Datenschutzerklärung

Version 1.2 · Stand: Mai 2026 · gemäß Art. 13 DSGVO

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Patrik Lakatos
Gabelsbergerstraße 1
95028 Hof
E-Mail: patrik@remissio.online

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht verpflichtend zu benennen, da der Verantwortliche eine Privatperson ohne Beschäftigte ist und keine umfangreiche, systematische Verarbeitung besonderer Datenkategorien als Kerntätigkeit erfolgt. Bei Fragen zum Datenschutz wenden Sie sich direkt an die in Abschnitt 1 genannte Kontaktadresse.

3. Welche Daten wir verarbeiten und warum

3.1 Kontodaten

Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein verschlüsseltes Passwort. Diese Daten sind zur Vertragserfüllung (Bereitstellung des Nutzerkontos) nach Art. 6 Abs. 1 lit. b DSGVO erforderlich.

3.2 Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO)

Achtung – sensible Daten:

Der Kern des Dienstes ist die Erfassung und Auswertung Ihrer persönlichen Gesundheitsdaten, darunter: Ernährungsgewohnheiten, Symptome, Stimmung, Schlaf, Stuhlgang, Körpergewicht, Medikamenteneinnahme und Lebensstildaten. Diese Daten fallen unter die besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO, die Sie bei der Registrierung erteilen. Sie können diese Einwilligung jederzeit widerrufen (siehe Abschnitt 9).

3.3 KI-Verarbeitung durch OpenAI (Drittlandsübermittlung)

Wichtiger Hinweis zur Drittlandsübermittlung:

Ihre Freitexteingaben (Gesundheitsbeschreibungen) sowie daraus erzeugte semantische Vektordaten werden zur automatischen Strukturierung und Analyse an die OpenAI, LLC, 3180 18th Street, San Francisco, CA 94110, USA übermittelt. OpenAI verarbeitet diese Daten auf Servern in den Vereinigten Staaten (Drittland ohne Angemessenheitsbeschluss der EU-Kommission für alle Bereiche).

Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie eines abgeschlossenen Auftragsverarbeitungsvertrags (DPA) mit OpenAI. Rechtsgrundlage für die Verarbeitung der Gesundheitsdaten ist Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO.

OpenAI verwendet Ihre Daten gemäß deren Enterprise-Datenschutzrichtlinie nicht zum Training eigener Modelle, soweit ein DPA besteht. Weitere Informationen: openai.com/enterprise-privacy

3.4 Zugangswunsch-Anfragen (Warteliste)

Wenn Sie über das Formular „Zugang anfragen“ Ihre E-Mail-Adresse sowie optional Ihren Namen und eine Nachricht übermitteln, speichern wir diese Daten ausschließlich zur Prüfung und Bearbeitung Ihrer Anfrage.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung, die Sie durch Aktivieren der Zustimmungsbox im Formular erteilen).
  • Speicherdauer: maximal 12 Monate ab Eingang oder bis zur abschließenden Bearbeitung Ihrer Anfrage, danach Löschung.
  • Die Einreichung einer Anfrage begründet keinen Anspruch auf Zugang.

3.5 Einladungscodes

Zur Registrierung werden Einladungscodes verwendet. Diese enthalten neben dem Code selbst optional eine interne Notiz des Anbieters sowie nach der Nutzung einen Verweis auf das Nutzerkonto (UUID). Einladungscodes werden dauerhaft gespeichert, um Missbrauch zu verhindern und die Nutzung nachvollziehbar zu machen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Integrität des Beta-Programmes).

3.6 KI-Verarbeitung – EU-KI-Verordnung

Transparenzhinweis gemäß EU-KI-Verordnung (Art. 50 VO (EU) 2024/1689)

Remissio setzt als Deployer ein allgemeines KI-Sprachmodell (GPAI) von OpenAI ein. Die KI analysiert Ihre Freitexteingaben und strukturiert diese automatisch. Die Aktivierung dieser Funktion erfordert Ihre ausdrückliche Einwilligung (siehe 3.3).

  • Zweck: Automatische Kategorisierung und Strukturierung von Tagebucheinträgen.
  • Keine vollautomatisierten Entscheidungen im Sinne von Art. 22 DSGVO.
  • Menschliche Überwachung: Alle Ausgaben sind rein informativ; medizinische Entscheidungen verbleiben beim Nutzer und Fachpersonal.
  • Abschaltung: Die KI-Funktion kann jederzeit in den Einstellungen deaktiviert werden.

3.7 Statistische Musteranalyse (lokal, kein Dritter)

Remissio führt eine automatisierte statistische Analyse Ihrer gesundheitlichen Einträge durch, um Korrelationen zwischen Ernährung, Lebensstil und Symptomen zu erkennen. Diese Analyse läuft vollständig auf unserer eigenen Infrastruktur (Supabase, EU-Region) – es werden dabei keine Daten an Dritte übermittelt.

  • Zweck: Darstellung von Mustern und Korrelationen ausschließlich für Sie selbst.
  • Methode: Statistische Häufigkeitsvergleiche (z. B. Fishers exakter Test, FDR-Korrektur); ab ausreichender Datenmenge auch heuristische Frühsignale.
  • Keine medizinischen Entscheidungen: Alle Ergebnisse sind rein informativ und werden ausdrücklich als statistische Korrelationen gekennzeichnet. Es handelt sich nicht um Diagnosen oder Therapieempfehlungen.
  • Keine vollautomatisierten Einzelentscheidungen im Sinne von Art. 22 DSGVO.
  • Rechtsgrundlage: Ihre ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO (identisch mit der allgemeinen Verarbeitung von Gesundheitsdaten, siehe 3.2).

Lokales Nutzer-Feedback zu angezeigten Mustern (z. B. „stimmt" / „stimmt nicht") wird ausschließlich im Browser-Speicher (localStorage) des Geräts abgelegt und nicht an unsere Server übertragen.

3.8 Einwilligungszeitpunkt und -nachweis

Der Zeitpunkt Ihrer Einwilligung wird zusammen mit der Versionsnummer dieser Datenschutzerklärung in Ihrem Nutzerkonto gespeichert.

3.9 Protokolldaten (Server-Logs)

Bei jedem Zugriff auf den Dienst werden technische Protokolldaten erhoben (IP-Adresse, Zeitstempel, aufgerufene URL, HTTP-Statuscode). Diese Daten sind für den sicheren Betrieb erforderlich und werden nach spätestens 14 Tagen gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit).

4. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO abgeschlossen wurden:

Supabase, Inc.

970 Toa Payoh North, #07-04, Singapur 318992 (Datenhaltung in der EU-Region Frankfurt, Deutschland)

Zweck: Datenbankhosting, Authentifizierung, Echtzeit-Datenübertragung. Alle gespeicherten Gesundheitsdaten verbleiben in der EU-Region.

supabase.com/privacy

OpenAI, LLC

3180 18th Street, San Francisco, CA 94110, USA

Zweck: KI-gestützte Strukturierung von Freitexteingaben (GPT-Modell), Erstellung semantischer Vektoren (Embedding-Modell). Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCC).

openai.com/enterprise-privacy

5. Übermittlung in Drittländer

Ihre Gesundheitsdaten (Freitexteingaben und Embeddings) werden an OpenAI in die USA übertragen (siehe Abschnitt 3.3). Ein angemessenes Datenschutzniveau wird durch den Abschluss von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO gewährleistet. Eine Kopie der SCC kann auf Anfrage zur Verfügung gestellt werden.

Im Übrigen findet keine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) statt.

6. Speicherdauer

  • Kontodaten und Gesundheitsdaten: bis zur Löschung durch Sie (jederzeit über Einstellungen → „Alle Daten löschen" möglich) oder bis zur Kündigung des Kontos, danach unverzügliche Löschung.
  • Backups: Supabase erstellt automatische Datenbank-Backups, die maximal 7 Tage aufbewahrt werden. Nach Ablauf dieser Frist sind gelöschte Daten vollständig entfernt.
  • Einwilligungsnachweis: wird bis zu 3 Jahre nach Widerruf oder Kontolöschung aufbewahrt (gesetzliche Nachweispflicht).
  • Zugangswunsch-Anfragen: maximal 12 Monate ab Eingang oder bis zur abschließenden Bearbeitung.
  • Server-Logs: siehe Abschnitt 3.8.

7. Ihre Rechte nach der DSGVO

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können eine Kopie aller über Sie gespeicherten Daten anfordern. Eine strukturierte Kopie steht Ihnen jederzeit über Einstellungen → „Daten herunterladen" zur Verfügung.
  • Recht auf Berichtigung (Art. 16 DSGVO): Bei unrichtigen Daten wenden Sie sich bitte an patrik@remissio.online. Kontodaten (E-Mail) können Sie über die Einstellungen selbst ändern.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können alle Ihre Daten jederzeit über Einstellungen → „Alle Daten löschen" unwiderruflich löschen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Ihre Daten stehen als JSON-Export (Einstellungen → „Daten herunterladen") in maschinenlesbarem Format zur Verfügung.
  • Widerspruchsrecht (Art. 21 DSGVO): soweit Verarbeitungen auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruhen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: patrik@remissio.online

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Zuständige Behörde für den Anbieter (Sitz in Bayern):

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 27
91522 Ansbach
www.lda.bayern.de

Eine Übersicht aller deutschen Datenschutzaufsichtsbehörden finden Sie unter: bfdi.bund.de

9. Widerruf der Einwilligung

Sie können Ihre Einwilligung zur Verarbeitung Ihrer Gesundheitsdaten jederzeit und ohne Angabe von Gründen widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

Den Widerruf können Sie erklären, indem Sie:

  • alle Ihre Daten über Einstellungen → „Alle Daten löschen" löschen, oder
  • eine formlose E-Mail an patrik@remissio.online senden.

Nach dem Widerruf werden alle gespeicherten Gesundheitsdaten unverzüglich gelöscht.

10. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Wir ergreifen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

  • Verschlüsselung: Alle Datenübertragungen erfolgen ausschließlich über TLS (HTTPS). Daten in der Datenbank werden von Supabase at-rest verschlüsselt.
  • Zugriffskontrolle: Zugriff auf Ihre Daten ist durch Row-Level-Security (RLS) in der Datenbank beschränkt – jeder Nutzer sieht ausschließlich die eigenen Daten.
  • Authentifizierung: Zugang nur mit E-Mail und Passwort; Passwörter werden von Supabase gehasht gespeichert (nie im Klartext).
  • Minimale Datenerhebung: Es werden nur die zur Bereitstellung des Dienstes notwendigen Daten verarbeitet.
  • Auftragsverarbeitung: Alle Dienstleister (Supabase, OpenAI) sind per AVV nach Art. 28 DSGVO vertraglich gebunden.

11. Session-Cookies und technische Speicherung

Remissio verwendet ausschließlich technisch notwendige Cookies und browserseitige Speichermechanismen:

  • Session-Cookie (Supabase Auth): Zur Aufrechterhaltung Ihrer Anmeldesitzung. Wird beim Abmelden gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • localStorage (Spracheinstellung): Ihre gewählte App-Sprache wird lokal im Browser gespeichert. Diese Daten verlassen Ihr Gerät nicht.

Es werden keine Analyse-, Tracking- oder Marketing-Cookies eingesetzt. Eine Cookie-Einwilligungsverwaltung (Consent-Banner) ist daher nicht erforderlich.

12. Aktualität und Änderungen

Diese Datenschutzerklärung hat den Stand Mai 2026 (Version 1.2). Bei wesentlichen Änderungen werden Sie per E-Mail informiert und um eine erneute Einwilligung gebeten, soweit dies gesetzlich erforderlich ist.

Zurück zur Registrierung