Datenschutzerklärung

Stand: 7.7.2026

1. Verantwortlicher

Herdi Bukusu
Grüner Ring 5
52499 Baesweiler, Deutschland
E-Mail: bukusu@sleepperformance.app

2. Welche Daten wir verarbeiten

  • Account-Daten: E-Mail, Anzeigename (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung).
  • Check-ins: körperliche Verfassung, mentale Verfassung, Energie, Stress, Schlafqualität.
  • Wearable-Daten (optional, nur nach Freigabe): Schlaf, HRV, Herzfrequenz, Aktivität von Whoop, Garmin, Polar, Apple Health.
  • Nutzung: Streak, Deal-Verlauf, Plan- und Gruppen-Auswahl, Spracheinstellung.
  • Technisch: IP-Adresse (gekürzt), Browser-/Geräte-Typ, Zeitstempel.

3. Gesundheits- und Biometriedaten (Art. 9 DSGVO)

Check-in-Werte, Wearable-Daten und daraus berechnete Scores (Recovery, Burnout-Risiko, Fokus, mentale Schärfe) sind besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Wir verarbeiten sie ausschließlich auf Basis deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die du beim Onboarding erteilst und jederzeit in den Einstellungen widerrufen kannst.

Keine medizinische Beratung: Sleep Performance ersetzt keine ärztliche Diagnose oder Therapie. Bei gesundheitlichen Beschwerden wende dich an eine Ärztin oder einen Arzt.

4. Zwecke der Verarbeitung

  • Bereitstellung der App-Funktionen (Check-in, Scores, Deals, Verlauf).
  • Personalisierte KI-Coach-Briefings (gehostet bei Lovable AI, Google Gemini – siehe 7.).
  • Burnout-Frühwarnung für Einzelpersonen und – nur in aggregierter, anonymisierter Form – für Teams/Unternehmen.
  • Technische Sicherheit, Missbrauchserkennung, Fehleranalyse.

5. Empfänger und Drittländer

  • Lovable Cloud (Hosting Datenbank, Auth, Server-Functions) – EU-Region.
  • Lovable AI Gateway (Google Gemini) für KI-Coach-Briefings. Es werden nur die für die Anfrage nötigen Werte (Check-in, Scores, Verlauf der letzten 7 Tage) übermittelt, ohne E-Mail/Name.
  • Wearable-Anbieter (Whoop, Garmin, Polar, Apple) – nur bei aktiver Verbindung.
  • Push-Dienste (Google FCM, Apple APNs, Mozilla autopush) zur Auslieferung von Benachrichtigungen.

Bei Drittlandsübermittlung in die USA bestehen EU-Standardvertragsklauseln bzw. Zertifizierungen nach EU-US Data Privacy Framework.

6. Team- und Firmenfunktionen

Coaches und HR-Verantwortliche sehen niemals Einzelwerte. Burnout- und Recovery-Scores werden nur als aggregierte Gruppenwerte (Durchschnitt über alle Teammitglieder bzw. Abteilungen) angezeigt. Voraussetzung: mindestens 3 aktive Mitglieder, sonst keine Anzeige.

7. KI-gestützte Verarbeitung

Der KI-Coach erzeugt Tages-Briefings auf Basis deiner aktuellen Werte. Die Verarbeitung erfolgt über das Lovable AI Gateway. Es werden keine personenbezogenen Identifikatoren (E-Mail, Name) übertragen, sondern nur Zahlenwerte und Datums-Reihen. Du kannst die KI-Funktion in den Einstellungen deaktivieren.

8. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Speicherung im Browser (LocalStorage: Sprache, Plan, lokale Check-ins). Optional kannst du anonyme Nutzungs-Statistik aktivieren – Auswahl erfolgt im Cookie-Banner und kann jederzeit geändert werden.

9. Speicherdauer

Account-Daten: bis zur Löschung des Accounts. Check-ins und Wearable-Daten: 24 Monate ab Erhebung, danach automatische Anonymisierung. Logs (IP, Zeit): 14 Tage.

10. Deine Rechte (Art. 15–22 DSGVO)

  • Auskunft über gespeicherte Daten
  • Berichtigung unrichtiger Daten
  • Löschung („Recht auf Vergessenwerden") – direkt in den Einstellungen
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Export als JSON – direkt in den Einstellungen)
  • Widerruf der Einwilligung jederzeit mit Wirkung für die Zukunft
  • Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde

11. Web-Push-Benachrichtigungen

Sleep Performance kann dir Push-Benachrichtigungen senden (Reminder, Deal-Hinweise). Die Zustellung läuft über die Browser-/OS-Dienste FCM (Android/Chrome), APNs (iOS/Safari) und Mozilla autopush. Du kannst Push in den App- oder Browser-Einstellungen jederzeit deaktivieren.

12. Auftragsverarbeitung & Sicherheit

Alle Daten werden verschlüsselt übertragen (TLS) und im Ruhezustand verschlüsselt gespeichert. Mit allen relevanten Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

Hinweis: Diese Erklärung ist eine sorgfältig vorbereitete Vorlage. Bitte vor Veröffentlichung von einer Datenschutzbeauftragten / einem Anwalt final prüfen lassen.