Datenschutzerklärung
Stand: Mai 2026
Diese Datenschutzerklärung informiert dich über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten in der Anwendung rekva (erreichbar unter gym.rekva.app). Grundlage ist die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz.
1. Verantwortlicher
Patrick Lorek
Auf dem Hohen Felde 28
27308 Kirchlinteln
Telefon: +49 176 217 86 809
E-Mail: hallo@rekva.app
2. Welche Daten wir verarbeiten
2.1 Account- und Zugangsdaten
- E-Mail-Adresse (für Login, Passwort-Reset, Kommunikation)
- Verschlüsselter Passwort-Hash (Speicherung bei Supabase)
- Zeitpunkte der Registrierung und des letzten Logins
- Bestätigung des Mindestalters von 16 Jahren
- Ausdrückliche Einwilligung in die Verarbeitung gesundheitsbezogener Daten
2.2 Nutzungsdaten der App (gesundheitsbezogen, Art. 9 DSGVO)
- Selbst eingetragene Trainingsdaten: Übungen, Sätze, Gewichte, Wiederholungen, RPE, Pausenzeiten, Notizen
- Selbst erstellte Trainingspläne und Wochenprogramme
- Favoriten und eigene Übungen (inkl. optional hochgeladener Fotos)
- Persönliche Einstellungen (z.B. Standard-Hantelgewicht, Pausenzeit-Default)
2.3 Diagnose- und Fehlerdaten
- Technische Fehlermeldungen mit Zeitstempel, Kategorie und App-Version
- User-Agent-Kennung (Browser/Gerät-Typ)
- Sentry-Fehlerprotokollierung: bei einem Crash werden Stack-Trace, App-Version, Gerät-Typ und deine Account-ID + E-Mail an Sentry übermittelt damit wir den Fehler reproduzieren und beheben können
- Optional vom Nutzer ausgelöste Debug-Uploads mit den letzten App-Logs (enthalten keine Passwörter oder Bibelvers-Inhalte — werden vor dem Upload sanitisiert)
2.4 Push-Benachrichtigungen
- Wenn du Push-Benachrichtigungen aktivierst, wird ein gerätegebundener Push-Endpoint (technische URL bei Apple oder Google) gespeichert. Der Inhalt der Benachrichtigung („Heute auf dem Plan: …") wird Ende-zu-Ende verschlüsselt (Web-Push VAPID) und ist für den Push-Service nicht lesbar.
3. Zwecke und Rechtsgrundlagen
| Verarbeitung | Zweck | Rechtsgrundlage |
|---|---|---|
| Account + Authentifizierung | Bereitstellung der App, Zugangsschutz | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Trainings- und Gesundheitsdaten | Kernfunktion der App (Tracking, Analytics, Progression) | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) i.V.m. Art. 6 Abs. 1 lit. b DSGVO |
| Fehler-Logs (lokal + Sentry) | Fehlerbehebung, Stabilitätsverbesserung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| Push-Benachrichtigungen | Trainingsplan-Erinnerungen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Aktivieren) |
| Debug-Uploads | Unterstützung bei konkreten Problemen | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
4. Auftragsverarbeiter und Drittanbieter
Wir nutzen folgende Anbieter, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen:
- Supabase (Supabase Inc.) — Datenbank, Authentifizierung, Datei-Speicher (Übungs-Fotos). Hosting-Region: EU (Frankfurt/Dublin).
- Sentry (Functional Software Inc.) — automatisches Erfassen von Anwendungsfehlern (Stack-Trace, Account-ID, E-Mail, App-Version). Übertragung von technischen Fehler-Daten erfolgt nur im Fehlerfall.
- Netcup GmbH — E-Mail-Versand (Passwort-Reset, Invite-Codes, Bestätigungen) via SMTP-Server in Deutschland.
- Apple Push Notification Service (Apple Distribution International Ltd., Irland) und Firebase Cloud Messaging (Google Ireland Ltd.) — Zustellung der Push-Benachrichtigungen (nur falls aktiviert). Inhalt der Pushes ist Ende-zu-Ende-verschlüsselt (VAPID/Web-Push-Standard).
- IONOS SE — Reverse-Proxy-Server in Deutschland für die Zustellung der App.
- Filen Cloud Dienste UG — verschlüsselte Backup-Ablage (Server-Standort Deutschland, zusätzlich serverseitige Ende-zu-Ende-Verschlüsselung).
- Google Gemini (Google Ireland Ltd.) — wird ausschließlich für die einmalige Übersetzung der Übungsdatenbank genutzt. Es werden keine Nutzerdaten übertragen.
- Self-Hosting auf eigener Infrastruktur — Anwendung selbst läuft auf einem privaten Server in Deutschland.
5. Speicherdauer
- Account- und Trainingsdaten: bis zur Löschung deines Accounts durch dich
- Fehler-Logs: maximal 90 Tage, danach automatische Bereinigung
- Debug-Uploads: bis zur manuellen Löschung, maximal 180 Tage
6. Deine Rechte
Du hast nach der DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO) — welche Daten über dich gespeichert sind
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden". Beim Löschen des Accounts werden alle damit verknüpften Daten aus unserer Datenbank physisch entfernt.
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — die App bietet dazu Export-Funktionen für deine Trainingsdaten in CSV, Markdown und JSON
- Widerspruch (Art. 21 DSGVO)
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) jederzeit mit Wirkung für die Zukunft
- Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO) — zuständig für Deutschland ist die jeweilige Landesdatenschutzbehörde
Für die Ausübung deiner Rechte reicht eine formlose E-Mail an hallo@rekva.app.
7. Account-Löschung
Du kannst deinen Account jederzeit selbst löschen — direkt in der App unter Einstellungen → Account → „Konto und alle Daten löschen". Nach Bestätigung werden alle personenbezogenen Daten einschließlich Trainingshistorie, Pläne, Fehler-Logs, Debug-Sessions und Feedback-Tickets unwiderruflich entfernt. Backups, die deine Daten enthalten, werden im Rahmen der regulären Backup-Rotation (max. 30 Tage) automatisch überschrieben.
Alternativ erreichst du uns formlos per E-Mail an hallo@rekva.app.
7.1 Mindestalter
Die Nutzung von rekva ist erst ab einem Mindestalter von 16 Jahren erlaubt (Art. 8 Abs. 1 DSGVO). Beim Registrieren bestätigst du, dass du dieses Alter erreicht hast.
7.2 Ausdrückliche Einwilligung in Gesundheitsdaten
Trainingsgewichte, Notizen, Körperdaten und Trainingshistorie können dem Schutzbereich von Art. 9 DSGVO („besondere Kategorien personenbezogener Daten") unterfallen. Mit deiner Registrierung erklärst du deine ausdrückliche Einwilligung in die Verarbeitung dieser Daten zum Zweck der Trainingstagebuch-Funktionalität gemäß Art. 9 Abs. 2 lit. a DSGVO. Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — der Widerruf erfolgt durch Account-Löschung.
8. Keine Tracker, keine Werbung
Die App enthält keine Analyse-Tools, keine Werbe-Tracker, keine Cookies von Drittanbietern und keine Social-Media-Plugins. Auf dem Gerät werden nur die für die Anwendungsfunktion notwendigen technischen Cookies beziehungsweise Local-Storage-/ IndexedDB-Einträge gespeichert.
9. Sicherheit gesundheitsbezogener Daten
Trainings- und Körperdaten (Gewicht, Umfänge, Notizen) können einen Gesundheitsbezug aufweisen. Wir behandeln diese Daten mit erhöhter Sorgfalt:
- Zugriff ist strikt auf den jeweils eingeloggten Nutzer beschränkt (Row-Level-Security in der Datenbank)
- Übertragung ausschließlich über TLS 1.2+ (Let's-Encrypt-Zertifikate)
- Verschlüsselung at rest auf Seiten des Auftragsverarbeiters Supabase
- Backups werden vor dem Upload zur Cloud Ende-zu-Ende verschlüsselt (rclone crypt mit AES-256)
- Sentry erhält ausdrücklich KEINE Trainings- oder Gesundheitsdaten — nur technische Fehler-Stack-Traces sowie Account-ID und E-Mail zur Zuordnung
9a. Datenpannen
Sollte trotz aller Maßnahmen eine Datenpanne entstehen, melden wir diese gemäß Art. 33 DSGVO innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde (Landesdatenschutzbeauftragter Niedersachsen) und benachrichtigen Betroffene direkt sofern ein hohes Risiko für ihre Rechte und Freiheiten besteht (Art. 34 DSGVO).
10. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn wir neue Funktionen einführen oder sich rechtliche Anforderungen ändern. Der jeweils aktuelle Stand ist jederzeit unter gym.rekva.app/datenschutz abrufbar.