1. Verantwortlicher und Kontakt

Verantwortlich für die Datenverarbeitung im Sinne der EU-Datenschutz-Grundverordnung (DSGVO), des California Consumer Privacy Act (CCPA), des Children's Online Privacy Protection Act (COPPA) sowie des kanadischen Personal Information Protection and Electronic Documents Act (PIPEDA) ist:

[Vor- und Nachname des Inhabers]
[Name des Einzelunternehmens / Firmenname]
c/o [Name des Impressums-/Virtual-Office-Dienstleisters]
[Straße und Hausnummer]
[PLZ Ort, Land]

E-Mail: contact@ryvion.de
Telefon: [Telefonnummer einsetzen]
Website: [URL einsetzen]

Hinweis: Die oben angegebene Adresse ist eine Zustelladresse über einen Impressums-Service (Virtual Office). Postalische Anfragen werden von dort weitergeleitet. Für datenschutzrechtliche Anfragen nutze bitte bevorzugt die E-Mail-Adresse contact@ryvion.de.

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die mobile Applikation „Ryvion" (nachfolgend „App"), die über den Apple App Store und den Google Play Store zum Download bereitgestellt wird. Sie informiert dich darüber, welche personenbezogenen Daten wir im Zusammenhang mit der Nutzung der App erheben, verarbeiten und speichern, zu welchen Zwecken dies geschieht und welche Rechte dir zustehen.

Die App richtet sich an Nutzer in der Europäischen Union (EU), dem Europäischen Wirtschaftsraum (EWR), dem Vereinigten Königreich (UK), den Vereinigten Staaten von Amerika (USA) und Kanada. Die jeweils anwendbaren datenschutzrechtlichen Bestimmungen dieser Regionen werden in dieser Erklärung gesondert berücksichtigt.

3. Mindestalter und Jugendschutz

3.1 Altersanforderungen

Die Nutzung der App setzt weltweit ein einheitliches Mindestalter von 16 Jahren voraus. Durch das Herunterladen, Installieren und die Nutzung der App bestätigst du ausdrücklich, dass du mindestens 16 Jahre alt bist.

3.2 Neutral Age Gate

Beim erstmaligen Starten der App wird das Alter des Nutzers über ein sogenanntes Neutral Age Gate abgefragt. Die Altersabfrage ist neutral gestaltet und enthält keine Hinweise, die es ermöglichen, die Abfrage gezielt zu umgehen. Nutzer, die das erforderliche Mindestalter nicht erreichen, werden technisch von der Nutzung der App ausgeschlossen.

3.3 COPPA-Konformität (USA)

Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 13 Jahren. Sollte uns bekannt werden, dass wir Daten eines Kindes unter 13 Jahren erhalten haben, werden wir diese Daten unverzüglich löschen. Eltern oder Erziehungsberechtigte, die glauben, dass ihr Kind uns personenbezogene Daten übermittelt hat, werden gebeten, uns unter contact@ryvion.de zu kontaktieren.

4. Kategorien der verarbeiteten personenbezogenen Daten

4.1 Kontodaten (Registrierung und Authentifizierung)

Bei der Registrierung und Nutzung der App werden folgende Daten verarbeitet:

• E-Mail-Adresse (bei Registrierung per E-Mail/Passwort)
• Name und Profilbild (sofern über Google Sign-In oder Apple Sign-In bereitgestellt)
• Authentifizierungs-Token und eindeutige Nutzer-ID (Firebase Authentication UID)
• Login-Methode (E-Mail/Passwort, Google oder Apple)

Rechtsgrundlage (DSGVO): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Gesundheits- und Fitnessdaten (besondere Kategorien, Art. 9 DSGVO)

Die App ermöglicht dir die freiwillige Eingabe folgender gesundheitsbezogener Daten:

• Körpergröße, Körpergewicht, Körperfettanteil, Muskelanteil
• Geschlecht (zur Berechnung von Nährwerten und Trainingsparametern)
• Ernährungsform (z. B. vegan, vegetarisch, omnivor)
• Kalorienaufnahme und Makronährstoffverteilung
• Fitnessziele und Trainingsfortschritt
• Aktivitätslevel und körperliche Aktivitäten
• Stimmung und Wohlbefinden

Wichtiger Hinweis: Die Eingabe dieser Daten ist zu 100 % freiwillig. Du entscheidest selbst, welche Daten du eingibst. Es werden nur die Daten gespeichert, die du aktiv in die App einträgst.

Rechtsgrundlage (DSGVO): Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Die Einwilligung wird über einen expliziten Opt-in beim Onboarding eingeholt und kann jederzeit widerrufen werden.

4.3 Nutzungs- und Gerätedaten

Beim Zugriff auf die App werden automatisch technische Daten erhoben:

• Gerätetyp, Betriebssystem und Version
• App-Version
• IP-Adresse (anonymisiert, soweit technisch möglich)
• Spracheinstellungen und Zeitzone
• Nutzungszeitpunkte und Sitzungsdauer
• Crash-Reports und Fehlerprotokolle (via Firebase Crashlytics)

Rechtsgrundlage (DSGVO): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung der Funktionsfähigkeit und Sicherheit der App).

4.4 Daten im Zusammenhang mit Künstlicher Intelligenz (KI)

4.4.1 Meal Foto Scanner

Die App bietet eine KI-gestützte Funktion zur Erkennung von Mahlzeiten anhand von Fotos („Meal Foto Scanner"). Der Ablauf der Datenverarbeitung ist wie folgt:

(1) Das von dir aufgenommene Foto wird ausschließlich lokal auf deinem Gerät in einen Base64-kodierten Text-String umgewandelt (Flutterflow-Client).

(2) Das Originalfoto wird zu keinem Zeitpunkt an unsere Server oder in Firebase hochgeladen oder dort gespeichert.

(3) Der Base64-kodierte Text-String wird als reiner Textbestandteil eines API-Aufrufs an die Google Gemini API gesendet, um die Mahlzeit zu analysieren.

(4) Das Ergebnis der Analyse (z. B. erkannte Lebensmittel und geschätzte Nährwerte) wird in der App angezeigt und kann von dir in dein Ernährungsprotokoll übernommen werden.

4.4.2 KI-Chatbot und Empfehlungen

Die App nutzt die Google Gemini API, um KI-gestützte Empfehlungen zu Ernährung und Training zu generieren. Hierfür werden die von dir eingegebenen Daten (z. B. Ernährungspräferenzen, Fitnessziele) als Kontext an die API übermittelt.

4.4.3 KI-Datennutzung und Training

Wir selbst nutzen deine Daten oder Eingaben (Prompts) nicht für das Training eigener KI-Modelle. Die Verarbeitung durch die Google Gemini API erfolgt gemäß den Datenschutzbestimmungen und Nutzungsbedingungen von Google. Wir empfehlen dir, die Datenschutzerklärung von Google (https://policies.google.com/privacy) sowie die spezifischen Nutzungsbedingungen der Gemini API zu lesen.

Rechtsgrundlage (DSGVO): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit die KI-Funktion Teil des Dienstleistungsangebots ist) in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Gesundheitsdaten gemäß Art. 9 Abs. 2 lit. a DSGVO).

5. Zwecke der Datenverarbeitung

Wir verarbeiten deine personenbezogenen Daten zu folgenden Zwecken:

• Bereitstellung, Betrieb und Verbesserung der App und ihrer Funktionen
• Registrierung und Verwaltung deines Nutzerkontos
• Personalisierung deiner App-Erfahrung (z. B. individuelle Ernährungs- und Trainingsempfehlungen)
• Verarbeitung und Analyse von Gesundheits- und Fitnessdaten auf Grundlage deiner ausdrücklichen Einwilligung
• Ausspielung personalisierter Werbung (ausschließlich im kostenlosen Tarif, siehe Abschnitt 6)
• Analyse des Nutzungsverhaltens und Fehlerbehebung (Firebase Analytics, Firebase Crashlytics)
• Erfüllung gesetzlicher Aufbewahrungspflichten
• Durchsetzung unserer Nutzungsbedingungen und Schutz vor Missbrauch

6. Personalisierte Werbung und Tracking

6.1 Google AdMob

Im kostenlosen Tarif („Free") der App wird personalisierte Werbung über Google AdMob ausgespielt. AdMob verwendet Technologien wie Cookies, Gerätekennungen (z. B. GAID, IDFA) und ähnliche Tracking-Methoden, um Werbung auf deine Interessen abzustimmen.

Weitere Informationen findest du in der Datenschutzerklärung von Google: https://policies.google.com/privacy

6.2 Einwilligungsmanagement (Consent)

EU / EWR / UK: Vor der Ausspielung personalisierter Werbung wird deine ausdrückliche Einwilligung über das Google User Messaging Platform SDK (UMP SDK) eingeholt. Diese Einwilligung ist gemäß Art. 6 Abs. 1 lit. a DSGVO sowie der ePrivacy-Richtlinie freiwillig und kann jederzeit in den App-Einstellungen widerrufen werden. Ohne Einwilligung wird keine personalisierte Werbung ausgespielt; es kann stattdessen nicht personalisierte Werbung angezeigt werden.

USA: Zusätzlich wird das Google UMP SDK genutzt, um den Anforderungen des CCPA zu entsprechen. Nutzer in Kalifornien haben das Recht, dem Verkauf oder der Weitergabe ihrer personenbezogenen Daten zu widersprechen (Opt-out, siehe Abschnitt 10).

Apple-Geräte (iOS): Auf Apple-Geräten wird zusätzlich die Einwilligung über das Apple App Tracking Transparency Framework (ATT) eingeholt. Ohne deine ausdrückliche Zustimmung über den ATT-Dialog wird kein App-übergreifendes Tracking durchgeführt.

6.3 Werbung in kostenpflichtigen Abonnements

In den kostenpflichtigen Abonnements („Pro" und „Ultra") wird keine Werbung ausgespielt. Es erfolgt in diesen Tarifen kein Werbe-Tracking über AdMob.

7. Empfänger und Auftragsverarbeiter

7.1 Google LLC / Google Ireland Limited (Firebase)

Unsere App nutzt Firebase von Google als Backend-Infrastruktur. Die primäre Datenverarbeitung erfolgt auf Servern in Frankfurt (EU). Firebase umfasst die Dienste:

• Firebase Authentication (Nutzeranmeldung)
• Cloud Firestore (Datenbankspeicherung)
• Firebase Crashlytics (Fehlererkennung)
• Firebase Analytics (Nutzungsanalyse)

Google agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag (Data Processing Agreement) besteht.

7.2 Google Gemini API

Für die KI-gestützten Funktionen (Meal Foto Scanner, KI-Chatbot) werden Daten an die Google Gemini API übermittelt. Die Verarbeitung erfolgt gemäß den Google Cloud-Nutzungsbedingungen und der Google-Datenschutzerklärung.

7.3 Google AdMob

Im kostenlosen Tarif werden Daten an Google AdMob übermittelt, um personalisierte oder nicht personalisierte Werbung auszuspielen (siehe Abschnitt 6).

7.4 Apple Inc. / Google LLC (App Stores)

Die Zahlungsabwicklung für die kostenpflichtigen Abonnements („Pro", „Ultra") erfolgt ausschließlich über den Apple App Store bzw. den Google Play Store. Wir haben keinen Zugriff auf deine Zahlungsdaten (z. B. Kreditkartennummern). Die Verarbeitung deiner Zahlungsdaten unterliegt den jeweiligen Datenschutzbestimmungen von Apple bzw. Google.

8. Internationale Datenübertragung

Die primäre Datenspeicherung erfolgt in Firebase-Rechenzentren in Frankfurt (EU). Da Google als US-amerikanisches Unternehmen in bestimmten Fällen Daten in die USA oder andere Drittländer übermitteln kann, sind folgende Schutzmaßnahmen implementiert:

EU-US Data Privacy Framework (DPF): Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert. Auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO ist ein angemessenes Datenschutzniveau gewährleistet.

EU-Standardvertragsklauseln (SCCs): Ergänzend kommen die von der Europäischen Kommission genehmigten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO zur Anwendung, um auch für den Fall eines Wegfalls des DPF-Angemessenheitsbeschlusses ein angemessenes Schutzniveau sicherzustellen.

Zusätzliche Schutzmaßnahmen: Google setzt technische und organisatorische Maßnahmen ein, darunter Verschlüsselung bei der Übertragung und Speicherung, um die Sicherheit deiner Daten zu gewährleisten.

9. Speicherdauer und Löschung

Deine personenbezogenen Daten werden nur so lange gespeichert, wie dies für die in Abschnitt 5 genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Account-Löschung: Du kannst dein Nutzerkonto jederzeit in den App-Einstellungen löschen. Bei der Löschung deines Kontos werden deine personenbezogenen Daten aus unseren aktiven Systemen entfernt.

Backup-Verbleib: Bitte beachte, dass gelöschte Daten in regulären, automatischen Firebase-Backups für einen Zeitraum von bis zu 30 Tagen nach der Löschung verbleiben können, bevor sie endgültig überschrieben werden. Während dieses Zeitraums werden die Daten nicht aktiv verarbeitet und sind nicht über die App zugänglich.

Gesetzliche Aufbewahrungspflichten: Soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. steuer- oder handelsrechtliche Pflichten), werden die betreffenden Daten für die Dauer der gesetzlichen Frist gesperrt und anschließend gelöscht.

10. Deine Rechte

10.1 Rechte nach DSGVO (EU / EWR / UK)

Sofern du dich in der EU, dem EWR oder dem Vereinigten Königreich befindest, stehen dir folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO): Du hast das Recht, eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten wir über dich verarbeiten.
• Recht auf Berichtigung (Art. 16 DSGVO): Du hast das Recht auf Berichtigung unrichtiger Daten.
• Recht auf Löschung (Art. 17 DSGVO): Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, deine Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, der Verarbeitung auf Grundlage berechtigter Interessen zu widersprechen.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

10.2 Rechte nach CCPA (Kalifornien, USA)

Sofern du in Kalifornien ansässig bist, stehen dir nach dem CCPA folgende Rechte zu:

• Right to Know: Du hast das Recht zu erfahren, welche Kategorien und konkreten Datenpunkte personenbezogener Daten wir über dich in den letzten 12 Monaten erhoben haben, die Quellen dieser Daten, den geschäftlichen Zweck der Erhebung und die Kategorien der Empfänger.
• Right to Delete: Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen, vorbehaltlich bestimmter Ausnahmen.
• Right to Opt-Out of Sale/Sharing: Wir verkaufen deine personenbezogenen Daten nicht im herkömmlichen Sinne. Sofern die Weitergabe von Daten an Werbepartner (z. B. Google AdMob) als „Sale" oder „Sharing" im Sinne des CCPA angesehen wird, hast du das Recht, dem zu widersprechen. Du kannst dies über die Consent-Einstellungen in der App oder durch Kontaktaufnahme unter contact@ryvion.de tun.
• Right to Non-Discrimination: Wir werden dich nicht benachteiligen, weil du deine CCPA-Rechte ausübst.

CCPA-Hinweis (Disclosure at Collection): Wir erheben die in Abschnitt 4 beschriebenen Kategorien personenbezogener Daten zu den in Abschnitt 5 genannten geschäftlichen Zwecken. Die Aufbewahrungsfristen sind in Abschnitt 9 beschrieben.

10.3 Rechte nach PIPEDA (Kanada)

Sofern du in Kanada ansässig bist, hast du nach dem Personal Information Protection and Electronic Documents Act (PIPEDA) folgende Rechte:

• Recht auf Zugang zu deinen personenbezogenen Daten und Informationen über deren Nutzung.
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten.
• Recht, deine Einwilligung zur Erhebung, Nutzung oder Weitergabe deiner Daten zu widerrufen (vorbehaltlich vertraglicher oder gesetzlicher Einschränkungen).
• Recht, eine Beschwerde beim Privacy Commissioner of Canada einzureichen.

Ansprechpartner für PIPEDA-Anfragen: contact@ryvion.de

10.4 Ausübung deiner Rechte

Um deine Rechte ausüben, wende dich bitte per E-Mail an contact@ryvion.de. Wir werden deine Anfrage innerhalb der gesetzlichen Fristen bearbeiten (DSGVO: 1 Monat, CCPA: 45 Tage, PIPEDA: 30 Tage). Zur Verifikation deiner Identität können wir dich bitten, zusätzliche Informationen bereitzustellen.

11. Datensicherheit

Wir setzen branchenübliche technische und organisatorische Maßnahmen ein, um deine personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Hierzu gehören unter anderem:

• Verschlüsselung der Datenübertragung (TLS/SSL)
• Verschlüsselung ruhender Daten in Firebase
• Zugriffsbeschränkungen und rollenbasierte Berechtigungen
• Regelmäßige Sicherheitsüberprüfungen

Bitte beachte: Keine Methode der Übertragung über das Internet und keine Methode der elektronischen Speicherung ist zu 100 % sicher. Wir können daher keine absolute Sicherheit deiner Daten garantieren, verpflichten uns jedoch, angemessene Schutzmaßnahmen aufrechtzuerhalten und kontinuierlich zu verbessern.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung von Zeit zu Zeit anzupassen, um Änderungen unserer Datenverarbeitungspraktiken oder rechtlichen Anforderungen zu berücksichtigen. Über wesentliche Änderungen werden wir dich in geeigneter Weise informieren (z. B. durch eine In-App-Benachrichtigung oder eine E-Mail an die hinterlegte E-Mail-Adresse). Die jeweils aktuelle Fassung ist in der App unter dem Menüpunkt „Datenschutz" abrufbar.

Wir empfehlen dir, diese Datenschutzerklärung regelmäßig zu überprüfen.

13. Online-Streitbeilegung (EU)

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit, die du unter folgendem Link erreichst: https://ec.europa.eu/consumers/odr

Wir sind weder verpflichtet noch bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen, soweit keine gesetzliche Verpflichtung hierzu besteht.

14. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zur Verarbeitung deiner personenbezogenen Daten wende dich bitte an:
E-Mail: contact@ryvion.de
Telefon: [Telefonnummer einsetzen]
Postadresse: [Wie unter Abschnitt 1 angegeben]

1. Data Controller and Contact Information

The party responsible for data processing within the meaning of the EU General Data Protection Regulation (GDPR), the California Consumer Privacy Act (CCPA), the Children's Online Privacy Protection Act (COPPA) and the Canadian Personal Information Protection and Electronic Documents Act (PIPEDA) is:

[First and last name of the owner]
[Name of sole proprietorship / business name]
c/o [Name of imprint/virtual office service provider]
[Street and house number]
[Postal code, city, country]

Email: contact@ryvion.de
Phone: [insert phone number]
Website: [insert URL]

Note: The address provided above is a mailing address through an imprint service (virtual office). Postal inquiries will be forwarded from there. For data protection inquiries, please preferably use the email address contact@ryvion.de.

2. Scope

This Privacy Policy applies to the mobile application "Ryvion" (hereinafter "App"), which is made available for download via the Apple App Store and the Google Play Store. It informs you about which personal data we collect, process and store in connection with the use of the App, the purposes for which this is done, and the rights to which you are entitled.

The App is intended for users in the European Union (EU), the European Economic Area (EEA), the United Kingdom (UK), the United States of America (USA) and Canada. The applicable data protection provisions of these regions are addressed separately in this Privacy Policy.

3. Minimum Age and Youth Protection

3.1 Age Requirements

The use of the App requires a uniform minimum age of 16 years worldwide. By downloading, installing and using the App, you expressly confirm that you are at least 16 years of age.

3.2 Neutral Age Gate

When the App is launched for the first time, the user's age is verified through a so-called Neutral Age Gate. The age verification is designed in a neutral manner and does not contain any information that would enable the verification to be deliberately circumvented. Users who do not meet the required minimum age are technically prevented from using the App.

3.3 COPPA Compliance (USA)

We do not knowingly collect personal data from children under the age of 13. If we become aware that we have received data from a child under the age of 13, we will delete such data without undue delay. Parents or legal guardians who believe that their child has submitted personal data to us are asked to contact us at contact@ryvion.de.

4. Categories of Personal Data Processed

4.1 Account Data (Registration and Authentication)

The following data is processed during registration and use of the App:

• Email address (when registering via email/password)
• Name and profile picture (if provided via Google Sign-In or Apple Sign-In)
• Authentication token and unique user ID (Firebase Authentication UID)
• Login method (email/password, Google or Apple)

Legal basis (GDPR): Art. 6(1)(b) GDPR (performance of a contract).

4.2 Health and Fitness Data (Special Categories, Art. 9 GDPR)

The App allows you to voluntarily enter the following health-related data:

• Height, body weight, body fat percentage, muscle mass
• Gender (for the calculation of nutritional values and training parameters)
• Dietary preferences (e.g. vegan, vegetarian, omnivore)
• Calorie intake and macronutrient distribution
• Fitness goals and training progress
• Activity level and physical activities
• Mood and well-being

Important notice: The entry of this data is 100% voluntary. You decide which data you enter. Only the data that you actively enter into the App will be stored.

Legal basis (GDPR): Art. 9(2)(a) GDPR (explicit consent). Consent is obtained through an explicit opt-in during onboarding and can be withdrawn at any time.

4.3 Usage and Device Data

When you access the App, technical data is automatically collected:

• Device type, operating system and version
• App version
• IP address (anonymized where technically possible)
• Language settings and time zone
• Usage times and session duration
• Crash reports and error logs (via Firebase Crashlytics)

Legal basis (GDPR): Art. 6(1)(f) GDPR (legitimate interest in ensuring the functionality and security of the App).

4.4 Data Related to Artificial Intelligence (AI)

4.4.1 Meal Photo Scanner

The App offers an AI-powered feature for recognizing meals from photos ("Meal Photo Scanner"). The data processing procedure is as follows:

(1) The photo you take is converted into a Base64-encoded text string exclusively on your local device (Flutterflow client).

(2) The original photo is never uploaded to our servers or to Firebase, nor is it stored there at any time.

(3) The Base64-encoded text string is sent as a plain text component of an API call to the Google Gemini API in order to analyze the meal.

(4) The result of the analysis (e.g. recognized foods and estimated nutritional values) is displayed in the App and can be added by you to your nutrition log.

4.4.2 AI Chatbot and Recommendations

The App uses the Google Gemini API to generate AI-powered recommendations for nutrition and training. For this purpose, the data you enter (e.g. dietary preferences, fitness goals) is transmitted to the API as context.

4.4.3 AI Data Usage and Training

We do not use your data or inputs (prompts) to train our own AI models. Processing by the Google Gemini API is carried out in accordance with Google's privacy policy and terms of use. We recommend that you read Google's Privacy Policy (https://policies.google.com/privacy) as well as the specific terms of use of the Gemini API.

Legal basis (GDPR): Art. 6(1)(b) GDPR (performance of a contract, insofar as the AI feature is part of the service offering) in conjunction with Art. 6(1)(a) GDPR (consent for health data pursuant to Art. 9(2)(a) GDPR).

5. Purposes of Data Processing

We process your personal data for the following purposes:

• Provision, operation and improvement of the App and its features
• Registration and management of your user account
• Personalization of your App experience (e.g. individual nutrition and training recommendations)
• Processing and analysis of health and fitness data on the basis of your explicit consent
• Delivery of personalized advertising (exclusively in the free tier; see Section 6)
• Analysis of usage behavior and error resolution (Firebase Analytics, Firebase Crashlytics)
• Compliance with statutory retention obligations
• Enforcement of our Terms of Service and protection against misuse

6. Personalized Advertising and Tracking

6.1 Google AdMob

In the free tier ("Free") of the App, personalized advertising is served through Google AdMob. AdMob uses technologies such as cookies, device identifiers (e.g. GAID, IDFA) and similar tracking methods to tailor advertising to your interests.

Further information can be found in Google's Privacy Policy: https://policies.google.com/privacy

6.2 Consent Management

EU / EEA / UK: Before personalized advertising is served, your explicit consent is obtained via the Google User Messaging Platform SDK (UMP SDK). This consent is voluntary in accordance with Art. 6(1)(a) GDPR and the ePrivacy Directive and can be withdrawn at any time in the App settings. Without consent, no personalized advertising will be served; non-personalized advertising may be displayed instead.

USA: Additionally, the Google UMP SDK is used to comply with the requirements of the CCPA. Users in California have the right to opt out of the sale or sharing of their personal data (see Section 10).

Apple devices (iOS): On Apple devices, consent is additionally obtained via the Apple App Tracking Transparency Framework (ATT). Without your explicit consent via the ATT dialog, no cross-app tracking will be performed.

6.3 Advertising in Paid Subscriptions

No advertising is served in the paid subscriptions ("Pro" and "Ultra"). No ad tracking via AdMob takes place in these tiers.

7. Recipients and Data Processors

7.1 Google LLC / Google Ireland Limited (Firebase)

Our App uses Firebase by Google as its backend infrastructure. Primary data processing takes place on servers in Frankfurt (EU). Firebase includes the following services:

• Firebase Authentication (user login)
• Cloud Firestore (database storage)
• Firebase Crashlytics (error detection)
• Firebase Analytics (usage analysis)

Google acts as a data processor pursuant to Art. 28 GDPR. A Data Processing Agreement is in place.

7.2 Google Gemini API

For the AI-powered features (Meal Photo Scanner, AI chatbot), data is transmitted to the Google Gemini API. Processing is carried out in accordance with the Google Cloud Terms of Service and the Google Privacy Policy.

7.3 Google AdMob

In the free tier, data is transmitted to Google AdMob in order to serve personalized or non-personalized advertising (see Section 6).

7.4 Apple Inc. / Google LLC (App Stores)

Payment processing for the paid subscriptions ("Pro", "Ultra") is handled exclusively through the Apple App Store and the Google Play Store. We do not have access to your payment data (e.g. credit card numbers). The processing of your payment data is subject to the respective privacy policies of Apple and Google.

8. International Data Transfers

Primary data storage takes place in Firebase data centers in Frankfurt (EU). Since Google, as a US-based company, may in certain cases transfer data to the USA or other third countries, the following safeguards are implemented:

EU-US Data Privacy Framework (DPF): Google LLC is certified under the EU-US Data Privacy Framework. On the basis of the adequacy decision of the European Commission pursuant to Art. 45 GDPR, an adequate level of data protection is ensured.

EU Standard Contractual Clauses (SCCs): In addition, the Standard Contractual Clauses approved by the European Commission pursuant to Art. 46(2)(c) GDPR apply in order to ensure an adequate level of protection even in the event that the DPF adequacy decision ceases to apply.

Additional safeguards: Google implements technical and organizational measures, including encryption during transmission and storage, to ensure the security of your data.

9. Retention Period and Deletion

Your personal data will only be stored for as long as is necessary for the purposes described in Section 5 or as required by statutory retention obligations.

Account deletion: You can delete your user account at any time in the App settings. When your account is deleted, your personal data will be removed from our active systems.

Backup retention: Please note that deleted data may remain in regular, automated Firebase backups for a period of up to 30 days after deletion before being permanently overwritten. During this period, the data will not be actively processed and will not be accessible through the App.

Statutory retention obligations: Insofar as statutory retention obligations apply (e.g. tax or commercial law obligations), the relevant data will be restricted for the duration of the statutory retention period and subsequently deleted.

10. Your Rights

10.1 Rights under the GDPR (EU / EEA / UK)

If you are located in the EU, the EEA or the United Kingdom, you are entitled to the following rights:

• Right of access (Art. 15 GDPR): You have the right to request confirmation as to whether and which personal data we process about you.
• Right to rectification (Art. 16 GDPR): You have the right to rectification of inaccurate data.
• Right to erasure (Art. 17 GDPR): You have the right to request the deletion of your personal data, provided that no statutory retention obligations apply.
• Right to restriction of processing (Art. 18 GDPR).
• Right to data portability (Art. 20 GDPR): You have the right to receive your data in a structured, commonly used and machine-readable format.
• Right to object (Art. 21 GDPR): You have the right to object to processing based on legitimate interests for reasons relating to your particular situation.
• Right to withdraw consent (Art. 7(3) GDPR): You may withdraw your consent at any time with effect for the future. The withdrawal shall not affect the lawfulness of processing carried out on the basis of consent before its withdrawal.
• Right to lodge a complaint with a supervisory authority (Art. 77 GDPR): You have the right to lodge a complaint with the competent data protection supervisory authority.

10.2 Rights under the CCPA (California, USA)

If you are a resident of California, you are entitled to the following rights under the CCPA:

• Right to Know: You have the right to know which categories and specific data points of personal data we have collected about you in the past 12 months, the sources of that data, the business purpose of collection, and the categories of recipients.
• Right to Delete: You have the right to request the deletion of your personal data, subject to certain exceptions.
• Right to Opt-Out of Sale/Sharing: We do not sell your personal data in the traditional sense. Insofar as the sharing of data with advertising partners (e.g. Google AdMob) may be deemed a "Sale" or "Sharing" within the meaning of the CCPA, you have the right to opt out. You can do so via the consent settings in the App or by contacting us at contact@ryvion.de.
• Right to Non-Discrimination: We will not discriminate against you for exercising your CCPA rights.

CCPA Notice (Disclosure at Collection): We collect the categories of personal data described in Section 4 for the business purposes set forth in Section 5. The retention periods are described in Section 9.

10.3 Rights under PIPEDA (Canada)

If you are a resident of Canada, you have the following rights under the Personal Information Protection and Electronic Documents Act (PIPEDA):

• Right of access to your personal data and information about its use.
• Right to correction of inaccurate or incomplete data.
• Right to withdraw your consent to the collection, use or disclosure of your data (subject to contractual or legal restrictions).
• Right to file a complaint with the Privacy Commissioner of Canada.

Contact for PIPEDA inquiries: contact@ryvion.de

10.4 Exercising Your Rights

To exercise your rights, please contact us by email at contact@ryvion.de. We will process your request within the statutory time limits (GDPR: 1 month, CCPA: 45 days, PIPEDA: 30 days). To verify your identity, we may ask you to provide additional information.

11. Data Security

We employ industry-standard technical and organizational measures to protect your personal data against unauthorized access, loss, destruction or alteration. These measures include, among others:

• Encryption of data in transit (TLS/SSL)
• Encryption of data at rest in Firebase
• Access restrictions and role-based permissions
• Regular security audits

Please note: No method of transmission over the Internet and no method of electronic storage is 100% secure. We therefore cannot guarantee absolute security of your data; however, we are committed to maintaining and continuously improving appropriate safeguards.

12. Changes to this Privacy Policy

We reserve the right to amend this Privacy Policy from time to time to reflect changes in our data processing practices or legal requirements. We will inform you of material changes in an appropriate manner (e.g. through an in-app notification or an email to the email address on file). The current version is available in the App under the menu item "Privacy".

We recommend that you review this Privacy Policy regularly.

13. Online Dispute Resolution (EU)

The European Commission provides a platform for online dispute resolution (ODR), which you can access at the following link: https://ec.europa.eu/consumers/odr

We are neither obligated nor willing to participate in dispute resolution proceedings before a consumer arbitration body, unless there is a statutory obligation to do so.

14. Contact

If you have any questions about this Privacy Policy or the processing of your personal data, please contact:
Email: contact@ryvion.de
Phone: [insert phone number]
Postal address: [As stated in Section 1]