Datenschutzerklärung

2. Erhobene Daten

2.1 Kontoinformationen

Wenn du dein Programm speicherst, erheben wir:

• E-Mail-Adresse: für Anmeldung, Kommunikation und Passwortwiederherstellung
• Passwort: mit scrypt gehasht und niemals im Klartext gespeichert
• Datum der Programmspeicherung

2.2 Trainingsdaten

Um maßgeschneiderte Trainingspläne zu generieren, erheben wir:

• Fitnessziel: Muskelaufbau, Fettverbrennung, Ausdauer usw.
• Erfahrungsniveau: Anfänger, Fortgeschrittene, Experten
• Verfügbare Ausrüstung: Fitnessstudio, Körpergewicht, Hanteln usw.
• Gewünschte Trainingshäufigkeit: Anzahl der Einheiten pro Woche
• Übungspräferenzen: bevorzugte Übungen oder zu vermeidende Übungen
• Trainingsverlauf: abgeschlossene Einheiten, Satz-für-Satz-Logs (Gewicht, Wiederholungen, Pausenzeit), persönliche Bestleistungen (geschätztes 1RM), Volumen pro Muskelgruppe, Körpergewichtsmessungen, Sitzungs-Feedback

2.3 Zahlungsdaten

Zahlungen werden ausschließlich von Lemon Squeezy, LLC (unserem Merchant of Record) verarbeitet. Lemon Squeezy übernimmt die Zahlungsabwicklung, Steuererhebung, Rückerstattungen und Chargebacks sowie zahlungsbezogene Compliance, einschließlich PCI. Wir speichern niemals deine Bankdaten auf unseren Servern.

Lemon Squeezy erhebt und verarbeitet:

• Kreditkartennummer, Ablaufdatum, CVV
• Rechnungsname und -adresse
• Transaktionsdetails (Betrag, Datum, Währung)

Wir erhalten von Lemon Squeezy nur begrenzte Abrechnungs- und Abonnement-Metadaten, die für den Betrieb des Dienstes erforderlich sind, zum Beispiel Abonnementstatus, Tarif, Verlängerungs- oder Enddaten, Lemon-Squeezy-Kunden- und Abonnement-IDs, Zahlungsabwickler, Portal-Links und Transaktionsreferenzen. Für Support, Abgleich und Kontowiederherstellung können wir außerdem die mit dem Abonnement verknüpfte Rechnungs-E-Mail speichern. Vollständige Kartendaten erhalten oder speichern wir niemals.

2.4 Technische Daten

Wir erheben:

• Gerätetyp: Webbrowser oder installierte PWA (iOS, Android, Desktop)
• App-Version
• Betriebssystemversion
• Sprachpräferenz
• Fehlerprotokolle (zur Fehlerbehebung)

Wir nutzen keine präzise Geolokalisierung und keine mobilen Werbe-IDs (IDFA/AAID) für Tracking. Bestimmte technische Kennungen (einschließlich IP) können kurzfristig für Sicherheit, Betrugsprävention und Routing verarbeitet und danach gemäß Aufbewahrungsregeln minimiert oder gelöscht werden.

2.5 Fitness-Zustandsdaten

Um personalisierte Programme zu erstellen, erheben wir mit deiner ausdrücklichen Zustimmung:

• Gewicht: zur Anpassung der Übungsintensität
• Größe: zur Berechnung der Trainingsparameter
• Alter: zur Anpassung des Programmschwierigkeitsgrades
• Geschlecht: zur Personalisierung der Übungsauswahl
• Körpertyp: zur Optimierung der Trainingsstrategie
• Trainingsziel: zur Auswahl des passenden Programms

3. Verwendung deiner Daten

3.1 Bereitstellung des Dienstes

• Dein Programm speichern und deinen Zugang verwalten
• Generierung personalisierter Trainingsprogramme mit KI
• Verfolgung deines Fortschritts und Trainingsverlaufs
• Synchronisation der Daten über deine Geräte

Rechtsgrundlage: Vertragserfüllung (Nutzungsbedingungen).

3.2 Kommunikation

• Versand transaktionsbezogener E-Mails (Kontobestätigung, Passwortzurücksetzung)
• Benachrichtigung über Abonnementstatus (Verlängerungserinnerungen, Zahlungsfehler)
• Bereitstellung von Kundensupport

Rechtsgrundlage: Vertragserfüllung und berechtigtes Interesse.

3.3 Zahlungsabwicklung

• Verarbeitung von Abonnementzahlungen über Lemon Squeezy
• Erstellung von Rechnungen
• Verwaltung von Rückerstattungen

Rechtsgrundlage: Vertragserfüllung und gesetzliche Verpflichtung (Steuerunterlagen: 10 Jahre).

3.4 Verbesserung des Dienstes

• Analyse von Nutzungsdaten (über PostHog mit Einwilligung oder anonym ohne)
• Identifizierung und Behebung von Fehlern
• Entwicklung neuer Funktionen basierend auf Nutzerbedürfnissen

Rechtsgrundlage: Einwilligung für identifizierte Analysen. Berechtigtes Interesse gilt nur für aggregierte Statistiken aus anonymen Analyseereignissen im Arbeitsspeicher und nicht personenbezogenen Kampagnenparametern.

4. Drittanbieter-Dienstleister

Wir teilen deine Daten mit diesen vertrauenswürdigen Partnern, die uns bei der Bereitstellung des Dienstes helfen:

4.1 Infrastruktur

• Cloudflare, Inc. (US-Gesellschaft): vollständiges Anwendungs-Hosting auf Cloudflare Workers (Smart Placement), primäre Datenbank auf Cloudflare D1 (SQLite im Cloudflare-Netzwerk), R2-Objektspeicher in EU-Jurisdiktion (Übungsmedien), KV-Cache, Durable Objects (Daten pro Nutzer auf EU-Jurisdiktion beschränkt; verteilte Locks und Kontosperrung nutzen Platzierungshinweise für Westeuropa), Workers Rate Limit, Cloudflare Pages (Landingseite), DNS, DDoS-Schutz, CDN, Länder-Erkennung über Cloudflare-Netzwerksignale.
• Cloudflare Turnstile (CAPTCHA): Bot- und Missbrauchsschutz bei Registrierung, Passwort-Zurücksetzung und E-Mail-OTP-Anfragen. Verarbeitet ausschließlich minimale Browsersignale, ohne Cookies und ohne Fingerprinting.
• Resend (Plus Five Five, Inc., USA): Transaktions-E-Mails (Kontobestätigung, E-Mail-OTP, Passwort-Zurücksetzung, Aufbewahrungsbenachrichtigungen). Übermittlungen durch Standardvertragsklauseln abgedeckt.
• Bunny.net (BunnyWay d.o.o., Slowenien, EU): Bild-CDN ausschließlich für die Marketing-Landingseite. Es werden keine Daten authentifizierter Nutzer verarbeitet.
• Strapi (Strapi SAS, Frankreich, EU): Headless-CMS, das ausschließlich Blog-Inhalte für die Marketing-Landingseite hostet. Es werden keine Daten authentifizierter Nutzer verarbeitet.

Zwischen JCODE und Cloudflare, Inc. ist eine Auftragsverarbeitungsvereinbarung (Cloudflare Standard DPA v4.3) abgeschlossen, datiert auf den 2026-05-10, einschließlich der EU-Standardvertragsklauseln (SCCs) für Übermittlungen in nicht angemessene Drittländer.

4.2 Zahlung

• Lemon Squeezy, LLC: Merchant of Record, Zahlungsabwicklung, Steuererhebung, Rechnungsstellung, PCI-DSS-konform

Weitere Informationen zur Datenverarbeitung durch Lemon Squeezy findest du in der Datenschutzrichtlinie von Lemon Squeezy.

4.3 Analysen

• PostHog (eu.posthog.com, EU-Region): einwilligungsbasierte identifizierte Analysen oder anonyme Analysen nur im Arbeitsspeicher, ohne dauerhaften PostHog-Speicher, für aggregierte Statistiken.

Internationale Übertragungen: Deine primäre Datenbank (Cloudflare D1) und dein Objektspeicher (Cloudflare R2 mit EU-Jurisdiktion) werden auf dem Edge-Netzwerk von Cloudflare betrieben; Übertragungen zwischen Cloudflare-Regionen sind durch das Data Processing Addendum von Cloudflare und die Standardvertragsklauseln (SCCs) abgedeckt. Cloudflare selbst, Lemon Squeezy und Resend sind US-Gesellschaften und können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten; in allen Fällen verlassen wir uns auf DSGVO-Übermittlungsgarantien (SCCs und/oder Angemessenheitsbeschlüsse).

5. Datenweitergabe

Wir verkaufen deine personenbezogenen Daten niemals an Dritte.

Wir können Daten nur in diesen Fällen weitergeben:

• Mit deiner Einwilligung: wenn du dies ausdrücklich autorisierst
• Gesetzliche Verpflichtung: Gerichtsbeschluss, behördliche Anfrage
• Dienstleister: aufgeführt in Abschnitt 4 oben
• Unternehmensübertragung: im Falle einer Fusion, Übernahme oder Vermögensveräußerung (du wirst benachrichtigt)

6. Verwendung von Daten zur KI-Verbesserung

Mit deiner ausdrücklichen Einwilligung können wir aggregierte und anonymisierte Trainingsdaten verwenden, um die Qualität der generierten Programme für alle Nutzer zu verbessern und die Regeln und Heuristiken hinter unseren KI-Funktionen zu verfeinern (z. B. Übungs-Clustering, Plateau-Erkennung, Lastprogression). Der AI-Coach-Bericht (WorkoutGen Max) wird lokal von WorkoutGen aus aggregierten Tracker-Signalen generiert - keine personenbezogenen Daten werden mit externen LLM-Anbietern geteilt.

Schutzmaßnahmen:

• In diesem KI-Verbesserungsprozess werden keine direkten Identifikatoren (Name, E-Mail) verwendet.
• Daten sind pseudonymisiert (zufällige Kennung)
• Nur Trainingsdaten (Ziel, Niveau, Ausrüstung, Fortschritt)
• Es werden keine medizinischen Diagnose- oder Behandlungsdaten verarbeitet.
• EU-beschränkte Speicherung für nutzerbezogene Daten und R2-Objekte; globale Edge-Verarbeitung ist durch Cloudflares DPA und SCCs abgedeckt
• Du kannst dich über support@workoutgen.app abmelden

Rechtsgrundlage: Ausdrückliche Einwilligung (Opt-in über Einstellungen > Datenschutz). Du kannst deine Einwilligung jederzeit widerrufen.

7. Datenspeicherung

• Aktives Konto: Daten werden gespeichert, solange das Konto aktiv ist
• Gelöschtes Konto: Daten werden innerhalb von 30 Tagen gelöscht (außer gesetzliche Verpflichtungen)
• Rechnungen: 10 Jahre (steuerrechtliche Anforderung). Sicherheits-Audit-Log (Kontolöschung, E-Mail-Änderung, Abo-Kündigungsereignisse mit gehashten Identifikatoren): 3 Jahre.
• Analyseprotokolle: maximal 12 Monate
• Inaktive Konten: 1 Jahr Inaktivität → E-Mail-Warnung → Löschung nach 30 Tagen
• Nicht verifizierte Konten: werden automatisch nach 90 Tagen gelöscht, wenn die E-Mail-Adresse nicht bestätigt wurde.

8. Datensicherheit

Wir implementieren branchenübliche Sicherheitsmaßnahmen:

Technische Maßnahmen

• Verschlüsselung: HTTPS/TLS für Daten während der Übertragung, AES-256 für ruhende Daten (über Infrastrukturanbieter)
• Authentifizierung: Passwörter werden mit scrypt gehasht; E-Mail-OTPs (Einmalcodes) werden vor der Speicherung gehasht; Konto-Sperrung nach 10 fehlgeschlagenen Versuchen innerhalb von 15 Minuten.
• Zugriffskontrolle: Prinzip der minimalen Berechtigung
• Überwachung und Missbrauchsprävention: automatisiertes Rate Limiting (Cloudflare Workers Rate Limit und Durable Objects), Kontosperre nach 10 fehlgeschlagenen Anmeldeversuchen in 15 Minuten, Bot-Schutz über Cloudflare Turnstile bei Registrierung, Passwort-Zurücksetzung und E-Mail-OTP-Anfragen, automatisierte Einbruchserkennung.

Organisatorische Maßnahmen

• Regelmäßige Sicherheitsaudits
• Schulung der Mitarbeiter zum Datenschutz
• Vorfallreaktionsplan

Im Fall einer Verletzung des Schutzes personenbezogener Daten benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb der gesetzlichen Fristen (Art. 33 DSGVO). Falls die Verletzung voraussichtlich ein hohes Risiko für deine Rechte und Freiheiten verursacht, informieren wir dich unverzüglich (Art. 34 DSGVO).

9. Deine Datenschutzrechte

Gemäß DSGVO und US-Datenschutzgesetzen (CCPA, staatliche Gesetze) hast du folgende Rechte:

Auskunftsrecht

Fordere eine Kopie aller personenbezogenen Daten an, die wir über dich gespeichert haben.

Berichtigungsrecht

Berichtige deine personenbezogenen Daten direkt in der App (Einstellungen > Konto) oder kontaktiere uns.

Löschungsrecht

Lösche dein Konto jederzeit (Einstellungen > Konto löschen). Alle Daten werden innerhalb von 30 Tagen gelöscht, außer bei gesetzlichen Verpflichtungen (Rechnungen: 10 Jahre).

Widerspruchsrecht

Widersprich der Verarbeitung deiner Daten für Analysen oder KI-Training.

Recht auf Datenübertragbarkeit

Lade deine Daten in einem strukturierten Format (JSON für den vollständigen Konto-Export, CSV für den Gewichtsverlauf des Trackers) herunter, um sie anderswo zu übertragen.

Recht auf Einschränkung

Beantrage ein vorübergehendes Einfrieren der Datenverarbeitung während eines Streits.

Recht auf Widerruf der Einwilligung

Wenn die Verarbeitung auf deiner Einwilligung beruht (Analysen, KI-Trainingsverbesserungen), kannst du sie jederzeit unter Einstellungen > Datenschutz widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf durchgeführten Verarbeitung.

Widerspruchsrecht (CCPA)

Einwohner Kaliforniens können dem "Verkauf" von Daten widersprechen (wir verkaufen keine Daten, aber du kannst die Löschung beantragen).

Um deine Rechte auszuüben:
E-Mail: support@workoutgen.app
Antwortzeit: maximal 30 Tage
Identitätsnachweis kann aus Sicherheitsgründen erforderlich sein

Beschwerde einreichen:
EU-Einwohner: deine nationale Datenschutzbehörde oder die CNIL (cnil.fr)
US-Einwohner: Generalstaatsanwalt des Bundesstaates oder FTC (ftc.gov)

10. Cookies und Tracking

WorkoutGen verwendet minimale Cookies und respektiert deine Datenschutzentscheidungen:

Unbedingt erforderliche Cookies (keine Einwilligung erforderlich)

• Benutzersitzung: um angemeldet zu bleiben (Session-Cookie, gebunden an einen serverseitigen Sitzungs-Datensatz in unserer Datenbank)
• Schnittstellenpräferenzen: dunkles/helles Design, Sprache

Analysen (einwilligungsbasiert)

• PostHog: Mit deiner Einwilligung nutzen wir Analyse-Cookies und lokalen Speicher für identifizierte Nutzungsanalysen. Ohne Einwilligung bleibt die Analyse anonym und nutzt PostHog-Speicher nur im Arbeitsspeicher: Es wird keine PostHog-Kennung in Cookies oder localStorage dauerhaft gespeichert. Ereignisse werden für aggregierte Statistiken verwendet, nur begrenzt gespeichert und nicht für Werbung genutzt.

Beim ersten Besuch lässt dich ein Einwilligungsbanner nicht-essenzielle Analyse-Cookies akzeptieren oder ablehnen. Deine Wahl wird lokal gespeichert und kann jederzeit unter Einstellungen > Datenschutz geändert werden.

11. Datenschutz für Kinder

WorkoutGen richtet sich nicht an Nutzer unterhalb des Alters der digitalen Einwilligungsfähigkeit ihres Landes: 15 Jahre in Frankreich (gemäß französischer DSGVO-Umsetzung), 16 Jahre in Ländern, die den DSGVO-Standard beibehalten haben, sowie 13 Jahre in den Vereinigten Staaten (COPPA) und im Vereinigten Königreich. Wir erheben wissentlich keine Daten von Kindern unterhalb dieser Schwellenwerte.

Wenn wir feststellen, dass Daten eines Kindes ohne elterliche Einwilligung erhoben wurden, werden wir diese unverzüglich löschen.

Nutzer im Alter von 15-17 Jahren müssen vor dem Speichern ihres Programms die Einwilligung der Eltern/Erziehungsberechtigten einholen.

12. "Do Not Track"-Signale

Einige Browser bieten "Do Not Track" (DNT)-Signale an. WorkoutGen reagiert derzeit nicht auf DNT-Signale, minimiert jedoch standardmäßig das Tracking (keine Werbung, keine Drittanbieter-Tracker).

13. Aktualisierungen der Richtlinie

Wir können diese Datenschutzerklärung aktualisieren, um rechtliche Änderungen oder neue Funktionen widerzuspiegeln. Wir werden dich über wesentliche Änderungen per E-Mail oder In-App-Benachrichtigung informieren.

Das Datum der letzten Änderung wird oben auf dieser Seite angezeigt.

14. Kontakt und Datenschutzbeauftragter

Bei Fragen zum Datenschutz:

E-Mail: support@workoutgen.app

Telefon: +33 7 84 07 11 53

Postanschrift: JCODE, 25 rue de Ponthieu, 75008 Paris, Frankreich

Datenschutzbeauftragter (DSB): Jean-Baptiste Thery (gleiche E-Mail)

EU-Aufsichtsbehörde (CNIL):

Französische Datenschutzbehörde (CNIL - Commission Nationale de l'Informatique et des Libertés)

3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, Frankreich

Tel: +33 1 53 73 22 22

Webseite: www.cnil.fr