Datenschutzerklärung

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 7 DSGVO sowie Art. 5 lit. j revDSG ist:

Penday^® ist eine eingetragene Marke der Innopulse Consulting GmbH (Eidgenössisches Institut für Geistiges Eigentum, IGE / IPI).

Für Anfragen zum Datenschutz steht innerhalb der Innopulse Consulting GmbH eine zentrale Kontaktstelle unter datenschutz@penday.eu zur Verfügung. Eine gesetzliche Pflicht zur Bestellung einer/eines formalen Datenschutzbeauftragten gemäss Art. 37 DSGVO bzw. Art. 10 revDSG besteht für Innopulse aufgrund der Unternehmensgrösse derzeit nicht; die zentrale Kontaktstelle erfüllt jedoch die Funktion einer jederzeit erreichbaren Anlaufstelle für betroffene Personen und Aufsichtsbehörden.

Diese Datenschutzerklärung gilt für die Nutzung der Website penday.eu, der App app.penday.eu, der zugehörigen Sub-Domains sowie aller Penday-Mobile-Wrapper (gemeinsam: Penday). Sie informiert dich darüber, welche personenbezogenen Daten wir verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, an wen die Daten ggf. weitergegeben werden und welche Rechte du hast.

4.1 Bei der Registrierung & Authentifizierung

• E-Mail-Adresse (Pflichtangabe)
• Vor- und ggf. Nachname (selbstgewählt, optional)
• Bei Google-Login: Name, E-Mail, Profilbild-URL aus Google-OAuth
• Passwort-Hash (bei E-Mail-Registrierung — bcrypt, niemals Klartext)
• Sprache und Zeitzone (für korrekte Zeitstempel der Reminders)

4.2 Therapie- und Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO)

Diese Verarbeitung beruht ausschliesslich auf deiner ausdrücklichen Einwilligung gemäss Art. 9 Abs. 2 lit. a DSGVO. Du erteilst sie aktiv bei der Aktivierung der Tracking-Funktionen. Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar.

• Aktuelle GLP-1-Therapie (Medikament, Dosis, Wochentag, Uhrzeit)
• Injektions-Logs (Datum, Stelle, Dosis, Notizen)
• Symptom-Logs (Art, Schweregrad, Notizen)
• Gewichtsdaten und Körpermasse (optional)
• Ernährungs- und Hydrations-Logs (optional)
• KI-Companion-Konversationen
• Termine und Notizen für Arztbesuche (optional)

4.3 Zahlungsdaten (bei Abschluss eines Plus-Abos)

• Wir selbst speichern keine Karten- oder Bankdaten
• Die Zahlungsabwicklung erfolgt durch Stripe Payments Europe Ltd. (Irland); wir erhalten lediglich eine Stripe-Customer-ID, einen Subscription-Status und eine Rechnungs-Referenz für die Abo-Verwaltung
• Rechnungs-relevante Daten (Name, Anschrift, Land, ggf. UID/USt-ID) werden für 10 Jahre gemäss schweizerischem Obligationenrecht (OR Art. 957a) bzw. § 147 AO (DE) aufbewahrt

4.4 Technische Daten / Server-Logs

• Session-Cookies (technisch erforderlich, kein Tracking)
• Server-Logs: IP-Adresse (anonymisiert nach 24 h), User-Agent, Zeitstempel, abgerufene URL — Aufbewahrung max. 30 Tage
• Geräte-Identifier für Push-Notifications (Browser-Push-Subscription), sofern aktiviert — wird beim Logout entfernt

Wir setzen ausschliesslich technisch erforderliche Cookies und gleichgestellte Speichermechanismen (LocalStorage, SessionStorage) ein. Eine Einwilligung ist hierfür nicht erforderlich (§ 25 Abs. 2 Nr. 2 TTDSG, Art. 6 Abs. 1 lit. f DSGVO).

Konkret werden gesetzt:

• sb-access-token / sb-refresh-token — Supabase-Authentifizierung, Session-Verwaltung; Lebensdauer bis Logout bzw. Ablauf nach 7 / 30 Tagen
• __Secure-next-auth-session — Next.js Session-Cookie (HttpOnly, Secure, SameSite=Lax)
• theme — UI-Präferenzen (Dark/Light-Mode), nur funktional
• cookie-consent — Zustand deiner Cookie-Auswahl (ausschliesslich technisch notwendige Cookies aktiv); Lebensdauer 12 Monate

Wir verwenden kein Tracking, kein Web-Analytics, keine Werbenetzwerke und keine Social-Media-Plugins, die Daten an Dritte übertragen würden.

• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Nutzungsvertrags (Konto, Tracking, Reminders, Reports)
• Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten (besondere Kategorie)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Marketing-Mails, optionale Check-ins, KI-Coach)
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (Buchhaltung, Aufbewahrungs-Pflichten)
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Sicherheit, Betrugsprävention, Server-Logs)
• Art. 31 Abs. 2 lit. a revDSG — Vertragserfüllung für Schweizer Nutzer:innen

Wir setzen sorgfältig ausgewählte Dienstleister ein. Mit allen unten aufgeführten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV / DPA) gemäss Art. 28 DSGVO.

Innerhalb der EU/EWR und für Schweizer Nutzer:innen findet keine Drittland-Übermittlung statt — alle Kerndaten verbleiben im EU-Rechtsraum.

Ausnahme — Anthropic (USA): Wenn du den KI-Companion (Claude) aktiv nutzt, wird der Inhalt deiner Konversation ad-hoc an Anthropic PBC (USA) übertragen, dort verarbeitet und nicht zum Training der Modelle verwendet (vertraglich zugesichert in den Anthropic Commercial Terms, anthropic.com/legal/commercial-terms). Anthropic ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage für diese Übermittlung: deine ausdrückliche Einwilligung gemäss Art. 49 Abs. 1 lit. a DSGVO; ergänzend kommen EU-Standardvertragsklauseln (SCCs) gemäss Art. 46 DSGVO zum Einsatz.

Du kannst den KI-Companion vollständig deaktivieren — die übrigen Funktionen von Penday sind dann ohne USA-Übermittlung nutzbar.

• Profil- und Therapiedaten: bis zur Löschung deines Kontos durch dich
• KI-Companion-Konversationen: 90 Tage, danach automatische Löschung
• Audit-Logs (DSGVO-relevante Events): 12 Monate
• Server-Logs: 30 Tage
• Buchhaltungsrelevante Daten (Rechnungen, Stripe-Belege): 10 Jahre (OR Art. 957a / § 147 AO)
• Nach Konto-Löschung verbleiben anonymisierte aggregierte Statistiken (z.B. Nutzungs-Stunden gesamt, Anzahl Injektionen-Total) — kein Personenbezug mehr möglich

Du hast jederzeit folgende Rechte (Art. 12 ff. DSGVO sowie Art. 25 ff. revDSG):

• Auskunft über deine bei uns gespeicherten Daten (Art. 15 DSGVO / Art. 25 revDSG)
• Berichtigung falscher oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessen", Art. 17 DSGVO) — direkt in den App-Einstellungen, ohne Begründungspflicht
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit als JSON-Export (Art. 20 DSGVO) — direkt in den App-Einstellungen
• Widerspruch gegen Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) — Wirkung ex nunc
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO / Art. 49 revDSG) — siehe §11
• Nicht-Unterworfen-Sein automatisierter Einzelentscheidungen einschliesslich Profiling (Art. 22 DSGVO) — siehe §13

Anfragen richtest du an datenschutz@penday.eu. Wir bearbeiten deine Anfrage spätestens innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Die Bearbeitung ist für dich kostenlos.

• Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), edoeb.admin.ch
• Deutschland: die jeweils für deinen Wohnsitz zuständige Landesdatenschutzbehörde
• Österreich: Österreichische Datenschutzbehörde, dsb.gv.at

• TLS 1.3 für alle Verbindungen, HTTPS via HSTS erzwungen
• Verschlüsselung at-rest auf Datenbank-Ebene (AES-256)
• Row Level Security (RLS) — jede Datenbankabfrage wird auf User-Ebene isoliert, niemand sieht Daten anderer Nutzer:innen
• Passwörter: bcrypt-Hashing mit individuellem Salt
• Tägliche Backups; Backup-Aufbewahrung 30 Tage
• 2-Faktor-Authentifizierung für alle internen Datenzugriffe
• Need-to-know-Prinzip: kein Standardzugriff von Mitarbeitenden auf personenbezogene Therapie-Daten
• Periodische Penetrations-Tests und Security-Reviews

Penday führt kein Scoring, kein Marketing-Profiling und keine automatisierten Einzelentscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO durch.

Der KI-Companion liefert Informations-Antworten auf Basis deiner Eingaben — er trifft keine medizinischen oder rechtlichen Entscheidungen für dich und ersetzt keine ärztliche Beratung. Alle App-Auswertungen (Adhärenz-Score, Site-Rotation-Score) sind deskriptive Selbst-Auswertungen, keine algorithmischen Bewertungen deiner Person.

Penday richtet sich an Personen ab dem vollendeten 16. Lebensjahr. Eine Registrierung durch Personen unter 16 Jahren ist nur mit Zustimmung der Erziehungsberechtigten zulässig (Art. 8 DSGVO). Wenn wir Kenntnis davon erlangen, dass eine Registrierung ohne diese Zustimmung erfolgt ist, löschen wir das Konto unverzüglich.

Beim Login kannst du wählen, ob du angemeldet bleiben möchtest („30 Tage"). Diese Einstellung speichert ein verschlüsseltes Refresh-Token in deinem Browser. Du kannst dich jederzeit über „Abmelden" in den Einstellungen ausloggen — dann werden alle Session-Daten gelöscht.

Wir behalten uns vor, diese Datenschutzerklärung bei rechtlichen oder technischen Änderungen anzupassen. Wesentliche Änderungen, die deine Rechte berühren, kommunizieren wir mindestens 30 Tage vor Inkrafttreten per E-Mail an alle aktiven Nutzer:innen. Die jeweils aktuelle Fassung ist über diese Seite abrufbar.

Für Fragen zur Datenverarbeitung erreichst du uns unter: