Datenschutzerklärung
THALOS AI FITNESS COACH
Datenschutzerklärung
App, Website, Wearables, KI-Coaching und Performance-Daten
DATA PROTECTION / PRIVACY
1. Verantwortliche
Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Thalos Ai Fitness Coach GmbH, Kohlmarkt 4/6, 1010 Wien, Österreich, Firmenbuchnummer FN 658737 g, Firmenbuchgericht Handelsgericht Wien, UID ATU82506012.
Kontakt Datenschutz: privacy@thalos.at. Allgemeiner Kontakt, Support, Beschwerden und rechtserhebliche Mitteilungen: notifications@thalos.at.
Diese Datenschutzerklärung gilt für die Thalos App, Website, Bestellstrecken, Kundenkonto, Support, Geräte- und App-Integrationen sowie damit verbundene Dienste für Verbraucher:innen.
2. Grundsätze
Transparenz und Kontrolle: Du erhältst Informationen über Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Rechte. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
Datenminimierung und Sicherheit: Wir verarbeiten Daten so umfangreich wie für Fitness-Personalisierung, Vertragsabwicklung, Sicherheit, Produktverbesserung und rechtliche Pflichten erforderlich, setzen technische und organisatorische Maßnahmen ein und beschränken interne Zugriffe auf Need-to-know.
Nicht-medizinische Zweckbestimmung: Thalos verarbeitet Daten ausschließlich für Fitness-, Wellness-, Lifestyle-, Performance-, App- und Vertragszwecke, nicht zur medizinischen Diagnose, Therapie, Prävention, Krankheitsüberwachung oder Notfallversorgung.
Keine Veräußerung personenbezogener Gesundheitsdaten: Wir verkaufen keine personenbezogenen Fitness- oder Gesundheitsdaten an Werbekunden, Arbeitgeber, Fitnessstudios oder sonstige Dritte.
Anonymisierte Nutzung: Wir können anonymisierte oder aggregierte Daten und daraus abgeleitete Modelle, Benchmarks, Reports, Datenprodukte und Erkenntnisse nutzen, teilen, lizenzieren und kommerziell verwerten, wenn ein Rückschluss auf einzelne Personen nach angemessener Prüfung ausgeschlossen ist.
3. Welche Daten wir verarbeiten
Je nach Nutzung, Tarif, Einwilligung und aktiven Integrationen verarbeiten wir insbesondere folgende Datenkategorien:
Datenkategorie | Beispiele |
|---|---|
Konto, Identität, Kontakt | Name, E-Mail, Telefonnummer, Login-Daten, Sprache, Land, Kundennummer, App-/Account-Status, Zustimmungshistorie. |
Vertrag, Zahlung, Gerät | Plan, Preise, Rechnungen, Zahlungsstatus, Abrechnungszeitraum, Kündigung, Rücktritt, Geräteversand, Rücksendung, offener anteiliger Gerätewert. |
Onboarding- und Profilwerte | Geschlecht, Geburtsdatum/Alter, Größe, Gewicht, dominierende Hand, Trainingshintergrund, typische Tagesstruktur, Ziele, Schlafziel, Leistungsniveau, VO2max, Ruhepuls, Maximalpuls. |
Wearables und Sensorik | Herzfrequenz, HRV/RR/PPI, PPG-Qualität, Bewegung/Accelerometer, Schritte, Aktivität, Schlafzeiten, Schlafphasen, Schlafbewertung, Hauttemperatur, Kontaktstatus, Geräte-ID, Batterie, App- und Geräte-Metadaten. |
Training | Trainingspläne, Workouts, Übungen, Sätze, Wiederholungen, Gewichte, Dauer, RPE/RIR, Pausen, Leistungsdaten, Trainingslogs, Fotos/Videos, CrossFit-Board-Fotos, Freitextnotizen. |
Ernährung | Mahlzeitenfotos, Texteingaben, Zeitpunkte, erkannte Lebensmittel, Portionen, Kalorien, Makros, Nährstoffe, Alkoholanteile, Fasten-/Skipping-Angaben, Korrekturen und Akzeptanzstatus. |
Supplements, Medikamente, Notizen | Supplement-/Produktnamen, Darreichungsform, Inhaltsstoffe, Dosierungen, Fotos, OTC-/verschreibungspflichtige Medikamentenangaben, freie Notizen zu Stress, Erholung, Muskelzustand, Zyklus oder Alltag. |
Glukose, Lactat, Körperwerte | Glukosewerte aus CGM/HealthKit, Körpergewicht, Lactatmessbilder, erkannte und bestätigte Lactatwerte, Körperzusammensetzung, Performance-Tests, soweit genutzt. |
Erweiterte Diagnostik | Blutwerte, Hormonwerte, Mikrobiomdaten, genetische Daten, Laktat- und Leistungsdiagnostik, Bioimpedanz, Spiroergometrie oder ähnliche Werte, sofern Du an entsprechenden Funktionen, Studien oder Zusatzangeboten teilnimmst. |
Support und Kommunikation | Chat-, WhatsApp-, E-Mail- und Supportnachrichten, Screenshots, Logfiles, Fehlerberichte, Feedback, Zufriedenheits- und Beschwerdeinformationen. |
Technik, Sicherheit, Nutzung | IP-Adresse, Gerätetyp, Betriebssystem, App-Version, Logdaten, Sessiondaten, Push-Token, Cookie-/Tracking-IDs, Nutzungsereignisse, Fehler- und Performance-Daten. |
Freitext, Fotos und Videos
Bitte lade keine Daten Dritter hoch. Fotos/Videos sollen keine Gesichter, Namen, Adressen, Kennzeichen, medizinischen Dokumente Dritter oder sonstige fremde personenbezogene Daten enthalten. Bei Blackboard- oder Workout-Fotos sollten fremde Namen und Gesichter vor dem Upload entfernt oder unkenntlich gemacht werden.
4. Zwecke und Rechtsgrundlagen
Zweck | Beschreibung | Rechtsgrundlage |
|---|---|---|
Vertragserfüllung | Konto, Bestellung, Mitgliedschaft, Abrechnung, Kündigung, Gerätebereitstellung, Support, Kernfunktionen der App. | Art. 6 Abs. 1 lit. b DSGVO; bei Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO, soweit erforderlich. |
Personalisierte Fitness-/Wellness-Empfehlungen | Analyse von Profil-, Trainings-, Ernährungs-, Regenerations-, Wearable- und Sensordaten zur Erstellung von Plänen, Scores, Hinweisen und Coaching-Antworten. | Ausdrückliche Einwilligung Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO; Widerruf jederzeit möglich, Kernfunktion dann ggf. nicht mehr nutzbar. |
Geräte- und Integrationsbetrieb | Verbindung mit Polar, Apple Health/HealthKit, CGM, Lactatmessgeräten, Push-Diensten und App-Stores. | Art. 6 Abs. 1 lit. b DSGVO; Einwilligung, soweit gesetzlich oder plattformseitig erforderlich; bei Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO. |
Produktverbesserung und KI-Training | Fehleranalyse, Qualitätssicherung, Modellverbesserung, OCR-/Erkennungsverbesserung, Entwicklung neuer Fitness- und Performance-Funktionen sowie Training/Validierung von KI-Modellen. | Berechtigte Interessen Art. 6 Abs. 1 lit. f DSGVO für nicht-sensitive technische Daten; ausdrückliche Einwilligung für Gesundheits-/Spezialdaten; anonymisierte Daten außerhalb der DSGVO. |
Anonymisierte Performance Science | Erstellung anonymisierter/aggregierter Benchmarks, Modelle, Datensätze, Reports und Datenprodukte; Nutzung, Lizenzierung und kommerzielle Verwertung durch Thalos, verbundene Unternehmen und Partner. | Vorherige Verarbeitung personenbezogener Spezialdaten auf Grundlage ausdrücklicher Einwilligung oder anderer geeigneter Rechtsgrundlage; wirksam anonymisierte Daten sind keine personenbezogenen Daten. |
Sicherheit und Missbrauchsvermeidung | Logdaten, Zugriffskontrollen, Betrugsprävention, Sicherung gegen unberechtigte Nutzung, Incident Response. | Art. 6 Abs. 1 lit. f DSGVO; ggf. Art. 6 Abs. 1 lit. c DSGVO bei gesetzlichen Pflichten. |
Rechtliche Pflichten | Buchhaltung, Steuern, Gewährleistung, Verbraucherrechte, Behördenanfragen, Aufbewahrungspflichten. | Art. 6 Abs. 1 lit. c DSGVO; ggf. Art. 6 Abs. 1 lit. f DSGVO zur Rechtsverteidigung. |
Marketing | Newsletter, Angebote, Produktinformationen, Zufriedenheitsumfragen, Kampagnenmessung. | Einwilligung Art. 6 Abs. 1 lit. a DSGVO, soweit erforderlich; sonst berechtigtes Interesse für Bestandskundenwerbung im gesetzlich zulässigen Rahmen; Widerspruch jederzeit möglich. |
5. Besondere Kategorien personenbezogener Daten und Einwilligungen
Viele Thalos Daten können Gesundheitsdaten sein, auch wenn Thalos sie nicht für medizinische Zwecke nutzt. Dazu gehören etwa Herzfrequenz, HRV, Schlaf, Glukose, Gewicht, Training, Regeneration, Medikamente/Supplements, Blutwerte, Mikrobiomdaten, und freie Notizen mit Gesundheitsbezug.
Wir verarbeiten solche Daten für die personalisierte Fitness-/Wellness-Funktion nur, wenn eine geeignete Rechtsgrundlage vorliegt. Im Consumer-Produkt ist dies regelmäßig Deine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a oder lit. b DSGVO.
Du kannst Einwilligungen jederzeit in der App, im Kundenkonto oder per E-Mail an privacy@thalos.at widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Widerruf. Nach Widerruf können Funktionen eingeschränkt oder nicht mehr verfügbar sein, wenn sie ohne die betreffenden Daten nicht erbracht werden können.
Für erweiterte Diagnostik wie Blutwerte oder Mikrobiomanalyse können zusätzliche, spezifische Informationen und Einwilligungen gelten, welche im Anlassfall separat vereinbart werden. Solche Daten werden nicht für medizinische Diagnosen oder Behandlungen durch Thalos verwendet.
6. Anonymisierte, aggregierte und de-identifizierte Daten
Wir können Daten aus der App verarbeiten, um anonymisierte oder aggregierte Datensätze, KI-Modelle, Benchmarks, statistische Erkenntnisse, Forschungsberichte, Produktfunktionen, Datenprodukte und Performance-Insights zu erstellen. Dabei werden personenbezogene Merkmale entfernt, zusammengefasst oder technisch und organisatorisch so geschützt, dass ein Rückschluss auf einzelne Nutzer:innen nach vernünftiger Erwartung nicht mehr möglich ist.
Sobald Daten wirksam anonymisiert sind, sind sie keine personenbezogenen Daten im Sinne der DSGVO. Solche anonymisierten oder aggregierten Ergebnisse dürfen von Thalos, verbundenen Unternehmen der Thalos-/Trace-/BioTrace-Gruppe und ausgewählten Forschungs-, Technologie- oder Geschäftspartnern genutzt, geteilt, lizenziert, veröffentlicht, in Produkte integriert oder monetarisiert werden, ohne einzelne Nutzer:innen zu identifizieren.
Wir verkaufen keine personenbezogenen Fitness- oder Gesundheitsdaten. Wenn eine Nutzung noch Rückschlüsse auf Dich zulassen könnte, behandeln wir die Daten als personenbezogen und stützen uns auf eine geeignete Rechtsgrundlage und Schutzmaßnahmen.
Anonymisierte Ergebnisse, Modelle, Benchmarks, Reports, Datenprodukte und sonstige abgeleitete Erkenntnisse, die vor einem Widerruf oder Löschantrag rechtmäßig erstellt wurden und keine Identifizierung mehr ermöglichen, können dauerhaft weiterverwendet werden.
7. Empfänger und Auftragsverarbeiter
Wir geben personenbezogene Daten nur weiter, soweit dies für die genannten Zwecke erforderlich ist, eine Rechtsgrundlage besteht und geeignete Datenschutzverträge bzw. Schutzmaßnahmen umgesetzt sind. Kategorien von Empfängern können sein:
Hosting-, Cloud-, Datenbank-, Speicher-, Security-, Monitoring- und Backup-Anbieter;
Zahlungsdienstleister, Rechnungs-, Steuer- und Buchhaltungsdienstleister;
App-Stores, Push-Dienste, E-Mail-, Messaging-, Support- und CRM-Anbieter;
KI-, LLM-, Bild-/OCR-, Sprach-, Analyse- und Datenverarbeitungsanbieter;
Wearable-, Sensor- und Integrationsanbieter wie Polar, Apple Health/HealthKit, CGM- oder Lactatgeräteanbieter, soweit Du diese Integration nutzt;
Labore, Diagnostik- und Studienpartner, wenn Du entsprechende Zusatzleistungen oder Studien ausdrücklich nutzt;
verbundene Unternehmen, insbesondere für technische Unterstützung, Produktentwicklung, Forschung oder anonymisierte/aggregierte Performance Science;
Rechtsanwält:innen, Steuerberater:innen, Wirtschaftsprüfer:innen, Versicherer, Behörden oder Gerichte, soweit erforderlich.
Fitnessstudios, Coaches, Influencer, Arbeitgeber, Versicherungen oder Corporate-Wellness-Partner erhalten personenbezogene Daten nur, wenn Du dies ausdrücklich autorisierst oder eine andere klare Rechtsgrundlage besteht. Andernfalls werden gegenüber solchen Partnern höchstens aggregierte oder anonymisierte Informationen geteilt.
8. Drittlandübermittlungen
Wir streben eine Verarbeitung innerhalb der EU/des EWR an. Soweit Dienstleister oder verbundene Unternehmen außerhalb der EU/des EWR beteiligt sind, erfolgt eine Übermittlung nur nach den Vorgaben der DSGVO, z. B. auf Grundlage eines Angemessenheitsbeschlusses, EU-Standardvertragsklauseln, zusätzlicher Schutzmaßnahmen oder anderer zulässiger Mechanismen.
Eine aktuelle Liste wesentlicher Dienstleister und Transfermechanismen sollte in der veröffentlichten Datenschutzerklärung oder einem verlinkten Unterprozessorenverzeichnis gepflegt werden. Vor Veröffentlichung final zu ergänzen: Hosting/Cloud, LLM/KI, Payment, Support, E-Mail/Push, Analytics/SDKs, App-Stores, Wearables und allfällige Labor-/Diagnostikpartner.
9. Speicherdauer
Datenart | Speicherkriterium |
|---|---|
Konto- und Vertragsdaten | für die Dauer der Mitgliedschaft und danach solange gesetzliche Ansprüche, Gewährleistungs-, Steuer- oder Aufbewahrungsfristen bestehen. |
Rechnungs- und Buchhaltungsdaten | nach gesetzlichen Aufbewahrungspflichten, regelmäßig bis zu sieben Jahre, soweit keine längeren Pflichten oder Rechtsansprüche bestehen. |
Fitness-/Wellness- und Gesundheitsdaten | solange die Mitgliedschaft besteht, eine Einwilligung wirksam ist und die Daten für Funktionen, Verlauf, Support oder berechtigte Zwecke benötigt werden; danach Löschung oder wirksame Anonymisierung, soweit keine Aufbewahrungsgründe bestehen. |
Support- und Kommunikationsdaten | solange für Bearbeitung, Qualitätssicherung, Missbrauchsabwehr oder Rechtsverteidigung erforderlich. |
Sicherheits- und technische Logs | regelmäßig kurzfristig bis mittelfristig, abhängig vom Sicherheitszweck; längere Speicherung nur bei Vorfällen, Missbrauch oder gesetzlichen Gründen. |
Anonymisierte/aggregierte Daten | dauerhaft, da sie keine identifizierbare Person mehr betreffen; regelmäßige Re-Identifikations- und Aggregationsprüfungen sollten intern dokumentiert werden. |
Konkrete Löschfristen müssen vor Go-live anhand der tatsächlichen Architektur, Anbieter und Aufbewahrungspflichten final dokumentiert und technisch umgesetzt werden.
10. KI, Profiling und automatisierte Empfehlungen
Thalos nutzt KI und Profiling im Sinne der DSGVO, um Trainings-, Ernährungs-, Regenerations- und Performance-Empfehlungen zu personalisieren. Dabei werden Deine Daten statistisch und regelbasiert ausgewertet und mit Modellen, historischen Verläufen und Benchmarks verglichen.
Diese Empfehlungen haben keine rechtliche Wirkung und sollen Dich nicht in vergleichbar erheblicher Weise im Sinne von Art. 22 DSGVO beeinträchtigen. Sie sind nicht medizinisch, nicht verbindlich und können falsch sein. Du kannst Ergebnisse prüfen, Eingaben korrigieren, Einwilligungen widerrufen und Support kontaktieren.
Wenn Thalos künftig Funktionen einführt, die rechtliche oder ähnlich erhebliche Wirkungen entfalten könnten, wird Thalos vorab gesondert informieren, die Rechtsgrundlage prüfen und erforderliche Schutzmaßnahmen umsetzen.
11. HealthKit, Wearables und Drittquellen
Wenn Du Apple Health/HealthKit, Polar oder andere Drittquellen verbindest, entscheidest Du in den jeweiligen Einstellungen, welche Daten freigegeben werden. Du kannst Berechtigungen dort oder in der App jederzeit ändern oder entziehen.
Daten aus Drittquellen können unvollständig oder fehlerhaft sein. Thalos validiert diese Daten nicht medizinisch und übernimmt keine Verantwortung für Herstellerangaben, Messgenauigkeit oder Drittanbieterbedingungen.
HealthKit-Daten werden nicht für Werbung verwendet und nicht an Werbenetzwerke verkauft. Die Nutzung erfolgt zur Bereitstellung der gewählten Funktionen und, soweit Du gesondert zustimmst, zur Produktverbesserung und anonymisierten Performance Science.
12. Cookies, App-Analyse und Marketing
Website und App können Cookies, SDKs, Pixel oder ähnliche Technologien einsetzen. Technisch notwendige Technologien dienen Betrieb, Sicherheit, Vertrag und Login. Analyse-, Marketing- oder Tracking-Technologien werden nur eingesetzt, soweit eine geeignete Rechtsgrundlage besteht, insbesondere Einwilligung.
Ein Cookie-/Consent-Management-Tool sollte vor Go-live eingerichtet werden. Nicht notwendige Cookies/SDKs dürfen vor Einwilligung nicht aktiviert werden. App-Store-Datenschutzhinweise müssen mit dieser Datenschutzerklärung übereinstimmen.
13. Sicherheit
Wir schützen personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen. Dazu gehören je nach System: Verschlüsselung bei Übertragung und Speicherung, rollenbasierte Zugriffskontrollen, Need-to-know-Prinzip, Protokollierung von Zugriffen, Backups, sichere Entwicklungsprozesse, Monitoring, Incident Response, Vertraulichkeitsverpflichtungen und regelmäßige Überprüfung von Dienstleistern.
Trotz Sicherheitsmaßnahmen kann keine absolute Sicherheit garantiert werden. Nutzer:innen sollten starke Passwörter verwenden, Geräte sichern und verdächtige Aktivitäten an notifications@thalos.at melden.
14. Deine Rechte
Du hast nach Maßgabe der DSGVO insbesondere folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen, Widerruf von Einwilligungen sowie Beschwerde bei einer Aufsichtsbehörde.
In Österreich ist die Datenschutzbehörde zuständig: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.gv.at, Website: www.dsb.gv.at.
Wenn Du Löschung verlangst und die gesetzlichen Voraussetzungen vorliegen, löschen wir personenbezogene Daten oder entfernen den Personenbezug so, dass eine Identifizierung durch Thalos oder Dritte nicht mehr oder nur mit unverhältnismäßigem Aufwand möglich ist. Die konkrete technische Umsetzung wählen wir unter Beachtung der DSGVO, der Datensicherheit, der Nachweisbarkeit und gesetzlicher Aufbewahrungspflichten. Soweit Daten aus rechtlichen Gründen, zur Vertragserfüllung, Abrechnung, Rechtsverteidigung oder Sicherheit weiter benötigt werden, können sie eingeschränkt weiterverarbeitet werden. Kein Löschungsanspruch besteht in Bezug auf wirksam anonymisierte oder aggregierte Daten, Ergebnisse, Modelle, Benchmarks oder Produkte, die Dich nicht mehr identifizieren.
Anfragen richtest Du an privacy@thalos.at. Zur Bearbeitung können wir eine angemessene Identitätsprüfung verlangen.
15. Minderjährige
Die reguläre Thalos Mitgliedschaft richtet sich an Personen ab 18 Jahren. Für 16- oder 17-jährige Nutzer:innen kann Thalos einen gesonderten Minderjährigenprozess anbieten. Dann werden die Zustimmung der gesetzlichen Vertreter:innen, eine verständliche Datenschutzinformation, eine klare Vertrags-/Zahlungsabwicklung über eine volljährige Person bzw. mit Zustimmung der gesetzlichen Vertreter:innen und zusätzliche Schutzmaßnahmen dokumentiert. Für Personen unter 16 Jahren ist die reguläre App nicht bestimmt.
16. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung aktualisieren, etwa bei neuen Funktionen, Dienstleistern, Rechtsänderungen oder geänderten Datenverarbeitungen. Wesentliche Änderungen werden in angemessener Weise mitgeteilt. Bei neuen einwilligungspflichtigen Zwecken holen wir eine gesonderte Einwilligung ein.