Datenschutzerklärung

Damoi Analytics UG (haftungsbeschränkt)

Stand: März 2026


§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Damoi Analytics UG (haftungsbeschränkt)

Veltener Str. 10a, 16540 Hohen Neuendorf, Deutschland

Geschäftsführer: Paul Krieger

E-Mail: hello@damoi.de

Website: www.damoi.de

Datenschutzbeauftragter

Nach Art. 37 DSGVO i. V. m. § 38 BDSG ist die Benennung eines Datenschutzbeauftragten erst ab einer regelmäßigen Beschäftigung von mindestens 20 Personen mit automatisierter Datenverarbeitung verpflichtend. Diese Schwelle wird derzeit nicht erreicht. Für datenschutzrechtliche Anfragen wenden Sie sich bitte direkt an hello@damoi.de.

§ 2 Geltungsbereich

(1) Diese Datenschutzerklärung gilt für die Nutzung von:

a) www.damoi.de (Website)

b) der mobilen App für iOS und Android

c) der Web-Anwendung unter app.damoi.de

d) allen damit verbundenen Services (Bestellungen, Bluttests, KI-Assistent, Newsletter)

(2) Gesundheitsdaten (insbesondere Biomarker-Ergebnisse) sind besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO und unterliegen erhöhtem Schutz. Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.

§ 3 Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten im Einklang mit den Grundsätzen des Art. 5 DSGVO:

a) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

b) Zweckbindung – Erhebung für festgelegte, eindeutige und legitime Zwecke

c) Datenminimierung – nur die für den Zweck erforderlichen Daten

d) Richtigkeit – sachlich richtig und auf dem neuesten Stand

e) Speicherbegrenzung – nicht länger als für den Zweck erforderlich

f) Integrität und Vertraulichkeit – angemessene technische und organisatorische Maßnahmen

§ 4 Erhobene Daten

4.1 Kontakt- und Profildaten

E-Mail, Passwort (Pflicht) – Kontoerstellung und Authentifizierung

Name, Adresse (Pflicht bei Bestellung) – Versand und Rechnungsstellung

Geburtsdatum, biologisches Geschlecht (Pflicht) – alters- und geschlechtsspezifische Referenzwerte

Gesundheitsziel, Aktivitätslevel, Gewicht, Größe (optional) – Personalisierung

Zyklusdaten, Schwangerschaftsstatus (optional, nur Frauen) – Hormonbewertung

4.2 Biomarker-Daten

Die 29 Biomarker sind auf vier thematische Panels aufgeteilt. Jedes Panel entspricht einer Tasso+ Entnahme. Die genaue Zusammensetzung der Panels ist unter www.damoi.de einsehbar und kann sich ändern (siehe AGB § 4.7). Aktuell umfassen die Panels:

Panel 1 – Metabolic Core (bis zu 8 Marker): Triglyceride, HDL, LDL, ApoB, Nüchtern-Glukose, Nüchtern-Insulin, HbA1c, Harnsäure + HOMA-IR (berechnet)

Panel 2 – Organ & Entzündung (bis zu 8 Marker): hsCRP, Kreatinin, ALT, AST, GGT, Albumin, CK, Harnsäure

Panel 3 – Schilddrüse & Vitamine (bis zu 7 Marker): TSH, fT3, fT4, Vitamin D, Aktives B12, Folat, Magnesium

Panel 4 – Hormone (bis zu 6 Marker): Testosteron Gesamt, SHBG, Östradiol E2, Progesteron, DHEA-S + Freies Testosteron (berechnet)

4.3 Zahlungsdaten

Zahlungsdaten werden ausschließlich durch unseren Zahlungsdienstleister Stripe, Inc. verarbeitet. Wir selbst speichern lediglich: Stripe-Kundennummer, Zahlungsstatus, Zahlungsmethode (Typ) und die letzten 4 Ziffern der Karten- oder Kontonummer. Vollständige Zahlungsdaten (Kartennummern, Kontodaten) werden von uns zu keinem Zeitpunkt gespeichert oder verarbeitet.

4.4 Technische Daten

Bei Nutzung unserer Website und App werden automatisch folgende Daten erhoben: IP-Adresse (anonymisiert nach 7 Tagen), Gerätetyp, Betriebssystem, App-Version, Browser-Typ, Zugriffszeitpunkt, aufgerufene Seiten/Screens. Diese Daten sind für den technischen Betrieb, die Fehleranalyse und die Sicherheit erforderlich.

4.5 Routinen-Daten (optional)

Sofern Sie die Routinen-Funktion nutzen, werden von Ihnen eingegebene Daten zu Supplements, Schlaf, Wasseraufnahme und Bewegung gespeichert. Diese Daten dienen dem Tracking und der Korrelationsanalyse mit Ihren Biomarker-Ergebnissen.

§ 5 Rechtsgrundlagen der Verarbeitung

Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen:

5.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Kontoführung, Bestellabwicklung, Versand der Test-Kits, Laboranalyse, Bereitstellung der Ergebnisse im Dashboard, Kundensupport, Abonnementverwaltung.

5.2 Einwilligung in Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO)

Verarbeitung sämtlicher Biomarker-Ergebnisse, Health Score, biologisches Alter, personalisierte Gesundheitsempfehlungen. Die Einwilligung wird bei der Registrierung bzw. Erstbestellung ausdrücklich eingeholt und kann jederzeit widerrufen werden.

5.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Newsletter, KI-Assistent (Datenübermittlung an Anthropic), Marketing-Cookies, Push-Benachrichtigungen, Analyse-Cookies. Jede Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

5.4 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Website-Analyse zur Verbesserung des Angebots, Fehlerbehebung und Systemstabilität, Betrugsprävention, Geltendmachung rechtlicher Ansprüche. Unser berechtigtes Interesse überwiegt in diesen Fällen Ihre Interessen, da die Verarbeitung auf das erforderliche Maß beschränkt ist und Ihre Grundrechte nicht unverhältnismäßig beeinträchtigt werden. Sie haben jederzeit das Recht, gemäß Art. 21 DSGVO Widerspruch gegen diese Verarbeitung einzulegen.

5.5 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Aufbewahrung von Rechnungsdaten gemäß § 147 AO (10 Jahre), Aufbewahrung von Vertragsunterlagen gemäß § 257 HGB (6 Jahre), Erfüllung von Behördenanfragen.

5.6 Widerruf von Einwilligungen

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen:

a) Per E-Mail an hello@damoi.de

b) In der App unter Einstellungen → Datenschutz

c) Per Abmeldelink in E-Mails (Newsletter)

d) Über das Cookie-Banner auf der Website (Cookies)

Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO).

§ 6 Datenerfassung im Detail

6.1 Website

Bei jedem Aufruf unserer Website werden automatisch Zugriffsdaten (Server-Logfiles) erhoben: anonymisierte IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Referrer-URL, Browser und Betriebssystem. Speicherdauer: 7 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).

Kontaktformular-Daten (Name, E-Mail, Nachricht) werden für die Bearbeitung Ihrer Anfrage gespeichert. Speicherdauer: 3 Jahre ab Abschluss der Anfrage oder bis zur Löschung auf Ihren Wunsch.

6.2 App und Nutzerkonto

Pflichtangaben bei Registrierung: E-Mail, Name, Passwort, Geburtsdatum, biologisches Geschlecht. Optionale Angaben (Gesundheitsziel, Aktivität, Körperdaten) dienen ausschließlich der Personalisierung und können jederzeit gelöscht werden.

Biometrische Authentifizierungsdaten (Face ID, Fingerabdruck) werden ausschließlich lokal auf Ihrem Endgerät verarbeitet und gespeichert. Es erfolgt keine Übermittlung an unsere Server oder an Dritte.

6.3 Probenanalyse und Pseudonymisierung

(1) Ihre Blutprobe wird vor der Übermittlung an unser Partnerlabor pseudonymisiert. Das Labor erhält ausschließlich eine zufällig generierte Identifikationsnummer – keine personenbezogenen Daten wie Name, Adresse oder Geburtsdatum.

(2) Die Zuordnung der Laborergebnisse zu Ihrem Nutzerkonto erfolgt ausschließlich in unserem System anhand der Identifikationsnummer.

(3) Das Labor ist vertraglich verpflichtet, die Proben nach Abschluss der Analyse gemäß den geltenden Vorschriften zu vernichten. Eine Rückführung der Probe auf Ihre Person ist für das Labor nicht möglich.

6.4 KI-Assistent (optional)

(1) Die Nutzung des KI-Assistenten erfordert Ihre ausdrückliche, gesonderte Einwilligung.

(2) Bei Nutzung werden folgende Daten an Anthropic, PBC (San Francisco, USA) übermittelt: Ihre Chat-Nachrichten, für die Beantwortung relevante Biomarker-Werte, Alter, biologisches Geschlecht und Gesundheitsziel.

(3) Anthropic verarbeitet diese Daten ausschließlich zur Generierung der KI-Antworten. Anthropic erstellt keine dauerhaften Nutzerprofile und verwendet Ihre Daten nicht zum Training von KI-Modellen (gemäß Anthropic Enterprise Privacy Policy). Die Übertragung erfolgt TLS-verschlüsselt.

(4) Die Datenübermittlung in die USA wird durch EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert. Zusätzliche Schutzmaßnahmen: Verschlüsselung bei Übertragung und Speicherung, vertragliche Garantien gegen behördlichen Zugriff, Minimierung der übermittelten Daten.

(5) Der KI-Assistent bietet keine medizinische Beratung, Diagnose oder Behandlungsempfehlung. Bei gesundheitlichen Beschwerden konsultieren Sie bitte einen Arzt.

(6) Sie können den KI-Assistenten jederzeit deaktivieren unter: App → Einstellungen → KI-Assistent → Deaktivieren. Chat-Verläufe können auf Wunsch gelöscht werden.

§ 7 Dienstleister und Datenübermittlung

Wir setzen folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Mit sämtlichen Dienstleistern wurden Auftragsverarbeitungsverträge (AVV) geschlossen.

7.1 Dienstleister im EU/EWR-Raum

Supabase – Datenbank, Authentifizierung – EU (Frankfurt am Main)

Sendcloud – Versandabwicklung – Niederlande

Hotjar – Verhaltensanalyse (mit Einwilligung) – Malta

Google Ireland Ltd. – Website-Analyse via Google Analytics 4 (mit Einwilligung) – Irland

Stripe Payments Europe Ltd. – Zahlungsabwicklung – Irland

7.2 Dienstleister außerhalb des EU/EWR-Raums (Drittlandtransfer)

Bei folgenden Dienstleistern erfolgt eine Datenübermittlung in die USA. Die Übermittlung wird jeweils durch geeignete Garantien gemäß Art. 46 DSGVO abgesichert:

Stripe, Inc. – Zahlungsabwicklung – USA – EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss gem. Art. 45 DSGVO)

Resend – Transaktionale E-Mails – USA – EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

Klaviyo – E-Mail-Marketing (mit Einwilligung) – USA – EU-Standardvertragsklauseln

Anthropic, PBC – KI-Assistent (mit Einwilligung) – USA – EU-Standardvertragsklauseln

Sentry – Fehlerüberwachung – USA – EU-Standardvertragsklauseln

7.3 Keine Weitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nicht, es sei denn:

a) Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO)

b) Die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO)

c) Eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO)

d) Die Weitergabe ist zur Wahrung berechtigter Interessen erforderlich und Ihre Interessen überwiegen nicht (Art. 6 Abs. 1 lit. f DSGVO)

Es erfolgt ausdrücklich keine Weitergabe an Versicherungen, Arbeitgeber, Datenhändler oder Werbepartner.

§ 8 Speicherdauern

Kontodaten, Profildaten: Bis zur Kontolöschung durch Sie

Gesundheitsdaten (Biomarker-Ergebnisse): Bis zur manuellen Löschung durch Sie oder Kontolöschung

KI-Chat-Verläufe: Bis zur manuellen Löschung durch Sie oder Kontolöschung

Routinen-Daten: Bis zur manuellen Löschung durch Sie oder Kontolöschung

Rechnungsdaten: 10 Jahre (§ 147 AO)

Vertragsunterlagen: 6 Jahre (§ 257 HGB)

Server-Logfiles: 7 Tage

Cookie-Einwilligungen: 1 Jahr

Marketing-Einwilligungen: Bis zum Widerruf

Support-Anfragen: 3 Jahre ab Abschluss der Anfrage

Bei Kontolöschung werden alle Profil-, Biomarker-, Chat- und App-Daten unwiderruflich gelöscht. Das Stripe-Abonnement wird gleichzeitig gekündigt. Gesetzliche Aufbewahrungspflichten bleiben unberührt – die betreffenden Daten werden nach Fristablauf automatisch gelöscht und sind bis dahin für Sie nicht mehr zugänglich.

§ 9 Datensicherheit

9.1 Technische Maßnahmen

HTTPS/TLS-Verschlüsselung für sämtliche Datenübertragungen

Passwort-Hashing mit aktuellen Algorithmen (bcrypt)

Verschlüsselung von PINs (gehasht und gepeppert)

Hosting in EU-Rechenzentren (Frankfurt am Main)

Firewall und DDoS-Schutz

Regelmäßige Sicherheits-Updates und Penetrationstests

Verschlüsselung von Gesundheitsdaten at rest

9.2 Organisatorische Maßnahmen

Rollenbasierte Zugriffsrechte (Principle of Least Privilege)

Need-to-know-Prinzip für Mitarbeiterzugriffe

Vertraulichkeitsverpflichtung aller Mitarbeiter und Auftragnehmer

Dokumentierter Incident-Response-Plan

Regelmäßige Sensibilisierung der Mitarbeiter

9.3 Meldepflicht bei Datenschutzverletzungen

Sicherheitsvorfälle werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet. Betroffene Personen werden gemäß Art. 34 DSGVO unverzüglich informiert, sofern ein hohes Risiko für ihre Rechte und Freiheiten besteht.

§ 10 Cookies und Tracking

Wir setzen Cookies und vergleichbare Technologien gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, vormals TTDSG) ein.

10.1 Technisch notwendige Cookies (ohne Einwilligung)

Diese Cookies sind für den Betrieb der Website zwingend erforderlich und können nicht deaktiviert werden. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.

Session-Cookie – Sitzungsverwaltung – Sitzungsende

Auth-Cookie – Anmeldestatus – 30 Tage

Cookie-Consent – Speicherung Ihrer Cookie-Präferenzen – 1 Jahr

10.2 Analyse-Cookies (Einwilligung erforderlich)

Diese Cookies werden nur nach Ihrer ausdrücklichen Einwilligung gesetzt. Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.

Google Analytics 4 (_ga, _gid) – Website-Analyse – bis 2 Jahre – IP-Anonymisierung aktiviert

Hotjar (_hjid, _hjSessionUser) – Verhaltensanalyse – bis 1 Jahr

10.3 Marketing-Cookies (Einwilligung erforderlich)

Klaviyo (__kla_id) – E-Mail-Marketing-Zuordnung – 2 Jahre

10.4 Verwaltung Ihrer Cookie-Einstellungen

Sie können Ihre Cookie-Einstellungen jederzeit ändern über: das Cookie-Banner im Footer unserer Website, Ihre Browser-Einstellungen oder die App-Einstellungen unter Datenschutz.

§ 11 Ihre Rechte

Ihnen stehen folgende Rechte gemäß der DSGVO zu:

11.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Die Auskunft umfasst die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger, die geplante Speicherdauer sowie Ihre Rechte. Anfrage per E-Mail an hello@damoi.de.

11.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können unrichtige Daten berichtigen lassen. In der App: Einstellungen → Persönliche Daten.

11.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Einzelne Daten: in der App. Vollständige Kontolöschung: App → Einstellungen → Konto löschen.

11.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten. Anfrage per E-Mail an hello@damoi.de.

11.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Export: App → Einstellungen → Daten exportieren (PDF, CSV, JSON).

11.6 Widerspruchsrecht (Art. 21 DSGVO)

(1) Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.

(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit ohne Angabe von Gründen Widerspruch einzulegen. Die Daten werden dann nicht mehr für Direktwerbung verwendet.

(3) Widerspruch per E-Mail an hello@damoi.de.

11.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können jede erteilte Einwilligung jederzeit widerrufen. Der Widerruf gilt für die Zukunft. App → Einstellungen → Datenschutz oder per Abmeldelink in E-Mails.

11.8 Bearbeitungsfrist

Anfragen werden innerhalb eines Monats beantwortet (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden, worüber wir Sie informieren. Eine Identitätsprüfung kann erforderlich sein, um Missbrauch zu verhindern.

§ 12 Automatisierte Entscheidungsfindung und Profiling

(1) Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung statt.

(2) Der Health Score und das geschätzte biologische Alter werden algorithmisch auf Basis Ihrer Biomarker-Ergebnisse berechnet. Diese Werte haben ausschließlich informatorischen Charakter und entfalten keine rechtliche Wirkung. Sie dienen nicht als Grundlage für automatisierte Entscheidungen über den Vertragsschluss, die Preisgestaltung oder die Leistungserbringung.

(3) Personalisierte Empfehlungen basieren auf Ihren Biomarker-Werten und Profildaten. Auch diese haben rein informativen Charakter und ersetzen keine ärztliche Beratung.

§ 13 Minderjährige

(1) Unser Angebot richtet sich ausschließlich an Personen, die das 18. Lebensjahr vollendet haben.

(2) Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.

(3) Sollte uns bekannt werden, dass Daten einer minderjährigen Person gespeichert wurden, werden diese unverzüglich gelöscht.

§ 14 Änderungen dieser Datenschutzerklärung

(1) Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder neue Datenverarbeitungen anzupassen.

(2) Wesentliche Änderungen werden per E-Mail und/oder in der App kommuniziert.

(3) Die jeweils aktuelle Fassung ist unter www.damoi.de/datenschutz verfügbar.

§ 15 Beschwerderecht und Kontakt

15.1 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg

Stahnsdorfer Damm 77, 14532 Kleinmachnow

Tel.: +49 33203 356-0

E-Mail: poststelle@lda.brandenburg.de

Website: www.lda.brandenburg.de

Sie können sich alternativ auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes wenden.

15.2 EU-Streitbeilegung

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung bereit: https://ec.europa.eu/consumers/odr/

15.3 Datenschutzanfragen

Für alle datenschutzrechtlichen Anfragen erreichen Sie uns unter:

E-Mail: hello@damoi.de

Post: Damoi Analytics UG, z. Hd. Datenschutz, Veltener Str. 10a, 16540 Hohen Neuendorf

Stand: März 2026

Diese Datenschutzerklärung ist urheberrechtlich geschützt.