Datenschutzerklärung

Stand: 10. August 2025

The legally binding version of this Privacy Policy is the German version. In the event of any discrepancies between the German version and any translation, the German version shall prevail. If you require an English translation, please contact us at legal@myhealthykids.app.

Mit dieser Erklärung informieren wir Sie darüber, welche personenbezogenen Daten (im Folgenden „Daten“) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Sie gilt für alle Verarbeitungsvorgänge, die wir durchführen – sowohl zur Erbringung unserer Leistungen als auch für unser Onlineangebot (Webseiten, mobile Anwendungen und externe Onlinepräsenzen wie Social‑Media‑Profile). Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Mika Spang
E-Mail: legal@myhealthykids.app
Impressum: siehe Impressumsseite

Arten der verarbeiteten Daten

• Bestandsdaten (z. B. Name, Adresse, Kundennummer)
• Kontaktdaten (z. B. E‑Mail, Telefonnummer, Postanschrift)
• Vertrags- und Zahlungsdaten (z. B. Vertragsinhalte, Bankverbindung, Rechnungen)
• Inhaltsdaten (z. B. Nachrichten, hochgeladene Dateien)
• Nutzungs- und Protokolldaten (z. B. IP‑Adresse, Zugriffszeiten, besuchte Seiten)
• Meta- und Kommunikationsdaten (z. B. Geräteinfos, technische Logs)

Kategorien betroffener Personen

• Kunden, Leistungsempfänger, Teilnehmer
• Interessenten und Kommunikationspartner
• Geschäfts- und Vertragspartner
• Nutzer unseres Onlineangebots

Zwecke der Verarbeitung

• Erfüllung vertraglicher Pflichten und vorvertraglicher Maßnahmen
• Kommunikation und Support
• Organisation, Verwaltung und betriebswirtschaftliche Prozesse
• Sicherheitsmaßnahmen und Betrieb der IT‑Infrastruktur
• Marketing, Reichweitenmessung, Tracking und Zielgruppenbildung
• Bereitstellung und Optimierung des Onlineangebots
• Öffentlichkeitsarbeit

Maßgebliche Rechtsgrundlagen

Wir verarbeiten Daten auf Grundlage der DSGVO und ggf. ergänzender nationaler Vorschriften (insb. BDSG).

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
• Vertragserfüllung / vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Schweizer DSG: Diese Erklärung erfüllt auch Informationspflichten nach dem Schweizer DSG. Begriffe der DSGVO werden aus Gründen der Verständlichkeit verwendet, behalten jedoch im Geltungsbereich des Schweizer Rechts ihre dortige Bedeutung.

Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten)

Soweit wir Gesundheitsdaten verarbeiten, erfolgt dies nur, wenn dies für unsere Leistungen erforderlich ist und eine Rechtsgrundlage des Art. 9 Abs. 2 DSGVO vorliegt (insb. ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO oder – soweit einschlägig – Gesundheitsvorsorge/Versorgung nach Art. 9 Abs. 2 lit. h DSGVO i. V. m. § 22 BDSG). Wir treffen zusätzliche Schutzmaßnahmen (strikte Zugriffsbeschränkung, Verschlüsselung, Protokollierung, Löschkonzept).

Kinder & Einwilligung (Art. 8 DSGVO)

Unsere Dienste können sich auch an Kinder richten. Für Angebote der Informationsgesellschaft ist in Deutschland eine Einwilligung erst ab 16 Jahren wirksam. Verarbeiten wir Daten von Kindern unter 16 Jahren auf Basis einer Einwilligung, holen wir die Zustimmung der Erziehungsberechtigten ein und verifizieren diese. Wir stellen kindgerechte Informationen altersangemessen bereit.

Sicherheitsmaßnahmen

Wir schützen Daten durch geeignete technische und organisatorische Maßnahmen nach dem Stand der Technik unter Berücksichtigung von Zweck, Risiken und Verhältnismäßigkeit.

• Zugangs-, Zugriffs- und Eingabekontrollen
• Protokollierung, Datensicherung, Notfallkonzepte
• Trennung nach Zwecken, Privacy by Design und Privacy by Default

Verschlüsselte Übertragung: Wir verwenden TLS/SSL (HTTPS), damit Inhalte zwischen Ihrem Gerät und unseren Servern verschlüsselt übertragen werden.

Empfänger & Übermittlungen

Eine Weitergabe erfolgt, wenn dies zur Leistungserbringung, aufgrund gesetzlicher Pflichten, mit Einwilligung oder zur Wahrung berechtigter Interessen erforderlich ist.

Empfängerkategorien & Rollen:

• Hosting/IT: helloly GmbH (AT) – Auftragsverarbeiter (EWR-Verarbeitung)
• Bot‑Schutz: Cloudflare Turnstile – eigener Verantwortlicher (siehe auch Abschnitt Plug‑ins)
• Bewertungen: Google Kundenrezensionen – eigener Verantwortlicher
• Zahlungsdienstleister/Banken – je nach gewählter Zahlungsart
• Behörden/öffentliche Stellen – soweit gesetzlich verpflichtet

Innerhalb unserer Organisation kann ein Datenaustausch zu administrativen Zwecken erfolgen (need-to-know-Prinzip).

Internationale Datenübermittlungen

Soweit personenbezogene Daten an Empfänger in Drittländern (insb. USA) übermittelt werden, erfolgt dies auf Grundlage eines Angemessenheitsbeschlusses (EU‑US Data Privacy Framework, sofern der Empfänger zertifiziert ist) oder auf Basis der EU‑Standardvertragsklauseln (SCC) in Verbindung mit ergänzenden Maßnahmen. Details je Anbieter sind in den dienstspezifischen Abschnitten vermerkt.

Endgeräteinformationen & Consent‑Management (TTDSG)

Soweit wir nicht unbedingt erforderliche Cookies/SDKs/ähnliche Technologien einsetzen, erfolgt das Ablegen/Auslesen von Informationen auf Ihrem Endgerät nur mit Ihrer Einwilligung (§ 25 Abs. 1 TTDSG).

Datenspeicherung und Löschung

Wir speichern Daten nur solange, wie es für den Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Entfällt der Zweck und liegt keine andere Rechtsgrundlage vor, löschen oder anonymisieren wir die Daten.

Rechte der betroffenen Personen

• Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. e/f DSGVO sowie jederzeit gegen Direktwerbung (inkl. Profiling)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Auskunft über verarbeitete Daten inkl. Kopie
• Berichtigung unrichtiger bzw. Vervollständigung unvollständiger Daten
• Löschung bzw. Einschränkung der Verarbeitung im gesetzlichen Rahmen
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format
• Beschwerde bei einer Datenschutzaufsichtsbehörde (zuständig ist die Behörde Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des mutmaßlichen Verstoßes)

Pflicht zur Bereitstellung

Die Bereitstellung bestimmter Daten (z. B. Account‑ und Zahlungsdaten) ist für den Vertragsschluss und die Nutzung unserer Leistungen erforderlich. Ohne diese Daten ist eine Nutzung nicht möglich. Angaben zu Marketingzwecken sind freiwillig; eine Nichterteilung hat keine Auswirkungen auf den Vertrag.

Datenquellen

Wir verarbeiten Daten in der Regel direkt von Ihnen. Soweit Daten aus anderen Quellen stammen (z. B. Zahlungsdienst, Bewertungsplattform, App‑Store), informieren wir – soweit gesetzlich erforderlich – zusätzlich über die jeweilige Quelle, Kategorien und Zwecke.

Bereitstellung des Onlineangebots & Webhosting

Zur technischen Bereitstellung verarbeiten wir u. a. IP‑Adressen, Zugriffszeiten, Browser‑ und Systeminformationen. Die IP‑Adresse ist für die Auslieferung der Inhalte erforderlich.

Logfiles: Abgerufene Seiten/Dateien, Zeitpunkte, Datenmengen, Erfolgsmeldungen, Browser/OS, Referrer‑URL, IP‑Adresse, Provider. Speicherfrist i. d. R. max. 30 Tage (längere Aufbewahrung nur zu Beweiszwecken).

Hosting‑Dienstleister: helloly GmbH, Rainerstraße 25, A‑4020 Linz, Österreich – Datenschutzerklärung: https://www.helloly.com/datenschutzerklaerung

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Kontakt- & Anfrageverwaltung

Bei Kontaktaufnahme verarbeiten wir die bereitgestellten Bestands‑, Kontakt‑ und Inhaltsdaten sowie technische Metadaten zur Beantwortung und Dokumentation Ihrer Anfrage.

Zwecke: Kommunikation, Organisation/Verwaltung, Feedback‑Auswertung. Rechtsgrundlagen: Vertrag/vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Umfragen und Befragungen

Um Feedback zu erhalten, führen wir ggf. Umfragen durch. Auswertungen erfolgen üblicherweise anonym; personenbezogene Verarbeitung nur, soweit technisch erforderlich (z. B. IP‑Adresse zur Darstellung oder Wiederaufnahme).

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Analyse, Monitoring und Optimierung

Wir verwenden den datenschutzfreundlichen Analysedienst TelemetryDeck (TelemetryDeck GmbH, Von‑der‑Tann‑Str. 54, 86159 Augsburg, Deutschland).

Verarbeitungsart: Wir betreiben TelemetryDeck so, dass ausschließlich anonyme Daten (ohne Personenbezug) verarbeitet werden. Die DSGVO findet hierauf keine Anwendung.

Kundenrezensionen und Bewertungsverfahren

Wir nutzen Bewertungsplattformen für Feedback und Öffentlichkeitsarbeit. Zur Verifizierung dürfen – nur mit Einwilligung – erforderliche Daten (z. B. Name, E‑Mail, Bestell‑/Artikelnummer) an die Plattform übermittelt werden.

Zwecke: Qualitätssicherung, Optimierung, Marketing. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und – soweit erforderlich – Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

• Google Kundenrezensionen – Datenschutz: policies.google.com/privacy – Grundlage möglicher Drittlandübertragung: EU‑US Data Privacy Framework (DPF) bzw. SCC, sofern erforderlich.

Präsenzen in sozialen Netzwerken (Social Media)

Wir betreiben Profile bei sozialen Netzwerken zur Information und Kommunikation. Daten können außerhalb der EU verarbeitet und zu Marktforschungs‑/Werbezwecken genutzt werden (z. B. Profilbildung, Cookies, plattformübergreifende Auswertung).

Rechte wahrnehmen: Bitte wenden Sie sich direkt an den jeweiligen Anbieter, da nur dieser vollständigen Zugriff auf die dort gespeicherten Daten hat.

Soweit wir Statistik‑/Insights‑Funktionen nutzen, kann eine gemeinsame Verantwortlichkeit mit dem Plattformbetreiber bestehen; die wesentlichen Inhalte entsprechender Vereinbarungen stellt der Anbieter bereit.

• Instagram: privacycenter.instagram.com/policy/
• TikTok: tiktok.com/legal/privacy-policy-eea

Plug-ins und eingebettete Inhalte

Wir binden Drittinhalte (z. B. Videos, Karten, Funktionen) ein. Dafür ist die Verarbeitung Ihrer IP‑Adresse durch den Anbieter erforderlich; teils kommen Cookies/Pixel zum Einsatz.

Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TTDSG) für nicht erforderliche Einbindungen; berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für technisch notwendige Einbindungen.

• Cloudflare Turnstile: Bot‑Schutz ohne Nutzer‑CAPTCHA – Datenschutz: cloudflare.com/privacypolicy – mögliche Drittländer: USA; Grundlage: DPF (sofern zertifiziert) bzw. SCC.

Automatisierte Entscheidungen/Profiling

Wir treffen keine Entscheidungen ausschließlich auf automatisierter Verarbeitung im Sinne von Art. 22 DSGVO. Ein Profiling zu Marketingzwecken findet nur mit Ihrer Einwilligung statt.

Änderung und Aktualisierung

Diese Erklärung wird bei Bedarf aktualisiert, z. B. bei Änderungen unserer Verarbeitungen oder rechtlicher Vorgaben. Soweit Ihre Mitwirkung (z. B. neue Einwilligung) erforderlich ist, informieren wir Sie gesondert.

Adressen und Kontaktangaben von Anbietern können sich ändern; bitte prüfen Sie diese vor Kontaktaufnahme.

Begriffsdefinitionen

• Personenbezogene Daten: Informationen zu identifizierten/identifizierbaren Personen.
• Verarbeitung: jeder Umgang mit Daten (Erheben, Speichern, Übermitteln, Löschen).
• Verantwortlicher: Stelle, die über Zwecke/Mittel der Verarbeitung entscheidet.
• Bestandsdaten: Identifikations-/Vertragsinformationen (z. B. Name, Adresse, Kundennummer).
• Kontaktdaten: Kommunikationsangaben (E‑Mail, Telefon, Anschrift).
• Inhaltsdaten: bereitgestellte Texte, Bilder, Videos.
• Nutzungsdaten: Interaktionen im Onlineangebot (Klickpfade, Verweildauer).
• Meta-/Kommunikationsdaten: technische Begleitdaten (IP, Zeitstempel).
• Vertragsdaten: Vertragsinhalte, -laufzeiten, -bedingungen.
• Zahlungsdaten: Angaben zur Zahlungsabwicklung.
• Protokolldaten: System-/Zugriffsprotokolle (Logfiles).
• Reichweitenmessung: Analyse der Nutzung zur Angebotsverbesserung.
• Tracking: verhaltens-/interessenbezogene Auswertung über Dienste hinweg.
• Profile mit nutzerbezogenen Informationen: zusammengeführte Daten zu Interessen/Verhalten.
• Zielgruppenbildung: Bildung von Gruppen für Marketing/Information.
• Gesundheitsdaten: Besondere Kategorien personenbezogener Daten, die sich auf den körperlichen oder geistigen Gesundheitszustand einer Person beziehen (Art. 4 Nr. 15 DSGVO).
• Einwilligung: Freiwillig, für einen bestimmten Zweck, in informierter Weise und unmissverständlich abgegebene Willensbekundung.
• Berechtigtes Interesse: Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. f DSGVO.
• Rechtliche Verpflichtung: Verarbeitung, die zur Erfüllung einer gesetzlichen Pflicht erforderlich ist (Art. 6 Abs. 1 lit. c DSGVO).
• Profiling: Automatisierte Verarbeitung zur Bewertung persönlicher Aspekte.
• Pseudonymisierung: Verarbeitung, bei der Daten ohne Zusatzinfos nicht mehr einer Person zugeordnet werden können.
• Anonymisierung: Verarbeitung, bei der die betroffene Person nicht mehr identifiziert werden kann.
• Drittland: Staat außerhalb der EU bzw. des EWR.
• Data Privacy Framework (DPF): EU‑US‑Abkommen zur Datenübermittlung.
• TLS/SSL: Verschlüsselungsprotokolle zur sicheren Datenübertragung.
• Cookies: Kleine Textdateien zur Speicherung/Auslese von Informationen.
• Pixel (Tracking‑Pixel): Kleine Grafikdateien, die beim Laden einer Webseite oder E‑Mail eine Verbindung zu einem Server herstellen.