Datenschutzerklärung der BlueHabits GmbH

Stand: Mai 2026. Version 1.5

1. Verantwortlicher

BlueHabits GmbH
Grünstraße 15 c/o Mindspace
40212 Düsseldorf
Deutschland

Telefon: +49 (0)211 54266114
E-Mail: info@bluehabits.ai
Website: https://www.bluehabits.app

Vertreten durch die Geschäftsführer:
Arnd Jäger
Markus Meißner

2. Datenschutzbeauftragter

Gesetzlich vorgeschriebener Datenschutzbeauftragter
Wir haben für unser Unternehmen einen Datenschutzbeauftragten benannt.

Boris Nicolaj Willm
Resilien[i]T GmbH
Monschauer Straße 12
40549 Düsseldorf
Telefon: +49 (0) 211 695289 92
E-Mail: dsb.bluehabits@resilienit.de

3. Allgemeine Informationen zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der geltenden Datenschutzgesetze, insbesondere:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

4. Kategorien personenbezogener Daten

Je nach Nutzung unserer Dienste können wir folgende Kategorien personenbezogener Daten verarbeiten:

Registrierungs- und Kontodaten

• Name
• E-Mail-Adresse
• Benutzername
• Passwort

Profildaten

• persönliche Ziele
• Routinen
• Präferenzen
• freiwillige Profilangaben

Nutzungsdaten

• Interaktionen mit der App
• Fortschrittsdaten
• Nutzungshäufigkeit
• Funktionsnutzung

Geräte- und Zugriffsdaten

• Gerätetyp
• Betriebssystem
• IP-Adresse
• App-Version
• Zugriffszeitpunkte

Inhalte der Nutzer

• Beiträge
• Kommentare
• Nachrichten oder andere Inhalte innerhalb der Plattform

Gesundheits- oder Aktivitätsdaten

• körperliche Aktivität
• Trainings- oder Routinenziele
• freiwillig bereitgestellte Gesundheitsinformationen

5. Zwecke und Rechtsgrundlagen der Verarbeitung

5.1 Besuch unserer Website

Beim Aufruf unserer Websites (www.bluehabits.ai, www.bluehabits.app) werden automatisch folgende Daten verarbeitet:

• IP-Adresse
• Datum und Uhrzeit
• aufgerufene Seite/Datei
• Referrer-URL
• Browsertyp und Betriebssystem

Zweck:
Sicherstellung der technischen Funktionsfähigkeit und IT-Sicherheit.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb).

Speicherdauer:
Server-Logfiles werden in der Regel nach spätestens 7 Tagen gelöscht.

5.2 Registrierung und Accountnutzung (App)

Im Rahmen der Nutzung unserer App verarbeiten wir:

• Registrierungs- und Kontodaten
• Profildaten
• Nutzungsdaten
• Geräte- und Zugriffsdaten
• Inhalte der Nutzer
• Gesundheits- oder Aktivitätsdaten

Zweck:
Vertragserfüllung, Bereitstellung personalisierter Funktionen, Sicherstellung der Systemsicherheit.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer:
Bis zur Löschung des Accounts, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

5.3 Personalisierung und KI-gestützte Empfehlungen (Profiling)

Unsere App verwendet algorithmische Verfahren zur Analyse von Nutzungsverhalten, um personalisierte Empfehlungen zu generieren.

Dabei erfolgt eine Bewertung bestimmter Nutzungsparameter (z. B. Aktivitätsmuster, Routinehäufigkeit, Fortschrittsverläufe).

Dies stellt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar.

Es erfolgt keine ausschließlich automatisierte Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO.

Zweck:
Verbesserung der Nutzererfahrung und individuelle Anpassung der Inhalte.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
ggf. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern zusätzliche Analysefunktionen aktiviert werden.

Sie können der Verarbeitung zu Profilingzwecken jederzeit gemäß Art. 21 DSGVO widersprechen.

5.4 Verarbeitung gesundheitsbezogener Angaben

Sofern Nutzer freiwillig Angaben zu körperlicher Aktivität, Fitnesszielen oder ähnlichen Themen machen, kann es sich um Gesundheitsdaten im Sinne von Art. 9 DSGVO handeln.

Die Verarbeitung erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

5.5 Standortdaten

Sofern Funktionen der App Standortinformationen nutzen, werden diese nur verarbeitet, wenn Sie Ihrem Gerät entsprechende Berechtigungen erteilt haben.

Die Verarbeitung von Standortdaten erfolgt ausschließlich zum Zweck der Bereitstellung standortbezogener Funktionen der App, beispielsweise zur Analyse von Aktivitäten oder zur Verbesserung personalisierter Empfehlungen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), soweit die Verarbeitung zur Bereitstellung der von Ihnen genutzten App-Funktionen erforderlich ist.

Soweit eine entsprechende Gerätefreigabe erforderlich ist, erfolgt die Verarbeitung zusätzlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Sie können die Freigabe von Standortdaten jederzeit über die Einstellungen Ihres Endgeräts widerrufen.

5.6 Nutzung des BlueHabits Mentors (KI-gestützte Dialogfunktion)

Der BlueHabits Mentor ist eine KI-basierte Dialogfunktion, die es Nutzern ermöglicht, in natürlicher Sprache mit der App zu interagieren.

Dabei werden insbesondere folgende Daten verarbeitet:

• Inhalte von Nutzereingaben (z. B. Fragen, Antworten, Beschreibungen)
• individuelle Ziele, Routinen und Barrieren
• Fortschritts- und Nutzungsdaten
• kontextbezogene Informationen aus der App-Nutzung

Die Verarbeitung erfolgt, um:

• personalisierte Empfehlungen zu geben
• motivationsunterstützende Kommunikation bereitzustellen
• individuelle Verhaltensmuster zu analysieren
• Nutzer bei der Umsetzung von Routinen zu unterstützen

Zur Verbesserung der Nutzererfahrung kann der BlueHabits Mentor auf frühere Interaktionen sowie gespeicherte Nutzerdaten zurückgreifen, um kontextbezogene Antworten zu generieren.

Die vom Nutzer eingegebenen Inhalte können verarbeitet werden, um:

• den Dialogkontext aufrechtzuerhalten
• die Qualität der Antworten zu verbessern
• die Nutzungserfahrung zu personalisieren

Eine Nutzung dieser Inhalte für Trainings- oder Analysezwecke erfolgt ausschließlich:

• in anonymisierter oder pseudonymisierter Form
• und nur soweit rechtlich zulässig

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Soweit sensible Inhalte verarbeitet werden, erfolgt dies zusätzlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie ggf. Art. 9 Abs. 2 lit. a DSGVO.

Sofern Nutzer im Rahmen der Nutzung des BlueHabits Mentors gesundheitsbezogene oder vergleichbar sensible Informationen eingeben, erfolgt die Verarbeitung ausschließlich auf Grundlage einer ausdrücklichen Einwilligung.

Die durch den BlueHabits Mentor generierten Inhalte stellen keine automatisierten Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO dar.

Die durch den BlueHabits Mentor bereitgestellten Inhalte dienen ausschließlich der allgemeinen Unterstützung und stellen keine medizinische, therapeutische oder sonstige professionelle Beratung dar.

5.7 Drittanbieter-Integrationen

Unsere Dienste können Integrationen mit externen Plattformen oder Geräten ermöglichen, beispielsweise:

• Fitness-Tracking-Geräte
• Gesundheitsplattformen
• andere Anwendungen oder Plattformen

Wenn Sie eine solche Integration aktivieren, können Daten zwischen den Diensten ausgetauscht werden, soweit dies zur Bereitstellung der jeweiligen Funktion erforderlich ist.

Die Aktivierung einer solchen Integration erfolgt ausschließlich auf Ihre Initiative hin.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), soweit die Integration zur Bereitstellung der gewünschten Funktion erforderlich ist.

Soweit Sie eine externe Integration freiwillig aktivieren, erfolgt die Datenübermittlung zusätzlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Für die Verarbeitung personenbezogener Daten durch den jeweiligen Drittanbieter gelten dessen Datenschutzbestimmungen.

5.8 Von Nutzern bereitgestellte Inhalte

Wenn Sie Inhalte innerhalb unserer Dienste veröffentlichen oder teilen (z. B. Beiträge, Kommentare oder andere Inhalte), werden diese Informationen verarbeitet, um die jeweilige Funktion bereitzustellen und die Interaktion zwischen Nutzern zu ermöglichen.

Abhängig von Ihren Privatsphäre-Einstellungen können solche Inhalte für andere Nutzer innerhalb der Plattform sichtbar sein.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), da die Verarbeitung erforderlich ist, um Ihnen die Funktionen der Plattform zur Veröffentlichung und Interaktion bereitzustellen.

Soweit Inhalte freiwillig veröffentlicht werden, kann die Verarbeitung zusätzlich auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) beruhen.

5.9 Kontaktaufnahme

Bei Kontakt per E-Mail oder Formular:

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
oder Art. 6 Abs. 1 lit. f DSGVO.

Speicherung erfolgt bis Abschluss der Anfrage.

5.10 Analyse- und Statistiktools

Wir verwenden datenschutzfreundliche Analysetools.

Sofern Analyse-Cookies gesetzt werden, erfolgt dies ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TDDDG.

6. Cookies und Einwilligungsmanagement

Wir verwenden:

• technisch notwendige Cookies (Rechtsgrundlage: § 25 Abs. 2 TDDDG)
• optionale Analyse- oder Marketing-Cookies (nur mit Einwilligung; Rechtsgrundlage: § 25 Abs. 2 TDDDG i.V.m. Art. 6 Abs. 1 lit. f DSGVO)

Einwilligungen können jederzeit über unser Consent-Management-Tool widerrufen werden.

7. Empfänger und Auftragsverarbeiter

Wir setzen Dienstleister ein in den Bereichen:

• Hosting
• Cloud-Infrastruktur
• Analyse
• E-Mail-Kommunikation
• Zahlungsabwicklung

Mit allen Dienstleistern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

8. Drittlandübermittlung

Sofern personenbezogene Daten in Drittländer übermittelt werden, erfolgt dies nur:

• bei Vorliegen eines Angemessenheitsbeschlusses (Art. 45 DSGVO), oder
• unter Verwendung von Standardvertragsklauseln (Art. 46 DSGVO).

Sofern Datenübermittlungen in die USA erfolgen, stützen wir uns auf das EU-US Data Privacy Framework oder auf Standardvertragsklauseln.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke der Verarbeitung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Die konkrete Speicherdauer richtet sich insbesondere nach:

• dem Zweck der jeweiligen Datenverarbeitung,
• der Dauer der Nutzung unserer Dienste,
• gesetzlichen Aufbewahrungsfristen (z. B. nach Handels- oder Steuerrecht) sowie
• berechtigten Interessen an der Durchsetzung oder Abwehr rechtlicher Ansprüche.

Kontodaten und Profildaten werden grundsätzlich so lange gespeichert, wie ein Nutzerkonto besteht. Nach Löschung des Kontos werden die zugehörigen personenbezogenen Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen an einer weiteren Speicherung bestehen.

Gesetzliche Aufbewahrungspflichten können sich insbesondere aus handels- und steuerrechtlichen Vorschriften ergeben (z. B. §§ 257 HGB, 147 AO) und betragen in der Regel sechs bzw. zehn Jahre.

Sofern Daten nicht mehr für die genannten Zwecke erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen, werden sie gelöscht.

Soweit möglich und rechtlich zulässig, können Daten statt einer Löschung auch anonymisiert werden. In diesem Fall wird der Personenbezug dauerhaft entfernt, sodass eine Identifizierung einzelner Personen nicht mehr möglich ist.

Rechtsgrundlage:

Die Verarbeitung personenbezogener Daten zum Zweck der Anonymisierung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse, Forschung sowie der Weiterentwicklung und Verbesserung unserer Dienste).

Nach erfolgter Anonymisierung handelt es sich nicht mehr um personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

Anonymisierte Daten können insbesondere verwendet werden für:

• statistische Auswertungen
• wissenschaftliche Analysen
• Verbesserung unserer Dienste
• Weiterentwicklung algorithmischer Systeme und Funktionen

Eine Identifizierung einzelner Personen ist dabei nicht möglich.

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

• TLS-Verschlüsselung
• Zugriffsbeschränkungen
• rollenbasiertes Berechtigungskonzept
• Pseudonymisierung
• regelmäßige Sicherheitsüberprüfungen

11. Datenexport und Datenübertragbarkeit

Sie haben das Recht, Ihre personenbezogenen Daten im Rahmen des Rechts auf Datenübertragbarkeit gemäß Art. 20 DSGVO anzufordern.

12. Forschung und statistische Analysen

Wir können anonymisierte oder aggregierte Daten verwenden, um wissenschaftliche Analysen oder Forschung im Bereich Gesundheit, Verhalten oder Wohlbefinden zu unterstützen.

Eine Identifizierung einzelner Personen ist ausgeschlossen.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Weiterentwicklung unserer Dienste).
Soweit möglich verwenden wir anonymisierte oder aggregierte Daten.

13. Verbesserung unserer KI-Systeme

Wir können personenbezogene Daten verwenden, um die Qualität, Funktionalität und Leistungsfähigkeit unserer KI-gestützten Systeme, einschließlich des BlueHabits Mentors, zu verbessern.

Dies umfasst insbesondere:

• Analyse von Nutzungsmustern
• Optimierung von Antwortqualität
• Weiterentwicklung algorithmischer Modelle

Soweit möglich erfolgt dies auf Grundlage:

• anonymisierter Daten
• aggregierter Daten
• pseudonymisierter Daten

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Weiterentwicklung unserer Dienste)

14. Unternehmensübertragungen

Im Falle einer Fusion, Übernahme oder Umstrukturierung können personenbezogene Daten im Rahmen der Transaktion übertragen werden.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchführung von Unternehmenstransaktionen).

15. Nutzung durch Minderjährige

Unsere Dienste richten sich grundsätzlich an Personen ab 16 Jahren.

Wir erheben nicht wissentlich personenbezogene Daten von Personen unter 16 Jahren.

16. Nutzung im Rahmen des Betrieblichen Gesundheitsmanagements (B2B)

BlueHabits kann Unternehmen im Rahmen des Betrieblichen Gesundheitsmanagements (BGM) zur Verfügung gestellt werden. In diesem Fall gelten ergänzend folgende datenschutzrechtliche Regelungen:

16.1 Rollen der Beteiligten

Sofern die App im Rahmen eines Unternehmensprogramms bereitgestellt wird, ist grundsätzlich zu unterscheiden:

• BlueHabits GmbH ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung der personenbezogenen Daten der Nutzer innerhalb der App.
• Das jeweilige Unternehmen (Arbeitgeber) ist Verantwortlicher für die Organisation und Durchführung seines BGM-Programms.

Eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO besteht nicht, sofern keine gemeinsame Festlegung der Zwecke und Mittel der Datenverarbeitung erfolgt.

16.2 Keine Übermittlung individueller Nutzerdaten an Arbeitgeber

Personenbezogene Daten einzelner Nutzer (z. B. Aktivitätsverhalten, Routinen, Fortschritte, Gesundheitsangaben) werden nicht an den Arbeitgeber übermittelt.

Arbeitgeber erhalten ausschließlich:

• aggregierte, anonymisierte Statistiken
• keine Rückschlüsse auf einzelne Beschäftigte
• keine personenbezogenen Leistungs- oder Verhaltensdaten

Eine Identifizierung einzelner Personen ist ausgeschlossen.

16.3 Freiwilligkeit der Nutzung

Die Nutzung der App durch Beschäftigte erfolgt freiwillig.

Eine Teilnahme am BGM-Programm ist nicht Voraussetzung für das Arbeitsverhältnis und hat keine arbeitsrechtlichen Konsequenzen.

Sofern besondere Kategorien personenbezogener Daten verarbeitet werden (z. B. gesundheitsbezogene Angaben), erfolgt dies ausschließlich auf Grundlage einer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

Diese Einwilligung kann jederzeit widerrufen werden.

16.4 Arbeitgeber als Auftragsverarbeiter (nur bei Sonderkonstellationen)

Sofern ein Unternehmen personenbezogene Daten im Auftrag von BlueHabits verarbeitet (z. B. im Rahmen technischer Integration), erfolgt dies ausschließlich auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

16.5 Schutz vor Leistungs- und Verhaltenskontrolle

BlueHabits ist nicht darauf ausgelegt und darf nicht dazu verwendet werden, individuelle Leistungs- oder Verhaltenskontrollen von Beschäftigten durchzuführen.

Eine entsprechende Nutzung durch das Unternehmen ist vertraglich ausgeschlossen.

16.6 Datenübermittlung innerhalb des Unternehmens

BlueHabits erhält vom Unternehmen ausschließlich die zur Registrierung erforderlichen Daten (z. B. geschäftliche E-Mail-Adresse), sofern das Unternehmen eine zentrale Registrierung organisiert.

Weitere personenbezogene Daten werden nicht vom Arbeitgeber an BlueHabits übermittelt, sofern dies nicht ausdrücklich vereinbart ist.

17. Ihre Rechte

Sie haben folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zudem haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Zuständige Behörde für Nordrhein-Westfalen:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

18. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Maßgeblich ist die jeweils veröffentlichte Fassung.