Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist Michael Kamleiter, Deutenbacherstraße 46, 90547 Stein, Deutschland. Kontakt: info@getreppd.app.

2. Datenschutzbeauftragter

Aufgrund der derzeitigen Größe des Dienstes ist die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben. Für alle Anfragen zum Datenschutz erreichst du den Verantwortlichen direkt unter info@getreppd.app.

3. Welche Daten wir erheben

3.1 Website (getreppd.app)

Diese Website ist eine statische Seite. Wir setzen keine Analytics, keine Tracking-Pixel, keine Werbe-Cookies und keine externen Schriften oder Embeds ein. Über die reine Auslieferung der Seite hinaus erheben wir nur die unten genannten technischen Verbindungsdaten.

3.1.1 Server-Logfiles

Beim Aufruf von getreppd.app verarbeitet unser Hosting-Provider automatisch technische Verbindungsdaten in Logfiles:

  • gekürzte IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • aufgerufene URL und HTTP-Statuscode
  • übertragene Datenmenge
  • Referrer-URL
  • User-Agent (Browser-/Betriebssystem-Kennung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website sowie an der Abwehr missbräuchlicher Zugriffe). Speicherdauer: in der Regel maximal 14 Tage, danach automatische Löschung. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.

Hosting-Auftragsverarbeiter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA (Cloudflare Pages). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Cloudflare ist nach dem EU-U.S. Data Privacy Framework zertifiziert; ergänzend gelten EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Auslieferung erfolgt überwiegend über Edge-Server in der jeweiligen Nutzerregion.

3.1.2 Kontaktaufnahme per E-Mail

Wenn du uns per E-Mail kontaktierst, verarbeiten wir die von dir mitgeteilten Daten (E-Mail-Adresse, Name, Inhalt) zur Bearbeitung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung). Wir löschen die Korrespondenz, sobald sie für den Zweck nicht mehr erforderlich ist, spätestens nach drei Jahren — es sei denn, gesetzliche Aufbewahrungsfristen (z. B. § 257 HGB) verlangen eine längere Aufbewahrung.

3.2 reppd App

a) Authentifizierungsdaten

Bei der Kontoerstellung speichern wir deine E-Mail-Adresse sowie einen gehashten Passwort-Verifier. Diese Daten werden serverseitig unverschlüsselt verarbeitet, um Login und Kontosicherheit zu ermöglichen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) Trainings- und Körperdaten (besondere Kategorie, Art. 9 DSGVO)

Workouts, Sätze/Wiederholungen/Gewichte sowie optionale Körpermaße (z. B. Gewicht, Körperfettanteil) sind Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO und fallen unter die besondere Kategorie nach Art. 9 DSGVO. Diese Daten werden auf deinem Gerät mit einem von dir abgeleiteten Schlüssel (Zero-Knowledge-Architektur, KEK/DEK) Ende-zu-Ende verschlüsselt, bevor sie unsere Server erreichen. Wir können diese Inhalte technisch nicht entschlüsseln. Details: Verschlüsselungsseite .

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung, erteilt mit Kontoerstellung) i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Du kannst die Einwilligung jederzeit widerrufen, indem du dein Konto in der App löschst — alle verschlüsselten Daten werden dann unmittelbar und kaskadierend gelöscht.

c) Apple Health Sync (optional)

Wenn du die Health-Integration aktivierst, liest reppd ausgewählte Daten aus Apple Health (insbesondere Workouts sowie Körpermaße wie Gewicht und Körperfettanteil) und schreibt entsprechende Workouts ggf. nach Apple Health zurück. Die Verarbeitung erfolgt zunächst lokal auf deinem Gerät; an unsere Server werden diese Daten nur in derselben Ende-zu-Ende-verschlüsselten Form übertragen wie deine sonstigen Trainingsdaten. Du kannst die Health-Berechtigung jederzeit in den iOS-Systemeinstellungen entziehen.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Einwilligung, erteilt beim erstmaligen Aktivieren der Health-Integration).

d) Abonnement & Zahlung (Pro)

Käufe und Abonnements werden ausschließlich über Apple In-App Purchase abgewickelt. Wir erhalten von Apple lediglich einen pseudonymen Kauf-Token zur Freischaltung der Pro-Features. Wir erhalten keine Zahlungsdaten, keine Kreditkarteninformationen und keine Apple-ID-Daten. Vertragspartner für die Zahlung ist Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

e) KI-Funktionen (Pro)

Im Pro-Tarif kannst du Workouts per KI importieren oder erstellen lassen. Hierzu werden die für die Funktion notwendigen Eingaben (z. B. ein von dir beschriebener Trainingsplan, eine Übungsbeschreibung) in entschlüsselter Form an unseren KI-Auftragsverarbeiter Anthropic PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA übermittelt. Wir übergeben dabei keine E-Mail-Adresse, keine Profilkennung und keine Identifikatoren, die einen Rückschluss auf deine Person zulassen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit du die KI-Funktion aktiv nutzt). Mit Anthropic besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und, soweit anwendbar, des EU-U.S. Data Privacy Framework. Anthropic gibt an, API-Eingaben nicht zum Training seiner Modelle zu verwenden.

f) Crash-Reports / Diagnose

Zur Stabilitätssicherung der App nutzen wir Sentry (Functional Software, Inc., 45 Fremont St, 8th Floor, San Francisco, CA 94105, USA). Bei Abstürzen werden technische Diagnosedaten (Stack-Trace, Geräte- und OS-Version, App-Version, anonymisierte Sitzungs-ID) übermittelt. Inhaltsdaten (deine Trainings- oder Gesundheitsdaten) werden dabei nicht übermittelt; personenbezogene Identifikatoren werden vor dem Versand entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung und Sicherheit der App). Mit Sentry besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; die Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln und, soweit anwendbar, des EU-U.S. Data Privacy Framework.

4. Wie wir deine Daten verwenden

  • Authentifizierung und Kontoverwaltung
  • Bereitstellung des reppd-Dienstes (Synchronisation verschlüsselter Daten)
  • Beantwortung von Support-Anfragen
  • Stabilitätssicherung und Fehlerdiagnose
  • Bereitstellung optionaler KI-Funktionen (Pro)

Wir verwenden deine Daten nicht für Werbung, externes Tracking oder Verkauf an Dritte. Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung dir gegenüber im Sinne von Art. 22 DSGVO findet nicht statt. Innerhalb des Dienstes nutzen wir deine Trainingsdaten ausschließlich, um dir Progressionsvorschläge und Statistiken anzuzeigen — diese Auswertung erfolgt auf deinem Gerät auf den entschlüsselten Daten.

5. Empfänger / Auftragsverarbeiter

Wir verkaufen, teilen oder vermieten deine Daten nicht. Folgende Auftragsverarbeiter unterstützen uns nach Art. 28 DSGVO:

  • Cloudflare, Inc. (USA) — Hosting / Edge-Auslieferung der Website
  • Anthropic PBC (USA) — KI-Funktionen im Pro-Tarif (nur bei aktiver Nutzung)
  • Functional Software, Inc. (Sentry) (USA) — Crash- und Fehlerdiagnose der App
  • Apple Distribution International Ltd. (Irland) — App-Vertrieb, In-App-Käufe, optionaler Health-Sync

Eine darüber hinausgehende Weitergabe an Dritte erfolgt nur, sofern wir gesetzlich dazu verpflichtet sind (z. B. auf behördliche Anordnung).

6. Datenübermittlungen in Drittländer

Soweit Daten an Anbieter in den USA übermittelt werden (siehe Abschnitt 3 und 5), geschieht dies auf Grundlage von:

  • dem Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (Art. 45 DSGVO), sofern der jeweilige Empfänger zertifiziert ist, und/oder
  • EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) mit ergänzenden technischen und organisatorischen Maßnahmen, insbesondere clientseitiger Ende-zu-Ende-Verschlüsselung für Gesundheitsdaten.

7. Datenspeicherung & Sicherheit

Inhaltliche Nutzerdaten werden in verschlüsselter Form in der EU gespeichert. Sensible personenbezogene Daten sind Ende-zu-Ende verschlüsselt mit einer Zero-Knowledge-Architektur (KEK/DEK). Wir setzen TLS-Transportverschlüsselung, regelmäßige Sicherheitsupdates und Zugriffsbeschränkungen nach Art. 32 DSGVO ein.

8. Deine Rechte (DSGVO)

Nach der DSGVO hast du das Recht auf:

  • Auskunft (Art. 15 DSGVO) — Kopie deiner Daten anfordern
  • Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren
  • Löschung (Art. 17 DSGVO) — Konto und alle Daten löschen
  • Datenübertragbarkeit (Art. 20 DSGVO) — Daten exportieren
  • Einschränkung (Art. 18 DSGVO) — Verarbeitung einschränken
  • Widerspruch (Art. 21 DSGVO) — der Datenverarbeitung widersprechen
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Ausübung deiner Rechte kontaktiere uns unter info@getreppd.app. Die Kontolöschung ist auch direkt in der App möglich und entfernt alle Daten permanent via Cascading Delete.

9. Cookies und ähnliche Technologien

Wir setzen auf getreppd.app derzeit weder Cookies noch vergleichbare Speicherungen in deiner Endeinrichtung ein. Sollten wir künftig technisch notwendige Cookies einsetzen, geschieht dies auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO. Details: Cookie-Richtlinie.

10. Speicherdauer

Wir speichern deine Daten, solange dein Konto besteht und dies zur Erbringung des Dienstes erforderlich ist. Bei Kontolöschung werden alle inhaltlichen Daten sofort und permanent gelöscht (kaskadierende Löschung, keine Soft-Deletes). Technische Logfiles werden nach maximal 14 Tagen gelöscht. Korrespondenz per E-Mail wird gelöscht, sobald sie nicht mehr erforderlich ist.

11. Minderjährige

reppd richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass ein Konto von einer Person unter 16 Jahren angelegt wurde, löschen wir das Konto unverzüglich.

12. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung aktualisieren, um sie an geänderte Rechts- oder Sachlagen anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite mit Datumsstempel abrufbar. Bei wesentlichen Änderungen informieren wir dich zusätzlich über die App oder per E-Mail.

13. Kontakt & Aufsichtsbehörde

Für Datenschutz-Anfragen kontaktiere uns unter info@getreppd.app.

Du hast das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen. Die für uns zuständige Behörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: www.lda.bayern.de