Omniq
DashboardMein KontoJetzt kaufen

Datenschutzerklärung

1. Verantwortlicher

Omniq UG (haftungsbeschränkt)
Fillibachstraße 35
79104 Freiburg im Breisgau
E-Mail: support@omniq-health.de

2. Datenschutzanfragen

Für alle Datenschutzanfragen — Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO) — wenden Sie sich bitte direkt an:

privacy@omniq-health.de

Einen gesetzlich vorgeschriebenen Datenschutzbeauftragten haben wir nicht bestellt: Omniq wird als Einzelunternehmer betrieben und die Schwellenwerte des Art. 37 Abs. 1 DSGVO sowie des § 38 BDSG sind nicht erfüllt (weniger als zehn mit der Datenverarbeitung befasste Personen; siehe auch DSK-Beschluss vom 26. April 2018 zur Auslegung von „umfangreich“). Alle Anfragen werden trotzdem binnen der gesetzlichen Frist von einem Monat nach Art. 12 Abs. 3 DSGVO durch den Verantwortlichen persönlich beantwortet.

3. Erhebung und Speicherung personenbezogener Daten beim Website-Besuch

Beim Besuch unserer Website werden automatisch folgende Daten durch den Hosting-Anbieter erfasst (sog. Server-Logfiles):

  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer URL
  • IP-Adresse (anonymisiert)
  • Uhrzeit der Serveranfrage

Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit der Website).

4. Bestellungen und Kundenkonto

Bei einer Bestellung erheben wir folgende Daten:

  • Vor- und Nachname
  • Liefer- und Rechnungsadresse
  • E-Mail-Adresse
  • Telefonnummer
  • Zahlungsinformationen (verarbeitet durch Stripe)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer der Geschäftsbeziehung und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen (in der Regel 6 bzw. 10 Jahre) gespeichert.

Wenn Sie ein Kundenkonto anlegen, speichern wir Ihre Daten für die bequeme Nutzung bei zukünftigen Bestellungen. Sie können Ihr Konto jederzeit über die Kontoeinstellungen löschen lassen (siehe auch Abschnitt „Ihre Rechte").

5. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

Die Kernfunktion unserer App besteht in der Erfassung und Auswertung von Gesundheitsdaten, die Ihr Omniq Ring misst. Diese Daten fallen unter die besondere Kategorie personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO und werden von uns nur auf Basis Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet, die Sie im Rahmen des Onboardings in der App erteilen. Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihr Konto löschen oder uns per E-Mail kontaktieren.

Im Einzelnen verarbeiten wir folgende Kategorien von Gesundheitsdaten:

  • Herzfrequenz (BPM), Ruhepuls und Herzfrequenz-Zonen
  • Herzfrequenzvariabilität (HRV) und die daraus abgeleiteten Erholungs- und Bereitschafts-Werte
  • Sauerstoffsättigung (SpO₂) und Atemfrequenz
  • Hauttemperatur und abgeleitete Körpertemperatur
  • Schlafphasen (Tief-, Leicht-, REM-Schlaf, Wachphasen), Schlafzeit, Schlafqualität und Schlafdefizit
  • Aktivitätsdaten (Schritte, Kalorien, aktive Minuten, Trainings, Herzfrequenzzonen)
  • Optionale Profildaten (Alter, Geschlecht, Größe, Gewicht, Zyklusdaten) zur Personalisierung der Berechnungen
  • Abgeleitete Scores und Insights (z. B. Schlaf-Score, Bereitschafts-Score, Anstrengungs-Score, zirkadiane Empfehlungen)

Speicherung und Ort: Die Gesundheitsdaten werden primär lokal auf Ihrem Gerät gespeichert. Wenn Sie Cloud-Sync aktivieren, werden sie zusätzlich verschlüsselt in unserer EU-gehosteten Datenbank (Supabase, Region Frankfurt) abgelegt, damit Sie auf mehreren Geräten darauf zugreifen können. Roh-Sensor-Daten (Herzfrequenz-, HRV-, Temperatur- und Schlaf-Einzelmessungen) werden nach 90 Tagen automatisch gelöscht; die daraus aggregierten Tages-Metriken bleiben für die Dauer Ihres Kontos erhalten. Beim Löschen Ihres Kontos werden sämtliche Gesundheitsdaten unwiderruflich aus unseren Systemen entfernt.

Keine Diagnose: Unsere App ist ein Consumer-Wellness-Produkt und kein Medizinprodukt im Sinne der MDR. Die Messwerte und abgeleiteten Scores dienen der persönlichen Orientierung und ersetzen keine ärztliche Beratung oder medizinische Diagnose.

6. AI-Coach und automatisierte Insights

Innerhalb unseres Premium-Abonnements bieten wir Ihnen einen KI-gestützten Coach („AI Coach“), der Ihre Gesundheits- und Aktivitätsdaten zusammenfasst und Empfehlungen ableitet. Hierfür übermitteln wir eine aggregierte und pseudonymisierte Version Ihrer Tages-Metriken (keine Rohwerte, keine Klarnamen) an die OpenAI, L.L.C. (3180 18th Street, San Francisco, CA 94110, USA).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Premium-Abos) sowie Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten im Rahmen der KI-Analyse, die Sie beim Aktivieren des AI-Coach erteilen).

Drittland-Transfer: Die Übermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework (OpenAI, L.L.C. ist im Rahmen des DPF zertifiziert) sowie ergänzender Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. OpenAI verpflichtet sich vertraglich, die übermittelten Daten nicht zum Training eigener Modelle zu verwenden.

Automatisierte Entscheidungsfindung (Art. 22 DSGVO): Die vom AI-Coach erzeugten Empfehlungen stellen keine rechtlich bindenden oder ähnlich erheblichen Entscheidungen im Sinne des Art. 22 Abs. 1 DSGVO dar — sie dienen ausschließlich der persönlichen Orientierung. Sie haben jederzeit das Recht, die KI-Funktionen in den App-Einstellungen zu deaktivieren und den menschlichen Support unter support@omniq-health.de zu kontaktieren.

7. Zahlungsabwicklung — Stripe

Für die Zahlungsabwicklung nutzen wir den Dienst Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, für europäische Kunden; Mutterkonzern Stripe, Inc., USA). Ihre Zahlungsdaten (Karten-PAN, CVV, Ablaufdatum) werden direkt in der PCI-DSS-zertifizierten Umgebung von Stripe verschlüsselt erfasst. Omniq erhält zu keinem Zeitpunkt Zugriff auf die vollständigen Kartendaten.

Bei unserem Omniq Premium Abonnement speichert Stripe im Anschluss an die Karteneingabe einen sogenannten Payment-Method-Token (ein pseudonymer Identifier), der an Ihren Stripe-Customer gebunden ist. Wir speichern in unserer Datenbank lediglich diesen Token sowie die zur Anzeige benötigten nicht-sensiblen Metadaten (Kartenmarke, letzte vier Ziffern, Ablaufmonat/-jahr), damit die App "Visa •••• 4242" anzeigen kann. Über diesen Token weist Stripe die wiederkehrenden Abo-Zahlungen automatisch gegen Ihre Karte an, ohne dass wir jemals die vollständige Kartennummer verarbeiten.

Weitere abo-bezogene Daten, die wir in unserer Supabase-Datenbank verarbeiten, sind: Ihre Stripe-Customer-ID, die Subscription-ID, Tarif (monatlich / jährlich), Status (aktiv, Trial, gekündigt, past_due), Beginn und Ende des aktuellen Abrechnungszeitraums, sowie das Trial-Ablaufdatum. Die Rechnungshistorie selbst liegt ausschließlich bei Stripe — wir zeigen Ihnen über die Stripe-API lediglich Links zu den dort gehosteten PDF-Rechnungen.

Kontolöschung und Stripe: Wenn Sie Ihr Omniq-Konto löschen, wird Ihre Stripe-Subscription sofort gekündigt (keine weiteren Abbuchungen). Das bei Stripe hinterlegte Payment-Token wird gelöscht. Rechnungsdaten (Betrag, Datum, Rechnungs-PDF) bleiben jedoch gemäß den steuer- und handelsrechtlichen Aufbewahrungspflichten der §§ 257 HGB und 147 AO für 10 Jahre ab Ende des Kalenderjahrs, in dem die Zahlung erfolgte, bei Stripe und Omniq gespeichert.

Rechtsgrundlage für die Zahlungs- und Abo-Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die Aufbewahrung der Rechnungsdaten zusätzlich Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Datenübermittlungen an Stripe in die USA erfolgen auf Basis des EU-US Data Privacy Framework sowie Standardvertragsklauseln. Weitere Informationen zur Datenverarbeitung durch Stripe: Stripe Datenschutzerklärung.

8. E-Mail-Versand — Resend

Für den Versand von Transaktions-E-Mails (Bestellbestätigung, Versandbenachrichtigung, Passwort-Reset, Konto-Bestätigung) nutzen wir den Dienst Resend (Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA). Dabei wird Ihre E-Mail-Adresse an Resend übermittelt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Übermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework sowie Standardvertragsklauseln. Weitere Informationen: Resend Datenschutzerklärung.

9. Hosting und Datenbank — Vercel & Supabase

Unsere Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Serverless Functions und Edge-Requests laufen in der Region Frankfurt (fra1); Logs und Monitoring-Metadaten können konzernintern in den USA verarbeitet werden.

Unsere Datenbank wird bei Supabase Inc. (970 Toa Payoh North, #07-04, Singapore 318992) betrieben; der Datenstandort ist ausschließlich Frankfurt (Deutschland, EU). Sämtliche personenbezogenen und Gesundheitsdaten liegen damit im Geltungsbereich der DSGVO.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Bereitstellung unseres Online-Angebots). Für die US-Mutterkonzerne gelten das EU-US Data Privacy Framework sowie Standardvertragsklauseln.

10. Fehlerdiagnose — Sentry

Zur Überwachung technischer Fehler und der Stabilität unserer Anwendungen nutzen wir Sentry (Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA). Sentry erfasst ausschließlich Fehlermeldungen und Performance-Metriken — keine Session-Aufzeichnungen, kein Screen-Recording, keine Tracking- oder Analysefunktionen.

Dabei werden nur technische Daten (Stacktrace, Browsertyp, URL-Pfad, Zeitstempel) übermittelt; die IP-Adresse wird vor der Übermittlung anonymisiert (Einstellung sendDefaultPii: false). Eingabefelder wie Passwörter und Kartendaten sind in den Client-Konfigurationen explizit maskiert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen Betrieb und der Sicherheit unserer Dienste). Die Übermittlung in die USA erfolgt auf Basis des EU-US Data Privacy Framework und Standardvertragsklauseln. Weitere Informationen: Sentry Datenschutzerklärung.

11. Datenübermittlung in Drittländer

Einige der genannten Dienstleister (Stripe, Resend, Sentry, OpenAI, Vercel) haben Konzernstrukturen mit Sitz in den USA. Die Datenübermittlung erfolgt jeweils auf Basis des EU-US Data Privacy Framework (sofern der Anbieter dort zertifiziert ist) sowie ergänzend auf Basis von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Wir haben mit allen Auftragsverarbeitern Datenverarbeitungsverträge nach Art. 28 DSGVO geschlossen.

12. Cookies und lokale Speicherung

Unsere Website verwendet ausschließlich technisch notwendige Cookies bzw. lokalen Speicher im Sinne des § 25 Abs. 2 Nr. 2 TTDSG:

  • Supabase-Session-Cookies (sb-*) — halten Ihre Anmeldung aktiv. Ohne sie funktioniert das Konto nicht.
  • NEXT_LOCALE — speichert Ihre im Footer gewählte Sprache (DE/EN), damit Sie beim nächsten Besuch nicht erneut umstellen müssen.
  • Warenkorb-Zustand (LocalStorage) — hält die im Warenkorb liegenden Artikel zwischen Seitenaufrufen.
  • Stripe-Cookies während des Checkout-Flows — von Stripe selbst zur Betrugsprävention gesetzt. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; Einzelheiten in der Stripe-Datenschutzerklärung.

Wir verwenden keine Tracking-Cookies, keine Analyse-/Statistik-Tools, kein Remarketing und keine Social-Media-Pixel. Eine Einwilligung („Cookie-Banner“) ist daher für die aktuell eingesetzten Cookies nicht erforderlich.

13. Ihre Rechte

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO) — Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Kontolöschung über die App-Einstellungen oder Kontaktformular.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen Format übermitteln.
  • Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit widersprechen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt ist (insbesondere Sentry-Fehlerdiagnose und Hosting-Logs).
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen (insbesondere zur Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. a DSGVO sowie zur AI-Coach-Nutzung) können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass dies die Rechtmäßigkeit der bisherigen Verarbeitung berührt.
  • Nicht-Unterwerfung unter automatisierte Entscheidungen (Art. 22 DSGVO) — Auch wenn unsere KI-Analysen keine rechtlich erheblichen Entscheidungen treffen, haben Sie das Recht, die AI-Coach-Funktion jederzeit in den App-Einstellungen zu deaktivieren.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@omniq-health.de. Wir bearbeiten Ihre Anfrage in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

14. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

15. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Stand: April 2026