (siehe Abschnitt 12).

6. Ernährungsdaten und Mahlzeiten-Tracking

Erfassung von Mahlzeiten

In der App können Sie Mahlzeiten erfassen. Dabei verarbeiten wir die von Ihnen eingegebenen bzw. erzeugten Daten, insbesondere:

• Bezeichnung und Beschreibung der Mahlzeiten
• Kalorien und Nährwerte (Makronährstoffe: Eiweiß, Kohlenhydrate, Fett)
• Zeitpunkt der Erfassung sowie ggf. als „Cheat-Day" markierte Tage

Diese Daten dienen der Bereitstellung der Tracking- und Auswertungsfunktionen und werden in unserer Datenbank bei Supabase (EU) gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; soweit Rückschlüsse auf Gesundheitsdaten möglich sind, zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Nährwert-Schätzung per Foto und Texteingabe (KI)

Sie können Mahlzeiten per Texteingabe oder per Foto erfassen. Zur Schätzung der Nährwerte werden die Texteingabe bzw. das Foto an unseren KI-Dienstleister übermittelt (siehe Abschnitt 10). Mahlzeiten-Fotos werden dabei ausschließlich zur Analyse übertragen und von uns nicht dauerhaft gespeichert – gespeichert wird lediglich das Ergebnis der Schätzung (z. B. Bezeichnung, Kalorien und Nährwerte). Für diese Verarbeitung gilt zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Lebensmittel- und Barcode-Suche (Open Food Facts)

Für die Suche nach Lebensmitteln und das Scannen von Barcodes nutzen wir die öffentliche Datenbank von Open Food Facts. Bei einer Suchanfrage wird die jeweilige Anfrage (z. B. Suchbegriff oder Barcode) an die Server von Open Food Facts übermittelt; dabei kann technisch Ihre IP-Adresse verarbeitet werden. Open Food Facts wird von einer gemeinnützigen Vereinigung in Frankreich betrieben (Open Food Facts, 21 rue des Îles, 94100 Saint-Maur-des-Fossés, Frankreich); die Daten werden innerhalb der EU verarbeitet, es findet insoweit keine Drittlandübermittlung statt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der von Ihnen genutzten Suchfunktion) bzw. Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: Datenschutzerklärung von Open Food Facts.

Einkaufsliste

Auf Wunsch erstellen wir aus Ihrem Ernährungsplan eine Einkaufsliste. Die zugehörigen Einträge werden in Ihrer Datenbank gespeichert; zur Erstellung kann der KI-Dienst genutzt werden (siehe Abschnitt 10). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

7. Trainingsdaten und Trainingspläne

Im Rahmen der Trainingsfunktionen verarbeiten wir Ihre Trainingsdaten und die für Sie erstellten Trainingspläne. Dazu gehören insbesondere:

• absolvierte bzw. abgehakte Trainingseinheiten (Datum, Bezeichnung/Fokus, Notizen),
• geloggte Arbeitssätze (Übung, Satz, Wiederholungen, Gewicht),
• die durch die KI generierten Trainings- und Ernährungspläne.

Diese Daten dienen der Bereitstellung und Personalisierung der Trainingsfunktionen und werden in unserer Datenbank bei Supabase (EU) gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; soweit Gesundheits- bzw. Fitnessdaten betroffen sind, zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Zur Plan­erstellung durch KI siehe Abschnitt 10.

8. Körpermaße und Profilbild

Körpermaße und Gewichtsverlauf

Sie können in der App Körpermaße erfassen, um Ihren Fortschritt zu dokumentieren. Dazu zählen insbesondere Gewicht, Körperfettanteil sowie Umfangsmaße (z. B. Taille, Brust, Hüfte, Arm, Oberschenkel) nebst optionalen Notizen. Diese Angaben sind Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO; die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Die Daten werden in unserer Datenbank bei Supabase (EU) gespeichert und für Ihre Fortschritts-Diagramme sowie zur Anpassung Ihrer Pläne genutzt.

Profilbild

Sie können optional ein Profilbild aufnehmen oder aus Ihrer Galerie auswählen. Das Bild wird in unserem Datei-Speicher (Supabase Storage, EU) abgelegt und in der App über eine Bild-URL eingebunden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO. Sie können Ihr Profilbild jederzeit in der App ändern oder entfernen.

9. Anbindung von WHOOP (Wearable-Integration)

Sie können in der App optional Ihr WHOOP-Konto verbinden, um Mess- und Trainingsdaten Ihres WHOOP-Geräts in Exelery zu nutzen. Die Verbindung erfolgt über das Autorisierungsverfahren OAuth: Sie melden sich bei WHOOP an und geben gezielt einzelne Datenbereiche („Scopes") frei. Erst nach dieser ausdrücklichen Freigabe rufen wir die entsprechenden Daten über die WHOOP-Schnittstelle (API) ab.

Die Verarbeitung dieser WHOOP-Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO (in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO), die Sie mit der Freigabe in der App erteilen. Wir nutzen die Daten, um sie Ihnen in der App darzustellen und in Ihre Auswertungen sowie Pläne einfließen zu lassen.

Zur Bereitstellung der Verbindung speichern wir die im Rahmen von OAuth ausgestellten Zugriffs- und Aktualisierungs-Token, den Verbindungsstatus sowie – sofern verfügbar – Ihre WHOOP-Nutzerkennung (zur Anzeige/Diagnose) in unserer Datenbank bei Supabase (EU). Die Speicherung erfolgt in den Tabellen user_integrations (Verbindungs- und Token-Daten), whoop_daily (tägliche Verbrauchs-/Belastungsdaten) und whoop_workouts (Trainingseinheiten). Der Austausch und die Erneuerung der Token erfolgen ausschließlich serverseitig; das WHOOP-Client-Secret verlässt unsere Server nicht.

WHOOP als eigenständiger Anbieter. Anbieter des WHOOP-Dienstes ist die Whoop, Inc., 1325 Boylston St. #401, Boston, MA 02215, USA. WHOOP verarbeitet die Daten auf der eigenen Plattform in eigener Verantwortung; es gilt die Datenschutzerklärung von WHOOP. Da WHOOP in den USA sitzt, handelt es sich beim Abruf um eine Übermittlung aus einem Drittland; hierfür gelten die im Abschnitt „Übermittlung in Drittländer" beschriebenen Garantien sowie Ihre ausdrückliche Einwilligung.

Verbindung trennen / Widerruf. Sie können die WHOOP-Verbindung jederzeit in der App trennen. Dabei werden die gespeicherten Token sowie die bereits synchronisierten WHOOP-Daten (whoop_daily und whoop_workouts) gelöscht und es werden keine weiteren Daten mehr von WHOOP abgerufen. Den Zugriff können Sie zusätzlich direkt in Ihrem WHOOP-Konto widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

10. Einsatz von Künstlicher Intelligenz (KI)

Wozu wir KI einsetzen und welche Daten übermittelt werden

Exelery nutzt einen KI-Dienst, um Ihre Mahlzeiten auszuwerten und um individuell angepasste Inhalte zu erstellen. Im Einzelnen:

• Mahlzeiten-Schätzung – Ihre Texteingabe bzw. Ihr Mahlzeiten-Foto wird zur Schätzung von Portionsgröße und Nährwerten analysiert.
• Plan-Erstellung – zur Erstellung von Ernährungs- und Trainingsplänen werden relevante Profil-, Ziel- und (sofern vorhanden) Verlaufsdaten übermittelt.
• Einkaufsliste und wöchentliche Auswertung – zur Erstellung der Einkaufsliste sowie einer kurzen wöchentlichen Ernährungs-Auswertung.

Eingesetzter Dienstleister und Drittlandtransfer

Eingesetzt wird ausschließlich der Dienst Claude API der Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA (Datenschutz). Da Anthropic seine Server in den USA betreibt, werden die genannten Daten in ein Drittland übermittelt. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO; mit Anthropic besteht ein Vertrag über Auftragsverarbeitung (Data Processing Addendum). Die Übermittlung erfolgt serverseitig über unser Backend; der API-Schlüssel wird nicht an die App ausgegeben.

Soweit dabei Gesundheitsdaten verarbeitet werden (z. B. weil Mahlzeiten-Fotos oder Profil-/Verlaufsdaten Rückschlüsse auf Ihre Gesundheit zulassen), erfolgt dies ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der von Ihnen genutzten Funktion).

Keine Nutzung Ihrer Daten zum KI-Training

Nach Angaben von Anthropic werden Inhalte, die über die kommerzielle API übermittelt werden, nicht zum Training der KI-Modelle verwendet. Die übermittelten Inhalte werden nur für einen kurzen Zeitraum (standardmäßig sieben Tage) zu Zwecken der Sicherheit und Missbrauchserkennung gespeichert und anschließend gelöscht.

Keine automatisierte Entscheidung im Einzelfall

Eine ausschließlich automatisierte Entscheidung im Einzelfall einschließlich Profiling, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO), findet nicht statt. Die KI-gestützten Auswertungen und Empfehlungen dienen ausschließlich Informations- und Unterstützungszwecken und ersetzen keine ärztliche, ernährungsmedizinische oder sonstige fachliche Beratung.

11. Technische Daten und Protokolle

Zur Gewährleistung eines stabilen, sicheren und fehlerfreien Betriebs sowie zur Produktverbesserung verarbeiten wir technische Daten und Protokolle in unserer eigenen Datenbank bei Supabase (EU). Ein gesonderter Analyse-Dienstleister (Drittanbieter) kommt hierfür nicht zum Einsatz. Erfasst werden insbesondere:

• Fehlerprotokolle (error_logs): Fehlermeldung, technische Fehlerdetails (Stack-Trace), betroffener App-Bereich/Bildschirm, Zeitpunkt sowie – sofern Sie angemeldet sind – ein Bezug zu Ihrem Konto.
• Ereignisprotokolle (event_logs): Bezeichnung des Ereignisses, technische Zusatzangaben zum Ereignis, betroffener Bildschirm, Zeitpunkt sowie – sofern Sie angemeldet sind – ein Bezug zu Ihrem Konto.

Diese Daten können technisch auch bereits vor einer Anmeldung erfasst werden, damit Fehler frühzeitig erkannt werden. Sie dienen der Fehleranalyse, der Stabilität und Sicherheit sowie der Verbesserung der App. Rechtsgrundlage ist unser berechtigtes Interesse an einem funktionsfähigen, sicheren und nutzerfreundlichen Dienst gemäß Art. 6 Abs. 1 lit. f DSGVO. Bei einer Kontolöschung wird ein etwaiger Bezug dieser Protokolle zu Ihrem Konto entfernt; die Einträge verbleiben anschließend nur noch in anonymisierter Form (ohne Personenbezug).

12. App-Bereitstellung, Berechtigungen und Benachrichtigungen

App-Erstellung und Updates (Expo / EAS)

Die Exelery-App wird mit der Plattform Expo erstellt und ausgeliefert; hierfür nutzen wir die Expo Application Services (EAS) der 650 Industries, Inc. (Expo), San Francisco, CA, USA. Über diese Dienste werden App-Builds erstellt, verteilt und – sofern eingesetzt – Aktualisierungen bereitgestellt. Dabei können technische Daten verarbeitet werden, etwa zur Auslieferung der App oder zur Prüfung auf verfügbare Updates. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren Bereitstellung und Aktualisierung der App). Soweit Daten in den USA verarbeitet werden, gelten die im Abschnitt „Übermittlung in Drittländer" beschriebenen Garantien. Weitere Informationen: Datenschutzerklärung von Expo.

Geräteberechtigungen (Kamera und Fotos)

Für bestimmte Funktionen fragt die App Berechtigungen ab: den Zugriff auf die Kamera (zum Aufnehmen von Mahlzeiten-Fotos und zum Scannen von Barcodes) sowie den Zugriff auf Ihre Fotogalerie (zum Auswählen eines Profilbilds). Sie können diese Berechtigungen jederzeit in den Geräteeinstellungen erteilen oder entziehen. Die Verarbeitung der so erfassten Inhalte ist in den Abschnitten 6 und 8 beschrieben.

Lokale Benachrichtigungen

Die App kann Ihnen Erinnerungen senden (z. B. zu Zielen oder als Geburtstagsgruß). Diese Benachrichtigungen werden – sofern Sie die Benachrichtigungsberechtigung erteilen – ausschließlich lokal auf Ihrem Gerät geplant und ausgelöst. Ein Push-Token wird hierfür nicht erzeugt und es werden hierfür keine zusätzlichen personenbezogenen Daten an uns oder Dritte übertragen. Sie können Benachrichtigungen jederzeit in den Geräteeinstellungen deaktivieren.

13. Kontolöschung und Datenlöschung

Sie können Ihr Nutzerkonto und die damit verbundenen personenbezogenen Daten jederzeit löschen. Hierfür stehen Ihnen zwei Wege zur Verfügung:

• In der App: Über die integrierte Funktion „Konto löschen" wird Ihr Konto unmittelbar und unwiderruflich gelöscht. Alle zugehörigen Daten werden dabei automatisch mitgelöscht.
• Per E-Mail: Alternativ können Sie Ihren Löschwunsch an support@exelery.de richten; wir setzen die Löschung dann zeitnah, spätestens innerhalb von 30 Tagen um, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Die Löschung umfasst insbesondere:

• Ihr Nutzerkonto (Authentifizierungsdaten)
• Ihr Nutzerprofil sowie Ihre Onboarding-Angaben (Ernährung, Training, Motivation)
• Ihre Ziele und Tagebucheinträge
• Ihre Ernährungs- und Mahlzeiten­daten sowie Einkaufslisten
• Ihre Trainingsdaten (Trainings-Logbuch, geloggte Sätze) und generierten Pläne
• Ihre Körpermaße und Ihr Profilbild
• Ihre WHOOP-Verbindungs- und Token-Daten sowie synchronisierte WHOOP-Daten

Technische Protokolle (Fehler-/Ereignisprotokolle) werden nicht gelöscht, sondern – wie in Abschnitt 11 beschrieben – um den Personenbezug bereinigt und verbleiben nur noch anonymisiert. Möchten Sie ausschließlich die WHOOP-Verbindung beenden, ohne Ihr Konto zu löschen, können Sie die Verbindung in der App trennen (siehe Abschnitt 9).

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen, z. B. bei der Einführung neuer Funktionen. Für Ihren erneuten Besuch bzw. die weitere Nutzung gilt dann die jeweils aktuelle Fassung. Den Stand erkennen Sie am Datum oben auf dieser Seite.

Basistext erstellt mit Unterstützung von e-recht24.de, ergänzt und überarbeitet durch eigene, auf die Exelery-App abgestimmte Abschnitte gemäß DSGVO (u. a. zu WHOOP-Integration, KI-Verarbeitung, Mahlzeiten-Tracking, Körpermaßen und technischen Protokollen).