Datenschutzerklärung
Version: 1.0
Gültig ab: 1. Juni 2026
Zuletzt aktualisiert: 1. Juni 2026
Inhaltsverzeichnis
- Über diese Richtlinie
- Wer wir sind
- Informationen, die wir erheben
- Wie wir Ihre Informationen verwenden
- Rechtsgrundlagen der Verarbeitung
- Datenspeicherung und Sicherheit
- Datenweitergabe und Dritte
- Datenspeicherfristen
- Ihre Rechte
- Konto- und Datenlöschung
- Datenschutz für Kinder
- Internationale Datenübermittlungen
- Cookies und Website-Tracking
- Änderungen dieser Richtlinie
- Kontakt
Regionale Anhänge:
- A. Europäischer Wirtschaftsraum, UK & Schweiz
- B. USA und Kanada
- C. Brasilien
- D. Lateinamerika — Mexiko und Argentinien
- E. Japan und Südkorea
- F. Naher Osten — Vereinigte Arabische Emirate und Saudi-Arabien
- G. Indien und Indonesien
- H. Türkei
- I. Russland und GUS — Kasachstan, Usbekistan
- J. Australien
- K. Afrika — Südafrika, Nigeria, Kenia, Ägypten
- L. Mindestaltersanforderungen nach Region
1. Über diese Richtlinie {#about}
Diese Datenschutzerklärung erläutert, wie HelAI („wir", „uns", „unser") personenbezogene Daten erhebt, verwendet, speichert und schützt, wenn Sie die mobile HelAI-Anwendung (verfügbar für iOS und Android) und die Website helai.app (zusammen der „Dienst") nutzen.
Wir verpflichten uns, Ihre Privatsphäre zu schützen und Ihre persönlichen Daten transparent zu handhaben. Bitte lesen Sie diese Richtlinie sorgfältig durch, bevor Sie den Dienst nutzen.
2. Wer wir sind {#who-we-are}
Verantwortlicher: Konstantin Yeftifeyev (handelnd als HelAI)
Rechtsraum: Republik Kasachstan
Datenschutzkontakt: [email protected]
Website: https://helai.app
3. Informationen, die wir erheben {#information-we-collect}
3.1 Kontodaten
Wenn Sie ein Konto erstellen, erheben wir:
- E-Mail-Adresse
- Anzeigename
- Authentifizierungsanbieter (Google, Apple oder E-Mail/Passwort)
- Firebase-Nutzer-ID (eindeutige Systemkennung)
- Zeitpunkt der Kontoerstellung
3.2 Gesundheits- und Fitnessdaten
HelAI kann mit Apple Health (iOS) oder Google Health Connect (Android) integriert werden, um Gesundheitsinformationen anzuzeigen. Wenn Sie die Berechtigung erteilen, können wir lesen:
- Schlafdauer und -qualität
- Ruheherzfrequenz und Herzfrequenzvariabilität (HRV)
- Gewicht und Körpergröße
- Körperfettanteil
- Tägliche Schritte und aktive Minuten
Diese Daten werden ausschließlich lokal auf Ihrem Gerät gespeichert. Sie werden niemals auf externe Server übertragen oder mit Dritten geteilt.
3.3 Trainingsdaten
Alle Trainingsinformationen, die Sie in der App erstellen oder protokollieren:
- Trainingseinheiten, Sätze, Wiederholungen und Gewichte
- Persönliche Rekorde und Ziele
- Trainingshistorie und -verläufe
- Benutzerdefinierte Übungseinstellungen
Diese Daten werden lokal in einer verschlüsselten Datenbank gespeichert und selektiv mit Firebase Data Connect für die geräteübergreifende Synchronisierung synchronisiert.
Geplante zukünftige Funktion: Cloud-Backup und -Synchronisierung vollständiger Trainingsdaten werden als optionale kostenpflichtige Funktion angeboten.
3.4 Kameradaten
Wenn Sie die KI-Kamerafunktion verwenden, verarbeitet Ihr Gerät Live-Videoframes lokal, um Körperhaltungen zu erkennen und Wiederholungen zu zählen.
Kameradaten werden niemals gespeichert, übertragen oder aufgezeichnet. Die Verarbeitung erfolgt vollständig auf dem Gerät durch unser lokales ML-Modell.
3.5 Gerätedaten und Diagnosedaten
- Gerätemodell, Betriebssystem und App-Version
- App-Absturzberichte und Stack-Traces (über Firebase Crashlytics)
- Leistungsmetriken zur Diagnose technischer Probleme
3.6 Nutzungsanalytik
- Bildschirmaufrufe und Feature-Interaktionen
- Workout-Abschlussquoten
- Allgemeine Nutzungsmuster (aggregiert, nicht personenbezogen)
Erfasst von Firebase Analytics zur Verbesserung des Dienstes.
3.7 Gerätedaten
Workout-Ereignisse und Sensordaten werden über Bluetooth Low Energy zwischen Ihrem Telefon und Ihrem Garmin-Gerät ausgetauscht, falls vorhanden. Es werden keine Daten an Garmin-Server weitergegeben.
3.8 Website-Daten
Wenn Sie helai.app besuchen:
- Sprachpräferenz (im localStorage des Browsers gespeichert)
- Kontaktformulareinsendungen (Name, E-Mail, Betreff, Nachricht)
4. Wie wir Ihre Informationen verwenden {#how-we-use}
Wir verwenden Ihre personenbezogenen Daten für:
- Bereitstellung des Dienstes: Kontoauthentifizierung, Trainingssynchronisierung
- KI-Funktionen: On-Device-Trainingserkennung und Formfeedback
- Fortschrittsverfolgung: Persönliche Rekorde, Ziele und Analysen
- Fehlerbehebung: Absturzmeldungen und Diagnosedaten
- Verbesserung des Dienstes: Anonymisierte Nutzungsanalytik
- Support: Reaktion auf Kontaktformulareinsendungen
- Rechtliche Verpflichtungen: Einhaltung geltender Gesetze
5. Rechtsgrundlagen der Verarbeitung {#legal-bases}
Gemäß DSGVO und gleichwertigen Gesetzen verarbeiten wir Ihre Daten auf folgenden Grundlagen:
| Verarbeitungsaktivität | Rechtsgrundlage | Artikel (DSGVO) |
|---|---|---|
| Kontoerstellung und -verwaltung | Vertragserfüllung | Art. 6(1)(b) |
| Trainingssynchronisierung | Vertragserfüllung | Art. 6(1)(b) |
| Firebase Analytics | Berechtigtes Interesse | Art. 6(1)(f) |
| Firebase Crashlytics | Berechtigtes Interesse | Art. 6(1)(f) |
| Gesundheitsdatenzugriff | Ausdrückliche Einwilligung | Art. 9(2)(a) |
| Reaktion auf Support-Anfragen | Berechtigtes Interesse | Art. 6(1)(f) |
| Einhaltung rechtlicher Verpflichtungen | Rechtliche Verpflichtung | Art. 6(1)(c) |
6. Datenspeicherung und Sicherheit {#storage-security}
6.1 Speicherorte
- Lokaler Gerätespeicher: Verschlüsselte SQLite-Datenbank (SQLCipher, AES-256) für alle lokalen Daten
- Cloud-Speicher: Firebase / Google Cloud Platform, Region europe-southwest1 (Spanien), für Kontodaten und synchronisierte Daten
- Gesundheitsdaten: Ausschließlich auf dem Gerät; niemals in der Cloud gespeichert
6.2 Sicherheitsmaßnahmen
- TLS 1.3 für alle Netzwerkkommunikation
- Firebase Authentication mit scoped API-Tokens
- Regelmäßige Sicherheits-Reviews und Abhängigkeitsupdates
- Zugriffskontrollen beschränken Mitarbeiterzugang zu Benutzerdaten
7. Datenweitergabe und Dritte {#data-sharing}
Wir verkaufen, vermieten oder handeln Ihre personenbezogenen Daten nicht. Wir teilen Daten nur mit:
| Dritter | Zweck | Datentypen | Rahmen |
|---|---|---|---|
| Google LLC (Firebase) | Auth, Datenbank, Analytik, Crashberichte | Kontodaten, Analytik | Datenverarbeitungsvertrag |
| Cloudflare, Inc. | Turnstile Anti-Spam auf Website-Formular | Sicherheitstoken | Cloudflare-Datenschutzrichtlinie |
- Keine Werbepartner — keine Werbenetzwerke integriert
- Keine Datenmakler — wir teilen nicht mit Datenbrokern
- Keine Drittanbieter-Analytik außer Firebase Analytics
- Garmin — nur BLE-Kommunikation mit dem Gerät des Nutzers, keine serverseitige Datenweitergabe
8. Datenspeicherfristen {#data-retention}
| Datenkategorie | Aufbewahrungsfrist |
|---|---|
| Kontodaten | Bis zur Kontolöschung |
| Trainingsdaten (lokal) | Bis zur App-Deinstallation oder Kontolöschung |
| Trainingsdaten (Cloud) | Bis zur Kontolöschung |
| Gesundheitsdaten | Lokal nur; gelöscht bei Deinstallation |
| Analytikdaten | 14 Monate (Firebase-Standard) |
| Absturzberichte | 90 Tage |
| Kontaktformular-Einsendungen | 12 Monate |
9. Ihre Rechte {#your-rights}
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunftsrecht: Kopie Ihrer gespeicherten Daten erhalten
- Berichtigungsrecht: Ungenaue Daten korrigieren lassen
- Recht auf Löschung: Alle personenbezogenen Daten löschen lassen
- Datenübertragbarkeit: Daten in maschinenlesbarem Format erhalten
- Widerspruchsrecht: Der Verarbeitung für Analytikzwecke widersprechen
- Recht auf Einschränkung: Verarbeitung einschränken lassen
- Widerruf der Einwilligung: Einwilligung für Gesundheitsdaten jederzeit widerrufen
Zur Ausübung Ihrer Rechte schreiben Sie an: [email protected] oder nutzen Sie die App-Einstellungen.
Bearbeitungszeit: Innerhalb von 30 Tagen.
10. Konto- und Datenlöschung {#account-deletion}
Methode 1: In der App
Profil → Einstellungen → Konto löschen → Bestätigen
Methode 2: Per E-Mail
Senden Sie eine Anfrage an [email protected] mit Ihrer Konto-E-Mail-Adresse.
Was gelöscht wird
- Firebase-Konto und Authentifizierungsdaten
- Alle in der Cloud gespeicherten Trainingsdaten
- Alle lokalen Daten (bei Deinstallation der App)
- Gesundheitsdaten (lokal, automatisch bei Deinstallation)
Bearbeitungszeit: Innerhalb von 30 Tagen. Die Löschung ist unwiderruflich.
11. Datenschutz für Kinder {#childrens-privacy}
Der Dienst richtet sich an Personen ab 16 Jahren (oder höherem gesetzlichen Mindestalter in bestimmten Ländern). Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Falls wir feststellen, dass wir Daten von einem Kind unter 16 Jahren gesammelt haben, löschen wir diese unverzüglich.
Eltern oder Erziehungsberechtigte, die glauben, dass ihr Kind Daten übermittelt hat, wenden sich bitte an [email protected].
12. Internationale Datenübermittlungen {#international-transfers}
- Verantwortlicher: Republik Kasachstan
- Datenverarbeitung: Google Cloud Platform, Region europe-southwest1 (EU/Spanien)
- Übermittlungsmechanismus: Standardvertragsklauseln (SCC) mit Google
- Gesundheitsdaten: Keine internationale Übermittlung (nur auf dem Gerät)
Mit der Nutzung des Dienstes stimmen Sie der internationalen Datenübermittlung gemäß dieser Richtlinie zu, soweit dies gesetzlich erforderlich ist.
13. Cookies und Website-Tracking {#cookies}
- Nur essenziell: Sprachpräferenz (localStorage)
- Keine Tracking-Cookies, keine Drittanbieter-Cookies
- Cloudflare Turnstile: Nur zur Sicherheitsverifizierung, kein Nutzer-Tracking
- Kein Retargeting, keine Pixel-Tracker, keine Social-Media-Tracker
14. Änderungen dieser Richtlinie {#changes}
Wesentliche Änderungen werden über eine In-App-Benachrichtigung mitgeteilt. Das Datum „Zuletzt aktualisiert" wird aktualisiert. Die weitere Nutzung des Dienstes nach Inkrafttreten der Änderungen gilt als Zustimmung. Frühere Versionen sind auf Anfrage erhältlich.
15. Kontakt {#contact}
Datenschutzanfragen: [email protected]
Allgemeiner Support: [email protected]
Antwortzeit: Innerhalb von 30 Kalendertagen
Regionale Anhänge
Anhang A: Europäischer Wirtschaftsraum, Vereinigtes Königreich und Schweiz {#region-eea}
Rechtsgrundlagen (DSGVO Art. 6 und Art. 9): Siehe Abschnitt 5 für eine detaillierte Tabelle.
Ihre Rechte unter der DSGVO umfassen die Rechte aus Art. 15–22: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und das Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden.
Beschwerderecht: Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen (z. B. BfDI in Deutschland, CNIL in Frankreich, ICO im Vereinigten Königreich).
DSFA: Eine Datenschutz-Folgenabschätzung wurde für die Verarbeitung von Gesundheitsdaten durchgeführt.
Keine automatisierte Entscheidungsfindung mit Rechtswirkung findet statt.
Grenzüberschreitende Datenübermittlungen an Google (Firebase) erfolgen auf Basis der Standardvertragsklauseln der EU (Art. 46 DSGVO).
Anhang B: Vereinigte Staaten und Kanada {#region-us-ca}
CCPA/CPRA (Kalifornien): Wir verkaufen oder teilen Ihre personenbezogenen Daten nicht im Sinne des CCPA. Sie haben das Recht auf Auskunft, Löschung, Berichtigung und das Recht, der Nutzung sensibler personenbezogener Daten zu widersprechen. Anträge richten Sie an [email protected].
Kategorien erhobener personenbezogener Daten (CCPA-Taxonomie): Identifikatoren (E-Mail, Name), Gesundheits- und Fitnessinformationen, Internet-/Netzwerkaktivität (Nutzungsanalytik), Geräteinformationen.
PIPEDA (Kanada): Die Verarbeitung erfolgt auf der Grundlage eines „vernünftigen Zwecks" mit ausdrücklicher Einwilligung für Gesundheitsdaten. Québec (Gesetz 25): Datenschutz-Folgenabschätzung durchgeführt; Datenschutzrichtlinie auf Französisch verfügbar unter /fr/privacy.
Anhang C: Brasilien {#region-brazil}
Die Verarbeitung personenbezogener Daten brasilianischer Nutzer erfolgt gemäß dem Lei Geral de Proteção de Dados (LGPD).
Rechtsgrundlagen (LGPD Art. 7 und Art. 11): Vertragserfüllung, berechtigtes Interesse, ausdrückliche Einwilligung (Gesundheitsdaten).
Ihre Rechte (LGPD Art. 18): Bestätigung, Zugang, Berichtigung, Anonymisierung, Sperrung, Löschung, Datenübertragbarkeit, Information über Weitergabe, Widerruf der Einwilligung.
Datenschutzbeauftragter (Encarregado): Konstantin Yeftifeyev — [email protected]
ANPD: Sie können sich mit Beschwerden an die Autoridade Nacional de Proteção de Dados wenden.
Diese Datenschutzerklärung in portugiesischer Sprache dient als vorgeschriebene LGPD-Datenschutzrichtlinie.
Anhang D: Lateinamerika — Mexiko und Argentinien {#region-latam}
Mexiko (LFPDPPP): Diese Datenschutzerklärung dient als Aviso de Privacidad. ARCO-Rechte (Zugang, Berichtigung, Annullierung, Widerspruch) können über [email protected] ausgeübt werden. Gesundheitsdaten werden mit ausdrücklicher Einwilligung verarbeitet.
Argentinien (Ley 25.326): Rechte auf Zugang, Berichtigung und Löschung können über [email protected] ausgeübt werden. Datenübermittlungen erfolgen mit Einwilligung.
Anhang E: Japan und Südkorea {#region-japan-korea}
Japan (APPI): Personenbezogene Daten werden in die Republik Kasachstan übermittelt, die keinen gleichwertigen Schutz wie das APPI bietet. Die Übermittlung erfolgt mit Ihrer ausdrücklichen Einwilligung bei der Kontoerstellung. Verwendungszwecke: wie in dieser Richtlinie angegeben. Rechte: Auskunft, Berichtigung, Nutzungseinstellung, Löschung — richten Sie Anfragen an [email protected].
Südkorea (PIPA): Eine separate Einwilligung wird für die Gesundheitsdatenverarbeitung eingeholt (getrennt von der allgemeinen Einwilligung). Grenzüberschreitende Datenübermittlung: Daten werden an Google Cloud (EU) und vom Betreiber in Kasachstan verarbeitet. Rechte: Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung. Datenschutzbeauftragter: Konstantin Yeftifeyev.
Anhang F: Naher Osten — VAE und Saudi-Arabien {#region-gulf}
Die Verarbeitung entspricht dem VAE-Bundesdekretgesetz Nr. 45/2021 und dem saudi-arabischen PDPL. Ausdrückliche Einwilligung wird für Gesundheitsdaten (sensible Daten) eingeholt. Grenzüberschreitende Übermittlungen erfolgen mit Einwilligung und vertraglichen Schutzmaßnahmen. Betroffenenrechte: Zugang, Berichtigung, Löschung, Einschränkung, Widerspruch, Übertragbarkeit. Kontakt: [email protected].
Anhang G: Indien und Indonesien {#region-india-indonesia}
Indien (DPDPA): Nutzer unter 18 Jahren benötigen die Einwilligung eines Elternteils oder Erziehungsberechtigten. Gesundheitsdaten werden trotz fehlender besonderer Kategorie im DPDPA mit ausdrücklicher Einwilligung verarbeitet. Grenzüberschreitende Übermittlung ist zulässig (Kasachstan steht nicht auf der Sperrliste). Rechte: Zugang, Berichtigung, Löschung, Beschwerdemöglichkeit.
Indonesien (PDP-Gesetz): Nutzer unter 17 Jahren benötigen die Einwilligung eines Elternteils oder Erziehungsberechtigten. Sensible Daten (Gesundheit) werden mit ausdrücklicher Einwilligung verarbeitet. Grenzüberschreitende Übermittlung mit Einwilligung und Schutzmaßnahmen. Rechte: Zugang, Berichtigung, Löschung, Widerruf der Einwilligung.
Anhang H: Türkei {#region-turkey}
Die Verarbeitung entspricht dem türkischen KVKK (Gesetz Nr. 6698). Gesundheitsdaten = besondere Kategorie; sie werden mit ausdrücklicher Einwilligung verarbeitet. Kasachstan steht nicht auf der türkischen Liste angemessener Länder; die Übermittlung erfolgt mit ausdrücklicher Einwilligung und Verpflichtungsschreiben. Rechte: Auskunft, Zugang, Berichtigung, Löschung, Widerspruch, Schadensersatz. Kontakt: [email protected].
Anhang I: Russland und GUS — Kasachstan, Usbekistan {#region-cis}
Russland (BG Nr. 152-FZ): Personenbezogene Daten werden außerhalb der Russischen Föderation (Google Cloud, EU-Server) verarbeitet. Mit der Kontoerstellung stimmen Sie der internationalen Übermittlung gemäß Art. 12 zu. Rechte: Zugang, Berichtigung, Sperrung, Löschung, Widerruf der Einwilligung. Gesundheitsdaten verbleiben auf Ihrem Gerät.
Kasachstan (Gesetz Nr. 94-V): Der Betreiber hat seinen Sitz in Kasachstan. Die Verarbeitung erfolgt gemäß kasachischem Recht. Gesundheitsdaten werden als „Daten mit eingeschränktem Zugang" klassifiziert und mit ausdrücklicher Einwilligung verarbeitet. Rechte: Zugang, Berichtigung, Löschung, Widerruf der Einwilligung.
Usbekistan (PD-Gesetz 2019): Die Verarbeitung erfolgt mit Einwilligung gemäß usbekischem Recht. Rechte: Zugang, Berichtigung, Löschung, Widerruf der Einwilligung.
Anhang J: Australien {#region-australia}
Die Verarbeitung entspricht den Australian Privacy Principles (APPs). Überseeische Empfänger: Google LLC (Daten in der EU-Region). Wenn ein überseeischer Empfänger Daten missbraucht, bleibt der Betreiber gemäß APP 8 verantwortlich. Gesundheitsdaten werden mit ausdrücklicher Einwilligung als „sensible Informationen" verarbeitet. Beschwerden: [email protected]; bei ungelösten Beschwerden an den OAIC.
Anhang K: Afrika — Südafrika, Nigeria, Kenia, Ägypten {#region-africa}
Südafrika (POPIA): Verarbeitungsbedingungen erfüllt; Einwilligung für besondere personenbezogene Daten (Gesundheit) eingeholt. Nutzer unter 18 Jahren benötigen die Einwilligung einer kompetenten Person.
Nigeria (NDPR/NDPA): Datenschutz-Folgenabschätzung durchgeführt. Verarbeitung auf Einwilligungsbasis.
Kenia (DPA 2019): Rechte der betroffenen Personen gemäß Abschnitt 26. Nutzer unter 18 Jahren benötigen Elterneinwilligung.
Ägypten (Gesetz 151/2020): Sensible Daten werden mit ausdrücklicher Einwilligung verarbeitet.
Grenzüberschreitende Übermittlungen erfolgen mit Einwilligung gemäß anwendbarem Recht. Beschwerden: [email protected]; zuständige Regulierungsbehörden je nach Rechtsraum.
Anhang L: Mindestaltersanforderungen nach Region {#region-age-table}
| Region | Mindestalter | Bedingung |
|---|---|---|
| Standard (global) | 16 | Eigene Einwilligung |
| Indien | 18 | Elterneinwilligung erforderlich |
| Mexiko | 18 | Elterneinwilligung erforderlich |
| Indonesien | 17 | Elterneinwilligung erforderlich |
| Südafrika | 18 | Kompetente Person erforderlich |
| Kenia | 18 | Elterneinwilligung erforderlich |
| Südkorea | 14 | Elterneinwilligung erforderlich |
| Alle anderen | 16 | Gemäß lokalem Recht oder globalem Standard |
Diese Datenschutzerklärung wurde zuletzt am 1. Juni 2026 aktualisiert. HelAI wird von Konstantin Yeftifeyev, Republik Kasachstan, betrieben.