Datenschutz
Letzte Aktualisierung: April 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung ist: PhinLabs, Markus Egolf, Glärnistr. 52b, 8712 Stäfa, Schweiz. E-Mail: [email protected]. Diese Datenschutzerklärung gilt sowohl nach der EU-Datenschutz-Grundverordnung (DSGVO) als auch nach dem Schweizer Datenschutzgesetz (nDSG, in Kraft seit 1. September 2023).
2. Grundsatz
Der Schutz deiner Daten ist uns wichtig. Wir erheben nur die Daten, die für den Betrieb unserer Dienste zwingend erforderlich sind. Wir verkaufen keine Daten an Dritte und verwenden keine Tracking-Tools.
3. Kein Tracking & keine Cookies
Diese Website verwendet KEIN Google Analytics, KEIN Facebook Pixel und KEINE anderen Tracking-Dienste. Wir setzen KEINE Cookies — weder für Tracking noch für Analyse noch für Marketing. Es gibt daher auch kein Cookie-Banner.
4. Rechtsgrundlage der Verarbeitung
Die Verarbeitung deiner Daten erfolgt auf folgenden Rechtsgrundlagen: (a) Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — für die Bereitstellung der HealthPhin-Funktionen (Tracking, Analysen, Coaching). (b) Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO, Art. 6 Abs. 7 nDSG) — für die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten). Du erteilst diese Einwilligung bei der Registrierung über ein separates Opt-in-Feld. Du kannst diese Einwilligung jederzeit widerrufen, indem du uns per E-Mail kontaktierst oder dein Konto löschst.
5. Welche Daten wir verarbeiten
Wir verarbeiten: (a) Kontodaten — E-Mail-Adresse, Name, Passwort (gehasht). (b) Gesundheitsdaten (Art. 9 DSGVO, Art. 5 nDSG) — Supplement-Einnahmen, Blutbild-Werte aus Laborberichten, Trainingsdaten (Übungen, Gewichte, Sätze), Ernährungsdaten (Lebensmittel, Kalorien, Makros), Journal-Einträge (Schlaf, Energie, Stimmung). (c) KI-Nutzungsdaten — Chat-Verläufe mit Phin AI, verwendete Tokens, Analyse-Ergebnisse. (d) Technische Daten — IP-Adresse (nur beim Zugriff, nicht gespeichert), Geräteinformationen für Push-Benachrichtigungen.
6. Hosting & Datenspeicherung
Die Landing Page (healthphin.com) wird über Vercel ausgeliefert (Server in Europa). Die HealthPhin-App und alle Gesundheitsdaten werden auf einem dedizierten Server bei Hetzner Online GmbH in Nürnberg, Deutschland (EU) gespeichert. Alle Daten sind verschlüsselt — sowohl bei der Übertragung (TLS 1.3) als auch im Ruhezustand (AES-256). Der Zugriff auf den Server ist auf den Verantwortlichen beschränkt (SSH-Key-basiert).
7. KI-Verarbeitung (AWS Bedrock)
KI-Features nutzen AWS Bedrock (Anthropic Claude) in der EU-Region (eu-central-1, Frankfurt). Deine Gesundheitsdaten werden NIEMALS für das Training von KI-Modellen verwendet. Die Verarbeitung erfolgt ausschliesslich zur Erbringung der von dir angeforderten Analyse. Mit Amazon Web Services besteht ein Auftragsverarbeitungsvertrag (DPA) gemäss Art. 28 DSGVO.
8. Weitergabe an Dritte
Wir geben keine personenbezogenen Daten an Dritte weiter, ausser an die unter Punkt 6 und 7 genannten Auftragsverarbeiter (Hetzner, AWS, Vercel). Diese Anbieter verarbeiten Daten ausschliesslich in der EU/EEA. Der Betreiber sitzt in der Schweiz — die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission gemäss Art. 45 DSGVO.
9. Aufbewahrungsfristen
Kontodaten werden gespeichert, solange dein Konto aktiv ist. Nach Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen vollständig gelöscht. KI-Chat-Verläufe werden nach 90 Tagen automatisch gelöscht, sofern du sie nicht aktiv speicherst. Anonymisierte Nutzungsstatistiken (ohne Personenbezug) können für die Verbesserung des Dienstes länger aufbewahrt werden.
10. Automatisierte Entscheidungsfindung
HealthPhin verwendet KI-basierte Analysen (Blutbild-Interpretation, Coaching-Tipps, Supplement-Checks). Diese stellen automatisierte Verarbeitung im Sinne von Art. 22 DSGVO dar. Es werden jedoch KEINE automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung getroffen. Alle KI-Outputs dienen ausschliesslich der Information — du triffst alle Entscheidungen selbst.
11. Deine Rechte
Du hast folgende Rechte: (a) Recht auf Auskunft (Art. 15 DSGVO, Art. 25 nDSG). (b) Recht auf Berichtigung (Art. 16 DSGVO). (c) Recht auf Löschung (Art. 17 DSGVO). (d) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Export-Funktion in den Einstellungen. (e) Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — jederzeit per E-Mail oder Kontolöschung. (f) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Kontaktiere uns unter [email protected].
12. Beschwerderecht
Du hast das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen: In der Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch. In der EU: Die für dein Land zuständige Datenschutz-Aufsichtsbehörde gemäss Art. 77 DSGVO.
13. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Bei wesentlichen Änderungen informieren wir dich per E-Mail oder In-App-Benachrichtigung. Die aktuelle Version ist stets auf dieser Seite verfügbar.
Kontakt für Datenschutzanfragen: [email protected]