Datenschutzerklärung

Einfach erklärt: Was mit Deinen Daten passiert, warum, und was Du selbst in der Hand hast.

Diese Erklärung gilt für alle Angebote von AtemFlow: die AtemFlow-App (iOS und Android), die Website atemflow.de, den Kursbereich, den Newsletter und den Shop unter shop.atemflow.de.

Stand: 16. Juli 2026

Wir möchten, dass Du genau verstehst, welche Daten wir verarbeiten, warum wir das tun, wie lange wir sie speichern und welche Rechte Du hast. Deshalb sprechen wir Dich hier direkt an und erklären alles so klar wie möglich. Wenn etwas unklar ist, schreib uns einfach an support@atemflow.de. Wir antworten persönlich.

Das Wichtigste in 60 Sekunden

Falls Du gerade wenig Zeit hast, hier das Wesentliche:

  • Wir verkaufen Deine Daten nicht. Keine Werbenetzwerke, keine Datenhändler, keine Profile für Dritte.
  • Deine Gesundheitsdaten sind verschlüsselt. Kontrollpause, Atemzeiten und Befinden werden schon auf Deinem Gerät verschlüsselt, so, dass nur Du sie lesen kannst.
  • Für die App brauchst Du ein Konto (E-Mail und Passwort oder Anmeldung mit Apple/Google). Sonst funktioniert die App nicht.
  • Gesundheitsdaten sind freiwillig. Du kannst alle Atemübungen auch ohne persönlichen Verlauf nutzen.
  • Unsere Server stehen in Frankfurt (Deutschland), nicht in den USA.
  • Du behältst die Kontrolle. Konto und alle Daten kannst Du jederzeit selbst löschen, jede Einwilligung jederzeit widerrufen.

Wer hinter AtemFlow steckt

Verantwortlich für Deine Daten ist:

AtemFlow GbR

Borngasse 10, 09599 Freiberg, Deutschland

E-Mail: support@atemflow.de

Das sind echte Menschen in Sachsen, keine anonyme Firma. Einen eigenen Datenschutzbeauftragten haben wir nicht bestellt, weil wir als kleines Unternehmen dazu nicht verpflichtet sind. Deinen Datenschutz nehmen wir trotzdem sehr ernst. Bei Fragen erreichst Du uns direkt unter der E-Mail oben.

Für welche Angebote das hier gilt

Damit Du Dich schnell zurechtfindest, ist diese Erklärung in vier Teile gegliedert. Springe einfach zu dem Bereich, der Dich interessiert:

  • Teil 1 – Die App: Konto, Gesundheitsdaten, Verschlüsselung, Empfehlungen, Push und mehr.
  • Teil 2 – Die Website atemflow.de: Hosting, Cookies, Schriften, Videos, Kursbereich.
  • Teil 3 – Der Shop: Bestellungen, Bezahlung, Rechnungen, Freischaltung.
  • Teil 4 – Newsletter und E-Mail: Versand, Automatisierung, Systemnachrichten.

Weiter unten findest Du außerdem alle Empfänger, Speicherfristen, Deine Rechte und zwei Tabellen mit den Details für alle, die es genau wissen wollen.

Teil 1 – Die AtemFlow-App

Dein Konto

Was: Deine E-Mail-Adresse, Dein Passwort und ein Name, den Du Dir selbst aussuchst.

Warum: Damit Du Dich einloggen, Dein Abo verwalten und die App auf mehreren Geräten nutzen kannst.

Muss das sein? Ja. Ohne Konto funktioniert die App leider nicht.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Wir brauchen diese Daten, damit der Vertrag zwischen Dir und uns funktioniert.

Wie lange: Solange Du Dein Konto hast. Wenn Du es löschst, entfernen wir alles innerhalb von 24 Stunden. Backups laufen nach spätestens 30 Tagen aus.

Technisch läuft die Anmeldung über Firebase Authentication von Google (Server in Frankfurt).

Deine Gesundheitsdaten

Das ist der sensibelste Bereich. Diese Daten verraten etwas über Deinen Körper und darüber, wie Du Dich fühlst. Das Gesetz nennt sie „besondere Kategorien personenbezogener Daten" (Art. 9 DSGVO) und schützt sie besonders streng. Wir tun das auch.

Was genau dazugehört

  • Kontrollpause-Werte: Wie lange Du nach dem Ausatmen die Luft anhältst (Buteyko-Methode). Ein Hinweis auf Deine CO2-Toleranz.
  • Atempausen-Training: Wie lange und wie oft Du die Luft anhältst und wie schnell Du Dich erholst.
  • Atemzeiten: Wie lange Du ein- und ausatmest und wie schnell Du atmest.
  • Übungshistorie: Welche Übung Du wann und wie lange gemacht hast.
  • Befinden: Wenn Du auf zwei Reglern angibst, wie Du Dich gerade fühlst, zum Beispiel eher angespannt oder ruhig und eher energiegeladen oder müde.
  • Zustandseinschätzung: Eine automatische Einschätzung, ob Du eher angespannt oder ruhig bist (mehr dazu gleich).
  • Wirksamkeits-Werte: Ob sich Dein Zustand nach einer Übung verändert hat.
  • Gesamtauswertung: Deine Trends über die Zeit, etwa dass Deine Kontrollpause steigt.

Warum: Damit Du Deinen Fortschritt siehst, wir Dir passende Übungen empfehlen können und Du Deine Daten auf all Deinen Geräten hast.

Muss das sein? Nein. Das ist komplett freiwillig. Ohne diese Funktionen kannst Du trotzdem alle Atemübungen und Inhalte nutzen, eben nur ohne persönlichen Verlauf, Fortschritt und Empfehlungen.

Rechtsgrundlage: Deine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Bevor wir auch nur ein einziges Gesundheitsdatum speichern, fragen wir Dich. Du kannst jederzeit widerrufen.

Wie lange: Solange Du möchtest, höchstens 3 Jahre. Wenn Du widerrufst oder Dein Konto löschst, entfernen wir alles innerhalb von 30 Tagen.

Wie wir Deine Gesundheitsdaten schützen

Kurz gesagt: Deine Gesundheitsdaten werden auf Deinem Handy in einen Tresor gepackt, bevor sie unser System überhaupt erreichen. Und nur Du hast den Schlüssel.

Etwas genauer:

  • Wenn Du die Funktion aktivierst, erzeugt die App einen zufälligen Schlüssel, wie ein sehr langes, zufälliges Passwort.
  • Mit diesem Schlüssel werden Deine Gesundheitsdaten verschlüsselt, bevor sie Dein Handy verlassen.
  • Auf unseren Servern liegt nur der verschlüsselte Datensalat. Ohne Deinen Schlüssel kann niemand etwas damit anfangen.
  • Der Schlüssel selbst wird durch ein zusätzliches Geheimnis geschützt, das nur in der App existiert, nicht auf unseren Servern und nicht bei unserem Hosting-Partner.
  • Wenn Du Dein Passwort änderst oder zurücksetzt, bleiben Deine verschlüsselten Daten erhalten.

Was das konkret bedeutet: Selbst wenn jemand unsere Datenbank stehlen würde, könnte er Deine Gesundheitsdaten nicht lesen. Er würde nur unlesbaren Zeichensalat sehen.

Der Fachbegriff dafür ist AES-256-GCM. Das ist derselbe Verschlüsselungsstandard, den auch Banken und Behörden verwenden. Dein Schlüssel wird zusätzlich mit einem aufwändigen Verfahren (PBKDF2 mit 600.000 Rechenschritten) abgesichert.

Automatische Empfehlungen

Wenn Du die Gesundheitsdaten-Funktion aktiviert hast, kann die App Dir eine passende Übung vorschlagen.

Wie das funktioniert

Du gibst auf zwei Reglern an, wie Du Dich gerade fühlst, und misst bei Bedarf Deine Kontrollpause. Die App vergleicht das mit Deinen bisherigen Werten. Daraus entsteht ein Vorschlag wie „Heute könnte eine Entspannungsübung guttun".

Ganz wichtig

  • Das ist ein Vorschlag, keine Diagnose. AtemFlow ist kein Arzt und kein Medizinprodukt.
  • Du kannst den Vorschlag ignorieren und jede beliebige Übung wählen.
  • Es wird nichts gesperrt oder eingeschränkt, egal was die Einschätzung ergibt.
  • Die gesamte Berechnung passiert auf Deinem Handy. Wir erfahren das Ergebnis nicht.

Rechtsgrundlage: Deine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Ohne Dein Ja passiert nichts.

Diese Empfehlung ist nur ein unterstützender Hinweis. Sie hat keinerlei rechtliche Wirkung und benachteiligt Dich in keiner Weise.

Dein Beitrag zur Forschung

Wenn Du möchtest, kannst Du anonym dazu beitragen, dass wir besser verstehen, wie Atemübungen wirken. Das ist komplett freiwillig.

Anonymer Beitrag: Es werden nur Muster gespeichert, ohne Deinen Namen, ohne Deine E-Mail, ohne Geräte-Kennung, ohne genauen Zeitpunkt. Niemand kann diese Daten Dir zuordnen, auch wir nicht.

Verlaufsdaten (extra Opt-in): Wenn Du es erlaubst, können Deine anonymen Beiträge über die Zeit verknüpft werden, über ein zufälliges Pseudonym. Auch das ist nicht auf Dich zurückführbar. Widerrufst Du, wird das Pseudonym gelöscht.

Rechtsgrundlage: Für den rein anonymen Beitrag greift die DSGVO nicht, weil kein Personenbezug besteht. Für die pseudonymen Verlaufsdaten Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Push-Nachrichten

Was: Ein technisches Kennzeichen Deines Geräts (Push-Token), damit wir Dir Nachrichten schicken können.

Warum: Sanfte Erinnerungen, Motivationsanstöße und Hinweise auf Live-Sessions.

Muss das sein? Nein. Du entscheidest über den Systemdialog Deines Handys und kannst Push jederzeit in den iOS- oder Android-Einstellungen ausschalten.

Rechtsgrundlage: Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Technisch läuft der Versand über Firebase Cloud Messaging von Google.

Analyse und Fehlerbehebung

Nutzungsanalyse (Firebase Analytics) – optional

Wenn Du zustimmst, erfahren wir anonym, welche Funktionen beliebt sind und wo Nutzer abspringen. Wir sehen nicht, wer Du bist, sondern nur Muster wie „70 Prozent starten mit der Morgenübung". Das hilft uns, die App besser zu machen.

Rechtsgrundlage: Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG). Du wirst gefragt und kannst jederzeit ablehnen.

Wie lange: Bis zu 14 Monate.

Absturzberichte (Firebase Crashlytics) – automatisch

Wenn die App abstürzt, schickt sie uns einen technischen Bericht (welches Gerät, welche App-Version, wo genau der Fehler war). Der enthält keine Gesundheitsdaten und keine persönlichen Inhalte.

Rechtsgrundlage: Unser berechtigtes Interesse an einer stabilen App (Art. 6 Abs. 1 lit. f DSGVO).

Wie lange: Ungefähr 90 Tage.

Anmeldung mit Apple oder Google

Du kannst Dich statt mit E-Mail und Passwort auch mit Deiner Apple-ID oder Deinem Google-Konto anmelden. Wir erhalten dann nur die Basisdaten, die für das Konto nötig sind (eine ID und, je nach Deiner Wahl, Deine E-Mail). Apple und Google sind für ihren Teil eigenständig verantwortlich und haben eigene Datenschutzhinweise.

Käufe in der App

App-Store-Käufe: Wenn Du ein Abo über den App Store oder Google Play kaufst, wickeln Apple oder Google die Zahlung ab. Wir sehen keine Kreditkartennummer und keine Kontodaten.

Rechtsgrundlage: Vertrag (Art. 6 Abs. 1 lit. b DSGVO).

E-Mails aus der App

Manche Nachrichten verschicken wir selbst, zum Beispiel die Bestätigungsmail zur E-Mail-Verifizierung oder Antworten auf Anfragen aus der App. Für diesen technischen Versand nutzen wir den Dienstleister Postmark (Wildbit / ActiveCampaign). Dabei werden Deine E-Mail-Adresse und der Inhalt der jeweiligen Nachricht verarbeitet.

Rechtsgrundlage: Vertragserfüllung beziehungsweise unser berechtigtes Interesse an einer zuverlässigen Zustellung (Art. 6 Abs. 1 lit. b und f DSGVO).

Teil 2 – Die Website atemflow.de

Hosting und Server-Protokolle

Unsere Website und der Kursbereich werden bei Fastpress (Christian Galster) betrieben, im Rechenzentrum Telehouse in Frankfurt. Die Domain verwaltet ALL-INKL.COM (Neue Medien Münnich). Beim Aufruf der Seite fallen technisch notwendige Protokolldaten an: Deine IP-Adresse, aufgerufene Seite, Verweisquelle, Zeitpunkt und Browsertyp.

Warum: Auslieferung der Seite, Sicherheit und Stabilität.

Rechtsgrundlage: Unser berechtigtes Interesse an einem sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO).

Wie lange: In der Regel 30 Tage.

Cookies und Einwilligung

Auf atemflow.de verwenden wir Cookies, kleine Textdateien, die Dein Browser speichert. Manche brauchen wir, damit die Seite überhaupt funktioniert (zum Beispiel für den Login im Kursbereich). Für alles andere, vor allem Statistik und Marketing, fragen wir Dich vorher über unseren Cookie-Banner.

Warum überhaupt Statistik und Marketing? Ganz ehrlich: Wir möchten, dass mehr Menschen AtemFlow finden, denen es guttun könnte, besonders über die Google-Suche. Dafür schauen wir anonym, was auf der Seite gut ankommt, und schalten Suchanzeigen. Wir gehen dabei so sparsam und behutsam wie möglich vor. Ohne Dein Ja wird nichts geladen, das Dich verfolgt, und Du entscheidest jederzeit neu.

Rechtsgrundlage: Für notwendige Cookies § 25 Abs. 2 TDDDG, für alle übrigen Deine Einwilligung (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).

Unser Cookie-Banner (Einwilligungsverwaltung)

Deine Entscheidung verwalten wir mit einem selbst entwickelten Werkzeug, keinem Drittanbieter. Es speichert Deine Wahl in einem Cookie namens „af_consent“ für 180 Tage. Zusätzlich halten wir jede Einwilligung als Nachweis fest: Zeitpunkt, eine anonyme Consent-ID, die gewählten Kategorien, die Version dieser Erklärung, Deine IP-Adresse nur als gesalzenen SHA-256-Hash (nie im Klartext) und den Browsertyp.

Warum: Wir müssen belegen können, dass eine Einwilligung erteilt wurde.

Rechtsgrundlage: Unser berechtigtes Interesse am Nachweis der Einwilligung (Art. 6 Abs. 1 lit. f DSGVO, Art. 7 DSGVO).

Ändern kannst Du Deine Wahl jederzeit über den Link „Cookie-Einstellungen“ im Footer, mit Wirkung für die Zukunft.

Google Consent Mode v2

Solange Du nicht zugestimmt hast, stehen alle Google-Signale auf „abgelehnt“. Google-Dienste setzen dann keine Cookies und senden höchstens anonyme, cookielose Signale. Erst mit Deiner Zustimmung schalten wir das jeweilige Google-Werkzeug frei. So läuft vor Deiner Einwilligung kein Tracking.

Google Analytics 4 (Statistik)

Wenn Du der Statistik zustimmst, nutzen wir Google Analytics 4, eingebunden über das Plugin Google Site Kit, um anonym zu verstehen, welche Inhalte gut ankommen und wo wir besser werden können. Deine IP-Adresse wird dabei gekürzt (anonymisiert).

Anbieter: Google Ireland Ltd., Dublin. Dabei können Daten in die USA übertragen werden. Cookies: „_ga“ und „_ga_*“.

Rechtsgrundlage: Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).

Wie lange: Die Analytics-Cookies laufen je nach Einstellung, standardmäßig bis zu 2 Jahre.

Google Ads (Marketing)

Wenn Du dem Marketing zustimmst, dürfen wir mit Google Ads messen, ob unsere Suchanzeigen wirken (Conversion-Messung), und AtemFlow Menschen erneut zeigen, die schon einmal da waren (Remarketing). So erreichen wir gezielt Menschen, die aktiv nach Atemübungen suchen, statt breit zu streuen.

Anbieter: Google Ireland Ltd., Dublin. Datenübertragung in die USA möglich. Cookies: „_gcl_*“.

Rechtsgrundlage: Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).

Schriftarten

Für das Schriftbild nutzen wir die Schriftart „Spectral". Wir laden sie bewusst nicht bei Google, sondern stellen sie selbst von unserem eigenen Server bereit. Dadurch wird beim Aufruf der Seite keine Verbindung zu Google-Servern aufgebaut und keine Daten (auch nicht Deine IP-Adresse) an Google übertragen.

Rechtsgrundlage: Unser berechtigtes Interesse an einer einheitlichen, datensparsamen Darstellung (Art. 6 Abs. 1 lit. f DSGVO).

Spam-Schutz in Formularen

Damit unsere Formulare (zum Beispiel die Newsletter-Anmeldung) nicht von Bots missbraucht werden, setzen wir Google reCAPTCHA (Google Ireland Limited) ein. Dabei wertet Google Dein Nutzungsverhalten aus, um Menschen von Maschinen zu unterscheiden, und verarbeitet dazu unter anderem Deine IP-Adresse.

Rechtsgrundlage: Unser berechtigtes Interesse an Schutz vor Spam und Missbrauch (Art. 6 Abs. 1 lit. f DSGVO).

Videos

Kurs- und Übungsvideos binden wir über den Video-Dienst Gumlet ein. Erst wenn Du ein Video startest, wird eine Verbindung zu den Servern von Gumlet aufgebaut und dabei technische Daten wie Deine IP-Adresse übertragen. Vereinzelt verlinken wir auch auf unseren YouTube-Kanal, in diesem Fall gelten beim Klick die Datenschutzhinweise von YouTube (Google).

Rechtsgrundlage: Unser berechtigtes Interesse an einer ansprechenden Darstellung der Inhalte (Art. 6 Abs. 1 lit. f DSGVO).

Live-Sessions

Auf einigen Kursseiten zeigen wir kommende Live-Sessions an. Die Termine ziehen wir aus unserer Firebase-Datenbank (Google Ireland Limited, Server in Frankfurt). Für die Teilnahme an einer Session leiten wir Dich zu Zoom weiter, dort gelten die Datenschutzhinweise des jeweiligen Anbieters.

Rechtsgrundlage: Vertrag beziehungsweise berechtigtes Interesse an der Bereitstellung des Kursangebots (Art. 6 Abs. 1 lit. b und f DSGVO).

Kursbereich und Login

Der geschützte Kursbereich auf der Website wird über DigiMember bereitgestellt. Damit verwalten wir Deinen Zugang zu gekauften Kursen: Login, freigeschaltete Inhalte und Fortschritt. Verarbeitet werden dafür Deine Zugangsdaten und die Information, welche Kurse Du gebucht hast.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Kontakt

Wenn Du uns per E-Mail oder über ein Formular schreibst, verarbeiten wir Deinen Namen, Deine E-Mail-Adresse und den Inhalt Deiner Nachricht, um Deine Anfrage zu bearbeiten.

Rechtsgrundlage: Vertrag oder berechtigtes Interesse (Art. 6 Abs. 1 lit. b oder f DSGVO).

Wie lange: Bis zu 12 Monate nach Abschluss der Anfrage.

Teil 3 – Der Shop (shop.atemflow.de)

Bestellungen

Unser Shop läuft auf WooCommerce und wird bei ALL-INKL.COM (Neue Medien Münnich) in Deutschland gehostet. Wenn Du etwas kaufst, verarbeiten wir Deine Bestell- und Rechnungsdaten: Name, E-Mail-Adresse, Rechnungsanschrift und die bestellten Produkte. Da wir nur digitale Produkte verkaufen (Audios, Kurse, Studio-Zugänge, Gutscheine), brauchen wir in der Regel keine Lieferadresse. Bei Geschenkgutscheinen, die als Karte per Post kommen, benötigen wir eine Versandadresse.

Warum: Abwicklung Deiner Bestellung, Rechnungsstellung und Betrugsprävention.

Rechtsgrundlage: Vertrag (Art. 6 Abs. 1 lit. b DSGVO) und gesetzliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).

Wie lange: Rechnungsrelevante Daten bis zu 10 Jahre, weil das Steuerrecht das verlangt. Daran können wir leider nichts ändern.

Bezahlung

Für die Bezahlung nutzt Du einen der folgenden Anbieter. Deine vollständigen Zahlungsdaten (etwa Kartennummer) gibst Du dabei direkt beim jeweiligen Anbieter ein, wir sehen sie nicht.

  • Stripe (Stripe Payments Europe Ltd., Irland): Kartenzahlung, Apple Pay, Google Pay und Klarna.
  • PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg): Zahlung per PayPal-Konto.
  • Klarna (Klarna Bank AB, Schweden): Rechnungs- und Ratenkauf, abgewickelt über Stripe.
  • Vorkasse: Bei Überweisung speichern wir Name, Anschrift und Zahlungseingang für die Rechnung. Die Überweisung selbst läuft über Deine Bank.

Rechtsgrundlage: Vertrag und gesetzliche Pflichten (Art. 6 Abs. 1 lit. b und c DSGVO).

Für rechtssichere Rechnungen und die gesetzlichen Pflichtangaben nutzen wir im Shop die Erweiterung Germanized.

Freischaltung Deines App-Zugangs

Wenn Du im Shop einen Studio-Zugang oder eine Mitgliedschaft kaufst, muss dieser Kauf in der App freigeschaltet werden. Dafür meldet der Shop die abgeschlossene Bestellung über den Automatisierungsdienst Zapier an unsere App-Datenbank (Firebase). Übertragen werden dabei die Bestellinformationen, die für die Freischaltung nötig sind, etwa Produkt und E-Mail-Adresse.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Teil 4 – Newsletter und E-Mail

Newsletter

Was: Deine E-Mail-Adresse sowie der Nachweis Deiner Anmeldung (Zeitpunkt und IP-Adresse) und Öffnungs- beziehungsweise Klickdaten zur Erfolgsmessung.

Warum: Damit wir Dir Tipps, neue Inhalte und Kursangebote schicken und den Newsletter verbessern können.

Muss das sein? Nein. Du meldest Dich aktiv an (Double-Opt-In, das heißt Du bestätigst die Anmeldung per Klick in einer ersten E-Mail) und kannst Dich jederzeit über den Link in jeder Mail abmelden.

Versand über: CleverReach GmbH & Co. KG (Rastede, Deutschland). Deine E-Mail-Adresse verlässt die EU nicht.

Rechtsgrundlage: Deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), Erfolgsmessung auf Basis unseres berechtigten Interesses (lit. f), Nachweis der Anmeldung aufgrund gesetzlicher Pflicht (lit. c).

Wie lange: Bis Du Dich abmeldest. Den Nachweis Deiner Anmeldung bewahren wir bis zu 3 Jahre auf.

Weiterleitungen und Automatisierung

Um unsere Systeme zu verbinden, nutzen wir den Automatisierungsdienst Zapier (Zapier Inc., USA). Zapier leitet zum Beispiel eine Newsletter-Anmeldung aus der App an CleverReach weiter oder meldet einen abgeschlossenen Kauf an die App-Datenbank. Dabei werden nur die jeweils nötigen Daten übertragen, etwa Deine E-Mail-Adresse und die Angabe, ob Du den Newsletter möchtest.

Rechtsgrundlage: Deine Einwilligung beim Newsletter beziehungsweise Vertragserfüllung bei Käufen (Art. 6 Abs. 1 lit. a und b DSGVO).

Weil Zapier ein US-Anbieter ist, kann es dabei zu einer Übermittlung in die USA kommen. Mehr dazu im Abschnitt „Werden Daten ins Ausland übermittelt?".

System- und Bestätigungsmails

Technische E-Mails wie die Bestätigung Deiner Anmeldung oder Systemnachrichten verschicken wir über Postmark (siehe Teil 1). Für Bestell- und Rechnungsmails aus dem Shop nutzen wir den Versandweg von WooCommerce über unseren Server.

Rechtsgrundlage: Vertragserfüllung und berechtigtes Interesse an zuverlässiger Zustellung (Art. 6 Abs. 1 lit. b und f DSGVO).

Wer Deine Daten bekommt

Wir geben Deine Daten nicht an Werbefirmen, Datenhändler oder sonstige Dritte weiter. Punkt. Damit unsere Angebote funktionieren, arbeiten wir aber mit Dienstleistern zusammen. Die handeln nur nach unseren Anweisungen und dürfen mit Deinen Daten nichts anderes tun, als wir ihnen sagen. Mit allen haben wir Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen.

Auftragsverarbeiter (arbeiten für uns nach Weisung)

DienstleisterWofürSitz / Server
Google Ireland Ltd. (Firebase)Login, Datenbank, Analytics, Absturzberichte, Push. Gesundheitsdaten sind verschlüsselt, Google kann sie nicht lesen.Frankfurt (Server)
Google Ireland Ltd. (Analytics & Ads)Statistik und Suchmaschinen-Marketing der Website, nur nach Deiner EinwilligungDublin, USA möglich
Fastpress (Christian Galster)Hosting der Website und des KursbereichsFrankfurt
ALL-INKL.COM (Neue Medien Münnich)Domain-Verwaltung und Shop-HostingDeutschland
CleverReach GmbH & Co. KGNewsletter-VersandRastede, Deutschland
Postmark (Wildbit / ActiveCampaign)Versand von System- und BestätigungsmailsUSA
Zapier Inc.Verbinden unserer Systeme (z. B. Newsletter, Freischaltung)USA
DigiMemberZugang und Login im KursbereichDeutschland
Stripe Payments Europe Ltd.Zahlungsabwicklung (Karte, Klarna, Apple/Google Pay)Irland
GumletAusspielung der Kurs- und ÜbungsvideosEU / USA

Eigenständige Anbieter (mit eigenen Datenschutzregeln)

  • Apple: bei Anmeldung mit Apple-ID oder Kauf im App Store.
  • Google: bei Anmeldung mit Google oder Kauf im Play Store.
  • PayPal: wenn Du per PayPal zahlst.
  • Klarna: wenn Du Rechnungs- oder Ratenkauf wählst.
  • Deine Bank: wenn Du per Überweisung zahlst.
  • Unser Steuerberater: für die gesetzlich vorgeschriebene Buchhaltung.

Werden Daten ins Ausland übermittelt?

Unsere Server stehen in Frankfurt. Deine Daten verlassen Deutschland im Normalfall nicht.

Einige unserer Dienstleister sind aber US-Unternehmen (Google, Postmark, Zapier). Auch wenn die Server in der EU stehen, kann es sein, dass dabei Daten in die USA übertragen werden. Dafür stützen wir uns auf das EU-US Data Privacy Framework (ein Abkommen zwischen EU und USA seit Juli 2023) beziehungsweise auf die EU-Standardvertragsklauseln, die ein angemessenes Schutzniveau sicherstellen sollen.

Ehrlich gesagt: Wir können nicht zu 100 Prozent ausschließen, dass US-Behörden bei US-Unternehmen Daten anfordern könnten. Aber Deine Gesundheitsdaten sind verschlüsselt. Selbst wenn jemand sie in die Hände bekäme, könnte er sie nicht lesen.

Wie lange wir Deine Daten speichern

WasWie lange
Konto (E-Mail, Name)Bis Du es löschst, dann innerhalb von 24 Stunden weg
GesundheitsdatenBis Du widerrufst oder löschst, höchstens 3 Jahre; Löschung innerhalb von 30 Tagen
Login-Protokolle180 Tage
Server-Logs30 Tage
Analytics-Daten14 Monate
AbsturzberichteUngefähr 90 Tage
Push-TokenBis Du Push abschaltest oder Dein Konto löschst
Newsletter-DatenBis zur Abmeldung; Anmeldenachweis bis zu 3 Jahre
KontaktanfragenBis zu 12 Monate nach Abschluss
Rechnungsdaten10 Jahre (gesetzliche Pflicht)
Anonyme ForschungsdatenUnbegrenzt, aber ohne jeden Bezug zu Dir

Deine Rechte

Du hast eine ganze Reihe von Rechten, hier in verständlicher Sprache:

  • Auskunft (Art. 15): Du darfst fragen „Welche Daten habt ihr über mich?" und wir müssen es Dir innerhalb eines Monats sagen.
  • Berichtigung (Art. 16): Wenn etwas falsch gespeichert ist, korrigieren wir es.
  • Löschung (Art. 17): Du kannst sagen „Löscht alles" und wir tun es. Konto innerhalb von 24 Stunden, Gesundheitsdaten innerhalb von 30 Tagen.
  • Einschränkung (Art. 18): Du kannst verlangen, dass wir Deine Daten vorerst nicht weiterverarbeiten, aber auch noch nicht löschen.
  • Datenübertragbarkeit (Art. 20): Du kannst Deine Daten in einem gängigen Format bekommen, um sie woanders zu nutzen.
  • Widerruf (Art. 7 Abs. 3): Jede Einwilligung kannst Du jederzeit zurücknehmen. Was bis dahin geschah, bleibt rechtmäßig, ab dem Widerruf hören wir auf.
  • Widerspruch (Art. 21): Gegen Verarbeitungen auf Basis unseres berechtigten Interesses (etwa Absturzberichte) kannst Du Widerspruch einlegen.

Wie? Am einfachsten per E-Mail an support@atemflow.de oder direkt in der App unter Einstellungen, Datenschutz.

Wie Du alles selbst steuerst

Gesundheitsdaten an/aus: Einstellungen, Datenschutz, Gesundheitsdaten

Nutzungsanalyse an/aus: Einstellungen, Datenschutz, Nutzungsanalyse

Forschungsbeitrag an/aus: Einstellungen, Datenschutz, Forschung

Push an/aus: in den iOS- oder Android-Systemeinstellungen

Newsletter abmelden: Link in jeder Newsletter-Mail

Cookies auf der Website: über die Cookie-Einstellungen der Seite

Konto löschen: Einstellungen, Konto, Konto löschen

Noch ein paar wichtige Dinge

Bist Du alt genug?

AtemFlow richtet sich an Personen ab 16 Jahren. Wenn Du jünger bist, brauchen wir die Zustimmung Deiner Eltern oder Erziehungsberechtigten, bevor Du eine Einwilligung erteilen kannst (Art. 8 DSGVO).

Ist AtemFlow ein Medizinprodukt?

Nein. AtemFlow ist kein Medizinprodukt und kein Ersatz für einen Arztbesuch. Alle Einschätzungen und Empfehlungen in der App beruhen auf Mustererkennung und Statistik, nicht auf medizinischer Diagnostik. Wenn Du gesundheitliche Beschwerden hast, wende Dich bitte an Deine Ärztin oder Deinen Arzt.

Sicherheit

Wir schützen Deine Daten mit modernen Mitteln: verschlüsselte Übertragung (SSL/TLS), Zugriffskontrollen, abgesicherte Cloud-Infrastruktur und die besondere Ende-zu-Ende-Verschlüsselung Deiner Gesundheitsdaten.

Was, wenn Du unzufrieden bist?

Schreib uns am besten zuerst an support@atemflow.de, das meiste lösen wir unkompliziert. Wenn Du findest, dass wir Deine Daten nicht richtig behandeln, kannst Du Dich außerdem bei einer Datenschutzaufsichtsbehörde beschweren. Für uns zuständig ist:

Sächsische Datenschutz- und Transparenzbeauftragte

Maternistraße 17, 01067 Dresden

E-Mail: post@sdtb.sachsen.de

Ändert sich das hier mal?

Ja, wenn sich Funktionen, Gesetze oder Dienstleister ändern. Bei wichtigen Änderungen, besonders wenn es um Deine Gesundheitsdaten geht, informieren wir Dich per Push-Nachricht oder Hinweis in der App und holen bei Bedarf eine neue Einwilligung ein. Die aktuelle Fassung findest Du immer in der App und unter atemflow.de/datenschutz.

Anlage A – Rechtsgrundlagen auf einen Blick

Für alle, die es genau wissen wollen:

Was wir tunRechtsgrundlageBedeutung
Konto, Login, AboArt. 6 Abs. 1 lit. b DSGVONötig für den Vertrag mit Dir
Gesundheitsdaten speichernArt. 9 Abs. 2 lit. a DSGVONur mit ausdrücklicher Einwilligung
ZustandseinschätzungArt. 9 Abs. 2 lit. a DSGVONur mit ausdrücklicher Einwilligung
NutzungsanalyseArt. 6 Abs. 1 lit. a DSGVONur mit Einwilligung
Push-NachrichtenArt. 6 Abs. 1 lit. a DSGVONur mit Einwilligung
NewsletterArt. 6 Abs. 1 lit. a DSGVONur mit Einwilligung
Forschung (anonym)Nicht DSGVO-pflichtigKein Personenbezug, trotzdem Opt-in
Forschung (pseudonym)Art. 6 Abs. 1 lit. a DSGVONur mit Einwilligung
AbsturzberichteArt. 6 Abs. 1 lit. f DSGVOBerechtigtes Interesse an Stabilität
Hosting, Logs, Spam-Schutz, Fonts, VideoArt. 6 Abs. 1 lit. f DSGVOBerechtigtes Interesse an sicherem Betrieb
Bestellung und BezahlungArt. 6 Abs. 1 lit. b DSGVONötig für den Kauf
Rechnungsdaten aufbewahrenArt. 6 Abs. 1 lit. c DSGVOGesetzliche Pflicht (Steuerrecht)

Anlage B – Dienstleister im Detail

DienstleisterZweckSitzSpeicherdauer
Google Ireland Ltd. (Sub: Google LLC, USA)Firebase: Login, Datenbank, Analytics, Crashlytics, PushDublin / FrankfurtAnalytics 14 Mon., Crash ca. 90 T.
Fastpress (Christian Galster)Webhosting Website und KursbereichFrankfurtLogs 30 T.
ALL-INKL.COM (Neue Medien Münnich)Domain-Verwaltung und Shop-HostingDeutschlandVertragslaufzeit
CleverReach GmbH & Co. KGNewsletter-VersandRastede, DEBis Abmeldung
Postmark (Wildbit / ActiveCampaign)System- und BestätigungsmailsUSAKurzfristig zur Zustellung
Zapier Inc.Automatisierte WeiterleitungenUSAKurzfristig zur Übertragung
DigiMemberKursbereich, LoginDeutschlandVertragslaufzeit
Stripe Payments Europe Ltd.ZahlungsabwicklungIrlandGesetzliche Fristen
GumletVideo-AuslieferungEU / USAVertragslaufzeit

Stand dieser Fassung: 16. Juli 2026. Diese Datenschutzerklärung ersetzt die vorherige Fassung vom 30. August 2025.