Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Tim Kegler

Hans-Möhrle-Straße 61

72622 Nürtingen

Deutschland

E-Mail: privacy@impeto.cc

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur,

soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer

Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt

regelmäßig nur nach Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO)

oder auf Basis eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO).

2.2 Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Wichtig: Diese Anwendung verarbeitet Gesundheitsdaten (Herzfrequenz,

Trainingsleistung, Körpergewicht, HRV, Schlafdaten). Dies sind besonders

geschützte Daten nach Art. 9 Abs. 1 DSGVO. Die Verarbeitung erfolgt

ausschließlich auf Basis Ihrer ausdrücklichen Einwilligung nach

Art. 9 Abs. 2 lit. a DSGVO.

Sie können diese Einwilligung jederzeit über Ihren Account widerrufen

(Funktion "Konto löschen" unter Einstellungen).

3. Bereitstellung der Website und Erstellung von Logfiles

Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten

und Informationen vom Computersystem des aufrufenden Rechners:

  • IP-Adresse (im sicherheitsrelevanten Audit-Log nach 30 Tagen automatisch

maskiert)

  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • User-Agent (Browser-Information)

Webserver-Logs (HTTP-Access-Logs) selbst werden nicht persistent gespeichert

und nur zur Fehlerdiagnose im Arbeitsspeicher gehalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an

Funktionsfähigkeit und Sicherheit).

4. Registrierung und Account-Daten

Bei der Registrierung erheben wir:

  • Benutzername
  • Email-Adresse (optional, für Passwort-Reset)
  • Passwort (bcrypt-gehasht, nicht im Klartext gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Verbundene Dienste (Garmin Connect, Strava)

5.1 Garmin Connect

Wenn Sie sich mit Garmin Connect verbinden, laden wir Ihre Trainingsdaten

über die Garmin-Connect-Web-Schnittstelle herunter:

  • Aktivitäten (Datum, Dauer, Distanz, Leistung, Herzfrequenz)
  • FTP, Gewicht, Max-HR, Ruhe-HR, Alter, Geschlecht
  • HRV- und Schlafdaten (falls vorhanden)

Wichtiger Hinweis zur Anbindung: Die Verbindung erfolgt nicht über

ein offizielles Garmin-Partner-Programm, sondern technisch über dieselbe

Web-Schnittstelle, die auch die Garmin-Connect-Web-Oberfläche nutzt

(via Open-Source-Bibliothek garminconnect). Sie geben uns Ihre

Garmin-Zugangsdaten direkt; wir authentifizieren uns damit in Ihrem Namen

gegen die Garmin-Web-Schnittstelle.

Ihre Garmin-Zugangsdaten werden AES-verschlüsselt auf unserem Server

gespeichert und ausschließlich für den Daten-Sync verwendet. Sie können

die Verbindung jederzeit in den Einstellungen trennen — die gespeicherten

Credentials werden dann gelöscht.

Diese Anbindungsart funktioniert solange Garmin die Web-Schnittstelle

unverändert lässt. Garmin könnte sie technisch jederzeit ändern oder

abschalten, ohne dass wir das verhindern können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO

(ausdrückliche Einwilligung).

5.2 Strava

Verbindung via OAuth2. Wir erhalten Access-Token + Refresh-Token von Strava

zur Abfrage Ihrer Aktivitäten. Tokens werden verschlüsselt gespeichert.

Strava-Datenschutz: https://www.strava.com/legal/privacy

5.3 Apple Health (über Drittanbieter-App "Health Auto Export")

Wenn Sie Ihre Apple-Watch-/iPhone-Daten zu Impeto pushen möchten, können

Sie die iOS-App Health Auto Export (kostenpflichtig im App Store)

verwenden. Diese App liest Daten aus Ihrer Apple-Health-Datenbank und sendet

sie per Webhook an unseren Server.

Übertragene Daten je nach Auswahl:

  • Workouts (Datum, Dauer, Distanz, Herzfrequenz, GPS-Route)
  • Herzfrequenzvariabilität (HRV / SDNN)
  • Ruhepuls
  • Schlafanalyse
  • Atemfrequenz, Blutsauerstoff (SpO₂)

Authentifizierung erfolgt über einen persönlichen Webhook-Token, den Sie in

den Einstellungen erzeugen. Die Daten werden auf demselben Pfad wie Ihre

Garmin-/Strava-Daten gespeichert.

Wichtig: Die Übertragung erfolgt direkt zwischen Ihrem iPhone und

unserem Server. Apple selbst erhält keine Information darüber, dass Sie

unseren Dienst nutzen. Der App-Anbieter „Lybron Sole" verarbeitet die

Daten ebenfalls nicht — die Health-Auto-Export-App läuft lokal auf Ihrem

Gerät und sendet direkt an unseren Endpoint.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO

(ausdrückliche Einwilligung).

6. Empfänger / Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in unserem Auftrag oder werden

zur Bereitstellung der App technisch eingebunden:

DienstleisterZweckSitz
Cloudflare, Inc.CDN, DNS, Tunnel, DDoS-SchutzUSA (EU-Datenverarbeitung)
Resend (Drizly Inc.)Transaktionale Emails (Passwort-Reset, Magic-Link, Wochen-Digest)USA
Garmin InternationalFitness-Daten-Quelle (Sie verbinden sich selbst)USA
Strava, Inc.Fitness-Daten-Quelle (OAuth2)USA
Open-MeteoWettervorhersage fürs Dashboard — unser Server fragt die Vorhersage mit den von Ihnen hinterlegten Heimat-Koordinaten ab (Ihre IP-Adresse wird Open-Meteo dabei nicht übermittelt)EU
OpenStreetMap Foundation / OpenTopoMap / Esri (ArcGIS)Karten-Kacheln im Routenplaner und in Community-Karten — Ihr Browser lädt die Kacheln direkt, dabei werden Ihre IP-Adresse und der Kartenausschnitt sichtbarEU/UK bzw. USA (Esri)
HeiGIT (openrouteservice) / OSM NominatimRoutenberechnung und Orts-Suche im Routenplaner — Ihr Browser sendet Start/Ziel-Koordinaten bzw. Suchbegriffe direkt an diese DiensteEU

Web-Bibliotheken (Chart.js, Leaflet) und Schriftarten liefern wir

selbst aus — beim normalen Nutzen der App lädt Ihr Browser keine

Skripte oder Fonts von Dritt-CDNs (Stand 12.06.2026; früher genannte

CDN-Einbindungen von jsDelivr/unpkg/Google Fonts wurden entfernt).

Die Karten-Dienste der Tabelle werden nur kontaktiert, wenn Sie

Karten-Funktionen (Routenplaner, Community-Karten, Werkstatt-Karte)

aktiv öffnen.

Apple Health wird nicht als Drittanbieter verarbeitet — die

Health-Auto-Export-App läuft lokal auf Ihrem iPhone und sendet Daten

direkt an unseren Server. Apple selbst sieht die Übertragung nicht.

Mit Cloudflare und Resend bestehen Auftragsverarbeitungsverträge (AVV)

gemäß Art. 28 DSGVO. Garmin und Strava verarbeiten Daten auf eigene

Rechtsgrundlage gemäß deren Datenschutzerklärungen.

Drittlandtransfer: Übermittlung in die USA erfolgt auf Basis von

Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO bzw.

EU-US Data Privacy Framework (soweit zertifiziert).

Hinweis zu jsDelivr: Beim Aufruf der App lädt Ihr Browser zwei

JavaScript-Bibliotheken (Chart.js und Hammer.js) direkt vom CDN

jsdelivr.net. Dabei wird Ihre IP-Adresse an den CDN-Betreiber übermittelt.

Wir können diese Übermittlung technisch nur durch Self-Hosting der

Bibliotheken vermeiden — dies ist für eine künftige Version geplant.

7. Speicherdauer

  • Account-Daten: bis zur Löschung des Accounts durch den Nutzer

(mit 7-Tage Grace-Period)

  • Trainingsdaten und Health-Caches: bis zur Löschung des Accounts
  • Audit-Log (sicherheitsrelevant): IP-Adressen werden nach 30 Tagen

automatisiert maskiert; Einträge werden insgesamt nach 90 Tagen hart

gelöscht

  • Webserver-Logs: keine persistente Speicherung
  • Cloudflare-Edge-Logs: gemäß Cloudflare-Standardretention

8. Ihre Rechte (Art. 15-22 DSGVO)

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO): Welche Daten speichern wir über Sie?
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
  • Löschung (Art. 17 DSGVO, "Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten als ZIP

(Funktion "Meine Daten exportieren" unter Einstellungen)

  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Kontakt zur Ausübung: privacy@impeto.cc

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde,

z.B. der zuständigen Landesbehörde für Datenschutz.

9. Cookies

Wir verwenden nur technisch notwendige Session-Cookies für die

Login-Funktion. Diese sind von der Cookie-Consent-Pflicht ausgenommen

(§ 25 Abs. 2 TDDDG).

  • session (HttpOnly, Secure, SameSite=Lax) — Login-Status, 7 Tage

Wir verwenden kein Tracking, keine Analytics, keine Third-Party-Cookies.

10. Datensicherheit

  • Übertragung ausschließlich via TLS/HTTPS (Cloudflare)
  • Passwörter mit bcrypt gehasht
  • Externe Zugangsdaten (Garmin, Strava) AES-verschlüsselt gespeichert
  • CSRF-Schutz auf allen Formularen
  • Rate-Limiting gegen Brute-Force-Angriffe
  • Audit-Log sicherheitsrelevanter Ereignisse

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der

Rechtslage oder der Funktionen der Website anzupassen. Die jeweils aktuelle

Version ist unter /datenschutz abrufbar.

Stand: 18. Juni 2026