Datenschutzerklärung

FormTrack ist eine App zur Trainings- und Erholungsverfolgung für Athletinnen, Athleten und ihre Trainer. Diese Datenschutzerklärung erläutert, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage. Maßstab ist die Datenschutz-Grundverordnung (DSGVO).

1. Verantwortlicher

Verantwortlich

Merlin Hummel
München, Deutschland

Kontakt

[email protected]

Hosting

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

CDN / TLS

Cloudflare, Inc., 101 Townsend St., San Francisco, USA

2. Welche Daten verarbeitet werden

2.1 Kontodaten

• Name und E-Mail-Adresse bei der Registrierung
• Passwort, ausschließlich als bcrypt-Hash gespeichert — niemals im Klartext
• Rolle (Athletin/Athlet oder Trainer)
• Optional: Bondarchuk-Responder-Typ (für die Trainingsplan-Logik)
• Optional: Persönlicher API-Schlüssel für externe HealthKit-Sync-Tools (z. B. Health Auto Export)

2.2 Gesundheits- und Fitnessdaten

Bei deiner Zustimmung liest FormTrack die folgenden Werte aus Apple Health (HealthKit) und überträgt sie verschlüsselt an den FormTrack-Server, damit sie auch in der Web-Ansicht und auf weiteren Geräten verfügbar sind:

• Herzfrequenzvariabilität (HRV, RMSSD)
• Ruhe-Herzfrequenz
• Schlafdauer und Schlafphasen (Tief, REM, Kern, Wach)
• Atemfrequenz
• Handgelenks-Temperatur-Abweichung

FormTrack schreibt keine Daten zurück nach Apple Health. Die HealthKit-Berechtigung NSHealthUpdateUsageDescription wird aus rein technischen Gründen mit angefragt, aber nicht genutzt.

2.3 Trainings- und Selbstbewertungs-Daten

• Trainingspläne (Blöcke, Übungen, Soll-Werte, Wochenzuordnung)
• Trainings-Einheiten (Datum, Slot, geloggte Sätze, RPE, Wurfweiten, Notizen)
• Stimmungs- und Energie-Checks (Explosivität, Fitness-Gefühl, Trainings-Gefühl)
• Wettkampf-Termine und Bondarchuk-Zyklus-Zuordnung

2.4 Technische Daten

Der Server protokolliert für Sicherheits- und Stabilitätszwecke kurzfristig Zugriffs-Metadaten (IP-Adresse, User-Agent, angefragter Pfad, HTTP-Statuscode). Diese Logs werden nach maximal 14 Tagen rotiert. Es findet kein Web-Tracking, kein Analytics und keine Profilbildung statt.

3. Zwecke und Rechtsgrundlagen

• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Betrieb der App, Bereitstellung deiner Trainings- und Gesundheits-Daten an dich selbst und — falls explizit verknüpft — an deinen Coach.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO): Verarbeitung der Gesundheitsdaten erfolgt nur nach deiner ausdrücklichen Zustimmung im HealthKit-Dialog. Du kannst die Zustimmung jederzeit in den iOS-Einstellungen widerrufen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheitslogs zur Abwehr von Angriffen.

4. Datenweitergabe an Dritte

4.1 Anthropic (Plan-Import)

Wenn dein Coach einen Trainingsplan als PDF hochlädt, wird der Text-Inhalt des PDFs einmalig an die Anthropic-API (Claude) übermittelt, um daraus eine strukturierte Plan-Vorschau zu erzeugen. Es werden keine Gesundheitsdaten und keine Klarnamen mitgeschickt. Anthropic verarbeitet die Anfrage in den USA (Standard Contractual Clauses).

Anbieter: Anthropic, PBC · 548 Market St #41697, San Francisco, USA · Datenschutzhinweise

4.2 Apple HealthKit

HealthKit ist Bestandteil von iOS. Die Daten liegen lokal auf deinem Gerät und werden ausschließlich nach deiner expliziten Freigabe an FormTrack ausgelesen. Apple selbst hat keinen Zugriff auf deine FormTrack-Daten.

4.3 Cloudflare

Cloudflare terminiert die TLS-Verbindung und schützt vor DDoS-Angriffen. Dabei wird die IP-Adresse temporär verarbeitet. Vertrag mit Standard Contractual Clauses. Cloudflare Datenschutz

4.4 Trainer-Verknüpfung

Wenn du dich mit einem Coach verknüpfst (Invite-Code), hat dein Coach Lese-Zugriff auf deine Trainings-, Stimmungs- und Gesundheitsdaten. Diese Verknüpfung erfolgt aktiv durch dich — sie kann jederzeit durch Konto-Löschung beendet werden.

4.5 Keine Werbenetzwerke

FormTrack bindet keine Werbe-, Tracking- oder Analytics-Drittanbieter ein. Es gibt keine Tracking-Pixel, keine Google Analytics, keine Facebook-Pixel, kein Crashlytics.

5. Speicherdauer

Sämtliche Daten werden gespeichert, bis du dein Konto löschst. Du kannst dein Konto direkt in der App löschen (Profil → Konto löschen) — alle Trainingspläne, Health-Werte, Stimmungs-Einträge und Wettkampf-Termine werden dabei sofort und unwiderruflich vom Server entfernt.

Sicherheitslogs werden spätestens nach 14 Tagen rotiert. Backups des Datenbestands werden täglich erstellt und nach 30 Tagen gelöscht.

6. Deine Rechte

Du hast nach DSGVO das Recht auf:

• Auskunft (Art. 15) — schreib uns, welche Daten wir über dich gespeichert haben
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten
• Löschung (Art. 17) — entweder selbst in der App oder per E-Mail
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit (Art. 20) — Export deiner Daten in maschinenlesbarem Format
• Widerspruch (Art. 21) gegen Verarbeitung auf Basis berechtigter Interessen
• Widerruf erteilter Einwilligungen (Art. 7) — z. B. Entzug der HealthKit-Berechtigung in den iOS-Einstellungen
• Beschwerde bei einer Aufsichtsbehörde (Art. 77) — zuständig ist in Bayern das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach

Für alle Anfragen genügt eine formlose E-Mail an [email protected].

7. Sicherheit

• Alle Verbindungen erfolgen ausschließlich über TLS 1.3 (HTTPS).
• Passwörter werden mit bcrypt mit Per-User-Salt gehasht.
• Auth-Tokens (JWT) sind kurzlebig und werden in der iOS-Keychain mit Zugriffsklasse kSecAttrAccessibleWhenUnlockedThisDeviceOnly abgelegt — sie verlassen das Gerät nie und werden nicht in iCloud-Backups synchronisiert.
• Optionale App-Sperre per Face ID oder Geräte-Code vor dem Öffnen.
• API-Endpunkte sind mit Rate-Limits gegen Brute-Force geschützt.
• Der Server steht in einem Rechenzentrum in Deutschland (Hetzner).

8. Kinder

FormTrack richtet sich nicht an Kinder unter 13 Jahren. Wenn du jünger als 16 Jahre bist, lass deinen Account von einer erziehungsberechtigten Person mit deren Einwilligung anlegen.

9. Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist immer unter getformtrack.app/privacy abrufbar. Bei wesentlichen Änderungen informieren wir dich in der App.