Datenschutzerklärung für die App „KiNETIQ“

(Stand: 12. Oktober 2025)

1. Wer wir sind (Verantwortlicher)

Kernwerk GmbH
Kölner Str. 28, 57072 Siegen, Deutschland
Vertreten durch den Geschäftsführer: Florian Petri
E-Mail (Datenschutz): privacy@kernwerk.de
Allgemeiner Support: app@kinetiq.training

2. Kurzüberblick (TL;DR)

• Wir verarbeiten nur, was für Konto, Abo, Funktion der App und Sicherheit nötig ist.
• KI: Für die Workout-Erstellung senden wir Prompt + ausgewählte Profildaten an unseren KI-Dienst.
• Keine Werbung, kein Weiterverkauf deiner Daten.
• Newsletter und optionale Benachrichtigungen nur mit deiner Einwilligung.
• Du hast jederzeit Rechte auf Auskunft, Löschung, Widerspruch usw. (siehe unten).

3. Für wen gilt diese Erklärung?

Für Nutzerinnen und Nutzer der KiNETIQ App und der Website kinetiq.training (inkl. zugehöriger Sub-Pages). Die App richtet sich ausschließlich an Personen ab 18 Jahren.

4. Welche Daten wir verarbeiten

4.1 Kontodaten & Profildaten

• Pflicht-/Profildaten: Name, E-Mail, Geburtsdatum, Geschlecht, Fitness-Level, interne Nutzer-ID.
• Login: Apple/Google Sign-In (wir erhalten die dort bereitgestellten Daten wie E-Mail/Relay-E-Mail, ggf. Name und eine Anbieter-ID).

Zweck/Rechtsgrundlage: Vertragserfüllung / Art. 6 Abs. 1 lit. b DSGVO.

4.2 Nutzungs- und Gerätedaten

• Technische Daten (z. B. IP-Adresse, Geräte-/Betriebssystem-Info, App-Version, Zeitstempel), App-Ereignisse, Logfiles.

Zweck/Rechtsgrundlage: Betrieb, Sicherheit, Fehleranalyse / Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

4.3 Inhalte in der App

• Prompts, generierte Workouts, Favoriten/Verlauf, Trainingsdurchführungen (z. B. Dauer, Runden).
  Hinweis: Wir fragen keine Gesundheitsdiagnosen ab und verarbeiten keine besonderen Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO.

Zweck/Rechtsgrundlage: Erbringung der App-Funktion / Art. 6 Abs. 1 lit. b DSGVO.

4.4 Abos & Zahlung

• Abo-Status und Transaktionsereignisse über RevenueCat (Verarbeitung von Store-Belegen/Receipts, Geräte-/App-IDs, Abo-Status) sowie Plattformdaten aus Apple App Store/Google Play
• Keine eigenen Zahlungs-/Rechnungsdatenverarbeitungen in der App (erfolgt durch die Stores).

Zweck/Rechtsgrundlage: Vertrag / Art. 6 Abs. 1 lit. b DSGVO.

4.5 Support & Kommunikation

• Support-Tickets, E-Mails inkl. Metadaten/Anhängen (Google Workspace/GSuite inbound/outbound).

Zweck/Rechtsgrundlage: Bearbeitung deiner Anfragen / Art. 6 Abs. 1 lit. b DSGVO; ggf. Interessenabwägung / lit. f.

4.6 Newsletter (optional)

• E-Mail, Double-Opt-In-Nachweis (Zeitstempel, IP, Inhalt), Versandstatus, Öffnungs-/Klick-Info (sofern du zustimmst).

Zweck/Rechtsgrundlage: Einwilligung / Art. 6 Abs. 1 lit. a DSGVO; Widerruf jederzeit möglich.

4.7 Website-Daten (Cookies/Analytics)

• Erforderliche Cookies/Logs für Betrieb/Sicherheit (Art. 6 Abs. 1 lit. f).
• Google Analytics (GA4) nur nach Einwilligung (Art. 6 Abs. 1 lit. a). IP-Anonymisierung aktiviert; kein Google-Signals/Ads-Personalisierung ohne deine Zustimmung. Verwaltung über Cookie-Einstellungen auf der Website.

5. KI-Verarbeitung

Zur Erstellung personalisierter Workouts senden wir über unser Backend folgende Daten an den KI-Dienst:

• Prompt (deine Eingaben)
• ausgewählte Profildaten (z. B. Fitness-Level, ggf. Alter/Geschlecht, pseudonyme Nutzer-ID – keine Namen/E-Mails)

Zweck: Generierung passender Workouts.
Rechtsgrundlage: Vertrag / Art. 6 Abs. 1 lit. b DSGVO.
Datenschutzmaßnahmen: Datenminimierung, Pseudonymisierung (keine Klarnamen/E-Mails), Zugriffsbeschränkung.
Auftragsverarbeitung & Übermittlung: Vertrag nach Art. 28 DSGVO; sofern Verarbeitung außerhalb der EU stattfindet, Schutz über EU-Standardvertragsklauseln (SCCs) plus Transfer Impact Assessments und zusätzliche Maßnahmen (z. B. Verschlüsselung).
Kein Verkauf/keine Werbung.
*Hinweis:* Bitte gib in Prompts keine sensiblen Informationen preis (z. B. Diagnosen).

6. „Inspire“ – Veröffentlichung von Inhalten

Wenn du Workouts ausdrücklich als „öffentlich“ markierst, prüft unser Team diese und kann sie im Bereich „Inspire“ veröffentlichen.

• Veröffentlichung ohne Name/Account-Zuordnung (wir kopieren/de-identifizieren den Inhalt).
• Sichtbar in der App und ggf. auch auf unseren Web-/Social-Kanälen.
• Delisting/Widerruf: E-Mail an privacy@kernwerk.de (wir entfernen Inhalte, soweit identifizierbar; de-identifizierte Inhalte sind i. d. R. keine personenbezogenen Daten mehr).

7. App-Berechtigungen & Push

• Die App benötigt keine Zugriffe auf Kamera, Mikrofon oder einen präzisen Standort.
• Push-Benachrichtigungen sind geplant und erfolgen nur mit deiner Einwilligung (OS-Dialog). Du kannst Push jederzeit in den Geräteeinstellungen deaktivieren.

8. Rechtsgrundlagen im Überblick (Art. 6 DSGVO)

• Vertrag (lit. b): Konto, Login, App-Funktionen, Abo-Abwicklung, KI-Workouts.
• Berechtigtes Interesse (lit. f): Sicherheit, Betrugsprävention, Logs, Crash-Reports, erforderliche Betriebs-/Leistungsüberwachung.
• Einwilligung (lit. a): Newsletter, optionale Analytics/Marketing-Cookies (Website), Push.
• Rechtspflicht (lit. c): Steuer-/handelsrechtliche Aufbewahrungspflichten.

9. Empfänger (Auftragsverarbeiter) und Infrastruktur

Wir setzen sorgfältig ausgewählte Dienstleister ein. Soweit eine Datenübermittlung außerhalb der EU/EWR erfolgen kann, sichern wir diese über SCCs und zusätzliche Maßnahmen ab.

Hosting/Plattform

• Hetzner Online GmbH (Deutschland, DE-Rechenzentren) – App/Backend/Support-Server.
• AWS (eu-central-1 / Frankfurt) – Infrastruktur-Services, E-Mail-Versand (SES outbound), Datenspeicher.
• Fly.io (EU: Frankfurt/Amsterdam) – Anwendungs-Deployment in EU-Regionen.

Abo/Abrechnung

• Apple App Store / Google Play – eigenständige Verantwortliche für Kauf/Abrechnung.
• RevenueCat, Inc. (USA) – Abo-Status/Receipt-Verarbeitung (Auftragsverarbeitung, SCCs).

Fehler/Monitoring

• Firebase Crashlytics (Google) – Crash-Reports (IP/Device-Infos, Stacktraces). Rechtsgrundlage: Art. 6 Abs. 1 lit. f.

E-Mail & Support

• Google Workspace (GSuite) – eingehende/ausgehende E-Mails (eigenständiger Anbieter; SCCs).

CDN/Medien/Website

• bunny.net (CDN) – Video-Streaming/Edge-Auslieferung (globale PoPs; Logs können IPs enthalten; SCCs).
• Vercel Inc. – Hosting der Website (SCCs); Google Analytics (GA4) nur nach Einwilligung.

KI-Dienst

• Gemini – Verarbeitung von Prompt + ausgewählten Profildaten (Auftragsverarbeitung; SCCs bei Drittlandbezug).

Eine Weitergabe an Behörden erfolgt nur bei gesetzlicher Pflicht.

10. Internationale Datenübermittlungen

Wenn Dienste außerhalb des EWR eingesetzt werden oder aus technischen Gründen global arbeiten (z. B. CDN/Edge), sichern wir Übermittlungen nach Art. 46 DSGVO ab (insb. SCCs) und prüfen Risiken (TIA). Zusätzlich setzen wir technische Maßnahmen ein (Verschlüsselung, Pseudonymisierung, EU-Regionen, wo verfügbar).

11. Speicherdauer

• Kontodaten/Profil/Workouts/Prompts: bis zur Kontolöschung; gesetzliche Aufbewahrungsfristen bleiben unberührt.
• „Inspire“-Inhalte: in de-identifizierter Form ohne Personenbezug grundsätzlich ohne feste Frist; Delisting auf Anfrage.
• Server-Logs / Sicherheitslogs: i. d. R. 30 Tage, längstens bei Vorfällen oder in Backups.
• Crash-Reports (Crashlytics): i. d. R. bis zu 90 Tage.
• Support-Tickets/E-Mails: i. d. R. 3 Jahre (regelmäßige Verjährung).
• Newsletter-Daten: bis Widerruf; Nachweis der Einwilligung bis zu 3 Jahre nach letztem Versand (Beweissicherung).
• Backups: rollierend, typischerweise 30–90 Tage.

12. Sicherheit

TLS-Transportverschlüsselung, Verschlüsselung ruhender Daten (soweit technisch sinnvoll, z. B. DB/Backups), rollenbasierte Zugriffe und 2-Faktor-Authentifizierung für Admin-Zugänge, Geheimnisverwaltung, regelmäßige Updates/Patches sowie interne Security-Audits.

13. Deine Rechte

• Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Widerruf erteilter Einwilligungen (Art. 7 Abs. 3).
• Du hast das Recht, dich bei einer Datenschutzaufsicht zu beschweren. Zuständig für uns ist i. d. R.:
  Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW), Kavalleriestr. 2–4, 40213 Düsseldorf, Deutschland.
• Kontakt für Rechtewahrnehmung: privacy@kinetiq.training.

14. Kinder und Jugendliche

KiNETIQ ist ab 18 Jahren. Erlangen wir Kenntnis von Daten Minderjähriger, löschen wir diese unverzüglich.

15. Cookies & Einwilligungsverwaltung (Website)

• Erforderliche Cookies: für Betrieb/Sicherheit; keine Einwilligung nötig.
• Statistik/Marketing (z. B. GA4): setzen wir nur nach deiner Einwilligung ein; du kannst sie jederzeit über die Cookie-Einstellungen widerrufen.
• GA4: IP-Anonymisierung, kurze Speicherfristen, keine personalisierte Werbung ohne deine Zustimmung.

16. Keine automatisierten Entscheidungen

Es finden keine Entscheidungen ausschließlich auf automatisierter Verarbeitung statt, die dir gegenüber rechtliche Wirkung entfalten oder dich in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO).

17. Änderungen dieser Erklärung

Wir passen diese Erklärung an, wenn sich Technik, Dienste oder Rechtslage ändern. Die aktuelle Fassung findest du in der App bzw. auf kinetiq.training/privacy. Bei wesentlichen Änderungen informieren wir dich in der App.

So kontaktierst du uns zu Datenschutzthemen

E-Mail: privacy@kernwerk.de (Alternative für allgemeine Themen: app@kinetiq.training)
Post: KERNWERK GmbH, Postfach 26 02, 49016 Osnabrück