Luna.

Privacy Policy · Version 2026-06-22

🔐 Luna Datenschutzerklärung
Stand: Juni 2026

📋 VERANTWORTLICHER
icoso Consulting SL („Luna FemTech“)
Vertreten durch: Daniel Osorio Fernandez
Calle Juan de Herrera 18, 4. und 5. Etage
ES-39002 Santander (Cantabria), Spanien (EU)
Kontakt Datenschutz: privacy@icoso.es

🎯 KURZ UND EHRLICH
Luna verschlüsselt deine Gesundheitsdaten auf deinem Gerät (AES-256), bevor sie unsere Server erreichen — bei uns landet nur unlesbarer Code. Im Standard-Modus ist eine Passwort-Wiederherstellung möglich (der Schlüssel ist serverseitig gesichert); nur im Max-Privacy-Modus hat ausschließlich dein Recovery-Key Zugriff.

🔒 VERSCHLÜSSELUNG (KEK/DEK)
• Alle Gesundheitsdaten (Zyklus, Symptome, Stimmungen, BBT, Journal) sind mit einem zufälligen Datenschlüssel (DEK) AES-256 verschlüsselt
• Der DEK wird mit deinem Passwort geschützt (KEK)
• Standard-Modus: Passwort-Recovery möglich (DEK serverseitig gesichert)
• Max-Privacy-Modus: Nur du hast den Schlüssel (Recovery-Key) — kein serverseitiges Recovery

📊 WELCHE DATEN WIR VERARBEITEN
Verschlüsselt gespeichert:
• Name, Avatar, Profildaten
• Zyklusdaten, Symptome, Stimmungen, BBT
• Tagebuch-Einträge
• Zyklus-Vorhersagen (deterministisch in der App berechnet)

Unverschlüsselt gespeichert:
• E-Mail-Adresse (für Login; Authentifizierung über unseren selbst betriebenen Dienst auf EU-Servern)
• App-Einstellungen (Sprache, Farbschema)
• Operative Metadaten zur Erinnerungs-Logik: Häufigkeiten, Erinnerungs-Zeiten, Medikamenten-Kategorie, Verhütungs-Modus. Werte (Hormonzahlen, Medikamenten-Namen, Notizen) sind verschlüsselt — die operativen Felder bleiben Klartext, da der lokale Scheduler sie zum Auslösen der Reminder lesen muss.

🤖 KI-DIENSTE & EXTERNE APIS
• Claude AI (Anthropic via AWS Bedrock, Region eu-central-1 Frankfurt): Ernährungs- und Lifestyle-Tipps. Daten werden vor dem Senden anonymisiert — keine Namen, IDs oder exakte Daten. Zusätzlich entfernt unser Server vor dem Versand automatisch Identifikatoren, die du selbst in den Chat tippst (E-Mail-Adressen, Telefonnummern, IBAN). Pro Chat-Anfrage protokollieren wir anonymisierte Meta-Daten zur Qualitätssicherung (Sprache, Zyklusphase, Antwort-Länge, ein pseudonymer Hash deiner Kennung) — KEINE Chat-Inhalte, Aufbewahrung max. 180 Tage. Die KI-Textverarbeitung bleibt vollständig in der EU.
• Rezept- und Illustrations-Bilder: gpt-image-1 (OpenAI). Die Bildgenerierung wird in den USA verarbeitet (OpenAI, USA, abgesichert durch EU-Standardvertragsklauseln). Übermittelt wird nur ein englischer Suchbegriff zum Motiv (z. B. salmon bowl) — keine Gesundheitsdaten, keine IDs.
• Barcode-Lookup: Beim Scannen einer Medikamenten-Packung wird die EAN an öffentliche Produkt-Datenbanken (OpenFoodFacts) gesendet, um den Namen vorzuschlagen. Die Anfrage läuft über unser EU-Backend — externe Dienste sehen weder deine Identität noch deine IP. Gecachte EANs in unserer Datenbank enthalten keine Nutzerkennung.
• Orts-Autocomplete: Bei der optionalen Wohnort-Eingabe wird der von dir getippte Ortsname über unser EU-Backend an OpenStreetMap Nominatim gesendet, um Vorschläge anzuzeigen. Der externe Dienst sieht weder deine Identität noch deine IP; gespeichert wird der Ort nur in deinem (verschlüsselten) Profil.
• E-Mail-Versand: Anmelde- und Bestätigungs-Mails werden über Scaleway Transactional Email (Paris, EU) versendet. Übermittelt wird deine E-Mail-Adresse; die Verarbeitung bleibt in der EU.
• Fehlerdiagnose: Absturz- und Fehlerberichte werden über Sentry (EU-Region) erfasst, um Stabilität und Sicherheit zu gewährleisten. Personenbezogene Inhalte werden vor dem Senden automatisch entfernt (gescrubbt). Du kannst Crash-Reports jederzeit in den Einstellungen (Privatsphäre) abschalten — die Änderung greift ab dem nächsten App-Start.
• Abo-Verwaltung: Käufe und Abonnements werden über RevenueCat verwaltet (USA, abgesichert durch EU-Standardvertragsklauseln). Übermittelt werden nur Abo-Status und eine anonymisierte Nutzer-Kennung (ein sha256-Hash deiner Konto-ID, nicht die ID selbst — keine Verkettung durch RevenueCat möglich) — keine Gesundheitsdaten.

Alle Anfragen laufen über unser EU-Backend — dein Gerät kontaktiert keine externen Dienste direkt. Die KI-Textverarbeitung (Claude) bleibt in der EU.

⚖️ RECHTSGRUNDLAGEN (DSGVO)
• Art. 6(1)(a): Einwilligung — für KI-Coaching und Rezeptvorschläge
• Art. 6(1)(b): Vertragserfüllung — für Zyklustracking und Kernfunktionen
• Art. 6(1)(f): Berechtigtes Interesse — für Absturz- und Fehlerdiagnose (Sentry) sowie für die anonymisierte Qualitätssicherung der KI-Antworten (Meta-Daten ohne Chat-Inhalt, siehe „KI-Dienste“). Du kannst dem jederzeit widersprechen (Art. 21), am einfachsten über den Crash-Report-Schalter in den Einstellungen oder per E-Mail an privacy@icoso.es.
• Art. 9(2)(a): Ausdrückliche Einwilligung — für Gesundheitsdaten (besondere Kategorie)

🌍 INFRASTRUKTUR & DRITTLAND-TRANSFERS
• Backend: Hetzner Cloud (EU)
• Datenbank: von uns selbst betrieben auf Servern der Hetzner Online GmbH (EU)
• Verschlüsselte Backups: Scaleway Object Storage (Paris, EU) - ausschließlich Ciphertext, weder für uns noch für Scaleway im Klartext lesbar
• Deine Gesundheitsdaten bleiben in der EU.

In die USA übermittelt werden ausschließlich:
• Bildgenerierung (OpenAI): nur englische Suchbegriffe — keine Gesundheitsdaten, keine Identität (EU-Standardvertragsklauseln).
• Abo-Verwaltung (RevenueCat): nur Abo-Status und eine anonymisierte Nutzer-Kennung (ein sha256-Hash deiner Konto-ID, nicht die ID selbst — keine Verkettung durch RevenueCat möglich) — keine Gesundheitsdaten (EU-Standardvertragsklauseln).
Apple (App Store) und Google (Play) verarbeiten Zahlungs- und Store-Daten als eigenständige Verantwortliche nach ihren eigenen Datenschutzbestimmungen.

🍎 APPLE HEALTH & GOOGLE HEALTH CONNECT
Mit deiner ausdrücklichen Zustimmung importiert Luna Gesundheitsdaten aus Apple HealthKit bzw. Google Health Connect (z. B. Schlaf, Ruhepuls, Körpertemperatur), um deine Zyklus-Insights zu verbessern.
Diese Daten werden ausschließlich zur Bereitstellung der App-Funktionen genutzt — NICHT für Werbung, sie werden NICHT verkauft und NICHT an Dritte weitergegeben.
Sie werden — wie alle deine Gesundheitsdaten — Ende-zu-Ende verschlüsselt gespeichert. Du kannst den Zugriff jederzeit in den Geräte-Einstellungen widerrufen.

🛡️ BIOMETRISCHE DATEN
• Face ID / Touch ID werden nur lokal auf deinem Gerät verarbeitet
• Wir speichern keine biometrischen Daten
• Das gespeicherte Passwort liegt im iOS Keychain / Android Keystore (Hardware-geschützt)

❌ WAS WIR NICHT TUN
• Keine Werbung, keine Tracker, kein Analytics
• Kein Datenverkauf, keine Datenweitergabe
• Keine Profiling-Algorithmen

✅ DEINE RECHTE (DSGVO)
• Art. 15: Auskunft → Einstellungen > Daten herunterladen
• Art. 16: Berichtigung → Profil jederzeit änderbar
• Art. 17: Löschung → Einstellungen > Account löschen (sofort, unwiderruflich)
• Art. 20: Datenübertragbarkeit → JSON-Export aller Daten
• Art. 21: Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses (Crash-Reports) → Schalter in den Einstellungen oder privacy@icoso.es
• Art. 7(3): Widerruf der Einwilligung → jederzeit möglich
• Art. 77: Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde — z. B. der spanischen AEPD (www.aepd.es) oder der Behörde deines Aufenthaltsorts

🔄 DATENAUFBEWAHRUNG
• Wenn du deinen Account löschst, werden deine Daten sofort aus unseren aktiven Systemen entfernt
• Restkopien in verschlüsselten technischen Backups werden innerhalb von 7 Tagen im Zuge des täglichen Backup-Zyklus gelöscht; sollte ausnahmsweise ein Backup wiederhergestellt werden, entfernt ein protokolliertes Verfahren bereits gelöschte Accounts erneut
• Crash-/Fehlerberichte (Sentry) werden nach der Standard-Aufbewahrung des Anbieters (90 Tage) automatisch gelöscht; bei Account-Löschung werden deine Events aktiv entfernt

📧 Kontakt: privacy@icoso.es

🌙 Made with ❤️ in the EU