Stand: 20. April 2026
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO:
Patrick Aßmann
Stockerfeld 29
94081 Fürstenzell
Deutschland
E-Mail: kontakt@bloodly.de
Folgende personenbezogene Daten werden verarbeitet:
Kontodaten: Benutzername, E-Mail-Adresse, verschlüsseltes Passwort (bcrypt), Vor- und Nachname.
Gesundheitsdaten (besondere Kategorien, Art. 9 DSGVO): Blutwerte und Laborergebnisse, Referenzbereiche und Einheiten, Analysedaten und Labornamen, Supplement- und Medikamenten-Einnahmen inkl. Dosierung und Zeiträume.
Technische Daten: IP-Adressen (für Sicherheits- und Audit-Zwecke), Login-Zeitpunkte, Import-Protokolle.
Die Verarbeitung der Kontodaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Dienstes).
Die Verarbeitung der Gesundheitsdaten (Blutwerte, Laborergebnisse) erfolgt ausschließlich auf Grundlage der ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung wird vor der ersten Nutzung elektronisch eingeholt und protokolliert.
Die Verarbeitung technischer Daten (IP-Adressen, Audit-Logs) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Systems).
Deine Daten werden ausschließlich für folgende Zwecke verarbeitet:
• Bereitstellung des Blutwert-Trackings (Speicherung, Visualisierung, Trendanalyse)
• Import von Laborberichten per PDF, Foto oder CSV/Excel
• Optische Texterkennung (OCR) und KI-gestützte Auswertung von Laborberichten
• Optionale KI-gestützte Zusammenfassung von Laborbefunden über einen externen Cloud-Anbieter (nur mit gesonderter Einwilligung; siehe § 5a)
• Coach-Benachrichtigungen per E-Mail, sofern ein Coach zugewiesen ist
• Benutzerauthentifizierung und Kontoverwaltung
• Sicherheit des Systems (Brute-Force-Schutz, Audit-Logging)
• Passwort-Reset per E-Mail
Es erfolgt keine Weitergabe an Dritte, kein Verkauf, keine Nutzung für Werbezwecke und keine automatisierte Entscheidungsfindung oder Profiling. Eine Ausnahme bildet die optionale Cloud-KI-Funktion (§ 5a), die nur nach gesonderter Einwilligung aktiv wird.
Beim Foto-Import von Laborberichten wird der fotografierte Befund durch optische Texterkennung (OCR) und anschließend durch ein lokal betriebenes KI-Sprachmodell (LLM) verarbeitet, um Blutwerte, Einheiten und Referenzbereiche automatisch zu erkennen.
• Die gesamte Verarbeitung erfolgt ausschließlich auf eigener, selbst betriebener Infrastruktur des Betreibers.
• Es werden keine Daten an externe Dienste, Cloud-Anbieter oder Dritte übermittelt (kein OpenAI, kein Google, kein Microsoft).
• Die Verbindung zwischen den beteiligten Servern ist VPN-verschlüsselt.
• Das KI-Modell speichert keine Eingabedaten und wird nicht mit Nutzerdaten trainiert.
• Es findet keine automatisierte Entscheidungsfindung statt — alle erkannten Werte werden dem Benutzer zur manuellen Überprüfung und Korrektur vorgelegt, bevor sie gespeichert werden.
Die automatische Zusammenfassung von Laborbefunden (optional, Pro-Feature) nutzt einen externen KI-Anbieter (aktuell Google Gemini, Google LLC, USA). Diese Funktion ist standardmäßig deaktiviert und wird erst aktiv, wenn du sie explizit einschaltest:
• Separate Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO: Du bestätigst vor der ersten Nutzung einen eigenen, versionierten Einwilligungstext, der den konkreten Anbieter, die verarbeiteten Datenarten und die Drittland-Übermittlung benennt.
• BYO-Key-Modell: Du hinterlegst deinen eigenen API-Schlüssel des Anbieters. bloodly ist nicht Vertragspartner des Anbieters; der Nutzungsvertrag besteht direkt zwischen dir und dem Anbieter.
• Übermittelte Daten: Beim Erzeugen einer Zusammenfassung werden die für die Analyse benötigten Blutwerte, Referenzbereiche, Einheiten, Trend-Informationen, Supplement-/Medikations-Historie und Zeitstempel an den Anbieter gesendet. Es werden keine identifizierenden Stammdaten (Name, E-Mail-Adresse, Benutzername) mit übertragen.
• Drittland-Übermittlung: Die Datenverarbeitung beim Anbieter kann einen Transfer in die USA beinhalten und unterliegt den Bedingungen des Anbieters. Die Rechtsgrundlage ist deine ausdrückliche Einwilligung.
• Widerruf jederzeit: In deinem Profil unter „Automatische Zusammenfassungen" kannst du den Zugang widerrufen, den API-Schlüssel löschen und optional bestehende Zusammenfassungen mit löschen.
Solange du diese Funktion nicht aktivierst, bleibt § 5 uneingeschränkt gültig: keine Übermittlung an externe Dienste.
Alle Daten werden auf Servern in Deutschland gespeichert. Folgende Sicherheitsmaßnahmen sind implementiert:
• SSL/TLS-Verschlüsselung aller Verbindungen
• Bcrypt-Hashing aller Passwörter mit individuellen Salts
• Rate-Limiting auf Login und sensible Endpunkte
• Fail2ban-Schutz gegen automatisierte Angriffe
• Vollständiges Audit-Logging aller sicherheitsrelevanten Aktionen
• Regelmäßige Datenbank-Backups
Deine Daten werden gespeichert, solange dein Benutzerkonto besteht. Bei Löschung des Kontos werden alle personenbezogenen Daten einschließlich aller Blutwerte, Analysen und Supplement-Einträge unwiderruflich gelöscht.
Audit-Log-Einträge werden für bis zu 12 Monate aufbewahrt und anschließend automatisch gelöscht.
Falls dir ein Coach zugewiesen ist, kann dieser folgende Daten einsehen: Blutwerte, Analysen, Supplement-Einnahmen und deren Verläufe. Der Coach hat keinen Zugriff auf dein Passwort, deine E-Mail-Adresse oder dein Audit-Log.
Du hast gemäß DSGVO jederzeit folgende Rechte:
Auskunft (Art. 15): Du kannst Auskunft über deine gespeicherten Daten verlangen.
Berichtigung (Art. 16): Du kannst die Korrektur unrichtiger Daten verlangen.
Löschung (Art. 17): Du kannst die Löschung deiner Daten und deines Kontos verlangen.
Einschränkung (Art. 18): Du kannst die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20): Du kannst deine Daten in maschinenlesbarem Format (CSV, PDF) exportieren.
Widerruf der Einwilligung (Art. 7 Abs. 3): Du kannst deine Einwilligung zur Verarbeitung der Gesundheitsdaten jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Zur Ausübung deiner Rechte wende dich an: kontakt@bloodly.de
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren.
bloodly versendet E-Mails ausschließlich zweckgebunden für folgende Funktionen:
• Passwort-Reset: Auf deine Anforderung hin erhältst du einen einmaligen Reset-Link an deine registrierte E-Mail-Adresse.
• Coach-Benachrichtigungen: Ist dir ein Coach zugewiesen, erhält dieser Benachrichtigungen bei Ereignissen zu deinem Konto (neue Importe, auffällige Werte, Supplement-Starts und -Enden, Tags). Diese dienen der Betreuungsarbeit.
• Tägliche Zusammenfassung (nur Coach, optional): Coaches können in ihren Konto-Einstellungen eine tägliche gebündelte Übersicht aktivieren oder deaktivieren.
• Kontaktformular: Wenn du das Kontaktformular auf bloodly.de nutzt, erhältst du eine Bestätigungs-E-Mail an die angegebene Adresse; die Anfrage selbst geht an die Support-Adresse.
Es werden keine Newsletter, Marketing-E-Mails oder sonstige nicht-funktionale E-Mails versendet.
bloodly verwendet ein technisch notwendiges Session-Cookie für die Authentifizierung sowie localStorage im Browser für die Theme-Einstellung (Dark/Light Mode). Es werden keine Tracking-Cookies, Analyse-Tools oder Drittanbieter-Scripte eingesetzt.