Datenschutzerklärung

1. Wer wir sind

NYRO wird betrieben von Niklas Roznowski (der „Betreiber“, „wir“, „uns“) mit Sitz in Basel, Schweiz. Der Betreiber ist Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und Art. 5 lit. j des Schweizer Bundesgesetzes über den Datenschutz („nDSG“) für sämtliche personenbezogene Daten, die über die mobile Anwendung NYRO (die „App“) verarbeitet werden.

Obwohl der Betreiber in der Schweiz ansässig ist, richtet sich die App an Nutzerinnen und Nutzer in der Europäischen Union (insbesondere Deutschland und Österreich). Die DSGVO findet daher gemäß Art. 3 Abs. 2 DSGVO auf Verarbeitungstätigkeiten Anwendung, die sich an Personen in der EU/dem EWR richten — zusätzlich zum Schweizer nDSG.

Wir haben keinen Datenschutzbeauftragten benannt, da die Voraussetzungen nach Art. 37 DSGVO bzw. Art. 10 nDSG für unsere Verarbeitungstätigkeiten nicht vorliegen.

2. Welche Daten wir erheben

Wir erheben nur die Daten, die zum Betrieb der App erforderlich sind. Im Einzelnen:

Kontodaten

• Eine stabile Kennung („Apple sub“), die von „Mit Apple anmelden“ zurückgegeben wird, wenn du dein Konto erstellst oder nutzt. Diese Kennung ist eindeutig für NYRO und deine Apple-ID.
• Optional: Name und E-Mail-Adresse, die du über „Mit Apple anmelden“ teilst. Du kannst Apples Funktion „E-Mail verbergen“ nutzen; in diesem Fall erhalten wir nur eine Relay-Adresse.

Trainingsdaten

• Workout-Sitzungen, die du protokollierst: Übungen, Sätze, Wiederholungen, Gewichte, Dauer, wahrgenommene Anstrengung (RPE), Notizen und Zeitstempel.
• Routinen, Programme und Pläne, die du erstellst.
• Körpermessungen, die du eingibst (Gewicht, Körperfett, Umfänge etc.).
• Eigene Übungen, die du zu deiner Bibliothek hinzufügst.
• Trainingsziele und Präferenzen, die du beim Onboarding oder in den Einstellungen festlegst.

Apple-Health-Daten (nur wenn du Apple Health verbindest)

• Lesezugriff: Herzfrequenzvariabilität (HRV/SDNN), Ruheherzfrequenz, Schlafanalyse, Körpergewicht, Herzfrequenz während des Trainings.
• Schreibzugriff: Abgeschlossene Workouts (HKWorkout), Körpergewichts-Einträge, Aktivitätskalorien-Schätzungen.

Siehe Abschnitt 6 für unsere konkreten Zusicherungen zu Health-Daten.

Technische Daten

• Absturzberichte, die über Firebase Crashlytics erfasst werden (Stack Traces, Gerätemodell, Betriebssystemversion, anonymisierte Installations-ID).
• Aggregierte, pseudonymisierte Nutzungsereignisse, die über Firebase Analytics erfasst werden (z. B. „workout_started“, „onboarding_completed“).
• Standard-Server-Logs, wenn dein Gerät mit unserem Backend kommuniziert (IP-Adresse — wird ausschließlich zu Sicherheitszwecken verwendet und nicht über die berechtigte Aufbewahrungsdauer unserer Auftragsverarbeiter hinaus gespeichert).

Freiwillige Daten

• Nachrichten, die du über die In-App-Feedback-Funktion einreichst.

3. Wie wir deine Daten verwenden

Wir verwenden deine Daten, um:

• die Kernfunktionalität der App bereitzustellen: Workouts zu tracken, Fortschritt anzuzeigen, Analysen und Insights zu berechnen.
• deine Trainingsdaten geräteübergreifend über dein Konto zu synchronisieren.
• den Training Readiness Score zu berechnen und Vorschläge auf Basis von Apple-Health-Signalen (HRV / Ruheherzfrequenz / Schlaf) anzupassen, sofern verbunden.
• auf Anfrage Workout-Vorschläge über unseren KI-Workout-Generator zu erstellen (siehe Abschnitt 7 — Anthropic).
• Abstürze und Bugs zu erkennen, zu diagnostizieren und zu beheben.
• aggregiert nachzuvollziehen, wie die App genutzt wird, um sie zu verbessern.
• auf Feedback und Support-Anfragen zu antworten.

Wir verwenden deine Daten nicht für Werbung, nicht für Profilbildung über das oben Beschriebene hinaus, und wir verkaufen sie nicht an Dritte.

4. Rechtsgrundlagen der Verarbeitung (DSGVO)

Wir verarbeiten deine personenbezogenen Daten auf folgenden Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Kontoerstellung, Synchronisation der Trainingsdaten, Bereitstellung der Kernfunktionalität, für die du dich registriert hast.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Auslesen von Apple-Health-Daten (HRV / Ruheherzfrequenz / Schlaf / Körpergewicht / Herzfrequenz) — du erteilst diese über das Apple-Health-Berechtigungsfenster und kannst sie jederzeit unter iOS-Einstellungen → Datenschutz & Sicherheit → Health → NYRO widerrufen. KI-generierte Workout-Vorschläge, sofern du sie auslöst.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Absturzdiagnose, aggregierte Nutzungsanalyse zur Produktverbesserung sowie Sicherheits-Logging. Unser berechtigtes Interesse liegt im Betrieb, in der Sicherheit und in der kontinuierlichen Verbesserung der App. Du kannst der Verarbeitung jederzeit widersprechen (siehe Abschnitt 11).

5. Wo deine Daten gespeichert werden

Auf deinem Gerät

• Alle Trainingsdaten werden zunächst lokal gespeichert. Die App ist vollständig offline funktionsfähig.
• Lokale Dateien liegen im iOS Application Support und im Standard-Sandboxing.

Auf unserem Backend (Supabase)

• Wenn du angemeldet bist, werden Trainingsdaten (Workout-Verlauf, Routinen, Programme, Körpermessungen, eigene Übungen, Trainingsziele, Profil) zu Supabase als Backup und für Multi-Device-Nutzung synchronisiert.
• Supabase-Daten werden in Dublin, Irland (AWS eu-west-1) gehostet — innerhalb der EU/des EWR.
• Apple-Health-Daten (HRV / Ruheherzfrequenz / Schlaf) werden NIE auf unser Backend übertragen. Sie werden ausschließlich auf dem Gerät ausgelesen.

Absturz- und Analysedaten

• Absturzberichte werden von Firebase Crashlytics (Google) verarbeitet.
• Pseudonymisierte Nutzungsereignisse werden von Firebase Analytics (Google) verarbeitet.
• Beide unterliegen den Hinweisen zu internationalen Datentransfers in Abschnitt 8.

6. Apple-Health-Daten

NYRO kann ausgewählte Werte aus Apple Health auslesen, um den Training Readiness Score zu berechnen und Recovery-bewusstes Coaching anzuzeigen. Apples Health-Framework verlangt von uns folgende Zusicherungen, die wir einhalten:

• Wir werden Apple-Health-Daten niemals für Werbe- oder Marketingzwecke verwenden.
• Wir werden deine Apple-Health-Daten niemals an Dritte (einschließlich unseres eigenen Backends) weitergeben, verkaufen oder übertragen.
• Apple-Health-Daten, die wir auslesen, verbleiben auf deinem Gerät. Wir verwenden sie ausschließlich, um die in der App angezeigten Werte zu berechnen.
• Aggregierte Apple-Health-Daten (z. B. Baseline-Werte für die Score-Berechnung) können aus Performance-Gründen lokal auf dem Gerät zwischengespeichert werden. Sie verlassen das Gerät nie.
• Du kannst den Zugriff auf Apple Health jederzeit unter iOS-Einstellungen → Datenschutz & Sicherheit → Health → NYRO widerrufen. Die App degradiert sauber — Funktionen, die auf Health-Daten beruhen, werden einfach ausgeblendet oder fallen auf Alternativen zurück.

Wir können deine abgeschlossenen Workouts und Körpergewichts-Einträge auch in Apple Health zurückschreiben, sofern du die Schreibberechtigung erteilst, damit sie in deinen Aktivitätsringen und der Health-Timeline erscheinen.

7. Externe Auftragsverarbeiter

Wir nutzen folgende Dienstleister („Auftragsverarbeiter“) für den Betrieb der App:

• Apple Inc. — Mit Apple anmelden (Authentifizierung), HealthKit (Health-Framework), App Store (Vertrieb und In-App-Käufe). Es gilt Apples Datenschutzerklärung.
• Supabase Inc. — Backend-Datenbank, Authentifizierung, Dateispeicher. Speichert deine kontogebundenen Trainingsdaten. Gehostet in Dublin, Irland (AWS eu-west-1).
• Google LLC (Firebase) — Absturzberichte (Crashlytics) und Produktanalyse (Analytics). Verarbeitet Absturz-Payloads und aggregierte Nutzungsereignisse.
• Anthropic, PBC — KI-Workout-Generierung. Wenn du ein KI-generiertes Workout anforderst, werden deine Geräteauswahl, dein Trainingsziel und (optional) ein Freitext-Eingabefeld an Anthropics Claude-API gesendet, um eine Workout-Struktur zu erzeugen. Wir senden weder deinen Trainingsverlauf noch deine Identität noch Apple-Health-Daten. Anthropic verarbeitet die Anfrage und gibt eine strukturierte Antwort zurück. Gemäß Anthropics API-Richtlinie werden Prompts nicht zum Training ihrer Modelle verwendet.

Wir verkaufen deine Daten nicht, geben sie nicht an Datenhändler weiter und verwenden sie nicht für Werbung. Mit jedem Auftragsverarbeiter besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

8. Internationale Datentransfers

Einige unserer Auftragsverarbeiter (Google / Firebase, ggf. Anthropic) betreiben Server außerhalb des Europäischen Wirtschaftsraums (EWR), unter anderem in den Vereinigten Staaten.

Bei Datentransfers in Länder ohne EU-Angemessenheitsbeschluss stützen wir uns auf die EU-Standardvertragsklauseln (SCC) sowie auf das EU-U.S. Data Privacy Framework, sofern der Empfänger sich selbst zertifiziert hat, gemäß Art. 46 DSGVO.

Du kannst Auskunft zu den konkreten Garantien eines Transfers über nyro.app@gmail.com anfragen.

9. Aufbewahrungsdauer

• Trainingsdaten: werden für die Lebensdauer deines Kontos aufbewahrt. Wenn du dein Konto löschst (Einstellungen → Erweitert → Konto löschen), werden alle Trainingsdaten innerhalb von 30 Tagen aus unserem Backend entfernt.
• Geräte-lokale Daten: bleiben gespeichert, bis du die App löschst oder Einstellungen → Erweitert → Konto löschen verwendest, was den lokalen Speicher sofort bereinigt.
• Absturzberichte: werden von Firebase Crashlytics standardmäßig 90 Tage aufbewahrt.
• Aggregierte Analyse-Ereignisse: werden von Firebase Analytics bis zu 14 Monate aufbewahrt.
• Von uns ausgelesene Apple-Health-Daten: werden von uns nie persistent gespeichert — siehe Abschnitt 6.

10. Kontolöschung

Du kannst dein Konto jederzeit direkt in der App löschen: Einstellungen → Erweitert → Konto löschen.

Diese Aktion bewirkt:

• Permanente Löschung deines Kontodatensatzes und aller Trainingsdaten in unserem Backend.
• Bereinigung aller Trainingsdaten auf deinem Gerät (Workouts, Routinen, Programme, Messungen, eigene Übungen, gecachte Health-Snapshots).
• Abmeldung und Zurücksetzen der App in den Erstinstallations-Zustand.

Einige abgeleitete Daten können kurzzeitig in Backups oder Auftragsverarbeiter-Systemen verbleiben, bevor die Löschzyklen abgeschlossen sind. Alle Auftragsverarbeiter sind verpflichtet, Löschanfragen umzusetzen.

Du kannst eine Löschung oder ein anderes der in Abschnitt 11 aufgeführten Rechte auch per E-Mail an nyro.app@gmail.com ausüben.

11. Deine Betroffenenrechte (DSGVO / nDSG)

Dir stehen in Bezug auf deine personenbezogenen Daten folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO / Art. 25 nDSG): Erhalt einer Kopie der Daten, die wir über dich gespeichert haben.
• Recht auf Berichtigung (Art. 16 DSGVO / Art. 32 Abs. 1 nDSG): Korrektur unrichtiger Daten.
• Recht auf Löschung (Art. 17 DSGVO / Art. 32 Abs. 2 nDSG): Antrag auf Löschung deiner Daten — am einfachsten über die In-App-Kontolöschung.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 nDSG): Export deiner Trainingsdaten in maschinenlesbarem Format über Einstellungen → Daten exportieren oder auf Anfrage von uns.
• Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses.
• Widerrufsrecht (Art. 7 Abs. 3 DSGVO / Art. 6 Abs. 6 nDSG): Widerruf der Einwilligung für Apple-Health-Auslesen oder KI-Funktionen jederzeit. Der Widerruf berührt die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht.
• Recht auf Beschwerde bei einer Aufsichtsbehörde:
  • Wenn du in der Schweiz wohnst, kannst du dich an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), Feldeggweg 1, CH-3003 Bern, www.edoeb.admin.ch wenden.
  • Wenn du in der EU/im EWR wohnst, hast du nach Art. 77 DSGVO das Recht, Beschwerde bei der Aufsichtsbehörde deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts der mutmaßlichen Verletzung einzulegen.

Zur Ausübung dieser Rechte kontaktiere uns unter nyro.app@gmail.com. Wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO / Art. 25 Abs. 7 nDSG).

12. Datenschutz von Kindern

NYRO ist nicht für Kinder unter 16 Jahren bestimmt, gemäß Art. 8 DSGVO. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16. Falls dir bekannt wird, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktiere uns bitte, damit wir sie löschen können.

13. Automatisierte Entscheidungsfindung & KI

NYRO verwendet algorithmische Logik zur Berechnung von Werten und Empfehlungen:

• Der Training Readiness Score ist eine deterministische Berechnung aus HRV, Ruheherzfrequenz und Schlaf gegen eine 14-Tage-Baseline.
• Der Weekly Training Score ist eine gewichtete Summe von Trainingsmetriken.
• Workout-Vorschläge können auf Anfrage von Anthropics Claude-KI generiert werden (siehe Abschnitt 7).

Diese Ausgaben dienen ausschließlich der Information. Sie entfalten keine rechtliche Wirkung und beeinträchtigen dich nicht erheblich im Sinne von Art. 22 DSGVO. Du behältst stets die Kontrolle: Du entscheidest, ob du einem Vorschlag folgst, ihn anpasst oder ignorierst.

14. Sicherheit

Wir nutzen branchenübliche Maßnahmen zum Schutz deiner Daten:

• Sämtlicher Netzwerkverkehr verwendet TLS 1.2+.
• Authentifizierungs-Tokens werden im iOS-Schlüsselbund gespeichert (verschlüsselt im Ruhezustand).
• Backend-Daten werden durch Supabase-Row-Level-Security-Richtlinien geschützt, die eine Isolation pro Nutzer durchsetzen.
• Wir folgen dem Prinzip der minimalen Berechtigung beim Zugriff auf operative Systeme.

Kein System ist absolut sicher. Falls uns eine Datenschutzverletzung bezüglich deiner Daten bekannt wird, informieren wir dich und die zuständige Aufsichtsbehörde gemäß Art. 33 / 34 DSGVO.

15. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die App weiterentwickelt oder rechtliche Anforderungen sich ändern. Bei jeder Änderung aktualisieren wir das Datum „Stand“ oben. Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir dich vor Inkrafttreten per In-App-Hinweis oder E-Mail.

Die fortgesetzte Nutzung der App nach dem Wirksamkeitsdatum gilt als Zustimmung zur aktualisierten Erklärung.

16. Kontakt & Beschwerden

Bei Fragen, Anfragen oder Beschwerden zu dieser Erklärung oder zum Umgang mit deinen Daten:

Du hast außerdem das Recht, Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzulegen, sofern du in der Schweiz wohnst, oder bei einer Datenschutz-Aufsichtsbehörde des EU/EWR-Mitgliedstaats deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts der mutmaßlichen Verletzung.