Datenschutzerklärung für Häschenlauf

Stand: 09.06.2026

Impressum & Verantwortlicher

Verantwortlicher im Sinne der DSGVO und des DDG:

Felix Bischoff
Liebigstraße 15
45479 Mülheim an der Ruhr
E-Mail: haeschenlauf@icloud.com

1. Überblick

Häschenlauf ist eine kostenfreie iOS-Lauf-App zur Aufzeichnung und Analyse deiner Trainings. Der Schutz deiner personenbezogenen Daten, insbesondere deiner Gesundheitsdaten, hat für uns höchste Priorität.

Diese Datenschutzerklärung erklärt:

• Welche Daten wir erheben und warum
• Wie wir deine Daten verarbeiten und schützen
• Welche Rechte du hast

2. Welche Daten verarbeiten wir?

2.1 Account-Daten (Pflichtangaben)

Daten	Zweck
E-Mail-Adresse	Registrierung, Login, Passwort-Zurücksetzen
Passwort	Geschützt durch bcrypt-Verschlüsselung (wird nur gehasht gespeichert)
Anzeigename (Spitzname)	Dein Nutzerprofil in der App

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

2.2 Profil-Daten (freiwillig)

Daten	Zweck
Emoji	Persönliches Profil-Emoji (Unicode-Schriftzeichen)
Avatar (Bild)	Profilbild in der App
Maximale Herzfrequenz	Berechnung deiner Herzfrequenz-Zonen
Wochenziele (z. B. Kilometer, Minuten)	Persönliche Zielsetzung und Motivation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anzeigename, Emoji, Wochenziele); Art. 6 Abs. 1 lit. a DSGVO (Avatar – freiwillige Einwilligung im Onboarding); Art. 9 Abs. 2 lit. a DSGVO (maximale Herzfrequenz – ausdrückliche Einwilligung)

2.3 Trainings- und Gesundheitsdaten (nur mit ausdrücklicher Einwilligung)

Diese Daten werden nur erfasst, wenn du im Onboarding aktiv zustimmst (separater Einwilligungs-Schritt):

Erfasste Daten:

• Herzfrequenz (Durchschnitt, Minimum, Maximum, Ruhepuls, Herzfrequenz-Zonen, Herzfrequenz-Erholung)
• Trainingsdauer, -distanz, -pace und -typ
• Laufleistung (Kadenz, Schrittlänge, Bodenkontaktzeit, vertikale Oszillation, Leistung in Watt)
• GPS-Startkoordinate deines Trainings
• Zurückgelegte Höhenmeter
• Energieverbrauch (Kalorien)

GPS-Route – Datenminimierung:
Die vollständige GPS-Route wird ausschließlich temporär auf deinem Gerät für die Berechnung des Höhenprofils und zur Wetterabfrage verarbeitet. Nur die Startkoordinate wird dauerhaft in unserer Datenbank gespeichert.

HealthKit-Zugriff: Die App greift ausschließlich lesend auf HealthKit zu. Es werden keine Daten in Apple Health zurückgeschrieben. Eine Hintergrundaktualisierung (z. B. nach einem abgeschlossenen Training) erfolgt über den iOS-Hintergrunddienst HKObserverQuery.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten)

2.4 Wetterdaten (automatisch bei Trainings)

Wenn du Gesundheitsdaten freigibst, werden automatisch Wetterdaten (Temperatur, Luftfeuchtigkeit, Wind) für den Startort deines Trainings über Apple WeatherKit abgerufen.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (als technisches Nebenprodukt der GPS-Startkoordinate aus der HealthKit-Einwilligung)

2.5 Crew-Daten (nur mit deiner Einwilligung)

Wenn du einer Crew (Laufgruppe) beitrittst und der Datenfreigabe zustimmst, können andere Crew-Mitglieder folgende Informationen über dich sehen:

Deine persönlichen Daten (in der Mitgliederliste):

• Prozentuale Veränderungen deiner Leistung im Vergleich zu deinem 4-Wochen-Durchschnitt (z. B. "+12% schneller")
• Deine zurückgelegten Kilometer in der aktuellen Kalenderwoche
• Anzahl deiner Trainings in der aktuellen Kalenderwoche
• Deine aktuelle Laufserie (in Wochen)

Aggregierte Crew-Summen (in der Wochenübersicht):

• Gesamtkilometer aller Crew-Mitglieder in der aktuellen Woche
• Gesamtanzahl aller Trainings der Crew

Was NICHT geteilt wird:
Sensible Leistungsdaten wie deine genaue Herzfrequenz, Pace, Watt oder Kadenz bleiben privat. Diese Daten werden durch Privacy-by-Design-Maßnahmen im Code technisch ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (separate Einwilligung)

2.6 Gamification (Erfolge, Level, Bestleistungen)

Die App nutzt Gamification-Elemente wie Erfolge, Level und Bestleistungen zur Motivation. Diese basieren auf einfachen Schwellenwerten (z. B. "10 Trainings abgeschlossen = Achievement 'Ausdauer'").

Automatisiertes Profiling zur Spielführung:
Die App wertet dein Trainingsverhalten automatisiert aus (z. B. "10 Läufe in einer Woche" oder "neue Bestleistung"), um Erfolge und Level freizuschalten. Dies stellt ein einfaches Profiling dar. Es findet jedoch keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung oder ähnlicher erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nutzermotivation)

2.7 Geräte-Informationen (bei Einwilligungserfassung)

Bei der Einwilligungserfassung speichern wir technische Informationen (Gerätemodell, iOS-Version, Spracheinstellung), um die Einwilligung rechtssicher nachvollziehen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Nachweispflicht nach Art. 7 Abs. 1 DSGVO)

2.8 Lokale Datenspeicherung (auf deinem Gerät)

Folgende Daten werden ausschließlich lokal auf deinem Gerät gespeichert und nicht an unsere Server übermittelt:

Daten	Speicherort	Zweck
E-Mail-Adresse	iOS Keychain (verschlüsselt)	Login-Komfort
Nutzerprofil (zwischengespeichert)	iOS Keychain (verschlüsselt)	Offline-Fallback
Formulardaten (Entwürfe)	App-eigener Ordner (geräteverschlüsselt)	Offline-Eingabe
Sync-Queue (ausstehende Trainings)	UserDefaults	Temporäre Pufferung bei fehlender Internetverbindung
Consent-Status-Mirror (Gesundheitsdaten, Crew)	UserDefaults	Offline-Prüfung des Einwilligungsstatus
Idempotenz-Cache	UserDefaults	Schutz vor doppelten Sync-Vorgängen bei Offline-Nutzung
App-Einstellungen (Theme, Einheiten, Sync-Präferenzen)	UserDefaults	Personalisierung

Rechtsgrundlage für lokale Speicherung: § 25 Abs. 2 Nr. 2 TDDDG (technisch zwingend erforderlich für Kernfunktionen: Login, Offline-Sync, Einstellungen) sowie Art. 6 Abs. 1 lit. b, f DSGVO.

Keine Tracking-SDKs: Es werden keine Tracking- oder Marketing-SDKs Dritter auf deinem Gerät gespeichert.

Die lokalen Daten werden bei einer Kontolöschung vollständig entfernt.

2.9 Pausen-Logs (Trainingspausen)

Wenn du in der App eine Trainingspause einträgst, speichern wir Start- und Endzeitpunkt sowie eine optionale Notiz. Dies dient der korrekten Berechnung deiner Laufserie (Streak) und der fairen Aussetzung von Wochenzielen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3. Welche Daten erheben wir nicht?

Häschenlauf erhebt bewusst keine der folgenden Daten:

• ❌ Vollständiger Name / Nachname
• ❌ Telefonnummer
• ❌ Postanschrift
• ❌ Zahlungsinformationen (die App ist kostenfrei)
• ❌ Werbe-ID (IDFA) – kein Tracking
• ❌ Browser-Verlauf oder Surfverhalten
• ❌ Bewegungsprofile (nur Startkoordinate, keine vollständigen Routen)

4. Wie werden die Daten verarbeitet?

4.1 Serverstandort & Sicherheit

Die Daten werden auf sicheren Servern in der Europäischen Union (Frankfurt, Deutschland) bei Supabase Inc. gespeichert. Der Zugriff erfolgt ausschließlich über verschlüsselte Verbindungen (HTTPS/TLS).

Gesundheitsdaten werden ausschließlich innerhalb der EU gespeichert.

4.2 Hauptauftragsverarbeiter

Anbieter	Dienst	Standort
Supabase Inc.	Datenbank (PostgreSQL), Authentifizierung, Dateispeicher	AWS eu-central-1, Frankfurt

Auftragsverarbeitungsvertrag (DPA): Abgeschlossen (Version Juni 2026)

4.3 Subunternehmer von Supabase

Supabase nutzt folgende Subunternehmer, die personenbezogene Daten von Häschenlauf-Nutzern verarbeiten können:

Subunternehmer	Verarbeitungszweck	Standort	Datenschutzgarantie
Amazon Web Services (AWS)	Primäre Hosting-Infrastruktur	Frankfurt (eu-central-1)	EU-US Data Privacy Framework (DPF)
Google LLC (BigQuery)	Log-Analyse (Supabase-intern)	USA	EU-US DPF
Cloudflare, Inc.	CDN, DDoS-Schutz, Caching	Globales Edge-Netzwerk	EU-US DPF
Functional Software, Inc. (Sentry)	Fehlerüberwachung und -tracing	USA	EU-US DPF
Fly.io, Inc.	Edge Compute (Supabase Realtime)	Global	EU-Standardvertragsklauseln (SCCs)
Upstash, Inc.	Serverless Datenhosting	USA	EU-Standardvertragsklauseln (SCCs)
Vercel, Inc.	Hosting (Supabase Web-Dashboard)	USA	EU-Standardvertragsklauseln (SCCs)

Alle Dienstleister sind vertraglich zur Einhaltung der DSGVO verpflichtet.

4.4 Apple WeatherKit (Systemdienst)

Apple WeatherKit wird als iOS-Systemdienst zur Wetterabfrage genutzt. Hierbei werden die GPS-Startkoordinaten temporär an Apple übermittelt.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO. Der Abruf der Wetterdaten ist ein technisches Nebenprodukt der von dir freigegebenen GPS-Startkoordinate und dient der Kontextanreicherung deiner Trainingsanalyse.

Datenschutzgarantie: Apple Inc. ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert.

Apple App Store Guidelines: Gemäß den Apple App Store Guidelines werden HealthKit-Daten niemals an Dritte verkauft, nicht für Marketing- oder Werbezwecke genutzt und nicht an Data Broker weitergegeben.

5. Speicherdauer

Daten	Speicherdauer
Account-Stammdaten (E-Mail, Anzeigename)	Bis zur Kontolöschung
Herzfrequenz-Einzeldaten	36 Monate (danach automatisch gelöscht)
Herzfrequenz-Metadaten (z. B. Zonen-Zusammenfassungen)	36 Monate (danach automatisch gelöscht)
Trainingszusammenfassungen (Distanz, Dauer, Pace)	Unbegrenzt (solange dein Account besteht)
Erfolge und Bestleistungen	Unbegrenzt (solange dein Account besteht)
Pausen-Logs	Unbegrenzt (solange dein Account besteht)
Aggregierte Crew-Summen & fremde Crew-Daten	Bleiben auch nach deiner Kontolöschung für die restliche Crew erhalten (da anonymisiert/aggregiert)
Einwilligungsaufzeichnungen	3 Jahre (danach automatisch gelöscht)
Lokale Daten auf dem Gerät	Bis zur App-Deinstallation oder Kontolöschung

6. Deine Rechte als betroffene Person

Recht	Was bedeutet das?	Wie kannst du es ausüben?
Auskunft (Art. 15 DSGVO)	Du erfährst, welche Daten wir über dich gespeichert haben	App: Profil → Daten exportieren (JSON-Datei inkl. Profil, Trainings, Consents, Erfolge, Pausenlogs, Level)
Berichtigung (Art. 16 DSGVO)	Du kannst falsche Daten korrigieren	App: Profil → Anzeigename, Emoji bearbeiten
Löschung (Art. 17 DSGVO)	Du kannst alle Daten löschen lassen	App: Profil → Konto vollständig löschen
Einschränkung (Art. 18 DSGVO)	Du kannst die Verarbeitung einschränken lassen	E-Mail an haeschenlauf@icloud.com
Datenübertragung (Art. 20 DSGVO)	Du erhältst deine Daten in einem maschinenlesbaren Format	App: Profil → Daten exportieren (JSON)
Widerspruch (Art. 21 DSGVO)	Du kannst der Verarbeitung widersprechen	E-Mail an haeschenlauf@icloud.com
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)	Du kannst jede Einwilligung jederzeit widerrufen	App: Einstellungen → Datenschutz

Frist: Wir bearbeiten deine Anfrage innerhalb von maximal einem Monat.

Widerruf: Ein Widerruf wirkt für die Zukunft und berührt nicht die Rechtmäßigkeit der bisherigen Verarbeitung.

7. Automatisierte Entscheidungen

Häschenlauf trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung (z. B. Bonitätsprüfung, Kündigungen).

Die Gamification (Erfolge, Level) dient ausschließlich der Motivation und dem Spielspaß und hat keine rechtliche oder erhebliche beeinträchtigende Wirkung.

8. Minderjährigenschutz

Die App ist erst ab 18 Jahren freigegeben.

Beim Onboarding wird dein Alter überprüft (Eingabe des Geburtsdatums). Dabei wird ausschließlich das boolesche Ergebnis (mindestens 18 Jahre oder nicht) gespeichert – dein Geburtsdatum wird nicht an unsere Server übermittelt oder dauerhaft gespeichert.

Personen unter 18 Jahren dürfen die App nicht nutzen.

Rechtsgrundlage: Art. 8 DSGVO

9. Änderungen dieser Datenschutzerklärung

Sollte sich diese Datenschutzerklärung ändern, wirst du in der App darüber informiert und musst der neuen Fassung zustimmen (Re-Consent).

Die aktuelle Version ist immer unter haeschenlauf.de/privacy abrufbar.

10. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
E-Mail: poststelle@ldi.nrw.de

11. Kontakt

Bei Fragen, Beschwerden oder zur Ausübung deiner Rechte:

Felix Bischoff
Liebigstraße 15
45479 Mülheim an der Ruhr
E-Mail: haeschenlauf@icloud.com

Ende der Datenschutzerklärung