Datenschutz

NOA Health

Datenschutzerklärung

Stand: April 2026  –  Version 1.0

NOA Health GmbH  ·  Maybachstraße 18a, 70469 Stuttgart, Germany

Wichtiger Hinweis

NOA ist kein Medizinprodukt. Alle verarbeiteten Daten dienen ausschließlich der Unterstützung eines gesunden Lebensstils. Die Plattform ersetzt keine ärztliche Diagnose oder Behandlung.

1.  Verantwortliche Stelle

Verantwortlich im Sinne der DSGVO für die Verarbeitung personenbezogener Daten im Rahmen der NOA-Plattform ist:

NOA Health GmbH

Maybachstraße 18a, 70469 Stuttgart, Germany

Handelsregister: Amtsgericht Stuttgart, HRB [PLATZHALTER]

E-Mail: info@noa-health.de

Web: noa-health.de

Bei Fragen zum Datenschutz wende dich jederzeit an: info@noa-health.de (Betreff: Datenschutz).

Hinweis: Sobald NOA gesetzlich zur Benennung eines Datenschutzbeauftragten (DSB) verpflichtet ist, wird dieser hier namentlich aufgeführt.

2.  Welche Daten verarbeiten wir?

2.1  Registrierungs- und Kontodaten

Bei der Erstellung eines NOA-Kontos erheben wir folgende Daten:

  • E-Mail-Adresse und Passwort (verschlüsselt)
  • Vorname, Nachname
  • Geburtsdatum (zur Altersverifikation)
  • Wohnsitzland / Sprache

2.2  Gesundheits- und Labordaten

Die folgenden Daten werden nur mit deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verarbeitet:

  • Laborbefunde aus NOA-Blutanalysen (Biomarker-Rohdaten, Referenzbereiche, Trends)
  • Importierte Fremdbefunde (Lab Import – PDF-Upload)
  • Angaben im Gesundheitsfragebogen (Körperdaten, Ernährung, Sport, Schlaf, Stress, Medikamente)
  • Wearable-Daten (Schlaf, HRV, Schritte, Herzfrequenz) – nur bei aktivierter Synchronisation
  • KI-Chatbot-Interaktionen mit Gesundheitsbezug

2.3  Nutzungs- und Gerätedaten

Beim Zugriff auf die Plattform werden technisch erforderliche Daten verarbeitet:

  • IP-Adresse, Gerätetyp, Betriebssystem, Browser
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seiten und Funktionen
  • Absturz- und Fehlerprotokolle (pseudonymisiert)

2.4  Zahlungsdaten

Zahlungsdaten (Kartendetails, SEPA-Daten) werden ausschließlich durch unseren Zahlungsdienstleister Stripe verarbeitet. NOA speichert keine Zahlungskarteninformationen im Klartext.

2.5  Kommunikationsdaten

Wenn du uns kontaktierst (E-Mail, Support-Chat), verarbeiten wir Name, E-Mail-Adresse und den Inhalt deiner Nachricht zur Bearbeitung deines Anliegens.

3.  Zu welchem Zweck und auf welcher Rechtsgrundlage?

Die folgende Tabelle gibt einen Überblick über die wichtigsten Verarbeitungszwecke, die jeweils geltende Rechtsgrundlage und die Speicherdauer:

Verarbeitungszweck

Rechtsgrundlage

Speicherdauer

Kontoerstellung & Vertragserfüllung

Art. 6 Abs. 1 lit. b DSGVO

Vertragslaufzeit + 3 Jahre

Verarbeitung von Gesundheitsdaten (Lab, Wearable, Fragebogen)

Art. 9 Abs. 2 lit. a DSGVO (ausdrückl. Einwilligung)

Bis Widerruf, danach unverzügl. Löschung

Lab Import (PDF-Upload Fremdbefunde)

Art. 9 Abs. 2 lit. a + Art. 6 Abs. 1 lit. b DSGVO

Bis Löschung durch Nutzer / Kündigung

KI-Chatbot (personalisierte Gesundheitsinfos)

Art. 9 Abs. 2 lit. a DSGVO (Einwilligung)

Sitzungsbasiert; kein dauerhafter Chat-Log

Wearable-Integration

Art. 9 Abs. 2 lit. a DSGVO (Einwilligung)

Bis Widerruf der Sync-Verbindung

Zahlungsabwicklung

Art. 6 Abs. 1 lit. b DSGVO

10 Jahre (§ 257 HGB)

Technischer Betrieb & Sicherheit

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

90 Tage (Logs)

Marketing-E-Mails / Push (nur mit Einwilligung)

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Bis Widerruf; danach 30 Tage Löschfrist

Anonymisierte Plattformverbesserung / KI-Training

Art. 6 Abs. 1 lit. f DSGVO + gesonderte Einwilligung für Gesundheitsdaten

Anonymisierte Daten zeitlich unbegrenzt

Supportanfragen

Art. 6 Abs. 1 lit. b/f DSGVO

Abschluss des Anliegens + 3 Jahre

4.  Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Labordaten, Wearable-Gesundheitsdaten und Fragebogenangaben sind Gesundheitsdaten im Sinne von Art. 9 DSGVO. Diese werden ausschließlich auf Grundlage deiner ausdrücklichen, jederzeit widerrufbaren Einwilligung verarbeitet.

Du erteilst für jeden Datentyp eine separate Einwilligung:

  • Labordaten aus NOA-Analysen
  • Lab Import (eigene Fremdbefunde)
  • Wearable-Synchronisation
  • KI-Chatbot (personalisierte Interaktionen)
  • Marketing-Kommunikation

Jede Einwilligung kann separat und jederzeit mit Wirkung für die Zukunft in den App-Einstellungen unter Datenschutz und Einwilligungen widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

5.  Empfänger und Auftragsverarbeiter

NOA gibt deine Daten nur weiter, soweit dies zur Erbringung der Leistung erforderlich oder gesetzlich geboten ist. Alle Dienstleister sind durch Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO gebunden.

Empfänger / Dienstleister

Zweck

Standort / Schutzmaßnahme

Partnerlabore (Eurofins, MediCover, Biosensia, Amedes – in Verhandlung)

Durchführung Blutanalyse

Deutschland / EU – AVV

Stripe Payments Europe Ltd.

Zahlungsabwicklung

Irland; USA: EU-US DPF

AWS Frankfurt (Amazon Web Services EMEA SARL)

Hosting & Cloud-Infrastruktur (Deutschland)

Deutschland – kein Drittlandtransfer

[App-Entwicklungspartner – wird ergänzt]

App-Hosting, Backend

EU – AVV

Brevo (Sendinblue GmbH)

Transaktions-E-Mails, Marketing-E-Mails

Berlin, DE – kein Drittlandtransfer

[Push-Dienst – wird ergänzt]

Push-Benachrichtigungen

EU – AVV

[Analytics-Tool – wird ergänzt]

Nutzungsanalyse (pseudonymisiert)

EU oder EU-US DPF

[Cookie-Consent-Tool – wird ergänzt]

Einwilligungsverwaltung

EU

Hinweis: Die endgültige Liste der Auftragsverarbeiter wird vor Launch vervollständigt und regelmäßig aktualisiert. Mit jedem Dienstleister wird ein AVV nach Art. 28 DSGVO abgeschlossen.

6.  Datenübermittlungen in Drittländer

NOA verarbeitet deine Daten grundsätzlich ausschließlich in Deutschland und innerhalb des Europäischen Wirtschaftsraums (EWR). Soweit im Einzelfall Daten an Dienstleister außerhalb des EWR übermittelt werden, erfolgt dies nur:

  • auf Basis eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO), insb. EU-US Data Privacy Framework (DPF), oder
  • auf Basis von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Das Hosting der Plattform und aller Gesundheitsdaten erfolgt ausschließlich in Deutschland (AWS Frankfurt). Eine Übertragung von Gesundheitsdaten in Drittländer außerhalb des EWR findet nicht statt.

7.  Cookies und Tracking-Technologien

7.1  Technisch notwendige Cookies

Für den Betrieb der Plattform setzen wir technisch notwendige Cookies ein, die keine Einwilligung erfordern (§ 25 Abs. 2 TDDDG). Diese Cookies ermöglichen die Navigation, die Sitzungsverwaltung und die sichere Authentifizierung.

7.2  Optionale Cookies (nur mit Einwilligung)

Analyse- und Marketing-Cookies werden nur eingesetzt, wenn du über das Cookie-Consent-Banner ausdrücklich eingewilligt hast (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Du kannst deine Einwilligung jederzeit über den Cookie-Banner oder die App-Einstellungen widerrufen.

Die vollständige Cookie-Liste wird vor Launch im Cookie-Consent-Tool hinterlegt und ist dort jederzeit einsehbar.

8.  KI-gestützte Funktionen und automatisierte Verarbeitung

Der NOA KI-Chatbot und der Vitalitätsindex (NOA Score) nutzen automatisierte Verarbeitungsprozesse. Es findet keine automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO statt.

KI-generierte Inhalte werden gemäß Art. 50 EU-KI-Verordnung als solche gekennzeichnet. Der NOA Score ist ein Lifestyle-Indikator – kein diagnostisches Instrument.

Gesundheitsdaten werden nicht für das Training externer KI-Modelle verwendet, es sei denn, du hast hierzu ausdrücklich und gesondert eingewilligt.

9.  Minderjährigenschutz

Die NOA-Plattform richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Sollte uns bekannt werden, dass eine minderjährige Person ein Konto erstellt hat, werden die entsprechenden Daten unverzüglich gelöscht.

10.  Deine Rechte als betroffene Person

Als betroffene Person hast du gegenüber NOA folgende Rechte:

  • Auskunft (Art. 15 DSGVO): Bestätigung, ob und welche Daten wir verarbeiten.
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger oder unvollständiger Daten.
  • Löschung (Art. 17 DSGVO): Löschung deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sperrung der Verarbeitung in bestimmten Fällen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt deiner Daten in einem strukturierten, maschinenlesbaren Format.
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen.
  • Widerruf von Einwilligungen: Jederzeit mit Wirkung für die Zukunft, ohne Angabe von Gründen.
  • Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO): Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de.

Anfragen zur Ausübung deiner Rechte richte bitte an: info@noa-health.de (Betreff: Datenschutzrecht). Wir antworten innerhalb von 30 Tagen (Art. 12 DSGVO).

11.  Datensicherheit

NOA setzt technische und organisatorische Maßnahmen (TOMs) ein, um deine Daten gegen unbefugten Zugriff, Verlust oder Offenlegung zu schützen. Dazu gehören insbesondere:

  • Verschlüsselung aller Daten in Transit und im Ruhezustand (TLS 1.2+, AES-256)
  • Hosting ausschließlich in Deutschland auf zertifizierten AWS-Rechenzentren (Frankfurt)
  • Zugriffskontrolle nach dem Least-Privilege-Prinzip und Multi-Faktor-Authentifizierung
  • Regelmäßige Sicherheitsüberprüfungen und Penetrationstests
  • Pseudonymisierung von Analysedaten
  • Automatisierte tägliche Backups mit 90-tägiger Aufbewahrung

12.  Speicherdauer und Löschung

Personenbezogene Daten werden gelöscht, sobald sie für den jeweiligen Verarbeitungszweck nicht mehr erforderlich sind. Gesetzliche Aufbewahrungspflichten (u.a. § 257 HGB: 10 Jahre für Buchhaltungsdaten; § 147 AO: 10 Jahre für steuerrelevante Unterlagen) bleiben unberührt.

Bei Kontolöschung werden alle personenbezogenen Daten (einschl. Gesundheitsdaten) unverzüglich gelöscht, mit Ausnahme von Daten, für die gesetzliche Aufbewahrungspflichten bestehen. Vor der Löschung kann der Nutzer über die App einen vollständigen Datenexport anfordern.

13.  Änderungen dieser Datenschutzerklärung

NOA behält sich vor, diese Datenschutzerklärung bei wesentlichen Änderungen der Verarbeitungspraktiken oder bei Änderungen der Rechtslage anzupassen. Bei wesentlichen Änderungen informieren wir dich per E-Mail mit mindestens 30 Tagen Vorlauf. Die jeweils aktuelle Version ist stets unter noa-health.de/datenschutz abrufbar.

Kontakt Datenschutz

NOA Health GmbH  ·  Maybachstraße 18a, 70469 Stuttgart, Germany

E-Mail: info@noa-health.de (Betreff: Datenschutz)

Aufsichtsbehörde: LfDI Baden-Württemberg, Königstraße 10a, 70173 Stuttgart

Redaktioneller Hinweis (intern): Entwurf – vor Veröffentlichung durch einen Datenschutzanwalt prüfen lassen. DPIA vor Launch durchführen. Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern abschließen. Cookie-Consent-Tool (z. B. Cookiebot/Usercentrics) implementieren.

© 2026 NOA Health.
ImpressumDatenschutzAGB