Datenschutzerklärung
Zuletzt aktualisiert: 15. Mai 2026
Verantwortlicher: Plyko, eine aus Frankreich veröffentlichte Anwendung, die dem EU- und französischen Recht unterliegt.
Kontakt: privacy@plyko.app
Diese Erklärung beschreibt, welche Daten Plyko («wir») bei der Nutzung der Plyko-App und des Backends erhebt, warum, mit wem wir sie teilen und welche Rechte du hast. Wir halten die DSGVO und das französische Datenschutzgesetz ein. Zuständige Aufsichtsbehörde ist die CNIL.
1. Zusammenfassung in Klartext
- Deine Workout-, Ernährungs-, Gewichts- und Schrittdaten leben überwiegend auf deinem Telefon in einer lokalen SQLite-DB. Wir spiegeln nur einen Teil ins Cloud-Backend, damit du auf einem neuen Gerät wiederherstellen kannst.
- Fotos für KI-Funktionen (Teller-, Kühlschrank-, Etiketten-Scan) werden an Anthropics Claude-API gesendet und nicht über den Aufruf hinaus gespeichert.
- Wir verkaufen deine Daten nicht. Keine Drittanbieter-Werbung. Kein Cross-App-Tracking.
- Du kannst dein Konto jederzeit in der App löschen. Alle Cloud-Kopien werden binnen 30 Tagen gelöscht.
2. Erhobene Daten
| Kategorie | Beispiele | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Konto | E-Mail, Passwort-Hash, User-ID | Anmeldung, Geräte-Identifikation | Vertrag (Art. 6.1.b DSGVO) |
| Profil | Handle, Avatar, Geschlecht, Größe, Gewicht, KFA %, Ziele, Präferenzen | App und Makro-Ziele anpassen | Vertrag |
| Workout | Sessions, Sätze, Übungen, Custom, PRs, Templates | Dein Trainingstagebuch | Vertrag |
| Ernährung | Mahlzeiten, eigene Lebensmittel, Rezepte, Barcodes, Ziele | Dein Ernährungstagebuch | Vertrag |
| Körpermessungen | Gewichts-, KFA-, Wasser-, Schrittverlauf | Tracking Komposition + Aktivität | Vertrag |
| Apple Health / Health Connect | Schritte und aktive Kalorien aus OS | Tagesaktivität anzeigen | Einwilligung (über OS) |
| Fotos für KI | Teller / Kühlschrank / Etiketten-Fotos | Einmalige KI-Analyse, dann verworfen | Einwilligung (du machst das Foto) |
| Abo | Status und Transaktions-ID via RevenueCat — nie Bankdaten | Pro-Zugang verwalten | Vertrag |
| Diagnose | Anonyme Crash-Logs via Sentry; KI-Nutzungszähler | Bugs fixen, Quoten anwenden | Berechtigtes Interesse (Art. 6.1.f) |
| Social | Freundesliste, Leaderboard-Handle, Profilbild | Optionale Social-Funktionen | Einwilligung |
Wir erheben nie: präzise GPS-Position, Kontakte, Mikrofon, Browsing-Historie, Kartennummern (Apple/Google rechnen ab).
3. Wohin die Daten gehen
Plyko nutzt folgende Auftragsverarbeiter, jeweils unter DPA.
| Verarbeiter | Was sie erhalten | Ort | Warum |
|---|---|---|---|
| Supabase Inc. (USA, EU-Instanz) | Alle obigen Daten außer Fotos und Diagnose | Frankfurt, Deutschland | DB, Auth, Edge Functions |
| Anthropic, PBC (USA) | Fotos und KI-Prompts | USA | Claude-API |
| RevenueCat (USA) | App-User-ID + Apple/Google-Transaktions-IDs | USA | Abos verwalten |
| Apple Inc. | IAP-Transaktionen, Push-Tokens, Apple Health (bleibt am Gerät) | Apple-Server | StoreKit + APNs |
| Sentry (USA / Deutschland) | Anonyme Stack-Traces, App-/Geräteversion | EU-Region Frankfurt | Fehler-Reporting |
| USDA / Open Food Facts | Lebensmittel-Suchanfragen (ohne ID) | USA / Frankreich | Nährwert-Lookup |
Transfers in die USA basieren auf den Standardvertragsklauseln (SCC) der EU-Kommission und, für eingeschriebene Anbieter, dem EU-US Data Privacy Framework.
4. Speicherdauer
- Aktives Konto — wird so lange aufbewahrt, wie dein Konto existiert.
- Gelöschtes Konto — binnen 30 Tagen aus aktiven Datenbanken entfernt. Verschlüsselte Backups verfallen in 90 Tagen.
- Sentry-Diagnose — 90 Tage, dann automatisch gelöscht.
- KI-Fotos — niemals gespeichert. Nur im Speicher während des API-Aufrufs.
- Abo-Transaktionen — 10 Jahre aufbewahrt (französisches Handelsgesetz), pseudonymisiert nach Kontolöschung.
5. Deine Rechte
Nach der DSGVO hast du das Recht auf:
- Auskunft über deine Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung deiner Daten (Art. 17) — in der App verfügbar
- Einschränkung der Verarbeitung (Art. 18)
- Portabilität in einem strukturierten Format (Art. 20)
- Widerspruch gegen Verarbeitung im berechtigten Interesse (Art. 21)
- Widerruf der Einwilligung jederzeit
Zur Ausübung schreibe an privacy@plyko.app. Wir antworten binnen 30 Tagen.
Du kannst auch bei der CNIL Beschwerde einlegen: www.cnil.fr / 3 Place de Fontenoy, 75007 Paris.
6. Sicherheit
- Supabase-DB verschlüsselt at rest (AES-256) und in transit (TLS 1.2+).
- Passwörter mit bcrypt gehasht — wir können sie nicht sehen oder wiederherstellen.
- Edge Functions mit rotierenden Service-Role-Keys.
- Lokales SQLite profitiert von iOS/Android-Sandbox und Festplattenverschlüsselung.
- Kein manueller Zugriff außer für Support oder gesetzliche Anforderung.
Kein System ist unangreifbar. Bei einer Datenpanne benachrichtigen wir dich und die CNIL binnen 72h (Art. 33–34 DSGVO).
7. Kinder
Plyko ist 12+ und nicht für Kinder unter 13. Wir erheben wissentlich keine Daten von unter 13. Bei Verdacht schreibe an privacy@plyko.app.
8. Cookies
Die Mobile-App nutzt keine Cookies. Die Website nutzt keine Analytics-Cookies und keine Drittanbieter-Tags.
9. Änderungen
Wir aktualisieren diese Erklärung bei Praxis- oder Gesetzesänderungen. Wesentliche Änderungen werden mindestens 30 Tage vorher in der App angekündigt.
10. Kontakt
Plyko — veröffentlicht aus Frankreich. E-Mail: privacy@plyko.app. Vollständige rechtliche Angaben: siehe Impressum oder schreibe an contact@plyko.app.