Leo Widmann
Otto-und-Quantz-Str. 25
65795 Hattersheim
E-Mail: hello@pumpy-app.com
2. Überblick
Pumpy ist eine Fitness-App mit Kamera-basiertem Übungs-Tracking, Gamification und sozialen Funktionen. Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.
3. Mindestalter
Die Nutzung der App setzt ein Mindestalter von 13 Jahren voraus. Personen unter 13 Jahren dürfen die App nicht nutzen. Personen unter 16 Jahren benötigen die Einwilligung eines Erziehungsberechtigten.
Bei der Registrierung wird das Geburtsdatum abgefragt, um das Mindestalter zu prüfen. Das Geburtsdatum wird sicher gespeichert (verschlüsselte Übertragung via TLS sowie Verschlüsselung der Daten beim Hosting-Anbieter, Cloud Firestore/Google) und nicht an Dritte weitergegeben.
Die Trainingspartner-Funktion setzt ein Mindestalter von 16 Jahren voraus.
4. Welche Daten wir erheben
Kontodaten: E-Mail-Adresse, Benutzername, Passwort (nur als Hash gespeichert via Firebase Auth), Geburtsdatum
Onboarding-Präferenzen: gewählte Trainingstage pro Woche, gewünschte Sessiondauer, Trainingsziel, Fitness-Level — lokal gespeichert und für die Erstellung deines persönlichen Trainingsplans verwendet
Gesundheits- und Schmerzdaten (Art. 9 DSGVO — besondere Kategorie): siehe Abschnitt 6b und 6c
Standortdaten: nur bei aktivem Lauf-Tracking oder Trainingspartner-Funktion
Profilbild: optional, als Base64 gespeichert
Google-Konto-Daten: nur bei Anmeldung mit Google (E-Mail, Basis-Profil)
Apple-Konto-Daten: nur bei Anmeldung mit Apple (Apple-Nutzer-ID; Name und – falls erlaubt – eine ggf. weitergeleitete „Hide My Email“-Adresse)
Fortschritts- und Lebensmittelfotos: optional, nur bei aktiver Nutzung der KI-Foto-Analyse (siehe 6g)
5. Kameranutzung
Die App nutzt die Kamera ausschließlich zur Echtzeit-Erkennung von Körperbewegungen während des Trainings.
Es werden KEINE Fotos oder Videos aufgenommen
Es werden KEINE Bilder gespeichert oder übertragen
Die Bildverarbeitung erfolgt ausschließlich lokal auf dem Gerät (On-Device Pose-Detection)
Die Kameradaten werden sofort nach der Verarbeitung verworfen
Hinweis: Diese Aussagen betreffen ausschließlich die Bewegungserkennung (On-Device-Pose-Detection). Davon zu unterscheiden ist die optionale KI-Lebensmittel-Foto-Analyse (siehe Abschnitt 6g): Nur wenn du sie aktiv nutzt, wird das jeweilige Foto zur Auswertung an die Google Gemini API (USA) übermittelt.
5a. Audio-Wiedergabe
Die App spielt Soundeffekte und Hintergrundmusik ab (z. B. beim Glücksrad oder beim Öffnen von Schatztruhen).
Quelle: Mixkit unter CC0-Lizenz (gemeinfrei)
Wiedergabe ist gerätelokal, es werden keine Streaming-Daten zu Dritten übertragen
Die Wiedergabe respektiert den App-internen Schalter „Sound" sowie die System-Lautstärke
6. Standortdaten
Bei Nutzung der Lauf-Tracking-Funktion werden GPS-Daten erhoben:
Nur während einer aktiven Laufaufzeichnung
Zur Berechnung von Distanz, Tempo und Routendarstellung
Die Routendaten werden nur lokal während der Sitzung verwendet
Es werden keine Standortdaten dauerhaft gespeichert oder an Dritte übermittelt
6a. Trainingspartner-Funktion
Bei Nutzung der „Trainingspartner finden"-Funktion:
Dein ungefährer Standort (auf ca. 1 km gerundet) wird gespeichert
Dein exakter Standort wird NIEMALS gespeichert oder weitergegeben
Sichtbar für andere: Benutzername, Fitness-Level, Trainingsziel
Opt-In erforderlich (Art. 6 Abs. 1 lit. a DSGVO)
Bei Deaktivierung werden alle Standortdaten sofort gelöscht
Während des Onboardings kannst du auf einer Körper-Grafik Bereiche markieren, in denen du Schmerzen oder Einschränkungen hast (z. B. Knie, Schulter, Rücken). Diese Markierungen sind Gesundheitsdaten und fallen unter Art. 9 Abs. 1 DSGVO.
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung durch aktives Antippen der betroffenen Körperregionen
Du kannst die Auswahl jederzeit überspringen oder leer lassen
Die Daten werden AUSSCHLIESSLICH lokal auf deinem Gerät gespeichert
Es findet KEINE Übertragung an unsere Server oder Dritte statt
Verwendung: Filtern und Anpassen der vorgeschlagenen Übungen, damit problematische Körperregionen geschont werden
Widerruf der Einwilligung jederzeit möglich (siehe Abschnitt 10)
6c. Health Connect (Art. 9 DSGVO)
Optional kannst du Pumpy mit Health Connect (Android) verknüpfen (die Apple-Health-Anbindung für iOS ist in Vorbereitung). Dabei werden ebenfalls Gesundheitsdaten verarbeitet (Art. 9 DSGVO).
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung über den OS-Berechtigungsdialog
Die Daten werden lokal verarbeitet, um deine Statistiken anzureichern (z. B. Tages-Schritte)
Es werden KEINE Health-Connect-Daten an unsere Server übertragen
Du kannst einzelne Berechtigungen oder die gesamte Verknüpfung jederzeit in den System-Einstellungen (Health Connect) widerrufen
6d. Lokale Push-Benachrichtigungen
Die App sendet lokale, gerätinterne Benachrichtigungen — z. B. Streak-Erinnerungen, Daily-Challenge-Hinweise und Comeback-Erinnerungen.
Diese Benachrichtigungen werden lokal auf dem Gerät erzeugt
Es werden KEINE Nutzungsdaten an unsere Server gesendet, um diese Erinnerungen auszulösen
Benötigte Android-Berechtigung: POST_NOTIFICATIONS (ab Android 13)
Du kannst jede Erinnerung in den App-Einstellungen separat aktivieren oder deaktivieren
Davon getrennt: Über Firebase Cloud Messaging (FCM) können Push-Nachrichten von Freunden (z. B. Freundschaftsanfragen) zugestellt werden — siehe Abschnitt 7.
6e. Lokale Nutzungsanalyse (Personalisierung)
Um Inhalte für dich zu personalisieren, analysiert die App dein Nutzungsverhalten — ausschließlich lokal auf dem Gerät.
Erfasst werden: welche Rezepte/Übungen/Programme du öffnest, favorisierst oder abschließt, sowie deine aktiven Tageszeiten
Es handelt sich NICHT um besondere Kategorien nach Art. 9 DSGVO — es sind reine Interaktions-/Nutzungsdaten
Die Daten werden AUSSCHLIESSLICH lokal gespeichert und NIEMALS an unsere Server oder Dritte übertragen
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Du kannst diese lokale Analyse jederzeit in den Einstellungen abschalten — dann wird das lokale Profil gelöscht
6f. Nutzungs- und Reichweitenstatistik
Um zu verstehen, wie Pumpy genutzt wird, erfassen wir aggregierte Nutzungsmetriken auf deinem Nutzerprofil: zuletzt aktiv, Anzahl der App-Sitzungen, kumulierte Vordergrund-Nutzungsdauer und Anzahl der App-Starts.
Es werden KEINE Inhalte und keine besonderen Kategorien nach Art. 9 DSGVO erfasst — ausschließlich technische Nutzungszähler
Speicherort: Cloud Firestore (Google, EU-Server). Keine Weitergabe zu Werbezwecken
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Du kannst dieser Erfassung jederzeit widersprechen, indem du in den Einstellungen die Nutzungsanalyse deaktivierst (Art. 21 DSGVO)
Pumpy bietet optionale KI-gestützte Funktionen: einen KI-Coach (Chat), eine KI-Lebensmittel-Foto-Analyse, optionale Fortschrittsfotos und das Scannen von Lebensmittel-Barcodes. Diese Funktionen sind freiwillig und nur nach deiner ausdrücklichen Einwilligung aktiv.
KI-Coach & Foto-Analyse: Deine eingegebenen Texte bzw. das aufgenommene oder ausgewählte Foto werden zusammen mit relevanten Profil- und Fitnessdaten – ggf. inkl. freiwilliger Gesundheitsangaben (z. B. Gewicht, Größe, Allergien) – zur Auswertung an die Google Gemini API (Google) übermittelt. Die Verarbeitung erfolgt u. a. auf Servern in den USA.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; für Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung, abgefragt vor der ersten Nutzung).
Drittlandtransfer in die USA auf Grundlage der EU-Standardvertragsklauseln.
Es werden keine Fotos dauerhaft auf unseren Servern gespeichert; sie werden ausschließlich zur unmittelbaren Auswertung übertragen.
Barcode-Scan: Beim Scannen eines Produkt-Barcodes wird die Barcode-Nummer an die Datenbank Open Food Facts (Open Food Facts, Frankreich) gesendet, um Produktinformationen abzurufen; dabei wird technisch bedingt deine IP-Adresse übertragen.
Du kannst die KI-Funktionen jederzeit ungenutzt lassen bzw. deine Einwilligung mit Wirkung für die Zukunft widerrufen.
Firebase Analytics / Google Analytics for Firebase (Google): pseudonyme Nutzungs- und Funnel-Statistik. In den Einstellungen unter „Personalisierung" deaktivierbar.
RevenueCat (RevenueCat, Inc., USA): Abwicklung und Verwaltung von In-App-Käufen und Abonnements; erhält deine pseudonyme Nutzer-ID (Firebase-UID) sowie Kauf- und Transaktionsdaten
Google Gemini API (Google): KI-Coach und KI-Foto-/Lebensmittelanalyse; Verarbeitung u. a. in den USA (EU-Standardvertragsklauseln) — nur bei aktiver Nutzung, siehe Abschnitt 6g
Google Sign-In (Google): optionale Anmeldung mit deinem Google-Konto (E-Mail-Adresse und Basis-Profildaten)
Sign in with Apple (Apple Inc., USA/Irland): optionale Anmeldung; wir erhalten deine Apple-Nutzer-ID sowie – falls von dir freigegeben – Name und (ggf. weitergeleitete) E-Mail-Adresse
Open Food Facts (Frankreich): Produktdatenbank für den Barcode-Scan; erhält die gescannte Barcode-Nummer und technisch bedingt deine IP-Adresse
Datenverarbeitung auf Servern in der EU (eur3); RevenueCat verarbeitet zusätzlich in den USA. Google und RevenueCat sind Auftragsverarbeiter unter den EU-Standardvertragsklauseln.
8. Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Kontoführung, Bereitstellung der App)
Art. 9 Abs. 2 lit. a DSGVO: AUSDRÜCKLICHE Einwilligung für besondere Kategorien (Gesundheitsdaten) — Schmerz-Bereiche (6b), Health Connect (6c), freiwillige Körpermaße
9. Datenweitergabe
Deine Daten werden nicht verkauft. Weitergabe nur an:
Google/Firebase als technischer Dienstleister (inkl. Firebase Analytics)
RevenueCat (USA): technischer Zahlungs-/Abo-Dienstleister; erhält deine pseudonyme Nutzer-ID und Kaufdaten zur Abwicklung von In-App-Käufen
Werbepartner: nur aggregierte Code-Statistiken (siehe 9d), KEINE Einzeldaten
Andere Nutzer: nur Benutzername und XP-Punktzahl (für Freunde)
Google Gemini API (USA): bei aktiver Nutzung der KI-Funktionen (siehe 6g)
Open Food Facts (Frankreich): Barcode-Nummer beim Produkt-Scan
9a. Freunde-System & QR-Codes
Der QR-Code/Freundeslink enthält ausschließlich deine eindeutige Pumpy-Nutzer-ID (Format: https://pumpy-app.com/u/NUTZER-ID)
Es sind KEINE Name, E-Mail, Standort, Geburtsdatum oder andere personenbezogene Daten enthalten
Die Verknüpfung erfolgt erst durch deine ausdrückliche Bestätigung
9b. Einladungs-/Referral-System
Referral-Codes sind zufällig generierte 8-Zeichen-Strings ohne personenbezogene Daten
Pro Konto werden maximal 5 Einladungen angerechnet (Anti-Missbrauch)
9c. Glücksrad, Truhen, In-App-Käufe
Belohnungen aus Glücksrad/Truhen sind ausschließlich virtuelle Coins/Skins ohne realen Geldwert — kein Glücksspiel
Echte Zahlungsabwicklung erfolgt ausschließlich über den jeweiligen App-Store (Google Play / Apple App Store)
9d. Creator-/Affiliate-Codes
Beim Einlösen speichern wir den Code auf deinem Profil sowie einen Einlöse-Eintrag (Nutzer-ID, Code, Zeitpunkt, Kennzeichen ob Neu- oder Bestandskunde — zur differenzierten Abrechnung)
Tätigst du danach einen Kauf, ordnen wir Art und Höhe des Umsatzes diesem Code zu, um mit Werbepartnern abzurechnen
Werbepartner erhalten ausschließlich AGGREGIERTE Statistiken — KEINE personenbezogenen Einzeldaten
9e. Meldungen & Moderation
Wenn du einen anderen Nutzer meldest, speichern wir die Meldung (deine Nutzer-ID, die gemeldete Nutzer-ID und der angezeigte Name, Grund und Zeitpunkt), um Missbrauch zu verfolgen und die Sicherheit der Community zu gewährleisten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsprävention).
10. Deine Rechte
Du hast gemäß DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf der Einwilligung.
Kontakt: hello@pumpy-app.com
11. Kontolöschung
Du kannst deinen Account jederzeit in der App unter Profil → Konto löschen. Dabei werden alle Daten (Profil, Trainingshistorie, Freundesliste) unwiderruflich gelöscht.
12. Datensicherheit
Verschlüsselte Datenübertragung (TLS/SSL)
Firebase Security Rules
Passwörter werden nur als Hash gespeichert
Keine Speicherung von Kamerabildern
13. Aufbewahrungsdauer
Deine Profil- und Trainingsdaten werden bei der Kontolöschung unverzüglich entfernt (Profil, Trainingshistorie, Ernährungs- und Social-Daten unter deinem Nutzerkonto sowie dein Anmelde-Konto). Aus rechtlichen Gründen können einzelne Datensätze außerhalb deines Nutzerprofils befristet erhalten bleiben: Missbrauchs-/Moderationsmeldungen (berechtigtes Interesse), Transaktions-/Abrechnungsnachweise (z. B. eingelöste Affiliate-Codes) sowie pseudonyme Diagnose-/Analyse-Ereignisse. Solche Daten werden gelöscht, sobald der jeweilige Zweck und etwaige gesetzliche Aufbewahrungspflichten entfallen.
14. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist stets in der App unter Einstellungen sowie auf dieser Seite einsehbar.
15. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden.
16. Website (pumpy-app.com)
Die folgenden Abschnitte betreffen ausschließlich unsere Website (nicht die App).
16a. Hosting
Die Website wird über Firebase Hosting (Google Ireland Ltd.) bereitgestellt. Beim Aufruf werden technisch notwendige Server-Logdaten (u. a. IP-Adresse, Datum/Uhrzeit, abgerufene Datei, Browsertyp) verarbeitet, um die Auslieferung und Sicherheit der Seite zu gewährleisten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, störungsfreien Betrieb).
16b. Voranmeldung (Warteliste)
Wenn du dich voranmeldest, speichern wir deine E-Mail-Adresse (sowie Zeitstempel und Quelle) in Cloud Firestore (Google, EU-Server).
Zweck: einmalige Benachrichtigung zum App-Launch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das Absenden des Formulars).
Du kannst die Löschung jederzeit formlos per Kontaktformular oder E-Mail verlangen; spätestens nach dem Launch bzw. Widerruf wird die Adresse gelöscht.
16c. Kontaktformular
Über das Kontaktformular übermittelte Angaben (Name, E-Mail-Adresse, Nachricht) speichern wir in Cloud Firestore (Google, EU-Server), um deine Anfrage zu bearbeiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a und lit. b DSGVO (Einwilligung bzw. Bearbeitung deiner Anfrage).
Die Daten werden gelöscht, sobald deine Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
16d. Schriftarten
Die verwendeten Schriftarten (Fredoka, Nunito) werden lokal von unserem eigenen Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google-Servern statt, und es wird hierbei keine IP-Adresse an Dritte übertragen.
16e. Cookies & Tracking
Unsere Website setzt keine Tracking- oder Marketing-Cookies und nutzt kein Website-Analyse-Tool. Es ist daher kein Cookie-Banner erforderlich.
16f. Spam-Schutz (Cloudflare)
Zum Schutz unserer Formulare (Voranmeldung und Kontakt) vor automatisiertem Missbrauch (Spam, Bots) setzen wir Dienste von Cloudflare, Inc. ein: das CAPTCHA Cloudflare Turnstile sowie eine serverseitige Prüfung (Cloudflare Worker), die deine Eingaben validiert und erst danach an unseren Speicher (Cloud Firestore) weiterleitet. Dabei verarbeitet Cloudflare deine IP-Adresse (u. a. zur Begrenzung der Absende-Häufigkeit) sowie die von dir gesendeten Formulardaten. Turnstile arbeitet ohne Tracking-Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwehr von Spam und Missbrauch). Cloudflare kann Daten auch in den USA verarbeiten; die Übermittlung ist durch EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework abgesichert. Cloudflare ist insoweit unser Auftragsverarbeiter.
16g. Affiliate-Links (Amazon-Partnerprogramm)
Unsere Website (insbesondere der Bereich /shop/) enthält Werbe-/Affiliate-Links zum Amazon-Partnerprogramm (Amazon EU S.à r.l.). Wenn du auf einen solchen Link klickst und bei Amazon einkaufst, erhalten wir eine Provision; für dich entstehen dadurch keine Mehrkosten. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen. Beim Klick auf einen Affiliate-Link wirst du zu Amazon weitergeleitet; dort verarbeitet Amazon deine Daten (u. a. zur Zuordnung der Provision über einen Partner-Parameter/Cookie) in eigener Verantwortung gemäß der Datenschutzerklärung von Amazon. Die auf unserer Seite eingebundenen Produktbilder werden direkt von den Amazon-Servern (media-amazon.com) geladen; dabei wird technisch bedingt deine IP-Adresse an Amazon übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Finanzierung unseres Angebots). Eine eigene Profilbildung durch uns findet nicht statt.
17. US-Datenschutzrechte (Kalifornien u. a.)
Dieser Abschnitt gilt für Einwohner von US-Bundesstaaten mit umfassenden Datenschutzgesetzen (z. B. Kalifornien, CCPA/CPRA).
Kategorien erhobener personenbezogener Daten: Kennungen (z. B. E-Mail, Nutzer-ID), Konto- und Profildaten, von dir angegebene Fitness- und begrenzte Gesundheitsdaten, ungefährer Standort (nur für die optionale Trainingspartner-Funktion), Nutzungs- und Geräteinformationen sowie Kaufdaten. Quellen und Zwecke sind in den Abschnitten oben beschrieben.
Wir verkaufen deine personenbezogenen Daten NICHT und geben sie NICHT für kontextübergreifende verhaltensbezogene Werbung weiter.
Sensible Daten (z. B. gesundheitsbezogene Eingaben) werden ausschließlich zur Bereitstellung der von dir angeforderten Funktionen verwendet.
Deine Rechte: Auskunft/Zugang, Löschung, Berichtigung sowie Widerspruch gegen Verkauf/Weitergabe (wir verkaufen/teilen nicht). Die Ausübung führt zu keiner Benachteiligung.
Ausübung: per E-Mail an hello@pumpy-app.com oder in der App unter Profil → Konto löschen. Wir verifizieren Anfragen über deine Konto-E-Mail.
Bevollmächtigte können mit entsprechendem Nachweis Anfragen in deinem Namen stellen.