Stand: April 2026
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist: [BITTE_VOR_LAUNCH_AUSFUELLEN] [BITTE_VOR_LAUNCH_AUSFUELLEN] [BITTE_VOR_LAUNCH_AUSFUELLEN] [BITTE_VOR_LAUNCH_AUSFUELLEN] Deutschland E-Mail: kontakt@vestaa.de
Wir verarbeiten folgende personenbezogene Daten: • Kontodaten: E-Mail-Adresse, Passwort (verschlüsselt) • Profildaten: Name, Alter, Geschlecht, Körpergröße, Körpergewicht, Fitnessziel • Gesundheitsdaten: Aktivitätslevel, Vorerkrankungen (freiwillig), wöchentliche Check-in-Daten • Nutzungsdaten: Interaktionen mit der App, abgeschlossene Trainingseinheiten, Ernährungsprotokolle • Zahlungsdaten: Werden direkt von unserem Zahlungsanbieter (Stripe) verarbeitet – wir speichern keine vollständigen Karteninformationen • Kommunikationsdaten: Nachrichten im Trainer-Chat
Wir verarbeiten Ihre Daten zu folgenden Zwecken: • Bereitstellung und Personalisierung Ihrer Trainings- und Ernährungspläne • Kommunikation zwischen Ihnen und Ihrem Trainer • Abwicklung von Zahlungen und Verwaltung Ihres Abonnements • Verbesserung unserer KI-Modelle und Dienste (anonymisiert) • Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrungspflichten)
Die Verarbeitung Ihrer Daten erfolgt auf Basis folgender Rechtsgrundlagen gemäß DSGVO: • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Daten, die zur Erbringung unserer Leistungen notwendig sind • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Für Gesundheitsdaten und optionale Features • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Steuerliche Aufbewahrungspflichten • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheit und Betrugsprävention
Wir speichern Ihre Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen: • Kontodaten: Bis zur Löschung des Kontos • Zahlungsdaten: 10 Jahre gemäß handels- und steuerrechtlicher Pflichten • Chat-Nachrichten: 2 Jahre nach letzter Aktivität • Nach Kündigung werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
Wir setzen folgende Auftragsverarbeiter (Subprozessoren) im Sinne von Art. 28 DSGVO ein. Bei Sitz ausserhalb der EU werden Standardvertragsklauseln (SCC) bzw. das EU-US Data Privacy Framework (DPF) als Transfer-Rechtsgrundlage genutzt. • Stripe Payments Europe Ltd. Zweck: Zahlungsabwicklung (Abos, Top-Ups, Trainer-Auszahlungen) Sitz/Transfer: Irland (EU) — Konzernverbund USA via SCC Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): nein Datenschutz: https://stripe.com/de/privacy • Supabase Inc. Zweck: Datenbank-Infrastruktur, Auth, Realtime, File-Storage Sitz/Transfer: USA — Server-Region EU (Frankfurt), DPF-zertifiziert Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): ja Datenschutz: https://supabase.com/privacy • Vercel Inc. Zweck: Web-Hosting + Edge-Routing der Vestaa-Plattform Sitz/Transfer: USA — Edge-Nodes weltweit inkl. EU, DPF-zertifiziert + SCC Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): ja Datenschutz: https://vercel.com/legal/privacy-policy • Anthropic PBC Zweck: KI-Coach Arora (Trainings-/Ernaehrungs-Beratung, Plan-Erstellung) Sitz/Transfer: USA — DPF-zertifiziert, kein Modell-Training auf Kunden-Daten (API-Vertrag) Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): ja Datenschutz: https://www.anthropic.com/legal/privacy • ElevenLabs Inc. Zweck: Text-to-Speech fuer Meditations-Audio + Workout-Voice-Over Sitz/Transfer: USA — SCC Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): nein Datenschutz: https://elevenlabs.io/privacy-policy • Resend, Inc. Zweck: Transaktional-Emails (Login, Confirmation, Trainer-Notifications) Sitz/Transfer: USA — SCC Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): nein Datenschutz: https://resend.com/legal/privacy-policy • Google LLC (OAuth, optional) Zweck: Login via Google-Account wenn User das gewaehlt hat Sitz/Transfer: USA — DPF-zertifiziert Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): nein Datenschutz: https://policies.google.com/privacy • Apple Inc. (Sign-In, optional) Zweck: Login via Apple-ID wenn User das gewaehlt hat Sitz/Transfer: USA — SCC + DPF Verarbeitet Gesundheitsdaten (Art. 9 DSGVO): nein Datenschutz: https://www.apple.com/legal/privacy/ Eine Weitergabe Ihrer Daten zu Werbezwecken an Dritte findet nicht statt.
Sie haben gegenüber uns folgende Rechte bezüglich Ihrer personenbezogenen Daten: • Auskunftsrecht (Art. 15 DSGVO) • Recht auf Berichtigung (Art. 16 DSGVO) • Recht auf Löschung (Art. 17 DSGVO) • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) • Widerspruchsrecht (Art. 21 DSGVO) • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@vestaa.de
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohnsitz oder dem Sitz unseres Unternehmens.
Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Session-Token). Es werden keine Tracking-Cookies, Analytics-Dienste oder Werbecookies eingesetzt.
Alle Verbindungen zur Vestaa-Plattform sind SSL/TLS-verschlüsselt. Passwörter werden ausschließlich in gehashter Form gespeichert. Gesundheitsdaten werden mit zusätzlicher Verschlüsselung auf unseren Servern abgelegt.
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version finden Sie unter vestaa.de/datenschutz. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Stand: April 2026