Zurück zur Übersicht zur Übersicht

Datenschutzerklärung

1. Wer ist verantwortlich?

Verantwortlich für die Datenverarbeitung auf dieser Website und Applikation ist:

Nils Jansen
Rummelsburger Str. 58
44581 Castrop Rauxel
E-Mail: nilsjansen@athleticasyn.de

2. Hosting und Serverstandort

Hosting mit STRATO: Wir hosten die Infrastruktur unserer Datenbanken (PostgreSQL) und unserer Anwendung bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin. Alle Daten verbleiben auf hochsicheren Servern in Deutschland, womit die strengen europäischen Datenschutzstandards garantiert sind.

Logfiles: Bei jedem Aufruf unserer Dienste erfasst STRATO aus technischen Gründen Server-Logfiles (z.B. Ihre IP-Adresse, Datum/Uhrzeit, Browser-Typ). Die Nutzung von STRATO erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur sicheren und stabilen Bereitstellung unseres Angebots. Wir haben einen Vertrag über Auftragsverarbeitung (AVV) mit STRATO geschlossen (Art. 28 DSGVO).

3. Verarbeitung sensibler Gesundheitsdaten (Art. 9 DSGVO)

Für die vollumfängliche Nutzung unserer App, insbesondere für den Kalorienrechner, den Food Tracker und die Trainingspläne, erheben und verarbeiten wir gesundheitsbezogene Daten von Ihnen. Hierzu gehören:

  • Körpergewicht und Größe
  • Körperfettanteil (KFA) und berechneter Kalorienbedarf
  • Geschlecht und Geburtsdatum
  • Trainingsdaten, bewegtes Gewicht und Fitness-Fortschritte
  • Schlafqualität und Stimmung (Journaling)

Rechtsgrundlage: Bei diesen Informationen handelt es sich um "besondere Kategorien personenbezogener Daten" im Sinne von Art. 9 Abs. 1 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO, die Sie uns im Rahmen der Registrierung oder Profilerstellung erteilen. Ohne diese Daten können die Kernfunktionen der App (z.B. BMI-Berechnung, Kalorienziel) nicht bereitgestellt werden.

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z.B. durch das Löschen Ihres Accounts.

4. Technisch-Organisatorische Maßnahmen (TOMs) & Datensicherheit (Art. 32 DSGVO)

Aufgrund der hohen Sensibilität Ihrer Gesundheits- und Trainingsdaten setzen wir ein Höchstmaß an Sicherheitsarchitektur (Security-by-Design) ein, um Ihre Daten gemäß Art. 32 DSGVO zu schützen:

  • Passwort-Verschlüsselung: Ihre Passwörter werden niemals im Klartext gespeichert. Wir nutzen modernste Kryptografieverfahren (bcrypt-Hashing) auf Applikationsebene, noch bevor Daten in die Datenbank geschrieben werden.
  • SSL/TLS-Verschlüsselung: Die gesamte Kommunikation zwischen Ihrem Endgerät und unseren Servern ist Ende-zu-Ende verschlüsselt.
  • Sicherheits-Header & Backend-Schutz: Unsere App-Infrastruktur blockiert bösartige Zugriffe aktiv durch strikte CORS-Einschränkungen (nur authentifizierte Domains dürfen zugreifen), Content-Security-Policies (CSP), X-Frame-Options (Clickjacking-Schutz) und striktes Rate Limiting unserer APIs.

5. Nahrungsmittel-APIs & Barcode-Scanner (FatSecret / USDA / Open Food Facts)

Um Ihnen eine riesige Lebensmitteldatenbank für den Food-Tracker und das Barcode-Scannen zur Verfügung zu stellen, greifen wir unter anderem auf die Schnittstellen externer Anbieter wie FatSecret und der USDA (US-Ernährungsministerium) zu.

WICHTIG für Ihren Datenschutz (Server-Side Proxying):
Wenn Sie ein Lebensmittel suchen oder einen Barcode scannen, kommuniziert Ihr Handy/Browser nicht direkt mit diesen Anbietern. Ihre Anfrage wird zuerst verschlüsselt an unseren eigenen Server bei Strato in Deutschland gesendet. Erst unser Server ruft die Nährwerte bei FatSecret oder USDA ab und leitet sie an Sie weiter.

Das bedeutet: Ihre IP-Adresse, Ihr Profil und Ihre Gesundheitsdaten bleiben zu 100% anonym und werden niemals an diese Drittanbieter übertragen. Die Anbieter sehen lediglich die Server-IP unserer Infrastruktur. Die Nutzung dieser Schnittstellen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, um unseren Service attraktiv zu gestalten.

6. GPS-Tracking, Sensordaten & OpenRouteService (Art. 9 DSGVO)

Für die Nutzung des Live-GPS-Trackers erheben wir Ihre genauen Standortdaten über die Geolocation API Ihres Browsers oder Smartphones. Diese Daten (Bewegungsprofile) gehören ebenfalls zu den besonderen Kategorien personenbezogener Daten und werden nur nach Ihrer ausdrücklichen Gerätezustimmung erhoben.

Wir nutzen zudem die OpenRouteService API, um Ihre Routen auf der Karte grafisch darzustellen. Hierbei werden anonymisierte GPS-Koordinaten verschlüsselt an die API-Schnittstelle von OpenRouteService übertragen, um Routen zu berechnen. Es werden keine Nutzerprofile oder Gesundheitsdaten dorthin gesendet.

Zusätzlich verwenden wir im Browser die Wake Lock API (um das Display während des Laufs aktiv zu halten) und die DeviceOrientation API (um Ihnen eine Kompass-Ansicht anzubieten). Diese Sensorzugriffe erfolgen rein lokal auf Ihrem Gerät und werden nicht auf unseren Servern gespeichert.

7. Community-Bibliothek, Rangliste & Nutzerfotos

Opt-In Prinzip: Ihre aufgezeichneten GPS-Routen sind standardmäßig rein privat. Sie können sich über einen aktiven Klick (Opt-In) entscheiden, eine Route in die "Community-Bibliothek" hochzuladen, um sie mit anderen zu teilen. Gleiches gilt für die Teilnahme an der Rangliste (Leaderboard).

Wenn Sie Fotos im Rahmen von Herausforderungen oder der Trainingsanalyse hochladen, werden diese auf unseren sicheren Servern bei Strato abgelegt. Die Veröffentlichung dieser Fotos im Community-Kontext erfordert ebenfalls Ihr explizites Opt-In.

8. Live-Videocalls, Audio & Transkriptionen

Die Web-App bietet eine Videocall-Funktion für persönliche Coachings an. Hierbei werden Audio- und Videostreams verarbeitet.

Lokale Verarbeitung & KI-Transkripte: Zur Qualitätssicherung und für Ihre Coaching-Notizen nutzen wir KI-Modelle zur Transkription der gesprochenen Inhalte. Diese Transkripte werden verschlüsselt an unseren Server übermittelt und dort gespeichert. Weder die rohen Audio- noch Videostreams werden dauerhaft von uns aufgezeichnet oder gespeichert. Alle Übertragungen sind strikt TLS/SSL-verschlüsselt (Art. 32 DSGVO).

9. Cookies und Sitzungsdaten

Wir verwenden technisch notwendige Cookies, um Ihre Sitzung aufrechtzuerhalten und den passwortgeschützten Bereich (Portal) abzusichern. Wir verwenden HttpOnly und Secure Cookies. Das bedeutet, dass Ihre Sitzungstoken vor dem Auslesen durch bösartige Skripte (XSS) geschützt sind und nur über verschlüsselte HTTPS-Verbindungen gesendet werden.

10. Weitergabe von Daten

Ihre persönlichen Daten und Gesundheitswerte bleiben streng vertraulich bei uns. Es erfolgt keine Weitergabe an Dritte für Werbe- oder Marketingzwecke. Eine Weitergabe erfolgt nur dann, wenn Sie ausdrücklich zustimmen (z.B. bei der Nutzung von externen Wearable-Verbindungen wie Oura oder Withings).

11. FAQ-Bot & Künstliche Intelligenz (Groq API)

Zur Beantwortung von Support-Anfragen setzen wir einen KI-gestützten Chatbot ("Athleticasynhulk") ein. Dieser Bot nutzt die Groq API (ein KI-Sprachmodell), um Ihre textbasierten Anfragen in Echtzeit zu beantworten.

Datenverarbeitung im Chat: Die Texteingaben, die Sie an den Chatbot senden, werden zur Verarbeitung an die Server von Groq übermittelt. Wir haben den Bot durch strikte Systemanweisungen so konfiguriert, dass er niemals nach personenbezogenen Daten fragt und keinen Zugriff auf Ihre Account- oder Gesundheitsdaten hat. Bitte geben Sie in den Support-Chatverläufen von sich aus keine sensiblen persönlichen Daten ein. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. f DSGVO zur Bereitstellung eines effizienten Supports.

12. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erreichung der hier genannten Zwecke erforderlich ist oder wie es die vom Gesetzgeber vorgesehenen vielfältigen Speicherfristen vorsehen. Nach Fortfall des jeweiligen Zweckes bzw. Ablauf dieser Fristen werden die entsprechenden Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht. Wenn Sie Ihr Benutzerkonto löschen, werden Ihre Gesundheits- und Trainingsdaten umgehend vollständig aus unseren aktiven Datenbanken entfernt.

13. Partnerprogramme und Affiliate-Links (Zumub)

Wir nehmen an Partnerprogrammen teil (z.B. dem Zumub-Partnerprogramm). Auf unseren Seiten und in E-Mails sind entsprechend gekennzeichnete Affiliate-Links eingebunden. Wenn Sie auf einen solchen Link klicken, wird der Anbieter (z.B. Zumub) darüber informiert, dass Sie von unserer Plattform gekommen sind (Referral-Tracking). Dies dient der Zuordnung von Vermittlungsprovisionen. Wir übermitteln dabei keine persönlichen Daten aus Ihrem Account (wie z.B. Name oder Gesundheitsdaten) an diese Partner. Es gelten die Datenschutzbestimmungen der jeweiligen Zielseite.

14. Ihre Rechte

Sie haben jederzeit das Recht:

  • Auskunft über Ihre gespeicherten personenbezogenen Daten zu erhalten.
  • Die Berichtigung unrichtiger Daten oder die Löschung Ihrer Daten zu verlangen ("Recht auf Vergessenwerden").
  • Einwilligungen (z.B. zur Verarbeitung von Gesundheitsdaten) für die Zukunft zu widerrufen.
  • Einen Export Ihrer Daten anzufordern (Datenübertragbarkeit).
  • Recht auf Beschwerde bei einer Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Zur Ausübung Ihrer Rechte können Sie direkt die Konto-Löschen-Funktion im Admin-Bereich nutzen oder uns eine E-Mail an die oben genannte Kontaktadresse senden.