← kinetai.fit

Datenschutzerklärung

Entwurf. Diese Fassung ist ein inhaltliches Gerüst und noch nicht rechtlich geprüft. Vor dem öffentlichen Start ist sie durch eine fachkundige Stelle zu finalisieren (insbesondere zu Gesundheitsdaten nach Art. 9 DSGVO, Drittland-Übermittlungen und Aufbewahrungsfristen).

1. Verantwortlicher

Robert Krick, Osterweg 2, 32549 Bad Oeynhausen, Deutschland. E-Mail: rk@ssn.de (siehe auch Impressum). Ein Datenschutzbeauftragter ist nicht bestellt (gesetzlich nicht erforderlich).

2. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

2.1 Konto & Profil

E-Mail und Passwort (Passwort nur als scrypt-Hash gespeichert), Name/Spitzname, Geschlecht, Geburtsdatum/Alter, Sprache, Tätigkeit/Beruf, Trainingsziele und Verfügbarkeiten. Zweck: Bereitstellung und Verwaltung des Nutzerkontos und der Trainingsplanung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Gesundheits- und Fitnessdaten

Gewicht und Körperzusammensetzung (Fett/Muskel/Knochen), Ruhe- und Trainingsherzfrequenz, HRV, Schlaf-/Erholungswerte, Leistungswerte (FTP, VO2max), Trittfrequenz, Trainingsbelastung sowie Aktivitäts-/ Fahrtdaten (u. a. aus FIT-Dateien). Diese gelten teils als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO).
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Ihre ausdrückliche Einwilligung), die Sie bei der Registrierung bzw. beim Verbinden eines Dienstes erteilen und jederzeit mit Wirkung für die Zukunft widerrufen können.

2.3 Integrations-Zugangsdaten

Sofern Sie Dienste verbinden: intervals.icu-API-Schlüssel, Garmin-Zugangsdaten, Withings-OAuth-Token. Diese werden verschlüsselt gespeichert (siehe Abschnitt 7).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Technische Daten / Protokolle

Server- und Fehlerprotokolle (z. B. Zeitpunkt, betroffener Endpunkt, Fehlercode/-meldung) zur Sicherstellung von Betrieb und Sicherheit sowie ein technisch notwendiges Sitzungs-Cookie zur Anmeldung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Dienst); für das notwendige Cookie § 25 Abs. 2 TDDDG.

3. Empfänger & verbundene Dienste

Wenn Sie Drittdienste verbinden, werden Daten zwischen kinetai.fit und diesen Anbietern übermittelt — auf Ihre Veranlassung und mit Ihrer Einwilligung:

DienstDatenflussHinweis
Garmin (Connect)Aktivitäten/Wellness werden abgerufenAnbieter außerhalb der EU möglich
WithingsGewicht/Körperdaten werden abgerufenOAuth, Anbieter ggf. außerhalb der EU
intervals.icugeplante Workouts werden übertragenZielplattform für Zwift
Zwifterhält Workouts (via intervals.icu)

Bei Übermittlungen in Drittländer (z. B. USA) erfolgt die Übertragung auf Grundlage geeigneter Garantien bzw. Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Das Hosting erfolgt auf einem Server in Deutschland.

4. Speicherdauer

Konto- und Trainingsdaten werden gespeichert, solange Ihr Konto besteht. Bei Löschung Ihres Kontos werden Integrations-Zugangsdaten entfernt; aus rechtlichen Gründen (Beweissicherung im Zusammenhang mit möglichen Ansprüchen, bis zum Ablauf gesetzlicher Verjährungsfristen) können bestimmte Daten für den Zeitraum der Aufbewahrung in einem inaktiven Zustand verbleiben.
Rechtsgrundlage der Aufbewahrung: Art. 6 Abs. 1 lit. f i. V. m. Art. 17 Abs. 3 lit. e DSGVO (Geltendmachung/Verteidigung von Rechtsansprüchen). — rechtlich zu prüfen.

5. Automatisierte Entscheidungen / Profiling

kinetai.fit erstellt aus Ihren Trainings- und Fitnessdaten automatisierte Trainingsvorschläge. Diese dienen der Unterstützung und entfalten keine rechtliche oder vergleichbar erhebliche Wirkung i. S. v. Art. 22 DSGVO; sie sind keine medizinische Beratung (siehe Haftungsausschluss).

6. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3). Es besteht ein Beschwerderecht bei einer Aufsichtsbehörde (für den Verantwortlichen: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen). Anfragen richten Sie an rk@ssn.de.

7. Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, u. a.: Transportverschlüsselung (TLS), gehashte Passwörter (scrypt), mandantengetrennte Speicherung (jede Person sieht nur die eigenen Daten, durchgesetzt auch auf Datenbankebene) sowie eine verschlüsselte Ablage Ihrer Integrations-Zugangsdaten, die ohne den aus Ihrem Passwort abgeleiteten Schlüssel nicht nutzbar sind.

Stand: Entwurf. Kontakt für Datenschutzanfragen: rk@ssn.de