Datenschutzerklärung

LeanTogether iOS App · Stand: 12. Mai 2026

1. Verantwortlicher

Niklas Albrecht
E-Mail: kontakt@niklasxskyz.de

2. Überblick

LeanTogether ist eine Fitness-App für iOS, mit der du Kalorien tracken, Workouts planen und dich mit Freunden vernetzen kannst. Der Schutz deiner persönlichen Daten ist uns sehr wichtig. Diese Datenschutzerklärung informiert dich darüber, welche Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.

3. Welche Daten wir erheben

3.1 Account- und Profildaten

  • E-Mail-Adresse und Passwort (verschlüsselt gespeichert)
  • Anzeigename und Benutzername
  • Profilbild (optional)
  • Geschlecht, Geburtsdatum, Körpergröße
  • Aktivitätslevel, Fitnessziel, Erfahrungsstufe, Ernährungsform

3.2 Gesundheits- und Fitnessdaten

  • Körpergewichts-Einträge
  • Kalorien- und Makronährstoff-Einträge (Mahlzeiten)
  • Workout-Sitzungen (Übungen, Sätze, Wiederholungen, Gewichte)
  • Trainingspläne und Lieblings­übungen
  • Wasser­einträge (getrunkene Menge pro Tag)
  • Supplement-Tracker: angelegte Supplements, Einnahme-Logs und lokal geplante Erinnerungen (die Erinnerungen werden vom iPhone selbst geplant; wir senden dafür keine Push-Nachrichten an deinen Server)
  • Eigene Rezepte (Zutaten, Mengen, Anleitung; ggf. selbst hochgeladene Rezeptfotos)
  • Apple HealthKit: Verbrannte Kalorien (nur Leserechte, Daten verbleiben auf dem Gerät)

3.3 Zyklus- und Periodendaten (optional, nur bei Aktivierung)

Wenn du den Zyklus­tracker nutzt, verarbeiten wir besonders sensible Gesundheits­daten im Sinne von Art. 9 DSGVO:

  • Start- und Enddatum deiner Perioden („period_logs“)
  • Optionale Symptome pro Periodentag (z. B. Flow-Stärke, Krämpfe, Stimmung)
  • Durchschnittliche Zyklus- und Perioden­länge, individueller Kalorien-Aufschlag in der PMS-Phase
  • Schalter, ob das Tracking überhaupt aktiv ist

Diese Daten werden ausschließlich verschlüsselt in deinem Profil bei Supabase gespeichert. Du kannst den Zyklus­tracker jederzeit in den Einstellungen deaktivieren; deine bestehenden Einträge bleiben dabei zunächst erhalten und können einzeln oder zusammen mit deinem Konto gelöscht werden. Eine Übertragung an Google Gemini erfolgt nur, wenn du der KI-Analyse zugestimmt hast und ein Wochen­review erstellt wird; dabei wird die aktuelle Zyklus­phase als Kontext für die Bewertung deiner Gewichts­verläufe mitgegeben (siehe Abschnitt 6).

3.4 Soziale Daten

  • Freundschafts- und GymBuddy-Verbindungen
  • Buddy Snaps (Fotos mit optionalem Text, werden nach dem Ansehen gelöscht)
  • Snap-Streaks (Zähler und Zeitstempel)
  • Private Chat-Nachrichten zwischen Freunden bzw. GymBuddys (Text- und ggf. Bildinhalte, geteilte Rezepte/Workouts)
  • Stories (zeitlich begrenzt sichtbare Inhalte)
  • Community-Beiträge, Likes, „Adopt“-Aktionen sowie Meldungen unerwünschter Inhalte
  • Empfehlungs­system (Referrals): Wer hat wen geworben, daraus abgeleitete Belohnungen
  • Challenge-Teilnahmen und -Abschlüsse

3.5 Gym-Daten

  • Dein ausgewähltes „Mein Gym“ sowie Beitritts-/Austritts­zeitpunkte
  • Beiträge und Antworten in Gym-Threads (öffentlich für Mitglieder desselben Gyms sichtbar) sowie zugehörige Meldungen
  • Bei der Gym-Auswahl wird einmalig der aktuelle Standort deines Geräts genutzt, um Studios in deiner Nähe zu finden – nur mit deiner ausdrücklichen Erlaubnis und ausschließlich für diese Suchanfrage. Wir speichern keine GPS-Koordinaten dauerhaft auf unseren Servern.
  • Partner-Gym Premium (B2B): Wenn du einem als „Partner“ markierten Studio per Code beitrittst, speichern wir die Verknüpfung deines Profils mit diesem Gym sowie die Information, dass dein Premium-Status aus einer Partner­schaft stammt. Der eingegebene Code selbst wird nicht in deinem Profil gespeichert.

3.6 Gerätedaten und technische Daten

  • Push-Notification-Token (für Benachrichtigungen, ein Token pro Gerät)
  • Authentifizierungs-Token (JWT), die nach dem Login zusätzlich in einer App-Group-Ablage gespeichert werden, damit die Rezept-Import-Erweiterung (siehe 3.7) im Hintergrund mit deinem Account sprechen kann
  • Beim Aufruf unserer Edge-Functions verarbeitet Supabase technisch bedingt die IP-Adresse zur Abuse-Abwehr und für Rate-Limits; sie wird nicht dauerhaft mit deinem Profil verknüpft

3.7 Rezept-Link-Import (iOS Share Extension)

Du kannst Links (z. B. TikTok-Captions, YouTube-Videos oder Rezept-Webseiten) über das iOS-Teilen-Menü an LeanTogether senden. Die URL wird an unsere Edge-Function übermittelt, die je nach Plattform öffentlich verfügbare Inhalte (oEmbed-Daten, Open-Graph-Tags, JSON-LD oder den HTML-Body bis 1 MB) abruft und sie zusammen mit der URL an Google Gemini übergibt, damit ein strukturiertes Rezept extrahiert wird. Wir speichern lediglich den Importzähler pro Tag und das fertige Rezept in deinem Profil; die Original-URL wird nicht dauerhaft gespeichert. Das Feature setzt deine KI-Einwilligung voraus.

3.8 Kamera und Mikrofon

  • Kamera: Für Buddy Snaps und – nur mit Einwilligung – für die KI-Lebensmittelerkennung bzw. KI-Rezeptvorschläge. Fotos für KI-Analysen werden kurzzeitig an Google Gemini übermittelt (siehe Abschnitt 6) und bei uns nicht dauerhaft gespeichert.
  • Mikrofon und Spracherkennung: Optionale Spracheingabe für die Lebensmittelsuche. Die Spracherkennung erfolgt ausschließlich auf dem Gerät (Apple Speech Framework) – es werden keine Audiodaten an uns oder Dritte übertragen. Der erkannte Text kann anschließend, sofern du zustimmst, zur Verbesserung der KI-Erkennung mit dem Foto an Google Gemini übermittelt werden.

4. Zweck der Datenverarbeitung

  • Bereitstellung und Personalisierung der App-Funktionen
  • Berechnung individueller Kalorien- und Makroziele (inkl. optionalem Aufschlag in der PMS-Phase)
  • Ermöglichung sozialer Funktionen (Freunde, Snaps, Chat, gemeinsame Workouts, Community, Stories, Challenges, Empfehlungs­system)
  • Betrieb der Gym-Funktionen (Mein Gym, Gym-Threads, Standort­suche nach Studios in deiner Nähe)
  • Anzeige und Auswertung des optionalen Zyklus­trackers
  • Versand von Push-Benachrichtigungen sowie lokale Erinnerungen für Supplements und Wasser
  • Verwaltung von Premium-Abonnements – sowohl über StoreKit als auch via Partner-Gym-Premium
  • Optionale KI-Funktionen (nur bei ausdrücklicher Einwilligung, Verarbeitung durch Google Gemini siehe Abschnitt 6):
    • KI-gestützte Lebensmittelerkennung via Foto
    • Analyse deiner Wochen­daten („Wochenreview“), inkl. Zyklus­phase als Kontext
    • KI-Rezeptvorschläge aus Zutatenfotos
    • Rezept-Import aus geteilten Links (TikTok-Caption, YouTube-Video, Webseiten-Text)
    • Zusammenführung gemeinsamer Workouts mit deinem GymBuddy
    • Produkt­daten­­ergänzung beim Barcode-Scan, wenn ein Produkt nicht in unserer Datenbank ist

5. Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sowie zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Bereitstellung der App-Dienste.

Gesundheitsdaten im Sinne von Art. 9 DSGVO (Körper­gewicht, Ernährungs­einträge, Trainings­daten) werden ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO verarbeitet. Die Einwilligung holen wir beim ersten App-Start über einen Consent-Dialog ein und dokumentieren sie mit einem Zeitstempel in deinem Profil.

Die Einwilligung in die KI-Analyse deiner Gesundheits- und Fitnessdaten durch Google Gemini (siehe Abschnitt 6) ist getrennt, freiwillig und jederzeit widerrufbar. Ohne diese Einwilligung bleiben alle Basis-Funktionen der App uneingeschränkt nutzbar.

6. Drittanbieter und Dienste

Supabase (Backend)

Hosting, Datenbank, Authentifizierung, Dateispeicherung und Echtzeit-Funktionen. Server in der EU. Alle Daten werden verschlüsselt übertragen (HTTPS) und gespeichert.

Google Gemini (KI-Analyse – nur mit Einwilligung)

Für die optionalen KI-Funktionen (siehe Abschnitt 4) nutzen wir die Google-Gemini-API der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) bzw. Google Ireland Limited.

Welche Daten übertragen werden: Je nach genutztem Feature deine Mahlzeiten-Einträge, Makro- und Kalorienziele, Workout-Daten (Übungen, Sätze, Gewichte), Gewichts­einträge, Fitness­ziel und -level, Fotos von Mahlzeiten oder Zutaten, dein optionaler Text­kontext, beim Wochen­review zusätzlich die aktuelle Zyklus­phase (sofern aktiviert) sowie beim Rezept-Link-Import die geteilte URL und die daraus öffentlich abrufbaren Inhalte (Caption, Open-Graph-Daten, JSON-LD, gekürzter HTML-Text oder YouTube-URL zur nativen Video­analyse). Wir übermitteln keinen Klarnamen, keine E-Mail-Adresse, keine Nutzer-ID und keine Geräte­kennung.

Drittlandtransfer (USA): Google verarbeitet diese Daten auch auf Servern in den USA. Die Übermittlung erfolgt auf Basis der Standard­vertrags­klauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) und des Google Cloud Data Processing Addendum. Der EU-US Data Privacy Framework findet zusätzlich Anwendung, solange Google zertifiziert ist.

Rechtsgrundlage: Deine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die du beim ersten App-Start oder in den Einstellungen gibst. Ohne Einwilligung werden keine Daten an Google übertragen.

Widerruf:Du kannst die Einwilligung jederzeit in den App-Einstellungen unter „Privatsphäre → KI-Analyse erlauben“ widerrufen. Nach dem Widerruf finden keine weiteren Übertragungen statt. Bereits verarbeitete Antworten bleiben lokal im Cache, bis du sie manuell löschst oder dein Konto entfernst. Nach unserem Kenntnisstand verwendet Google eure Inhalte nicht zum Modell­training, sofern die API über die bezahlte Gemini-API genutzt wird.

Open Food Facts

Offene Lebensmitteldatenbank für Barcode- und Produktsuche. Es werden keine persönlichen Daten an Open Food Facts übermittelt, lediglich Produktanfragen (Barcode/Name).

Inhaltsabrufe für den Rezept-Link-Import

Wenn du eine URL teilst, ruft unsere Edge-Function öffentlich verfügbare Inhalte der jeweiligen Plattform ab – insbesondere TikTok (oEmbed), Instagram (Open-Graph-Tags), YouTube (URL-Weitergabe an Gemini) sowie beliebige andere HTTPS-Webseiten. Dabei sieht der jeweilige Anbieter eine IP-Adresse und einen User-Agent unseres Servers, nicht deine eigene. Wir übergeben den abgerufenen Inhalt anschließend an Google Gemini (siehe oben).

Apple Core Location (Studios in deiner Nähe)

Wenn du in der App nach einem Gym in deiner Nähe suchst, fragt iOS einmalig deine Erlaubnis ab und gibt deine Position an unsere Suchfunktion weiter. Die Koordinaten werden ausschließlich für die aktuelle Suchanfrage verwendet und nicht in deinem Profil gespeichert.

Apple HealthKit

Leserechte für verbrannte Kalorien. Daten verbleiben auf deinem Gerät und werden nicht an unsere Server übertragen.

Apple StoreKit / App Store

Abwicklung von In-App-Käufen und Abonnements. Zahlungsdaten werden ausschließlich von Apple verarbeitet und sind für uns nicht einsehbar.

Apple Push Notification Service (APNs)

Zustellung von Push-Benachrichtigungen über Apples Infrastruktur.

7. Datenspeicherung und -löschung

  • Account-Daten: Bis zur Kontolöschung
  • Gesundheits- und Ernährungsdaten: Bis zur manuellen Löschung oder Kontolöschung
  • Zyklusdaten: Bleiben auch beim Deaktivieren des Trackers erhalten, bis du sie einzeln oder mit deinem Konto löschst
  • Supplements & Wassereinträge: Bis zur manuellen Löschung oder Kontolöschung; lokale Erinnerungen werden mit dem Eintrag entfernt
  • Chat-Nachrichten: Bis zur manuellen Löschung durch dich oder deinen Gesprächspartner, spätestens mit der Kontolöschung
  • Community-, Gym-Thread- und Story-Inhalte: Bis zur Löschung durch dich oder mit deinem Konto; gemeldete Inhalte können zur Bearbeitung der Meldung kurzzeitig länger aufbewahrt werden
  • Buddy Snaps: Werden automatisch nach dem Ansehen gelöscht
  • Push-Tokens: Nur der aktuelle Token wird gespeichert, alte Tokens werden automatisch entfernt
  • Sprachdaten: Werden nicht gespeichert (nur Echtzeit-Verarbeitung auf dem Gerät)
  • Rezept-Link-Import: URL wird nicht gespeichert; nur Tageszähler und das erzeugte Rezept verbleiben in deinem Profil

Du kannst dein Konto jederzeit in den App-Einstellungen löschen. Dabei werden alle zugehörigen Daten unwiderruflich entfernt. An öffentlichen Inhalten (z. B. Community-Posts oder Gym-Threads) bleiben ggf. anonymisierte Reste bestehen, sofern andere Nutzer darauf reagiert haben.

8. Deine Rechte (DSGVO)

Du hast jederzeit das Recht auf:

  • Auskunft über deine gespeicherten Daten
  • Berichtigung unrichtiger Daten
  • Löschung deiner Daten („Recht auf Vergessenwerden“)
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerruf erteilter Einwilligungen
  • Beschwerde bei einer Aufsichtsbehörde

Wende dich für alle Anfragen an: kontakt@niklasxskyz.de

9. Datensicherheit

  • Verschlüsselte Datenübertragung (HTTPS/TLS)
  • Verschlüsselte Passwortspeicherung (Hashing)
  • Row Level Security (RLS) in der Datenbank: Jeder Nutzer hat nur Zugriff auf seine eigenen Daten
  • JWT-basierte Authentifizierung

10. Daten, die wir NICHT erheben

  • Standort- oder GPS-Daten dauerhaft (eine kurzfristige Nutzung erfolgt nur bei aktiver Gym-Suche, siehe Abschnitt 3.5/6)
  • Kontaktliste oder Kalender
  • Gerätekennungen (IDFA) oder Werbe-IDs
  • Browsing-Verlauf
  • Biometrische Daten (Face ID / Touch ID werden nicht von der App verarbeitet)
  • Kreditkarten- oder Bankdaten

11. Partner-Gym Premium (B2B)

Ausgewählte Fitness­studios können Mitglieder über einen privaten Beitritts-Code mit Premium ausstatten, ohne dass eine Zahlung über den App Store erfolgt. Dafür verarbeiten wir:

  • die Information, dass dein Profil Mitglied dieses Partner-Gyms ist,
  • die Quelle deines Premium-Status (Partner-Gym statt App-Store-Abo),
  • Zeitpunkte von Beitritt und Austritt.

Dein Klarname, deine E-Mail-Adresse oder weitere persönliche Daten werden dem Studio nicht übermittelt. Der eingegebene Code wird nur zur Validierung verwendet und nicht dauerhaft in deinem Profil gespeichert. Wenn du das Partner-Gym verlässt, endet auch der dadurch vermittelte Premium-Status.

12. KI-Einwilligung und Widerruf

Die KI-Funktionen der App sind eine freiwillige Zusatzleistung. Wir holen deine Einwilligung in die Verarbeitung deiner Gesundheits- und Fitnessdaten durch Google Gemini separat ein – entweder direkt im Onboarding oder beim ersten App-Start nach diesem Update.

Deine Zustimmung wird mit einem Zeitstempel in unserer Datenbank dokumentiert. Ohne deine Einwilligung funktionieren alle Basis-Funktionen (Kalorien-Tracking, Workouts, Buddy-Snaps usw.) unverändert weiter – lediglich die KI-Features aus Abschnitt 4 sind dann inaktiv.

Du kannst deine Einwilligung jederzeit und ohne Angabe von Gründen widerrufen, indem du in der App zu Einstellungen → Privatsphäre → KI-Analyse erlauben navigierst und den Schalter deaktivierst. Der Widerruf gilt ab dem Moment der Deaktivierung; bereits erfolgte Verarbeitungen bleiben davon unberührt.

13. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist stets unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir dich in der App.