ZurückBack

Datenschutz

Stand: Februar 2026 (aktualisiert: Strava-Integration, Datenexport & Kontolöschung)

1. Verantwortlicher

Markus Hellmold
Wöhlertstr. 7
10115 Berlin
E-Mail: [email protected]

2. Hosting & Server

Vitals³ wird bei IONOS (1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur) gehostet. Beim Besuch werden automatisch Server-Logfiles erfasst:

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene Seite
  • Browser und Betriebssystem
  • Referrer URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität).

3. Benutzerkonten & Gesundheitsdaten

Registrierung & Login

Bei der Registrierung werden gespeichert: E-Mail-Adresse, verschlüsseltes Passwort, Rolle und Registrierungsdatum. Die Registrierung erfordert einen Einladungscode. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Profil- und Gesundheitsdaten

Nutzer können freiwillig folgende Daten hinterlegen: Name, Alter, Geschlecht, Gewicht, Gesundheitsziele und Profildaten für Familienmitglieder (Sub-User). Diese Daten werden ausschließlich zur Bereitstellung der App-Funktionalität verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. Art. 9 Abs. 2 lit. a DSGVO für Gesundheitsdaten.

Hinweis: Vitals³ speichert sensible Gesundheitsdaten (Blutwerte, Supplement-Einnahmen). Diese Daten werden ausschließlich in Ihrer persönlichen Datenbank auf dem IONOS-Server gespeichert und nicht an Dritte weitergegeben.

4. Supplement-Tracking

Die App speichert Informationen zu Ihren Nahrungsergänzungsmitteln: Name, Dosierung, Einnahmezeiten und Einnahme-Protokolle. Diese Daten dienen ausschließlich der persönlichen Gesundheitsverwaltung.

Der Supplement-Katalog (187 Einträge) enthält allgemeine Informationen und wird nicht mit Ihren persönlichen Daten verknüpft gespeichert.

5. Blutanalysen & OCR-Verarbeitung

Google Vision API (OCR)

Beim Upload eines Laborbefunds wird das Dokument zur Texterkennung an die Google Cloud Vision API übermittelt. Dabei wird der Bildinhalt an Google-Server gesendet. Google verarbeitet die Daten gemäß der Google Cloud Datenverarbeitungsbedingungen.

Das hochgeladene Dokument wird nicht dauerhaft bei Google gespeichert. Der erkannte Text wird in Ihrer Datenbank abgelegt.

Groq API (KI-Analyse)

Der erkannte OCR-Text wird zur strukturierten Auswertung an die Groq API (Groq, Inc.) gesendet. Groq verarbeitet die Daten zur Extraktion der Blutwerte und generiert personalisierte Gesundheitsempfehlungen.

Groq speichert keine Nutzerdaten dauerhaft. Die Verarbeitung erfolgt in Echtzeit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. Art. 9 Abs. 2 lit. a DSGVO. Vor jedem Upload wird ein Datenschutzhinweis angezeigt.

6. KI-Coach & Supplement-Berater

Der KI-Coach und der Supplement-Berater nutzen die Groq API (Llama 3.3 70B), um personalisierte Empfehlungen zu geben. Dabei werden Ihre Supplement-Daten und ggf. Blutwerte an Groq übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Wichtig: Die KI-Empfehlungen ersetzen keine ärztliche Beratung. Vitals³ ist kein Medizinprodukt.

7. Cookies & Sessions

Vitals³ verwendet ausschließlich technisch notwendige Session-Cookies für den Login. Es werden keine Tracking-Cookies, Analyse-Tools oder Werbe-Cookies eingesetzt.

Die Spracheinstellung wird im localStorage des Browsers gespeichert.

8. Strava-Integration

Verbindung mit Strava

Sie können Ihr Strava-Konto freiwillig mit Vitals³ verbinden. Dabei werden Sie zur Authentifizierung auf die Strava-Website weitergeleitet (OAuth 2.0). Vitals³ erhält dabei ein Zugangstoken, aber niemals Ihr Strava-Passwort.

Abgerufene Daten

Nach der Verbindung werden folgende Daten von der Strava-API abgerufen und in Ihrer Datenbank gespeichert:

  • Aktivitäten: Name, Typ (Laufen, Radfahren etc.), Datum, Dauer, Distanz
  • Leistungsdaten: Durchschnitts-/Maximalgeschwindigkeit, Höhenmeter, Kalorien
  • Herzfrequenzdaten: Durchschnitts- und Maximalpuls (sofern verfügbar)
  • Leistung: Watt-Daten, Kilojoule, Suffer Score (sofern verfügbar)

Es werden keine GPS-Tracks, Routen oder Standortdaten gespeichert.

Verwendungszweck

Ihre Trainingsdaten werden ausschließlich verwendet für: Trainingsanalysen, Berechnung von Fitness-Metriken (CTL/ATL/TSB), Korrelation mit Blutwerten und KI-gestützte Trainingsempfehlungen.

Widerruf & Datenlöschung

Sie können die Strava-Verbindung jederzeit in Ihrem Profil trennen. Dabei wird das Zugangstoken gelöscht. Sie können zusätzlich alle gespeicherten Strava-Daten separat löschen. Die Verbindung kann auch direkt in Ihren Strava-App-Einstellungen widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung durch aktives Verbinden).

Hinweis: Strava, Inc. (San Francisco, USA) verarbeitet Daten gemäß der Strava-Datenschutzrichtlinie. Die Übermittlung in die USA erfolgt auf Grundlage der EU-Standardvertragsklauseln.

9. Externe Dienste

Google Fonts

Zur Schriftdarstellung wird die Schrift „Inter" von Google Fonts geladen. Dabei wird Ihre IP-Adresse an Google übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

10. Datensicherheit

Die gesamte Kommunikation erfolgt über SSL/TLS-Verschlüsselung. Passwörter werden ausschließlich als kryptografische Hashes gespeichert. Der Zugang zur Datenbank ist auf den Webserver beschränkt.

11. Datenexport & Kontolöschung

In Ihrem Profil können Sie jederzeit:

  • Alle Daten exportieren: Kompletter Download aller gespeicherten Daten im JSON-Format (Art. 20 DSGVO — Recht auf Datenübertragbarkeit)
  • Konto vollständig löschen: Unwiderrufliche Löschung aller Daten einschließlich Profil, Blutwerte, Supplements, Strava-Daten und Aktivitätsprotokolle (Art. 17 DSGVO — Recht auf Löschung)

Die Kontolöschung erfordert eine Passwortbestätigung und erfolgt sofort und unwiderruflich.

12. Ihre Rechte

Sie haben gemäß DSGVO das Recht auf:

  • Auskunft über Ihre gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung Ihrer Daten (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3)

Kontakt: [email protected]

13. Beschwerderecht

Sie können sich bei einer Datenschutz-Aufsichtsbehörde beschweren. Zuständig ist die Behörde Ihres Wohnorts, z.B. die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

Privacy Policy

Last updated: February 2026 (updated: Strava integration, data export & account deletion)

1. Data Controller

Markus Hellmold
Wöhlertstr. 7
10115 Berlin, Germany
Email: [email protected]

2. Hosting & Server

Vitals³ is hosted by IONOS (1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Germany). When visiting, server log files are automatically collected:

  • IP address
  • Date and time of request
  • Page accessed
  • Browser and operating system
  • Referrer URL

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in security and stability).

3. User Accounts & Health Data

Registration & Login

Upon registration, the following is stored: email address, encrypted password, role, and registration date. Registration requires an invitation code. Legal basis: Art. 6(1)(b) GDPR (contract performance).

Profile & Health Data

Users may voluntarily provide: name, age, gender, weight, health goals, and profile data for family members (sub-users). This data is used exclusively to provide app functionality.

Legal basis: Art. 6(1)(a) GDPR (consent) in conjunction with Art. 9(2)(a) GDPR for health data.

Note: Vitals³ stores sensitive health data (blood values, supplement intake). This data is stored exclusively in your personal database on the IONOS server and is not shared with third parties.

4. Supplement Tracking

The app stores information about your dietary supplements: name, dosage, intake times, and intake logs. This data is used exclusively for personal health management.

The supplement catalog (187 entries) contains general information and is not stored in connection with your personal data.

5. Blood Analysis & OCR Processing

Google Vision API (OCR)

When uploading a lab report, the document is sent to the Google Cloud Vision API for text recognition. The image content is transmitted to Google servers. Google processes the data in accordance with the Google Cloud Data Processing Addendum.

The uploaded document is not permanently stored by Google. The recognized text is stored in your database.

Groq API (AI Analysis)

The recognized OCR text is sent to the Groq API (Groq, Inc.) for structured analysis. Groq processes the data to extract blood values and generate personalized health recommendations.

Groq does not permanently store user data. Processing occurs in real-time.

Legal basis: Art. 6(1)(a) GDPR (consent) in conjunction with Art. 9(2)(a) GDPR. A privacy notice is displayed before each upload.

6. AI Coach & Supplement Advisor

The AI Coach and Supplement Advisor use the Groq API (Llama 3.3 70B) to provide personalized recommendations. Your supplement data and, where applicable, blood values are transmitted to Groq.

Legal basis: Art. 6(1)(a) GDPR (consent).

Important: AI recommendations do not replace professional medical advice. Vitals³ is not a medical device.

7. Cookies & Sessions

Vitals³ uses only technically necessary session cookies for login. No tracking cookies, analytics tools, or advertising cookies are used.

The language setting is stored in the browser's localStorage.

8. Strava Integration

Connecting with Strava

You can voluntarily connect your Strava account with Vitals³. You will be redirected to the Strava website for authentication (OAuth 2.0). Vitals³ receives an access token but never your Strava password.

Retrieved Data

After connecting, the following data is retrieved from the Strava API and stored in your database:

  • Activities: name, type (running, cycling, etc.), date, duration, distance
  • Performance data: average/max speed, elevation gain, calories
  • Heart rate data: average and maximum heart rate (if available)
  • Power: watt data, kilojoules, suffer score (if available)

No GPS tracks, routes, or location data are stored.

Purpose of Use

Your training data is used exclusively for: training analysis, calculation of fitness metrics (CTL/ATL/TSB), correlation with blood values, and AI-powered training recommendations.

Revocation & Data Deletion

You can disconnect the Strava connection at any time in your profile. This deletes the access token. You can additionally delete all stored Strava data separately. The connection can also be revoked directly in your Strava app settings.

Legal basis: Art. 6(1)(a) GDPR (explicit consent through active connection).

Note: Strava, Inc. (San Francisco, USA) processes data in accordance with the Strava Privacy Policy. Transfer to the USA is based on EU Standard Contractual Clauses.

9. External Services

Google Fonts

The "Inter" font is loaded from Google Fonts. Your IP address is transmitted to Google. Legal basis: Art. 6(1)(f) GDPR.

10. Data Security

All communication is SSL/TLS encrypted. Passwords are stored exclusively as cryptographic hashes. Database access is restricted to the web server.

11. Data Export & Account Deletion

In your profile, you can at any time:

  • Export all data: Complete download of all stored data in JSON format (Art. 20 GDPR — Right to data portability)
  • Delete account completely: Irreversible deletion of all data including profile, blood values, supplements, Strava data, and activity logs (Art. 17 GDPR — Right to erasure)

Account deletion requires password confirmation and is immediate and irreversible.

12. Your Rights

Under the GDPR, you have the right to:

  • Access your stored data (Art. 15)
  • Rectification of inaccurate data (Art. 16)
  • Erasure of your data (Art. 17)
  • Restriction of processing (Art. 18)
  • Data portability (Art. 20)
  • Objection to processing (Art. 21)
  • Withdrawal of consent (Art. 7(3))

Contact: [email protected]

13. Right to Complain

You can lodge a complaint with a data protection supervisory authority. The authority responsible depends on your place of residence, e.g. the Berlin Commissioner for Data Protection and Freedom of Information.