
Datenschutzerklärung
für die App 8Breath · Stand: 30. Juni 2026
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Zusammenhang mit der App 8Breath im Sinne der DSGVO ist:
2. Grundsatz: lokal zuerst, anonymes Konto für geschützte Inhalte
8Breath ist datensparsam ausgelegt. Deine Trainingsdaten - Atem-Sitzungen, BOLT-Werte, Tagebuch, Kurs- und Sequenz-Fortschritt, Favoriten und Einstellungen - werden ausschließlich lokal auf deinem Gerät gespeichert und nicht an uns übertragen. Du kannst sie jederzeit in den App-Einstellungen löschen.
Für den Zugriff auf geschützte Inhalte (geführte Audios, Musik, Bilder) benötigt die App ein Konto. Dieses wird beim ersten Laden von Inhalten automatisch und zunächst anonym erstellt - du musst dich also nicht aktiv registrieren. Optional kannst du das Konto durch Anmeldung mit E-Mail, Apple, Google oder Facebook erweitern, etwa um deine Inhalte und gekauften Kurse geräteübergreifend zu nutzen. Das Konto inkl. der zugehörigen Daten lässt sich jederzeit in der App löschen (Einstellungen → „Konto löschen"). Näheres dazu unter Abschnitt 3.
3. Welche Daten verarbeitet die App?
a) Laden von Inhalten über ein Content-Netzwerk (CDN)
Geführte Audios, Musik und Bilder werden bei Bedarf von einem CDN (Bunny.net) nachgeladen. Zum Schutz vor unbefugtem Download werden Inhalte ausschließlich über kurzlebige, signierte URLs ausgeliefert; dafür ist eine gültige (anonyme) Sitzung erforderlich (siehe Abschnitt „Nutzerkonto & Anmeldung"). Beim Abruf wird - technisch unvermeidbar - deine IP-Adresse sowie technische Verbindungsdaten (Zeitpunkt, angeforderte Datei) an das CDN übermittelt. Zweck: Auslieferung der Inhalte sowie Stabilität und Missbrauchsschutz. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
b) Nutzerkonto & Anmeldung
Beim ersten Laden von Inhalten erstellt die App ein zunächst anonymes Konto (über Supabase Auth). Verarbeitet werden dabei eine zufällige Konto-ID, ein Authentifizierungs-Token, deine IP-Adresse und ein Zeitstempel. Optional kannst du das Konto durch Anmeldung mit E-Mail, Apple (Sign in with Apple), Google oder Facebook erweitern; dann verarbeiten wir zusätzlich deine E-Mail-Adresse bzw. die von Apple, Google oder Facebook bereitgestellte Kennung. Die Anmeldung funktioniert mit demselben Konto in der App und im Web (unter „Konto" auf 8breath.de). Zweck: gesicherte Auslieferung der Inhalte (kurzlebige, signierte URLs), Schutz vor Missbrauch und automatisiertem Auslesen (Scraping) sowie - bei angemeldetem Konto - die optionale geräteübergreifende Nutzung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Das Konto inkl. der zugehörigen Daten kannst du jederzeit in der App löschen („Konto löschen").
c) App- und Geräte-Integritätsprüfung (App Check / App Attest / Play Integrity)
Um sicherzustellen, dass Anfragen von einer echten, unveränderten 8Breath-App stammen (und nicht von manipulierten Clients oder Bots), führen wir eine technische Integritätsprüfung durch. Dabei kommen Apple App Attest bzw. Google Play Integrity zum Einsatz, vermittelt über Firebase App Check (Google). Verarbeitet wird ein Attestierungs-Token. Zweck: Schutz unserer Inhalte und Server vor Missbrauch. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).
d) Anonyme Nutzungsstatistik (nur mit Einwilligung)
Wenn du dem in den Einstellungen zustimmst, erfassen wir anonyme Nutzungsereignisse zur Produktverbesserung: eine zufällig erzeugte Geräte-Kennung sowie Ereignisse wie welcher Inhalt gestartet wurde und wie lange. Speicherung bei Supabase. Die Statistik ist standardmäßig deaktiviert; du kannst sie jederzeit wieder ausschalten (die Kennung wird dabei zurückgesetzt). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
e) Absturz- und Fehlerdiagnose
Zur Stabilität der App erfassen wir technische Absturz-/Fehlerberichte über Firebase Crashlytics (Google). Die Absturz- und Fehlerdiagnose ist standardmäßig aktiv und lässt sich jederzeit in den App-Einstellungen abschalten (Opt-out). Verarbeitet werden ausschließlich technische Diagnosedaten wie Fehler-Stack, Gerätemodell, Betriebssystem- und App-Version sowie eine technische Installationskennung - keine Trainings-, Tagebuch- oder Gesundheitsdaten. Empfänger ist Google/Firebase; dabei kann es zu einer Übermittlung in Drittländer (z. B. USA) kommen (siehe Abschnitt zu Empfängern und Drittlandtransfer). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen, fehlerfreien App). Davon getrennt ist die anonyme Nutzungsstatistik, die nur mit deiner Einwilligung erfolgt und standardmäßig deaktiviert ist (siehe Buchstabe d).
f) Apple Health / Health Connect (optional)
Nur wenn du es aktiv freigibst, kann 8Breath Herzfrequenz lesen bzw. Achtsamkeitsminuten schreiben. Diese Gesundheitsdaten verbleiben im geschützten, vom Betriebssystem verwalteten Speicher deines Geräts; wir haben keinen Zugriff darauf. Widerruf jederzeit in den Systemeinstellungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a, Art. 9 Abs. 2 lit. a DSGVO.
g) Kamera (optionale Puls-Messung)
Für die optionale Puls-/HRV-Messung über die Fingerkuppe greift die App auf die Kamera zu. Die Auswertung erfolgt ausschließlich in Echtzeit auf deinem Gerät; es werden keine Bilder oder Videos gespeichert oder übertragen. Du kannst 8Breath auch vollständig ohne Kamera nutzen.
h) In-App-Käufe (8Breath Plus)
Das Abonnement „8Breath Plus" wird über den Apple App Store bzw. Google Play abgewickelt. Die Zahlungsabwicklung erfolgt durch Apple bzw. Google; wir erhalten keine Zahlungsdaten, sondern nur die Information, ob ein gültiges Abo besteht.
i) Kauf von Präventionskursen (Stripe)
Zertifizierte Präventionskurse (Kassenkurse, § 20 SGB V) kannst du im Web über deinen Konto-Bereich erwerben. Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister Stripe (Stripe Payments Europe, Ltd.). Dabei verarbeitet Stripe als eigenständig Verantwortlicher die für die Zahlung erforderlichen Daten - je nach Zahlungsart u. a. Name, E-Mail-Adresse, Zahlungsmittel- bzw. Bankdaten, Betrag und IP-Adresse. Wir selbst erhalten keine vollständigen Zahlungsdaten (z. B. keine Kartennummer), sondern nur die Bestätigung, ob die Zahlung erfolgreich war, und ordnen den gekauften Kurs deinem Konto zu. Zweck: Abwicklung deines Kaufs. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Es gilt zusätzlich die Datenschutzerklärung von Stripe.
j) Kurs-Freischaltung und -Abschluss (Konto-Daten)
Damit deine gekauften und absolvierten Präventionskurse geräteübergreifend verfügbar sind und du eine Teilnahmebescheinigung für deine Krankenkasse herunterladen kannst, speichern wir bei Supabase serverseitig zu deinem Konto, welche Kurse freigeschaltet (Kauf) und welche abgeschlossen wurden (technisch: Konto-ID, Kurs-Kennung, Kauf-/Abschluss-Zeitpunkt). Inhalte deiner Übungen oder Gesundheitsdaten werden dabei nicht gespeichert. Zweck: Bereitstellung gekaufter Kurse und Erstellung der Teilnahmebescheinigung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Diese Daten werden mit deinem Konto gelöscht.
k) Website 8breath.de (Hosting & Kontaktformulare)
Beim Aufruf unserer Website 8breath.de verarbeitet unser Hoster Hostinger in Server-Logfiles technisch erforderliche Daten (u. a. IP-Adresse, Datum und Uhrzeit, abgerufene Seite, übertragene Datenmenge, Browser- und Betriebssystemtyp) zur Auslieferung, Stabilität und Sicherheit der Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Nutzt du eines unserer Kontakt-, Bewerbungs- oder Feedback-Formulare (z. B. auf der Kontakt- oder Atemcoach-Seite), verarbeiten wir die von dir angegebenen Daten - je nach Formular Name, E-Mail-Adresse, ggf. Telefonnummer, Adresse sowie deine Nachricht -, um deine Anfrage zu bearbeiten. Die Inhalte werden per E-Mail an support@8breath.de übermittelt und nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung deiner Anfrage) bzw. lit. f DSGVO. Wir speichern diese Daten, bis deine Anfrage abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Die Website setzt keine Tracking- oder Marketing-Cookies ein.
4. Kein Werbe-Tracking
8Breath nutzt keine Werbenetzwerke und betreibt kein geräteübergreifendes Werbe-Tracking. Es wird keine Werbe-ID (IDFA/AAID) ausgelesen.
5. Rechtsgrundlagen
Bereitstellung der App, Konto/Anmeldung, CDN-Auslieferung sowie Kauf und Freischaltung von Präventionskursen (Stripe, Kurs-Daten): Art. 6 Abs. 1 lit. b/f. Anonyme Statistik, Health, Kamera: Art. 6 Abs. 1 lit. a (Einwilligung). Absturzdiagnose sowie App-/Geräte-Integritätsprüfung: Art. 6 Abs. 1 lit. f (berechtigtes Interesse).
6. Empfänger / Auftragsverarbeiter
Bunny.net (CDN), Supabase (Authentifizierung/Konten, Kurs-Freischaltungen/-Abschlüsse, anonyme Statistik, Geschenk-Codes), Stripe (Zahlungsabwicklung Web-Käufe von Präventionskursen), Google (Firebase App Check, Play Integrity, Google-Login, Firebase Crashlytics, Google Play), Apple (Sign in with Apple, App Attest, App Store), Facebook/Meta (Facebook-Login, sofern du ihn nutzt). Soweit Daten in Drittländer (z. B. USA) übermittelt werden, stützen wir dies auf die EU-Standardvertragsklauseln bzw. einen Angemessenheitsbeschluss.
7. Speicherdauer
Lokale Daten: bis zur Löschung durch dich. Kontodaten (inkl. E-Mail bzw. Apple-/Google-/Facebook-Kennung) sowie Kurs-Freischaltungen und -Abschlüsse: bis zur Löschung des Kontos in der App. Zahlungsbezogene Daten: bei Stripe gemäß deren Vorgaben und gesetzlichen (insb. handels- und steuerrechtlichen) Aufbewahrungsfristen. Anonyme Statistik: bis zum Widerruf, längstens 14 Monate. Absturzberichte: gemäß Dienst (i. d. R. 90 Tage). Attestierungs-Token werden nur kurzzeitig zur Prüfung verarbeitet.
8. Deine Rechte
Du hast die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3). Soweit ein Konto besteht, lassen sich Anfragen über die Konto-ID zuordnen; bei rein lokal gespeicherten Daten ohne Personenbezug ist eine Zuordnung ggf. nur eingeschränkt möglich. Dein Konto kannst du inklusive der zugehörigen Daten jederzeit selbst in der App löschen („Konto löschen", Art. 17). Es besteht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.
9. Berechtigungen widerrufen
Erteilte Berechtigungen (Kamera, optional Health) kannst du jederzeit in den Systemeinstellungen deines Geräts unter „8Breath" ändern oder widerrufen. Die anonyme Statistik schaltest du in den App-Einstellungen aus.
10. Kinder
8Breath richtet sich an ein allgemeines Publikum und ist nicht gezielt für Kinder bestimmt.
11. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Erklärung, wenn sich die App oder die Rechtslage ändern. Es gilt die auf dieser Seite veröffentlichte Fassung.
12. Kontakt
Datenschutzanfragen: support@8breath.de
13. Haftungsausschluss
8Breath ist ein Produkt zur Entspannung, Achtsamkeit und allgemeinen Wohlbefinden und kein Medizinprodukt. Die Inhalte dienen ausschließlich Informations- und Wohlfühlzwecken und sind nicht zur Diagnose, Behandlung, Heilung oder Vorbeugung von Krankheiten bestimmt. Sie ersetzen keine ärztliche Beratung.
Die Nutzung erfolgt auf eigene Verantwortung. Intensive Atemtechniken - insbesondere mit Luftanhalten (z. B. Wim-Hof-/Buteyko-Übungen) - dürfen nicht im oder am Wasser, beim Autofahren oder Bedienen von Maschinen durchgeführt werden und sind bei Schwangerschaft, Herz-Kreislauf-Erkrankungen, Epilepsie oder anderen gesundheitlichen Einschränkungen vorab ärztlich abzuklären. Bei Unwohlsein brich die Übung sofort ab.
Privacy Policy
for the 8Breath app · Last updated: 30 June 2026
1. Controller
The controller for data processing in connection with the 8Breath app under the GDPR is:
2. Principle: local first, anonymous account for protected content
8Breath is data-minimal. Your training data - breathing sessions, BOLT values, journal, course and sequence progress, favorites and settings - is stored only on your device and not transmitted to us. You can delete it at any time in the app settings.
To access protected content (guided audio, music, images), the app requires an account. This account is created automatically and initially anonymously the first time content is loaded - so you don't need to actively register. Optionally, you can upgrade the account by signing in with email, Apple, Google or Facebook, for example to use your content and purchased courses across devices. You can delete the account, including its associated data, at any time in the app (Settings → "Delete account"). See Section 3 for details.
3. What data does the app process?
a) Loading content via a CDN
Guided audio, music and images are loaded on demand from a CDN (Bunny.net). To protect against unauthorized downloading, content is delivered exclusively via short-lived, signed URLs, which require a valid (anonymous) session (see "User account & sign-in" below). When content is retrieved, this transmits - technically unavoidable - your IP address and technical connection data to the CDN. Purpose: content delivery, stability and abuse protection. Legal basis: Art. 6(1)(b) and (f) GDPR.
b) User account & sign-in
The first time content is loaded, the app creates an initially anonymous account (via Supabase Auth). This processes a random account ID, an authentication token, your IP address and a timestamp. Optionally, you can upgrade the account by signing in with email, Apple (Sign in with Apple), Google or Facebook; in that case we additionally process your email address or the identifier provided by Apple, Google or Facebook. The same account works in the app and on the web (under "Account" on 8breath.de). Purpose: secured content delivery (short-lived, signed URLs), protection against abuse and automated retrieval (scraping), and - for a signed-in account - optional cross-device use. Legal basis: Art. 6(1)(b) and (f) GDPR. You can delete the account, including its associated data, at any time in the app ("Delete account").
c) App and device integrity check (App Check / App Attest / Play Integrity)
To ensure that requests come from a genuine, unmodified 8Breath app (and not from tampered clients or bots), we perform a technical integrity check using Apple App Attest or Google Play Integrity, mediated via Firebase App Check (Google). An attestation token is processed. Purpose: protecting our content and servers from abuse. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in abuse protection).
d) Anonymous usage statistics (only with consent)
If you opt in, we collect anonymous usage events for product improvement: a randomly generated device identifier and events such as which content was started and for how long, stored at Supabase. Statistics are off by default and can be turned off again at any time (the identifier is reset). Legal basis: Art. 6(1)(a) GDPR (consent).
e) Crash and error diagnostics
For app stability we collect technical crash/error reports via Firebase Crashlytics (Google). Crash and error diagnostics are active by default and can be switched off at any time in the app settings (opt-out). We process only technical diagnostics such as error stack, device model, OS and app version, and a technical install identifier - no training, journal or health data. The recipient is Google/Firebase; this may involve a transfer to third countries (e.g. the USA) (see the section on recipients and third-country transfers). Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a stable, error-free app). Separate from this is the anonymous usage statistic, which only takes place with your consent and is off by default (see letter d).
f) Apple Health / Health Connect (optional)
Only if you actively allow it, 8Breath can read heart rate or write mindful minutes. This health data stays in the OS-managed storage on your device; we have no access. Revoke anytime in your system settings. Legal basis: Art. 6(1)(a), Art. 9(2)(a) GDPR.
g) Camera (optional pulse reading)
For the optional pulse/HRV reading from your fingertip, the app accesses the camera. Processing happens exclusively in real time on your device; no images or videos are stored or transmitted. You can use 8Breath entirely without the camera.
h) In-app purchases (8Breath Plus)
The "8Breath Plus" subscription is handled via the Apple App Store or Google Play. Payment is processed by Apple/Google; we receive no payment data, only whether a valid subscription exists.
i) Purchase of prevention courses (Stripe)
Certified prevention courses (statutory health-insurance courses, § 20 SGB V) can be purchased on the web via your account area. Payment is processed by the payment provider Stripe (Stripe Payments Europe, Ltd.). As an independent controller, Stripe processes the data required for the payment - depending on the payment method, e.g. name, email address, payment-method or bank details, amount and IP address. We ourselves receive no full payment data (e.g. no card number), only confirmation of whether the payment succeeded, and we link the purchased course to your account. Purpose: handling your purchase. Legal basis: Art. 6(1)(b) GDPR (performance of a contract). Stripe's own privacy policy applies in addition.
j) Course unlocking and completion (account data)
So that your purchased and completed prevention courses are available across devices and you can download a certificate of participation for your health insurer, we store - against your account at Supabase - which courses are unlocked (purchase) and which have been completed (technically: account ID, course identifier, purchase/completion timestamp). The contents of your exercises or any health data are not stored. Purpose: providing purchased courses and generating the certificate of participation. Legal basis: Art. 6(1)(b) GDPR. This data is deleted together with your account.
k) Website 8breath.de (hosting & contact forms)
When you visit our website 8breath.de, our host Hostinger processes technically required data in server log files (e.g. IP address, date and time, page requested, data volume, browser and OS type) for delivery, stability and security. Legal basis: Art. 6(1)(f) GDPR.
If you use one of our contact, application or feedback forms (e.g. on the contact or breathing-coach page), we process the data you provide - depending on the form: name, email address, optionally phone number, address and your message - to handle your request. The contents are sent by email to support@8breath.de and are not shared with third parties. Legal basis: Art. 6(1)(b) GDPR (handling your request) or (f) GDPR. We store this data until your request has been fully handled and no statutory retention periods apply. The website uses no tracking or marketing cookies.
4. No advertising tracking
8Breath uses no advertising networks and performs no cross-app advertising tracking. No advertising ID (IDFA/AAID) is read.
5. Legal bases
App provision, account/sign-in, CDN delivery, and purchase and unlocking of prevention courses (Stripe, course data): Art. 6(1)(b)/(f). Anonymous statistics, Health, camera: Art. 6(1)(a) (consent). Crash diagnostics and app/device integrity check: Art. 6(1)(f) (legitimate interest).
6. Recipients / processors
Bunny.net (CDN), Supabase (authentication/accounts, course unlocks/completions, anonymous statistics, gift codes), Stripe (payment processing for web purchases of prevention courses), Google (Firebase App Check, Play Integrity, Google sign-in, Firebase Crashlytics, Google Play), Apple (Sign in with Apple, App Attest, App Store), Facebook/Meta (Facebook login, if you use it). Where data is transferred to third countries (e.g. the USA), we rely on the EU Standard Contractual Clauses or an adequacy decision.
7. Storage period
Local data: until you delete it. Account data (including email or Apple/Google/Facebook identifier) and course unlocks/completions: until you delete the account in the app. Payment-related data: at Stripe per their requirements and statutory (in particular commercial and tax) retention periods. Anonymous statistics: until withdrawal, max 14 months. Crash reports: per the service (usually 90 days). Attestation tokens are processed only briefly for verification.
8. Your rights
You have the rights to access (Art. 15), rectification (16), erasure (17), restriction (18), portability (20), objection (21) and to withdraw consent (Art. 7(3)). Where an account exists, requests can be attributed via the account ID; for purely locally stored data without personal reference, attribution may be limited. You can delete your account, including its associated data, yourself at any time in the app ("Delete account", Art. 17). You also have the right to lodge a complaint with a supervisory authority.
9. Revoking permissions
You can change or revoke granted permissions (camera, optionally Health) anytime in your device's system settings under "8Breath". Turn off anonymous statistics in the app settings.
10. Children
8Breath targets a general audience and is not specifically intended for children.
11. Changes to this privacy policy
We update this policy when the app or legal framework changes. The version published on this page applies.
12. Contact
For privacy questions, reach us at support@8breath.de.
13. Disclaimer
8Breath is a product for relaxation, mindfulness and general well-being and is not a medical device. The content is for information and well-being purposes only and is not intended to diagnose, treat, cure or prevent any disease. It does not replace medical advice.
Use is at your own risk. Intensive breathing techniques - especially with breath holds (e.g. Wim Hof / Buteyko) - must not be performed in or near water, while driving or operating machinery, and should be cleared with a physician beforehand in case of pregnancy, cardiovascular disease, epilepsy or other health conditions. Stop immediately if you feel unwell.