Daten­schutz­erklärung

1. Verantwortlicher

Vincent Link Ansgarstr. 20 13465 Berlin E-Mail: vincent@structour.de

(Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen.)

2. Überblick über die Datenverarbeitung

StrucTour ist eine Plattform für Ausdauersportler zur Analyse von Trainingsdaten. Extensions (Analyse-Tools) laufen ausschließlich in sandboxierten iframes im Browser des Nutzers — Trainingsdaten verlassen diesen sicheren Rahmen technisch nicht („Code-to-Data"-Prinzip).

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten.

3. Verarbeitete Datenkategorien, Zwecke und Rechtsgrundlagen

3.1 Accountdaten

Ihr Passwort wird niemals im Klartext gespeichert, sondern ausschließlich als kryptografischer Hash (bcrypt) über Supabase Auth.

3.2 Profildaten

3.3 Gesundheitsdaten (besondere Kategorie, Art. 9 DSGVO)

Die folgenden Daten sind Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und werden nur nach Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO verarbeitet. Die Einwilligung wird vor dem ersten Datenupload über eine separate Einwilligungserklärung (ConsentGate) eingeholt.

Trainingsdaten aus .FIT-Dateien:

• Herzfrequenzdaten (Durchschnitt, Maximum, Zeitreihe)
• Leistungsdaten in Watt (Durchschnitt, Maximum, normalisiert, Zeitreihe)
• Geschwindigkeit und Trittfrequenz (Kadenz)
• Höhendaten (Aufstieg, Abstieg, Höhenprofil)
• Kalorienverbrauch

Standortdaten:

• GPS-Routen (Breitengrad, Längengrad als Zeitreihe)

Trainingsparameter (vom Nutzer eingetragen):

• Schwellenleistung (Threshold Power in Watt)
• Laktatschwellen-Herzfrequenz (LTHR in bpm)
• Anaerober Arbeitsvorrat (W' in kJ)

Erweiterte Profildaten:

• Geburtsdatum, Geschlecht (personenbezogene Daten, Art. 4 DSGVO)
• Gewicht (kg), Größe (cm) — Gesundheitsdaten
• Maximale Herzfrequenz (bpm), Ruheherzfrequenz (bpm) — Gesundheitsdaten
• Benutzerdefinierte Leistungs- und Herzfrequenzzonen — abgeleitete Gesundheitsdaten

Trainingsplan-Daten (KI-generiert):

• Gespeicherte Trainingspläne (Titel, Ziel, Sportart, Zeitraum)
• Geplante Workouts (Datum, Sportart, Workout-Typ, Dauer, Beschreibung, geschätzte Belastung)
• Rennen (Name, Datum, Sportart, Distanz, Priorität)

Zwecke: Trainingsanalyse, Leistungsauswertung, Zonenberechnung, KI-gestützte Trainingsplanung.

Rechtsgrundlage: Ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (siehe Abschnitt 8).

Hinweis zum Datenupload: Hochgeladene .FIT-Rohdateien werden nicht dauerhaft gespeichert. Das Parsing erfolgt vollständig im Browser (clientseitig); nur die strukturierten Analysedaten werden an den Server übermittelt und gespeichert. Dies dient der Datensparsamkeit gemäß Art. 5 Abs. 1 lit. c DSGVO.

3.4 Allgemeine Trainingsdaten

3.5 Extension-Nutzungsdaten

Bewertungen werden nur aggregiert (Durchschnitt und Anzahl) angezeigt, nicht einzelnen Nutzern zugeordnet.

Extension-Ergebnisdaten unterliegen einer technischen Speicherbegrenzung von 512 KB pro Extension und Nutzer. Bei Deinstallation einer Extension werden alle zugehörigen Daten automatisch gelöscht (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO).

3.6 Extension-Richtlinien-Akzeptanz

3.7 Admin-Audit-Logs

Berechtigtes Interesse: Die Protokollierung administrativer Handlungen dient der Sicherheit und Integrität der Plattform. Audit-Logs enthalten keine Gesundheitsdaten und sind auf das Minimum beschränkt (Admin-UUID und Aktionstyp).

3.8 KI-Nutzungsdaten

Wichtiger Hinweis: Prompt-Inhalte (Ihre Eingaben an die KI) werden auf StrucTour-Servern nicht gespeichert oder geloggt. Es werden ausschließlich aggregierte Metadaten (Anzahl und Umfang der Anfragen) erfasst.

3.9 Transaktionale E-Mail-Kommunikation

Bei Genehmigung einer Extension wird eine einmalige Benachrichtigung an die hinterlegte E-Mail-Adresse des Nutzers versendet. Der Versand erfolgt über einen eigenen SMTP-Server (kein US-Drittanbieter). Es findet kein E-Mail-Tracking (keine Öffnungs- oder Klickpixel) statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Benachrichtigung ist Teil der Plattformdienstleistung).

3.10 Verbindungsdaten für Geräte-API-Sync (Garmin, Wahoo)

OAuth-Tokens werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert und sind ohne den Entschlüsselungsschlüssel nicht lesbar.

3.11 Wetter-Standortdaten

Bei Nutzung wetterbezogener Extension-Funktionen werden Standortdaten (Breitengrad, Längengrad) zur Wetterabfrage an externe APIs übermittelt. Vor der Übermittlung werden die Koordinaten auf 2 Dezimalstellen gerundet (~1,1 km Unschärfe), um eine Datenminimierung zu gewährleisten. Es wird kein Nutzer-Identifier an die externen Wetter-APIs übermittelt; die Abfragen sind anonym und zustandslos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Bereitstellung einer vom Nutzer aktiv ausgelösten Extension-Funktion).

Wetter-Nutzungsstatistiken (Nutzer-ID, Extension-ID, Datum, Anzahl Anfragen) werden intern für das Rate-Limiting gespeichert (max. 50 Anfragen pro Nutzer und Tag pro Extension).

4. Drittanbieter und Datentransfers in Drittländer

4.1 Supabase (Datenbank und Authentifizierung)

• Anbieter: Supabase Inc.
• Zweck: Datenbankhosting, Nutzerauthentifizierung, Dateispeicherung
• Serverstandort: EU-Region Frankfurt (eu-central-1)
• Datentransfer in Drittland: Keiner — Daten werden ausschließlich in der EU verarbeitet

4.2 Google Identity Services (OAuth)

• Anbieter: Google Ireland Ltd. / Google LLC
• Zweck: Optionale Anmeldung über „Mit Google anmelden“
• Verarbeitete Daten: Name, E-Mail-Adresse, Profilbild-URL
• Datentransfer: Bei Nutzung von Google OAuth werden Daten an Google übermittelt. Es gelten die Datenschutzbestimmungen von Google.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Google-Login-Buttons)

4.3 Vercel (Hosting)

• Anbieter: Vercel Inc., USA
• Zweck: Hosting der Webanwendung und serverloser Funktionen
• Datentransfer: Vercel kann Daten in den USA verarbeiten. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
• Hinweis: Serverseitige Funktionen werden nach Möglichkeit in der EU-Region ausgeführt.

4.4 Anthropic (KI-gestützte Trainingsanalyse und -planung)

• Anbieter: Anthropic PBC, San Francisco, USA
• Zweck: KI-gestützte Trainingsanalyse und Generierung individueller Trainingspläne (Modell: Claude)
• Verarbeitete Daten: Aggregierte Trainingsstatistiken (keine Rohdaten-Streams), Athletenprofildaten (Sportart, Zonen, Leistungsparameter). Prompt-Inhalte werden auf StrucTour-Servern nicht geloggt.
• Datentransfer: USA. Die Übermittlung erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (DPF) gemäß Art. 45 DSGVO (Angemessenheitsbeschluss der EU-Kommission). Ergänzend besteht ein Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO.
• Hinweis: Laut Anthropic werden API-Daten nicht für das Training von KI-Modellen verwendet.
• Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung — der Nutzer initiiert die KI-Nutzung aktiv).

Wichtig: KI-generierte Trainingsempfehlungen stellen keine medizinische Beratung dar und ersetzen nicht die Konsultation eines Arztes oder qualifizierten Trainers.

4.5 Garmin (Geräte-Sync)

• Anbieter: Garmin International Inc. / Garmin Ltd., USA/Schweiz
• Zweck: Automatischer Import von Trainingsaktivitäten (.FIT-Dateien) über die Garmin Health API
• Controller-Status: Garmin ist ein eigenständiger Verantwortlicher (independent controller) im Sinne der DSGVO, nicht Auftragsverarbeiter von StrucTour. Beide Parteien haben eigene, unabhängige datenschutzrechtliche Pflichten. Es gelten die Datenschutzrichtlinien von Garmin.
• Verarbeitete Daten: Bei der Verbindung über OAuth werden Daten kurzfristig über Garmin-Server (USA) geleitet. Nach dem Import werden die Trainingsdaten ausschließlich in der EU (Frankfurt) gespeichert.
• Datentransfer: Der Transfer erfolgt unter den EU-Standardvertragsklauseln (SCCs), Modul 1 (Controller-to-Controller), gemäß EU-Durchführungsbeschluss 2021/914, sowie unter dem EU-U.S. Data Privacy Framework (DPF).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für den Sync-Dienst), Art. 9 Abs. 2 lit. a DSGVO (Einwilligung für Gesundheitsdaten — über ConsentGate vor der ersten Verbindung erteilt).
• Widerruf: Sie können die Garmin-Verbindung jederzeit in den Einstellungen trennen. Dabei können Sie wählen, ob die importierten Daten beibehalten oder gelöscht werden sollen.

4.6 Wahoo (Geräte-Sync)

• Anbieter: Wahoo Fitness LLC, USA
• Zweck: Automatischer Import von Trainingsaktivitäten (.FIT-Dateien) über die Wahoo Cloud API
• Verarbeitete Daten: Bei der Verbindung über OAuth werden Daten über Wahoo-Server (USA) geleitet. Nach dem Import werden die Trainingsdaten ausschließlich in der EU (Frankfurt) gespeichert.
• Datentransfer: Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 9 Abs. 2 lit. a DSGVO (Einwilligung für Gesundheitsdaten).
• Löschpflicht: Bei Widerruf der Verbindung (durch Sie oder durch Wahoo) werden alle über Wahoo importierten Aktivitätsdaten innerhalb von 48 Stunden automatisch gelöscht (Pflicht gemäß Wahoo API-Nutzungsbedingungen).
• Widerruf: Sie können die Wahoo-Verbindung jederzeit in den Einstellungen trennen.

4.7 Wetter-APIs (Bright Sky, Open-Meteo)

• Anbieter: Bright Sky (Deutscher Wetterdienst, Open-Source-API), Open-Meteo (Open-Source-API)
• Zweck: Bereitstellung von historischen und prognostizierten Wetterdaten für Extensions
• Verarbeitete Daten: Gerundete Standortkoordinaten (2 Dezimalstellen, ~1,1 km Unschärfe). Kein Nutzer-Identifier wird übermittelt.
• Datentransfer: Bright Sky verarbeitet Daten in Deutschland. Open-Meteo-Server können außerhalb der EU stehen; es werden jedoch keine personenbezogenen Daten übermittelt (anonyme, zustandslose Abfragen).

5. Cookies und Session-Verwaltung

StrucTour verwendet ausschließlich technisch notwendige Session-Cookies für die Authentifizierung. Es werden keine Marketing-, Tracking- oder Analyse-Cookies eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i.V.m. § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendige Cookies bedürfen keiner Einwilligung).

6. Speicherdauer und Löschung

7. Sicherheitsmaßnahmen (Art. 32 DSGVO)

Zum Schutz Ihrer Daten setzen wir folgende technische und organisatorische Maßnahmen (TOMs) ein:

• Verschlüsselung: HTTPS/TLS für alle Datenübertragungen; AES-256-GCM-Verschlüsselung für OAuth-Tokens; bcrypt-Hashing für Passwörter
• Zugriffskontrolle: Row Level Security (RLS) auf allen Datenbanktabellen — jeder Nutzer sieht ausschließlich seine eigenen Daten
• Datenminimierung: Clientseitiges .FIT-Parsing (Rohdaten verlassen den Browser nicht); keine Speicherung von .FIT-Rohdateien; keine Speicherung von KI-Prompt-Inhalten; Koordinaten-Rundung bei Wetter-Abfragen
• Extension-Sandbox: Extensions laufen in iframes mit sandbox="allow-scripts" ohne allow-same-origin; CSP connect-src 'none' verhindert jeglichen Netzwerkzugriff aus Extensions; kein Zugriff auf Host-Cookies, localStorage oder Session-Tokens
• Serverseitige Validierung: Alle Nutzereingaben werden serverseitig mit Zod-Schemas validiert
• Kaskadenlöschung: Alle nutzerbezogenen Daten werden bei Kontolöschung automatisch und vollständig über Datenbank-Kaskaden gelöscht
• EU-Datenhaltung: Primäre Datenspeicherung in Supabase EU-Region Frankfurt (eu-central-1)

8. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten. Ihre Trainingsdaten, Profilinformationen und Verbindungsdaten können Sie jederzeit in der App einsehen (Trainings-Hub, Einstellungen, Profil).

8.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können unrichtige personenbezogene Daten jederzeit in Ihren Profileinstellungen korrigieren.

8.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können Ihr Konto jederzeit unter Einstellungen → Konto → Konto löschen vollständig löschen. Dabei werden sämtliche personenbezogenen Daten (Profil, Trainingsdaten, Bewertungen, Extension-Daten, Sync-Verbindungen, KI-Nutzungsdaten) unwiderruflich gelöscht. Die Löschung erfolgt sofort und vollständig über Datenbank-Kaskaden.

8.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, wenn die gesetzlichen Voraussetzungen vorliegen.

8.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Kontaktieren Sie uns hierfür unter der oben genannten E-Mail-Adresse.

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) können Sie jederzeit Widerspruch einlegen. Wir werden die Verarbeitung dann einstellen, sofern keine zwingenden schutzwürdigen Gründe überwiegen.

8.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Einwilligungen (insbesondere für Gesundheitsdaten nach Art. 9 Abs. 2 lit. a DSGVO) können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf der Gesundheitsdaten-Einwilligung führt zur vollständigen Löschung aller Trainingsdaten. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Geräteverbindungen (Garmin, Wahoo) können Sie jederzeit unter Einstellungen → Daten trennen.

8.8 Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstr. 219 10969 Berlin https://www.datenschutz-berlin.de

9. Minderjährigenschutz

Die Nutzung von StrucTour ist ab 16 Jahren gestattet. Personen unter 16 Jahren benötigen die Zustimmung eines Erziehungsberechtigten gemäß Art. 8 DSGVO.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Datenverarbeitung oder der Rechtslage anzupassen. Die aktuelle Fassung ist stets über die Plattform abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.