Datenschutz-Hinweise
Stand: Mai 2026
⚠ Private App — Nutzung auf eigene Verantwortung
TrainSmart ist eine private, nicht-kommerzielle Web-App. Sie wird unter Bekannten ("Early Birds") geteilt. Eine professionelle Datenschutz-Compliance wie bei einem Unternehmen wird nicht zugesichert. Lies dir bitte durch, welche Daten verarbeitet werden, und nutze die App nur, wenn du damit einverstanden bist.
1. Wer betreibt die App?
Melanie Florenz, Siegburg. Kontakt: melanie.florenz@me.com
2. Welche Daten werden gespeichert?
Account-Daten
- E-Mail-Adresse (Login-Identifier)
- Passwort (gehashed mit bcrypt — Klartext wird nie gespeichert)
- Optional: 2FA-Geheimnis (TOTP) wenn du 2FA aktivierst
- Optional: Anthropic-API-Key wenn du einen eigenen verwendest
- Login-Sessions (wann und von wo eingeloggt) zur Sicherheit
Trainings-Daten
- Sportart, Datum, Dauer, Distanz, Höhenmeter
- Herzfrequenz, Watt, RPE, TSS
- Notizen, die du selbst eingibst
- Wenn Strava verbunden: Aktivitäts-Daten von Strava
Wellness-Daten
- Schlaf, HRV, Ruhepuls, Energie, Soreness, Stress, Stimmung
- Wellness-Notizen, die du selbst eingibst
Profil-Daten
- FTP, LTHR, HFmax, Gewicht, Alter, Geschlecht (sofern eingegeben)
- Wettkampf-Name, -Datum, -Sportart, -Distanz
- Trainings-Plan-Konfiguration
Technische Daten
- Audit-Log: Login-Versuche, sicherheitsrelevante Aktionen mit IP-Adresse und User-Agent (Speicherung 90 Tage)
- Server-Logs: HTTP-Anfragen (Speicherung 7 Tage)
- Wetter-Standort: Geo-Koordinaten werden im Browser-Local-Storage gespeichert (1 Stunde Cache), nicht auf dem Server
3. Wo werden die Daten gespeichert?
Auf einem Server bei Hetzner Cloud in Deutschland (Standort: Falkenstein/Nürnberg). Die Datenbank ist eine SQLite-Datei, verschlüsselte Verbindung via HTTPS (Let's Encrypt). Backups werden täglich auf dem gleichen Server angelegt.
4. Wer hat Zugriff?
- Du selbst: auf deine eigenen Daten
- Coaches: wenn du jemanden als Coach einlädst, sieht diese Person deine Trainings, Wellness, Pläne. Beziehungen kannst du jederzeit beenden.
- Admin (Melanie): technisch Zugang zur Datenbank, sieht aber nicht aktiv mit. Bei Fehlersuche kann es nötig sein, Daten anzusehen.
5. Welche Drittanbieter sind involviert?
Strava (USA) — optional
Wenn du dein Strava-Konto verbindest, ruft die App über die offizielle Strava-API deine Trainings ab. Was wir senden: nichts persönliches außer dem OAuth-Token. Was wir empfangen: deine Aktivitäten. Du kannst die Verbindung jederzeit in Account → Strava trennen.
Anthropic (USA) — optional, KI-Coach
Wenn du den KI-Coach nutzt, werden die von dir freigegebenen Trainings-Daten (siehe Account → KI-Coach für die genauen Toggles) zur Verarbeitung an Anthropic gesendet. Standardmäßig aus sind Trainings-Notizen und Wellness-Notizen — diese werden nur gesendet, wenn du es explizit aktivierst.
Anthropic bietet eine "no-train"-Policy: Daten aus API-Anfragen werden nicht zum Modell-Training verwendet. Details: anthropic.com/legal/privacy.
Wenn du keine Daten an Anthropic senden willst: KI-Coach einfach nicht nutzen, oder alle Consent-Toggles auf "aus" stellen (dann funktioniert der Coach nicht mehr sinnvoll).
Open-Meteo (EU) und BigDataCloud (Australien)
Für die Wetter-Funktion werden anonyme Geo-Koordinaten an Open-Meteo (Wetterdaten) und BigDataCloud (Reverse-Geocoding für Ortsnamen) gesendet. Keine Personen-bezogenen Daten, kein Tracking.
Hetzner (Deutschland)
Server-Provider. Sieht naturgemäß den verschlüsselten Datenverkehr. Hetzner ist DSGVO-konform und nach ISO 27001 zertifiziert.
Let's Encrypt (USA)
Stellt das HTTPS-Zertifikat aus. Sieht nur die Domain, keine Daten.
6. Cookies & Browser-Storage
- Session-Cookie (HttpOnly, Secure): nötig für Login, läuft nach 30 Tagen Inaktivität ab
- localStorage: Speichert dein gewähltes Theme, ausgewählte Athleten-Sicht (Coach-Modus), Wetter-Standort, dismiss-Status für Hinweise und Onboarding-Tour. Bleibt nur in deinem Browser, wird nicht zum Server geschickt.
- Service Worker: Cached die App für Offline-Nutzung. Speichert keine personenbezogenen Daten.
7. Wie lange werden Daten gespeichert?
- Trainings, Wellness, Profile: solange dein Account existiert
- Audit-Log: 90 Tage
- Server-Logs: 7 Tage
- Backups: 14 Tage
- Bei Account-Löschung: alle Daten werden entfernt (Coaching-Beziehungen ggf. von der Gegenseite weiterhin sichtbar)
8. Deine Rechte
Auch wenn die App nicht-kommerziell ist, halte ich mich an die Grundprinzipien der DSGVO:
- Auskunft: Email an oben genannte Adresse → ich schicke dir deine Daten als Export
- Berichtigung: Du kannst deine Daten direkt in der App ändern
- Löschung: Email genügt, dein Account wird gelöscht
- Datenportabilität: Strava-Daten kannst du dort weiter exportieren. App-Daten gibt's auf Anfrage als JSON.
- Widerspruch: KI-Coach-Toggles kannst du jederzeit ändern, Strava trennen, Account schließen.
9. Datensicherheit
- HTTPS-only (TLS 1.3)
- Passwörter mit bcrypt gehashed (cost 12)
- 2FA optional verfügbar (TOTP)
- Account-Lockout nach 5 fehlgeschlagenen Login-Versuchen
- Tägliche automatische Backups
- Server-Firewall, automatische Sicherheits-Updates
Trotzdem: 100%-ige Sicherheit gibt es nicht. Wenn du sehr sensible Daten hast, lass sie weg.
10. Änderungen dieser Hinweise
Wenn sich die App weiterentwickelt, kann sich auch dieser Text ändern. Nutzer werden bei wesentlichen Änderungen per Email informiert.
11. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW.
