Datenschutzerklärung

Stand: 21. April 2026

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten bei der Nutzung der Nurelio-App (iOS/Android) und der Website nurelio.net verarbeitet werden.

1. Verantwortlicher

Helge Lange / PrettyLights Software. Kontakt: PrettyLightsSoftware@gmail.com. Vollständige Angaben siehe Impressum.

2. Grundprinzip: Datensparsamkeit

Nurelio ist so gebaut, dass sensible Gesundheitsdaten so weit wie möglich lokal auf deinem Gerät bleiben. Was über unseren Server läuft, ist Ende-zu-Ende verschlüsselt und kann auf dem Server nicht entschlüsselt werden.

3. Daten, die lokal auf deinem Gerät bleiben

• Medikamente, Einnahmepläne, Behälter- und Vorrats­informationen
• Arzttermine, Arztkontakte
• Gesundheitswerte (Blutzucker, Puls, Blutdruck) — auf Wunsch synchron mit Apple Health bzw. Health Connect
• Notizen, Foto-Dokumentation zu Einnahmen (falls genutzt)
• Lokale Notification-Einstellungen

Diese Daten werden in einer lokalen Datenbank auf deinem Gerät gespeichert und verlassen dieses nur, wenn du Backup oder Familien-Synchronisation aktiv nutzt.

4. Anmeldung (Google / Apple Sign-In)

Um den Sync mit Angehörigen und den Dead-Man-Switch nutzen zu können, meldest du dich bei unserem Server mit deinem Google- oder Apple-Account an. Wir speichern dafür:

• deine eindeutige Provider-Subject-ID (google_sub oder apple_sub)
• einen öffentlichen Schlüssel, den deine App lokal erzeugt hat
• Zeitstempel (Anlage / letzte Aktualisierung)

Wir speichern keine E-Mail-Adresse, keinen Klarnamen und kein Profilbild aus Google/Apple. Rechtsgrundlage: Vertrag gemäß Art. 6 Abs. 1 lit. b DSGVO (du forderst die Funktion an).

5. Familien-Synchronisation (Ende-zu-Ende verschlüsselt)

Wenn du bewusst mit Angehörigen koppelst, werden die von dir freigegebenen Kategorien (z. B. Medikamente, Termine) als verschlüsselte Datensätze an unseren Server übertragen und von dort an die gekoppelten Angehörigen verteilt.

• Die Ver- und Entschlüsselung findet ausschließlich auf den beteiligten Endgeräten statt.
• Auf dem Server liegen pro Datensatz nur: zufällige ID, Patient-ID, Kategorie, Nonce, Ciphertext, Zeitstempel — keine Klartextinhalte.
• Der symmetrische Schlüssel (DEK) wird pro Angehörigem einzeln mit deren öffentlichem Schlüssel verpackt und nur so verteilt.
• Beim Lösen einer Kopplung werden die zugehörigen Schlüssel-Wrappings serverseitig gelöscht; der Ex-Angehörige kann zukünftige Daten nicht mehr lesen.

Rechtsgrundlage: Vertrag, Art. 6 Abs. 1 lit. b DSGVO.

6. Push-Benachrichtigungen

Wenn du Benachrichtigungen erlaubst, registriert die App einen Push-Token (Apple APNs bzw. Google FCM) bei unserem Server. Wir speichern:

• den Gerätetoken (technisch nötig für Zustellung)
• die Plattform (ios/android)
• die Verknüpfung zu deiner Nutzer-ID
• Zeitstempel der letzten Aktualisierung

Push-Nachrichten werden ausschließlich zu ereignisbezogenen Zwecken versendet (z. B. ein Angehöriger hat die Kopplung gelöst, ein Watch-Event wurde ausgelöst). Die Zustellung erfolgt über Apple (APNs) bzw. Google (FCM) — diese Anbieter verarbeiten den Token und die Payload, um die Nachricht an dein Gerät zuzustellen.

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Widerruf jederzeit in den Geräteeinstellungen.

7. Optionales Cloud-Backup

Du kannst deine lokalen Daten optional in deinen eigenen iCloud- oder Google-Drive-Speicher sichern. Die Daten werden ausschließlich in deinem privaten, app-spezifischen Ordner deines Cloud-Kontos abgelegt. Wir haben keinen Zugriff auf dieses Backup.

8. Gesundheits-Integration (Apple Health / Health Connect)

Wenn du es freigibst, liest Nurelio Gesundheitswerte (z. B. Blutzucker, Herzfrequenz) aus Apple Health bzw. Health Connect. Die Verarbeitung erfolgt ausschließlich lokal auf deinem Gerät; es werden keine Gesundheitsdaten an unseren Server übertragen, außer du teilst sie über die Familien-Synchronisation (dann verschlüsselt, siehe oben).

9. Webseite nurelio.net

Beim Aufruf dieser Webseite verarbeitet unser Server (Caddy HTTP-Server, Standort Deutschland) technisch notwendige Verbindungsdaten: IP-Adresse, Zeitpunkt, angefragte URL, User-Agent. Diese Daten werden für den Betrieb und zur Fehler­analyse kurzfristig im Logfile gehalten und nach spätestens 14 Tagen gelöscht. Die Webseite setzt keine Cookies, kein Tracking und bindet keine externen Ressourcen ein.

10. Server-Standort

Der Nurelio-Server wird auf Infrastruktur in Deutschland betrieben (Strato). Eine Verarbeitung außerhalb der EU findet durch uns nicht statt. Apple (APNs) und Google (FCM) verarbeiten Push-Zustellungen ggf. auch außerhalb der EU nach deren eigenen Datenschutzbestimmungen.

11. Speicherdauer

• Nutzerdatensatz + öffentlicher Schlüssel: bis zum Widerruf / Kontolöschung.
• Push-Tokens: bis zur Invalidierung durch APNs/FCM oder zum Widerruf.
• Verschlüsselte Records: bis du sie auf deinem Gerät löschst (dann wird ein Tombstone gesetzt und der Datensatz auf dem Server als gelöscht markiert).
• Pairing-Einladungen (QR): verfallen automatisch nach wenigen Minuten.
• Webserver-Zugriffslogs: ≤ 14 Tage.

12. Deine Rechte

Du hast das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Du kannst dich außerdem bei einer Aufsichtsbehörde beschweren (Art. 77).

Für Löschung deines Accounts und aller zugehörigen serverseitigen Daten schreibe uns eine E-Mail an PrettyLightsSoftware@gmail.com.

13. Keine Datenweitergabe zu Werbezwecken

Wir verkaufen keine Daten, nutzen kein Profiling, keine Werbe-IDs und keine Analyse-Tools von Drittanbietern.

14. Änderungen

Wir passen diese Datenschutzerklärung an, wenn sich Funktionsumfang oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Fassung findest du immer hier unter diesem Link.