Verantwortlicher im Sinne der DSGVO ist:
Fastic GmbH Pappelallee 78/79 10437 Berlin Deutschland
E-Mail: datenschutz@fastic.com Postanschrift Datenschutz: Fastic GmbH, Der Datenschutzbeauftragte, Pappelallee 78/79, 10437 Berlin
Pflichtangaben nach § 5 DDG (Impressum) sind in der FasticApp dauerhaft im Menü „Einstellungen → Rechtliches" sowie auf www.fastic.com unter /impressum abrufbar.
Datenschutzbeauftragter:
ePrivacy GmbH Burchardstraße 14, 20095 Hamburg vertreten durch Prof. Dr. Christoph Bauer und Stefanie Bauer
Bei Fragen zur Verarbeitung personenbezogener Daten, Auskunftsersuchen, Berichtigung, Löschung oder zum Widerruf von Einwilligungen können Sie sich jederzeit per E-Mail an datenschutz@fastic.com oder postalisch an die oben genannte Adresse wenden.
Diese Datenschutzerklärung gilt für die folgenden Angebote der Fastic GmbH:
Soweit eine bestimmte Verarbeitung ausschließlich für eines dieser Angebote stattfindet, ist dies in den jeweiligen Abschnitten kenntlich gemacht.
Für den Online-Präventionskurs unter kurs.fastic.com gilt eine eigene Datenschutzerklärung, die auf der jeweiligen Webseite einsehbar ist.
Beim Aufruf unserer Webseiten www.fastic.com und web.fastic.com sowie bei der Nutzung der FasticApp werden automatisch folgende Zugriffsdaten erfasst:
Zweck: Sicherstellung des Betriebs, Fehleranalyse, Abwehr von Angriffen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionierenden Dienst). Bei sicherheitsrelevanten Vorfällen kann eine Auswertung mit Personenbezug erfolgen. Speicherdauer: Logfiles werden in der Regel innerhalb von bis zu 30 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Ereignisse eine längere Speicherung erfordern.
Creator-Anfragen (www.fastic.com/de/creator): Name, E-Mail, Creator-Plattform, Benutzername, Reichweite, Nachricht. Die Daten werden an unser eigenes Backend (Firebase Cloud Functions, Region europe-west1) übermittelt und zur Bearbeitung Ihrer Anfrage verwendet. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO.
E-Mail-Anfragen: Daten zur Beantwortung Ihrer Anfrage, ggf. Verknüpfung mit Kundenkonto. Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO; bei vertraglichen Anfragen Art. 6 Abs. 1 lit. b DSGVO. Zur Bearbeitung nutzen wir die Dienste von Google Workspace und Freshdesk (Customer-Support-System).
Die FasticApp und unsere Webseiten werden überwiegend auf Cloud-Infrastruktur in der Europäischen Union betrieben. Eingesetzt werden:
Sofern Daten in die USA übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln und ggf. ergänzender technischer Maßnahmen (Verschlüsselung). Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO sowie für Vertragsleistungen Art. 6 Abs. 1 lit. b DSGVO.
Beim ersten Start der FasticApp durchlaufen Sie einen Onboarding-Fragebogen. Dieser dient dazu,
Erhoben werden u.a.:
Rechtsgrundlage:
Nach Abschluss des Fragebogens wird ein anonymes Kundenprofil angelegt, damit Sie die kostenlosen Grundfunktionen sofort nutzen können. Dieses Profil enthält ausschließlich die von Ihnen im Onboarding gemachten Angaben sowie eine technische Geräte-Kennung; eine Identifizierung Ihrer Person ist darüber nicht möglich. Sie können das anonyme Profil jederzeit verwerfen, indem Sie die App deinstallieren.
Sie können das automatisch erstellte Profil über folgende Wege dauerhaft registrieren. In allen Fällen verarbeiten wir die Daten zur Bereitstellung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).
a) Registrierung per E-Mail
Sie erhalten eine Bestätigungs-E-Mail mit einem Magic-Link (Firebase Auth
signInWithEmailLink). Nach Klick auf den Link wird ein Authentifizierungs-Token
serverseitig gespeichert; ein Passwort wird nicht abgefragt.
Verarbeitete Daten: E-Mail-Adresse, Token-Metadaten, Zeitstempel.
b) Registrierung über Google-Login Sie melden sich mit Ihrem bestehenden Google-Konto an. Google übermittelt uns:
c) Registrierung über Apple Sign In Sie melden sich mit Ihrer Apple ID an. Apple übermittelt uns:
d) Registrierung über Facebook-Login Sie melden sich mit Ihrem Facebook-Konto an. Meta übermittelt uns:
e) Registrierung über Telefonnummer Sie geben Ihre Telefonnummer ein und erhalten per SMS eine Einmal-PIN (OTP) über Firebase Authentication. Verarbeitete Daten: Telefonnummer, SMS-Versand- Metadaten, Verifikationszeitpunkt.
Für alle Login-Verfahren werden die Daten in der EU-Firebase-Authentication- Instanz gespeichert.
Während der Nutzung speichern wir:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung des Nutzungsvertrags (kostenfreie und kostenpflichtige Funktionen) und Art. 6 Abs. 1 lit. f DSGVO für die Verbesserung der Nutzerfreundlichkeit. Für die Verarbeitung Ihrer Mahlzeitenfotos und Sprachaufnahmen siehe Abschnitt V (KI-Funktionen).
Bei aktiver Fastenphase können wir auf Ihrem Sperrbildschirm den verbleibenden Fortschritt anzeigen (iOS Live Activities, Android-Benachrichtigungen). Diese Anzeige ist standardmäßig nur aktiv, wenn Sie eine Fastenphase gestartet haben, und kann in den Geräteeinstellungen deaktiviert werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Die FasticApp kann auf Ihren ausdrücklichen Wunsch Gesundheits- und Fitnessdaten von externen Plattformen importieren und an diese zurückschreiben. Eine Verbindung wird erst nach Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) und der jeweiligen Systemberechtigung hergestellt.
Alle Gesundheits- und Fitnessdaten werden über den Dienst Vital (Tryvital, Inc., USA; EU-Datenresidenz aktiv) als einheitliche Integrationsschicht verarbeitet. Vital handelt dabei als unser Auftragsverarbeiter (AVV geschlossen, Standardvertragsklauseln für USA-Transfer). Über Vital können folgende Quellen verbunden werden:
Schlaf-, Gewichts-, Schritt-, Hydrations-, Kalorienverbrauchs- und Workout-Daten.
Rechtsgrundlage: ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Sie können die Verbindung jederzeit in den App-Einstellungen oder im jeweiligen Quell-System trennen. Eine Trennung wirkt nur für die Zukunft.
Die Webseite web.fastic.com dient als eigenständige Onboarding- und Abonnement-Plattform. Nutzer gelangen typischerweise über Online-Marketing direkt auf web.fastic.com und durchlaufen dort — unabhängig von der App — einen vollständigen Onboarding-Prozess bis zum Abonnement-Abschluss. Der Download der FasticApp wird erst nach dem Kauf empfohlen.
Der Onboarding-Fragebogen auf web.fastic.com entspricht inhaltlich dem in Abschnitt III.1 beschriebenen App-Fragebogen. Erhoben werden dieselben Datenkategorien — einschließlich besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO (Erkrankungen, Allergien, Unverträglichkeiten, Schwangerschaft) — und es gelten dieselben Rechtsgrundlagen wie dort beschrieben. Den Widerruf Ihrer Einwilligung können Sie auf web.fastic.com durch Löschen der entsprechenden Angaben in Ihrem Profil oder durch Löschen Ihres Kontos erklären.
Die im Fragebogen erhobenen Daten werden laufend — d.h. bereits während des Ausfüllens — in Firebase (Firestore, Region europe-west1) unter einer anonymen Nutzer-ID gespeichert. Diese anonyme Nutzer-ID wird im lokalen Browser-Speicher (IndexedDB) abgelegt und bleibt auch nach dem Schließen des Browsers erhalten, bis Sie den Browser-Speicher aktiv löschen. Nach einer Registrierung werden die Fragebogenantworten mit dem dauerhaften Kundenkonto verknüpft. Ohne Registrierung bleibt das Profil anonym und enthält ausschließlich die Fragebogenantworten sowie die technische Nutzer-ID. Sie können es durch Löschen der Browser-Daten für web.fastic.com jederzeit entfernen. Anonyme Profile, die nicht innerhalb von 30 Tagen in ein registriertes Kundenkonto überführt werden, werden automatisch gelöscht.
Die Anmeldung auf web.fastic.com erfolgt ausschließlich über einen per
E-Mail zugesandten Magic-Link (Firebase Authentication signInWithEmailLink)
oder über einen Einmal-Code (Custom Token). Verarbeitete Daten:
E-Mail-Adresse, Authentifizierungs-Token, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Auf web.fastic.com können Abonnements gebucht sowie bestehende Abonnements verwaltet werden (Verlängerung, Kündigung, Mahnwesen). Die verarbeiteten Daten und eingesetzten Zahlungsdienstleister entsprechen Abschnitt VI. Zusätzlich wird Statsig (siehe Abschnitt VIII.2) zur dynamischen Auswahl des Stripe-Kontos eingesetzt.
Im eingeloggten Bereich von web.fastic.com (Profil → Einstellungen) können Sie Ihre Einwilligung für E-Mail- und SMS-Marketing verwalten sowie SMS-Benachrichtigungen abbestellen. Verarbeitete Daten: E-Mail-Adresse bzw. Telefonnummer, gewählte Präferenz, Zeitstempel der Änderung. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 7 UWG (Nachweispflicht für Abbestellung).
Die FasticApp bietet KI-gestützte Funktionen wie die automatische Erkennung von Mahlzeiten aus Fotos, Sprachaufnahmen und Texteingaben. Hierfür übermitteln wir Eingabedaten an externe KI-Anbieter, die als unsere Auftragsverarbeiter handeln:
Übermittelte Daten je nach Funktion: Mahlzeitenfoto, Sprachaufnahme bzw. deren Transkript (Spracherkennung läuft auf dem Gerät), Mahlzeitenbeschreibung, Zutaten, Kontextinformationen aus Ihrem Profil (z.B. Alter, Geschlecht, Gewicht, Ziel) zur Verbesserung der Erkennung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der gebuchten Funktion) sowie Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Soweit Gesundheitskontext mitübermittelt wird, beruht die Verarbeitung auf Art. 9 Abs. 2 lit. a DSGVO.
Für die Buchung eines kostenpflichtigen Abonnements verarbeiten wir je nach Zahlungsweg:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Je nach von Ihnen gewählter Zahlungsmethode werden Ihre Zahlungsdaten direkt an den Zahlungsdienstleister bzw. App-Store übermittelt:
Apple- und Google-Quittungen werden zur Verifikation an die Apple App Store Server API bzw. Google Play Developer API gesendet.
Für nach § 20 SGB V förderfähige Präventionskurse bieten wir die Möglichkeit, einen Erstattungsantrag bei Ihrer gesetzlichen Krankenversicherung durchzuführen. Hierzu verarbeiten wir:
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten) sowie Art. 6 Abs. 1 lit. f DSGVO (Forderungsdurchsetzung).
Cookies sind kleine Textdateien, die beim Besuch einer Webseite oder bei der Nutzung einer App auf Ihrem Gerät gespeichert werden. Ähnliche Technologien wie Local Storage, Session Storage und IndexedDB erfüllen vergleichbare Funktionen. Wir verwenden diese Technologien für folgende Zwecke:
Sie können Cookies und lokale Speicherdaten jederzeit in den Einstellungen Ihres Browsers löschen. Bitte beachten Sie, dass das Löschen technisch notwendiger Cookies die Funktionsfähigkeit unserer Angebote beeinträchtigen kann.
Bevor wir die in diesem Abschnitt VIII beschriebenen einwilligungspflichtigen Verarbeitungen durchführen, holen wir Ihre Einwilligung über unsere Einwilligungs- und Präferenzcenter ein.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 25 Abs. 1 TDDDG (Speicherung von oder Zugriff auf Informationen auf Endgeräten).
Die konkrete Ausgestaltung unterscheidet sich je nach Angebot:
In der FasticApp nutzen wir die Google User Messaging Platform (UMP)
der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland.
Diese ist Teil unseres Werbe-Stacks (google_mobile_ads-SDK) und
entspricht dem IAB Europe Transparency & Consent Framework (TCF)
Version 2.2.
Das TCF ist ein branchenweiter Standard des Interactive Advertising Bureau (IAB) Europe, mit dem Werbe- und Analyse-Dienstleister einheitlich ihre Verarbeitungszwecke und Rechtsgrundlagen erklären. Die Liste der teilnehmenden Anbieter ist die sogenannte Global Vendor List (GVL), die vom IAB Europe geführt und regelmäßig aktualisiert wird.
Wenn Sie unsere App in einem Land des Europäischen Wirtschaftsraums oder im Vereinigten Königreich erstmals nutzen oder wenn die GVL aktualisiert wurde, zeigt sich Ihnen automatisch das Einwilligungs-Banner. Dort können Sie pro Verarbeitungszweck (Purpose) und pro Anbieter (Vendor) einzeln entscheiden, ob Sie zustimmen.
Ihre Auswahl wird in einem standardisierten TCF-String auf Ihrem Gerät gespeichert und von allen teilnehmenden Anbietern automatisch ausgelesen, sodass diese Ihre Wahl respektieren.
Im Banner werden Ihnen pro Verarbeitungszweck mehrere hundert Anbieter angezeigt (Stand 2026: rund 1.000 Anbieter in der GVL insgesamt). Diese Liste umfasst alle vom IAB Europe registrierten Anbieter, die theoretisch über unsere Werbe-Mediation an einer Anzeige-Auktion teilnehmen könnten. Die Tatsache, dass ein Anbieter in der Liste auftaucht, bedeutet nicht, dass dieser Anbieter Daten von Ihnen erhält. Eine Datenübermittlung erfolgt nur, wenn (1) Sie zugestimmt haben und (2) der Anbieter tatsächlich an einer für Sie ausgespielten Anzeige beteiligt ist. Die in der Praxis relevanten direkten Empfänger sind die im Folgenden namentlich genannten Dienste (Abschnitte VIII.2 bis VIII.6).
Das TCF v2.2 unterscheidet die folgenden standardisierten Zwecke:
| Nr. | Zweck | Typische Rechtsgrundlage laut Anbieter | |---|---|---| | 1 | Informationen auf einem Gerät speichern oder darauf zugreifen | Einwilligung | | 2 | Begrenzte Daten zur Auswahl von Werbung verwenden | Einwilligung oder berechtigtes Interesse | | 3 | Profile zur personalisierten Werbung erstellen | Einwilligung | | 4 | Profile zur Auswahl personalisierter Werbung verwenden | Einwilligung | | 5 | Profile zur Auswahl personalisierter Inhalte erstellen | Einwilligung | | 6 | Profile zur Auswahl personalisierter Inhalte verwenden | Einwilligung | | 7 | Werbeleistung messen | Einwilligung oder berechtigtes Interesse | | 8 | Inhaltsleistung messen | Einwilligung oder berechtigtes Interesse | | 9 | Marktforschung anwenden, um Erkenntnisse über Zielgruppen zu gewinnen | Einwilligung oder berechtigtes Interesse | | 10 | Produkte entwickeln und verbessern | Einwilligung oder berechtigtes Interesse | | 11 | Begrenzte Daten zur Auswahl von Inhalten verwenden | Einwilligung oder berechtigtes Interesse |
Zusätzlich existieren sogenannte Special Purposes (Sicherheit, technische Bereitstellung), für die nach dem TCF keine Einwilligung erforderlich ist.
Sie werden im Banner feststellen, dass Anbieter bei manchen Zwecken „Berechtigtes Interesse" als Rechtsgrundlage angeben (Art. 6 Abs. 1 lit. f DSGVO). Die Wahl dieser Rechtsgrundlage wird vom jeweiligen Anbieter selbst in der GVL deklariert. Sie haben dennoch jederzeit das Recht, einer auf berechtigtes Interesse gestützten Verarbeitung zu widersprechen, indem Sie den entsprechenden Schalter im Banner deaktivieren.
Wir geben Ihre Daten nicht weiter, wenn Sie widersprechen — unabhängig davon, welche Rechtsgrundlage der Anbieter angegeben hat.
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder Ihre Auswahl anpassen, indem Sie in der App folgenden Pfad aufrufen:
Profil → Einstellungen → Datenschutz → Dateneinstellungen
Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Nutzer mit aktivem Plus-Abonnement sehen das Einwilligungs-Banner für werbliche Zwecke nicht, da innerhalb des Plus-Abos keine personalisierte Werbung ausgespielt und kein werbliches Profil angelegt wird. Pflicht-Verarbeitungen zur Erbringung der gebuchten Dienste (Abschnitte III bis VII) bleiben hiervon unberührt.
Wir dokumentieren den Zeitpunkt Ihrer Einwilligung sowie deren Inhalt, um im Rahmen unserer Rechenschaftspflicht (Art. 7 Abs. 1 DSGVO) Ihre Einwilligung nachweisen zu können. Die hierfür gespeicherten Daten werden für die Dauer der Einwilligung sowie bis zu drei Jahre nach Widerruf oder letzter Aktualisierung aufbewahrt.
Beim erstmaligen Aufruf von www.fastic.com erhalten Sie einen Hinweis auf die von uns eingesetzten einwilligungspflichtigen Dienste mit der Möglichkeit, diese pauschal zu akzeptieren oder abzulehnen. Lehnen Sie ab, werden die einwilligungspflichtigen Dienste — insbesondere Google Analytics 4, Meta Pixel sowie das AppsFlyer Smart App-Banner — nicht geladen.
Ihre Auswahl wird lokal in Ihrem Browser (Local Storage) gespeichert. Sie können Ihre Auswahl jederzeit anpassen, indem Sie die lokal gespeicherten Webseiten-Daten in Ihren Browser-Einstellungen löschen; der Hinweis erscheint dann beim nächsten Besuch erneut.
Ausnahme — First-Party-Reichweitenmessung: Unabhängig von Ihrer Einwilligung erfasst unser Hosting-Anbieter Vercel im Rahmen einer First-Party-Reichweitenmessung („Vercel Analytics") aggregierte Webseiten-Aufrufe ohne nutzerübergreifendes Profiling. Diese Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherstellung und Optimierung des Webseiten-Betriebs (Art. 6 Abs. 1 lit. f DSGVO).
Beim erstmaligen Aufruf von web.fastic.com erhalten Sie einen Hinweis auf die von uns eingesetzten einwilligungspflichtigen Dienste mit der Möglichkeit, diese pauschal zu akzeptieren oder abzulehnen. Lehnen Sie ab, werden die einwilligungspflichtigen Dienste — insbesondere Google Analytics 4, Meta Pixel, TikTok-Pixel sowie Hotjar — nicht geladen.
Ihre Auswahl wird lokal in Ihrem Browser (Local Storage) gespeichert. Sie können Ihre Auswahl jederzeit anpassen, indem Sie die lokal gespeicherten Webseiten-Daten in Ihren Browser-Einstellungen löschen; der Hinweis erscheint dann beim nächsten Besuch erneut.
Bei den in den nachfolgenden Abschnitten 2 bis 6 genannten Diensten holen wir, soweit gesetzlich erforderlich, Ihre Einwilligung über die in Abschnitt VIII.1 beschriebenen Mechanismen ein. Soweit ein Dienst auf Grundlage Ihrer Einwilligung Daten verarbeitet und Sie nicht zugestimmt haben, übermitteln wir keine Daten an diesen Dienst. Die nachfolgend genannten Dienste stellen die tatsächlich von uns aktiv genutzte Untermenge der TCF-Anbieter sowie weitere ausschließlich für die Webseite eingesetzte Dienste dar.
| Dienst | Plattform | Anbieter / Sitz | Verarbeitete Daten | Speicherdauer | |---|---|---|---|---| | Firebase Analytics / Google Analytics for Firebase | App | Google Ireland Ltd. (EU); ggf. USA via SCC | Pseudonyme Nutzer-ID, Ereignisse, Screen-Views, IP (gekürzt), Geräteinfos, App-Version, Sprache, Land | bis zu 14 Monate | | Google Analytics 4 | Webseite (www + web) | Google Ireland Ltd. (EU); ggf. USA via SCC | Pseudonyme Client-ID, Seitenaufrufe, Verweildauer, Referrer, IP (gekürzt), Geräte- und Browser-Informationen, ungefähre Geolokalisation | bis zu 14 Monate | | Firebase Performance | App | Google Ireland Ltd. | Trace-Daten, Netzwerklatenzen, App-Start-Zeiten | siehe Firebase Analytics | | Firebase Crashlytics | App | Google Ireland Ltd. | Crash-Stacktraces, pseudonyme Nutzer-ID, Gerätemodell, OS-Version, Breadcrumbs | 90 Tage | | Firebase Remote Config / A/B-Testing | App | Google Ireland Ltd. | Experiment-Buckets, Feature-Flag-Zustände | bis Beendigung des Experiments | | Amplitude | App + Webseite (web.fastic.com) | Amplitude, Inc. (USA, EU-U.S. Data Privacy Framework; ergänzend SCC) | Pseudonyme Nutzer-ID, Ereignisse, Nutzer-Eigenschaften | bis zu 24 Monate | | Vercel Analytics | Webseite (www + web) | Vercel Inc. (USA, SCC) | Aggregierte Seitenaufrufe, ungefähre Geolokalisation, Referrer; keine nutzerübergreifende Profilbildung | bis zu 30 Tage | | Statsig | Webseite (web.fastic.com) | Statsig, Inc. (USA, SCC) | Pseudonyme Nutzer-ID, Experiment-Buckets, Feature-Flag-Zustände, Seitenaufrufe | bis Beendigung des Experiments | | Sentry | Webseite (web.fastic.com) | Functional Software, Inc. d/b/a Sentry (USA, SCC) | Fehler-Stacktraces, pseudonyme Sitzungs-ID, Browser- und OS-Version, URL zum Zeitpunkt des Fehlers | 90 Tage |
| Dienst | Plattform | Anbieter / Sitz | Verarbeitete Daten | Speicherdauer | |---|---|---|---|---| | UXCam | App | UXCam, Inc. (USA, SCC) | Pseudonymisierte Aufzeichnung von Bildschirminteraktionen (Tap-Heatmaps, Navigationspfade). Sensible Felder (Passwörter, Zahlungsdaten, freie Notizen) werden vor Aufzeichnung maskiert. Aufzeichnungen erfolgen nur innerhalb der ersten 12 Tage nach dem Onboarding (Datenminimierung). | 30 Tage | | Hotjar | Webseite (web.fastic.com) | Hotjar Ltd. (Malta / EU) | Pseudonymisierte Aufzeichnung von Mausbewegungen, Klicks und Scroll-Verhalten (Heatmaps, Session-Recordings). Sensible Felder (Zahlungsdaten, Passwörter) werden vor Aufzeichnung maskiert. | 90 Tage | | Amplitude Session Replay | Webseite (web.fastic.com) | Amplitude, Inc. (USA, EU-U.S. Data Privacy Framework; ergänzend SCC) | Pseudonymisierte Aufzeichnung von Browser-Interaktionen (Klicks, Scroll-Verhalten, Navigationsfluss) zur Analyse des Onboarding-Funnels. Sensible Eingabefelder werden vor Aufzeichnung maskiert. | 90 Tage |
| Dienst | Plattform | Anbieter / Sitz | Verarbeitete Daten | Speicherdauer | |---|---|---|---|---| | AppsFlyer (App-SDK) | App | AppsFlyer Ltd. (Israel, Angemessenheitsbeschluss) | IDFA (iOS) / GAID (Android) bei Einwilligung, AppsFlyer-ID, Install-Referrer, Werbe-Klick-/Conversion-Events, Deeplink-Parameter | bis zu 24 Monate | | AppsFlyer Smart App-Banner (Web-SDK) | Webseite | AppsFlyer Ltd. (Israel, Angemessenheitsbeschluss) | Pseudonyme Web-Besucher-ID, Referrer, Klick-Parameter (utm_, fbclid, gclid, af_sub), Browser- und Geräteinformationen; Verknüpfung mit anschließendem App-Install zur Marketing-Attribution | bis zu 24 Monate | | Appstack | App | Appstack Inc. (USA, SCC) | Apple-Search-Ads-Attributionsdaten, pseudonyme Geräte-ID | bis zu 24 Monate | | Apple SKAdNetwork / AdAttributionKit | App | Apple Distribution International Ltd. | Anonymisierte Install-Postbacks (kein direkter Personenbezug) | siehe Apple |
| Dienst | Plattform | Anbieter / Sitz | Verarbeitete Daten | |---|---|---|---| | Meta Pixel | App + Webseite (alle) | Meta Platforms Ireland Ltd. (EU) / Meta Platforms Inc. (USA, SCC) | Tracking-ID, IP, Geräte- und Browser-Informationen, Ereignisse (Page-View, Lead, Abschluss-Conversion), E-Mail-Adresse bei bestimmten Conversion-Events; ggf. Verknüpfung mit bestehendem Meta-Profil oder „Schattenprofil" | | MoEngage | App | MoEngage, Inc. (USA, SCC; Datenresidenz EU verfügbar) | Pseudonyme Nutzer-ID, E-Mail, Push-Token, IDFA-Status, Abonnement-Status, Onboarding-Fortschritt, Fastenaktivität (gestartet/abgeschlossen), App-Level, Gewichtsziel-Fortschritt, A/B-Experiment-Zuordnungen — zur Steuerung personalisierter In-App- und E-Mail-Kommunikation | | Google Ads / DoubleClick | App + Webseite (alle) | Google Ireland Ltd. | Conversion-Tracking, Remarketing-Daten | | TikTok Pixel | Webseite (web.fastic.com) | TikTok Technology Limited (Irland) / TikTok Inc. (USA, SCC) | Pseudonyme Nutzer-ID, IP, Geräte- und Browser-Informationen, Ereignisse (Page-View, Conversion), ggf. gehashte E-Mail | | TikTok Embed (eingebettete Videos) | Webseite (www.fastic.com) | TikTok Technology Limited (Irland) / TikTok Inc. (USA, SCC) | Beim Laden eingebetteter TikTok-Videos: IP-Adresse, Geräte- und Browser-Informationen |
Sofern Sie kein aktives Abonnement haben, werden Anzeigen über folgende Netzwerke ausgespielt. Nicht-personalisierte Werbung (ohne Nutzung von Geräte-Identifiern) wird auf Basis unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) gezeigt. Personalisierte Werbung — d. h. die Nutzung von IDFA (iOS) oder Werbe-ID (Android) für verhaltensbasiertes Targeting — erfolgt nur, wenn Sie hierzu Ihre Einwilligung erteilt haben:
AppLovin MAX und Google AdMob führen für jede Anzeigen-Impression eine Echtzeit-Auktion („Header Bidding") durch, an der die in unserem CMP gelisteten TCF-Anbieter teilnehmen können. Die Teilnahme der einzelnen Anbieter erfolgt nur, soweit Sie über das CMP zugestimmt haben. Die direkten Mediations-Adapter, die wir in unserer Konfiguration aktiviert haben, umfassen typischerweise: Meta Audience Network, Google Ad Manager, Google Ads, InMobi, ironSource, BidMachine, Fyber, Unity Ads.
Jeder dieser Partner verarbeitet bei ausgespielter Anzeige Geräte-Identifier (IDFA/GAID, sofern eingewilligt), IP-Adresse, ungefähren Standort und Werbe-Interaktionen.
Eine vollständige aktuelle Liste der Werbe-Partner ist im CMP („Dateneinstellungen") einsehbar.
Auf iOS wird Ihnen vor erstmaliger Werbeauslieferung der von Apple vorgegebene App-Tracking-Transparency-(ATT-)Dialog angezeigt. Erteilen Sie keine Erlaubnis, wird die IDFA nicht zur Anzeigen-Personalisierung verwendet; Conversion-Messung erfolgt dann ausschließlich anonymisiert über Apple SKAdNetwork / AdAttributionKit. Auf Android können Sie Ihre Werbe-ID jederzeit in den Google-System-Einstellungen zurücksetzen oder deaktivieren.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO für transaktionsbezogene Kommunikation; Art. 6 Abs. 1 lit. a DSGVO für werbliche Kommunikation (Newsletter, Marketing-SMS); Widerruf jederzeit möglich.
Wenn Sie die FasticApp über einen unserer Partner buchen, übermitteln wir mit Ihrer Einwilligung Berechtigungs- und Nutzungsstatusdaten an:
Für Wellhub werden von uns folgende vom Partner bereitgestellten Daten verarbeitet: Partner-Nutzer-ID, E-Mail-Adresse, Vor- und Nachname, Herkunftsland, Berechtigungsstatus. Für die übrigen Partner: pseudonyme Partner-Nutzer-ID, Berechtigungsstatus.
Soweit Daten in Länder außerhalb der EU/des EWR ohne Angemessenheitsbeschluss übermittelt werden (insbesondere USA), schließen wir mit den jeweiligen Empfängern die EU-Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 ab und ergänzen diese — soweit erforderlich — durch zusätzliche technische Maßnahmen (Verschlüsselung, Pseudonymisierung).
Eine Kopie der jeweiligen Garantien können Sie beim Verantwortlichen anfordern (Kontaktdaten siehe Abschnitt I).
Wir verarbeiten Ihre personenbezogenen Daten nur, solange dies zur Erreichung der genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen (insbesondere § 257 HGB, § 147 AO — 6 bis 10 Jahre).
Konkret gelten unter anderem folgende Fristen:
Sie können Ihr Konto jederzeit in der App unter „Einstellungen → Konto → Konto löschen" oder auf web.fastic.com unter „Profil → Konto löschen" löschen. Die Löschung erfolgt serverseitig und umfasst Ihre in unseren Systemen gespeicherten personenbezogenen Daten. Soweit Drittdienstleister im Rahmen unserer Verarbeitung eigenständige Datenkopien führen (z.B. Zahlungsdienstleister, CRM-Anbieter), erfolgt die Löschung dort nach den jeweiligen Aufbewahrungsfristen dieser Dienstleister bzw. auf Ihre gesonderte Anforderung. Gesetzliche Aufbewahrungspflichten (insbesondere Rechnungs- und Steuerdaten, 6–10 Jahre) bleiben unberührt.
Ihnen stehen folgende Rechte gegenüber uns zu:
Eine Auskunft über die zu Ihrer Person gespeicherten Daten erhalten Sie nach Anfrage an datenschutz@fastic.com als verschlüsselte ZIP-Datei (siehe auch in-App-Funktion „Meine Daten exportieren").
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund einer Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. In diesem Fall verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten von Ihnen überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Gegen die Verarbeitung Ihrer personenbezogenen Daten zu Zwecken der Direktwerbung haben Sie jederzeit das Recht, Widerspruch mit der Folge einzulegen, dass die Daten nicht mehr für diese Zwecke verarbeitet werden.
Stand: 12.06.2026