Skip
Rechtliches

Datenschutzerklärung

Datenschutzerklärung für VitalHero (Web & App). Verbindlich ist ausschließlich die deutsche Fassung.

Stand: 09.09.2025

1. Verantwortliche Stelle (Art. 4 Nr. 7 DSGVO)

VitalHero GmbH, Keisslergasse 18, 1140 Wien, Österreich. FN 672328v, ATU82965016. E-Mail: team@vitalhero.io, Tel.: +43 664 845 3709. Ein:e Datenschutzbeauftragte:r ist derzeit nicht benannt. Für Datenschutzanliegen genügt die Kontaktaufnahme an obige Adresse.

2. Für wen gilt diese Erklärung?

Für alle Nutzer:innen unserer Website und Apps („Dienste“). Sofern Unternehmen (z. B. Arbeitgeber:innen) Lizenzen finanzieren, bleibt die Nutzung durch Mitarbeitende eine Privatnutzung; der Endnutzervertrag besteht zwischen uns und der Privatperson (Details in den AGB). Individuell zuordenbare Gesundheitsdaten werden ohne ausdrückliche Einwilligung nicht an Arbeitgeber:innen offengelegt.

3. Grundsätze & keine medizinische Nutzung

Wir handeln nach Datenminimierung, Zweckbindung, Transparenz und Privacy by Design.

4. Kategorien personenbezogener Daten

  • Account-/Nutzungsdaten: Name, E-Mail, Passwort-Hash, Sprache, App-Einstellungen, Kommunikationspräferenzen.
  • Vertrags-/Abrechnungsdaten: gewähltes Abo, Zahlungsstatus (nur Token/Meta-Daten, keine vollständigen Zahlungsdetails), Rechnungen.
  • Geräte-/Technikdaten: IP-Adresse, Device-ID, Betriebssystem, App-Version, Crash-/Performance-Logs, Consent-Protokolle.
  • Interaktionsdaten: Klicks, Sitzungen, Feature-Nutzung, Community-Beiträge (sofern vorhanden), Support-Anfragen.
  • Gesundheits-/Wellbeing-Daten (Art. 9 DSGVO – nur mit ausdrücklicher Einwilligung): Aktivitäts- und Bewegungsdaten (z. B. Schritte, Training), Herzfrequenzbereiche/Intensitäten (falls verfügbar), Schlafangaben, Stimmung/Check-ins, Gewohnheiten, optional Umfragewerte, sowie aus Apple Health/Android Health Connect freigegebene Daten (nur nach aktiver Freigabe).
  • Abgeleitete Werte: Scores, Trends, personalisierte Vorschläge/„Next Best Actions“ (Profiling iSd Art. 4 Nr. 4, ohne automatisierte Einzelentscheidungen mit Rechtswirkung, Art. 22).

5. Herkunft der Daten

  • Direkt von euch (Registrierung, App-Eingaben, Support).
  • Aus Apple Health/Health Connect (Android) – nur mit aktivem Opt-In; Umfang in den Systemdialogen wählbar.
  • Aus verbundenen Wearables/Integrationen (sofern angeboten) nach eurer Freigabe.
  • Aus App-/Server-Logs (Betrieb & Sicherheit).

6. Zwecke & Rechtsgrundlagen (Art. 6, 9 DSGVO)

  • Bereitstellung & Betrieb der Dienste (Login, Kernfunktionen) – Art. 6 Abs. 1 b DSGVO
  • Sicherheit, Betrugs- & Missbrauchsvermeidung, Stabilität – Art. 6 Abs. 1 f DSGVO
  • Support & Kommunikation – Art. 6 Abs. 1 b/f DSGVO
  • Abrechnung, Buchhaltung, steuerliche Pflichten – Art. 6 Abs. 1 c DSGVO
  • Verarbeitung von Gesundheits-/Wellbeing-Daten in der App – Art. 9 Abs. 2 a DSGVO (ausdrückliche Einwilligung)
  • Personalisierte Inhalte/Empfehlungen (Profiling) – Art. 6 Abs. 1 a DSGVO + Art. 9 Abs. 2 a DSGVO
  • Produktanalyse/Verbesserung (pseudonymisiert) – Art. 6 Abs. 1 f DSGVO
  • Marketing-Kommunikation (Newsletter) – Art. 6 Abs. 1 a DSGVO (Einwilligung)
  • Arbeitgeber-Reports (Programme), aggregiert/anon., kein Personenbezug – Art. 6 Abs. 1 f DSGVO

7. Einwilligungen (Gesundheitsdaten, Personalisierung)

  • Explizite Einwilligung (Art. 9 Abs. 2 a) erfolgt in-App, getrennt nach Kategorien und wird protokolliert (Zeitstempel, Version).
  • Widerruf jederzeit in der App (Einstellungen → Datenschutz) oder via E-Mail; der Widerruf wirkt für die Zukunft.
  • Bei Widerruf werden betroffene Verarbeitungen gestoppt; bereits gespeicherte Daten werden – soweit kein Gesetz/Anspruch entgegensteht – gelöscht oder anonymisiert.

8. Empfänger & Auftragsverarbeiter (Art. 28, 32, 44 DSGVO)

Wir setzen Auftragsverarbeiter (Hosting, E-Mail-Versand, Logging, optional Analytics) ein. Diese verarbeiten Daten nur nach Weisung, sind vertraglich zur Vertraulichkeit, Sicherheit und – bei Drittlandbezug – zu Standardvertragsklauseln (SCCs) verpflichtet.

Keine Weitergabe individueller Gesundheitsdaten an Arbeitgeber:innen. Standardmäßig übermitteln wir nur aggregierte/anon. Team-Reports. Personenbezogene Gesundheitsdaten werden nicht geteilt, es sei denn, ihr habt dazu ausdrücklich eingewilligt oder es besteht eine klare gesetzliche Pflicht.

9. Drittlandübermittlungen (Art. 44 ff. DSGVO)

Findet eine Verarbeitung durch Anbieter außerhalb des EWR statt, stellen wir ein angemessenes Schutzniveau sicher – in der Regel durch EU-Standardvertragsklauseln (SCCs) und ggf. zusätzliche Maßnahmen (Verschlüsselung, Minimierung). Details siehe Anlage 1.

10. Speicherdauer

  • Account-/Profildaten: bis zur Löschung des Kontos; gesetzliche Aufbewahrung bleibt unberührt.
  • Gesundheits-/Wellbeing-Daten: bis Konto-Löschung oder Widerruf der Einwilligung; bei Inaktivität (keine Logins) 24 Monate, danach Anonymisierung.
  • Protokolle/Sicherheitslogs: 180 Tage.
  • Support-Tickets: 24 Monate nach Abschluss.
  • Einwilligungs-/Widerspruchsprotokolle: 3 Jahre (Nachweiszwecke).
  • Rechnungs-/Steuerunterlagen: 7 Jahre (österreichische Aufbewahrungspflichten).

11. Cookies & ähnliche Technologien (Web)

  • Notwendige Cookies (Session/Consent): für Betrieb und Sicherheit – keine Einwilligung erforderlich.
  • Statistik/Komfort/Marketing-Cookies: nur mit Einwilligung über unser Consent-Banner; jederzeit änderbar.

Eine Cookie-Policy mit detaillierter Liste ist verlinkt und ergänzt diese Erklärung.

12. Sicherheit (Art. 32 DSGVO)

Wir setzen angemessene technische und organisatorische Maßnahmen ein: Verschlüsselung (TLS, ruhende Daten nach Stand der Technik), Rollen-/Rechtekonzept, Pseudonymisierung, Härtung, Backups, Need-to-know-Prinzip, Mitarbeiter-Vertraulichkeit, Lieferanten-Reviews, Incident-Prozesse inkl. Meldewegen nach Art. 33/34 DSGVO.

13. KI-Transparenz & -Nutzung

  • Wie KI genutzt wird: Teile der Dienste erzeugen Inhalte automatisiert (z. B. Hinweise, Scores, Vorschläge). Das ist unterstützend und keine medizinische/professionelle Beratung.
  • Datenbasis: Personalisierungen nutzen eure App-Eingaben und – nach Einwilligung – freigegebene Gesundheitsdaten.
  • Modellverbesserung: Für die Verbesserung verwenden wir aggregierte bzw. pseudonymisierte Nutzungsdaten. Identifizierbare Gesundheitsdaten werden nicht für allgemeines KI-Training genutzt, außer ihr habt dem ausdrücklich zugestimmt (Opt-in).
  • Opt-out / Widerspruch: Ihr könnt Personalisierungen in den Einstellungen begrenzen oder Widerspruch einlegen (Art. 21).

14. Eure Rechte (Art. 15–21 DSGVO)

  • Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen.
  • Beschwerde: Zuständig in Österreich ist die Österreichische Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, dsb.gv.at.
  • Zur Geltendmachung genügt eine Nachricht an hi@gesundheitsheld.in.

15. Kinder

Die Dienste richten sich an Personen ab 18 Jahren; wir verarbeiten wissentlich keine Daten von Kindern.

16. Joint Controllership / Auftragsverarbeitung mit Unternehmen

Der Standard-Betrieb erfolgt in eigener Verantwortlichkeit (Controller). Optional können Unternehmens-Programme vereinbart werden, in denen wir bestimmte Verarbeitung als Auftragsverarbeiter erbringen (z. B. Versand von Einladungen im Namen des Unternehmens). In diesen Fällen schließen wir vorab einen Auftragsverarbeitungsvertrag (AVV/DPA) und beschränken Übermittlungen an das Unternehmen auf notwendige Metadaten bzw. aggregierte/anon. Kennzahlen.

17. Änderungen dieser Erklärung

Wir können diese Erklärung anpassen (z. B. bei neuen Features oder geänderter Rechtslage). Die aktuelle Version ist in der App und auf der Website abrufbar; wesentliche Änderungen kommunizieren wir vorab.

Anlage 1 – Kategorien von Auftragsverarbeitern & Empfängern

  • Cloud-Hosting/DB – App-/Daten-Hosting, Backups – Sitz/Hosting: EU/EWR – Garantien: AVV/TOMs, ggf. SCC
  • E-Mail-Versand – Transaktionsmails, Double-Opt-In – Sitz/Hosting: EU/EWR/USA – Garantien: SCC + Verschlüsselung
  • Crash/Performance-Logs – Stabilität, Fehleranalyse – Sitz/Hosting: EU/EWR – Garantien: Pseudonymisierung, SCC
  • Consent-Management – Einwilligungsbanner, Protokolle – Sitz/Hosting: EU/EWR – Garantien: AVV, Löschkonzept
  • Analytics (optional) – Produktanalyse (pseudonymisiert) – Sitz/Hosting: EU/EWR – Garantien: IP-Masking, AVV
  • Support-/Helpdesk – Ticket-Bearbeitung – Sitz/Hosting: EU/EWR – Garantien: SCC, Need-to-know
  • Zahlungsabwicklung (App-Store) – Abos/Payments – Sitz/Hosting: EU/EWR/USA – Garantien: App-Store-Bedingungen, SCC

Anlage 2 – Datenkategorien & Zwecke (Detail)

  • Accountdaten (Name, E-Mail) – Registrierung, Login – Art. 6 Abs. 1 b DSGVO
  • Technikdaten (IP, Device, Logs) – Sicherheit, Betrieb – Art. 6 Abs. 1 f DSGVO
  • Gesundheitsdaten (Schritte, Training, Schlaf, HR-Zonen, Stimmung) – Tracking, Auswertung, Ziele, Personalisierung – Art. 9 Abs. 2 a DSGVO (+ Art. 6 Abs. 1 a/b)
  • Interaktionsdaten (Klickpfade, Feature-Nutzung) – Produktverbesserung (pseudonymisiert) – Art. 6 Abs. 1 f DSGVO
  • Kommunikation (Support, Newsletter) – Support/Info/Marketing – Art. 6 Abs. 1 b/a DSGVO