Skip to main content
PepStack

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei Nutzung der PepStack App und der zugehörigen Dienste.

Zurück zur Startseite

Datenschutzerklärung

1. Datenschutz auf einen Blick

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie die App "PepStack" nutzen oder unsere Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Die Datenverarbeitung in dieser App erfolgt durch den App-Betreiber. Dessen Kontaktdaten können Sie dem Impressum sowie dieser Datenschutzerklärung entnehmen.

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung ist:

Maximilian Berktold
Hartmannstraße 26
96050 Bamberg
Deutschland

E-Mail: support@pepstack.net
Website: pepstack.net

Hinweis: Sofern eine Eintragung im Handels- oder Vereinsregister erfolgt ist, kann hier zusätzlich die entsprechende Registernummer angegeben werden.

3. Datenerfassung und Zero-Knowledge-Prinzip

Wir verfolgen den Ansatz der Datensparsamkeit. Ein Kernaspekt von PepStack ist das Zero-Knowledge-Prinzip bezüglich Ihrer Forschungsprotokolle.

Lokale Speicherung (Hive DB)
Ihre persönlichen Protokolle (Stacks, Dosierungen, Zeiten) werden primär lokal auf Ihrem Endgerät in einer verschlüsselten Datenbank gespeichert.

Verschlüsseltes Cloud-Backup
Sofern Sie die Backup-Funktion nutzen, werden diese Daten auf Ihrem Endgerät verschlüsselt, bevor sie an unsere Server übertragen werden. Der Schlüssel zur Entschlüsselung wird lokal aus Ihrer eindeutigen User-ID generiert. Wir haben zu keinem Zeitpunkt Zugriff auf diesen Schlüssel oder die Inhalte Ihrer Protokolle.

Vitalwerte (Blutwerte aus dem Befund-Scan)
Deine Vitalwerte werden in der Cloud unverschlüsselt gespeichert. Standard-Datenbank-Sicherheit (Supabase Row-Level Security) sorgt dafür, dass nur du sie lesen kannst — und in Zukunft optional Coaches, denen du explizit Zugriff erteilst.

4. Hosting und Drittanbieter

Wir nutzen spezialisierte Dienstleister, um die App sicher und stabil bereitzustellen:

Supabase (Backend & Datenbank)
Wir nutzen Supabase zur Authentifizierung und zur Speicherung der verschlüsselten Backups.
Anbieter: Supabase Inc., 1101 Marina Village Parkway, Alameda, CA 94501, USA.
Serverstandort: Region EU (Frankfurt), sodass Ihre Daten innerhalb der Europäischen Union gespeichert werden.
Zweck: Bereitstellung der Infrastruktur, Nutzerverwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

RevenueCat (Abonnement-Management)
Zur Verwaltung von In-App-Käufen und Abonnements nutzen wir RevenueCat.
Anbieter: RevenueCat, Inc., 1032 Elwell Ct Ste 243, Palo Alto, CA 94303, USA.
Daten: RevenueCat erhält Transaktionsdaten (Kauf-ID, Zeitstempel, Abo-Status). Es werden keine Kreditkartendaten über PepStack verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sentry (Fehlerüberwachung)
Um die Stabilität der App und der Website zu gewährleisten und Fehler zu analysieren, nutzen wir Sentry.
Anbieter: Functional Software Inc., 1501 Folsom St, San Francisco, CA 94103, USA.
Daten: Im Falle eines Fehlers werden technische Daten (Gerätetyp, Betriebssystemversion, Browser, Fehlerstelle im Code) übermittelt. Bei Fehlern auf der Website kann zudem eine anonymisierte Session-Wiedergabe (Session Replay) aufgezeichnet werden, die Mausklicks und Seitennavigation umfasst — Formulareingaben und Texteingaben werden dabei automatisch maskiert.
Serverstandort: EU (Region Frankfurt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien App und Website).

Vercel Analytics & Speed Insights (Website-Analyse)
Unsere Website nutzt Vercel Analytics zur Erfassung anonymisierter Seitenaufrufe sowie Vercel Speed Insights zur Messung von Ladezeiten (Core Web Vitals).
Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA.
Daten: Es werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben. Die Erfassung erfolgt datenschutzfreundlich ohne individuelle Nutzerprofile.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Website-Performance).

5. Befund-Scan (KI-Werteerkennung)

Premium-Nutzer können Laborbefunde fotografieren oder als PDF hochladen, um die Werte automatisch in PepStack zu importieren. Dafür übermitteln wir die Bildausschnitte des Befunds an einen KI-Dienstleister (OpenAI, GPT-4o). Die übertragenen Bilder werden ausschließlich zur Werteerkennung in dieser einen Anfrage genutzt.

Was wir an OpenAI senden
Das Bild oder die rasterisierte PDF-Seite (max. 10 Seiten pro Scan) sowie die Liste unserer unterstützten Blutwerte (öffentliche Wiki-Daten).

Was NICHT gesendet wird
Dein Name, deine E-Mail oder andere Account-Daten. Andere Inhalte deiner Cycle- oder Logbuch-Einträge. Andere bereits erfasste Blutwerte.

Aufbewahrung bei OpenAI
OpenAI gibt an, API-Anfragen bis zu 30 Tage zur Missbrauchskontrolle vorzuhalten und sie nicht zum Modell-Training zu verwenden. Details: openai.com/policies/api-data-usage-policies.

Aufbewahrung bei uns
Wir speichern weder das Bild noch die rasterisierten PDF-Seiten dauerhaft. Aus dem extrahierten Ergebnis werden ausschließlich die strukturierten Werte (Markername, Wert, Einheit, Referenzbereich) in deinem PepStack-Konto gespeichert. Diese Vitalwerte liegen in der Cloud unverschlüsselt — Supabase Row-Level Security stellt sicher, dass nur du sie lesen kannst (siehe Abschnitt 3, „Vitalwerte“).

Anonymisierte Logs
Marker, die wir noch nicht in unserer Wiki-Datenbank kennen, speichern wir intern (admin-only) zur Erweiterung unserer Wiki — ausschließlich der Markername, Wert, Einheit und dein User-Kürzel zur Deduplizierung. Diese Logs sind dir nicht zugänglich.

Limit
Pro Premium-Konto sind 30 Scans pro Kalendermonat möglich (Reset am 1. des Folgemonats).

Widerruf / Opt-Out
Du kannst die Scan-Funktion jederzeit nicht benutzen. Sie ist nicht aktiv, solange du sie nicht selbst startest.

Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Funktion ist Teil des Premium-Abos), in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in die Verarbeitung gesundheitsbezogener Daten beim ersten Scan).

6. Registrierung mit Social Login

In unserer App können Sie sich über "Sign in with Apple" oder "Sign in with Google" registrieren. Hierbei erhalten wir von dem jeweiligen Anbieter Ihren Namen (sofern freigegeben) und Ihre E-Mail-Adresse, um Ihr Konto zu verifizieren. Die Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO.

7. Rechtsgrundlagen der Verarbeitung

Einwilligung (Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO)
Für die Verarbeitung gesundheitsbezogener Daten (Ihre Forschungsprotokolle) bitten wir Sie beim ersten Start der App um eine ausdrückliche Einwilligung.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Die Verarbeitung ist erforderlich, um die Funktionen der App bereitzustellen und Ihr Nutzerkonto zu verwalten.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Wir haben ein berechtigtes Interesse an einer stabilen und wirtschaftlich betriebenen App (z. B. Fehleranalyse über Sentry, Abo-Verwaltung über RevenueCat).

8. Datensicherheit und Übermittlung in Drittstaaten

Soweit Daten an Dienstleister mit Sitz in einem Drittstaat (z. B. USA) übermittelt werden, erfolgt dies auf Grundlage von Standardvertragsklauseln der EU-Kommission oder gleichwertiger Garantien. Durch die clientseitige Verschlüsselung Ihrer Protokolle sind diese zudem vor dem Zugriff durch Dritte (einschließlich der Dienstleister und uns) geschützt.

9. Ihre Rechte als betroffene Person

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerruf Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können Ihr Konto und alle zugehörigen Daten jederzeit in den App-Einstellungen löschen. Für weitere Auskünfte können Sie uns per E-Mail kontaktieren.

10. Beschwerderecht bei der Aufsichtsbehörde

Im Falle von datenschutzrechtlichen Verstößen steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu. Die zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist der Landesbeauftragte für den Datenschutz des Bundeslandes Bayern:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Deutschland

11. Empfehlungsprogramm (Referral)

PepStack bietet ein freiwilliges Empfehlungsprogramm an. Dabei wird jedem Nutzerkonto ein eindeutiger, zufällig generierter Einladungscode zugewiesen.

Welche Daten werden verarbeitet?
Wenn Sie einen Einladungscode eines anderen Nutzers einlösen, wird in Ihrem Profil eine Referenz (interne Nutzer-ID) auf den einladenden Nutzer gespeichert. Es werden ausschließlich anonymisierte Nutzer-IDs (keine Namen, keine E-Mail-Adressen) verknüpft.

Zweck der Verarbeitung
Die Verknüpfung dient ausschließlich dazu, erfolgreiche Empfehlungen zu zählen und dem einladenden Nutzer bei Erreichen von Meilensteinen automatisch kostenlosen Premium-Zugang zu gewähren.

Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da das Programm ein optionales Feature des Dienstes darstellt).

Speicherdauer
Die Referral-Verknüpfung wird gespeichert, solange beide Nutzerkonten bestehen. Bei Löschung Ihres Kontos werden alle zugehörigen Referral-Daten unwiderruflich entfernt.

12. Aktualität und Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen.

Stand: Mai 2026