Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:
Ben Riese
Vollmondstraße 47
44894 Bochum
Deutschland
E-Mail: riese_ben@gmx.de

2. Welche Daten verarbeitet werden

In der FitCoach-App können folgende Daten gespeichert werden:

• Profilname, E-Mail-Adresse und Passwort-Hash
• optionale Angabe, ob ein Profil vegan ist
• Kalorien-, Lebensmittel- und Makroeinträge
• Workouts, Gewohnheiten und Trainingsnotizen
• Tagebuch-, Stimmungs- und Check-in-Einträge
• Videoeinträge oder Medien, falls hochgeladen
• technische Serverdaten wie IP-Adresse, Zeitpunkt und Browserinformationen
• temporäre Passwort-Reset-Tokens, wenn die Funktion „Passwort vergessen“ genutzt wird

3. Zweck der Verarbeitung

Die Daten werden verarbeitet, um Benutzerprofile, Fitnessfortschritt, Kalorien, Tagebuch, Gewohnheiten und persönliche App-Einstellungen bereitzustellen.

4. Rechtsgrundlage

Die Verarbeitung erfolgt, soweit erforderlich, zur Bereitstellung der App und auf Grundlage deiner Einwilligung durch aktive Nutzung und Eingabe der Daten. Bei öffentlicher Nutzung sollte die genaue Rechtsgrundlage vor dem Start rechtlich geprüft werden.

5. Hosting

Diese Website wird gehostet bei STRATO GmbH, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland. Der Hosting-Anbieter verarbeitet technische Zugriffsdaten, damit die Website sicher und stabil ausgeliefert werden kann.

Mit dem Hosting-Anbieter sollte ein Vertrag zur Auftragsverarbeitung abgeschlossen werden, sofern personenbezogene Daten über die Website gespeichert oder verarbeitet werden.

6. Speicherung der Nutzerdaten

Die App speichert Benutzer- und Profildaten serverseitig in einer MariaDB-Datenbank im Speicherbereich der Website.

• Datenbank: MariaDB bei STRATO
• Backups/Exporte: Admin-Export aus der App
• Gespeichert werden Konten, E-Mail-Adressen, Passwort-Hashes, Sperrstatus, Sitzungen, einmalige Einladungscodes, Profile, Tagebuch-, Kalorien-, Workout-, Gewohnheit-, Video- und Chatdaten.

Passwörter werden nicht im Klartext gespeichert, sondern als Passwort-Hash mit Salt. Passwort-Reset-Links sind nur zeitlich begrenzt gültig, werden serverseitig nur gehasht gespeichert und können nur einmal verwendet werden. Nutzer können ihre eigenen Daten in der App herunterladen. Admins können zusätzlich einen Gesamtexport für Sicherungs- und Verwaltungszwecke erstellen.

7. KI-Funktionen und externe Dienste

Je nach Nutzung können einzelne Anfragen an externe Dienste übermittelt werden. Normale Profil-, Tagebuch-, Kalorien-, Workout- und Gewohnheitdaten werden nicht automatisch an diese Dienste gesendet.

• Wetter: Open-Meteo, wenn im KI-Chat nach Wetter gefragt wird.
• Websuche: DuckDuckGo Instant Answer API, wenn im KI-Chat eine Websuche/Onlinefrage gestellt wird.
• Videos: YouTube, wenn ein YouTube-Link gespeichert und ein Video bewusst über den Button geladen/abgespielt wird. Vor dem Klick wird kein YouTube-Player geladen.
• KI: deaktiviert oder eigener Ollama-Server auf dem PC des Betreibers. Eine KI wird nur angebunden, wenn serverseitig OLLAMA_URL gesetzt ist und der Betreiber-PC dauerhaft läuft. Nutzeranfragen an den KI-Chat können dann an diesen eigenen Ollama-Dienst übermittelt werden.

8. Speicherdauer

Profil- und App-Daten werden gespeichert, bis das Profil gelöscht wird oder eine Löschung verlangt wird. Nutzer können ihr eigenes Profil in der App löschen. Admins können Profile ebenfalls löschen oder sperren.

Beim Löschen eines Profils werden Konto, Passwort-Hash, Sitzungen, Profil-, Tagebuch-, Kalorien-, Workout-, Gewohnheit-, Video- und Chatdaten entfernt. Ein vom Betreiber erstellter Einladungscode kann als verbrauchter Code bestehen bleiben, der Benutzerbezug wird dabei anonymisiert.

9. Deine Rechte

Du hast grundsätzlich Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. In der App kannst du deine Daten herunterladen und dein Profil löschen. Außerdem kannst du dich bei einer Datenschutzaufsichtsbehörde beschweren.

10. Sicherheit

Passwörter werden nicht im Klartext gespeichert, sondern als Hash. Die Website sollte nur über HTTPS betrieben werden. Der Speicherordner storage/ darf von außen nicht direkt abrufbar sein. Backups dürfen ebenfalls nicht öffentlich erreichbar sein.