Datenschutzerklärung
KFA-Check verarbeitet Daten nach den strengen Vorgaben der DSGVO und des deutschen BDSG. Hier ein ehrlicher Überblick — was wir tun, was wir nicht tun, und wie du jederzeit alles wieder löschen kannst.
Geltungsbereich: Diese Erklärung deckt die KFA-Check App (iOS/Android) und die Web-App (app.kfa-check.app) ab.
Diese Marketing-Website (kfa-check.app) selbst verwendet keine Cookies, kein Tracking und keine Analyse-Skripte — die folgenden Abschnitte betreffen ausschließlich die Datenverarbeitung innerhalb der App bzw. Web-App.
§ 1 — Verantwortlicher und Kontakt
Verantwortlich für die Datenverarbeitung ist der Betreiber von KFA-Check, siehe Impressum. Anfragen zum Datenschutz richte bitte an wundidajah@gmail.com.
§ 2 — Was wir verarbeiten — und was nicht
Lokal auf deinem Gerät:
- Profil-Daten (Name, Größe, Gewicht, Alter, Geschlecht, Aktivitäts-Level)
- Scan-Verlauf mit Körperfett-Werten, Empfehlungen, Datum
- Ziele und Einstellungen (Reminder-Intervall, Theme-Modus)
- Audit-sicheres Einwilligungs-Log (siehe § 7)
Pro Scan kurz übertragen:
- Das Foto (mit gepixeltem Gesicht und Intim-Bereich, siehe § 5)
- Profil-Anker (Größe, Gewicht, Alter, Geschlecht) für höhere Genauigkeit
Was wir niemals verarbeiten:
- Klarnamen, E-Mail-Adresse, Telefonnummer
- Standortdaten
- Werbe-Tracker oder Drittanbieter-Analytics
- Permanente Bild-Speicherung auf Servern
§ 3 — Foto-Analyse: der Weg deines Bildes
Aktuelle Phase (Beta): Das Foto wird über unseren Proxy-Server (Cloudflare Workers) an Google Gemini 2.5 Flash übertragen (Drittland-Transfer USA, Rechtsgrundlage Art. 49 DSGVO und EU-US Data Privacy Framework). Es wird ausschließlich zur Auswertung verarbeitet und dort nicht dauerhaft gespeichert.
In dieser Phase gilt:
- Foto wird nach Auswertung sofort vom Gerät gelöscht (Free-Tier)
- Pro-User: Foto wird lokal in den App-Documents-Bereich kopiert, um die Vorher/Nachher-Visualisierung anzubieten — jederzeit löschbar via DSGVO-Reset
- Privacy-Mask pixelt Gesicht und Intim-Bereich BEVOR das Bild das Gerät verlässt (App) bzw. wird im Browser manuell durch dich markiert (Web, siehe § 5)
§ 4 — Rechtsgrundlagen (Art. 6 und Art. 9 DSGVO)
- Art. 6 (1) lit. b: Vertragserfüllung (Bereitstellung der App-Funktionen)
- Art. 6 (1) lit. f: Berechtigtes Interesse (lokale Datenspeicherung für deinen Verlauf)
- Art. 9 (2) lit. a: Ausdrückliche Einwilligung in die Verarbeitung biometrischer / gesundheitsbezogener Daten (drei Pflicht-Consents im Onboarding)
§ 5 — Privacy-Mask vor Upload
Bevor ein Foto an die KI geht, läuft auf deinem Gerät eine Pose-Erkennung (ML-Kit, on-device). Erkannte Kopf- und Intim-Region werden automatisch pixelt. Diese Maskierung passiert lokal in einem Background-Isolate — die Originaldaten verlassen das Gerät nicht in unmaskierter Form.
Web-Version (Browser/PWA): Die automatische Pose-Erkennung ist im Browser technisch nicht verfügbar. Vor dem ersten Web-Scan wirst du deshalb ausdrücklich darauf hingewiesen, nur den Torso (ohne Gesicht) zu fotografieren, und kannst zusätzlich selbst Bereiche im Bild verpixeln. Auch im Web gilt: keine dauerhafte Server-Speicherung, das Foto wird nach der Auswertung gelöscht.
§ 5a — Freiwillige Modell-Verbesserung (strikt Opt-in)
Optional kannst du unter „Daten & Datenschutz" zustimmen, dass nach jedem Scan ein anonymes Forschungs-Sample übertragen wird: das analysierte Foto (auf dem Gerät maskiert bzw. im Web nach Nur-Torso-Bestätigung), deine Eckdaten (Geschlecht, Alter, Größe, Gewicht, optional Taille/Aktivitätslevel/Selbsteinschätzung) und das Schätzergebnis. Das Sample enthält keinen Namen, keine Profil- oder Scan-ID, keinen Geräte-Code und keinen client-seitigen Zeitstempel; EXIF-Metadaten werden durch Re-Kompression entfernt. Zweck: Training und Evaluierung des Schätzmodells (Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO). Die Zustimmung ist jederzeit dort widerrufbar; der Widerruf stoppt künftige Übertragungen. Bereits übertragene Samples sind anonym und können keiner Person mehr zugeordnet werden (kein Auskunfts-/Löschanspruch mangels Personenbezug, Erwägungsgrund 26 DSGVO).
§ 6 — Anti-Abuse: anonymer Geräte-Code
Wir generieren einen pseudonymen Geräte-Code (SHA-256-Hash von ANDROID_ID bzw. identifierForVendor plus App-Salt; im Web ein zufälliger, lokal gespeicherter Wert). Dieser Code ist nicht auf dich zurückverfolgbar. Zweck: Schutz der kostenlosen Scan-Kontingente vor Missbrauch. Der Code wird ggf. an unseren Server übertragen (Quota-Prüfung) — niemals an Dritte.
§ 7 — Einwilligungs-Log (audit-sicher)
Jede deiner Einwilligungen wird in einer kryptographischen Hash-Chain auf deinem Gerät gespeichert. Diese Kette ist manipulationssicher (jeder Eintrag enthält den Hash des Vorgängers). Inhalt pro Eintrag:
- Zeitstempel (UTC)
- Geräte-Code (pseudonym)
- Art der Einwilligung
- SHA-256-Hash des exakten Wortlauts der angezeigten Erklärung
Klartext-Wortlaut wird nicht gespeichert — nur sein Hash. Die Kette bleibt gemäß Art. 17 (3) lit. e DSGVO auch nach Account-Reset erhalten (Aufbewahrung zur Verteidigung von Rechtsansprüchen, Retention 3 Jahre). Pseudonym, ohne Klarnamen oder identifizierende Daten.
§ 8 — Apple Health / Google Health Connect (optional)
Wenn du die Integration aktivierst:
- Wir lesen Gewicht, Größe, Schritte aus Health (mit deiner ausdrücklichen System-Berechtigung)
- Wir schreiben Körperfett-, Magermasse- und Stoffwechsel-Werte zurück nach Health
- Die Daten verlassen niemals dein Gerät — alles passiert via OS-API zwischen Apple/Google Health und der App
- Du kannst die Berechtigung jederzeit in den OS-Einstellungen widerrufen
§ 9 — Push-Benachrichtigungen (optional)
Erinnerungen für neue Scans werden lokal auf deinem Gerät geplant. Wir senden keine Push-Notifications von Servern aus — alles via OS-Scheduler. Die Berechtigung kannst du jederzeit in den App-Einstellungen widerrufen.
§ 10 — Crash-Reports (Sentry)
Wenn aktiviert, sendet die App technische Fehler-Berichte an unseren Sentry-Account (EU-Region). Diese enthalten Stack-Trace und Fehler-Typ, App-Version/Betriebssystem sowie die Aktion, die zum Fehler führte. Sie enthalten NICHT: Bilder, biometrische Werte, Profil-Daten. Sentry-Privacy-Setting sendDefaultPii=false ist fest codiert.
§ 11 — Stripe (für Zahlungen, optional)
Falls du Pro über einen Web-Zahlungslink erwirbst oder die Kreditkarten-Verifikation im Appeal-Flow nutzt, wird deine Zahlungs-/Karteninformation direkt an Stripe übertragen — wir sehen sie nicht. Stripe agiert als Auftragsverarbeiter (DPA + Standard-SCCs + DPF).
§ 12 — RevenueCat (für App-Store-Abos)
Wenn du Pro über den Apple App Store oder Google Play abonnierst, läuft die Zahlung über deinen Apple-ID-/Google-Account (App-Store-IAP). RevenueCat validiert die Receipts und übermittelt uns dabei:
- Anonymen App-User-ID (Hash unseres Geräte-Codes)
- Receipt-Daten (Produkt, Datum, Status)
NICHT übermittelt: Karten-Daten, Klarnamen, biometrische Werte.
§ 13 — Deine Rechte nach DSGVO
- Art. 15 — Auskunft: kompletter Export deiner Daten über den DSGVO-Export-Button im Profil
- Art. 16 — Berichtigung: alle Profil-Daten jederzeit editierbar
- Art. 17 — Löschung: Account-Reset-Button im Profil löscht alle Daten (Ausnahme: Einwilligungs-Log nach § 7)
- Art. 18 — Einschränkung: durch Deaktivierung einzelner Features (Reminder aus, Health-Sync aus)
- Art. 20 — Datenübertragbarkeit: JSON-Export ist maschinenlesbar
- Art. 21 — Widerspruch: einzelne Einwilligungen können jederzeit widerrufen werden
§ 14 — Beschwerde bei der Aufsichtsbehörde
Du kannst dich bei jeder Datenschutz-Aufsichtsbehörde der EU beschweren. In Deutschland zum Beispiel die für den Sitz des Anbieters zuständige Landesdatenschutzbehörde (Nordrhein-Westfalen, siehe Impressum).
§ 15 — Sicherheit
- HTTPS-Verschlüsselung für alle Server-Kommunikation
- App-Datenspeicher: Android Auto-Backup deaktiviert (keine ungewollte Cloud-Sicherung)
- Screenshot-Schutz aktiv (Android FLAG_SECURE / iOS App-Switcher-Blur)
§ 16 — Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Erklärung anzupassen. Bei wesentlichen Änderungen an der App wird die Onboarding-Version hochgezählt und du wirst zum erneuten Lesen und Bestätigen geleitet. Das Datum unter „Stand" weist die aktuelle Fassung aus.
§ 17 — Kontakt
Fragen zum Datenschutz erreichst du per E-Mail an wundidajah@gmail.com oder über den im jeweiligen App-Store hinterlegten Support-Kontakt.