A. Datenschutzerklärung und Datenschutzbestimmungen der KINASTIC AG

Version vom 1. Juni 2025

1 Worum geht es in dieser Datenschutzerklärung?

Diese Datenschutzerklärung erläutert, welche Personendaten wir innerhalb der
KINASTIC Plattform – bestehend aus der coach.kinastic.com, der studio.kinastic.com  und der mobilen KINASTIC-App (zusammen «Plattform») – erheben, wie wir sie verwenden und welche Rechte Ihnen zustehen.

Sie wird Bestandteil des Vertrages, den wir mit dem Unternehmenskunden abschliessen.

2 Verantwortlicher

KINASTIC AG, Badenerstrasse 47, 8004 Zürich, Schweiz. Kontakt: privacy@kinastic.com.

3 Für wen gilt diese Erklärung?

  • Mitarbeitende des Unternehmenskunden, die unsere Plattform nutzen (coach.kinastic.com oder KINASTIC App).
  • Autorisierte HR-Administratoren des Unternehmenskunden, die studio.kinastic.com nutzen, um Programme zu verwalten, Inhalte zu pflegen und Auswertungen einzusehen.

4 Welche Daten verarbeiten wir?

4.1 Stammdaten

4.1.1 Pflichtangaben
  • Vorname
  • Name
  • Nutzername/ Pseudonym
  • Bevorzugte Sprache
  • Firmen-E-Mail-Adresse
4.1.2 Optionale Angaben
  • biologisches Geschlecht
  • Geburtsjahr
  • Profilbild
  • Angaben zu Ernährungs- und Trainingspräferenzen sowie verfügbares Trainingsausrüstung
  • private E-Mail-Adresse
  • Abteilung
  • Einstellung betreffend Erhalt von Newsletter

4.2 Kommunikationsdaten

  • E-Mails
  • Support-Chats
  • Push-Benachrichtigungen

4.3 Aktivitäts- & Fitnessdaten

  • Schritte
  • Distanz
  • Geschwindigkeit
  • Kalorien
  • Dauer
  • Aktivitätstyp
  • Trainingspläne
  • absolvierte Trainings (Übungen, Anzahl Wiederholungen, Gewicht)
  • Tracking-Quelle

Keine Speicherung von Herzfrequenz, Schlaf oder O₂-Sättigung.

Import ausschliesslich via Terra mit ausdrücklicher Einwilligung.

4.4 Challenge- & Rankingdaten

  • In Challenges gesammelte Punkte und Ranglistenplatz
  • Nutzername/ Pseudonym
  • Team-Foto
  • Profilbild
  • Die Teilnahme an einer Challenge ist optional. Arbeitgeber erhalten lediglich den Gewinnernamen, falls sie einen Preis ausloben.

4.5 Authentifizierungslogs und technische Gerätedaten

  • IP-Adresse
  • Gerätetyp (Modellnummer)
  • Betriebssystem
  • App-Version
  • Sprache
  • Crash-Logs
  • Browserversion
  • Erfolgreiche Anmeldung / Fehlgeschlagene Anmeldung oder Fehler.

4.6 Cookies

Notwendig: Login-Session, CSRF-Schutz

Analytics: Firebase GA4 (ohne Google-Ads-Links)

Marketing: keine

4.7 Besonders schützenswerte Personendaten

Bestimmte Daten gelten nach DSG/DSGVO als «besonders schützenswert», weil sie Rückschlüsse auf Ihre Gesundheit zulassen. In unserem Kontext betrifft das insbesondere Gewicht, Körpergrösse, Stress- und Schlafqualität sowie importierte Aktivitätswerte.

  • Diese Daten stellen Sie uns freiwillig zur Verfügung – die App funktioniert auch ohne.
  • Wir verarbeiten sie nur, wenn Sie sie aktiv eingeben oder den Import via Terra einschalten.
  • Sie bleiben ausschliesslich in Ihrem Account, werden niemals an Arbeitgeber oder Dritte weitergegeben und insbesondere nicht für personalisierte Werbung genutzt.
  • Solange Ihr Account aktiv ist, behalten wir die Daten, um Ihren Langzeit-Fortschritt darzustellen. Aggregierte, anonymisierte Statistiken verwenden wir zur Produktverbesserung.

5 Woher stammen die Daten?

Personendaten gelangen auf drei Wegen in die Plattform:

  • Direkt von Ihnen – bei Registrierung, Profilpflege, Teilnahme an Challenges oder manueller Eingabe (z. B. Gewicht, Stresslevel).
  • Automatisch erhoben – technische Log-, Geräte- und Analysedaten beim Aufrufen oder Verwenden der App.
  • Über dritte Quellen, aber nur mit Ihrem Einverständnis:
  • Terra liefert Fitness- und Aktivitätswerte von verbundenen Wearables/Fitness-Apps.
  • Health Connect / Apple Health – Zugriff erfolgt nur, um Aktivitätsdaten zu lesen und an Sie zurückzuspielen; keine Werbung, jederzeit widerrufbar
  • Arbeitgeber übermittelt optional Firmen-E-Mail, Name und Sprache.

Es gibt keine weiteren Datenquellen (kein Data Brokerage, kein Social-Login-Import ausserhalb Ihrer Freigabe).

6 Zu welchen Zwecken verarbeiten wir Daten?

  • Bereitstellung & Betrieb der Plattform, inkl. Authentifizierung (Auth0).
  • Coaching- & Gamification-Funktionen, z. B. Challenges, Punktevergabe.
  • Analytics & Performance (Firebase GA4) zur Verbesserung der App, ohne Werbung.
  • Kommunikation & Support.
  • Rechtswahrung & IT-Sicherheit.

Eine ausführliche Beschreibung der Rechtsgrundlagen finden Sie in der folgenden Tabelle:

Zweck / Feature
Datenkategorien
Opt-in?
Aufbewahrung
Accountverwaltung, Login
E-Mail, Passwort-Hash, optional Passkey
Pflicht
Solange Konto aktiv, danach sofortige Löschung
Gamification, Punktehistorie
Aktivitätsevents, Punktestand
Pflicht
Solange Konto aktiv, danach sofortige Löschung
Challenge
Ranglisten
Opt-in
Solange Konto aktiv, danach sofortige Löschung
Optionale Gesundheitsdaten (Gewicht, Körpergrösse, Schlafqualität, Stresslevel)
Messwert, Zeitstempel
Opt-in im Onboarding; Widerruf jederzeit
Bis Kontolöschung oder Widerruf, anschliessend sofortige Löschung
Nutzungsanalyse & vertragliches Reporting
App-Events (Pseudonym-User-ID, Device-ID, OS-Version), Zeitstempel
Nein
26 Monate (GA4-Standard)
Crash- & Performance-Logs
Stacktrace, Device-Infos
Nein
90 Tage
Push-Benachrichtigungen
FCM-Token, E-Mail
Nein
Bis Kontolöschung
Support (In-App-Chat, Tickets)
Chatlogs, Screenshots
Nein
24 Monate nach Ticket-Close
Arbeitgeber-Reporting
Aggregierte & anonymisierte Nutzungsstatistiken
Nein
3 Jahre, danach Aggregatsdaten weiter zulässig
Verlosungen
Gewinnername, Punkte
Opt-in
12 Monate nach Ziehung
Marketing / Newsletter (Mailchimp)
E-Mail, Sprache, Öffnungsraten
Opt-in, Widerruf jederzeit
Bis Widerruf oder Kontolöschung
Backups
Alle oben genannten Daten
30 Tage inkrementell, dann automatische Löschung

6.1 Rechtsgrundlagen

Wir verarbeiten Ihre Daten entweder

  • zur Vertragserfüllung (Art. 6 Abs. 1 b DSGVO / Art. 31 Abs. 2 a DSG), etwa um Ihr Konto zu führen, Punkte zu berechnen und Push-Nachrichten zu senden.
  • auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 f / Art. 31 Abs. 2 a DSG), nämlich die App sicher und stabil zu betreiben sowie anonymisierte Nutzungsstatistiken gegenüber dem Arbeitgeber anbieten zu können.
  • oder nach Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 a / Art. 31 Abs. 1 DSG) bei Gesundheitsdaten, Newsletter oder Gewinnerbekanntgabe. Sie können jede Einwilligung jederzeit widerrufen.

7 Cookies & ähnliche Technologien

Firebase GA4 verwendet ein pseudonymes App-Instance-ID-Cookie; es enthält keine direkt personenbezogenen Daten und ist nicht mit Google-Ads verknüpft. Tracking kann systemseitig nicht deaktiviert werden, weil wir es ausschliesslich zur Leistungs- und Fehleranalyse einsetzen.

Wir setzen Firebase Analytics und Google Analytics 4 ein, um verpflichtende Nutzungsstatistiken zu erheben. Diese Statistiken fliessen ausschliesslich in anonymisierte, aggregierte Reports an Arbeitgeber ein (z. B. „Wie viele Nutzer haben in den letzten 30 Tagen ein Workout gestartet?“).

  • Pseudonymisierung: Es wird nur eine zufallsgenerierte App-ID, Device-Informationen und der Ereignis-Zeitstempel gespeichert. IP-Adressen oder ähnliches werden nicht gespeichert.
  • Keine Werbezwecke: Advertising-Funktionen von GA4 sind deaktiviert, Datenfreigabe mit Google ist ausgeschaltet.

Pflichtfunktion: Ohne diese Verarbeitung kann die App vertragliche Reporting-Pflichten nicht erfüllen. Wer diese Datenerhebung ablehnt, kann die App daher nicht nutzen.

8 Weitergabe von Daten

8.1 An Arbeitgeber (Unternehmenskunden)

Weitergabe
Inhalt
Wann?
Gewinnerdaten
Name, Gesamtscore
Nur wenn der Arbeitgeber Preise auslobt und Sie diese einfordern möchten
Aggregierte Statistiken
Vollständig anonymisierte Kennzahlen
Regelmässig/auf Anfrage

Was Arbeitgeber nicht sehen:

  • Keine Liste registrierter Nutzer
  • Keine Gesundheits- oder Aktivitätsrohdaten
  • Keine Einzelplatzierungen ausserhalb der Gewinnerliste
  • Keine personenbezogenen Log- oder Nutzungsdaten

8.2 Sichtbarkeit innerhalb der App

Alle Teilnehmenden einer Challenge sehen Nutzername/Pseudonym, Punkte und Rang anderer Teilnehmender derselben Challenge. Diese Sichtbarkeit ist Teil des Gamification-Konzepts.

8.3 Subunternehmer (Auftragsverarbeiter)

Dienst
Standort
Zweck
Google Cloud
EU (Frankfurt, Dublin)
Hosting & DB
MongoDB Atlas
CH & EU
Datenbank
Auth0 (Okta)
EU
Identitäts- & Zugriffs-Mgmt
Terra
UK
Fitness-Daten-Import
SendGrid (Twilio)
EU
System-E-Mails
Mailchimp (Opt-in)
USA / EU
Newsletter

Alle Subunternehmer sind vertraglich (DPA) an DSGVO-konforme Verarbeitung gebunden.

9 Datenübermittlung ins Ausland

Fast alle Personendaten werden in der Schweiz oder im EWR (Frankfurt, Dublin, Zürich) verarbeitet. Eine Übermittlung in Drittstaaten findet ausschliesslich bei folgendem Dienstleister statt:

Mailchimp / USA / EU-US Data Privacy Framework & Standardvertragsklauseln

Kein weiterer Dienstleister erhält personenbezogene Daten ausserhalb des EWR/CH. Datenübermittlung ins Ausland Übermittlungen an Dienstleister ausserhalb der Schweiz/EWR erfolgen nur, wenn ein angemessener Datenschutz (z. B. EU-US Data Privacy Framework) besteht oder Standarddatenschutzklauseln abgeschlossen sind.

Die Verwendungen von MailChimp ist optional und wird bei gewünschten Erhalt von Newslettern von uns aktiviert.

10 Aufbewahrung & Löschung

  • Aktivkonto: Speicherung aller Daten solange Account aktiv ist
  • Löschung des Kontos durch Mitarbeitende: Sofortige Löschung aller Daten.
  • Ende des Vertrags mit Unternehmenskunden: Löschung der Daten der Mitarbeitenden binnen 30 Tagen nach Ende des Vertrags.
  • Server-Logs: 6 Monate

Nach Kontolöschung oder Vertragsende entfernen wir sämtliche personenbezogenen und unternehmensbezogenen Daten unwiderruflich aus allen Produktiv- und Backup-Systemen. 

Es verbleiben ausschliesslich vollständig anonymisierte Gesamtmetriken, die keinerlei Rückschlüsse auf einzelne Personen oder Unternehmen zulassen (z. B. die Gesamtzahl aller täglichen App-Starts).

11 Datensicherheit

Unsere Daten liegen in ISO-27001-zertifizierten Rechenzentren unserer Cloud- und Authentifizierungsdienstleister (Google Cloud, MongoDB Atlas, Auth0).
Die KINASTIC AG selbst ist nicht ISO-zertifiziert, stützt sich jedoch auf die Zertifizierungen ihrer Infrastrukturpartner und ergänzt diese durch:

  • Ende-zu-Ende-Verschlüsselung (TLS 1.2+ im Transit, AES-256 at rest)
  • MFA-geschützte Admin-Zugänge & Role-Based Access Control
  • Regelmässige unabhängige Penetrationstests
  • Protokollierung und Monitoring mit automatischen Alarmen
  • Least-Privilege-Prinzip & jährliche Security-Schulungen für Mitarbeitende

Diese Massnahmen werden regelmässig überprüft und dem Stand der Technik angepasst.

12 Umgang mit Datenpannen (Incident Response)

Sollte trotz aller Schutzmassnahmen eine Datenpanne auftreten, folgen wir einem klaren 5-Stufen-Plan:

  • Erkennung & Alarmierung – 24/7 Monitoring schlägt bei Anomalien sofort Alarm.
  • Eindämmung – betroffene Systeme werden isoliert, Zugriffe sofort eingeschränkt.
  • Analyse & Behebung – Ursache wird forensisch untersucht, Schwachstelle geschlossen.
  • Benachrichtigung – Betroffene Nutzer/innen und – sofern gesetzlich erforderlich – Aufsichtsbehörden werden binnen 72 h informiert.

Nachbearbeitung – Lessons-learned, Dokumentation und Härtung der Systeme.

13 Rechte der betroffenen Personen

Sie haben – unter den jeweils anwendbaren gesetzlichen Voraussetzungen – folgende Rechte:

  • Widerspruch
    Sie können jederzeit gegen Datenbearbeitungen Einspruch erheben, insbesondere wenn wir Ihre Daten auf Grundlage eines berechtigten Interesses verarbeiten.
  • Auskunft
    Sie können bestätigen lassen, ob wir Personendaten über Sie verarbeiten, und eine Kopie dieser Daten erhalten.
  • Berichtigung
    Sie können unrichtige oder unvollständige Personendaten berichtigen lassen.
  • Löschung / Anonymisierung
    Sie können verlangen, dass wir Ihre Personendaten löschen oder dauerhaft anonymisieren, sofern kein gesetzlicher Aufbewahrungsgrund entgegensteht.
  • Einschränkung
    Sie können die Bearbeitung Ihrer Personendaten – etwa für die Dauer einer Prüfung – einschränken lassen.
  • Datenübertragbarkeit
    Sie haben Anspruch auf Herausgabe der von Ihnen bereitgestellten Personendaten in einem strukturierten, gängigen und maschinenlesbaren Format.
  • Widerruf von Einwilligungen
    Soweit eine Bearbeitung auf Ihrer Einwilligung beruht (z. B. Terra-/Health-Connect-Import, Newsletter), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Hinweis zu Einschränkungen

Diese Rechte können im Einzelfall eingeschränkt oder abgelehnt werden, z. B. wenn Zweifel an Ihrer Identität bestehen, überwiegende schutzwürdige Interessen Dritter betroffen sind oder gesetzliche Aufbewahrungspflichten entgegenstehen.

Kontakt für Rechtegesuche

privacy@kinastic.com

Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass unsere Datenbearbeitung gegen Datenschutzrecht verstösst, können Sie sich an die zuständige Aufsichtsbehörde wenden. In der Schweiz ist dies der:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern, Schweiz
www.edoeb.admin.ch

Sind Sie in der EU ansässig, können Sie sich auch an Ihre lokale Datenschutzaufsichtsbehörde wenden.

14 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung einseitig anzupassen. Dabei werden wir uns auch in Zukunft an den Grundsatz halten, Personendaten nur soweit als nötig zu erheben. 

Ohne die Zustimmung des Unternehmenskunden werden wir auch in Zukunft Personendaten nur an Dritte weitergeben, soweit dies in der Version der Datenschutzerklärung vom 1. Juni 2025 vorgesehen ist.

Auch in Zukunft werden wir 

  • nie besonders schützenswerte Daten an Dritte weitergeben;
  • nie Personendaten für eigene Werbezwecke verwenden oder an Dritte für Werbezwecke weitergeben;
  • alle Advertising-Funktionen von Cookies und ähnlichen Technologien ausschalten;
  • die Erhebung von Personendaten durch Dritte, zum Beispiel durch Tracking-Technologien vermeiden.

Wir werden immer gewährleisten, dass alle besonders schützenswerten Daten sofort gelöscht werden, wenn Mitarbeitende eines Unternehmenskunden ihr Konto löschen.

Bei wesentlichen Änderungen holen wir vor Inkrafttreten eine aktive Bestätigung in der App ein; erst nach Ihrer Zustimmung gilt die neue Version.

Über rein redaktionelle oder gesetzlich zwingende Anpassungen informieren wir Sie per In-App-Hinweis oder E-Mail.

15 Glossar (wichtige Begriffe kurz erklärt)

Personendaten

Alle Informationen, die direkt oder indirekt einer Person zugeordnet werden können.

Besonders schützenswerte Daten

Sensible Daten wie Gesundheitsangaben, religiöse oder politische Überzeugungen.

Auftragsverarbeiter

Externer Dienstleister, der Daten weisungsgebunden in unserem Auftrag verarbeitet.

DSG / DSGVO

Schweizer Datenschutzgesetz / EU-Datenschutz-Grundverordnung.

Aktivitätsdaten

Messwerte zu körperlicher Betätigung, z. B. Schritte, Distanz, Kalorien.

Plattform

coach.kinastic.com, studio.kinastic.com und die KINASTIC App.

Terra

API-Gateway, das Wearable- und Fitness-Daten an die Plattform liefert.

Health Connect / Apple Health

System-Schnittstellen von Android/iOS zur Freigabe von Gesundheits- und Fitnessdaten.

Firebase GA4

Pseudonymes Analytics-Tool von Google zur App-Performance-Messung (ohne Werbe-IDs).

Incident

Sicherheitsvorfall, bei dem Personendaten verloren gehen, gestohlen oder unbefugt abgerufen werden.

Unsere LösungÜber UnsKontaktDatenschutz - PlattformDatenschutz - WebsiteAGBFAQ
Copyright © 2024 KINASTIC. Alle Rechte vorhanden