Datenschutzerklärung

Pumpy · Stand: 6. Juni 2026

1. Verantwortlicher

Leo Widmann Otto-und-Quantz-Str. 25 65795 Hattersheim E-Mail: hello.pumpy@gmail.com

2. Überblick

Pumpy ist eine Fitness-App mit Kamera-basiertem Übungs-Tracking, Gamification und sozialen Funktionen. Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.

3. Mindestalter

Die Nutzung der App setzt ein Mindestalter von 13 Jahren voraus. Personen unter 13 Jahren dürfen die App nicht nutzen. Personen unter 16 Jahren benötigen die Einwilligung eines Erziehungsberechtigten.

Bei der Registrierung wird das Geburtsdatum abgefragt, um das Mindestalter zu prüfen. Das Geburtsdatum wird verschlüsselt gespeichert und nicht an Dritte weitergegeben.

Die Trainingspartner-Funktion setzt ein Mindestalter von 16 Jahren voraus.

4. Welche Daten wir erheben

Kontodaten: E-Mail-Adresse, Benutzername, Passwort (verschlüsselt via Firebase Auth), Geburtsdatum
Fitnessdaten: XP, Streaks, Workouts, Kalorien, optionale Körperdaten (Gewicht, Größe)
Onboarding-Präferenzen: gewählte Trainingstage pro Woche, gewünschte Sessiondauer, Trainingsziel, Fitness-Level — lokal gespeichert und für die Erstellung deines persönlichen Trainingsplans verwendet
Gesundheits- und Schmerzdaten (Art. 9 DSGVO — besondere Kategorie): siehe Abschnitt 6b und 6c
Soziale Daten: Freundesliste, Ranglisten-Platzierungen, Referral-Codes
Technische Daten: Gerätetyp, Betriebssystem, App-Version, FCM-Token
Standortdaten: nur bei aktivem Lauf-Tracking oder Trainingspartner-Funktion
Profilbild: optional, als Base64 gespeichert

5. Kameranutzung

Die App nutzt die Kamera ausschließlich zur Echtzeit-Erkennung von Körperbewegungen während des Trainings.

Es werden KEINE Fotos oder Videos aufgenommen
Es werden KEINE Bilder gespeichert oder übertragen
Die Bildverarbeitung erfolgt ausschließlich lokal auf dem Gerät (On-Device Pose-Detection)
Die Kameradaten werden sofort nach der Verarbeitung verworfen

5a. Audio-Wiedergabe

Die App spielt Soundeffekte und Hintergrundmusik ab (z. B. beim Glücksrad oder beim Öffnen von Schatztruhen).

Quelle: Mixkit unter CC0-Lizenz (gemeinfrei)
Wiedergabe ist gerätelokal, es werden keine Streaming-Daten zu Dritten übertragen
Die Wiedergabe respektiert den App-internen Schalter „Sound" sowie die System-Lautstärke

6. Standortdaten

Bei Nutzung der Lauf-Tracking-Funktion werden GPS-Daten erhoben:

Nur während einer aktiven Laufaufzeichnung
Zur Berechnung von Distanz, Tempo und Routendarstellung
Die Routendaten werden nur lokal während der Sitzung verwendet
Es werden keine Standortdaten dauerhaft gespeichert oder an Dritte übermittelt

6a. Trainingspartner-Funktion

Bei Nutzung der „Trainingspartner finden"-Funktion:

Dein ungefährer Standort (auf ca. 1 km gerundet) wird gespeichert
Dein exakter Standort wird NIEMALS gespeichert oder weitergegeben
Sichtbar für andere: Benutzername, Fitness-Level, Trainingsziel
Opt-In erforderlich (Art. 6 Abs. 1 lit. a DSGVO)
Bei Deaktivierung werden alle Standortdaten sofort gelöscht
Mindestalter: 16 Jahre

6b. Schmerz-Bereiche (besondere Gesundheitsdaten — Art. 9 DSGVO)

Während des Onboardings kannst du auf einer Körper-Grafik Bereiche markieren, in denen du Schmerzen oder Einschränkungen hast (z. B. Knie, Schulter, Rücken). Diese Markierungen sind Gesundheitsdaten und fallen unter Art. 9 Abs. 1 DSGVO.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung durch aktives Antippen der betroffenen Körperregionen
Du kannst die Auswahl jederzeit überspringen oder leer lassen
Die Daten werden AUSSCHLIESSLICH lokal auf deinem Gerät gespeichert
Es findet KEINE Übertragung an unsere Server oder Dritte statt
Verwendung: Filtern und Anpassen der vorgeschlagenen Übungen, damit problematische Körperregionen geschont werden
Widerruf der Einwilligung jederzeit möglich (siehe Abschnitt 10)

6c. Health Connect (Art. 9 DSGVO)

Optional kannst du Pumpy mit Health Connect (Android) verknüpfen (die Apple-Health-Anbindung für iOS ist in Vorbereitung). Dabei werden ebenfalls Gesundheitsdaten verarbeitet (Art. 9 DSGVO).

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung über den OS-Berechtigungsdialog
Gelesene Daten (nur bei deiner ausdrücklichen Freigabe je Datenkategorie): Schritte, Herzfrequenz, Ruhe-Herzfrequenz, Schlaf, aktive Kalorien, Gesamtkalorien, Distanz, erklommene Stockwerke, Workouts/Exercise, Hydration, Gewicht, Körperfett, Sauerstoffsättigung (SpO₂), VO₂max
Die Daten werden lokal verarbeitet, um deine Statistiken anzureichern (z. B. Tages-Schritte)
Es werden KEINE Health-Connect-Daten an unsere Server übertragen
Du kannst einzelne Berechtigungen oder die gesamte Verknüpfung jederzeit in den System-Einstellungen (Health Connect) widerrufen

6d. Lokale Push-Benachrichtigungen

Die App sendet lokale, gerätinterne Benachrichtigungen — z. B. Streak-Erinnerungen, Daily-Challenge-Hinweise und Comeback-Erinnerungen.

Diese Benachrichtigungen werden lokal auf dem Gerät erzeugt
Es werden KEINE Nutzungsdaten an unsere Server gesendet, um diese Erinnerungen auszulösen
Benötigte Android-Berechtigung: POST_NOTIFICATIONS (ab Android 13)
Du kannst jede Erinnerung in den App-Einstellungen separat aktivieren oder deaktivieren

Davon getrennt: Über Firebase Cloud Messaging (FCM) können Push-Nachrichten von Freunden (z. B. Freundschaftsanfragen) zugestellt werden — siehe Abschnitt 7.

6e. Lokale Nutzungsanalyse (Personalisierung)

Um Inhalte für dich zu personalisieren, analysiert die App dein Nutzungsverhalten — ausschließlich lokal auf dem Gerät.

Erfasst werden: welche Rezepte/Übungen/Programme du öffnest, favorisierst oder abschließt, sowie deine aktiven Tageszeiten
Es handelt sich NICHT um besondere Kategorien nach Art. 9 DSGVO — es sind reine Interaktions-/Nutzungsdaten
Die Daten werden AUSSCHLIESSLICH lokal gespeichert und NIEMALS an unsere Server oder Dritte übertragen
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Du kannst diese lokale Analyse jederzeit in den Einstellungen abschalten — dann wird das lokale Profil gelöscht

6f. Nutzungs- und Reichweitenstatistik

Um zu verstehen, wie Pumpy genutzt wird, erfassen wir aggregierte Nutzungsmetriken auf deinem Nutzerprofil: zuletzt aktiv, Anzahl der App-Sitzungen, kumulierte Vordergrund-Nutzungsdauer und Anzahl der App-Starts.

Es werden KEINE Inhalte und keine besonderen Kategorien nach Art. 9 DSGVO erfasst — ausschließlich technische Nutzungszähler
Speicherort: Cloud Firestore (Google, EU-Server). Keine Weitergabe zu Werbezwecken
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
Du kannst dieser Erfassung jederzeit widersprechen, indem du in den Einstellungen die Nutzungsanalyse deaktivierst (Art. 21 DSGVO)

7. Datenverarbeitung und Speicherung

Wir nutzen folgende Dienste:

Firebase Authentication (Google): Benutzeranmeldung
Cloud Firestore (Google): Nutzerdaten, Fortschritt, soziale Daten
Firebase Cloud Messaging (Google): Push-Benachrichtigungen
Firebase Analytics / Google Analytics for Firebase (Google): pseudonyme Nutzungs- und Funnel-Statistik. In den Einstellungen unter „Personalisierung" deaktivierbar.
RevenueCat (RevenueCat, Inc., USA): Abwicklung und Verwaltung von In-App-Käufen und Abonnements; erhält deine pseudonyme Nutzer-ID (Firebase-UID) sowie Kauf- und Transaktionsdaten

Datenverarbeitung auf Servern in der EU (eur3); RevenueCat verarbeitet zusätzlich in den USA. Google und RevenueCat sind Auftragsverarbeiter unter den EU-Standardvertragsklauseln.

8. Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Kontoführung, Bereitstellung der App)
Art. 6 Abs. 1 lit. a DSGVO: Einwilligung (Kamera, Standort, Push)
Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Sicherheit, Missbrauchsvermeidung)
Art. 9 Abs. 2 lit. a DSGVO: AUSDRÜCKLICHE Einwilligung für besondere Kategorien (Gesundheitsdaten) — Schmerz-Bereiche (6b), Health Connect (6c), freiwillige Körpermaße

9. Datenweitergabe

Deine Daten werden nicht verkauft. Weitergabe nur an:

Google/Firebase als technischer Dienstleister (inkl. Firebase Analytics)
RevenueCat (USA): technischer Zahlungs-/Abo-Dienstleister; erhält deine pseudonyme Nutzer-ID und Kaufdaten zur Abwicklung von In-App-Käufen
Werbepartner: nur aggregierte Code-Statistiken (siehe 9d), KEINE Einzeldaten
Andere Nutzer: nur Benutzername und XP-Punktzahl (für Freunde)

9a. Freunde-System & QR-Codes

Der QR-Code/Freundeslink enthält ausschließlich deine eindeutige Pumpy-Nutzer-ID (Format: https://pumpy-app.com/u/NUTZER-ID)
Es sind KEINE Name, E-Mail, Standort, Geburtsdatum oder andere personenbezogene Daten enthalten
Die Verknüpfung erfolgt erst durch deine ausdrückliche Bestätigung

9b. Einladungs-/Referral-System

Referral-Codes sind zufällig generierte 8-Zeichen-Strings ohne personenbezogene Daten
Pro Konto werden maximal 5 Einladungen angerechnet (Anti-Missbrauch)

9c. Glücksrad, Truhen, In-App-Käufe

Belohnungen aus Glücksrad/Truhen sind ausschließlich virtuelle Coins/Skins ohne realen Geldwert — kein Glücksspiel
Echte Zahlungsabwicklung erfolgt ausschließlich über den jeweiligen App-Store (Google Play / Apple App Store)

9d. Influencer-/Affiliate-Codes

Beim Einlösen speichern wir den Code auf deinem Profil sowie einen Einlöse-Eintrag
Werbepartner erhalten ausschließlich AGGREGIERTE Statistiken — KEINE personenbezogenen Einzeldaten

10. Deine Rechte

Du hast gemäß DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf der Einwilligung.

Kontakt: hello.pumpy@gmail.com

11. Kontolöschung

Du kannst deinen Account jederzeit in der App unter Profil → Konto löschen. Dabei werden alle Daten (Profil, Trainingshistorie, Freundesliste) unwiderruflich gelöscht.

12. Datensicherheit

Verschlüsselte Datenübertragung (TLS/SSL)
Firebase Security Rules
Passwörter werden nur als Hash gespeichert
Keine Speicherung von Kamerabildern

13. Aufbewahrungsdauer

Deine Daten werden gespeichert, solange dein Konto aktiv ist. Nach Löschung werden alle Daten unverzüglich entfernt.

14. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist stets in der App unter Einstellungen sowie auf dieser Seite einsehbar.

15. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Gustav-Stresemann-Ring 1, 65189 Wiesbaden.

16. Website (pumpy-app.com)

Die folgenden Abschnitte betreffen ausschließlich unsere Website (nicht die App).

16a. Hosting

Die Website wird über Firebase Hosting (Google Ireland Ltd.) bereitgestellt. Beim Aufruf werden technisch notwendige Server-Logdaten (u. a. IP-Adresse, Datum/Uhrzeit, abgerufene Datei, Browsertyp) verarbeitet, um die Auslieferung und Sicherheit der Seite zu gewährleisten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, störungsfreien Betrieb).

16b. Voranmeldung (Warteliste)

Wenn du dich voranmeldest, speichern wir deine E-Mail-Adresse (sowie Zeitstempel und Quelle) in Cloud Firestore (Google, EU-Server).
Zweck: einmalige Benachrichtigung zum App-Launch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch das Absenden des Formulars).
Du kannst die Löschung jederzeit formlos per Kontaktformular oder E-Mail verlangen; spätestens nach dem Launch bzw. Widerruf wird die Adresse gelöscht.

16c. Kontaktformular

Über das Kontaktformular übermittelte Angaben (Name, E-Mail-Adresse, Nachricht) speichern wir in Cloud Firestore (Google, EU-Server), um deine Anfrage zu bearbeiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a und lit. b DSGVO (Einwilligung bzw. Bearbeitung deiner Anfrage).
Die Daten werden gelöscht, sobald deine Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

16d. Schriftarten

Die verwendeten Schriftarten (Fredoka, Nunito) werden lokal von unserem eigenen Server ausgeliefert (Self-Hosting). Es findet keine Verbindung zu Google-Servern statt, und es wird hierbei keine IP-Adresse an Dritte übertragen.

16e. Cookies & Tracking

Unsere Website setzt keine Tracking- oder Marketing-Cookies und nutzt kein Website-Analyse-Tool. Es ist daher kein Cookie-Banner erforderlich.