Datenschutzrichtlinie (App)

Datenschutzrichtlinie (App)

Im Rahmen der veiio-Anwendungen werden auf der veiio-Plattform personenbezogene Daten verarbeitet. Hierfür allein verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO ist: 

Verantwortliche Stelle 

veiio GmbH
Königsbrücker Str. 58 
01099 Dresden 
Tel.: 0176 67698310 
info@veiio.de 

Gegenstand dieser Datenschutzerklärung 

In der nachfolgenden Datenschutzerklärung erklären wir transparent, umfassend und leicht verständlich: 

  • welche personenbezogenen Daten wir im Rahmen der Nutzung der veiio App verarbeiten, 
  • zu welchen Zwecken dies geschieht, 
  • auf welcher Rechtsgrundlage die Verarbeitung erfolgt, 
  • ob und wenn ja, welche Daten an Dritte übermittelt werden, 
  • wie lange Daten gespeichert werden, 
  • welche Verarbeitung von Daten Ihre Einwilligung umfasst, 
  • welche Rechte Ihnen als betroffene Person zustehen und wie Sie diese ausüben können, 
  • und wie Sie uns kontaktieren können. 

1. Kategorien personenbezogener Daten und Zwecke der Verarbeitung 

1.1 Registrierung und Nutzerkonto 

Für die Nutzung der veiio App ist die Erstellung eines Nutzerkontos erforderlich. 

Authentifizierungsverfahren 

  • Einmalpasswort (OTP) per E-Mail 
  • Sign-In mit Apple 
  • Sign-In mit Google 

Verarbeitete Daten im Rahmen der Registrierung 

  • E-Mail-Adresse 
  • interne Nutzer-ID (UUID) 
  • ggf. Anzeigename (display_name) 
  • technische Authentifizierungsdaten (z. B. Token, Ablaufzeiten) 
  • optionale Profilangaben (z. B. Sprache, Zeitzone, Präferenzen) 

Gastzugänge ohne Account sind für die produktive Nutzung nicht vorgesehen. 

Speicherdauer (Authentifizierungsdaten) 

  • OTP-Codes sind zeitlich begrenzt gültig (derzeit: 10 Minuten). 
  • Passwort-Reset-Tokens sind zeitlich begrenzt gültig (derzeit: 1 Stunde). 
  • Refresh-Tokens haben eine begrenzte Laufzeit (derzeit: bis zu 30 Tage). 

1.2 Gesundheitsbezogene Daten 

Datenarten 

  • Angaben zur Person (z. B. Vorname, ggf. Alter) 
  • Gesundheitsinformationen (z. B. subjektives Schmerzlevel, symptombezogene Selbstauskünfte) 

Zwecke 

  • Bereitstellung der App-Funktionalitäten 
  • Durchführung eines standardisierten Selbstauskunft-Fragebogens vor Trainings-Sessions 
  • Sicherstellung der Nutzersicherheit 

Sicherheitslogik 

Vor jeder Session wird das aktuelle Schmerzlevel abgefragt. Bei einem angegebenen Schmerzlevel von 7 oder höher(Skala 0–10) empfiehlt die App automatisch aus die Nutzung der App zu verzichten. 

Speicherdauer 

Die Daten werden für die Dauer der Nutzung gespeichert und bei Wegfall der Zweckbindung gelöscht soweit keine anderwitige gesetzlichen Vorgaben eine weitere aufbewahrung vorschreiben.  

1.3 Telemetrie- und Trainingsdaten 

Im Rahmen der Nutzung können trainings- oder gerätebezogene Telemetriedaten verarbeitet werden (z. B. Session-Metriken), soweit diese für die Bereitstellung der Trainingsfunktion erforderlich sind. 

Zwecke 

  • Durchführung und Auswertung von Trainings-Sessions 
  • Qualitätssicherung der Trainingslogik 
  • technische Fehleranalyse 

Eine Verarbeitung erfolgt ausschließlich zweckgebunden im Rahmen der bereitgestellten Funktionalitäten. 

1.4 Allgemeine Nutzungs- und Gerätedaten 

Datenarten 

  • IP-Adresse 
  • Browsertyp und Version 
  • Betriebssystem 
  • Datum und Uhrzeit des Zugriffs 
  • Trainingsdaten 

Wichtiger Hinweis zur IP-Adresse 

Die IP-Adresse wird bei API-Anfragen technisch verarbeitet. IP-Adressen gelten als personenbezogene Daten. 

Wir verwenden IP-Adressen ausschließlich zur Gewährleistung der technischen Sicherheit und Funktionsfähigkeit (z. B. Rate-Limiting, Schutz vor Missbrauch, Angriffserkennung, Fehleranalyse). Eine Nutzung zu Marketingzwecken oder zum Cross-App-Tracking findet nicht statt. 

Zwecke 

  • Gewährleistung der technischen Funktionsfähigkeit 
  • Fehleranalyse und Stabilität 
  • Schutz vor Missbrauch und Angriffen 

Speicherdauer 

  • IP-Adressen werden in sicherheitsrelevanten Server-Logs verarbeitet und nur für einen begrenzten Zeitraum gespeichert (siehe Abschnitt 5.3). 
  • Anschließend werden Logdaten gelöscht oder anonymisiert. 

2. Wie erheben wir Ihre Daten? 

Wir verarbeiten Daten auf zwei Wegen: 

  • Direkt durch Ihre Eingaben in der Anwendung (z. B. Fragebogen, Schmerzlevel). 
  • Automatisiert durch technische Prozesse (z. B. Gerätedaten, Zugriffsdaten). 

3. Rechtsgrundlagen 

3.1 Gesundheitsdaten 

Die Verarbeitung Ihrer Gesundheitsdaten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO

3.2 Nutzungs- und Gerätedaten 

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO, insbesondere zur Sicherstellung von Stabilität, Sicherheit und Funktionsfähigkeit. 

4. Empfänger / Weitergabe von Daten 

Zur technischen Bereitstellung der veiio App setzen wir externe Dienstleister als Auftragsverarbeiter im Sinne des Art. 28 DSGVO ein. 

4.1 Hosting und Infrastruktur 

Die Backend-Infrastruktur (api.veiio.de / api2.veiio.de) wird über Infrastruktur der IONOS SE betrieben. 

  • Serverstandort: Deutschland (IONOS Cloud, Region Berlin / TXL) 
  • PostgreSQL-Datenbank innerhalb der IONOS-Infrastruktur 
  • S3-kompatibler Objektspeicher: IONOS Object Storage (Region EU, z. B. eu-central-3) 
  • Infrastruktur-Logging über IONOS-Logging-Endpunkte (Region Deutschland) 

Mit IONOS besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. 

Die Datenverarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union. 

4.2 Authentifizierungsanbieter 

  • Apple (Sign-In with Apple) 
  • Google (Google OAuth) 

Bei Nutzung dieser Login-Methoden werden Authentifizierungsdaten (z. B. OAuth-Codes, ID-Tokens mit Claims wie „sub“, ggf. E-Mail-Adresse) an die jeweiligen Anbieter übermittelt und von diesen verarbeitet. 

Dabei kann es zu einer Verarbeitung personenbezogener Daten in Drittstaaten (insbesondere den USA) kommen. 

Sofern eine solche Übermittlung erfolgt, stützt sich diese auf geeignete Garantien gemäß Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln oder Angemessenheitsbeschlüsse, sofern anwendbar). 

4.3 Newsletter / Warteliste 

Für die Verwaltung von Wartelisten oder Newsletter-Anmeldungen wird der Dienstleister Brevo eingesetzt. 

Hierbei werden insbesondere folgende Daten übermittelt: 

  • E-Mail-Adresse 
  • Listen-Zuordnung 
  • DOI-Status (Double-Opt-In) 

Brevo kann Daten außerhalb der Europäischen Union (insbesondere den USA) verarbeiten. 

Eine Übermittlung erfolgt auf Grundlage geeigneter Garantien gemäß Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln). Mit Brevo besteht ein Vertrag zur Auftragsverarbeitung.4.4 App-Distribution 

Die App wird im Rahmen einer Beta-Version über Apple TestFlight bereitgestellt. In diesem Zusammenhang kann Apple technische Nutzungs- und Diagnosedaten gemäß den Apple-Datenschutzbestimmungen verarbeiten. 

Wir nutzen keine externen Tracking- oder Analytics-SDKs wie z. B. Firebase, Amplitude oder Mixpanel innerhalb der App. 

Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet. 

5. Speicherdauer 

Personenbezogene Daten werden nur so lange gespeichert bis die Zweckbindung entfällt oder keine anderen gesetzlichen Aufbewahrungspflichten bestehen. 

5.1 Kontodaten 

Kontodaten werden für die Dauer des Bestehens des Nutzerkontos gespeichert. 

Inaktive Nutzerkonten werden spätestens nach 24 Monaten Inaktivität überprüft und können gelöscht werden. 

5.2 Telemetrie- und Trainingsdaten 

Telemetrie- und Trainingsdaten werden zweckgebunden gespeichert. 

Solange eine Zuordnung zu einem Nutzerkonto besteht, erfolgt die Speicherung pseudonymisiert über eine interne Kennung (z. B. „Subject“-ID). 

Personenbezogene Telemetrie- und Trainingsdaten werden grundsätzlich für maximal 24 Monate gespeichert, sofern keine gesetzliche Verpflichtung zur längeren Speicherung besteht. 

Sie können die Löschung Ihres Nutzerkontos verlangen. In diesem Fall wird die Verknüpfung zwischen Nutzerkonto und Telemetrie-/Trainingsdaten gelöscht. 

Im Anschluss werden die verbleibenden Daten anonymisiert, indem alle identifizierenden oder zuordnungsrelevanten Merkmale entfernt oder dauerhaft getrennt werden. 

Anonymisierte Telemetrie- und Trainingsdaten können wir zur 

  • Qualitätssicherung, 
  • Produktverbesserung, 
  • statistischen Auswertung, 
  • Forschung und Weiterentwicklung unserer Trainingslogik 

zeitlich unbegrenzt speichern, da ein Personenbezug nicht mehr besteht. 

5.3 Technische Logdaten 

  • Lokale System- und Audit-Logs werden in der Regel für 90 Tage gespeichert. 
  • Zentrale Infrastruktur-Logs innerhalb der IONOS-Umgebung werden gemäß Provider-Richtlinie gespeichert (regelmäßig maximal 90 Tage). 

Anschließend werden Logdaten gelöscht oder anonymisiert. 

5.4 Lokale Speicherung auf dem Endgerät 

  • Authentifizierungs-Tokens werden verschlüsselt im sicheren Speicher des Geräts abgelegt (z. B. iOS SecureStore). 
  • Gerätebezogene Einstellungen können lokal gespeichert werden. 

Diese Daten können durch Deinstallation der App oder Zurücksetzen des Geräts gelöscht werden. 

6. Einwilligung des Nutzers 

6.1 Gesundheitsdaten 

Gesundheitsdaten, wie z.B. Angaben über den Gesundheitszustand, die Beschreibung von Symptomen sind besonders schützenswerte Daten. In der Datenschutzgrundverordnung werden solche Daten als besondere Kategorien personenbezogener Daten bezeichnet. Der Nutzer willigt in die Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO im Rahmen der beschriebenen Funktionsweise der Anwendung ein. 

6.2 Freiwilligkeit 

Dem Nutzer ist bekannt, dass diese Einwilligungen freiwillig sind. Ohne eine Verarbeitung dieser Daten ist eine Nutzung der veiio-Plattform jedoch nicht möglich. Weiterhin ist bekannt, dass die Einwilligung mit Wirkung für die Zukunft jederzeit widerrufen werden kann ohne Angabe von Gründen. Dies hat zur Folge, dass die veiio-Anwendungen nicht mehr genutzt werden können. 

7. Ihre Rechte 

Sie können gegenüber der verantwortlichen Stelle jederzeit folgende Rechte geltend machen. 

  • Recht auf Auskunft (Art. 15 DSGVO) darüber ob und wenn ja, welche personenbezogenen Daten über Sie verarbeitet werden; 
  • Recht auf Berichtigung (Art. 16 DSGVO) unrichtiger sowie die Vervollständigung unvollständiger personenbezogener Daten, die Sie betreffen; 
  • Recht auf unverzügliche Löschung (Art. 17 DSGVO) aller über Sie verarbeiteten personenbezogenen Daten; 
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO); 
  • Recht auf jederzeitiges Widerrufen Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO) sowie gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen (Art. 21 DSGVO); 
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO); 
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). 

8. Beta-Version / eingeschränkter Funktionsumfang 

Die bereitgestellte Version der veiio App befindet sich in einer Testphase (Beta). 
Funktionen können eingeschränkt sein oder sich ändern. Ein Anspruch auf dauerhafte Verfügbarkeit bestimmter Features besteht nicht. 

9. Widerruf und Löschung 

Wie unter Punkt 4. beschrieben, werden Daten abhängig von der Art der Daten, der Anwendung und den durch den Nutzer gewählten Voreinstellungen automatisch beim Beenden einer Session oder durch aktives Löschen durch den Nutzer auf den veiio-Servern gelöscht. Grundsätzlich werden die IP-Adresse sowie alle anderen personenbezogenen Daten beim Beenden einer Session vollständig von den veiio-Servern gelöscht oder so anonymisiert, dass kein Personenbezug mehr möglich ist. 

10. Kontakt 

Zur Geltendmachung dieser Rechte können Sie sich jederzeit schriftlich oder per E-Mail an die verantwortliche Stelle wenden: datenschutz@veiio.de