Stand: April 2026
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO:
Patrick Aßmann
Stockerfeld 29
94081 Fürstenzell
Deutschland
E-Mail: [email protected]
Folgende personenbezogene Daten werden verarbeitet:
Kontodaten: Benutzername, E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Vor- und Nachname.
Gesundheitsdaten (besondere Kategorien, Art. 9 DSGVO): Blutwerte und Laborergebnisse, Referenzbereiche und Einheiten, Analysedaten und Labornamen, Supplement- und Medikamenten-Einnahmen inkl. Dosierung und Zeiträume.
Technische Daten: IP-Adressen (für Sicherheits- und Audit-Zwecke), Login-Zeitpunkte, Import-Protokolle.
Die Verarbeitung der Kontodaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Dienstes).
Die Verarbeitung der Gesundheitsdaten (Blutwerte, Laborergebnisse) erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung wird vor der ersten Nutzung elektronisch eingeholt und protokolliert.
Die Verarbeitung technischer Daten (IP-Adressen, Audit-Logs) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Systems).
Deine Daten werden ausschließlich für folgende Zwecke verarbeitet:
• Bereitstellung des Blutwert-Trackings (Speicherung, Visualisierung, Trendanalyse)
• Import von Laborberichten per PDF, Foto oder CSV/Excel
• Optische Texterkennung (OCR) und KI-gestützte Auswertung von Laborberichten
• Benutzerauthentifizierung und Kontoverwaltung
• Sicherheit des Systems (Brute-Force-Schutz, Audit-Logging)
• Passwort-Reset per E-Mail
Es erfolgt keine Weitergabe an Dritte, kein Verkauf, keine Nutzung für Werbezwecke und keine automatisierte Entscheidungsfindung oder Profiling.
Beim Foto-Import von Laborberichten wird der fotografierte Befund durch optische Texterkennung (OCR) und anschließend durch ein lokal betriebenes KI-Sprachmodell (LLM) verarbeitet, um Blutwerte, Einheiten und Referenzbereiche automatisch zu erkennen.
• Die gesamte Verarbeitung erfolgt ausschließlich auf eigener, selbst betriebener Infrastruktur des Betreibers.
• Es werden keine Daten an externe Dienste, Cloud-Anbieter oder Dritte übermittelt (kein OpenAI, kein Google, kein Microsoft).
• Die Verbindung zwischen den beteiligten Servern ist VPN-verschlüsselt.
• Das KI-Modell speichert keine Eingabedaten und wird nicht mit Nutzerdaten trainiert.
• Es findet keine automatisierte Entscheidungsfindung statt — alle erkannten Werte werden dem Benutzer zur manuellen Überprüfung und Korrektur vorgelegt, bevor sie gespeichert werden.
Alle Daten werden auf Servern in Deutschland gespeichert. Folgende Sicherheitsmaßnahmen sind implementiert:
• SSL/TLS-Verschlüsselung aller Verbindungen
• Bcrypt-Hashing aller Passwörter mit individuellen Salts
• Rate-Limiting auf Login und sensible Endpunkte
• Fail2ban-Schutz gegen automatisierte Angriffe
• Vollständiges Audit-Logging aller sicherheitsrelevanten Aktionen
• Regelmäßige Datenbank-Backups
Deine Daten werden gespeichert, solange dein Benutzerkonto besteht. Bei Löschung des Kontos werden alle personenbezogenen Daten einschließlich aller Blutwerte, Analysen und Supplement-Einträge unwiderruflich gelöscht.
Audit-Log-Einträge werden für bis zu 12 Monate aufbewahrt und anschließend automatisch gelöscht.
Falls dir ein Coach zugewiesen ist, kann dieser folgende Daten einsehen: Blutwerte, Analysen, Supplement-Einnahmen und deren Verläufe. Der Coach hat keinen Zugriff auf dein Passwort, deine E-Mail-Adresse oder dein Audit-Log.
Du hast gemäß DSGVO jederzeit folgende Rechte:
Auskunft (Art. 15): Du kannst Auskunft über deine gespeicherten Daten verlangen.
Berichtigung (Art. 16): Du kannst die Korrektur unrichtiger Daten verlangen.
Löschung (Art. 17): Du kannst die Löschung deiner Daten und deines Kontos verlangen.
Einschränkung (Art. 18): Du kannst die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20): Du kannst deine Daten in maschinenlesbarem Format (CSV, PDF) exportieren.
Widerruf der Einwilligung (Art. 7 Abs. 3): Du kannst deine Einwilligung zur Verarbeitung der Gesundheitsdaten jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Zur Ausübung deiner Rechte wende dich an: [email protected]
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren.
bloodly versendet E-Mails ausschließlich für den Passwort-Reset-Prozess. Es werden keine Newsletter, Marketing-E-Mails oder sonstige nicht-funktionale E-Mails versendet.
bloodly verwendet ein technisch notwendiges Session-Cookie für die Authentifizierung sowie localStorage im Browser für die Theme-Einstellung (Dark/Light Mode). Es werden keine Tracking-Cookies, Analyse-Tools oder Drittanbieter-Scripte eingesetzt.