Datenschutzrichtlinie
Gültig ab: 23. Juni 2026
Einleitung
Diese Datenschutzrichtlinie erklärt, welche Daten Lusit erhebt, wie sie verwendet werden, wo sie gespeichert sind und welche Rechte du hast. Lusit ist eine allgemeine Wellness-App, kein Medizinprodukt.
Kontakt
E-Mail: support@lusit.app
Entwickler: Julius Brück
Anwendbares Recht: Deutschland / EU (DSGVO)
1. Welche Daten wir erheben
Datenkategorien, die wir erheben:
Konto und Anmeldung:
- E-Mail und Passwort (über Supabase Auth; Passwörter gehasht gespeichert)
- Konto-ID (von Supabase Auth)
- Geburtsdatum (zur Bestätigung der Altersanforderung von 18 Jahren)
- Vorname (optional; bei der Einrichtung angegeben, zur Personalisierung der App, z. B. Begrüßungen)
- Datum der Kontoerstellung
- Zeitstempel der letzten Aktivität
- Zeitpunkt der Einwilligung und akzeptierte Version der Datenschutzrichtlinie
Persönliches Profil (optional):
- Körpergröße (cm) und Gewicht (kg)
- Biologisches Geschlecht
- Berechneter BMI (aus Körpergröße und Gewicht)
- Selbst angegebenes Fitness-Erfahrungslevel
Aktivitäts- und Wellness-Daten:
- Erledigte Gewohnheiten (Bewegung, Ernährung): Datum, durchgeführte Dosis (Wiederholungen, Sätze, Dauer, Menge, Einheiten) und als erledigt markierte Items
- Pläne, die du erstellst oder generierst: Zeitplan, Sektionen und eine Momentaufnahme deiner Personalisierungsdaten zum Zeitpunkt der Erstellung
- Plandurchläufe (aktiv und historisch): geplante und erreichte Anzahl
- Statistiken pro Gewohnheit (Anzahl der Erledigungen, jüngste Daten)
- Feedback zu Gewohnheiten (Schwierigkeit, Freude, gefühlte Anstrengung (RPE), Unbehagen-Bewertungen, Signale zu sofortiger Lockerung und Verspannungsbereichen, Skip-Gründe, optionale Notizen)
- Gewichtsverlauf (nur wenn du dein Gewicht erfasst)
- Aufzeichnungen zu Gewichtsanpassungen (welche Kategorien der Algorithmus höher oder niedriger gewichtet hat, und warum)
- Zusammenfassungen pro Gewohnheit (jüngste Erledigungsraten, Markierungen für Tausch oder Dosisanpassung)
- Engine-Hinweise: die Personalisierungs-Vorschläge, Bestätigungen und Hinweise, die die App für dich erzeugt, jeweils mit der auslösenden Regel und ihrem Status in der Warteschlange (z. B. ausstehend, angezeigt, angenommen, verworfen)
Nutzungs- und App-Aktivitätssignale:
- Tägliche Aktivitätsmarker (lokale Zeitzone): App-geöffnet, erledigte Gewohnheiten, geplante Gewohnheiten, eingereichtes Feedback
- Tägliche, wöchentliche und monatliche Aktivitätsmarker (DAU/WAU/MAU)
- Aktuelle Serie und App-Öffnungs-Aktualität
Onboarding-Präferenzen:
- Angegebenes Wellness-Ziel (z. B. abnehmen, stärker werden, mehr Energie, mehr Gemüse essen, beweglicher werden)
- Tägliches Zeitbudget (Minuten pro Tag)
- Selbst angegebene Essgewohnheiten, Häufigkeit zuckerhaltiger Getränke, Verspannungs-/Unbehagensbereiche, verfügbare Ausstattung und weitere Antworten aus Onboarding oder Personalisieren-Flow
Lern- und Belohnungsdaten:
- Erledigte In-App-Aufgaben
- Verdiente Belohnungssterne
- Anzahl erhaltener Belohnungen
- Wiederholungsfortschritt (Anzahl gefüllter Punkte, Fehlversuche pro Frage)
Einstellungen und Gerätedaten:
- Design und Spracheinstellung
- Schalter für Benachrichtigungen
- Einstellungen für Ton- und Vibrationssignale
- Zeitzone und UTC-Verschiebung (für Planung und lokale Tagesgrenzen)
- Push-Token (nur wenn du Benachrichtigungen aktivierst) und Zeitstempel der letzten Aktualisierung
Abonnement- und Kaufdaten (nur bei Abo):
- Abo-Stufe (Free oder Plus) und ob aktiv
- Abo-Ereignisse (Käufe, Verlängerungen, Kündigungen, Abläufe), über RevenueCat
- Zahlungen werden von Apple oder Google als Verkäufer abgewickelt. Wir erhalten oder speichern keine Zahlungskarten- oder Bankdaten, nur Abo-Status und Stufe.
Wir erheben nicht: deinen Standort, deine IP-Adresse (über das hinaus, was Hosting-Anbieter zur Sicherheit und für das Routing verarbeiten), Werbe- oder Hardware-Identifikatoren, Zahlungskarten- oder Bankdaten, Kontakte, Fotos oder Daten von Drittanbieter-Fitness- oder Gesundheitsplattformen.
2. Wie wir deine Daten verwenden
Wir verwenden deine Daten, um:
- die App-Funktionalität bereitzustellen (Gewohnheits-Tracking, Planerstellung)
- Empfehlungen für Bewegung und Ernährung zu personalisieren
- Schwierigkeit, Dosis und Auswahl der Gewohnheiten an dein Feedback anzupassen (Präferenzdaten, keine medizinischen Daten)
- Fortschritt, Serien und Statistiken anzuzeigen
- aktivierte Push-Benachrichtigungen zu senden
- dein Abonnement zu verwalten und die Funktionen deiner Stufe freizuschalten
- aggregierte, anonymisierte Wirksamkeitsstatistiken zu berechnen
Wir verwenden deine Daten nicht für:
- medizinische Diagnose, Behandlung oder Krankheitsvorbeugung
- Verkauf an Dritte
- verhaltensbasierte Werbung oder Werbeausspielung
- Profilbildung außerhalb der In-App-Personalisierung
3. Datenspeicherung, Sicherheit und Standort
Deine Daten werden auf Infrastruktur in der Europäischen Union gespeichert:
- Datenbank: Supabase-gehostetes PostgreSQL (EU-Region)
- API-Server: Google Cloud Run, Region europe-west1 (Belgien)
Wenn du ein Abo abschließt, wird dein Abo-Status zusätzlich von RevenueCat (siehe Abschnitt 7) in den USA verarbeitet, abgedeckt durch einen Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.
Sicherheit:
- Supabase Auth mit gehashten Anmeldedaten; wir sehen dein Passwort nicht im Klartext
- verschlüsselte Übertragung (HTTPS/TLS)
- Row-Level-Security (RLS) beschränkt den Zugriff auf deine eigenen Daten
- Profildaten getrennt von Aktivitätsdaten unter deiner Konto-ID gespeichert
- kurzlebige JWT-Tokens (Supabase Auth) authentifizieren API-Anfragen
Wir setzen keine Drittanbieter-Analyse-Tools, Werbe-SDKs, Crash-Reporter oder verhaltensbasierten Tracker ein und geben keine Daten an Werbe- oder Tracking-Anbieter weiter.
4. Deine Rechte (DSGVO)
Nach der DSGVO hast du folgende Rechte:
Auskunft (Art. 15): Exportiere alle deine Daten als JSON unter Einstellungen → Profil bearbeiten → Daten exportieren (Kontodaten, Einstellungen, Profil, Gewichtsverlauf, Pläne, Plandurchläufe, Erledigungen, Statistiken, Feedback, Outcomes, Engagement-Verlauf).
Berichtigung (Art. 16): Aktualisiere deine Daten in der App (Körpergröße, Gewicht, Alter, Geschlecht, Erfahrungslevel, Einstellungen, Sprache). Um deine E-Mail-Adresse zu ändern oder etwas zu korrigieren, das nicht in der App bearbeitbar ist, kontaktiere support@lusit.app.
Löschung (Art. 17): Lösche dein gesamtes Konto unter Einstellungen → Profil bearbeiten → Konto löschen, oder nur deine Profil- und Gewichtsverlaufsdaten unter Einstellungen → Profil bearbeiten → Persönliche Daten löschen.
Datenübertragbarkeit (Art. 20): Daten exportieren stellt deine kontobezogenen Daten in maschinenlesbarem JSON bereit.
Einschränkung (Art. 18) und Widerspruch (Art. 21): Kontaktiere support@lusit.app; wir bearbeiten Anliegen innerhalb von 30 Tagen.
Beschwerde: Du kannst dich bei deiner zuständigen Aufsichtsbehörde beschweren. In Deutschland ist das deine Landesdatenschutzbehörde (Landesbeauftragter für den Datenschutz).
5. Datenlöschung
Die Löschung deines Kontos entfernt dauerhaft und sofort (keine Frist, kein Soft-Delete, keine Wiederherstellung):
- Anmeldekonto (E-Mail und Anmeldedaten, Supabase Auth)
- Nutzerdatensatz, Einstellungen und Push-Token
- Profildaten (Körpergröße, Gewicht, Alter, Geschlecht, BMI, Erfahrungslevel)
- alle Gewichtseinträge und Datensätze zu Gewichtsanpassungen
- alle Pläne und Plandurchläufe inklusive Algorithmus-Eingabedaten und Allokations-Logs
- alle Erledigungen, Statistiken pro Gewohnheit, Feedback und Outcomes
- alle Engagement-Signale, Engine-Cooldown-Daten und Engine-Hinweise
- alle erhaltenen Sterne, Belohnungen, erledigten Aufgaben und Wiederholungsfortschritte
Die Löschung nur deiner persönlichen Daten entfernt: Körpergröße, Gewicht, Alter, biologisches Geschlecht, BMI, Fitness-Erfahrungslevel und deinen vollständigen Gewichtsverlauf. Konto, Pläne, Erledigungen und Feedback bleiben.
Beide Aktionen löschen auch deinen lokalen App-Zustand und gecachte Daten vom Gerät.
6. Datenaufbewahrung
Deine Daten werden aufbewahrt, solange dein Konto aktiv ist.
Die Löschung deines Kontos entfernt alle kontobezogenen Daten sofort, wie in Abschnitt 5 beschrieben.
Aggregierte, anonymisierte Wirksamkeitsstatistiken auf Populationsebene (nicht auf einzelne Nutzende zurückführbar) können nach der Löschung aufbewahrt werden, um Empfehlungen zu verbessern. Sie enthalten nur Erfolgszähler pro Gewohnheit und Konfidenzintervalle, keine Identifikatoren oder demografischen Daten.
7. Drittanbieter-Dienste
Lusit nutzt die folgenden Auftragsverarbeiter (wir sind der Verantwortliche; jeder ist Auftragsverarbeiter nach DSGVO):
- Supabase (Authentifizierung, PostgreSQL-Datenbank, Speicher): Kontoverwaltung, Datenspeicherung, serverseitige Verarbeitung. Hosting in der EU.
- Google Cloud Run (europe-west1, Belgien): hostet unseren zustandslosen API-Server. Anfragen passieren ihn, werden aber über übliche Betriebs-Logs hinaus nicht aufbewahrt.
- Expo Push Notification Service: wenn du Benachrichtigungen aktivierst, werden Push-Token und Nachrichtentext über Expo an APNs (iOS) oder FCM (Android) zugestellt. Keine Analyse- oder Verhaltensdaten weitergegeben.
- Expo (EAS Update): beim Start fragt die App u.expo.dev nach Over-the-Air-JavaScript-Updates ab und sendet Geräte-Metadaten (OS-Version, Gerätemodell, Sprache, App-Version), keine personenbezogenen Daten.
- RevenueCat (Abo-Verwaltung und Kaufvalidierung): validiert deinen Kauf im App Store oder bei Google Play und meldet deine Stufe an unseren Server. Erhält deine Kontokennung und Abo-Ereignisse, keine Zahlungskartendaten. Verarbeitet Daten in den USA auf Grundlage eines Auftragsverarbeitungsvertrags.
Wir setzen keine Werbenetzwerke, Social-Media-SDKs, Analyse-Plattformen, Attributions-Dienste, Crash-Reporter oder A/B-Test-Dienste ein.
8. Datenschutz für Kinder
Lusit ist nicht für Personen unter 18 Jahren bestimmt. Wir setzen die Altersanforderung von 18 Jahren bei der Anmeldung über das Geburtsdatum durch; für unter 18-Jährige wird kein Konto erstellt. Wenn du der Meinung bist, dass ein Kind uns personenbezogene Daten zur Verfügung gestellt hat, kontaktiere support@lusit.app, und wir löschen sie.
9. Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie aktualisieren. Änderungen erkennst du am aktualisierten Gültigkeitsdatum oben und an der mit deinem Konto verknüpften Versionskennung. Bei wesentlichen Änderungen informieren wir dich in der App und holen, wo gesetzlich erforderlich, eine erneute Einwilligung ein. Die fortgesetzte Nutzung nach Änderungen gilt als Zustimmung, sofern keine erneute Einwilligung gesetzlich erforderlich ist.
10. Kontakt aufnehmen
Fragen, DSGVO-Anliegen oder Datenschutzbedenken: support@lusit.app (Antwort innerhalb von 30 Tagen).