Datenschutzerklärung

Stand: 2026-06-01

Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir im Zusammenhang mit der Nephion Me App („Nephion App“), der zugehörigen Cloudplattform (Hub unter hub.nephion.com) und dieser Website (nephion.com) verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte du hast.

Geltungsbereich

Diese Erklärung gilt für die mobile Nephion App (iOS), den Backenddienst Nephion Hub sowie die öffentlichen Webseiten unter nephion.com (Startseite, Datenschutz, Impressum, Support).

Separate Produkte, insbesondere Nephion Professionals für Healthcare-Fachkräfte, können eigene Verantwortlichkeiten und Vertragsbeziehungen haben. Sofern du Nephion Professionals nutzt, gelten zusätzlich die dort bereitgestellten Informationen und Vereinbarungen mit deiner Einrichtung.

Die Nephion App richtet sich an private Nutzerinnen und Nutzer zur persönlichen Gesundheitsbegleitung (Wellness). Sie ist kein Medizinprodukt und ersetzt keine ärztliche Diagnose oder Behandlung.

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO:

2. Kurzüberblick der Verarbeitungen

Im Folgenden beschreiben wir die wichtigsten Verarbeitungsvorgänge. Nicht jede Funktion ist in jeder Betaphase bereits verfügbar; verarbeitet werden nur die Daten, die du der jeweils genutzten Funktion zuordnest beziehungsweise die für deren Betrieb erforderlich sind.

3. Nutzerkonto und Authentifizierung

Zur Nutzung der Nephion App ist ein persönliches Konto erforderlich. Wir verarbeiten dabei insbesondere deine E-Mail-Adresse als Identifikator, einen von dir gewählten Passwort-Hash (wir speichern dein Klartext-Passwort nicht), den Status der E-Mail-Verifikation sowie technische Authentifizierungsdaten (z. B. Access- und Refresh-Tokens) für die Dauer deiner Sitzung.

Verifikations-E-Mails versenden wir über unsere konfigurierte SMTP-Infrastruktur (Absender z. B. no-reply@nephion.com). Der Versand dient der Kontosicherheit und der Einhaltung unserer Nutzungsbedingungen.

Ohne gültige Registrierung und Verifikation ist der volle Funktionsumfang der App nicht verfügbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung beziehungsweise vorvertragliche Maßnahmen).

4. Gesundheitsdaten (Apple HealthKit)

Die App kann, nur nach deiner ausdrücklichen Freigabe in iOS, Gesundheitsdaten aus Apple HealthKit lesen und synchronisieren. Welche Datentypen übertragen werden, bestimmst du im Berechtigungsdialog von Apple und in der App (Katalog und Feinberechtigungen).

Typische Kategorien umfassen Aktivitäts- und Vitaldaten (z. B. Schritte, Herzfrequenz, Schlaf, Energieverbrauch), abhängig von deinem Gerät und deiner Auswahl. Gesundheitsdaten sind besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO.

Wir verarbeiten diese Daten ausschließlich, um dir in der App Verläufe, Einordnungen und wellnessorientierte Hinweise anzuzeigen, nicht jedoch zur medizinischen Diagnose oder Therapieentscheidung. Du kannst Berechtigungen jederzeit in den iOS-Einstellungen unter „Gesundheit“ widerrufen oder einschränken; bereits synchronisierte Daten können gesondert gelöscht werden (siehe Betroffenenrechte).

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

5. Standortdaten

Sofern du Standortfreigaben erteilst, kann die App deinen ungefähren Aufenthaltsort (Stadt oder Region) ermitteln, um kontextbezogene Funktionen zu unterstützen (z. B. Wetter- oder Reisebezug).

Wir speichern keine dauerhaften Aufzeichnungen präziser GPS-Koordinaten. Der Standort wird nicht zu Profilbildungs- oder Werbezwecken genutzt.

Du kannst Standortberechtigungen in den iOS-Einstellungen jederzeit anpassen oder entziehen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit erforderlich zusätzlich Art. 9 DSGVO, falls standortbezogene Verarbeitung mit Gesundheitskontext verknüpft wird.

6. Push-Benachrichtigungen

Mit deiner Zustimmung in iOS speichern wir ein gerätespezifisches Push-Token und übermitteln Benachrichtigungen über den Apple Push Notification Service (APNs). Inhalte sind funktionsbezogen (z. B. Hinweis auf eine abgeschlossene Auswertung) und nicht werblich, sofern du dem nicht separat zustimmst.

Apple verarbeitet Zustelldaten als eigenständiger Anbieter. Details findest du in den Datenschutzhinweisen von Apple.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

7. Automatisierte Auswertungen und KI

Zur Einordnung deiner synchronisierten Daten können serverseitige Auswertungen eingesetzt werden, gegebenenfalls unter Einsatz externer KI-Dienstleister (z. B. Google Gemini). Dabei werden nur die für die jeweilige Funktion erforderlichen Daten übermittelt; eine Identifikation über die E-Mail-Adresse erfolgt bei KI-Anfragen nicht, soweit technisch vermeidbar.

Ergebnisse dienen der Wellness-Darstellung in der App (z. B. Track, Insights) und stellen keine medizinische Entscheidungsgrundlage dar. Du hast keinen Anspruch auf eine bestimmte Qualität automatisierter Texte während Betaphasen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und beziehungsweise Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Gesundheitsdaten gemäß Art. 9 Abs. 2 lit. a DSGVO.

8. Synchronisation, Protokolle und Sicherheit

Zwischen App und Hub werden Gesundheitsdaten und Metadaten über verschlüsselte Verbindungen (HTTPS/TLS) übertragen. Wir protokollieren technische Ereignisse (Sync-Status, Fehler, Zeitstempel, Gerätekennung), um den Dienst stabil zu betreiben und Support zu leisten.

Protokolle werden nicht unbegrenzt aufbewahrt und enthalten keine Klartext-Gesundheitsinhalte über das für den Betrieb Notwendige hinaus. Zugriff auf Produktionssysteme ist auf autorisierte Personen beschränkt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehleranalyse).

9. Besuch dieser Website und Kontaktformular

Beim Aufruf von nephion.com werden durch den Webserver automatisch technische Zugriffsdaten verarbeitet (IP-Adresse, Datum und Uhrzeit, abgerufene Seite, Browsertyp, Referrer). Diese Daten sind für den Betrieb und die Abwehr von Angriffen erforderlich.

Über das Kontaktformular auf der Support-Seite kannst du uns Name, E-Mail-Adresse und Nachricht senden. Die Verarbeitung erfolgt nur, wenn du der Datenschutzerklärung im Formular zustimmst. Die Angaben nutzen wir ausschließlich zur Bearbeitung deiner Anfrage.

Zum Schutz vor automatisierten Anfragen (Spam) nutzt das Kontaktformular Cloudflare Turnstile (Anbieter: Cloudflare, Inc., USA). Beim Laden und Ausfüllen des Widgets werden dabei personenbezogene und technische Daten an Cloudflare übermittelt, insbesondere IP-Adresse, Browser- und Geräteinformationen, Zeitstempel, Referrer sowie Interaktionsdaten zur Unterscheidung zwischen Mensch und Bot.

Cloudflare kann diese Daten zur Erkennung und Abwehr von Missbrauch, zur Sicherheit des Dienstes und zur statistischen Auswertung (Analytics) im Rahmen von Turnstile verarbeiten. Wir erhalten in unserem Cloudflare-Konto aggregierte Auswertungen zum Widget (z. B. Anzahl der Prüfungen, Erfolgs- und Fehlerquoten), nicht jedoch den Inhalt deiner Nachricht. Details und ggf. Opt-out-Möglichkeiten findest du in der Datenschutzerklärung von Cloudflare: https://www.cloudflare.com/privacypolicy/ sowie https://developers.cloudflare.com/turnstile/reference/privacy-policy/.

Diese Website setzt keine eigenen Tracking-Cookies oder Marketing-Analyse-Tools (z. B. Google Analytics) ein. Es werden keine Werbeprofile erstellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb) für Server-Logs; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für das Kontaktformular; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam- und Missbrauchsprävention) für Cloudflare Turnstile.

10. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, wenn dies für die genannten Zwecke erforderlich ist, eine Rechtsgrundlage besteht oder du eingewilligt hast:

• Hosting und Infrastruktur: Der Nephion Hub, über den App-Daten synchronisiert und verarbeitet werden, läuft ausschließlich auf Servern in Deutschland. Für den Betrieb setzen wir Auftragsverarbeiter mit vertraglichen Vereinbarungen nach Art. 28 DSGVO ein.
• Apple Push Notification Service (APNs): Zustellung von Push-Nachrichten; Anbieter: Apple Inc. (gegebenenfalls Drittland USA, siehe Apple Privacy Policy).
• E-Mail-Versand (SMTP): Versand von System- und Verifikations-E-Mails über unseren Mail-Provider.
• Cloudflare Turnstile: Spam-Schutz und Bot-Erkennung beim Kontaktformular; Anbieter: Cloudflare, Inc. (USA, Drittlandübermittlung). Cloudflare verarbeitet u. a. IP-Adresse, Browser- und Gerätedaten sowie Interaktionsdaten; dabei können auch statistische Auswertungen (Analytics) zum Widget erfolgen. Rechtsgrundlage unserer Einbindung: Art. 6 Abs. 1 lit. f DSGVO.
• KI- und Cloud-Dienstleister: Soweit für Auswertungsfunktionen eingesetzt, nur mit vertraglichen Auftragsverarbeitungsvereinbarungen (Art. 28 DSGVO) und technischen Schutzmaßnahmen.

Sofern Empfänger in Drittländern (insbesondere USA) eingesetzt werden, erfolgt die Übermittlung nur auf Basis geeigneter Garantien (z. B. EU-Standardvertragsklauseln) oder vergleichbarer Rechtsinstrumente, soweit anwendbar.

11. Speicherdauer

Kontodaten speichern wir, solange dein Nutzerkonto besteht. Nach Löschung des Kontos werden personenbezogene Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Gesundheitsdaten und Sync-Inhalte werden nicht länger aufbewahrt, als für die App-Funktionen erforderlich oder von dir gewünscht; Details zur Löschung kannst du über die App-Funktionen oder per E-Mail anfordern.

Server-Logdaten der Website und technische Betriebslogs werden in der Regel nur für einen begrenzten Zeitraum (typischerweise wenige Wochen bis Monate) vorgehalten, sofern keine Sicherheitsvorfälle eine längere Aufbewahrung erfordern.

Kontaktformular-Anfragen speichern wir, bis die Anfrage bearbeitet ist und keine berechtigten Aufbewahrungsgründe mehr bestehen. Daten, die Cloudflare im Zusammenhang mit Turnstile verarbeitet, unterliegen den Speicherfristen von Cloudflare (siehe deren Datenschutzhinweise).

Push-Token werden gelöscht, wenn du Push deaktivierst, das Gerät abmeldest oder dein Konto löschst.

12. Pflicht zur Bereitstellung

Die Bereitstellung von Kontodaten (insbesondere E-Mail) ist für die Nutzung der App vertraglich erforderlich. Ohne diese Daten kann kein Konto angelegt und der Dienst nicht erbracht werden.

Gesundheits-, Standort- und Push-Daten sind optional. Verweigerst du die Berechtigung, stehen die jeweiligen Funktionen nicht oder nur eingeschränkt zur Verfügung; die Grundfunktionen des Kontos können dennoch nutzbar sein.

13. Deine Rechte als betroffene Person

Du hast gegenüber uns folgende Rechte, soweit die gesetzlichen Voraussetzungen erfüllt sind:

• Auskunft (Art. 15 DSGVO): Welche Daten wir über dich speichern und verarbeiten.
• Berichtigung (Art. 16 DSGVO): Unrichtige Daten korrigieren.
• Löschung (Art. 17 DSGVO): Löschung, sofern keine Aufbewahrungspflichten bestehen.
• Einschränkung (Art. 18 DSGVO): Verarbeitung einschränken.
• Datenübertragbarkeit (Art. 20 DSGVO): Strukturierte, gängige Übertragung deiner Daten, soweit technisch machbar.
• Widerspruch (Art. 21 DSGVO): Gegen Verarbeitung auf Basis berechtigter Interessen.
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO): Jederzeit mit Wirkung für die Zukunft; die Rechtmäßigkeit bis zum Widerruf bleibt unberührt.

Zur Ausübung deiner Rechte genügt eine Nachricht an die unten genannte E-Mail-Adresse. Wir antworten in der Regel innerhalb eines Monats.

14. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthalts, deines Arbeitsplatzes oder des Ortes der mutmaßlichen Verletzung.

Zuständig kann unter anderem die Datenschutzaufsicht des Bundeslandes deines Wohnsitzes sein (Liste: bfdi.bund.de).

15. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, unter anderem Transportverschlüsselung (TLS), Zugriffsbeschränkungen, segmentierte Infrastruktur und regelmäßige Updates.

Absolute Sicherheit kann im Internet nicht garantiert werden; wir empfehlen ein starkes, individuelles Passwort und die Aktivierung von Gerätesperren auf deinem Smartphone.

16. Minderjährige

Die Nephion App richtet sich an volljährige Nutzerinnen und Nutzer (mindestens 18 Jahre). Minderjährige sollen die App nur mit Zustimmung der Erziehungsberechtigten nutzen. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren ohne elterliche Einwilligung.

17. Änderungen dieser Datenschutzerklärung

Wir passen diese Erklärung an, wenn sich Rechtslage, Funktionen oder Verarbeitungspraxis ändern. Die jeweils aktuelle Fassung ist unter nephion.com/datenschutz abrufbar; bei wesentlichen Änderungen informieren wir registrierte Nutzer, soweit erforderlich, zusätzlich in der App oder per E-Mail.

18. Wellness-Hinweis: kein Medizinprodukt

Nephion unterstützt dich bei der Einordnung deiner Gesundheitsdaten im Alltag. Die App und alle Auswertungen dienen ausschließlich der Wellness- und Präventionsorientierung. Sie stellen keine Diagnose, keine Therapieempfehlung und keinen Ersatz für ärztliche Beratung dar.

Bei akuten oder schwerwiegenden Beschwerden wende dich an medizinisches Fachpersonal oder den Notruf.

19. Kontakt Datenschutz

Fragen zu dieser Erklärung oder zur Verarbeitung deiner Daten richtest du an: support@nephion.com

Impressum · Support · Startseite