Stand: 20. Mai 2026
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist Max Süßmilch, Hauptstraße 76, 01796 Struppen, Deutschland, E-Mail: support@kynetic-app.com.
Der Verantwortliche verarbeitet personenbezogene Daten der Nutzer ausschließlich im Einklang mit den geltenden datenschutzrechtlichen Vorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Zur Nutzung der App ist die Erstellung eines Nutzerkontos erforderlich. Die Registrierung erfolgt über die Authentifizierungsdienste von Apple („Sign in with Apple") oder Google („Google Sign-In"). In diesem Zusammenhang werden die vom jeweiligen Anbieter bereitgestellten Daten, insbesondere die E-Mail-Adresse sowie ein Profilname, verarbeitet, um das Nutzerkonto einzurichten und zu verwalten. Im Rahmen der Profilerstellung werden darüber hinaus ein frei wählbarer Benutzername, ein eindeutiger Handle sowie optional ein über eine URL referenziertes Profilbild erhoben und gespeichert. Der Handle kann vom Nutzer höchstens zwei Mal geändert werden. Die Verarbeitung erfolgt zur Erfüllung des Nutzungsvertrages gemäß Art. 6 Abs. 1 lit. b DSGVO.
Im Rahmen der Nutzung der App werden verschiedene nutzungsbezogene Daten verarbeitet und serverseitig gespeichert. Hierzu zählen zunächst Daten aus Krafttrainingseinheiten, insbesondere die Anzahl absolvierter Trainingseinheiten, deren Dauer, die durchgeführten Übungen mit Gewichten, Sätzen und Wiederholungen sowie das Gesamtvolumen des bewegten Gewichts. Ebenso werden die erstellten und gespeicherten Trainingspläne des Nutzers verarbeitet.
Im Rahmen des Cardio-Trackers werden Daten zu Trainingseinheiten an stationären Cardio-Geräten verarbeitet. Hierzu zählen der Gerätetyp (Laufband, Fahrradergometer oder Crosstrainer), die zurückgelegte Distanz, die Trainingsdauer, optional ein eingestelltes Widerstandslevel, die verbrannten Kalorien sowie eine optionale freie Notiz des Nutzers.
Bei der Aufzeichnung von Outdoor-Aktivitäten in Form von Radfahrten und Laufstrecken werden ausschließlich aggregierte Trainingsstatistiken serverseitig gespeichert. Hierzu zählen der Aktivitätstyp (Radfahren oder Laufen), die zurückgelegte Distanz, die Dauer, die Durchschnitts- und die Höchstgeschwindigkeit sowie die Höhenmeter im Anstieg und Abstieg. Die im Rahmen der Aufzeichnung erfassten einzelnen GPS-Punkte (Streckenverlauf) werden nicht an den Server übertragen, sondern verbleiben ausschließlich lokal auf dem Gerät (vgl. Abschnitt 5 und Abschnitt 6).
Im Rahmen der Schritt-Duelle werden duellbezogene Daten verarbeitet. Hierzu zählen die Teilnehmer-IDs der beiden Spieler, der Status des Duells (Suche nach Gegner, aktives Duell, abgeschlossen, abgelaufen oder abgebrochen), der Beginn- und Endzeitpunkt, die Schritt-Baseline der jeweiligen Teilnehmer zu Beginn des Duells, die während des 24-stündigen Duellzeitraums absolvierten Schritte, das Endergebnis einschließlich des Siegers oder eines Unentschiedens sowie die vergebenen Erfahrungspunkte. Darüber hinaus werden pro Nutzer Duell-Statistiken geführt, insbesondere die Anzahl gewonnener, verlorener und unentschiedener Duelle, die aktuelle und die längste Siegesserie, die Gesamtanzahl bestrittener Duelle, der Schrittrekord eines einzelnen Duells sowie die Summe aller Schritte in Duellen. Im Falle der Teilnahme am Zufalls-Matchmaking wird der Nutzer für die Dauer der Gegnersuche in einer serverseitigen Warteschlange (Queue) geführt.
Darüber hinaus werden Fortschrittsdaten erhoben, insbesondere die aus Apple HealthKit ausgelesene Gesamtanzahl der Schritte und gestiegenen Stockwerke, die Erfahrungspunkte (XP) und das Level des Nutzers im Rahmen des Gamification-Systems, die erhaltenen Trophäen und abgeschlossenen Challenges, die täglichen Schrittziele einschließlich deren Erreichung sowie die monatliche Zielerreichung mit gestuften Auszeichnungen in den Stufen Bronze, Silber und Gold.
Ferner werden soziale Daten verarbeitet, insbesondere Freundschaftsverbindungen einschließlich Anfragen und akzeptierter Freundschaften sowie die für das Profil freigegebenen Informationen gemäß den individuellen Privatsphäre-Einstellungen des Nutzers. Andere Nutzer können über die Handle-Suche nach dem Nutzer suchen. Die Verarbeitung dieser Daten erfolgt zur Erfüllung des Nutzungsvertrages gemäß Art. 6 Abs. 1 lit. b DSGVO.
Bestimmte Daten werden ausschließlich auf dem Gerät des Nutzers gespeichert und verlassen dieses zu keinem Zeitpunkt. Eine Übertragung auf Server oder an Dritte findet nicht statt.
Dies betrifft zunächst den Gewichtsverlauf. Die Eingaben zu Körpergewicht, Körperfettanteil und Muskelmasse werden ausschließlich lokal als JSON-Dateien im App-eigenen Dokumentenverzeichnis gespeichert.
Ebenso werden Fortschrittsfotos ausschließlich lokal auf dem Gerät gespeichert. Vom Nutzer aufgenommene oder aus der Galerie ausgewählte Fotos verbleiben auf dem Gerät und werden nicht an den Server des Betreibers oder an Dritte übertragen.
Darüber hinaus werden tägliche Gesundheitsdaten in Form eines lokalen Tagesverlaufs gespeichert. Die täglichen Werte für Schritte und Stockwerke werden lokal aufgezeichnet, um Diagramme innerhalb der App zu ermöglichen. Diese Daten verbleiben auf dem Gerät und werden höchstens 365 Tage aufbewahrt.
Schließlich werden die im Rahmen von Outdoor-Aktivitäten (Radfahren, Laufen) erfassten GPS-Routenpunkte ausschließlich lokal auf dem Gerät gespeichert. Hierzu zählen die geografischen Koordinaten (Breite und Länge), die Höhe über Normalnull, die Zeitstempel der einzelnen Messpunkte, die jeweilige Momentangeschwindigkeit sowie die GPS-Genauigkeit. Eine Übertragung dieser Routendaten an den Server des Betreibers oder an Dritte findet zu keinem Zeitpunkt statt. Eine Rekonstruktion der gefahrenen oder gelaufenen Strecke ist daher nur lokal auf dem Gerät des Nutzers möglich.
Bei Löschung des Nutzerkontos oder bei Abmeldung werden sämtliche lokalen Daten vollständig vom Gerät entfernt.
Die App verarbeitet Fitness-, Gesundheits- und Standortdaten über die Schnittstellen Apple HealthKit sowie CoreLocation des Betriebssystems iOS. Bei Gesundheitsdaten handelt es sich um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO; präzise Standortdaten gelten ebenfalls als besonders schutzbedürftige personenbezogene Daten.
Aus Apple HealthKit werden die Schrittanzahl sowohl tagesaktuell als auch kumuliert sowie die gestiegenen Stockwerke sowohl tagesaktuell als auch kumuliert ausgelesen. Sofern der Nutzer eine Outdoor-Aktivität durchführt, werden zusätzlich die zurückgelegte Distanz beim Radfahren sowie die zurückgelegte Distanz beim Gehen und Laufen ausgelesen. Die App kann Trainingsdaten in Form von Workouts (Krafttraining, Cardio, Radfahren, Laufen) in Apple HealthKit schreiben, sofern der Nutzer dies erlaubt.
Für die Aufzeichnung von Outdoor-Aktivitäten verwendet die App die Standortdienste über das iOS-Framework CoreLocation. Während einer aktiven Outdoor-Aktivität werden präzise Standortdaten – geografische Koordinaten, Höhe, Zeitstempel, Momentangeschwindigkeit und Messgenauigkeit – kontinuierlich vom Gerät erfasst, um eine Streckenkarte, die zurückgelegte Distanz, die Durchschnitts- und Höchstgeschwindigkeit sowie die Höhenmeter zu berechnen. Außerhalb einer aktiven, vom Nutzer gestarteten Outdoor-Aktivität werden keine Standortdaten erfasst.
Die App nutzt hierfür die Berechtigung „Beim Verwenden der App" sowie optional die Berechtigung „Immer", damit eine laufende Aufzeichnung auch bei minimierter App fortgesetzt werden kann. Die Standorterfassung wird ausschließlich nach ausdrücklicher Einwilligung des Nutzers über die iOS-Systemabfrage aktiviert und kann jederzeit über die iOS-Systemeinstellungen widerrufen werden.
Die Verarbeitung der Gesundheits- und Standortdaten erfolgt ausschließlich nach ausdrücklicher Einwilligung des Nutzers gemäß Art. 9 Abs. 2 lit. a DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO. Die Einwilligung kann jederzeit über die Systemeinstellungen des Geräts widerrufen werden.
Die über HealthKit erhaltenen Gesundheitsdaten werden ausschließlich zur Bereitstellung der App-Funktionen verwendet, insbesondere zur Anzeige von Trainingsfortschritten, zur Teilnahme an globalen und gruppenbasierten Challenges, zur Durchführung von Schritt-Duellen, zur Anzeige in Ranglisten, zur Prüfung der Erreichung täglicher Schrittziele sowie zur Vergabe von Erfahrungspunkten. Standortdaten werden ausschließlich zur Aufzeichnung der vom Nutzer gestarteten Outdoor-Aktivität verwendet.
Es wird ausdrücklich darauf hingewiesen, dass keine Gesundheits- oder Standortdaten an Apple, Google oder sonstige Dritte zu Marketing- oder Werbezwecken weitergegeben werden. Diese Daten werden nicht für Werbung, Data Mining oder eine Weitergabe an Datenbroker verwendet. Sie werden ausschließlich zur Verbesserung der Gesundheit oder Fitness des Nutzers im Rahmen der App genutzt. Die einzelnen GPS-Routenpunkte einer Outdoor-Aktivität verbleiben darüber hinaus ausschließlich lokal auf dem Gerät und werden nicht an den Server des Betreibers übertragen (vgl. Abschnitt 5).
Die App bietet verschiedene Challenge-Formate an. Im Rahmen globaler Challenges kann der Nutzer an gemeinschaftlichen Herausforderungen teilnehmen, bei denen die Beiträge aller Teilnehmer, beispielsweise Schritte oder Stockwerke, serverseitig aggregiert werden. Die Sichtbarkeit des Nutzernamens in den zugehörigen Ranglisten kann vom Nutzer individuell gesteuert werden. Dem Nutzer stehen hierfür drei Optionen zur Verfügung: vollständig anonym, nur für bestätigte Freunde sichtbar oder für alle Teilnehmer sichtbar.
Im Rahmen von Gruppen-Challenges können Nutzer private Challenges erstellen und Freunde dazu einladen. Innerhalb einer Gruppe sind die individuellen Beiträge der einzelnen Teilnehmer für alle Gruppenmitglieder sichtbar.
Die Teilnahme an der dauerhaften All-Time-Rangliste erfolgt ausschließlich auf Opt-in-Basis. Ohne aktive Zustimmung des Nutzers erscheint dieser nicht in dieser Rangliste.
Darüber hinaus bietet die App Schritt-Duelle an, bei denen zwei Nutzer über einen Zeitraum von vierundzwanzig Stunden anhand ihrer Schrittzahl gegeneinander antreten. Die Zuteilung eines Gegners erfolgt über eine serverseitige Matchmaking-Warteschlange, in die der Nutzer aktiv eintreten muss. Während eines aktiven Duells sind die aktuelle Schrittzahl des Nutzers sowie diejenige des Gegners für beide Teilnehmer sichtbar; nach Ablauf der vierundzwanzig Stunden werden Ergebnis, finale Schrittzahlen, Sieger sowie die vergebenen Erfahrungspunkte serverseitig gespeichert. Die Teilnahme an einem Duell erfolgt ausschließlich auf aktive Initiative des Nutzers.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Teilnahme an Duellen sowie für die Sichtbarkeitseinstellungen.
Die App bietet dem Nutzer granulare Kontrolle über die Sichtbarkeit seiner Profildaten gegenüber anderen Nutzern. Der Nutzer kann unabhängig voneinander festlegen, ob die folgenden Informationen auf seinem Profil angezeigt werden: absolvierte Trainingseinheiten, erhaltene Trophäen, bewegtes Gewicht, Trainingszeit, Trainingsroutine in Form eines Wochenkalenders sowie der Trainingsverlauf.
Darüber hinaus kann die Sichtbarkeit des Nutzernamens in Challenge-Ranglisten auf drei Stufen eingestellt werden. Die erste Stufe ist „Anonym", bei der kein Name sichtbar ist. Die zweite Stufe ist „Nur Freunde", bei der ausschließlich bestätigte Freunde den Namen sehen können. Die dritte Stufe ist „Jeder", bei der alle Teilnehmer den Namen sehen können. Diese Einstellungen können jederzeit in den App-Einstellungen geändert werden.
Die App bietet Funktionen zum Melden und Blockieren anderer Nutzer. Bei einer Meldung werden die Nutzer-ID des Meldenden, die Nutzer-ID des Gemeldeten, der Meldegrund sowie ein optionaler Detailtext serverseitig gespeichert. Die Verarbeitung dient der Sicherstellung eines ordnungsgemäßen Betriebs und der Verhinderung von Missbrauch. Bei einer Blockierung werden die IDs des blockierenden und des blockierten Nutzers serverseitig gespeichert. Blockierte Nutzer können den blockierenden Nutzer nicht mehr kontaktieren oder in Ranglisten sehen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Missbrauchsprävention).
Die App nutzt sowohl lokale Push-Benachrichtigungen, die auf dem Gerät selbst erzeugt werden, als auch – soweit der Nutzer die entsprechende Systemberechtigung erteilt hat – Remote-Push-Benachrichtigungen über den Apple Push Notification Service (APNs). Zum Empfang von Remote-Benachrichtigungen wird ein vom Gerät erzeugtes APNs-Gerätetoken an den Server des Betreibers übermittelt und dort dem jeweiligen Nutzerkonto zugeordnet. Das Token ermöglicht die zielgerichtete Zustellung von Benachrichtigungen an das Gerät, enthält jedoch selbst keine inhaltlichen Daten.
Remote-Benachrichtigungen werden insbesondere ausgelöst beim Eingang einer neuen Freundschaftsanfrage, bei Einladungen zu Gruppen-Challenges, beim Finden eines Gegners im Duell-Matchmaking sowie bei Beendigung eines Duells. Lokale Benachrichtigungen werden insbesondere beim Erreichen des täglichen Schrittziels sowie beim Ablauf oder Abschluss von Challenges ausgelöst.
Die Nutzung von Push-Benachrichtigungen kann vom Nutzer jederzeit in den App-Einstellungen sowie über die iOS-Systemeinstellungen deaktiviert werden. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die iOS-Systemeinstellungen). Im Hinblick auf die Zustellung über APNs ist Apple Inc. als Auftragsverarbeiter tätig; es gelten ergänzend die Datenschutzbestimmungen von Apple.
Die App nutzt iOS Background App Refresh, um in regelmäßigen Abständen von frühestens fünfzehn Minuten, gesteuert durch das iOS-Betriebssystem, bestimmte Aufgaben im Hintergrund durchzuführen. Hierzu zählen die Synchronisierung von HealthKit-Daten wie Schritten und Stockwerken, die Aktualisierung von Challenge-Beiträgen, die Aktualisierung laufender Schritt-Duelle einschließlich der Übermittlung der aktuellen Schrittzahl an den Server, die Prüfung auf neue Freundschaftsanfragen und Gruppen-Einladungen, die Prüfung der Tageszielerreichung sowie die lokale Aufzeichnung täglicher Gesundheitsdaten für die Diagrammansicht.
Darüber hinaus verwendet die App während einer aktiven Outdoor-Aktivität den Hintergrundmodus für Standortdienste (Background Location), damit die GPS-Aufzeichnung auch bei gesperrtem Display oder minimierter App fortgesetzt werden kann. Außerhalb einer aktiven, vom Nutzer gestarteten Outdoor-Aktivität wird der Standort im Hintergrund nicht abgefragt. Sowohl die Hintergrundaktivität als auch die Hintergrund-Standortberechtigung können jederzeit über die iOS-Systemeinstellungen deaktiviert werden.
Die App speichert bestimmte Daten lokal auf dem Gerät des Nutzers, um die Nutzererfahrung zu verbessern und die Offline-Nutzung zu ermöglichen. Hierzu zählen zwischengespeicherte Profildaten, Trainingspläne und der Trainingsverlauf, der Cardio-Verlauf, der Outdoor-Aktivitätsverlauf einschließlich der zugehörigen GPS-Routenpunkte, der Duell-Verlauf, nicht zugestellte Synchronisierungsaufgaben in einer Offline-Queue, HealthKit-Baseline-Werte zur Berechnung von Veränderungen seit der letzten Synchronisierung sowie Einstellungen und Präferenzen wie Benachrichtigungspräferenzen, Theme-Auswahl und Onboarding-Status. Die Speicherung erfolgt über die UserDefaults-Schnittstelle von iOS sowie über das App-eigene Dokumentenverzeichnis. Die für den Zugriff auf diese Schnittstellen erforderliche Begründung ist im Privacy Manifest der App dokumentiert. Die Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktionsfähigkeit der App).
Die App ermöglicht es dem Nutzer, von ihm erstellte Aktivitäts-Sharecards (zusammenfassende Bilder einer Trainings-, Cardio-, Outdoor- oder Duell-Einheit) auf eigenen Wunsch in seiner Fotomediathek zu speichern. Hierfür wird die iOS-Berechtigung „Zu Fotos hinzufügen" verwendet. Es findet ausschließlich ein schreibender Zugriff auf die Fotomediathek statt; ein Auslesen vorhandener Fotos durch die App findet nicht statt. Die Berechtigung kann jederzeit über die iOS-Systemeinstellungen widerrufen werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Die serverseitige Verarbeitung der Daten erfolgt über den Dienstleister Supabase Inc. Die Server befinden sich innerhalb der Europäischen Union, konkret in Frankfurt am Main. Mit dem Anbieter wurde ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.
Für die Anmeldung werden die Dienste von Apple Inc. (Sign in with Apple) sowie Google LLC (Google Sign-In) verwendet. Die Authentifizierung erfolgt direkt über die jeweiligen Anbieter mittels branchenüblicher OpenID-Connect-Tokens. Die App erhält lediglich ein Authentifizierungstoken und die vom Nutzer freigegebenen Daten, insbesondere die E-Mail-Adresse und den Namen. Es gelten zusätzlich die Datenschutzbestimmungen des jeweiligen Anbieters.
Zur Gewährleistung der Stabilität und Sicherheit der App werden technische Informationen verarbeitet, insbesondere die IP-Adresse sowie Angaben zum verwendeten Gerät und Betriebssystem. Diese Daten werden nicht vom Verantwortlichen selbst gespeichert, sondern fallen im Rahmen der Auftragsverarbeitung beim Hosting-Dienstleister an.
Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich im Rahmen der Auftragsverarbeitung durch den Hosting-Dienstleister Supabase gemäß Abschnitt 14, im Rahmen der Authentifizierung über Apple und Google gemäß Abschnitt 15, im Rahmen der Zustellung von Remote-Push-Benachrichtigungen über den Apple Push Notification Service (APNs) gemäß Abschnitt 10, soweit eine gesetzliche Verpflichtung besteht, oder der Nutzer ausdrücklich eingewilligt hat. Es findet keine Weitergabe personenbezogener Daten zu Werbe-, Marketing- oder Analysezwecken statt. Die App enthält keine Tracking-Technologien und keine Werbung.
Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Erreichung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Profildaten, Trainingsdaten, Cardio-Sitzungen, Outdoor-Aktivitätsstatistiken sowie Duell-Daten und Duell-Statistiken werden bis zur Löschung des Nutzerkontos gespeichert. Meldungen werden bis zur abschließenden Bearbeitung, höchstens jedoch zwölf Monate aufbewahrt. Lokal gespeicherte Daten wie Gewichtsverlauf, Fortschrittsfotos, GPS-Routenpunkte und der Tagesverlauf werden bis zur Löschung des Nutzerkontos oder Abmeldung gespeichert, wobei der Tagesverlauf auf maximal 365 Tage begrenzt ist.
Nutzer haben gemäß der DSGVO das Recht auf Auskunft über die gespeicherten personenbezogenen Daten nach Art. 15 DSGVO, das Recht auf Berichtigung unrichtiger Daten nach Art. 16 DSGVO, das Recht auf Löschung gespeicherter Daten nach Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO, das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO, das Widerspruchsrecht gegen die Verarbeitung aus Gründen der besonderen Situation nach Art. 21 DSGVO, das Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft nach Art. 7 Abs. 3 DSGVO sowie das Beschwerderecht bei einer Datenschutzaufsichtsbehörde nach Art. 77 DSGVO. Die zuständige Aufsichtsbehörde ist der Sächsische Datenschutz- und Transparenzbeauftragte, Devrientstraße 5, 01067 Dresden. Zur Ausübung der Rechte genügt eine formlose Mitteilung an support@kynetic-app.com.
Der Nutzer hat die Möglichkeit, sein Nutzerkonto jederzeit innerhalb der App über die Profileinstellungen vollständig zu löschen. In diesem Fall werden serverseitig sämtliche personenbezogenen Daten gelöscht, einschließlich Profildaten, Trainingsdaten, Cardio-Sitzungen, Outdoor-Aktivitätsstatistiken, Duell-Daten und Duell-Statistiken, Freundschaften, Challenge-Teilnahmen und Trophäen. Gleichzeitig werden lokal sämtliche auf dem Gerät gespeicherten Daten gelöscht, einschließlich des Gewichtsverlaufs, der Fortschrittsfotos, der GPS-Routenpunkte, des Tagesverlaufs, der Cache-Daten und der Benachrichtigungsdaten. Eine Speicherung über die Löschung hinaus erfolgt nur, soweit gesetzliche Aufbewahrungspflichten entgegenstehen.
Die Nutzung der App durch Personen unter 16 Jahren ist nur mit Zustimmung der Erziehungsberechtigten zulässig. Der Verantwortliche unternimmt keine wissentliche Erhebung personenbezogener Daten von Personen unter 16 Jahren ohne entsprechende Zustimmung.
Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Hierzu gehören insbesondere die verschlüsselte Übertragung aller Daten über HTTPS/TLS, die Authentifizierung über branchenübliche OAuth-2.0- und OpenID-Connect-Verfahren, die Implementierung von Row Level Security auf Datenbankebene, die sicherstellt, dass Nutzer nur auf ihre eigenen Daten zugreifen können, sowie die ausschließlich lokale Speicherung sensibler Daten wie Gewicht, Fortschrittsfotos und GPS-Routenpunkte auf dem Gerät des Nutzers.
Die App enthält keine Werbenetzwerke, keine Tracking-SDKs und kein nutzerbezogenes Tracking. Die im Privacy Manifest der App deklarierte Eigenschaft „NSPrivacyTracking" ist auf „false" gesetzt. Es werden keine Tracking-Domains kontaktiert.
Der Verantwortliche behält sich vor, diese Datenschutzerklärung jederzeit anzupassen, sofern dies aufgrund rechtlicher, technischer oder funktionaler Änderungen erforderlich ist. Die jeweils aktuelle Fassung ist über die App sowie unter https://kynetic-app.com/datenschutzerklaerung/ abrufbar.
Last updated: May 20, 2026
The controller within the meaning of the General Data Protection Regulation (GDPR) is Max Süßmilch, Hauptstraße 76, 01796 Struppen, Germany, email: support@kynetic-app.com.
The controller processes personal data of users exclusively in accordance with applicable data protection regulations, in particular the General Data Protection Regulation (GDPR) and the German Federal Data Protection Act (BDSG). Personal data means any information relating to an identified or identifiable natural person.
The use of the app requires the creation of a user account. Registration is carried out via the authentication services of Apple ("Sign in with Apple") or Google ("Google Sign-In"). In this context, the data provided by the respective provider, in particular the email address and a profile name, are processed to set up and manage the user account. As part of the profile creation process, a freely chosen username, a unique handle, and optionally a profile picture referenced via a URL are also collected and stored. The handle may be changed by the user a maximum of two times. The processing is carried out for the performance of the user agreement pursuant to Art. 6(1)(b) GDPR.
Various usage-related data are processed and stored on the server during the use of the app. This includes data from strength training sessions, in particular the number of completed workouts, their duration, the exercises performed including weights, sets, and repetitions, as well as the total volume of weight moved. The training plans created and saved by the user are also processed.
As part of the cardio tracker, data on workouts performed on stationary cardio machines are processed. This includes the machine type (treadmill, stationary bike, or cross trainer), the distance covered, the workout duration, an optional resistance level, the calories burned, and an optional free-text note by the user.
When outdoor activities in the form of cycling or running routes are recorded, only aggregated workout statistics are stored on the server. This includes the activity type (cycling or running), the distance covered, the duration, the average and maximum speed, as well as the elevation gain and loss. The individual GPS points (route trace) recorded as part of the activity are not transmitted to the server and remain exclusively on the device (see Section 5 and Section 6).
As part of step duels, duel-related data are processed. This includes the participant IDs of both players, the status of the duel (searching for an opponent, active, completed, expired, or cancelled), the start and end times, the step baseline of each participant at the beginning of the duel, the steps taken during the 24-hour duel period, the final result including the winner or a draw, and the experience points awarded. In addition, per-user duel statistics are maintained, in particular the number of wins, losses, and draws, the current and longest winning streak, the total number of duels played, the single-duel step record, and the total number of steps across all duels. When participating in random matchmaking, the user is placed in a server-side queue for the duration of the opponent search.
In addition, progress data are collected, in particular the total number of steps and flights of stairs climbed as read from Apple HealthKit, both on a daily and cumulative basis, the experience points (XP) and level of the user within the gamification system, the trophies received and challenges completed, the daily step goals and their achievement, as well as monthly goal achievements with tiered awards at the Bronze, Silver, and Gold levels.
Furthermore, social data are processed, in particular friendship connections including requests and accepted friendships, as well as information shared on the profile in accordance with the user's individual privacy settings. Other users can search for the user via the handle search function. The processing of this data is carried out for the performance of the user agreement pursuant to Art. 6(1)(b) GDPR.
Certain data are stored exclusively on the user's device and never leave it. No transfer to servers or third parties takes place.
This applies firstly to weight tracking data. Entries for body weight, body fat percentage, and muscle mass are stored exclusively as local JSON files in the app's own document directory.
Likewise, progress photos are stored exclusively on the device. Photos taken by the user or selected from the gallery remain on the device and are not transferred to the operator's server or to third parties.
In addition, daily health data are stored in the form of a local daily history. Daily values for steps and flights of stairs are recorded locally to enable charts within the app. This data remains on the device and is retained for a maximum of 365 days.
Finally, the GPS route points recorded during outdoor activities (cycling, running) are stored exclusively on the device. This includes the geographic coordinates (latitude and longitude), the altitude above mean sea level, the timestamps of the individual measurement points, the respective instantaneous speed, and the GPS accuracy. No transfer of this route data to the operator's server or to third parties takes place at any time. A reconstruction of the cycled or run route is therefore only possible locally on the user's device.
Upon deletion of the user account or upon signing out, all local data are completely removed from the device.
The app processes fitness, health, and location data via the Apple HealthKit and CoreLocation interfaces of the iOS operating system. Health data constitutes special categories of personal data within the meaning of Art. 9 GDPR; precise location data is likewise treated as particularly sensitive personal data.
The step count, both daily and cumulative, as well as flights of stairs climbed, both daily and cumulative, are read from Apple HealthKit. If the user performs an outdoor activity, the cycling distance and the walking and running distance are additionally read. The app may also write workout data (strength training, cardio, cycling, running) to Apple HealthKit, provided the user has granted permission.
For the recording of outdoor activities, the app uses location services via the iOS CoreLocation framework. During an active outdoor activity, precise location data – geographic coordinates, altitude, timestamps, instantaneous speed, and measurement accuracy – are continuously recorded by the device in order to compute a route map, the distance covered, the average and maximum speed, and the elevation gain and loss. Outside of an active outdoor activity started by the user, no location data is collected.
The app uses the "While Using the App" permission and optionally the "Always" permission so that an ongoing recording can be continued even when the app is minimized. Location collection is activated exclusively upon the explicit consent of the user via the iOS system prompt and can be revoked at any time via the iOS system settings.
The processing of health and location data takes place exclusively upon the explicit consent of the user pursuant to Art. 9(2)(a) GDPR or Art. 6(1)(a) GDPR. Consent may be revoked at any time via the device's system settings.
Health data obtained via HealthKit is used exclusively for providing app functionality, in particular for displaying training progress, for participation in global and group-based challenges, for conducting step duels, for display in leaderboards, for checking daily step goal achievement, and for awarding experience points. Location data is used exclusively for recording the outdoor activity started by the user.
It is expressly noted that no health or location data is shared with Apple, Google, or any other third parties for marketing or advertising purposes. This data is not used for advertising, data mining, or sharing with data brokers. It is used exclusively for improving the health or fitness of the user within the framework of the app. The individual GPS route points of an outdoor activity furthermore remain exclusively on the device and are not transmitted to the operator's server (see Section 5).
The app offers various challenge formats. In global challenges, the user can participate in community challenges in which the contributions of all participants, such as steps or flights of stairs, are aggregated on the server. The visibility of the user's name in the associated leaderboards can be individually controlled by the user. Three options are available: fully anonymous, visible only to confirmed friends, or visible to all participants.
In group challenges, users can create private challenges and invite friends to participate. Within a group, the individual contributions of each participant are visible to all group members.
Participation in the permanent All-Time leaderboard is strictly on an opt-in basis. Without active consent from the user, they will not appear in this leaderboard.
The app additionally offers step duels in which two users compete against each other over a period of twenty-four hours based on their step count. The assignment of an opponent is carried out via a server-side matchmaking queue that the user must actively enter. During an active duel, the user's current step count as well as that of the opponent are visible to both participants; after the twenty-four-hour period has elapsed, the result, the final step counts, the winner, and the experience points awarded are stored on the server. Participation in a duel is solely at the active initiative of the user.
The legal basis is Art. 6(1)(b) GDPR (performance of the contract) and Art. 6(1)(a) GDPR (consent) for participation in duels and for the visibility settings.
The app provides the user with granular control over the visibility of their profile data to other users. The user can independently determine whether the following information is displayed on their profile: completed workouts, trophies received, weight moved, training time, training routine in the form of a weekly calendar, and workout history.
In addition, the visibility of the username in challenge leaderboards can be set to three levels. The first level is "Anonymous," in which no name is visible. The second level is "Friends Only," in which only confirmed friends can see the name. The third level is "Everyone," in which all participants can see the name. These settings can be changed at any time in the app settings.
The app provides functionality for reporting and blocking other users. When a report is filed, the user ID of the reporter, the user ID of the reported user, the reason for the report, and an optional detail text are stored on the server. This processing serves to ensure proper operation and to prevent misuse. When a user is blocked, the IDs of the blocking user and the blocked user are stored on the server. Blocked users can no longer contact the blocking user or see them in leaderboards. The legal basis is Art. 6(1)(f) GDPR (legitimate interest in preventing misuse).
The app uses both local push notifications, which are generated on the device itself, and – provided the user has granted the corresponding system permission – remote push notifications via the Apple Push Notification service (APNs). In order to receive remote notifications, an APNs device token generated by the device is transmitted to the operator's server and there associated with the respective user account. The token enables the targeted delivery of notifications to the device but does not itself contain any content data.
Remote notifications are in particular triggered upon receipt of a new friend request, upon invitations to group challenges, when an opponent is found in duel matchmaking, and upon the conclusion of a duel. Local notifications are in particular triggered upon achievement of the daily step goal and upon the expiration or completion of challenges.
The use of push notifications can be disabled by the user at any time in the app settings as well as via the iOS system settings. The legal basis is Art. 6(1)(a) GDPR (consent via iOS system settings). With regard to delivery via APNs, Apple Inc. acts as a processor; the privacy policy of Apple additionally applies.
The app uses iOS Background App Refresh to perform certain tasks in the background at regular intervals of at least fifteen minutes, as controlled by the iOS operating system. These tasks include the synchronization of HealthKit data such as steps and flights of stairs, the updating of challenge contributions, the updating of ongoing step duels including the transmission of the current step count to the server, checking for new friend requests and group invitations, checking daily goal achievement, and the local recording of daily health data for the chart view.
In addition, during an active outdoor activity, the app uses the background mode for location services (background location) so that the GPS recording can be continued even when the screen is locked or the app is minimized. Outside of an active outdoor activity started by the user, location is not queried in the background. Both background activity and the background location permission can be disabled at any time via the iOS system settings.
The app stores certain data locally on the user's device to improve the user experience and enable offline use. This includes cached profile data, training plans and workout history, the cardio history, the outdoor activity history including the associated GPS route points, the duel history, undelivered synchronization tasks in an offline queue, HealthKit baseline values for calculating changes since the last synchronization, and settings and preferences such as notification preferences, theme selection, and onboarding status. Storage is carried out via the iOS UserDefaults interface as well as via the app's own document directory. The justification required for accessing these interfaces is documented in the app's Privacy Manifest. The legal bases are Art. 6(1)(b) GDPR (performance of the contract) and Art. 6(1)(f) GDPR (legitimate interest in the functionality of the app).
The app allows the user, at their own request, to save activity share cards (summary images of a training, cardio, outdoor, or duel session) created by them to their photo library. The iOS "Add to Photos" permission is used for this purpose. Only write access to the photo library is exercised; the app does not read existing photos. The permission can be revoked at any time via the iOS system settings. The legal basis is Art. 6(1)(a) GDPR (consent).
Server-side data processing is carried out by the service provider Supabase Inc. The servers are located within the European Union, specifically in Frankfurt am Main. A data processing agreement pursuant to Art. 28 GDPR has been concluded with the provider.
The services of Apple Inc. (Sign in with Apple) and Google LLC (Google Sign-In) are used for login. Authentication is carried out directly via the respective providers using industry-standard OpenID Connect tokens. The app receives only an authentication token and the data shared by the user, in particular the email address and name. The privacy policies of the respective providers also apply.
To ensure the stability and security of the app, technical information is processed, in particular the IP address and information about the device and operating system used. This data is not stored by the controller itself but is generated as part of the data processing by the hosting service provider.
Personal data is disclosed to third parties exclusively within the scope of data processing by the hosting service provider Supabase as described in Section 14, within the scope of authentication via Apple and Google as described in Section 15, within the scope of the delivery of remote push notifications via the Apple Push Notification service (APNs) as described in Section 10, where there is a legal obligation to do so, or where the user has expressly consented. No personal data is disclosed for advertising, marketing, or analytics purposes. The app does not contain any tracking technologies or advertising.
Personal data is retained only for as long as is necessary to achieve the respective processing purposes or as required by statutory retention obligations. Profile data, training data, cardio sessions, outdoor activity statistics, and duel data and duel statistics are stored until the deletion of the user account. Reports are retained until they have been conclusively processed, but for no longer than twelve months. Locally stored data such as weight history, progress photos, GPS route points, and daily health history are stored until the deletion of the user account or sign-out, with the daily health history limited to a maximum of 365 days.
Users have the following rights under the GDPR: the right to information about stored personal data pursuant to Art. 15 GDPR, the right to rectification of inaccurate data pursuant to Art. 16 GDPR, the right to erasure of stored data pursuant to Art. 17 GDPR, the right to restriction of processing pursuant to Art. 18 GDPR, the right to data portability pursuant to Art. 20 GDPR, the right to object to processing on grounds relating to the particular situation pursuant to Art. 21 GDPR, the right to withdraw consent with effect for the future pursuant to Art. 7(3) GDPR, and the right to lodge a complaint with a supervisory authority pursuant to Art. 77 GDPR. The competent supervisory authority is the Saxon Data Protection and Transparency Commissioner (Sächsischer Datenschutz- und Transparenzbeauftragter), Devrientstraße 5, 01067 Dresden, Germany. To exercise these rights, an informal notification to support@kynetic-app.com is sufficient.
The user has the option to completely delete their user account at any time within the app via the profile settings. In this case, all personal data stored on the server is deleted, including profile data, training data, cardio sessions, outdoor activity statistics, duel data and duel statistics, friendships, challenge participations, and trophies. At the same time, all data stored locally on the device is deleted, including weight history, progress photos, GPS route points, daily health history, cache data, and notification data. Retention beyond deletion occurs only where statutory retention obligations so require.
The use of the app by persons under the age of 16 is only permitted with the consent of a parent or legal guardian. The controller does not knowingly collect personal data from persons under the age of 16 without such consent.
The controller takes appropriate technical and organizational measures to protect personal data against unauthorized access, loss, or misuse. These include in particular the encrypted transmission of all data via HTTPS/TLS, authentication via industry-standard OAuth 2.0 and OpenID Connect procedures, the implementation of Row Level Security at the database level to ensure that users can only access their own data, and the exclusively local storage of sensitive data such as weight, progress photos, and GPS route points on the user's device.
The app does not contain any advertising networks, tracking SDKs, or user-related tracking. The "NSPrivacyTracking" property declared in the app's Privacy Manifest is set to "false." No tracking domains are contacted.
The controller reserves the right to amend this privacy policy at any time where this is necessary due to legal, technical, or functional changes. The current version is available via the app and at https://kynetic-app.com/datenschutzerklaerung/.