Heal my Back Logo heal my back Ein Produkt der CuraDora GmbH

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten bei Website, App und Premiumdiensten

Stand: 13.05.2026


1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

CuraDora GmbH
Süskindstraße 2
48531 Nordhorn
Deutschland

E-Mail: info@cura-dora.de

Registergericht: Osnabrück
Handelsregisternummer: HRB 222571
Vertreten durch die Geschäftsführer: Prof. Dr. med. Gernot Lang, Andre Potgeter

Inhaltlich Verantwortliche gemäß § 18 Abs. 2 MStV: Prof. Dr. med. Gernot Lang, Andre Potgeter


2. Geltungsbereich

Diese Datenschutzerklärung informiert darüber, wie personenbezogene Daten bei der Nutzung unserer Website, der App „Heal My Back“, der darin enthaltenen Trainings-, Ernährungs-, Dokumentations- und KI-Funktionen sowie der angebotenen Premiumdienste verarbeitet werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.


3. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung, Sicherheit, Verbesserung und Abrechnung der App-Funktionen erforderlich ist oder eine Einwilligung bzw. eine gesetzliche Erlaubnis vorliegt.

  • Keine Nutzung personenbezogener Daten für fremde Werbung
  • Keine Weitergabe personenbezogener Daten zu Marketingzwecken
  • Keine Verarbeitung von Kreditkarten- oder Bankdaten durch CuraDora
  • Tokenbasierte Anmeldung statt klassischer Passwortkonten
  • Serverseitige Verarbeitung der App-Daten über unsere Backend-API

Soweit Kauf- oder Abonnementinformationen verarbeitet werden, betrifft dies insbesondere technische Kaufbestätigungen, Produktkennungen, Abo-Status, Laufzeiten und Berechtigungen. Kreditkarten-, Bank- oder sonstige Zahlungsdaten werden durch die jeweiligen App Stores verarbeitet und nicht durch CuraDora gespeichert.


4. Datenkategorien in der App

Je nach Nutzung der App können insbesondere folgende Daten verarbeitet werden:

  • technische Kennungen, Token, Geräte- und Sitzungsinformationen
  • App-Sprache, Plattform, App-Version und technische Nutzungsdaten
  • Profildaten, soweit vom Nutzer angegeben, z. B. Alter, Größe, Gewicht, Geschlecht oder Aktivitätsangaben
  • Trainingsdaten, Trainingsfortschritt, Übungsfortschritt und Trainingsfeedback
  • Schmerz-, Beschwerde-, Tagebuch- oder Fortschrittsangaben, soweit vom Nutzer eingetragen
  • Ernährungsdaten, Mahlzeiten, Wasseraufnahme, Gewichtsdaten und Zielangaben
  • Bilder oder Texteingaben zur KI-gestützten Essensanalyse, wenn diese Funktion genutzt wird
  • KI-Nutzungsdaten, Kontingente, Credits, Verbrauchswerte und technische Abrechnungsinformationen
  • Support-, Feedback-, Ideen- und Fehlermeldungen, soweit diese über die App übermittelt werden
  • Kauf-, Produkt-, Abonnement- und Berechtigungsinformationen aus Apple App Store, Google Play Store oder angebundenen Dienstleistern

5. Gesundheitsbezogene Daten und besondere Kategorien personenbezogener Daten

Die App verarbeitet je nach Nutzung Angaben, die einen Gesundheitsbezug haben können, insbesondere Trainings-, Rücken-, Schmerz-, Bewegungs-, Gewichts-, Ernährungs- und Fortschrittsdaten. Solche Daten können besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO darstellen.

Die Verarbeitung solcher Daten erfolgt, soweit erforderlich, auf Grundlage der ausdrücklichen Einwilligung des Nutzers gemäß Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit Art. 6 Abs. 1 lit. a DSGVO oder auf Grundlage der Erforderlichkeit zur Bereitstellung der vom Nutzer gewünschten App-Funktionen gemäß Art. 6 Abs. 1 lit. b DSGVO, soweit keine besondere Kategorie personenbezogener Daten betroffen ist.

Die App ersetzt keine ärztliche Diagnose, Behandlung oder individuelle medizinische bzw. ernährungsmedizinische Beratung. Weitere Hinweise hierzu finden sich in unseren AGB.


6. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

  • Bereitstellung der App, Website und Backend-API
  • Erstellung und Verwaltung eines tokenbasierten Benutzerkontos
  • Speicherung und Anzeige von Trainings-, Fortschritts-, Ernährungs- und Tagebuchdaten
  • Berechnung und Anpassung von Trainings- und Ernährungsfunktionen
  • Durchführung KI-gestützter Analysen, wenn diese vom Nutzer ausgelöst werden
  • Bereitstellung, Prüfung und Verwaltung von Premiumzugängen und Abonnements
  • Bearbeitung von Support-, Feedback- und Fehlermeldungen
  • Sicherheit, Fehleranalyse, Missbrauchsprävention und Stabilität des Systems
  • Erfüllung gesetzlicher Pflichten

Rechtsgrundlagen sind insbesondere Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erteilt wurde, Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen, Art. 6 Abs. 1 lit. c DSGVO zur Erfüllung rechtlicher Pflichten sowie Art. 6 Abs. 1 lit. f DSGVO zur Wahrung berechtigter Interessen an Sicherheit, Stabilität und Missbrauchsprävention.


7. Hosting, Serverbetrieb und technische Protokolle

Die App kommuniziert mit unserer Backend-API. Beim Zugriff auf Website, App-Backend und Schnittstellen werden technisch notwendige Verbindungsdaten verarbeitet, z. B. IP-Adresse, Zeitpunkt des Zugriffs, angefragte Ressource, HTTP-Status, technische Geräte- oder App-Informationen und ähnliche Protokolldaten.

Diese Daten werden zur technischen Bereitstellung, Fehleranalyse, Sicherheit und Missbrauchsprävention verarbeitet. Eine Auswertung zu Werbezwecken findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.


8. Benutzerkonto, Token und E-Mail-Verarbeitung

8.1 Tokenbasiertes Benutzerkonto
Die App verwendet ein tokenbasiertes System. Zur Wiedererkennung des Benutzerkontos wird auf dem Endgerät ein technischer Token gespeichert. Dieser Token ermöglicht die Zuordnung zu den in der App gespeicherten Daten und ersetzt ein klassisches Passwortkonto.

8.2 Optionale E-Mail-Verarbeitung
Soweit eine E-Mail-Adresse zur Verifikation, Wiederherstellung oder Kommunikation angegeben wird, wird diese nur für den jeweiligen Zweck verarbeitet.

8.3 Hash-basierte Speicherung
Soweit technisch möglich und für den jeweiligen Zweck ausreichend, speichern wir E-Mail-Adressen nicht dauerhaft im Klartext, sondern verwenden kryptografische Hashwerte zur Zuordnung.

8.4 Einmal-Code-Verfahren
Zur Verifikation oder Wiederherstellung kann ein zeitlich begrenzter, einmal nutzbarer Code versendet werden.


9. Trainings-, Fortschritts- und Tagebuchdaten

Trainings- und Fortschrittsdaten werden verarbeitet, um Trainingspläne, Übungsfortschritte, Trainingstage, Erinnerungen, Auswertungen und Verlaufseinträge bereitzustellen.

Soweit der Nutzer Angaben zu Beschwerden, Schmerzen, Belastbarkeit, Gewicht, Aktivität oder ähnlichen gesundheitsbezogenen Umständen macht, werden diese Daten ausschließlich zur Bereitstellung und Verbesserung der entsprechenden App-Funktionen verwendet.


10. Food Coach, Ernährungsdaten und Gewichtsdaten

Bei Nutzung des Food Coach können Angaben zu Zielsetzung, Mahlzeiten, Nährwerten, Wasseraufnahme, Gewicht, Fokusbereichen und Verlauf verarbeitet werden. Diese Daten dienen dazu, Feedback, Auswertungen, Rezeptvorschläge, Tagesstrukturen und KI-gestützte Hinweise bereitzustellen.

Die bereitgestellten Hinweise stellen keine individuelle medizinische oder ernährungsmedizinische Beratung dar und ersetzen keine ärztliche oder ernährungsfachliche Betreuung.


11. KI-gestützte Funktionen

Die App kann KI-gestützte Funktionen anbieten, insbesondere zur Analyse von Mahlzeiten anhand von Text- und/oder Bildeingaben sowie zur Auswertung von Trainings-, Ernährungs- oder Verlaufsdaten.

Technische Umsetzung:
Die Verarbeitung erfolgt über unsere Backend-API. Das Endgerät kommuniziert dabei nicht direkt mit dem KI-Dienstleister. Je nach Funktion können die vom Nutzer eingegebenen Texte, Bilder und relevanten Kontextdaten serverseitig an einen KI-Dienstleister übermittelt und dort zur Erstellung der Antwort verarbeitet werden.

Wir bemühen uns, nur die für die jeweilige Analyse notwendigen Daten zu übermitteln. Nutzer sollten keine Informationen eingeben oder hochladen, die für die Nutzung der Funktion nicht erforderlich sind.

Drittlandübermittlung:
Sofern eine Übermittlung in Staaten außerhalb der EU bzw. des Europäischen Wirtschaftsraums erfolgt, erfolgt dies auf Grundlage geeigneter Garantien gemäß Art. 45 oder Art. 46 DSGVO, insbesondere eines Angemessenheitsbeschlusses, der EU-Standardvertragsklauseln oder anderer rechtlich vorgesehener Schutzmechanismen.


12. Premiumdienste, App Stores und RevenueCat

Premiumdienste und Abonnements werden über den Apple App Store bzw. den Google Play Store angeboten und abgerechnet. CuraDora verarbeitet hierbei keine Kreditkarten-, Bank- oder sonstigen Zahlungsdaten.

Zur Prüfung und Verwaltung von Premiumzugängen können technische Kauf- und Abonnementdaten verarbeitet werden, z. B. Produktkennung, Kaufstatus, Entitlement-Status, Ablaufdatum, Plattform, Store, Transaktions- oder Beleginformationen sowie technische Benutzerkennungen.

Für die Verwaltung von In-App-Käufen und Abonnementberechtigungen kann RevenueCat eingesetzt werden. RevenueCat verarbeitet hierbei Daten als technischer Dienstleister, insbesondere zur Prüfung von Kaufstatus, Abonnementberechtigung und Store-Transaktionen.

Weitere Informationen finden sich in den Datenschutzhinweisen der jeweiligen Anbieter:


13. Kamera, Fotos und Bildanalyse

Wenn der Nutzer Funktionen zur Fotoaufnahme oder Bildauswahl nutzt, kann die App Zugriff auf Kamera oder ausgewählte Bilder erhalten. Dies erfolgt nur, wenn der Nutzer die entsprechende Berechtigung erteilt oder ein Bild aktiv auswählt.

Hochgeladene Bilder werden zur jeweils gewählten Funktion verarbeitet, z. B. zur KI-gestützten Essensanalyse. Bilder sollten keine unnötigen personenbezogenen Informationen enthalten.


14. Lokale Speicherung, Secure Storage und Cookies

Die App kann Daten lokal auf dem Endgerät speichern, insbesondere technische Token, Sitzungsdaten, Spracheinstellungen, Caches und funktionsbezogene Einstellungen. Soweit möglich, werden sicherheitsrelevante Daten in einem geschützten Speicherbereich des Endgeräts abgelegt.

Auf der Website werden nur technisch notwendige Cookies oder vergleichbare Technologien verwendet, soweit diese für den Betrieb der Seite erforderlich sind.


15. Support, Feedback und Kontaktaufnahme

Wenn Nutzer Supportanfragen, Feedback, Ideen oder Fehlermeldungen übermitteln, verarbeiten wir die dabei angegebenen Inhalte und technischen Kontextinformationen, um die Anfrage zu bearbeiten und die App zu verbessern.

Rechtsgrundlage ist je nach Inhalt Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.


16. Empfänger und Auftragsverarbeiter

Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies zur Bereitstellung der App, zur Vertragserfüllung, zur technischen Verarbeitung, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage einer Einwilligung erforderlich ist.

Hierzu können insbesondere Hostinganbieter, technische Dienstleister, App-Store-Betreiber, Zahlungs- bzw. Abonnement-Dienstleister, Support- und KI-Dienstleister gehören.

Soweit Dienstleister in unserem Auftrag personenbezogene Daten verarbeiten, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO, soweit rechtlich erforderlich.


17. Drittlandübermittlung

Bei der Nutzung einzelner Dienste kann es zu einer Verarbeitung personenbezogener Daten in Staaten außerhalb der EU bzw. des Europäischen Wirtschaftsraums kommen. In diesen Fällen achten wir auf geeignete Garantien gemäß Art. 45 oder Art. 46 DSGVO, z. B. einen Angemessenheitsbeschluss der EU-Kommission oder EU-Standardvertragsklauseln.


18. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist, gesetzliche Aufbewahrungspflichten bestehen oder berechtigte Interessen eine weitere Speicherung rechtfertigen.

Benutzerkonten und App-Daten können über die in der App vorgesehenen Funktionen gelöscht werden, soweit keine gesetzlichen Pflichten oder zwingenden technischen Gründe entgegenstehen.

Technische Protokolldaten werden grundsätzlich nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Missbrauchsprävention erforderlich ist.


19. Datensicherung und Backups

Zur Absicherung gegen Datenverlust und Serverausfälle werden regelmäßige Backups durchgeführt. Backups werden maximal 90 Tage gespeichert und anschließend gelöscht oder überschrieben.

Eine Löschung aus produktiven Systemen kann daher zeitverzögert auch in Backups nachvollzogen werden, soweit eine frühere Löschung technisch nicht oder nur mit unverhältnismäßigem Aufwand möglich ist.


20. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch, unbefugten Zugriff, Veränderung oder Offenlegung zu schützen.

Dazu gehören insbesondere Zugriffsbeschränkungen, technische Schutzmaßnahmen, serverseitige Sicherheitsmaßnahmen, tokenbasierte Authentifizierung und regelmäßige Sicherungen.


21. Keine automatisierte Entscheidung mit rechtlicher Wirkung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die gegenüber Nutzern rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Automatisierte Auswertungen, Empfehlungen oder KI-Hinweise dienen der Unterstützung und ersetzen keine eigene Entscheidung des Nutzers und keine medizinische Beratung.


22. Rechte der betroffenen Personen

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen folgende Rechte:

  • Auskunft über die verarbeiteten personenbezogenen Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung personenbezogener Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen bestimmte Verarbeitungen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Zur Ausübung dieser Rechte kann eine Anfrage an info@cura-dora.de gesendet werden.


23. Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt.

Zuständig kann insbesondere die Datenschutzaufsichtsbehörde des Bundeslandes sein, in dem der Nutzer seinen Wohnsitz hat oder in dem der Verantwortliche seinen Sitz hat.


24. AGB und weitere rechtliche Hinweise

Ergänzende Regelungen zur Nutzung der App, zu Premiumdiensten, In-App-Käufen und Abonnements finden sich in unseren Allgemeinen Geschäftsbedingungen (AGB).


25. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche, technische oder funktionale Änderungen ergeben. Die jeweils aktuelle Fassung ist über die Website und die App abrufbar.