Datenschutzerklärung

Verantwortlicher ist Athleex mit eingetragenem Sitz in Italien. Zur Ausübung Ihrer Rechte oder für jedwede Anfrage zur Verarbeitung personenbezogener Daten können Sie an info@athleex.com schreiben.

Athleex verarbeitet folgende Kategorien personenbezogener Daten, je nach Interaktion mit dem Dienst:

• Stamm- und Kontaktdaten: Vorname, Nachname, E-Mail, Telefon, Arbeitsstättenanschrift (für Personal Trainer).
• Authentifizierungsdaten: mit bcrypt gehashtes Passwort, verschlüsselte JWT-Sitzungstoken.
• Gesundheitsdaten (Art. 9 DSGVO): Gewicht, Körperfettanteil, Körpermaße, Trainingsziele und biometrische Daten, die vom Athleten freiwillig und ausschließlich auf Grundlage einer gesonderten ausdrücklichen Einwilligung bereitgestellt werden.
• Hochgeladene Inhalte: Fortschrittsfotos, Chat-Anhänge, Rechnungen.
• Nutzungsdaten: absolvierte Workouts, Sätze und Wiederholungen, Volumen, Streaks, freigeschaltete Trophäen.
• Zahlungsdaten: ausschließlich von Stripe verarbeitet. Athleex speichert NIEMALS Kartennummern, CVV oder Bankdaten.
• Technische Logs: IP-Adresse, User-Agent, Zugriffszeitstempel, zu Sicherheits- und Missbrauchspräventionszwecken aufbewahrt.

• Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung): Kontoerstellung, Verwaltung der PT-Athlet-Beziehung, Zuweisung von Programmen, Chat, Abrechnung.
• Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO, ausdrückliche Einwilligung): Eingabe biometrischer Messwerte, Fortschrittsfotos, Ernährungstagebuch. Die Einwilligung ist jederzeit über die Profileinstellungen widerrufbar.
• Prädiktive Analysen (Athlete Twin / Athleex Score) (Art. 6 Abs. 1 lit. a DSGVO, ausdrückliche Einwilligung): statistische Prognosen zu Leistung und Erholung. Siehe Abschnitt 11 für Details zur verwendeten Logik und den spezifischen Rechten.
• Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrung von Abrechnungsdaten gemäß D.P.R. 633/1972 für 10 Jahre.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Infrastruktursicherheit, Betrugs- und Missbrauchsprävention, aggregierte nicht identifizierende Analysen.
• Marketing und Newsletter (Art. 6 Abs. 1 lit. a DSGVO, Einwilligung): nur nach ausdrücklichem Opt-in. Jederzeit widerrufbar.

• Kontodaten: für die gesamte Dauer der Beziehung zuzüglich 12 Monaten nach Beendigung, sofern kein Löschantrag gestellt wird.
• Abrechnungsdaten: 10 Jahre (zivil- und steuerrechtliche Pflicht).
• Sicherheitslogs: 12 Monate.
• Gesundheitsdaten: aufbewahrt, solange die Einwilligung aktiv ist; bei Widerruf innerhalb von 30 Tagen gelöscht.

Die Daten können an folgende Stellen in ihrer Eigenschaft als Auftragsverarbeiter (Art. 28 DSGVO) übermittelt werden:

• Hetzner Online GmbH (Serverinfrastruktur, Deutschland — EWR).
• Stripe Payments Europe Ltd. (Zahlungen, Irland — EWR).
• Meta Platforms Ireland Ltd. (WhatsApp Business- und Instagram-Integration, nur wenn der PT die Integration aktiviert — EWR).
• Resend, Inc. (Anbieter transaktionaler E-Mails für Servicebenachrichtigungen, USA — Übermittlung auf Grundlage der Standardvertragsklauseln).

Etwaige Übermittlungen außerhalb des Europäischen Wirtschaftsraums erfolgen nach Abschluss der Standardvertragsklauseln gemäß Art. 44 ff. DSGVO.

Gemäß Art. 15-22 DSGVO haben Sie jederzeit das Recht auf:

• Auskunft über Ihre Daten und eine strukturierte Kopie (Übertragbarkeit) über Einstellungen » Daten exportieren (GDPR).
• Berichtigung unzutreffender Daten über Ihr Profil.
• Löschung („Recht auf Vergessenwerden“) über Einstellungen » Konto löschen.
• Einschränkung und Widerspruch gegen die Verarbeitung zu Marketingzwecken.
• Widerruf der Einwilligung für Gesundheitsdaten und Newsletter, jederzeit.
• Beschwerde bei der italienischen Datenschutzbehörde (garanteprivacy.it), wenn Sie der Ansicht sind, dass die Verarbeitung gegen die DSGVO verstößt.

Athleex verwendet ausschließlich technische Sitzungscookies (Name: athleex_session), die für den Betrieb des Dienstes unbedingt erforderlich sind. Wir verwenden weder Profiling-Cookies noch Tracking-Cookies Dritter. Gemäß Erwägungsgrund 30 DSGVO und der Maßnahme der italienischen Behörde vom 10. Juni 2021 erfordern technische Cookies keine vorherige Einwilligung.

Wir setzen dem Risiko angemessene technische und organisatorische Maßnahmen um: Verschlüsselung sensibler Daten ruhend (AES-256-GCM) und in Übertragung (TLS 1.3), bcrypt-Passwort-Hashing, Least-Privilege-Prinzip, Sitzungsisolierung über signierte JWT-Cookies, Rate Limiting, administrative Audit-Logs, verschlüsselte Backups.

Der Dienst richtet sich nicht an Minderjährige unter 18 Jahren. Wird festgestellt, dass ein Konto einem Minderjährigen ohne Zustimmung des Erziehungsberechtigten gehört, wird das Konto gelöscht.

Athleex behält sich das Recht vor, diese Erklärung bei regulatorischen oder organisatorischen Änderungen zu aktualisieren. Das Datum der letzten Aktualisierung ist oben im Dokument angegeben. Wesentliche Aktualisierungen werden den registrierten Nutzern per E-Mail mitgeteilt.

Athleex bietet Athleten eine optionale Funktion namens Athlete Twin an, die auf Grundlage der bereits im Konto vorhandenen Trainingsdaten (Trainingstagebuch, Sätze und Gewichte, RPE-Bewertungen, aktive Ziele) Folgendes berechnet:

• eine Prognose des 1RM in 4 Wochen für Grundübungen;
• einen Erholungs- bzw. Übertrainingsrisiko-Index;
• eine Prognose zur Zielerreichung;
• einen kombinierten Wert von 0-100 namens Athleex Score.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO — ausdrückliche Einwilligung des Athleten. Die Funktion ist standardmäßig deaktiviert und kann vom Athleten unter Einstellungen » Athlete Twin aktiviert werden.

Verwendete Logik (Art. 13 Abs. 2 lit. f und Art. 22 Abs. 3 DSGVO — Recht auf aussagekräftige Erklärung): alle Prognosen werden mit klassischen, deterministischen statistischen Methoden berechnet, ohne intransparente Machine-Learning-Algorithmen:

• 1RM-Schätzung mittels Epley-Formel;
• lineare Regression (kleinste Quadrate) auf den wöchentlichen 1RM-Höchstwert mit 95%-Konfidenzintervall;
• exponentiell gewichteter gleitender Mittelwert (EWMA) auf Ermüdungssignalen;
• lineare Extrapolation für Zielprognosen.

Bedeutung und voraussichtliche Auswirkungen: Die Prognosen sind ausschließlich informativ und motivierend. Athleex verwendet diese Prognosen NICHT, um Entscheidungen mit rechtlicher Wirkung oder erheblichen Auswirkungen auf den Athleten zu treffen.

Sichtbarkeit für den PT: bei Aktivierung sind Prognosen und Score für den verbundenen Personal Trainer ausschließlich als Coaching-Werkzeug sichtbar.

Rechte: der Athlet kann jederzeit (i) die Einwilligung in den Einstellungen widerrufen — der Widerruf löst die sofortige Löschung aller gespeicherten Prognosen aus (Art. 17 DSGVO); (ii) eine detaillierte Erklärung anfordern unter info@athleex.com; (iii) der Verarbeitung widersprechen (Art. 21 DSGVO).

Aufbewahrung: Prognose-Verlauf wird maximal 60 Tage gespeichert und anschließend überschrieben.

Zur Ausübung Ihrer Rechte oder bei Fragen schreiben Sie an info@athleex.com. Wir antworten gemäß Art. 12 DSGVO innerhalb von 30 Tagen.

Für die Erbringung des Dienstes greifen wir auf folgende Auftragsverarbeiter zurück. Jeder ist durch ein Data Processing Agreement (DPA) sowie ein geeignetes Übermittlungsmechanismus für Empfänger außerhalb des EWR (Standardvertragsklauseln oder EU-US Data Privacy Framework, soweit anwendbar) gebunden.

• Hetzner Online GmbH (DE) — Hosting-Infrastruktur (Postgres, App-Server). Datenstandort: Deutschland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung.
• Stripe, Inc. (US) — Zahlungsabwicklung. Empfänger gemäß EU-US DPF + SCC. Erhält nur Abrechnungsdaten (Karten-Token, Adresse, Betrag). PCI-DSS Level 1 zertifiziert.
• Meta Platforms Ireland Ltd / Meta Platforms, Inc. (IE/US) — Messung der Werbewirksamkeit (Pixel + Conversions API). Empfänger gemäß EU-US DPF. Nur mit Marketing-Einwilligung. Erhält gehashte Kennungen (E-Mail, Telefon, Name, Land, externe ID) sowie Ereignis-Metadaten. Personenbezogene Daten werden nie im Klartext geteilt.
• Apple Inc. (US) — consegna notifiche push iOS/Safari (APNs gateway). Riceve esclusivamente endpoint cifrato del dispositivo. Resend, Inc. (US) — Versand transaktionaler E-Mails + Waitlist Audience. Empfänger gemäß SCC. Erhält E-Mail + Name + Locale.
• OpenStreetMap Foundation / Nominatim (UK) — Geocoding für die Trainersuche. Erhält nur den vom Nutzer eingegebenen Adress-String (keine weiteren Kennungen).
• Google Ireland Limited / Google LLC (IE/US) — Google Analytics 4 (Web-Property G-GRLNNH64JH) zur Messung der Produktnutzung und Google Search Console für SEO-Indexierung. Nur mit Analytics-Einwilligung (Consent Mode v2 default-denied). Erhält anonymisierte IPs und aggregierte Ereignis-Metadaten; wir aktivieren IP-Anonymisierung, ads_data_redaction und url_passthrough. Empfänger gemäß EU-US DPF + SCC.

Die vollständige Liste der Auftragsverarbeiter mit DPA-Links ist auch unter /legal/sub-processors veröffentlicht und wird bei jeder Hinzufügung aktualisiert (mit mindestens 30 Tagen Vorankündigung bei wesentlichen Änderungen).

Dieser Abschnitt gilt für Nutzer mit Wohnsitz in den genannten Rechtsordnungen. Der englische Originaltext ist die rechtsverbindliche Fassung.

For California residents, Athleex complies with the California Consumer Privacy Act (CCPA) as amended by the California Privacy Rights Act (CPRA). You have the right to: (a) know what personal information we collect, use, disclose; (b) delete personal information; (c) correct inaccurate personal information; (d) opt out of "sale" or "sharing" (Athleex does NOT sell personal information; cross-context behavioural advertising is governed by the cookie banner and may be disabled at /legal/do-not-sell); (e) limit use of "sensitive personal information" (which we do not use beyond strictly necessary purposes); (f) non-discrimination. Equivalent rights apply to residents of Colorado, Connecticut, Virginia, Utah, Texas, Oregon, Tennessee, Indiana, Iowa, Montana, Florida, Delaware, New Hampshire, New Jersey, Maryland, Minnesota under their respective state privacy laws. To exercise rights write to info@athleex.com. We respond within 45 days (CCPA) — extendable once by another 45 days. Athleex is NOT a HIPAA Covered Entity or Business Associate; the service is wellness-tracking and not medical care.

Washington — My Health My Data Act (MHMDA, RCW 19.373): Trainingsprotokolle, Biometriedaten (mit Einwilligung), Wellness-Scores und alle Daten, die den vergangenen, gegenwärtigen oder zukünftigen körperlichen oder geistigen Gesundheitszustand eines Verbrauchers identifizieren, gelten als "consumer health data" im Sinne des MHMDA. Mit der Erstellung eines Athleex-Kontos erteilen Einwohner des Bundesstaates Washington ihre ausdrückliche Einwilligung (RCW 19.373.020) zur Verarbeitung solcher Daten ausschließlich für die in §3 beschriebenen Wellness-Coaching-Zwecke. Athleex verkauft KEINE consumer health data. Athleex teilt KEINE consumer health data mit Dritten zu Werbezwecken. Die in §13 aufgeführten Auftragsverarbeiter erhalten consumer health data ausschließlich als Dienstleister auf der Grundlage schriftlicher DPAs, die jede eigenständige Nutzung untersagen. Einwohner von Washington können ihre Einwilligung jederzeit widerrufen und die Löschung von consumer health data per E-Mail an info@athleex.com verlangen; die Löschung wird innerhalb von 30 Tagen an alle Auftragsverarbeiter weitergegeben (RCW 19.373.040). Geofencing von consumer health data ist verboten und Athleex praktiziert es nicht. See /legal/wa-consumer-health for the full standalone notice required by RCW 19.373.020(1).

Dieser Abschnitt gilt für Nutzer mit Wohnsitz in den genannten Rechtsordnungen. Der englische Originaltext ist die rechtsverbindliche Fassung.

For Canadian users, Athleex complies with the Personal Information Protection and Electronic Documents Act (PIPEDA) at the federal level and with Quebec's Law 25 (formerly Bill 64) for Quebec residents. Quebec Law 25 introduces requirements stricter than GDPR for sensitive data and automated decisions; Athleex's Art.22 protections (Athlete Twin / Athleex Score) extend to Quebec users by default. The competent authority is the Office of the Privacy Commissioner of Canada (OPC) — priv.gc.ca — and for Quebec residents the Commission d'accès à l'information du Québec (CAI). To exercise PIPEDA / Law 25 rights write to info@athleex.com.

Para los usuarios residentes en México, Athleex actúa conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Tienes derecho a ejercer los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), así como a revocar tu consentimiento y limitar el uso o divulgación de tus datos. Para ello escribe a info@athleex.com. La autoridad competente es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Secretaría Anticorrupción y Buen Gobierno (SABG, successor to INAI as of March 2025)) — gob.mx/sabg. Las transferencias de datos hacia destinatarios fuera de México se realizan exclusivamente para cumplir el contrato con el usuario y para fines de prestación del servicio.

Dieser Abschnitt gilt für Nutzer mit Wohnsitz in den genannten Rechtsordnungen. Der englische Originaltext ist die rechtsverbindliche Fassung.

Athleex is operated from Italy and processes personal data primarily under the EU GDPR. For users resident in Norway, Iceland, Liechtenstein, Andorra, Monaco, San Marino — the GDPR or a regime declared adequate by the European Commission applies. For users resident in countries with national data-protection laws aligned to the GDPR template — including Serbia, Bosnia and Herzegovina, Montenegro, North Macedonia, Albania, Kosovo, Ukraine, Moldova, Georgia, Armenia and Azerbaijan — Athleex applies GDPR-equivalent technical, organisational and contractual safeguards and recognises the rights granted by your local law. The competent supervisory authorities of those countries can be contacted directly; we cooperate with any lawful request. Where consent is required by your local law (e.g. Ukraine's 2024 amended Law on Personal Data Protection), the cookie banner and account-creation flows operate as the consent-collection mechanism. To exercise rights write to info@athleex.com.

Dieser Abschnitt gilt für Nutzer mit Wohnsitz in den genannten Rechtsordnungen. Der englische Originaltext ist die rechtsverbindliche Fassung.

Athleex does not knowingly accept registrations from territories subject to comprehensive EU, UK, US or UN sanctions, including (without limitation) Belarus, North Korea, Iran, Syria, Cuba, the Crimea, Donetsk and Luhansk regions of Ukraine. Should an account be created from such a territory, we reserve the right to suspend it without prior notice and to comply with applicable sanctions law.