Datenschutzerklärung

Diese Datenschutzerklärung beschreibt, wie Fitney Tecnologia Ltda. („Fitney", „wir") personenbezogene Daten von Nutzern („Nutzer", „du") unserer SaaS-Plattform für Fitness und Ernährung erhebt, nutzt, weitergibt und schützt.

Diese Erklärung gilt für alle von Fitney angebotenen Dienste, einschließlich:

• Institutionelle Website (fitney.com.br);
• Mobile Anwendung für iOS und Android;
• Administratives Panel für Profis (Backoffice);
• White-Label-Anwendungen, die für Profis im Premium-Plan generiert werden;
• APIs und Backend-Dienste.

Sie wird ergänzt durch unsere DSGVO-Seite und unsere Cookie-Richtlinie.

Wir empfehlen, diese Erklärung vollständig zu lesen. Mit der Nutzung der Plattform bestätigst du, dass du unsere Datenverarbeitungspraktiken verstanden hast.

Im Sinne dieser Erklärung und der geltenden Datenschutzgesetze:

• Fitney Tecnologia Ltda. ist Verantwortlicher für personenbezogene Daten von Profis (Personal Trainer, Ernährungsberater), die die Plattform abonnieren;
• Der Profi ist Verantwortlicher für die personenbezogenen Daten seiner Kunden, und Fitney handelt als Auftragsverarbeiter dieser Daten;
• Der Datenschutzbeauftragte (DPO) ist erreichbar unter dpo@fitneyapp.com.

Diese Unterscheidung ist wichtig für die Ausübung von Rechten: Kunden sollten ihre Anfragen vorrangig an den Profi richten, der ihre Daten verwaltet, können sich aber auch direkt an Fitney wenden.

Wir erheben die folgenden Kategorien personenbezogener Daten:

Registrierungsdaten

• Vollständiger Name, E-Mail, Telefonnummer (mit Ländervorwahl);
• Steueridentifikationsnummer (zur Abrechnung);
• Berufliche Eintragung oder Zertifizierung, sofern vom Nutzer freiwillig angegeben. Dieses Datum ist optional und wird von Fitney nicht überprüft;
• Geschäftsadresse und Abrechnungsinformationen.

Gesundheits- und Fitnessdaten (sensible Daten)

• Körpermaße (Gewicht, Größe, Umfänge);
• Gesundheits- und Fitnessziele;
• Trainings- und Übungsverlauf;
• Ernährungsdaten und Ernährungspläne;
• Fortschrittsfotos (sofern freiwillig bereitgestellt);
• Diätetische Einschränkungen und angegebene Gesundheitszustände;
• Daten, die aus Gesundheitsplattformen importiert werden (Apple HealthKit auf iOS und Health Connect auf Android), einschließlich Schritte, Herzfrequenz, verbrannte Kalorien, zurückgelegte Distanz und Trainings — nur mit ausdrücklicher Einwilligung der betroffenen Person, direkt über das Betriebssystem des Geräts erteilt;
• Gesundheitsfragebogen (Anamnese): Krankengeschichte, Lebensstil, körperliche Aktivität, Ziele — freiwillig vom Kunden oder Profi ausgefüllt.

Nutzungs- und Gerätedaten

• IP-Adresse, Browsertyp und Betriebssystem;
• Aufgerufene Seiten, verbrachte Zeit und Interaktionen;
• Geolokalisierungsdaten (IP-basiert auf der Website; GPS in der mobilen App, wenn autorisiert, um den Trainingsort aufzuzeichnen);
• Geräte-Identifikatoren: Modell, Betriebssystemversion, App-Version und eindeutige Geräte-ID;
• Push-Benachrichtigungs-Tokens (Firebase Cloud Messaging) zum Senden von Erinnerungen und Mitteilungen;
• Leistungs- und Diagnosedaten, die von Firebase Crashlytics erhoben werden (Absturzberichte, ohne personenbezogene identifizierbare Daten);
• Cookies und ähnliche Technologien — siehe unsere Cookie-Richtlinie.

Lokal gespeicherte Daten (mobile App)

• Cache der API-Antworten (lokal bis zu 3 Tage für Offline-Funktionalität gespeichert);
• Offline-Operationswarteschlange (Übungen, Check-ins und Laufeinheiten ohne Verbindung, automatisch bei Wiederverbindung synchronisiert);
• Benachrichtigungspräferenzen und Nutzereinstellungen;
• Aktueller Benachrichtigungsverlauf (letzte 10 erhalten).

Zahlungsdaten

• Transaktionsdaten (Betrag, Datum, Status);
• Letzte 4 Stellen und Marke der Karte (zur Identifikation);
• In-App-Kaufdaten über Apple App Store oder Google Play, einschließlich Transaktions-IDs und Abonnementperioden;
• Hinweis: Vollständige Kartendaten werden direkt von Stripe oder lokalen Anbietern verarbeitet und nie auf unseren Servern gespeichert.

Kommunikationsdaten

• Nachrichten zwischen Profis und Kunden auf der Plattform;
• Support-Kommunikation und Feedback.

Wir verarbeiten personenbezogene Daten auf Basis der folgenden Rechtsgrundlagen:

Rechtsgrundlage	DSGVO (Art. 6)	LGPD (Art. 7)	Beispiele
Vertragserfüllung	Art. 6(1)(b)	Art. 7, V	Dienstleistung, Zahlungsabwicklung
Einwilligung	Art. 6(1)(a)	Art. 7, I / Art. 11, I	Gesundheitsdaten, Marketing, nicht-essenzielle Cookies
Berechtigtes Interesse	Art. 6(1)(f)	Art. 7, IX	Sicherheit, Betrugsprävention, Service-Verbesserung
Rechtliche Verpflichtung	Art. 6(1)(c)	Art. 7, II	Steuerliche Pflichten, regulatorische Anforderungen, gerichtliche Anordnungen
Schutz lebenswichtiger Interessen	Art. 6(1)(d)	Art. 7, VII	Notfallsituationen mit Gesundheitsdaten

Für sensible Daten (Gesundheits- und Fitnessdaten) verwenden wir hauptsächlich die spezifische und ausdrückliche Einwilligung der betroffenen Person, wie nach Art. 9 DSGVO und Art. 11 LGPD erforderlich.

Wir verwenden deine personenbezogenen Daten für die folgenden Zwecke:

• Dienstleistung: Erstellung und Pflege deines Kontos, Bereitstellung der vertraglichen Funktionen, Zahlungsabwicklung;
• Personalisierung: Anpassung der Erfahrung, Trainings-Empfehlungen und Funktionen an dein Profil;
• Kommunikation: Versand von Service-Benachrichtigungen, Updates, Sicherheitswarnungen und (mit Einwilligung) Marketing-Kommunikation;
• Sicherheit: Erkennung, Verhinderung und Untersuchung von Betrug, unerlaubtem Zugriff und schädlichen Aktivitäten;
• Service-Verbesserung: Analyse von Nutzungsmustern (in aggregierter und anonymisierter Form, wenn möglich), um Funktionen zu verbessern;
• Rechtskonformität: Erfüllung steuerlicher, regulatorischer, gerichtlicher Pflichten und Pflichten gegenüber zuständigen Behörden;
• Support: Beantwortung von Anfragen, Beschwerden und technische Unterstützung.

Wir geben personenbezogene Daten nur in den unten genannten Situationen weiter, stets mit angemessenen Garantien:

Dienstleister (Auftragsverarbeiter)

• Infrastruktur und Hosting: Cloud-Computing-Anbieter (Server in den USA und/oder EU);
• Zahlungen: Stripe und lokale Anbieter;
• Analytics und Monitoring: Google Analytics 4 (über Google Tag Manager, mit Consent Mode v2), Firebase Analytics und Firebase Crashlytics (Stabilitätsberichte), Microsoft Clarity (Heatmaps);
• Push-Benachrichtigungen: Firebase Cloud Messaging (Google);
• Medienspeicherung: Amazon S3 und Supabase (Übungsfotos, Check-ins und Auswertungen);
• Gesundheit: Apple HealthKit und Google Health Connect (nur lokale Lese-/Schreibvorgänge auf dem Gerät, Daten werden nicht an Fitney-Server übertragen);
• Zahlungen: Stripe (international) und Asaas (Brasilien — PIX und Boleto); Apple App Store und Google Play (In-App-Käufe);
• Transaktionsmail: E-Mail-Versanddienste (SMTP);
• Support: Kundenservice-Tools.

Alle Anbieter sind mit Auftragsverarbeitungsverträgen (AVV/DPA) vertraglich gebunden.

Profi-Kunden-Weitergabe

Profis haben Zugriff auf die Daten ihrer Kunden im Rahmen der Dienstleistung. Kunden sollten die Datenschutzerklärung ihres Profis konsultieren.

Rechtliche Verpflichtungen

Wir können Daten offenlegen, wenn dies gesetzlich, durch gerichtliche Anordnung, im Rahmen rechtlicher Verfahren oder auf Anfrage einer zuständigen Behörde erforderlich ist.

Unternehmensübertragungen

Im Falle einer Fusion, Übernahme, Reorganisation oder Veräußerung von Vermögenswerten können Daten unter Vorankündigung und Aufrechterhaltung der Schutzmaßnahmen übertragen werden.

Fitney verkauft keine personenbezogenen Daten an Dritte, gemäß den Definitionen von DSGVO, LGPD und CCPA/CPRA.

Fitney kann personenbezogene Daten außerhalb des Herkunftslandes der betroffenen Person übermitteln, im Einklang mit den geltenden Gesetzen:

EU/EWR ins Ausland (DSGVO, Art. 44-49)

• In Länder mit Angemessenheitsbeschluss der Europäischen Kommission;
• Mittels EU-Standardvertragsklauseln (SCCs);
• In die USA, im Rahmen des EU-US Data Privacy Framework, sofern anwendbar;
• Bei Bedarf wird eine Datenschutz-Folgenabschätzung (TIA) durchgeführt.

Brasilien ins Ausland (LGPD, Art. 33-36)

• In Länder oder Organisationen, die ein angemessenes Schutzniveau bieten, anerkannt von der ANPD;
• Mittels von der ANPD genehmigter Standardvertragsklauseln;
• Mit spezifischer und ausdrücklicher Einwilligung der betroffenen Person;
• Wenn dies zur Vertragserfüllung erforderlich ist.

Unsere Hauptserver befinden sich in den Vereinigten Staaten (AWS/Google Cloud) mit angemessenen technischen und organisatorischen Sicherheitsmaßnahmen.

Wir bewahren personenbezogene Daten nur für den Zeitraum auf, der zur Erfüllung der in dieser Erklärung beschriebenen Zwecke erforderlich ist:

Datenkategorie	Aufbewahrungsfrist	Begründung
Daten aktiver Konten	Während der Kontodauer	Vertragserfüllung
Daten nach Kündigung	Bis zu 6 Monate	Reaktivierungsmöglichkeit
Steuer-/Finanzdaten	10 Jahre	Gesetzliche Pflicht (Steuerrecht, AO)
Gesundheitsdaten	Bis zur Löschung durch die Person oder 2 Jahre nach Inaktivität	Regelmäßige Rechtsausübung
Zugriffsprotokolle	6 Monate	Gesetzliche Pflicht
Kommunikationsdaten	Während der Kontodauer + 1 Jahr	Support und Streitbeilegung
Anonymisierte Daten	Unbegrenzt	Anonymisierte Daten sind keine personenbezogenen Daten

Am Ende der Aufbewahrungsfrist werden die Daten unwiderruflich gelöscht oder anonymisiert.

Je nach Standort hast du folgende Rechte an deinen personenbezogenen Daten:

Rechte nach DSGVO (EU/EWR)

Gemäß Art. 15-22 DSGVO hast du das Recht auf:

• Auskunft (Art. 15);
• Berichtigung (Art. 16);
• Löschung / „Recht auf Vergessenwerden" (Art. 17);
• Einschränkung der Verarbeitung (Art. 18);
• Datenübertragbarkeit (Art. 20);
• Widerspruch (Art. 21), einschließlich Widerspruch gegen Direktwerbung;
• Nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22);
• Beschwerde bei der zuständigen Aufsichtsbehörde (in Deutschland die jeweils zuständige Landesdatenschutzbehörde oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI).

Rechte nach LGPD (Brasilien)

Gemäß Art. 17-22 LGPD hast du das Recht auf:

• Bestätigung der Datenverarbeitung;
• Zugang zu personenbezogenen Daten;
• Berichtigung unvollständiger, ungenauer oder veralteter Daten;
• Anonymisierung, Sperrung oder Löschung unnötiger oder übermäßiger Daten;
• Datenübertragbarkeit;
• Löschung von auf Einwilligung basierenden Daten;
• Information über Weitergabe an Dritte;
• Widerruf der Einwilligung;
• Widerspruch gegen die Verarbeitung.

Rechte nach CCPA/CPRA (Kalifornien, USA)

• Recht zu erfahren, welche Daten erhoben werden und wie sie verwendet werden;
• Recht auf Löschung der personenbezogenen Daten;
• Recht auf Berichtigung ungenauer Daten;
• Recht auf Widerspruch gegen den Verkauf/die Weitergabe von Daten;
• Recht auf Einschränkung der Nutzung sensibler Daten;
• Recht, nicht aufgrund der Ausübung von Rechten diskriminiert zu werden.

Fitney verkauft oder teilt keine personenbezogenen Daten für kontextübergreifende Verhaltenswerbung im Sinne des CPRA.

Um deine Rechte auszuüben, kontaktiere uns unter dpo@fitneyapp.com. Wir antworten innerhalb von 30 Tagen (DSGVO), 15 Tagen (LGPD) oder 45 Tagen (CCPA).

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner personenbezogenen Daten ein, darunter:

• Verschlüsselung: Daten in Übertragung durch TLS 1.3 geschützt; sensible Daten ruhend mit AES-256 verschlüsselt;
• Zugriffskontrolle: Multi-Faktor-Authentifizierung, Prinzip der geringsten Privilegien, Zugriffsprotokolle;
• Infrastruktur: Server in zertifizierten Rechenzentren (SOC 2 Type II, ISO 27001);
• Überwachung: Eindringerkennung, 24/7-Monitoring und automatische Warnungen;
• Backup: Verschlüsselte Backups mit regelmäßiger Aufbewahrung und Wiederherstellungstests;
• Personal: Regelmäßige Sicherheits- und Datenschutzschulungen für alle Mitarbeiter;
• Tests: Periodische Schwachstellenbewertungen und Sicherheitsüberprüfungen.

Kein System ist zu 100 % sicher. Im Falle eines Sicherheitsvorfalls werden wir die zuständigen Behörden (in Deutschland die jeweils zuständige Datenschutzaufsicht, ANPD, andere europäische Datenschutzbehörden) und die betroffenen Personen innerhalb der gesetzlichen Fristen benachrichtigen.

Die Plattform richtet sich nicht an Minderjährige unter 18 Jahren. Minderjährige unter 18 Jahren dürfen die Plattform nur mit überprüfbarer Einwilligung eines gesetzlichen Vertreters nutzen.

• EU (DSGVO, Art. 8): Die Einwilligung von Minderjährigen unter 16 Jahren (oder einem niedrigeren, vom Mitgliedstaat festgelegten Alter, mindestens 13) erfordert die Zustimmung des Trägers der elterlichen Verantwortung;
• Deutschland: Die Altersgrenze für die Einwilligung in die Verarbeitung personenbezogener Daten in Bezug auf Dienste der Informationsgesellschaft beträgt 16 Jahre (§ 8 DSGVO i.V.m. BDSG);
• Brasilien (LGPD, Art. 14): Daten von Kindern (bis 12 Jahre) werden nur mit spezifischer und ausdrücklicher Einwilligung mindestens eines Elternteils oder gesetzlichen Vertreters verarbeitet. Jugendliche (12-17): Einwilligung des gesetzlichen Vertreters;
• USA (COPPA): Wir erheben wissentlich keine Daten von Minderjährigen unter 13 Jahren. Falls wir davon Kenntnis erlangen, löschen wir die Daten umgehend.

Wenn du glaubst, dass Daten eines Minderjährigen ohne Genehmigung erhoben wurden, kontaktiere dpo@fitneyapp.com.

Wir verwenden Cookies und ähnliche Technologien, um die Plattform zu betreiben, die Nutzung zu analysieren und die Erfahrung zu personalisieren. Detaillierte Informationen findest du in unserer Cookie-Richtlinie.

Zusammenfassung:

• Essenzielle Cookies: notwendig für den Website-Betrieb (keine Einwilligung erforderlich);
• Analyse-Cookies: um zu verstehen, wie die Plattform genutzt wird (erfordern Einwilligung);
• Marketing-Cookies: um Anzeigen zu personalisieren (erfordern Einwilligung).

Du kannst deine Cookie-Präferenzen jederzeit über das Cookie-Banner oder deine Browsereinstellungen verwalten.

Fitney kann automatisierte Verarbeitung verwenden, um:

• Trainings und Ernährungspläne basierend auf dem Kundenprofil zu empfehlen;
• Anomale Nutzungsmuster zur Sicherheit zu erkennen;
• Die Erfahrung auf der Plattform zu personalisieren.

Diese Empfehlungen sind unterstützend und immer der Überprüfung durch den Profi unterworfen. Wir treffen keine Entscheidungen, die rechtliche Wirkungen entfalten oder die betroffene Person erheblich beeinträchtigen, allein auf Grundlage automatisierter Verarbeitung.

Gemäß Art. 22 DSGVO und Art. 20 LGPD hast du das Recht, eine Überprüfung automatisierter Entscheidungen anzufordern und Informationen über die verwendeten Kriterien und Verfahren zu erhalten.

Wir können diese Erklärung regelmäßig aktualisieren. Wesentliche Änderungen werden mit einer Vorlaufzeit von 30 Tagen kommuniziert über:

• E-Mail an registrierte Nutzer;
• Benachrichtigung auf der Plattform;
• Aktualisierung des Datums „Zuletzt aktualisiert" auf dieser Seite.

Für Änderungen, die eine neue Einwilligung erfordern (z. B. neue Verarbeitungszwecke für sensible Daten), holen wir vor der Umsetzung eine spezifische Einwilligung ein.

Wir empfehlen, diese Erklärung regelmäßig zu überprüfen.

Bei Fragen, Anfragen oder Beschwerden zu dieser Erklärung oder zur Verarbeitung deiner personenbezogenen Daten:

• Datenschutzbeauftragter (DPO): dpo@fitneyapp.com
• Allgemein: legal@fitneyapp.com
• Adresse: Fitney Tecnologia Ltda., CNPJ 44.638.274/0001-86, R. Cascavel, 2760 — Curitiba, PR, Brasilien

Wenn du mit unserer Antwort nicht zufrieden bist, kannst du Beschwerde bei der zuständigen Datenschutzbehörde einlegen:

• Deutschland: Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) — bfdi.bund.de oder die jeweils zuständige Landesdatenschutzbehörde
• EU: Datenschutzbehörde deines Wohnsitzlandes
• Brasilien: Nationale Datenschutzbehörde (ANPD) — gov.br/anpd
• USA (Kalifornien): Office of the Attorney General of California