Datenschutzerklärung

Stand: 7. April 2026

1. Verantwortlicher

2. Übersicht der Verarbeitungen

getNudge ist eine Gesundheits-App, die Nutzern hilft, ihre Ernährung, ihr Gewicht und ihre Gesundheitsdaten zu tracken und personalisierte Empfehlungen zu erhalten. Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen.

3. Welche Daten wir verarbeiten

3.1 Kontodaten

• E-Mail-Adresse (zur Registrierung und Anmeldung)
• Passwort (verschlüsselt gespeichert, für uns nicht einsehbar)
• OAuth-Tokens bei Anmeldung über Google oder Apple

3.2 Profildaten

• Name, Alter, Geschlecht
• Körpergröße und -gewicht
• Persönliche Gesundheitsziele
• Kalorienziel und Makronährstoff-Verteilung

3.3 Gesundheits- und Ernährungsdaten

• Lebensmitteleinträge und Mahlzeiten
• Gewichtsverlauf
• Wasserkonsum
• Supplement-Einnahme
• Stimmungs- und Energielevel
• Selbst erstellte Lebensmittel und Rezepte

3.4 Technische Daten

• Gerätetyp und Betriebssystem
• App-Version
• Fehlerberichte (über Sentry)

4. Rechtsgrundlagen

Die Verarbeitung Ihrer Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

• Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO): Für die Verarbeitung von Gesundheitsdaten holen wir Ihre ausdrückliche Einwilligung ein. Diese können Sie jederzeit in den App-Einstellungen widerrufen.
• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontodaten und grundlegende Profildaten werden zur Bereitstellung des Dienstes verarbeitet.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Technische Daten zur Fehlerbehebung und Verbesserung der App.

5. Hosting und Infrastruktur

5.1 Supabase

Wir nutzen Supabase (Supabase Inc., San Francisco, USA) als Backend-Dienst für Authentifizierung und Datenspeicherung. Die Daten werden auf Servern in der EU (Irland) gespeichert. Die Datenübertragung erfolgt verschlüsselt (TLS). Supabase verarbeitet Daten in unserem Auftrag gemäß Art. 28 DSGVO.

5.2 Vercel

Unsere Webseite wird über Vercel (Vercel Inc., San Francisco, USA) gehostet. Es werden dabei keine personenbezogenen Daten gespeichert. Vercel kann bei Seitenaufrufen technische Zugriffsdaten (IP-Adresse, Zeitstempel) in Serverlogfiles speichern.

5.3 Sentry

Zur Fehlererkennung nutzen wir Sentry (Functional Software Inc., San Francisco, USA). Im Fehlerfall werden technische Daten (Gerätetyp, OS-Version, Stack-Trace) übermittelt. Es werden keine Gesundheits- oder Ernährungsdaten an Sentry übertragen.

5.4 KI-basierte Analyse

getNudge nutzt KI-Dienste für personalisierte Ernährungsanalysen, Gesundheits-Insights und Berichte. Die Verarbeitung erfolgt über folgende Anbieter:

• OpenRouter (OpenRouter Inc., USA) — API-Gateway für die KI-Verarbeitung
• Mistral AI (Mistral AI SAS, Paris, Frankreich) — Textbasierte Analysen und Empfehlungen
• Google Gemini (Google LLC, USA) — Bildbasierte Erkennung (Mahlzeit-Fotos, Nährwert-Labels)

Welche Daten werden verarbeitet:

• Ernährungsdaten (Mahlzeiten, Nährwerte)
• Mahlzeit-Fotos und Nährwert-Label-Fotos
• Gesundheitsmetriken (Schlaf, Schritte, Herzfrequenz — sofern verbunden)
• Sprachtranskripte (bei Spracheingabe von Mahlzeiten)

Die Daten werden ausschließlich zur Generierung personalisierter Empfehlungen verwendet. Sie werden nicht zum Training von KI-Modellen eingesetzt und nicht dauerhaft bei den Drittanbietern gespeichert. Die Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO), die Sie jederzeit in den App-Einstellungen widerrufen können.

5.5 PostHog

Für anonymisierte Nutzungsanalysen verwenden wir PostHog (PostHog Inc.). Die Daten werden auf EU-Servern verarbeitet. Es werden keine personenbezogenen Gesundheitsdaten an PostHog übertragen. Es erfolgt kein Cross-App-Tracking und kein Zugriff auf Werbe-Identifikatoren (IDFA).

5.6 ChatGPT-App und MCP-Connector

Wenn Sie die öffentliche getNudge-App in ChatGPT verbinden, stellen wir über einen read-only MCP-Connector ausgewählte Daten aus Ihrem getNudge-Konto bereit. Die Verbindung erfolgt nur nach Ihrer ausdrücklichen Zustimmung auf unserer Consent-Seite.

Welche Daten gelesen werden können:

• Profil-Zusammenfassungen mit Zielen und Präferenzen
• Essdaten und Mahlzeiten aus dem Tagebuch
• Gesundheitsmetriken wie Schritte, Schlaf, Herzfrequenz oder Gewicht
• Gespeicherte Insights und generierte Reports

Die ChatGPT-App erhält in v1 keine Schreibrechte. Es werden keine Daten geändert, gelöscht oder ohne Ihre aktive Anfrage übertragen. Rohdatenabfragen sind zusätzlich auf feste Felder, Zeiträume, Row Caps und Pagination begrenzt.

Rechtsgrundlage für diese Verarbeitung ist Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO. Sie können die Verbindung jederzeit über die Consent-Seite widerrufen. Für die weitere Verarbeitung innerhalb von ChatGPT gelten ergänzend die Bedingungen und Datenschutzinformationen von OpenAI.

6. Authentifizierung über Drittanbieter

Sie können sich über Google oder Apple anmelden. Dabei erhalten wir ausschließlich:

• Ihre E-Mail-Adresse
• Ihren Namen (sofern vom Anbieter bereitgestellt)

Wir erhalten keinen Zugriff auf Ihr Google-/Apple-Passwort oder sonstige Kontodaten.

7. Datenweitergabe

Ihre Daten werden nicht an Dritte verkauft. Eine Weitergabe erfolgt nur:

• An die unter Punkt 5 genannten Auftragsverarbeiter
• Wenn Sie dies ausdrücklich wünschen (z.B. Challenges mit Freunden)
• Wenn wir gesetzlich dazu verpflichtet sind

8. Datensicherheit

• Alle Daten werden verschlüsselt übertragen (TLS/HTTPS)
• Passwörter werden gehasht gespeichert (bcrypt)
• Zugriff auf Daten ist durch Row Level Security (RLS) auf Datenbankebene geschützt — jeder Nutzer sieht nur seine eigenen Daten
• Auth-Tokens werden sicher im Gerätespeicher abgelegt (expo-secure-store)
• Sitzungen laufen nach 24 Stunden Inaktivität ab

9. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können eine Kopie Ihrer gespeicherten Daten anfordern.
• Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren lassen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen. In der App können Sie Ihr Konto und alle Daten selbständig löschen.
• Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format exportieren. Die App bietet eine integrierte Exportfunktion (JSON).
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit in den App-Einstellungen oder für die ChatGPT-Verbindung auf unserer Consent-Seite widerrufen.
• Beschwerde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist der Sächsische Datenschutzbeauftragte.

10. Datenexport und Kontolöschung

In der App unter Einstellungen → Daten können Sie:

• Alle Ihre Daten als JSON-Datei exportieren
• Ihr Konto und alle zugehörigen Daten unwiderruflich löschen

Beide Aktionen erfordern eine erneute Authentifizierung zu Ihrem Schutz.

11. Speicherdauer

Ihre Daten werden gespeichert, solange Ihr Konto besteht. Bei Kontolöschung werden alle personenbezogenen Daten und Gesundheitsdaten unwiderruflich gelöscht. Anonymisierte, aggregierte Daten können für statistische Zwecke aufbewahrt werden.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen an der App oder bei geänderten rechtlichen Anforderungen anzupassen. Die aktuelle Version ist stets unter get-nudge.de/datenschutz abrufbar.

13. Kontakt

Bei Fragen zum Datenschutz erreichen Sie uns unter: