Datenschutzerklärung

Verantwortlich für die Datenverarbeitung ist: WoDSmith, Benjamin Knoth, Op'n Steenbarg 5, 25469 Halstenbek, Deutschland, E-Mail: info@wodsmith.de.

Wir erheben und verarbeiten folgende personenbezogene Daten:

Registrierungsdaten: Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Geburtsdatum, Wohnsitzland.

Profildaten: Gewicht, Größe, Trainingslevel, Ziele, Ausrüstung, Ernährungspräferenzen.

Optionale gesundheitsbezogene Angaben: Verletzungen, Einschränkungen, Allergien und vergleichbare sensible Angaben, sofern du entsprechende Felder in deinem Profil ausfüllst.

Nutzungsdaten: Trainingspläne, Workout-Sessions, Ernährungspläne, persönliche Rekorde, Chat-Nachrichten mit dem KI-System.

Sprachaufnahmen (optional): Wenn du die Voice-Eingabe (Diktat-Funktion im Chat) nutzt, werden kurze Audioaufnahmen (max. 20 MB pro Aufnahme) zur Transkription an den Azure-OpenAI-Whisper-Dienst in Sweden Central übermittelt. Die Audio-Datei wird nach erfolgreicher Transkription sofort serverseitig verworfen und nicht dauerhaft gespeichert. Es wird ausschließlich der transkribierte Text als Chat-Nachricht persistiert.

Foto-Uploads (optional): Wenn du Bilder von Workouts (z. B. Whiteboards, Garmin/Strava-Screens) oder Mahlzeiten hochlädst, werden diese (max. 12 MB) zur Beschreibung an den Azure-OpenAI-Vision-Dienst (GPT-4.1-mini, Sweden Central) übermittelt. Die generierte Bildbeschreibung wird als Chat-Nachricht persistiert. Das Original-Bild wird als Base64-Data-URL Bestandteil deines Aktivitäts-Eintrags und ist nur für dich sichtbar. Du kannst Aktivitäts-Einträge inklusive Bild jederzeit in deinem Verlauf löschen.

Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeitpunkt (in Server-Logs, automatisch nach 30 Tagen gelöscht).

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung der Registrierungs-, Profil- und Nutzungsdaten zur Bereitstellung des Dienstes.

Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung): Verarbeitung optionaler gesundheitsbezogener Angaben wie Verletzungen, Einschränkungen oder Allergien, wenn du solche Felder in deinem Profil ausfüllst und die gesonderte Einwilligung bestätigst.

Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Technische Daten zur Sicherstellung des Betriebs und der Sicherheit.

Du kannst dich optional über deinen Google- oder Apple-Account registrieren und anmelden, statt ein Passwort zu vergeben.

Anbieter: Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bzw. Apple Distribution International Ltd. (Hollyhill Industrial Estate, Hollyhill, Cork, Irland).

Übermittelte Daten: Bei der Anmeldung empfangen wir von Google bzw. Apple deine E-Mail-Adresse, deinen Namen sowie eine pseudonyme Account-ID (google_id bzw. apple_id). Apple bietet zusätzlich die Funktion „E-Mail verbergen", bei der eine Apple-Relay-Adresse anstelle deiner echten E-Mail übermittelt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), für den Login-Vorgang selbst Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf den jeweiligen Anbieter-Button).

Drittland-Transfer: Google und Apple können Daten an ihre Konzernmuttergesellschaften in den USA (Google LLC, Apple Inc.) übermitteln. Beide Konzerne sind unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss vom 10.07.2023).

Weitere Informationen: Google Datenschutzerklärung · Apple Datenschutzerklärung.

Du kannst die Verknüpfung jederzeit per E-Mail an info@wodsmith.de auflösen lassen.

Wenn du uns per E-Mail (info@wodsmith.de) oder über das In-App-Kontaktformular anschreibst, verarbeiten wir die übermittelten Daten (E-Mail-Adresse, Name, Inhalt der Anfrage, ggf. Screenshots oder Logfile-Anhänge) zur Bearbeitung deines Anliegens.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung) bei kundenbezogenen Anfragen; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Supportbearbeitung) bei sonstigen Anfragen.

Speicherdauer: Support-Anfragen werden für 12 Monate nach Abschluss der Bearbeitung gespeichert, um bei Folgefragen den Kontext rekonstruieren zu können. Danach werden sie gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Eine gesonderte Einwilligung zur Verarbeitung gesundheitsbezogener Angaben wird nicht bereits bei der Registrierung abgefragt.

Stattdessen fragen wir diese Einwilligung erst dann ab, wenn du in deinem Profil tatsächlich Felder mit potenziell sensiblen Gesundheitsangaben ausfüllst, insbesondere Hinweise zu Verletzungen oder Einschränkungen, Allergien oder Unverträglichkeiten sowie optionale Zyklusdaten für die Funktion „Zyklusbasiertes Training".

Die Einwilligung wird einmalig gespeichert und gilt für alle so freiwillig bereitgestellten Angaben. Du kannst sie jederzeit mit Wirkung für die Zukunft widerrufen; die zugehörigen Felder (inkl. Zyklusdaten) werden dann aus deinem Profil entfernt.

Zyklusbasiertes Training (optional): Wenn du diese Funktion aktivierst, speichern wir zusätzlich das Datum deines letzten Periodenbeginns sowie deine durchschnittliche Zykluslänge. Daraus wird ausschließlich serverseitig die aktuelle Zyklusphase abgeleitet und an dein Trainingsprompt übergeben. Das Datum selbst wird nicht an Dritte weitergegeben — auch nicht an OpenAI. Die Funktion ist auf Profile mit Geschlechtsangabe „weiblich" oder „divers" beschränkt und kann jederzeit in deinem Profil deaktiviert und gelöscht werden.

Zur Erstellung personalisierter Trainingspläne und zur Beantwortung von Coach-Anfragen werden deine Profil- und Nutzungsdaten an den Microsoft Azure OpenAI Service übermittelt. Zur Bildbeschreibung von hochgeladenen Fotos werden zusätzlich Bild-Daten (Base64) an das Vision-Modell übermittelt. Verantwortliche Stelle in der EU ist Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Microsoft verarbeitet die Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage des Microsoft Products and Services Data Protection Addendum (DPA).

Verarbeitungsregion: Sämtliche Anfragen werden in der Microsoft-Region Sweden Central (Schweden) verarbeitet. Microsoft sichert vertraglich die Verarbeitung innerhalb der EU-Daten-Boundary zu — d. h. die Daten verlassen den geografischen Raum der EU/EWR im normalen Betrieb nicht. Voice-Aufnahmen werden zusätzlich strikt regional in Sweden Central verarbeitet (kein Cross-Region-Routing) und nach der Transkription sofort verworfen — weder bei WoDSmith noch bei Microsoft wird die Audio-Datei persistiert.

Kein Modell-Training: Microsoft verwendet die übermittelten Daten weder zum Training noch zum Re-Training oder Fine-Tuning der eingesetzten KI-Modelle. Dies ist Bestandteil der Standard-Azure-OpenAI-Vertragsbedingungen.

Speicherdauer: Microsoft persistiert Anfragen und Antworten standardmäßig bis zu 30 Tage zur Missbrauchserkennung; danach werden sie automatisch gelöscht. Eine Profilbildung über Sessions hinweg findet nicht statt.

Ergänzende Schutzmaßnahmen: Verschlüsselung in Transit (TLS 1.2+), Datenminimierung in Prompts (keine Übermittlung von Klarnamen, E-Mail-Adressen oder Geburtsdaten an Microsoft), Authentifizierung über Microsoft Managed Identity (keine API-Key-Schlüssel im Klartext), Zugriffskontrolle nach Least-Privilege-Prinzip.

Einwilligung & Widerruf: Die Verarbeitung erfolgt nur, wenn du der KI-gestützten Verarbeitung beim Abo-Abschluss (Schritt 2) als gesonderte Einwilligung neben AGB und Datenschutz zugestimmt hast (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Du kannst diese Einwilligung jederzeit in deinem Profil oder per E-Mail an info@wodsmith.de mit Wirkung für die Zukunft widerrufen. Ohne diese Einwilligung kannst du WoDSmith weiterhin zur manuellen Trainingsverwaltung nutzen, jedoch keine KI-Pläne generieren.

Hinweis zu Sub-Auftragsverarbeitern: Microsoft kann seinerseits OpenAI, Inc. (San Francisco, USA) als Sub-Auftragsverarbeiter einsetzen. Der Datenfluss zwischen Microsoft und OpenAI ist im Microsoft Products DPA und in den Azure-OpenAI-Service-Bedingungen geregelt; Microsoft trägt die Verantwortung dafür, dass alle Sub-Auftragsverarbeiter ein gleichwertiges Datenschutzniveau gewährleisten.

Die Abrechnung deines Abonnements wickeln wir über bis zu drei Auftragsverarbeiter ab — je nach Plattform, auf der du dein Abo abschließt:

RevenueCat, Inc. (1100 Alma St, Menlo Park, CA 94025, USA) — Subscription-Management-Plattform; orchestriert Abo-Lifecycle und konsolidiert Receipts/Webhooks aus den Stores.

Stripe Payments Europe, Ltd. (The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland) — Zahlungsdienstleister für Web-Käufe (Karte, SEPA, Apple Pay, Google Pay).

Apple Distribution International Ltd. (Hollyhill Industrial Estate, Hollyhill, Cork, Irland) — Zahlungsabwicklung über In-App Purchase (IAP) in der iOS-App. Hier kauft Apple das Abo formal von uns „im eigenen Namen für eigene Rechnung" und stellt dir gegenüber direkt ab; wir erhalten von Apple ausschließlich den anonymisierten Transaktions-Receipt + die Kauf-Bestätigung via RevenueCat-Webhook. Deine Zahlungsmittel-Daten verarbeitet ausschließlich Apple.

Übermittelte Daten: Pseudonyme Nutzer-ID (RevenueCat App User ID), gewählter Tarif, Abo-Status, Zahlungs-Status. Deine Zahlungsmittel-Daten (Kreditkarte, IBAN, PayPal etc.) gibst du direkt auf der gehosteten Stripe-Bezahlseite bzw. in der Apple-IAP-Sheet ein — sie erreichen unsere Server zu keinem Zeitpunkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittland-Transfer: RevenueCat ist in den USA ansässig. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie ergänzender Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Stripe und Apple verarbeiten in der EU (Irland); Apple kann Daten an die US-Konzernmuttergesellschaft Apple Inc. übermitteln (ebenfalls Data Privacy Framework + SCC).

Speicherdauer: Abrechnungs- und Transaktionsdaten werden bei RevenueCat, Stripe und Apple gemäß deren handels- und steuerrechtlichen Aufbewahrungspflichten (i. d. R. 10 Jahre nach § 147 AO / § 257 HGB) gespeichert.

Weitere Informationen: RevenueCat Datenschutzerklärung · Stripe Datenschutzerklärung · Apple Datenschutzerklärung.

Die App wird auf Microsoft Azure (EU-Region) gehostet. Microsoft ist Auftragsverarbeiter gemäß Art. 28 DSGVO. Es besteht ein Auftragsverarbeitungsvertrag.

Deine Daten werden ausschließlich in EU-Rechenzentren gespeichert.

E-Mail-Versand: Transaktions-E-Mails (z. B. Verifizierung, Kündigungs- und Erstattungsbestätigungen) werden über die Strato AG (Pascalstraße 10, 10587 Berlin, Deutschland) als Auftragsverarbeiter gemäß Art. 28 DSGVO versendet. Die Strato-Server befinden sich in Deutschland; ein Drittland-Transfer findet nicht statt. Übermittelt werden lediglich deine E-Mail-Adresse und der Inhalt der jeweiligen E-Mail.

Deine Daten werden gespeichert, solange dein Konto aktiv ist. Nach Löschung deines Kontos werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einwilligungsnachweise (Legal Consents) werden gem. Art. 7 Abs. 1 DSGVO für die Dauer der gesetzlichen Nachweispflicht aufbewahrt.

Du hast folgende Rechte gemäß DSGVO:

Auskunft (Art. 15): Welche Daten wir über dich gespeichert haben.

Berichtigung (Art. 16): Korrektur unrichtiger Daten.

Löschung (Art. 17): Löschung deiner Daten („Recht auf Vergessenwerden").

Einschränkung (Art. 18): Einschränkung der Verarbeitung.

Datenübertragbarkeit (Art. 20): Export deiner Daten in maschinenlesbarem Format.

Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung.

Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit mit Wirkung für die Zukunft.

So übst du deine Rechte aus: Sende eine formlose Anfrage an info@wodsmith.de unter Angabe der bei uns registrierten E-Mail-Adresse. Aus Sicherheitsgründen können wir vor Ausführung sensibler Anfragen (insbesondere Auskunft, Löschung, Datenexport) eine Identitätsbestätigung verlangen, z. B. durch Bestätigung eines an deine registrierte E-Mail-Adresse gesendeten Codes.

Bearbeitungsfrist: Wir bearbeiten deine Anfrage unverzüglich, spätestens innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen oder zahlreichen Anträgen kann die Frist um zwei weitere Monate verlängert werden; in diesem Fall informieren wir dich innerhalb des ersten Monats über die Verlängerung und deren Gründe.

Kontolöschung (Art. 17): Du kannst dein Konto jederzeit selbst über Einstellungen → Konto → Konto endgültig löschen entfernen oder die Löschung formlos per E-Mail an info@wodsmith.de beantragen. Beim Self-Service-Pfad wird dein Konto sofort gelöscht; ein zu diesem Zeitpunkt aktives Abonnement wird automatisch mitgekündigt — die Restlaufzeit verfällt ohne Erstattung. Die Löschung umfasst alle personenbezogenen Daten in WoDSmith. Stripe-Zahlungsbelege bleiben beim Zahlungsdienstleister Stripe unter dessen gesetzlicher Aufbewahrungspflicht (HGB §257) erhalten; gesetzlich aufzubewahrende Einwilligungsnachweise (Art. 7 Abs. 1 DSGVO) bleiben für die Dauer der Nachweispflicht erhalten.

Die Ausübung deiner Rechte ist für dich kostenfrei (Art. 12 Abs. 5 DSGVO).

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)

Holstenstraße 98, 24103 Kiel, Deutschland

Telefon: +49 431 988-1200 · E-Mail: mail@datenschutzzentrum.de · Web: www.datenschutzzentrum.de

Du kannst dich auch an jede andere Aufsichtsbehörde, insbesondere die deines gewöhnlichen Aufenthaltsortes oder des Ortes des mutmaßlichen Verstoßes, wenden.

WoDSmith verwendet keine Tracking-Cookies, keine Analyse-Tools und keine Werbe-Tracker. Wir setzen ausschließlich technisch notwendige Mechanismen ein, die für den Betrieb der App erforderlich sind.

Was wir verwenden: Authentifizierungs-Tokens (access_token, refresh_token) und App-Einstellungen (z. B. Sprachpräferenz für Legal-Seiten, Cookie-Banner-Status) im localStorage deines Browsers. Diese Daten werden ausschließlich lokal in deinem Browser gespeichert und nicht an Dritte übermittelt. Du kannst sie jederzeit über die Browser-Einstellungen löschen.

Was wir NICHT verwenden: keine HTTP-Tracking-Cookies, kein Google Analytics oder vergleichbare Analyse-Tools, keine Werbe-Netzwerke oder Retargeting, kein Facebook Pixel oder Social-Media-Tracker, keine Fingerprinting-Technologien.

Rechtsgrundlage: Da wir ausschließlich technisch notwendige Speicherung verwenden, ist gemäß § 25 Abs. 2 TDDDG keine Einwilligung erforderlich. Beim ersten Aufruf der Website erscheint ein einmaliger Info-Banner mit Verweis auf diese Seite — es handelt sich nicht um einen Einwilligungsdialog. Sollten wir in Zukunft optionale Cookies oder Analyse-Tools einsetzen, werden wir vorher deine Einwilligung einholen.