Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Ein Datenschutzbeauftragter ist nicht bestellt, da LMX Labs als Einzelunternehmen die gesetzlichen Schwellenwerte nicht erreicht. Für alle Datenschutzanfragen steht dir die oben genannte Kontaktadresse zur Verfügung.

2. Welche Daten wir erheben

2.1 Kontodaten

2.2 Gesundheitsdaten

2.3 Wearable-Daten

2.4 Fotos (KI-Kalorienscanner)

2.5 Suchprotokolle

2.6 Nutzungsdaten

2.7 Soziale Funktionen

2.8 Abonnementdaten (RevenueCat)

3. KI-Verarbeitung (Google Gemini API)

Calyx nutzt die Google Gemini API für folgende Funktionen:

• Foto-Kalorienanalyse: Lebensmittelfotos werden zur automatischen Kalorienerkennung an Google gesendet
• Coaching-Insights: Zusammengefasste Tagebuchdaten werden zur Generierung personalisierter Ernährungsempfehlungen verwendet
• Supplement-Beratung: Supplement-Logs werden zur Erstellung von Supplement-Insights verwendet

Rechtsgrundlage:Einwilligung, bei Gesundheitsdaten ausdrückliche Einwilligung. Für die KI-Funktionen wird eine gesonderte Einwilligung eingeholt, getrennt von der allgemeinen Gesundheitsdaten-Einwilligung.

Datentransfer:Die Gemini API wird auf Servern in den USA betrieben. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023). Zusätzlich gelten Standardvertragsklauseln (SCCs) als Absicherung.

4. Dienstleister und Empfänger

Folgende Drittanbieter erhalten im Rahmen der App-Nutzung Zugang zu personenbezogenen Daten:

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge. Es erfolgt keine Weitergabe personenbezogener Daten an Dritte zu Werbezwecken.

5. Datentransfer in Drittländer

Einige unserer Auftragsverarbeiter haben ihren Sitz in den USA. Die Übermittlung personenbezogener Daten erfolgt auf folgender Grundlage:

• EU-US Data Privacy Framework (DPF): Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023. Alle US-Auftragsverarbeiter sind unter dem DPF zertifiziert. Die Zertifizierung kann unter dataprivacyframework.gov überprüft werden.
• Standardvertragsklauseln (SCCs): Zusätzlich zum DPF setzen wir Standardvertragsklauseln als ergänzende Schutzmaßnahme ein, für den Fall, dass der DPF-Beschluss aufgehoben werden sollte.

Deine Datenbank-Daten werden auf Servern von Supabase in Frankfurt am Main (EU) gehostet. Ein Transfer dieser Daten außerhalb der EU findet im Regelbetrieb nicht statt.

6. Speicherdauer

Nach der Kontolöschung werden alle personenbezogenen Daten innerhalb von 30 Tagen endgültig aus allen Systemen entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

7. Deine Rechte

Du hast folgende Rechte bezüglich deiner personenbezogenen Daten:

• Auskunft:Du kannst eine Bestätigung verlangen, ob wir Daten von dir verarbeiten, und eine Kopie dieser Daten erhalten.
• Berichtigung:Du kannst die Korrektur fehlerhafter oder die Vervollständigung unvollständiger Daten verlangen. Viele Daten kannst du direkt in der App ändern.
• Löschung:Du kannst die Löschung deiner Daten verlangen. Die Löschung kann direkt in der App unter Profil → Konto löschen oder per E-Mail beantragt werden. Weitere Informationen auf unserer Seite zur Kontolöschung.
• Einschränkung:Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen, z. B. wenn du die Richtigkeit der Daten bestreitest.
• Datenübertragbarkeit: Du kannst deine Daten in einem maschinenlesbaren Format erhalten. In der App unter Profil → Datenschutz → Daten exportieren kannst du einen vollständigen JSON-Export herunterladen.
• Widerspruch: Du kannst der Verarbeitung deiner Daten widersprechen, sofern die Verarbeitung auf berechtigtem Interesse beruht.
• Widerruf der Einwilligung: Du kannst jede erteilte Einwilligung jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Näheres in Abschnitt 8.
• Beschwerde bei der Aufsichtsbehörde: Du kannst dich an die zuständige Datenschutz-Aufsichtsbehörde wenden.

Zur Ausübung deiner Rechte wende dich bitte an info@lmxlabs.dev. Wir antworten innerhalb von 30 Tagen.

8. Einwilligung und Widerruf

Wie wird die Einwilligung erteilt?

Die ausdrückliche Einwilligung zur Verarbeitung deiner Gesundheitsdaten wird während des Onboardings auf einem separaten Bildschirm eingeholt – getrennt von den Nutzungsbedingungen. Die Einwilligung erfolgt durch aktives Setzen eines Häkchens (nicht vorausgewählt).

Für folgende Verarbeitungen werden gesonderte Einwilligungen eingeholt:

• Verarbeitung von Gesundheitsdaten (Ernährungstagebuch, Körperdaten, Aktivität, Supplements)
• KI-Coaching und KI-Kalorienanalyse (Datenübermittlung an Google Gemini)
• Wearable-Synchronisierung (Import aus Apple Health / Google Health Connect)

Jede Einwilligung wird mit Zeitstempel und Einwilligungsversion dokumentiert.

Wie widerrufe ich meine Einwilligung?

Du kannst deine Einwilligung jederzeit und ohne Angabe von Gründen widerrufen:

• Wearable-Daten:Profil → Wearable-Einstellungen → Verbindung trennen
• KI-Coaching: Kann in den Profileinstellungen deaktiviert werden
• Alle Daten:Profil → Konto löschen (vollständige Löschung aller Daten)
• Per E-Mail: Formlose E-Mail an info@lmxlabs.dev

Nach dem Widerruf wird die betroffene Datenverarbeitung unverzüglich eingestellt. Bereits verarbeitete Daten bleiben bis zum Widerruf rechtmäßig verarbeitet. Bei Widerruf aller Einwilligungen und Kontolöschung werden sämtliche personenbezogenen Daten gelöscht.

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

• Verschlüsselung bei der Übertragung: Alle Datenübertragungen erfolgen über TLS/SSL (HTTPS).
• Verschlüsselung in Ruhe: Gespeicherte Daten sind mit AES-256 verschlüsselt (bereitgestellt durch Supabase/AWS).
• Row Level Security (RLS):Auf Datenbankebene stellt RLS sicher, dass jeder Nutzer ausschließlich auf seine eigenen Daten zugreifen kann.
• Zugriffsbeschränkungen: Serverseitige Schlüssel werden ausschließlich in geschützten Serverumgebungen verwendet.
• Pseudonymisierung:In der Datenbank werden UUIDs statt E-Mail-Adressen als Primärschlüssel verwendet.
• Sofortige Fotolöschung: Lebensmittelfotos werden nach der KI-Analyse sofort gelöscht.
• Keine Tracking-Tools: Kein Google Analytics, kein PostHog, kein Sentry.

10. KI-Empfehlungen

• Keine automatisierten Entscheidungen: Die KI-generierten Coaching-Insights, Kalorienschätzungen und Supplement-Empfehlungen sind ausschließlich unverbindliche Empfehlungen. Es werden keine automatisierten Entscheidungen getroffen, die dich rechtlich oder in ähnlicher Weise erheblich beeinträchtigen.
• Kein Profiling: Es findet keine Profiling-basierte Entscheidungsfindung statt.
• Kein Ersatz für medizinischen Rat: Die KI-Funktionen stellen keine medizinische Beratung dar und ersetzen nicht die Konsultation eines Arztes oder einer Ernährungsberatung.

11. Kinder und Jugendliche

Calyx ist nicht für Kinder unter 16 Jahren bestimmt. Wir erheben nicht wissentlich Daten von Personen unter 16 Jahren. Falls du Kenntnis davon hast, dass ein Kind unter 16 Jahren Calyx nutzt, kontaktiere uns bitte unter info@lmxlabs.dev.

12. Änderungen

Wir können diese Datenschutzerklärung bei Bedarf anpassen, insbesondere bei Änderungen der App-Funktionalität oder der Rechtslage. Bei wesentlichen Änderungen wirst du per App-Benachrichtigung informiert. Gegebenenfalls wird eine erneute Einwilligung eingeholt.

Das Datum der letzten Aktualisierung findest du am Anfang dieses Dokuments.

13. Kontakt

Wir bemühen uns, alle Anfragen innerhalb von 30 Tagen zu beantworten.

© 2026 LMX Labs. Alle Rechte vorbehalten. Made in Austria.