Datenschutzhinweise

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung im Zusammenhang mit Transit ist der im Impressum genannte Anbieter.

2. Welche Daten Transit verarbeitet

Transit verarbeitet die Daten, die für Bereitstellung, Sicherheit und Nutzung der Plattform erforderlich sind. Dazu können insbesondere gehören:

Kontodaten, Profileinstellungen, Biomarker- und Laborwerte, Upload-Metadaten, Wearable- und Integrationsdaten, Ernährungsdaten, Interventions- und Journal-/Feelings-Daten, technische Nutzungsdaten sowie abgeleitete Zusammenfassungen wie Dashboard-Artefakte, Narrative oder Weekly Briefs.

3. Zweck und Rechtsgrundlagen der Verarbeitung

Transit verarbeitet Daten zur Bereitstellung der vertraglich geschuldeten Produktfunktionen, zur Synchronisation verbundener Datenquellen, zur Ausspielung von Auswertungen und Empfehlungen, zur Sicherheit der Plattform, zur Fehlerbehebung und zur Missbrauchsverhinderung.

Je nach Nutzungskontext erfolgt die Verarbeitung insbesondere auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO und, soweit Gesundheitsdaten verarbeitet werden, zusätzlich auf Grundlage einer ausdrücklichen Einwilligung oder einer sonst einschlägigen Rechtsgrundlage nach Art. 9 DSGVO.

4. Speicherung und Hosting

Transit speichert strukturierte Produktdaten primär in einem konfigurierten Supabase-Projekt. Supabase stellt hierfür insbesondere Datenbank-, Auth- und API-Dienste bereit. Die Speicherung erfolgt in logisch getrennten Datenbereichen nach Produktfunktionen, etwa für Profile, Biomarker, Integrationen, Food, Interventions und abgeleitete Zusammenfassungen.

Rohdaten und Metadaten werden nur insoweit gespeichert, wie dies für den jeweiligen Produktzweck, für Nachvollziehbarkeit, für Synchronisation oder für Sicherheit und Stabilität erforderlich ist.

5. Verschlüsselung und Transport

Transit nutzt branchenübliche technische Schutzmaßnahmen für gespeicherte und übertragene Daten. Daten werden bei der Übertragung über TLS geschützt. Infrastrukturkomponenten und Speichersysteme werden mit Verschlüsselungsmechanismen im Ruhezustand betrieben, soweit diese durch die eingesetzten Hosting- und Datenbankdienste bereitgestellt werden.

6. Wer technisch Zugriff hat

Zugriff auf Daten erhalten nur solche Stellen, die ihn zur Bereitstellung, Absicherung, Wartung oder Fehlerbehebung der Plattform benötigen. Dazu gehören insbesondere die jeweilige Nutzerin oder der jeweilige Nutzer bezogen auf die eigenen Daten, serverseitige Transit-Dienste zur Ausführung angeforderter Funktionen, streng berechtigte Administratorinnen und Administratoren nach dem Need-to-know-Prinzip sowie weisungsgebundene Auftragsverarbeiter im Rahmen ihrer technischen Leistungserbringung.

Für nutzerbezogene Daten setzt Transit technische Zugriffsbeschränkungen ein. Dazu gehören insbesondere rollen- und richtlinienbasierte Kontrollen sowie datenbankseitige Zugriffsbeschränkungen wie Row Level Security, damit angemeldete Nutzerinnen und Nutzer grundsätzlich nur auf die ihnen zugeordneten Datensätze zugreifen können.

7. Integrationen und Drittquellen

Wenn Nutzerinnen oder Nutzer externe Integrationen wie Wearables, Laborquellen oder andere verbundene Dienste nutzen, verarbeitet Transit die dort bereitgestellten Daten nur im Rahmen der jeweils aktivierten Verbindung und des vorgesehenen Produktzwecks. Für die Datenerhebung durch den jeweiligen Drittanbieter gelten ergänzend dessen eigene Datenschutzbestimmungen.

8. Speicherdauer

Transit speichert personenbezogene Daten nur so lange, wie dies für die Vertragsdurchführung, den jeweiligen Funktionszweck, gesetzliche Aufbewahrungspflichten, die Systemsicherheit oder berechtigte Nachweisinteressen erforderlich ist. Nicht mehr erforderliche Daten werden gelöscht, anonymisiert oder in ihrer Verarbeitung eingeschränkt, soweit dies technisch und rechtlich angemessen ist.

9. Betroffenenrechte

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen bestimmte Verarbeitungen. Soweit eine Verarbeitung auf Einwilligung beruht, kann diese mit Wirkung für die Zukunft widerrufen werden.

10. Sicherheit und organisatorische Maßnahmen

Transit setzt technische und organisatorische Maßnahmen ein, um Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Daten zu schützen. Dazu gehören insbesondere Zugriffskontrollen, Sitzungs- und Berechtigungsmanagement, Protokollierung sicherheitsrelevanter Vorgänge, Backup- und Wiederherstellungsverfahren, Prinzipien der minimalen Rechtevergabe sowie regelmäßige Überprüfung und Härtung technischer Schutzmaßnahmen.

11. Wissenschaftliche Einordnung und Produktcharakter

Transit verarbeitet Daten, Referenzlogiken, Verlaufsinformationen und allgemeine gesundheitsbezogene Modelle, um Hinweise und Prioritäten im Wellness-, Präventions- und Performance-Kontext zu erzeugen. Transit ist nicht als Medizinprodukt zur Diagnose oder Therapie bestimmt und ersetzt keine ärztliche Beratung.

12. Änderungen dieser Datenschutzhinweise

Diese Datenschutzhinweise können angepasst werden, wenn sich rechtliche, technische oder produktbezogene Anforderungen ändern. Die jeweils aktuelle Fassung wird auf dieser Seite veröffentlicht.