Rechtliches

Datenschutzerklärung

KFA-Check verarbeitet Daten nach den strengen Vorgaben der DSGVO und des deutschen BDSG. Hier ein ehrlicher Überblick — was wir tun, was wir nicht tun, und wie du jederzeit alles wieder löschen kannst.

Geltungsbereich: Diese Erklärung deckt die KFA-Check App (iOS/Android) und die Web-App (app.kfa-check.app) ab.

Diese Marketing-Website (kfa-check.app) selbst verwendet keine Cookies, kein Tracking und keine Analyse-Skripte — die folgenden Abschnitte betreffen ausschließlich die Datenverarbeitung innerhalb der App bzw. Web-App.

§ 1 — Verantwortlicher und Kontakt

Verantwortlich für die Datenverarbeitung ist der Betreiber von KFA-Check, siehe Impressum. Anfragen zum Datenschutz richte bitte an [email protected].

§ 2 — Was wir verarbeiten — und was nicht

Lokal auf deinem Gerät:

  • Profil-Daten (Name, Größe, Gewicht, Alter, Geschlecht, Aktivitäts-Level)
  • Scan-Verlauf mit Körperfett-Werten, Empfehlungen, Datum
  • Ziele und Einstellungen (Reminder-Intervall, Theme-Modus)
  • Audit-sicheres Einwilligungs-Log (siehe § 7)

Pro Scan kurz übertragen:

  • Das Foto (mit gepixeltem Gesicht und Intim-Bereich, siehe § 5)
  • Profil-Anker (Größe, Gewicht, Alter, Geschlecht) für höhere Genauigkeit

Was wir niemals verarbeiten:

  • Klarnamen, E-Mail-Adresse, Telefonnummer
  • Standortdaten
  • Werbe-Tracker oder Drittanbieter-Analytics
  • Permanente Bild-Speicherung auf Servern

§ 3 — Foto-Analyse: der Weg deines Bildes

Aktuelle Phase (Beta): Das Foto wird über unseren Proxy-Server (Cloudflare Workers) an Google Gemini 2.5 Flash übertragen (Drittland-Transfer USA, Rechtsgrundlage Art. 49 DSGVO und EU-US Data Privacy Framework). Es wird ausschließlich zur Auswertung verarbeitet und dort nicht dauerhaft gespeichert.

In dieser Phase gilt:

  • Foto wird nach Auswertung sofort vom Gerät gelöscht (Free-Tier)
  • Pro-User: Foto wird lokal in den App-Documents-Bereich kopiert, um die Vorher/Nachher-Visualisierung anzubieten — jederzeit löschbar via DSGVO-Reset
  • Privacy-Mask pixelt Gesicht und Intim-Bereich BEVOR das Bild das Gerät verlässt (App) bzw. wird im Browser manuell durch dich markiert (Web, siehe § 5)

§ 4 — Rechtsgrundlagen (Art. 6 und Art. 9 DSGVO)

  • Art. 6 (1) lit. b: Vertragserfüllung (Bereitstellung der App-Funktionen)
  • Art. 6 (1) lit. f: Berechtigtes Interesse (lokale Datenspeicherung für deinen Verlauf)
  • Art. 9 (2) lit. a: Ausdrückliche Einwilligung in die Verarbeitung biometrischer / gesundheitsbezogener Daten (drei Pflicht-Consents im Onboarding)

§ 5 — Privacy-Mask vor Upload

Bevor ein Foto an die KI geht, läuft auf deinem Gerät eine Pose-Erkennung (ML-Kit, on-device). Erkannte Kopf- und Intim-Region werden automatisch pixelt. Diese Maskierung passiert lokal in einem Background-Isolate — die Originaldaten verlassen das Gerät nicht in unmaskierter Form.

Web-Version (Browser/PWA): Die automatische Pose-Erkennung ist im Browser technisch nicht verfügbar. Vor dem ersten Web-Scan wirst du deshalb ausdrücklich darauf hingewiesen, nur den Torso (ohne Gesicht) zu fotografieren, und kannst zusätzlich selbst Bereiche im Bild verpixeln. Auch im Web gilt: keine dauerhafte Server-Speicherung, das Foto wird nach der Auswertung gelöscht.

§ 5a — Freiwillige Modell-Verbesserung (strikt Opt-in)

Optional kannst du unter „Daten & Datenschutz" zustimmen, dass nach jedem Scan ein anonymes Forschungs-Sample übertragen wird: das analysierte Foto (auf dem Gerät maskiert bzw. im Web nach Nur-Torso-Bestätigung), deine Eckdaten (Geschlecht, Alter, Größe, Gewicht, optional Taille/Aktivitätslevel/Selbsteinschätzung) und das Schätzergebnis. Das Sample enthält keinen Namen, keine Profil- oder Scan-ID, keinen Geräte-Code und keinen client-seitigen Zeitstempel; EXIF-Metadaten werden durch Re-Kompression entfernt. Zweck: Training und Evaluierung des Schätzmodells (Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Die Zustimmung ist jederzeit dort widerrufbar; der Widerruf stoppt künftige Übertragungen. Bereits übertragene Samples sind anonym und können keiner Person mehr zugeordnet werden (kein Auskunfts-/Löschanspruch mangels Personenbezug, Erwägungsgrund 26 DSGVO).

§ 6 — Anti-Abuse: anonymer Geräte-Code

Wir generieren einen pseudonymen Geräte-Code (SHA-256-Hash von ANDROID_ID bzw. identifierForVendor plus App-Salt; im Web ein zufälliger, lokal gespeicherter Wert). Dieser Code ist nicht auf dich zurückverfolgbar. Zweck: Schutz der kostenlosen Scan-Kontingente vor Missbrauch. Der Code wird ggf. an unseren Server übertragen (Quota-Prüfung) — niemals an Dritte.

§ 7 — Einwilligungs-Log (audit-sicher)

Jede deiner Einwilligungen wird in einer kryptographischen Hash-Chain auf deinem Gerät gespeichert. Diese Kette ist manipulationssicher (jeder Eintrag enthält den Hash des Vorgängers). Inhalt pro Eintrag:

  • Zeitstempel (UTC)
  • Geräte-Code (pseudonym)
  • Art der Einwilligung
  • SHA-256-Hash des exakten Wortlauts der angezeigten Erklärung

Klartext-Wortlaut wird nicht gespeichert — nur sein Hash. Die Kette bleibt gemäß Art. 17 (3) lit. e DSGVO auch nach Account-Reset erhalten (Aufbewahrung zur Verteidigung von Rechtsansprüchen, Retention 3 Jahre). Pseudonym, ohne Klarnamen oder identifizierende Daten.

§ 8 — Apple Health / Google Health Connect (optional)

Wenn du die Integration aktivierst:

  • Wir lesen Gewicht, Größe, Schritte aus Health (mit deiner ausdrücklichen System-Berechtigung)
  • Wir schreiben Körperfett-, Magermasse- und Stoffwechsel-Werte zurück nach Health
  • Die Daten verlassen niemals dein Gerät — alles passiert via OS-API zwischen Apple/Google Health und der App
  • Du kannst die Berechtigung jederzeit in den OS-Einstellungen widerrufen

§ 9 — Push-Benachrichtigungen (optional)

Erinnerungen für neue Scans werden lokal auf deinem Gerät geplant. Wir senden keine Push-Notifications von Servern aus — alles via OS-Scheduler. Die Berechtigung kannst du jederzeit in den App-Einstellungen widerrufen.

§ 10 — Crash-Reports (Sentry)

Wenn aktiviert, sendet die App technische Fehler-Berichte an unseren Sentry-Account (EU-Region). Diese enthalten Stack-Trace und Fehler-Typ, App-Version/Betriebssystem sowie die Aktion, die zum Fehler führte. Sie enthalten NICHT: Bilder, biometrische Werte, Profil-Daten. Sentry-Privacy-Setting sendDefaultPii=false ist fest codiert.

§ 11 — Stripe (für Zahlungen, optional)

Falls du Pro über einen Web-Zahlungslink erwirbst oder die Kreditkarten-Verifikation im Appeal-Flow nutzt, wird deine Zahlungs-/Karteninformation direkt an Stripe übertragen — wir sehen sie nicht. Stripe agiert als Auftragsverarbeiter (DPA + Standard-SCCs + DPF).

§ 12 — RevenueCat (für App-Store-Abos)

Wenn du Pro über den Apple App Store oder Google Play abonnierst, läuft die Zahlung über deinen Apple-ID-/Google-Account (App-Store-IAP). RevenueCat validiert die Receipts und übermittelt uns dabei:

  • Anonymen App-User-ID (Hash unseres Geräte-Codes)
  • Receipt-Daten (Produkt, Datum, Status)

NICHT übermittelt: Karten-Daten, Klarnamen, biometrische Werte.

§ 13 — Deine Rechte nach DSGVO

  • Art. 15 — Auskunft: kompletter Export deiner Daten über den DSGVO-Export-Button im Profil
  • Art. 16 — Berichtigung: alle Profil-Daten jederzeit editierbar
  • Art. 17 — Löschung: Account-Reset-Button im Profil löscht alle Daten (Ausnahme: Einwilligungs-Log nach § 7)
  • Art. 18 — Einschränkung: durch Deaktivierung einzelner Features (Reminder aus, Health-Sync aus)
  • Art. 20 — Datenübertragbarkeit: JSON-Export ist maschinenlesbar
  • Art. 21 — Widerspruch: einzelne Einwilligungen können jederzeit widerrufen werden

§ 14 — Beschwerde bei der Aufsichtsbehörde

Du kannst dich bei jeder Datenschutz-Aufsichtsbehörde der EU beschweren. In Deutschland zum Beispiel die für den Sitz des Anbieters zuständige Landesdatenschutzbehörde (Nordrhein-Westfalen, siehe Impressum).

§ 15 — Sicherheit

  • HTTPS-Verschlüsselung für alle Server-Kommunikation
  • App-Datenspeicher: Android Auto-Backup deaktiviert (keine ungewollte Cloud-Sicherung)
  • Screenshot-Schutz aktiv (Android FLAG_SECURE / iOS App-Switcher-Blur)

§ 16 — Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung anzupassen. Bei wesentlichen Änderungen an der App wird die Onboarding-Version hochgezählt und du wirst zum erneuten Lesen und Bestätigen geleitet. Das Datum unter „Stand" weist die aktuelle Fassung aus.

§ 17 — Kontakt

Fragen zum Datenschutz erreichst du per E-Mail an [email protected] oder über den im jeweiligen App-Store hinterlegten Support-Kontakt.

Stand: Juli 2026 ← Impressum