Datenschutzerklärung

Stand: Mai 2026 · Angaben gemäß DSGVO und österreichischem Datenschutzgesetz (DSG)

1. Verantwortlicher

PCM Solution GmbH
Kohlerweg 155
5531 Eben im Pongau
Österreich
E-Mail: Kontaktformular
Website: https://www.phe-buddy.at

2. Arten der erhobenen Daten

2.1 Gesundheitsdaten (Apple Health / Google Health Connect)

Mit Ihrer ausdrücklichen Einwilligung verarbeiten wir folgende Gesundheitsdaten:

• Körpergewicht und Größe
• Phenylalanin (PHE)-Tageswerte und Einträge
• Schritte und körperliche Aktivität
• Herzfrequenz und Herzratenvariabilität (HRV)
• Schlafdaten
• Kalorienverbrauch und Distanz
• Medikamentenerinnerungen

Diese Daten werden ausschließlich zur Berechnung Ihres PHE-Tageslimits, zur Ernährungsauswertung und zur Anzeige Ihres Wohlbefindens verwendet.

2.2 Gerätedaten

Wir erheben folgende technische Daten bei der App-Installation und -Nutzung:

• Geräte-ID (anonymisiert)
• Betriebssystem und Version (iOS / Android)
• Gerätemodell und Hersteller
• App-Version und WebView-Version
• IP-Adresse (zur Sicherheit und Betrugsprävention)
• Ungefährer Standort (Land, Stadt) basierend auf IP-Adresse

2.3 Nutzungsdaten

• Erfasste PHE-Einträge und Lebensmitteldaten
• Medikamentenpläne und Erinnerungseinstellungen
• Gewichtsverläufe
• Push-Benachrichtigungstoken
• Vorname, Nachname und E-Mail-Adresse (für Support und Kommunikation)

3. Website phe-buddy.at — Hosting & Tracking

3.1 Hosting (All-Inkl.com)

Die Website phe-buddy.at wird bei ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf, Deutschland gehostet. Bei jedem Aufruf der Website werden automatisch folgende Daten erhoben und in Server-Logfiles gespeichert:

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL
• Browsertyp und -version
• Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb der Website). Datenschutzrichtlinie: https://all-inkl.com/datenschutzinformationen/

3.2 Cookies

Unsere Website verwendet Cookies — kleine Textdateien, die in Ihrem Browser gespeichert werden. Wir unterscheiden:

• Technisch notwendige Cookies: Erforderlich für den Betrieb der Website (z.B. Cookie-Consent-Speicherung). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Analyse- und Marketing-Cookies: Werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Sie können Ihre Cookie-Einwilligung jederzeit über das Cookie-Banner widerrufen oder in Ihren Browsereinstellungen Cookies löschen und blockieren.

3.3 Google Tag Manager

Wir verwenden den Google Tag Manager von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Der Google Tag Manager selbst verarbeitet keine personenbezogenen Daten, sondern dient ausschließlich der Verwaltung und Ausspielung anderer Tracking-Tools. Die Aktivierung der nachfolgenden Dienste erfolgt ausschließlich nach Ihrer Einwilligung über das Cookie-Banner. Datenschutzrichtlinie: https://policies.google.com/privacy

3.4 Google Analytics 4

Nach Ihrer Einwilligung verwenden wir Google Analytics 4 (GA4) von Google Ireland Limited zur Analyse des Nutzerverhaltens auf unserer Website. GA4 erhebt u.a.:

• Besuchte Seiten und Verweildauer
• Herkunft des Besuchs (Referrer, Kampagne)
• Geräte- und Browserinformationen
• Ungefährer Standort (Land/Stadt, basierend auf anonymisierter IP)
• Interaktionen (Klicks, Scrollverhalten, Formularabschlüsse)

IP-Adressen werden standardmäßig anonymisiert. Daten werden auf EU-Servern verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Erfassung durch Google Analytics über das Browser-Add-on deaktivieren: https://tools.google.com/dlpage/gaoptout

3.5 Meta Pixel (Facebook Pixel)

Nach Ihrer Einwilligung verwenden wir das Meta Pixel von Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland. Das Meta Pixel ermöglicht die Erfolgsmessung von Werbeanzeigen auf Facebook und Instagram sowie die Erstellung von Zielgruppen für Remarketing. Dabei werden folgende Daten verarbeitet:

• Besuchte Seiten und Aktionen auf der Website
• Geräte- und Browserinformationen
• Anonymisierte IP-Adresse

Meta kann diese Daten mit Ihrem Facebook-Konto verknüpfen, sofern Sie dort eingeloggt sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Datenschutzrichtlinie: https://www.facebook.com/privacy/policy/

3.6 Unifyr Analytics Pixel

Wir verwenden Unifyr Analytics, einen Webanalyse-Dienst der Agentur Circle GmbH, auf unserer Website. Das Unifyr-Pixel erhebt anonymisierte Nutzungsdaten zur Analyse des Websiteverkehrs. Die Daten werden ausschließlich auf europäischen Servern verarbeitet und nicht mit Dritten geteilt. Das Unifyr-Pixel wird unabhängig von Ihrer Cookie-Einwilligung geladen, da es keine personenbezogenen Daten im Sinne der DSGVO verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an anonymer Websiteanalyse).

4. Verarbeitung besonderer Kategorien personenbezogener Daten (App)

PHE Buddy verarbeitet Gesundheitsdaten gemäß Art. 9 DSGVO. Dies geschieht ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung sowie zur Versorgung im Bereich der Gesundheitsvorsorge.

Phenylketonurie (PKU) ist eine metabolische Erkrankung. Die Verarbeitung der damit verbundenen Ernährungs- und Gesundheitsdaten dient ausschließlich Ihrer persönlichen Gesundheitsversorgung und dem Management Ihrer PKU-Erkrankung.

5. Zwecke der Datenverarbeitung

• Berechnung und Überwachung Ihres täglichen PHE-Limits
• Erfassung und Auswertung von Mahlzeiten und Lebensmitteln
• Medikamentenerinnerungen und Gesundheits-Tracking
• Gewichtsüberwachung und PHE-Limit-Anpassung
• Versendung von Push-Benachrichtigungen bei relevanten Ereignissen
• Versendung von Update- und Servicemitteilungen per E-Mail
• Versendung von Marketing-E-Mails (nur mit Ihrer Einwilligung)
• Technischer Betrieb und Sicherheit der App
• Kundensupport über das Ticketsystem

6. Rechtsgrundlagen der Verarbeitung

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Verarbeitung von Gesundheitsdaten, Push-Benachrichtigungen, Kamera- und Mikrofonzugriff sowie Marketing-E-Mails.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der App-Funktionen, Nutzerkonto und Kundensupport.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit der App, Betrugsprävention, technischer Betrieb, Servicemitteilungen und Updates.

7. Geräteberechtigungen

6.1 Kamera und Fotobibliothek

PHE Buddy benötigt Zugriff auf Ihre Kamera und Fotobibliothek, um Fotos von Lebensmitteln aufzunehmen und hochzuladen. Aufgenommene Fotos werden verschlüsselt auf unseren Servern gespeichert und ausschließlich zur Lebensmittelerkennung verwendet.

6.2 Mikrofon

Der Mikrofonzugriff wird für die optionale Spracheingabe bei der Lebensmittelerfassung verwendet. Audioaufnahmen werden nicht dauerhaft gespeichert und nur zur unmittelbaren Verarbeitung der Spracheingabe verwendet.

6.3 Biometrische Authentifizierung

PHE Buddy unterstützt Touch ID, Face ID und Fingerabdrucksensoren für die sichere Anmeldung. Biometrische Daten werden ausschließlich lokal auf Ihrem Gerät verarbeitet und niemals an unsere Server übertragen.

6.4 Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Ihnen Push-Benachrichtigungen für folgende Ereignisse:

• PHE-Warnung bei 80% des Tageslimits
• PHE-Warnung bei Überschreitung des Tageslimits
• Erinnerung bei vergessenen Einträgen
• Medikamentenerinnerungen
• Gewichtserinnerungen

Sie können Push-Benachrichtigungen jederzeit in den App-Einstellungen oder in den Systemeinstellungen Ihres Geräts deaktivieren.

6.5 Apple Health / Google Health Connect

Der Zugriff auf Apple Health und Google Health Connect erfolgt ausschließlich mit Ihrer ausdrücklichen Einwilligung. Sie können den Zugriff jederzeit widerrufen:

• iOS: Einstellungen → Datenschutz → Health → PHE Buddy
• Android: Einstellungen → Apps → Health Connect → PHE Buddy

8. Datenweitergabe an Dritte und Auftragsdatenverarbeitung

Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, außer in folgenden Fällen. Mit allen Auftragsdatenverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

7.1 PCM Holding GmbH — IT-Infrastruktur

Die PCM Holding GmbH ist als Auftragsdatenverarbeiterin für die IT-Infrastruktur von PHE Buddy verantwortlich. Folgende Daten werden übermittelt: Vorname und Nachname, E-Mail-Adresse sowie technische Infrastrukturdaten. Die Verarbeitung erfolgt auf Basis eines AVV gemäß Art. 28 DSGVO.

7.2 PCM Holding GmbH — Ticketsystem

Für den Kundensupport nutzen wir ein Ticketsystem der PCM Holding GmbH. Dabei werden verarbeitet: Vorname, Nachname, E-Mail-Adresse, Inhalt der Supportanfrage sowie der Kommunikationsverlauf. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

7.3 Agentur Circle GmbH — Marketing und SALES Hub

Für Marketing-Kommunikation und Update-Informationen nutzen wir den SALES Hub der Agentur Circle GmbH. Dabei werden Vorname, Nachname und E-Mail-Adresse verarbeitet. Es werden versendet:

• Update-Benachrichtigungen über neue App-Funktionen (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)
• Wichtige Servicemitteilungen (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO)
• Marketing-E-Mails (nur mit Ihrer ausdrücklichen Einwilligung, Art. 6 Abs. 1 lit. a DSGVO)

Sie können Marketing-E-Mails jederzeit über den Abmeldelink in der E-Mail oder in den App-Einstellungen unter Einstellungen → Benachrichtigungen → E-Mail abbestellen.

7.4 Firebase (Google LLC)

Für Push-Benachrichtigungen nutzen wir Firebase Cloud Messaging von Google LLC, USA. Google ist EU-US Data Privacy Framework zertifiziert.
Datenschutzrichtlinie: https://policies.google.com/privacy

7.5 Apple Push Notification Service (APNs)

Für Push-Benachrichtigungen auf iOS-Geräten nutzen wir APNs von Apple Inc., USA.
Datenschutzrichtlinie: https://www.apple.com/privacy/

7.6 Hetzner Online GmbH — Hosting

Server-Hosting in Deutschland, ISO 27001 zertifiziert.
Datenschutzrichtlinie: https://www.hetzner.com/de/rechtliches/datenschutz

7.7 SysEleven GmbH — Hosting

Server-Hosting ausschließlich in Deutschland, ISO 27001 und BSI IT-Grundschutz zertifiziert.
Datenschutzrichtlinie: https://www.syseleven.de/datenschutz/

7.8 Mittwald CM Service GmbH & Co. KG — KI-Dienste

KI-Dienste, Verarbeitung ausschließlich auf Servern in Deutschland.
Datenschutzrichtlinie: https://www.mittwald.de/datenschutz

7.9 OpenAI — KI-Bildverarbeitung (Ausfallsicherung)

Für KI-gestützte Bildverarbeitung als Ausfallsicherung. OpenAI verarbeitet ausschließlich hochgeladene Bilder — keine weiteren personenbezogenen Daten. EU-US Data Privacy Framework zertifiziert, Übertragung auf Basis von Standardvertragsklauseln (Art. 46 DSGVO).
Datenschutzrichtlinie: https://openai.com/privacy

7.10 Geolokalisierung der IP-Adresse

Zur geografischen Einordnung der IP-Adresse nutzen wir ip-api.com. Es werden keine personenbezogenen Daten dauerhaft beim Dienstleister gespeichert.

9. Speicherdauer und Anonymisierung

• Gesundheits- und PHE-Daten: Bis zur Löschung des Nutzerkontos
• Gerätedaten: 12 Monate nach letzter App-Nutzung
• Push-Token: Bis zur Abmeldung oder Token-Erneuerung
• IP-Adressen: 30 Tage (Sicherheitsprotokoll)
• Offline-Cache auf dem Gerät: Bis zur App-Deinstallation

8.1 Anonymisierung nach Kontolöschung

Nach der Löschung Ihres Nutzerkontos werden alle personenbezogenen Daten unwiderruflich gelöscht. Bestimmte Daten werden vor der Löschung vollständig anonymisiert und in dieser Form weiterverwendet:

• PHE-Einträge und Lebensmitteldaten — für statistische Auswertungen
• Aggregierte Nutzungsdaten — zur Verbesserung der App-Funktionen
• Anonymisierte Gesundheitsdaten — zur Verbesserung der KI-Funktionen

Die Anonymisierung erfolgt nach dem Stand der Technik so, dass keinerlei Rückschlüsse auf Ihre Person möglich sind. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Sie können der Verwendung Ihrer anonymisierten Daten für Trainings- und Statistikzwecke jederzeit in den App-Einstellungen unter Einstellungen → Datenschutz → Datenverwendung widersprechen.

10. Datensicherheit

• Verschlüsselte Datenübertragung via HTTPS/TLS 1.3
• Verschlüsselte Datenspeicherung auf unseren Servern
• Biometrische Authentifizierung (lokal auf Ihrem Gerät)
• Regelmäßige Sicherheitsaudits
• Zugriffsbeschränkungen nach dem Need-to-know-Prinzip

11. Ihre Rechte

Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.

Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").

Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@pcm-group.at

12. Beschwerderecht

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 521 52-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die aktuelle Version ist stets unter https://www.phe-buddy.at/datenschutz.de.html abrufbar. Bei wesentlichen Änderungen werden Sie über die App informiert.

14. Kinder und Jugendliche

PHE Buddy richtet sich auch an Kinder und Jugendliche mit PKU. Für Nutzer unter 16 Jahren ist die Einwilligung eines Erziehungsberechtigten erforderlich. Eltern können jederzeit die Löschung der Daten ihres Kindes beantragen.

15. Kontakt Datenschutz

E-Mail: datenschutz@pcm-group.at
Website: https://www.phe-buddy.at/datenschutz.de.html

Stand: 05.05.2026