🇩🇪 DE
Unterauftragsverarbeiter personenbezogener Daten
Diese Seite listet die externen Dienstleister auf („Unterauftragsverarbeiter“ gemäß Art. 28 DSGVO), die personenbezogene Daten im Auftrag von Strenqo verarbeiten.
1. Vorwort
Strenqo wird herausgegeben und betrieben von Andreas Mondo (italienisches Einzelunternehmen, Verantwortlicher gemäß DSGVO).
Unternehmens- und Steuerdaten anzeigen
Andreas Mondo (Einzelunternehmen) · Via Pianezza 16, 10040 Givoletto (TO), Italien · USt-ID IT13352600012 · Steuernummer MNDNRS05B17L219J · E-Mail strenqo-support@strenqo.eu · PEC andreasmondo@ultracert.it
Für jeden Unterauftragsverarbeiter geben wir an: rechtlichen Namen, Standort, Hosting-Land, Verarbeitungszweck, Übermittlungsgarantie für Drittlandübermittlungen. Die Liste spiegelt den Stand zum 24.05.2026 wider. Neue Unterauftragsverarbeiter werden den Nutzern mit angemessener Vorankündigung mitgeteilt.
2. Aktive Unterauftragsverarbeiter
2.1 Supabase
- Rechtlicher Name: Supabase Inc.
- Standort: USA (Delaware)
- Hosting-Land: Europäische Union (
eu-west-1) - Zweck: PostgreSQL-Datenbank, Authentifizierung, Dateispeicher (Storage), Ausführung von Edge Functions, Echtzeit-Synchronisation
- Datenkategorien: alle Nutzerdaten (Profil, Trainings, Ernährung, Körper-Check-in, Fotos, AI-Coach-Gespräche)
- Übermittlungsmechanismus: keine Drittlandübermittlung im Ruhezustand. Support-Zugriff durch Supabase Inc. (USA) geregelt durch DPA mit SCC
- Website: supabase.com · Dokumente: Datenschutz, Bedingungen
2.2 OpenAI
- Rechtlicher Name: OpenAI, L.L.C. (USA) und OpenAI Ireland Ltd (EU)
- Standort: USA / Irland
- Hosting-Land: USA, mit anfänglicher Verarbeitung in Dublin für EU-Nutzer
- Zweck: Generierung von AI-Coach-Antworten, Analyse von Lebensmittelfotos, Erstellung von Trainings-/Ernährungsplänen
- Datenkategorien: Text der AI-Coach-Gespräche, Lebensmittelfotos, Nutzerkontext (Profil, kürzliche Trainings, Gewicht) — nur wenn Sie ausdrücklich eingewilligt haben in den AI Coach
- Übermittlungsmechanismus: EU-US Data Privacy Framework + SCC. OpenAI ist auf der DPF Participants List
- Website: openai.com · Dokumente: DPA, Datenschutz
Hinweis zu coach-micro: Stand 17.05.2026 sendet die „Micro-Hint“-Coach-Funktion keine Daten an OpenAI; die serverseitige Funktion ist nicht eingerichtet und die App verwendet eine lokale Fallback-Vorlage.
2.3 RevenueCat
- Rechtlicher Name: RevenueCat, Inc.
- Standort / Hosting: USA
- Zweck: Verwaltung des Pro-Abonnements (Synchronisation des Abonnementstatus zwischen Apple App Store, Google Play und unseren Servern). Bei der Kontolöschung wird der RevenueCat-Abonnent kaskadiert über die API gelöscht
- Datenkategorien: Nutzer-UUID, Abonnementstatus, Produktkennung, Abonnement-Lebenszyklus-Ereignisse
- Übermittlungsmechanismus: SCC im DPA von RevenueCat
- Hinweise: RevenueCat erhält keine Zahlungsdaten und keine Gesundheitsdaten
- Website: revenuecat.com · Dokumente: DPA, Datenschutz
2.4 Resend
- Rechtlicher Name: Resend, Inc.
- Standort / Hosting: USA
- Zweck: Transaktions-E-Mails — Bestätigung der Kontolöschung, Benachrichtigungen zu Richtlinienänderungen. Nicht verwendet für Marketing
- Datenkategorien: E-Mail-Adresse des Empfängers, Inhalt der Transaktions-E-Mails
- Übermittlungsmechanismus: EU-US DPF (+ UK Extension) + SCC. Resend ist auf der DPF Participants List zertifiziert
- Website: resend.com · Dokumente: DPA, DSGVO
2.5 Sentry
- Rechtlicher Name: Functional Software, Inc. (in der EU tätig als Sentry GmbH)
- Standort: USA (Muttergesellschaft) / Deutschland (EU-Einheit)
- Hosting-Land: Europäische Union — Deutschland (
ingest.de.sentry.io) - Zweck: Absturzberichte und Fehlerdiagnostik — nur mit ausdrücklicher Einwilligung
- Datenkategorien: Stack-Traces, Breadcrumbs, App-Version, Gerätemodell, Betriebssystem, pseudonyme Nutzerkennung (UUID, nicht E-Mail). PII redigiert über den
beforeSend-Filter. Redaktion ist eine Minderungsmaßnahme, keine Garantie - Übermittlungsmechanismus: keine Drittlandübermittlung für Absturzberichte
- Website: sentry.io · Dokumente: DPA, Datenschutz
2.6 Apple
- Rechtlicher Name: Apple Inc. (USA) / Apple Distribution International Ltd (Irland, für EU-Nutzer)
- Standort: USA / Irland
- Zweck: App-Store-Vertrieb, In-App-Käufe (IAP), Push-Benachrichtigungen (APNs), HealthKit on-device, Sign in with Apple
- Datenkategorien: Apple-ID (für IAP), Push-Token, Gesundheitsdaten auf dem Gerät (von Strenqo nicht an Apple übertragen)
- Übermittlungsmechanismus: EU-Angemessenheitsbeschluss (Irland) / DPF (Apple Inc. gelistet) + Schutzmaßnahmen des Apple Developer Program
- Website: apple.com · Datenschutz
2.7 Google
- Rechtlicher Name: Google LLC (USA) / Google Ireland Ltd (Irland, für EU-Nutzer)
- Standort: USA / Irland
- Zweck: Google-Play-Vertrieb, IAP, Push-Benachrichtigungen (FCM), Health Connect on-device, Google Maps SDK Android (Rendering von Kartenkacheln für Outdoor-Cardio-Routen)
- Datenkategorien: Google-Konto (für IAP), Push-Token, Gesundheitsdaten auf dem Gerät, GPS-Koordinaten (nur wenn Sie Outdoor-Cardio-Routen verwenden)
- Übermittlungsmechanismus: EU-US DPF (Google LLC gelistet) + SCC
- Website: google.com · Datenschutz
2.8 OpenFoodFacts
- Rechtlicher Name: Open Food Facts (gemeinnütziger Verein)
- Standort / Hosting: Frankreich (EU)
- Zweck: Öffentliche Lebensmitteldatenbank (Text-/Barcode-Suche)
- Datenkategorien: keine personenbezogenen Daten des Strenqo-Nutzers — Suchanfragen enthalten nur Freitext oder Barcode, anonymisiert vor dem Senden
- Übermittlungsmechanismus: keine Drittlandübermittlung
- Website: openfoodfacts.org
2.9 ipwho.is
- Standort / Hosting: USA
- Zweck: IP-Geolokalisierung — primärer Fallback, um das Wohnsitzland abzuleiten, wenn lokale Fallbacks (Profil, Zeitzone, Systemsprache) unzureichend sind
- Datenkategorien: nur die IP-Adresse des Nutzers. Keine Nutzerkennung, keine Gesundheitsdaten, keine Cookies
- Übermittlungsmechanismus: Standard-SCC des Anbieters
- Website: ipwho.is
2.10 ipapi.co
- Rechtlicher Name: Kickfire LLC
- Standort / Hosting: USA
- Zweck: IP-Geolokalisierung — sekundärer Fallback, nur verwendet, falls ipwho.is fehlschlägt
- Datenkategorien: nur die IP-Adresse des Nutzers
- Übermittlungsmechanismus: Standard-SCC des Anbieters
- Website: ipapi.co
2.11 Expo (EAS + Auth Proxy)
- Rechtlicher Name: Expo, Inc.
- Standort / Hosting: USA
- Zweck:
- Auth Proxy: während der „Sign in with Google“-Anmeldung wird der OAuth-Autorisierungscode über
auth.expo.iogeleitet, bevor er gegen den endgültigen Token getauscht wird - Expo Application Services (EAS): Infrastruktur für App-Builds und Over-The-Air-Updates
- Auth Proxy: während der „Sign in with Google“-Anmeldung wird der OAuth-Autorisierungscode über
- Datenkategorien (Auth Proxy): Google-OAuth-Autorisierungscode in Transit, Refresh-Token in Transit. Keine Gesundheitsdaten empfangen. Endgültige Sitzung direkt von Supabase Auth verwaltet
- Übermittlungsmechanismus: EU-US DPF + SCC
- Website: expo.dev
3. Datenquellen Dritter über OAuth (eigenständige Verantwortliche)
Die unten aufgeführten Anbieter sind keine Auftragsverarbeiter von Strenqo im Sinne von Art. 28 DSGVO. Sie sind eigenständige Verantwortliche der Daten, die sie von Ihrem Wearable-Gerät erheben. Nach Ihrer Autorisierung via OAuth übermitteln sie eine Teilmenge dieser Daten an unser Backend, wo Strenqo Verantwortlicher der importierten Kopie wird. Wir führen sie hier neben unseren Unterauftragsverarbeitern zur vollständigen Transparenz des Datenflusses auf.
3.1 Whoop
- Rechtlicher Name: Whoop, Inc.
- Standort: USA (Boston, Massachusetts)
- Datenhosting-Land: USA
- Rolle: eigenständiger Verantwortlicher (erhebt Daten von Ihrem Whoop-Band unter eigener Datenschutzerklärung)
- Daten, die wir nach Ihrer OAuth-Einwilligung erhalten: rohe HRV (RMSSD), Ruheherzfrequenz, Schlafphasen (Dauer von Tief-/REM-/Leicht-/Wach-/in_bed-/asleep-Phasen), Handgelenkstemperaturabweichung, HF-Samples pro Training (sofern von der API bereitgestellt), Start-/Endzeitstempel der Trainings und Sportart
- Daten, die wir bewusst NICHT erhalten: Whoop Recovery Score, Strain Score (0–21), Sleep Performance Score, Day Strain — also alle proprietären abgeleiteten Metriken
- Übermittlungsmechanismus (Anbieter → Strenqo): SCC im Whoop-API-Datenübermittlungsvertrag; die importierte Kopie wird anschließend in unserem Supabase-Backend (EU) gespeichert
- Widerruf: Profil → Verbundene Gesundheit → Trennen (widerruft das Refresh-Token sowohl in unserem Backend als auch bei Whoop); auch über das Whoop-Konto-Dashboard widerruflich
- Website: whoop.com
- Datenschutzerklärung des Anbieters: whoop.com/legal/privacy
3.2 Oura
- Rechtlicher Name: Ōura Health Oy
- Standort: Finnland (Oulu) — Europäische Union
- Datenhosting-Land: Europäische Union (Finnland)
- Rolle: eigenständiger Verantwortlicher
- Daten, die wir nach Ihrer OAuth-Einwilligung erhalten: rohe HRV, Ruheherzfrequenz, Schlafphasen, SpO₂-Messungen, Trainingsmetadaten, Handgelenkstemperaturabweichung
- Daten, die wir bewusst NICHT erhalten: Oura Readiness Score, Sleep Score, Activity Score
- Übermittlungsmechanismus: innereuropäisch (Oura ist ein EU-Verantwortlicher). Unsere Kopie wird in Supabase EU gehostet
- Widerruf: Profil → Verbundene Gesundheit → Trennen; auch über das Oura-Konto-Dashboard widerruflich
- Website: ouraring.com
- Datenschutzerklärung des Anbieters: ouraring.com/privacy
3.3 Musterklausel — künftige Cloud-Wearable-Anbieter
Strenqo kann in Zukunft weitere Cloud-Wearable-Plattformen nach demselben OAuth-basierten Modell integrieren (Beispiele sind Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health). Wenn dies geschieht:
- Der Anbieter wird mit demselben Detaillierungsgrad in diesen Abschnitt aufgenommen (rechtlicher Name, Standort, Datenhosting-Land, Daten, die wir erhalten, Daten, die wir nicht erhalten, Übermittlungsmechanismus, Widerrufspfad).
- Die Nutzer werden vorab per
notify-policy-updateEdge Function und/oder in der App benachrichtigt. - Es gilt derselbe Grundsatz: Strenqo importiert nur die für seine eigenen Algorithmen unbedingt erforderlichen biometrischen Rohdaten; wir importieren nicht die proprietären Scores des Anbieters.
- Jeder Anbieter bleibt ein eigenständiger Verantwortlicher. Sie sind keine Unterauftragsverarbeiter nach Art. 28 DSGVO.
4. Unterauftragsverarbeiter, die wir NICHT verwenden
Zur Transparenz: Strenqo verwendet nicht:
- Werbe-SDKs von Drittanbietern (AdMob, Meta Audience Network, Unity Ads, AppLovin, IronSource)
- Analytics-SDKs von Drittanbietern (Google Analytics for Firebase, Mixpanel, Amplitude, PostHog, Heap)
- Attribution-/Mobile-Measurement-SDKs (AppsFlyer, Adjust, Branch, Singular)
- Verhaltens-Tracker (Facebook SDK, TikTok SDK)
- Kontextübergreifende Profiling-Dienste zu Marketingzwecken
5. Zusammenfassung nach Datentyp
| Datentyp | Unterauftragsverarbeiter, die ihn sehen | Hinweise |
|---|---|---|
| Profil, Trainings, Ernährung, Gewicht, Fotos | Supabase (EU) | Vollständiges Hosting |
| AI-Coach-Gespräche + Nutzerkontext | Supabase (EU) + OpenAI (USA) | OpenAI nur, wenn Schalter „KI-Daten-Einwilligung“ an (standardmäßig an) |
| Nutzerkennung für Abonnement | Supabase (EU) + RevenueCat (USA) | Nur Pro-Abonnenten; bei Löschung kaskadiert gelöscht |
| Transaktions-E-Mails | Resend (USA) | In 8 Sprachen lokalisiert |
| Absturzberichte | Sentry (EU/Deutschland) | Nur wenn Schalter an; geografisch differenzierter Standard |
| Push-Tokens | Apple (USA) / Google (USA) | Nur wenn Benachrichtigungen aktiviert |
| GPS-Koordinaten (Outdoor-Cardio) | Google Maps SDK (USA) | GPS-Clip 200 m kann angewendet werden |
| Lebensmittelsuche | OpenFoodFacts (FR) | Keine Nutzer-PII übertragen |
| IP-Adresse (Marktgeolokalisierung) | ipwho.is, ipapi.co (USA) | Nur wenn lokale Fallbacks unzureichend |
| OAuth-Code (Sign in with Google) | Expo Auth Proxy (USA) | Nur während Google-Login |
| Biometrische Rohdaten aus Cloud-Wearables (HRV, Schlafphasen, HF-Samples) | Whoop (USA), Oura (EU) — siehe §3 | Eigenständige Verantwortliche; Datenfluss erst nach ausdrücklicher OAuth-Einwilligung; proprietäre Scores des Anbieters werden NICHT importiert |
6. Mitteilung über Änderungen
Wir werden Unterauftragsverarbeiter nur aus berechtigten operativen Gründen hinzufügen, entfernen oder ersetzen. Das Datum oben wird aktualisiert. Für wesentliche Änderungen (z. B. neuer Unterauftragsverarbeiter in einem Drittland, neue Drittlandübermittlung, neue Art der geteilten Daten) werden die Nutzer per E-Mail über die notify-policy-update Edge Function und/oder in der App benachrichtigt. Sie können Ihre Einwilligung zur optionalen Verarbeitung jederzeit widerrufen oder das Konto löschen.
7. Kontakte
- Verantwortlicher: Andreas Mondo (Einzelunternehmen) — Via Pianezza 16, 10040 Givoletto (TO), Italien
- E-Mail: strenqo-support@strenqo.eu
- PEC: andreasmondo@ultracert.it
- DSB: nicht benannt (siehe Datenschutzerklärung §1 für die Begründung)