Zum Hauptinhalt springen

Datenschutzerklärung

Zuletzt aktualisiert: April 2026

1. Verantwortlicher

Ninety Labs UG (haftungsbeschränkt)
Am Hafensteig 7
23730 Neustadt in Holstein
Deutschland

E-Mail: privacy@eyvo.health
Website: https://eyvo.health

2. Überblick

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Website und Dienste erforderlich ist. Wir verkaufen Ihre Daten nicht.

Mit der Erstellung eines Kontos willigen Sie in die Verarbeitung Ihrer personenbezogenen Daten gemäß dieser Datenschutzerklärung ein. Mit der Nutzung der Gesichtsscan-Funktion willigen Sie ausdrücklich in die Verarbeitung Ihrer Gesichtsfotos und die Erstellung biometrischer Gesichtseinbettungen zur Identitätsverifizierung ein (Art. 9 Abs. 2 lit. a DSGVO). Mit der Verbindung von Apple Health willigen Sie ausdrücklich in die Verarbeitung Ihrer Gesundheitsdaten ein. Mit der Aktivierung von Standort & Wetter willigen Sie in die einmalige Nutzung Ihres Gerätestandorts zum Abruf lokaler Wetterdaten ein. Mit der Aktivierung der Fotoverarbeitung willigen Sie in die Speicherung Ihrer Scan-Fotos zur Verbesserung unserer Analysealgorithmen ein.

Arten der verarbeiteten Daten:

  • Kontaktdaten (E-Mail-Adresse)
  • Kontodaten (Name, Passwort-Hash)
  • Gesichtsscan-Daten (Fotos)
  • Gesundheitsdaten (bei Verbindung mit Apple Health)
  • Wetterdaten (bei Aktivierung von Standort & Wetter)
  • KI-generierte Erkenntnisse (abgeleitet aus aggregierten, anonymisierten Daten)
  • KI-Chat-Gespräche (mit Clara, unserer KI-Hautbegleiterin)
  • Nutzungsdaten (App-Interaktionen)
  • Technische Daten (IP-Adresse, Gerätetyp)

3. Rechtsgrundlage

Wir verarbeiten Ihre Daten auf Grundlage von:

  • Art. 6 Abs. 1 lit. a DSGVO: Ihre Einwilligung (für Gesichtsscans, Gesundheitsdaten-Synchronisierung, Standort & Wetter, Fotoverarbeitung zur Analyseverbesserung)
  • Art. 9 Abs. 2 lit. a DSGVO: Ihre ausdrückliche Einwilligung (für biometrische Daten zur Identitätsverifizierung)
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (zur Bereitstellung des Dienstes)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (für den technischen Betrieb und die Sicherheit)

4. Gesichtsscan-Daten

Wenn Sie die Gesichtsscan-Funktion nutzen, erfassen und verarbeiten wir Gesichtsfotos. Wir verarbeiten zwei unterschiedliche Arten von Gesichtsdaten:

4.1 Gesichtsanalyse (Hautbiomarker)

Wir analysieren Ihre Gesichtsfotos, um erscheinungsbasierte Biomarker-Werte zu berechnen (wie Hauttextur, Rötungen, Augenringe und Schwellungen). Diese Werte messen sichtbare Hautindikatoren und identifizieren Sie nicht eindeutig.

Speicherung: Bilder werden auf unserem EU-basierten S3-Speicher (Hetzner, Deutschland) gespeichert. Biomarker-Werte werden in unserer EU-basierten Datenbank gespeichert. Sie können die Aufbewahrungsdauer Ihrer Scan-Fotos über die Einstellung "Foto-Aufbewahrung" in der App steuern (Optionen: Sofort löschen, 24 Stunden, 7 Tage, 30 Tage oder Nie). Biomarker-Werte und Scores bleiben unabhängig von dieser Einstellung erhalten.

Zweck: Um Veränderungen der Gesichtsbiomarker im Zeitverlauf zu verfolgen und mit Ihren Lebensstildaten zu korrelieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung)

4.2 Gesichtsidentitätsverifizierung (biometrische Daten)

Zur Durchsetzung unserer Ein-Konto-pro-Person-Richtlinie erstellen wir eine mathematische Darstellung (Einbettung) Ihres Gesichts. Diese Einbettung ist ein biometrisches Datum im Sinne von Art. 4 Nr. 14 DSGVO, da sie Sie eindeutig identifizieren kann.

Wo die Einbettung erzeugt wird: Eine erste Einbettung wird auf Ihrem Gerät berechnet. Eine zweite, robustere Einbettung wird auf unseren EU-Servern (Hetzner, Frankfurt) aus dem Scan-Foto generiert, das Sie bei jedem Scan ohnehin an uns senden. Beide Werte werden ausschließlich zur Identitätsverifizierung verwendet und unterliegen denselben Schutzpflichten wie alle biometrischen Daten.

Was wir speichern: Einen numerischen Vektor (Gesichtseinbettung), der aus Ihrer Gesichtsgeometrie abgeleitet wird. Dies ist kein Foto und kann nicht in ein Bild Ihres Gesichts zurückgerechnet werden.

Zweck: Um sicherzustellen, dass jedes Konto einer Person gehört, und Missbrauch zu verhindern. Wir verwenden Gesichtseinbettungen nicht für Überwachung, Werbung oder andere Zwecke als die Kontosicherheit.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung zur Verarbeitung biometrischer Daten zur Identitätsverifizierung)

Einwilligungsnachweis: Beim ersten Tippen auf "Kamera öffnen" wird der Zeitpunkt Ihrer ausdrücklichen Einwilligung in unserer Datenbank protokolliert.

4.3 Verhältnismäßigkeit und Erforderlichkeit

Wir haben die Verhältnismäßigkeit der Verwendung von Gesichtseinbettungen zur Identitätsverifizierung im Rahmen unserer Datenschutz-Folgenabschätzung (DSFA) bewertet. Gesichtseinbettungen sind erforderlich, da alternative Methoden (wie die ausschließliche E-Mail-Verifizierung) nicht ausreichen, um Mehrfachkonto-Missbrauch in einem Gesundheits-Tracking-Kontext zu verhindern, in dem die Datenintegrität pro Person entscheidend ist. Die Einbettung ist ein Einweg-Zahlenvektor, der das Originalbild nicht rekonstruieren kann. Wir wenden das Prinzip der Datenminimierung an, indem wir für die Identitätsverifizierung nur die Einbettung speichern, nicht das zur Erstellung verwendete Quellbild.

4.4 Aufbewahrung und Löschung

Biomarker-Werte und Gesichtseinbettungen werden aufbewahrt, solange Ihr Konto aktiv ist. Scan-Fotos unterliegen Ihrer gewählten Foto-Aufbewahrungseinstellung: Sie können wählen, ob Fotos sofort nach dem Schließen der Ergebnisse, nach 24 Stunden, 7 Tagen, 30 Tagen oder nie (bis zur Kontolöschung) gelöscht werden. Die Standardeinstellung ist "Nie". Wenn Fotos gelöscht werden, wird auch die Face Zone Map für den jeweiligen Scan nicht mehr angezeigt. Wenn Sie Ihr Konto löschen, werden alle Gesichtsdaten dauerhaft und unwiderruflich von unseren Servern gelöscht, einschließlich des S3-Speichers.

Inaktivitätsrichtlinie: Wenn Ihr Konto länger als 36 Monate inaktiv ist (keine Anmeldungen, keine Scans), werden wir Sie per E-Mail benachrichtigen. Wenn Sie nicht innerhalb von 30 Tagen antworten, werden Ihr Konto und alle zugehörigen Daten, einschließlich Gesichtseinbettungen, dauerhaft gelöscht.

4.5 Weitergabe

Wir geben Gesichtsdaten nicht an Dritte weiter. Alle Analysen und Identitätsverifizierungen werden auf unserer eigenen EU-basierten Infrastruktur durchgeführt. Gesichtseinbettungen werden niemals an externe Dienste übermittelt.

4.6 Passive Fotosammlung zur Analyseverbesserung

Sie können freiwillig zustimmen, dass Ihre Scan-Fotos zur Verbesserung unserer Analysealgorithmen gespeichert und verarbeitet werden. Diese Einwilligung ist vollständig optional und hat keinen Einfluss auf Ihre Nutzung der App oder die Qualität Ihrer persönlichen Ergebnisse.

Was gespeichert wird: Eine Kopie Ihres Scan-Fotos wird in einem separaten, geschützten Speicherbereich auf unseren EU-basierten Servern (Hetzner, Deutschland) abgelegt. Diese Kopie ist unabhängig von Ihrer Foto-Aufbewahrungseinstellung.

Zweck: Die Fotos werden zur Kalibrierung und Verbesserung unserer Hautanalyse-Algorithmen verwendet, z.B. zur Verfeinerung der Biomarker-Erkennung (Hauttextur, Rötungen, Augenringe), zur Verbesserung der Qualitätsbewertung unter verschiedenen Lichtbedingungen und zur Validierung neuer Analysemethoden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche, separate Einwilligung)

Speicherdauer: Die Fotos werden gespeichert, bis Sie Ihre Einwilligung widerrufen oder Ihr Konto löschen, je nachdem, was zuerst eintritt.

Kontrolle: Sie können diese Einwilligung jederzeit in den Profileinstellungen unter "Fotoverarbeitung" widerrufen. Bei Widerruf werden alle gespeicherten Kopien Ihrer Fotos sofort und dauerhaft gelöscht.

Weitergabe: Fotos, die für die Analyseverbesserung gespeichert werden, werden niemals öffentlich geteilt oder an Dritte weitergegeben.

4.7 Feedback-Fotos zur Algorithmus-Korrektur

Wenn Sie nach einem Scan angeben, dass die berechneten Werte nicht zu Ihrem Hautgefühl passen, können Sie pro einzelnem Scan und ausdrücklich getrennt von Abschnitt 4.6 zustimmen, dass genau dieses eine Foto zusammen mit den Mess-Roh-Daten zur Verbesserung der Analyse aufbewahrt wird. Diese Einwilligung gilt nur für den jeweiligen Scan, ist standardmäßig deaktiviert und wird nur auf Ihre aktive Bestätigung hin erteilt.

Was gespeichert wird: Das Foto des konkreten Scans (separat zum Pfad aus 4.6) sowie eine Begleitdatei mit den damaligen Roh-Mess-Werten, den Biomarker-Scores, der Algorithmus-Version, dem von Ihnen markierten "stimmt nicht"-Wert und Ihrem optionalen Freitext-Kommentar. Beides liegt auf unseren EU-Servern (Hetzner, Deutschland) in einem dedizierten Speicherbereich.

Zweck: Die Korrektur-Datensätze werden ausschließlich verwendet, um Schwellenwerte einzelner Biomarker-Detektoren nachzujustieren und systematische Abweichungen zwischen Score und Hautgefühl zu identifizieren. Es findet keine Weitergabe an Dritte und keine automatisierte Einzelfallentscheidung statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche, scan-bezogene Einwilligung), getrennt von der Einwilligung aus Abschnitt 4.6.

Speicherdauer: Bis Sie die Einwilligung widerrufen oder Ihr Konto löschen.

Kontrolle: Sie können in den Profileinstellungen unter "ML-Training & Feedback" jederzeit alle aufbewahrten Feedback-Fotos auf einmal löschen. Der Widerruf wirkt sofort.

Weitergabe: Feedback-Fotos werden niemals öffentlich geteilt oder an Dritte weitergegeben.

5. Gesundheitsdaten (Apple Health)

Wenn Sie Apple Health verbinden, können wir auf folgende Daten zugreifen:

  • Schlafdauer
  • Schrittzahl
  • Herzfrequenz
  • Weitere Gesundheitswerte, die Sie freigeben

Verarbeitung: Gesundheitsdaten werden nur mit Ihrer ausdrücklichen Erlaubnis auf unsere EU-Server synchronisiert.

Zweck: Um Lebensstilfaktoren mit Ihren Gesichtsscan-Ergebnissen zu korrelieren und personalisierte Erkenntnisse zu liefern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung)

Kontrolle: Sie können Apple Health jederzeit in den App-Einstellungen trennen. Nach der Trennung stoppen wir die Synchronisierung neuer Gesundheitsdaten.

Löschung: Gesundheitsdaten werden gelöscht, wenn Sie Ihr Konto löschen.

5.5 Standort- und Wetterdaten

Wenn Sie die Funktion Standort & Wetter aktivieren, fordert EYVO Zugriff auf Ihren Gerätestandort an (nur "Während der Nutzung"), um lokale Wetterbedingungen über die Open-Meteo API abzurufen, einen kostenlosen, quelloffenen Wetterdienst.

Was wir erfassen

  • Temperatur, Luftfeuchtigkeit und UV-Index für Ihren Standort (einmal täglich)
  • Eine allgemeine Wetterbeschreibung (z. B. "Sonnig", "Bewölkt")

Was wir NICHT erfassen

  • Ihre GPS-Koordinaten werden niemals auf unseren Servern gespeichert
  • Ihr Standort wird niemals an Dritte weitergegeben
  • Wir verfolgen weder Ihre Bewegungen noch Ihren Standortverlauf

Funktionsweise: Ihr Gerät ruft Wetterdaten direkt von der Open-Meteo API unter Verwendung Ihrer aktuellen Koordinaten ab. Nur die resultierenden Wetterwerte (Temperatur, Luftfeuchtigkeit, UV-Index) werden an unsere Server gesendet und zusammen mit Ihren Gesundheitsdaten gespeichert. Ihre Koordinaten werden unmittelbar nach der Wetterabfrage verworfen.

Zweck: Um Umweltfaktoren (Temperatur, Luftfeuchtigkeit, UV-Belastung) mit Ihrer Hautgesundheit im Zeitverlauf zu korrelieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre ausdrückliche Einwilligung)

Kontrolle: Sie können Standort & Wetter jederzeit in den Profileinstellungen deaktivieren. Bereits gespeicherte Wetterdaten bleiben erhalten, bis Sie Ihr Konto löschen.

Drittanbieterdienst: Open-Meteo (https://open-meteo.com) ist eine kostenlose, quelloffene Wetter-API. Sie erhält Ihre Koordinaten für die Wetterabfrage, speichert diese jedoch nicht und verknüpft sie nicht mit Ihrer Identität. Open-Meteo betreibt Server in der EU.

6. Abonnements und Zahlungen

Zahlungen werden direkt von Apple über StoreKit abgewickelt. Wir erhalten oder speichern keine Zahlungsinformationen (Kreditkartennummern, Bankdaten).

Wir erhalten von Apple lediglich:

  • Abonnementstatus (aktiv/abgelaufen/Testphase)
  • Produktkennung des Kaufs
  • Ablaufdatum
  • Transaktionskennungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Bei zahlungsbezogenen Anfragen wenden Sie sich bitte direkt an Apple oder verwalten Sie Ihr Abonnement in den App-Store-Einstellungen Ihres Geräts.

7. Altersanforderung

EYVO ist für Nutzer ab 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Nutzern unter 16 Jahren. Wenn Sie glauben, dass ein Kind unter 16 Jahren uns personenbezogene Daten zur Verfügung gestellt hat, kontaktieren Sie uns bitte unter privacy@eyvo.health.

8. Hosting

Unsere Dienste werden gehostet von:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Die gesamte Datenverarbeitung erfolgt innerhalb der Europäischen Union. Hetzner überträgt keine Daten außerhalb der EU.

Weitere Informationen: https://www.hetzner.com/legal/privacy-policy

9. DNS und CDN

Unser Domain-DNS und die Inhaltsauslieferung werden verwaltet von:

BunnyWay d.o.o. (bunny.net)
Dunajska cesta 165
1000 Ljubljana
Slowenien

bunny.net ist ein EU-basiertes Unternehmen, das sich vollständig der DSGVO-Konformität verpflichtet hat. IP-Anonymisierung ist standardmäßig aktiviert. Alle Protokolle werden innerhalb der EU gespeichert.

Weitere Informationen: https://bunny.net/privacy/

10. E-Mail-Dienst

Für den Versand von E-Mails (Kontoverifizierung, Benachrichtigungen) nutzen wir:

Lettermint B.V.
Niederlande

Lettermint ist ein vollständig EU-basierter E-Mail-Dienst. Alle Server befinden sich in den Niederlanden. Es werden keine Daten außerhalb der Europäischen Union übertragen.

Verarbeitete Daten: E-Mail-Adresse, Registrierungszeitpunkt, Öffnungsraten (anonymisiert).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Diensterbringung)

Weitere Informationen: https://lettermint.co/legal/privacy

11. Analytik (TelemetryDeck)

Wir verwenden TelemetryDeck für datenschutzfreundliche Produktanalytik, um zu verstehen, wie Nutzer mit der App interagieren, und das Erlebnis zu verbessern.

TelemetryDeck GmbH
Von-der-Tann-Str. 54
86159 Augsburg, Deutschland

TelemetryDeck ist ein deutsches Unternehmen, das alle Daten in Deutschland verarbeitet. Es werden keine personenbezogenen Daten erhoben oder übertragen. Nutzerkennungen werden vor der Übertragung doppelt gehasht, was eine Re-Identifizierung unmöglich macht.

11.1 Was TelemetryDeck erfasst

  • Anonyme Nutzungsereignisse (z. B. "Scan abgeschlossen", "Journal gespeichert", "Bildschirm angezeigt")
  • Gerätetyp und Betriebssystem
  • Nicht abgefangene Ausnahmen zur Fehlerverfolgung (nur Fehlertyp und -meldung)

11.2 Was TelemetryDeck NICHT erhält

  • Gesichtsfotos oder Scan-Bilder
  • Gesundheitsdaten von Apple Health
  • Journaleinträge oder persönliche Notizen
  • Biomarker-Werte oder EYVO-Score-Werte
  • Ihre E-Mail-Adresse, Ihren Namen oder persönliche Kennungen
  • Ihre Abonnementstufe oder Kontodetails

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes)

Weitere Informationen: https://telemetrydeck.com/privacy

11.3 Website-Analytik (Umami)

Für unsere Website (eyvo.health) und das Nutzer-Dashboard verwenden wir Umami, eine datenschutzfreundliche, quelloffene Web-Analytik-Lösung.

Selbst gehostet: Umami läuft auf unserer eigenen Infrastruktur bei Hetzner in Deutschland. Es werden keine Daten an Dritte übertragen.

Was Umami erfasst

  • Seitenaufrufe und besuchte URLs
  • Verweisquellen (Referrer)
  • Browsertyp und Betriebssystem
  • Gerätetyp (Desktop, Mobil, Tablet)
  • Land (abgeleitet aus der IP-Adresse, die IP selbst wird nicht gespeichert)

Was Umami NICHT erfasst

  • Cookies oder gerätespezifische Kennungen
  • IP-Adressen (werden nicht gespeichert oder weitergegeben)
  • Persönliche Daten, Namen oder E-Mail-Adressen
  • Seitenübergreifendes Tracking oder Fingerprinting

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung unserer Website)

Umami ist cookiefrei und DSGVO-konform ohne Einwilligungsbanner. Weitere Informationen: https://umami.is/privacy

12. KI-generierte Erkenntnisse

EYVO nutzt künstliche Intelligenz, um personalisierte Gesundheitserkenntnisse auf Basis Ihrer Scan- und Lebensstildaten zu generieren.

12.1 KI-Dienstanbieter

Wir verwenden Mistral AI für die Textgenerierung:

Mistral AI SAS
15 rue des Halles
75001 Paris
Frankreich

Mistral AI ist ein EU-basiertes Unternehmen. Die gesamte Datenverarbeitung erfolgt innerhalb der Europäischen Union.

Weitere Informationen: https://mistral.ai/terms/#privacy-policy

12.2 Was wir an den KI-Dienst senden

Wir senden ausschließlich aggregierte, anonymisierte numerische Daten:

  • Numerische Biomarker-Werte (z. B. Textur: 75/100, Rötung: 60/100)
  • Gesamter EYVO Score (0 bis 100)
  • Trendrichtungen (steigend, stabil, fallend)
  • Aggregierte Aktivitätsstatistiken (z. B. "5 Scans diese Woche", "3 aktive Tage")
  • Lebensstilfaktor-Bezeichnungen, die in Korrelationen verwendet werden (z. B. "sleep_hours", "caffeine_cups"), nicht Ihre individuellen Messwerte
  • Statistische Korrelationswerte (Richtung, Stärke, Konfidenzniveau)

12.3 Was wir niemals an den KI-Dienst senden

  • Ihren Namen, Ihre E-Mail-Adresse oder andere personenbezogene Informationen
  • Ihre Benutzer-ID oder Kontokennungen
  • Gesichtsfotos oder Gesichtseinbettungen
  • Ihre IP-Adresse, Ihren Standort oder Gerätedaten
  • Rohe Gesundheitsdaten von Apple Health
  • Journaleinträge oder persönliche Notizen

12.4 Zweck

Zur Erstellung personalisierter Textzusammenfassungen, Wochenberichte und Lebensstilempfehlungen auf Basis Ihrer aggregierten Gesundheitsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Bereitstellung des abonnierten Dienstes)

12.5 KI-Chat (Clara)

EYVO enthält Clara, deine KI-Hautbegleiterin für Fragen zu deiner Haut. Clara verwendet denselben oben beschriebenen Mistral-AI-Dienst.

Was wir speichern

  • Ihre Chat-Nachrichten und Claras Antworten
  • Sitzungsmetadaten (Ihr Datenstadium, anonymisierter Kontext-Snapshot)

Zweck

Chat-Daten werden gespeichert, um Claras Antwortqualität zu analysieren und zu verbessern, beispielsweise um häufig gestellte Fragen zu identifizieren, schlechte Antworten zu erkennen und den KI-System-Prompt zu verbessern.

Einwilligung

Chat-Analysen werden nur gespeichert, wenn Sie KI-Erkenntnisse in der App ausdrücklich aktiviert haben. Das Deaktivieren von KI-Erkenntnissen stoppt alle Chat-Funktionen und die Datenerfassung.

Aufbewahrung

Chat-Daten werden nach 90 Tagen automatisch gelöscht. Wenn Sie Ihr Konto löschen, werden alle Chat-Daten sofort dauerhaft gelöscht.

Was wir niemals aus Chats speichern

  • Ihren Namen, Ihre E-Mail-Adresse oder persönliche Kennungen in Chat-Protokollen
  • Chat-Daten von Nutzern, die KI-Erkenntnisse nicht aktiviert haben

12.6 Wichtiger Hinweis

KI-generierte Erkenntnisse dienen ausschließlich Informationszwecken. Sie stellen keine medizinische Beratung, Diagnose oder Behandlungsempfehlung dar. Die KI ist ausdrücklich angewiesen, niemals medizinische Diagnosen zu stellen oder Medikamente zu empfehlen.

13. Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, verwenden wir den Apple Push Notification Service (APNs), um Erinnerungen und Updates zu übermitteln. Wir speichern einen Geräte-Token zum Senden von Benachrichtigungen. Sie können Benachrichtigungen jederzeit in Ihren Geräteeinstellungen deaktivieren.

14. Server-Protokolle und Backups

Wenn Sie unsere Dienste nutzen, erfassen unsere Server automatisch:

  • IP-Adresse (nach 7 Tagen anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Endpunkte
  • Gerätetyp und Betriebssystem

Diese Daten werden ausschließlich für den technischen Betrieb, die Sicherheit und die Fehlerbehebung verwendet. Sie werden nicht mit anderen Datenquellen zusammengeführt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)

Aufbewahrung Server-Protokolle: 7 Tage, danach gelöscht oder anonymisiert.

Aufbewahrung Anwendungs-Logs (Vector): 30 Tage, danach automatisch rotiert und überschrieben.

Backups: Verschlüsselte Datenbank-Backups werden auf EU-Servern (Hetzner, Deutschland) gespeichert und nach 35 Tagen rollierend überschrieben. Im Falle einer Kontolöschung werden personenbezogene Daten aus aktiven Systemen unverzüglich entfernt; in Backups werden sie durch die Rotation innerhalb von 35 Tagen unzugänglich. Gemäß Art. 17 Abs. 3 lit. b DSGVO ist eine Wiederherstellung zum Zweck der Wiederverwendung ausgeschlossen.

15. Cookies

Wir verwenden keine Marketing-Cookies oder Werbe-Cookies.

Wir können technisch notwendige Sitzungs-Cookies für die Authentifizierung verwenden. Diese speichern keine personenbezogenen Daten über Ihre Sitzung hinaus und werden gelöscht, wenn Sie sich abmelden oder die App schließen.

TelemetryDeck ist cookielos und speichert keinen Gerätekennzeichner oder Tracking-Cookie. Umami (unsere Website-Analytik) ist ebenfalls vollständig cookiefrei.

16. Drittanbieterdienste

Wir verwenden nicht:

  • Google Analytics
  • Facebook Pixel
  • Jegliche Werbe- oder Retargeting-Dienste

Wir verwenden TelemetryDeck (deutsches Unternehmen, Augsburg) für anonyme Produktanalytik, wie in Abschnitt 11 beschrieben. TelemetryDeck verwendet doppelt gehashte Kennungen und erhebt keine personenbezogenen Daten.

17. Unterauftragsverarbeiter

Wir setzen die folgenden Unterauftragsverarbeiter zur Erbringung unserer Dienste ein. Wir haben mit jedem Unterauftragsverarbeiter gemäß Art. 28 DSGVO Auftragsverarbeitungsverträge (AVVs) abgeschlossen:

  • Hetzner Online GmbH (Deutschland): Server-Hosting, S3-Speicher, Datenbank-Hosting
  • Mistral AI SAS (Frankreich): KI-Textgenerierung für Erkenntnisse und Clara-Chat
  • BunnyWay d.o.o. / bunny.net (Slowenien): DNS-Verwaltung und CDN
  • Lettermint B.V. (Niederlande): Transaktionaler E-Mail-Versand
  • Soverin B.V. (Niederlande): E-Mail-Hosting für @eyvo.health-Postfächer. Verarbeitet E-Mail-Metadaten (Absender, Empfänger, Betreff, Zeitstempel) und E-Mail-Inhalte für Firmen-E-Mail-Konten einschließlich privacy@eyvo.health, der Kontaktadresse für DSGVO-Betroffenenanfragen. Die Auftragsverarbeitungsvereinbarung ist gemäß Art. 28 DSGVO in Soverins Datenschutzerklärung integriert. Alle Daten werden in den Niederlanden (EU) gespeichert.
  • Zeeg GmbH (Deutschland): Terminvereinbarung für externe Meetings. Verarbeitet Name, E-Mail-Adresse und optional Telefonnummer von Personen, die Termine über EYVOs Buchungslinks buchen. Unterauftragsverarbeiter: Open Telekom Cloud (Deutschland/Niederlande) für Hosting, Brevo/Sendinblue GmbH (Berlin, Deutschland) für Buchungsbestätigungs-E-Mails. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Alle Daten werden in der EU verarbeitet.
  • TelemetryDeck GmbH (Deutschland): Anonyme Produktanalytik
  • Open-Meteo (EU): Wetter-API. Das Gerät des Nutzers ruft Wetterdaten direkt mit den aktuellen Koordinaten ab. Open-Meteo speichert die Koordinaten nicht. Es wird kein personenbezogener Datensatz übermittelt oder dauerhaft gespeichert; eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ist daher nicht erforderlich.
  • Apple Inc. (USA, covered by EU-US Data Privacy Framework): Zahlungsabwicklung über StoreKit, Push-Benachrichtigungen über APNs

Alle Unterauftragsverarbeiter außer Apple haben ihren Sitz in der Europäischen Union. Apple verarbeitet nur Abonnement-Metadaten und Geräte-Tokens. Gesundheitsdaten, Gesichtsdaten oder persönliche Inhalte werden nicht über das für die Zahlungs- und Benachrichtigungszustellung Erforderliche hinaus an Apple weitergegeben.

Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage unter privacy@eyvo.health erhältlich.

18. Internationale Datenübertragungen

Wir haben EYVO mit einer ausschließlich EU-basierten Datenverarbeitungskette konzipiert. Alle personenbezogenen Daten, Gesundheitsdaten und biometrischen Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert.

Gesichtsfotos, Gesichtseinbettungen, Gesundheitsdaten oder Journaleinträge werden nicht in Länder außerhalb der EU/des EWR übertragen. Die einzige Ausnahme sind minimale Metadaten, die mit Apple für die Abonnementverwaltung und Push-Benachrichtigungen ausgetauscht werden, was durch Apples EU-Datenverarbeitungszusagen abgedeckt ist.

19. Datenschutz-Folgenabschätzung

Aufgrund der Verarbeitung biometrischer Daten (Gesichtseinbettungen) und Gesundheitsdaten haben wir eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchgeführt. Die DSFA bewertet die Erforderlichkeit, Verhältnismäßigkeit und Risiken unserer Datenverarbeitungsaktivitäten. Wesentliche Ergebnisse:

  • Gesichtseinbettungen sind für die Kontointegritätssicherung erforderlich und können in unserem spezifischen Anwendungsfall nicht durch weniger eingreifende Methoden ersetzt werden
  • Die gesamte biometrische Verarbeitung erfolgt auf EU-basierter Infrastruktur ohne Zugriff Dritter
  • Nutzer erteilen eine ausdrückliche, informierte, granulare Einwilligung, bevor biometrische Daten generiert werden
  • Technische Schutzmaßnahmen (Verschlüsselung im Ruhezustand, TLS bei der Übertragung, Zugriffskontrollen) mindern Restrisiken
  • Die automatische Löschung nach 36 Monaten Inaktivität beschränkt die Datenspeicherung auf das Erforderliche

Die DSFA wird jährlich oder bei wesentlichen Änderungen der Datenverarbeitungsaktivitäten überprüft. Eine Zusammenfassung ist auf Anfrage unter privacy@eyvo.health erhältlich.

20. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellt, werden wir:

  • Die zuständige Aufsichtsbehörde (ULD Schleswig-Holstein) innerhalb von 72 Stunden nach Bekanntwerden der Verletzung gemäß Art. 33 DSGVO benachrichtigen
  • Betroffene Nutzer unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten darstellt, gemäß Art. 34 DSGVO
  • Die Verletzung, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen dokumentieren

Da EYVO biometrische und Gesundheitsdaten verarbeitet, wenden wir erhöhte Verfahren zur Erkennung und Reaktion auf Datenschutzverletzungen an. Jeder unbefugte Zugriff auf Gesichtsdaten oder Gesundheitsdaten wird als Hochrisikoverletzung behandelt, die eine Nutzerbenachrichtigung erfordert.

21. Zusammenfassung der Datenspeicherung

Wir speichern Ihre Daten nur so lange, wie es für die in dieser Erklärung beschriebenen Zwecke erforderlich ist:

  • Kontodaten: Bis zur Kontolöschung
  • Gesichtsfotos: Gemäß Ihrer Foto-Aufbewahrungseinstellung (Sofort, 24 Stunden, 7 Tage, 30 Tage oder bis zur Kontolöschung)
  • Fotos für Analyseverbesserung: Bis zum Widerruf der Fotoverarbeitungs-Einwilligung oder bis zur Kontolöschung
  • Biomarker-Werte: Bis zur Kontolöschung
  • Gesichtseinbettungen: Bis zur Kontolöschung oder 36 Monate Inaktivität (je nachdem, was zuerst eintritt)
  • Gesundheitsdaten (Apple Health): Bis zur Kontolöschung oder Trennung von Apple Health
  • Wetterdaten: Bis zur Kontolöschung
  • KI-Chat-Gespräche: 90 Tage, danach automatisch gelöscht
  • Server-Protokolle: 7 Tage, danach gelöscht oder anonymisiert
  • Abonnement-Metadaten: Bis zur Kontolöschung

Nach der Kontolöschung werden alle personenbezogenen Daten dauerhaft und unwiderruflich aus allen Systemen, einschließlich Backups, innerhalb von 30 Tagen entfernt.

22. Ihre Rechte

Nach der DSGVO haben Sie das Recht auf:

  • Auskunft: Eine Kopie Ihrer Daten anfordern (Art. 15)
  • Berichtigung: Unrichtige Daten korrigieren lassen (Art. 16)
  • Löschung: Die Löschung Ihrer Daten verlangen (Art. 17)
  • Einschränkung: Die Verarbeitung Ihrer Daten einschränken lassen (Art. 18)
  • Datenübertragbarkeit: Ihre Daten in einem portablen Format erhalten (Art. 20)
  • Widerspruch: Der Verarbeitung widersprechen (Art. 21)
  • Widerruf der Einwilligung: Jederzeit, ohne Auswirkung auf die vorherige Verarbeitung (Art. 7 Abs. 3)

Um Ihre Rechte auszuüben, kontaktieren Sie uns unter: privacy@eyvo.health

Wir werden innerhalb von 30 Tagen antworten. Wenn wir mehr Zeit benötigen (bis zu 60 zusätzliche Tage bei komplexen Anfragen), werden wir Sie innerhalb der ersten 30 Tage unter Angabe des Grundes für die Verzögerung informieren.

23. Kontolöschung

Sie können Ihr Konto jederzeit in den App-Einstellungen löschen. Wenn Sie Ihr Konto löschen:

  • Werden alle Gesichtsbilder dauerhaft aus dem S3-Speicher gelöscht
  • Werden alle Gesichtseinbettungen dauerhaft gelöscht
  • Werden alle Gesundheitsdaten dauerhaft gelöscht
  • Werden alle Journaleinträge dauerhaft gelöscht
  • Werden alle KI-Chat-Gespräche dauerhaft gelöscht
  • Werden alle personenbezogenen Daten dauerhaft gelöscht
  • Wird Ihre E-Mail-Adresse aus unseren Systemen und vom E-Mail-Dienstanbieter entfernt

Dieser Vorgang ist unwiderruflich und wird innerhalb von 30 Tagen über alle Systeme einschließlich Backups abgeschlossen. Einige anonymisierte, aggregierte statistische Daten (z. B. Gesamtzahl der Scans) können beibehalten werden, da sie nicht auf Sie zurückgeführt werden können.

24. Datensicherheit

Wir setzen umfassende technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um:

24.1 Verschlüsselung

  • Bei der Übertragung: Alle zwischen Ihrem Gerät und unseren Servern übertragenen Daten werden mit TLS 1.3 (HTTPS) verschlüsselt. Die interne Dienst-zu-Dienst-Kommunikation läuft über isolierte private Netzwerke.
  • Authentifizierungs-Tokens: Refresh-Tokens werden im sicheren Bereich Ihres Geräts (iOS Keychain / Android Keystore) gespeichert, geschützt durch hardwarebasierte Verschlüsselung.
  • Passwörter: Benutzerpasswörter werden mit branchenüblichen adaptiven Hashing-Algorithmen gehasht. Wir speichern niemals Klartext-Passwörter.
  • API-Schlüssel: Alle Dienst-zu-Dienst-API-Schlüssel werden als kryptografische Hashes gespeichert. Rohschlüssel werden niemals protokolliert oder dauerhaft gespeichert.

24.2 Zugriffskontrolle

  • Nutzerdatenisolierung: Jede Datenbankabfrage enthält Ihre authentifizierte Benutzer-ID. Nutzer können nur auf ihre eigenen Daten zugreifen. Die Abfrage der Daten eines anderen Nutzers liefert "nicht gefunden", sodass nicht einmal die Existenz anderer Datensätze bestätigt werden kann.
  • Bildzugriff: Gesichtsscan-Bilder werden in privatem Cloud-Speicher in Deutschland gespeichert. Bilder sind niemals öffentlich zugänglich. Der Zugriff erfordert eine kryptografisch signierte, kurzlebige URL, die nur von unserem authentifizierten Backend generiert werden kann.
  • Datenbankisolierung: Unsere Datenbank ist nicht über das öffentliche Internet zugänglich. Sie läuft in einem privaten Netzwerk, auf das nur unsere Anwendungsserver zugreifen können.
  • Serverzugriff: Der administrative Serverzugriff erfordert SSH-Schlüsselauthentifizierung. Passwortbasierte Anmeldung ist deaktiviert.

24.3 Biometrische Sicherheit

  • Lebenderkennung: Jeder Gesichtsscan überprüft, dass eine echte, lebende Person vor der Kamera ist, kein Foto, Video oder keine Maske.
  • Anti-Spoofing: Maschinelle Lernmodelle erkennen Manipulationsversuche in Echtzeit während jedes Scan-Frames.
  • Identitätsdurchsetzung: Ein Gesicht pro Konto, ein Konto pro Person. Gesichtseinbettungen können nicht kontoübergreifend verwendet werden.
  • Sicherheitsschwellenwerte: Scans, die die Lebenderkennung oder Anti-Spoofing-Prüfungen nicht bestehen, werden automatisch blockiert, bevor Daten verarbeitet werden.

24.4 Überwachung und Audit

  • Alle administrativen Aktionen werden in einem unveränderlichen Audit-Protokoll aufgezeichnet (wer, was, wann, IP-Adresse).
  • Rollenbasierte Zugriffskontrollen beschränken, was jeder Administrator sehen und tun kann.
  • Mehrschichtige Ratenbegrenzung schützt vor Brute-Force-Angriffen auf alle Endpunkte.
  • Regelmäßige Sicherheitsupdates und Abhängigkeitsprüfungen werden für alle Dienste durchgeführt.

24.5 Datenlöschung

  • Wenn Sie Ihr Konto löschen, werden alle zugehörigen Daten dauerhaft und unwiderruflich entfernt, einschließlich Scan-Bilder, Gesichtseinbettungen, Gesundheitsdaten, Journaleinträge und Analysehistorie. In Backups oder Protokollen verbleiben keine Restdaten.

24.6 Datenstandort

  • Alle Server befinden sich in Deutschland.
  • Die KI-Textgenerierung wird in Frankreich verarbeitet.
  • Personenbezogene Daten, Gesundheitsdaten oder biometrische Daten verlassen niemals die Europäische Union.

25. Datenschutzbeauftragter

Ninety Labs UG (haftungsbeschränkt) ist nach § 38 BDSG in Verbindung mit Art. 37 DSGVO nicht zur Benennung eines Datenschutzbeauftragten verpflichtet, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und keine Kerntätigkeit in einer umfangreichen, regelmäßigen und systematischen Überwachung betroffener Personen oder in einer umfangreichen Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 DSGVO besteht, die eine Benennung zwingend erforderlich machen würde. Eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) wurde für die Verarbeitung biometrischer Daten durchgeführt.

Für alle datenschutzbezogenen Anliegen erreichen Sie uns unter privacy@eyvo.health.

26. Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen.

Für Deutschland:
Der Landesbeauftragte für Datenschutz Schleswig-Holstein (ULD)
https://www.datenschutzzentrum.de

Liste der EU-Behörden: https://edpb.europa.eu/about-edpb/about-edpb/members_en

27. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Praktiken oder gesetzlicher Anforderungen widerzuspiegeln. Das Datum "Zuletzt aktualisiert" oben gibt die letzte Überarbeitung an. Wir werden Sie über wesentliche Änderungen per E-Mail oder In-App-Benachrichtigung informieren. Wenn Änderungen die Verarbeitung biometrischer oder Gesundheitsdaten betreffen, werden wir eine erneute Einwilligung einholen, soweit gesetzlich erforderlich.

28. Kontakt

Bei datenschutzbezogenen Fragen oder Anfragen:

E-Mail: privacy@eyvo.health

Diese Datenschutzerklärung wurde in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union erstellt.