Die AtemFlow Datenschutzerklärung

Mit uns immer auf der sicheren Seite!

Geltungsbereich

Diese Datenschutzerklärung gilt für die AtemFlow-App (iOS/Android) sowie die Website atemflow.de. Sie erklärt in verständlicher Sprache, welche Daten wir verarbeiten, warum wir das tun, welche Rechtsgrundlagen gelten, wie lange wir Daten speichern, an wen wir Daten weitergeben und welche Rechte du hast.

Die Datenschutzerklärung bedient sich der Begrifflichkeiten der DSGVO. Die verwendeten Begrifflichkeiten, wie bspw. „Besucher“ oder „Nutzer“, sind der Verständlichkeit halber gewählt und geschlechtsneutral zu verstehen (siehe auch Punkt 14. dieser Datenschutzerklärung).

1. Wer ist verantwortlich?

Verantwortlicher (Art. 4 Nr. 7 DSGVO) ist die:
AtemFlow GbR,
Borngasse 10,
09599 Freiberg, Deutschland

E-Mail: support@atemflow.de

Wir haben keine/n Datenschutzbeauftragte/n bestellt. Für Datenschutzfragen kannst du uns jederzeit per E‑Mail kontaktieren.

2. Kurzfassung auf einen Blick

  • Ohne Konto geht es nicht: Wir benötigen E-Mail, Passwort und einen selbstgewählten Namen, damit du die App nutzen und deinen Test-/Abozeitraum verwalten kannst.
  • Freiwillige Angaben: Stimmung, Kontrollpausenwert (Buteyko) und Übungsdauer helfen dir beim Training – du entscheidest, ob du sie eingibst.
  • keine sensiblen Sensoren: Wir erfassen keine Herzfrequenz, HRV oder Standortdaten. Wir nutzen nur die Tageszeit, um Funktionen sinnvoll anzuzeigen.
  • Erinnerungen & Motivation: Push-Mitteilungen erhältst du nur, wenn du sie erlaubst. Du kannst sie jederzeit in den Geräteeinstellungen ausschalten.
  • Analyse & Stabilität: Wir verwenden Firebase/Google Analytics (optional per Einwilligung) und Crashlytics (zur Fehlerbehebung).
  • Newsletter: Nur wenn du zustimmst. Versand über CleverReach (DE).
  • Hosting: Google Cloud/Firebase in Frankfurt (EU). Für einzelne Funktionen/Anbieter kann es zu Übermittlungen in die USA kommen (siehe Kapitel „Internationale Datenübermittlungen“).
  • Löschung: Du kannst dein Konto in der App löschen; die Löschung erfolgt innerhalb von 24 Stunden. Anonymisierte Statistikdaten behalten wir ggf. länger.
  • Deine Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Widerruf.

3. Welche Daten verarbeiten wir? (Was – Wozu – Muss/Freiwillig – Rechtsgrundlage – Speicherdauer)

3.1 Registrierung & Konto

  • Was: E-Mail, Passwort, selbstgewählter Anzeigename.
  • Wozu: Konto anlegen, Login, Test-/Aboverwaltung, Sicherheitsmaßnahmen.
  • Muss/Freiwillig: Muss – ohne geht die App nicht.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsanbahnung)
  • Speicherdauer: Bis zur Kontolöschung; Protokolle max. 180 Tage; Sicherheits-/Zugriffslogs max. 30 Tage; Backups i. d. R. bis zu 30 Tage.

3.2 App-Inhalte (freiwillig, teils mit Gesundheitsbezug)

  • Was: Stimmungsbarometer (Skala), Kontrollpausenwert (Buteyko), Übungsdauer; Tageszeit.
  • Wozu: Trainingsdokumentation, Verlauf, personalisierte Hinweise.
  • Muss/Freiwillig: Freiwillig. Du kannst die App auch ohne diese Angaben nutzen.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (App-Funktion), Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsbezug).
  • Speicherdauer: Bis zur Kontolöschung; anonymisierte Statistikdaten ggf. länger (ohne Personenbezug).

3.3 Push-Mitteilungen

  • Was: Geräte-Push-Token (technisches Kennzeichen).
  • Wozu: Erinnerungen an Live-Sessions und Motivation.
  • Muss/Freiwillig: Freiwillig; steuerst du über den Systemdialog (iOS/Android) und die Geräteeinstellungen.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Speicherdauer: Bis du Push deaktivierst oder dein Konto löscht.

3.4 Analyse & Fehlerbehebung

  • Was: Ereignisdaten zur App-Nutzung (z. B. Session-Events), technische Geräteinfos, Absturzberichte.
  • Wozu: Produktverbesserung (Analytics), Stabilität/Sicherheit (Crashlytics).
  • Muss/Freiwillig: Analytics freiwillig (Opt‑In), Crashlytics erforderlich für Stabilität (berechtigtes Interesse).
  • Rechtsgrundlage: Analytics Art. 6 Abs. 1 lit. a DSGVO; Crashlytics Art. 6 Abs. 1 lit. f DSGVO.
  • Speicherdauer: Analytics bis zu 14 Monate (konfiguriert); Crashlytics typischerweise 90 Tage (siehe „Speicherdauern“).

3.5 Newsletter (optional)

  • Was: E-Mail-Adresse, Opt‑In, Öffnungs-/Klickstatistiken (nur zur Erfolgsmessung).
  • Wozu: Informationen zu AtemFlow-Inhalten, Kursen und Angeboten.
  • Muss/Freiwillig: Freiwillig (Double‑Opt‑In, Abmeldung jederzeit).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • Speicherdauer: Bis zur Abmeldung; Nachweise zur Einwilligung bis zu 3 Jahre (Beweiszwecke).

3.6 Zahlungen & Abrechnung

  • Was: Bei App-Store-Käufen werden Zahlungsdaten ausschließlich von Apple/Google verarbeitet. Bei Vorkasse verarbeiten wir erforderliche Rechnungsdaten (z. B. Name, Adresse, Zahlungseingang). Stripe ist für die Website geplant.
  • Wozu: Kaufabwicklung, Vertragsdurchführung, steuerliche Pflichten.
  • Muss/Freiwillig: Erforderlich bei Käufen.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).
  • Speicherdauer: Nach steuerrechtlichen Vorgaben bis zu 10 Jahre.

4. Rechtsgrundlagen im Überblick

  • Vertrag/Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO): Nutzung der App, Konto, Zahlungen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und ggf. Art. 9 Abs. 2 lit. a DSGVO): Analytics, Push, Newsletter, freiwillige Gesundheitsangaben.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): App-Sicherheit/Stabilität (Crashlytics), Missbrauchsvermeidung, Rechtsdurchsetzung.
  • Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten (Steuer/Handelsrecht).

Hinweis TTDSG/TDDDG (§ 25): Für das Speichern/Auslesen von Informationen auf deinem Gerät (z. B. SDKs, Tracking-IDs) ist – soweit nicht unbedingt erforderlich – in Deutschland regelmäßig eine Einwilligung nötig. Wir holen diese Einwilligung in der App ein (Consent).

5. Wer erhält meine Daten? (Empfänger / Auftragsverarbeiter / Eigenverantwortliche)

Wir geben Deine Daten nur an Dritte weiter, soweit dies nach der DSGVO zulässig ist. Das betrifft insbesondere Auftragsverarbeiter nach Art. 28 DSGVO, mit denen wir Verträge zur Auftragsverarbeitung (AVV) abgeschlossen haben.

5.1 Auftragsverarbeiter (Art. 28 DSGVO; AVV abgeschlossen)

  • Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) – für Firebase-Dienste: Authentifizierung, Datenbank/Hosting, Analytics, Crashlytics.
    Sub-Auftragsverarbeiter u. a. Google LLC (USA) im Rahmen des EU-US Data Privacy Framework (DPF) oder Standardvertragsklauseln.

  • CleverReach GmbH & Co. KG (Mühlenstraße 43, 26180 Rastede, Deutschland) – für den Versand und die Verwaltung unseres Newsletters.

  • Shopify International Ltd. (Irland) sowie Shopify Inc. (Kanada) – für den Betrieb des Online-Shops und die Abwicklung von Bestellungen. Kanada verfügt über einen EU-Angemessenheitsbeschluss; für etwaige Subprozessoren in den USA gelten SCC/DPF.

  • ALL-INKL.COM – Neue Medien Münnich (Deutschland) – für Domain-Hosting.

  • Fastpress, Christian Galster (Deutschland) – für Webhosting (Rechenzentrum Telehouse Frankfurt).

  • Stripe Payments Europe Ltd. (Irland, geplant) – für Zahlungen über Stripe (z. B. Shopify Payments).

5.2 Eigenständige Verantwortliche (keine Auftragsverarbeiter)

  • Apple Inc. (Sign in with Apple, App Store-Zahlungen) und Google LLC (Google-Login, Google Play-Store-Zahlungen).
    Diese Unternehmen agieren als eigenständige Verantwortliche mit eigenen Datenschutzhinweisen.

  • PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg), falls Du PayPal für Zahlungen nutzt.

  • Banken/Zahlungsdienstleister bei Vorkasse.

  • Steuerberater, Wirtschaftsprüfer, Rechtsanwälte, Behörden – soweit wir gesetzlich dazu verpflichtet sind oder berechtigte Interessen bestehen (z. B. Geltendmachung von Rechtsansprüchen).

6. Internationale Datenübermittlungen

Hintergrund: Die USA galten lange als „unsicheres Drittland“. Seit dem 10.07.2023 besteht ein EU‑Angemessenheitsbeschluss („EU‑US Data Privacy Framework“ – DPF).

Was heißt das für dich? Soweit US‑Unternehmen nach DPF zertifiziert sind, dürfen Daten dahin übertragen werden, weil ein angemessenes Schutzniveau angenommen wird. Für nicht (mehr) zertifizierte Anbieter nutzen wir Standardvertragsklauseln (SCC) oder andere Garantien.

Ehrlicher Hinweis: Trotz dieser Garantien kann ein Zugriff US‑amerikanischer Behörden bei dortigen Anbietern rechtlich nie völlig ausgeschlossen werden. Wir wählen Anbieter sorgfältig aus, minimieren Daten und prüfen Alternativen innerhalb der EU, wo möglich.

7. Wie lange speichern wir Daten? (konkrete Fristen)

  • Konto & App-Inhalte: Löschung innerhalb von 24 Stunden nach Anforderung im Profilmenü; Backups i. d. R. bis zu 30 Tage.
  •  Server-/Zugriffslogs: bis zu 30 Tage (Sicherheit/Fehleranalyse).
  • Auth-/Login-Protokolle: bis zu 180 Tage.
  • Analytics (Firebase/GA4): bis zu 14 Monate (konfigurierte Aufbewahrung).
  • Crashlytics: typischerweise bis zu 90 Tage.
  • Push-Token: bis zum Widerruf/Deaktivierung oder Kontolöschung.
  • Newsletter-Daten: bis zur Abmeldung; Opt‑In‑Nachweise bis zu 3 Jahre.
  • Rechnungs-/Steuerdaten (Vorkasse/Abos): bis zu 10 Jahre.

8. Wie kannst du deine Daten kontrollieren?

  • In der App: Konto löschen, freiwillige Angaben entfernen, Analytics-Opt‑In/Opt‑Out, Einwilligung für Gesundheitsangaben widerrufen.
  • Gerät: Push-Mitteilungen in den iOS/Android-Systemeinstellungen deaktivieren.
  • Newsletter: Abmeldung per Link in jeder Mail.
  • Anfragen: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch – per E‑Mail an support@atemflow.de.

9. Minderjährige

Die App richtet sich an Personen ab 16 Jahren. Unter 16 benötigen wir – soweit Einwilligungen erforderlich sind – die Zustimmung der Sorgeberechtigten (Art. 8 DSGVO).

10. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt.

11. Sicherheit

Wir setzen technische und organisatorische Maßnahmen gemäß Art. 25 und 32 DSGVO ein (u. a. Verschlüsselung, Zugriffs- und Rollenkonzepte, Protokollierung, Härtung und Monitoring in der Google Cloud). Die Website nutzt SSL/TLS.

12. Deine Beschwerderechte

Du kannst dich bei einer Aufsichtsbehörde beschweren, z. B. bei der
Sächsischen Datenschutz- und Transparenzbeauftragten:

Maternistraße 17,
01067 Dresden,
E‑Mail: post@sdtb.sachsen.de.

13. Änderungen

Wir passen diese Erklärung an, wenn sich Funktionen, Rechtslage oder Dienstleister ändern. Die aktuelle Fassung ist in der App und auf atemflow.de/datenschutz abrufbar.

Stand: 30. August 2025

ANLAGE A – Dienstleister, Rechtsgrundlagen, Speicherfristen (Kurzüberblick)

  • Firebase (Google Ireland / Sub: Google LLC): Auth/DB/Hosting/Analytics/Crash.
      – Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (App), Art. 6 Abs. 1 lit. a (Analytics-Opt‑In), Art. 6 Abs. 1 lit. f (Crash).
      – Ort/Transfer: EU (Frankfurt); USA-Transfer möglich (DPF/SCC).
      – Fristen: Analytics bis 14 Monate; Crashlytics ca. 90 Tage; Logs 30 Tage.
  • CleverReach (DE): Newsletter.
      – Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung).
      – Ort: Deutschland/EU.
      – Fristen: bis Abmeldung; Nachweise 3 Jahre.
  • Apple/Google (Login, Stores): Eigenverantwortliche.
      – Eigene Datenschutzhinweise/Fristen der Anbieter.
  • Bank (Vorkasse): Eigenverantwortlich; gesetzliche Fristen (10 Jahre).
  • Stripe (geplant, Website): DPA + DPF/SCC; gesetzliche Fristen.