Rechtliches

Datenschutz.

1. Verantwortlicher

Pascal Brüesch · E-Mail: rolipos@gmail.com

2. Welche Daten werden verarbeitet

  • Account-Daten: E-Mail, Name, Passwort (verschlüsselt mit bcrypt)
  • Athleten-Profil: Geschlecht, Geburtsjahr, Größe, Gewicht, Trainings-Vorgaben — alles freiwillig
  • Garmin-Connect-Zugang: Username + Passwort, Fernet-verschlüsselt mit Master-Key, ausschliesslich zur Aktivitäts-Synchronisation
  • Trainings-Daten: Aktivitäten, Schlaf, HRV, Body-Battery, Stress (von Garmin synchronisiert)
  • Ernährungs-Daten: Foto-Uploads, KI-geschätzte Makros, Gewichtsverlauf
  • Session-Cookie: nur essenzieller Login-Cookie, keine Tracking-Cookies

3. Wo werden die Daten gespeichert

Hosting bei <strong class="text-ink">Hetzner Online GmbH</strong>, Falkenstein, Deutschland. Alle Daten liegen in einer SQLite-Datenbank auf einem dedizierten Server in der EU. Verschlüsselung at-rest via Linux-Filesystem-Permissions, sensitive Felder (Garmin-Credentials) zusätzlich Application-Layer-encrypted.

4. Drittanbieter

Anthropic (USA) — Nutzung der Claude-API für KI-gestützte Trainingsplan- und Foto-Analyse. Bei jeder Anfrage werden anonymisierte Trainings-/Ernährungs-Daten und ggf. das Food-Foto an Anthropic übertragen. Anthropic speichert API-Inputs gemäss eigener Privacy-Policy max. 30 Tage zur Missbrauchs-Prävention. Datenübertragung in die USA basiert auf den Standardvertragsklauseln (SCC) der EU-Kommission. Anthropic Privacy: anthropic.com/privacy
Garmin Connect (USA, optional) — Wenn du Garmin verbindest, werden deine Garmin-Connect-Zugangsdaten verschlüsselt gespeichert und periodisch genutzt um Aktivitäten + Tagesmetriken abzurufen. Du kannst die Verbindung jederzeit in den Settings trennen.
Google / Apple OAuth (optional) — Wenn du Login via Google oder Apple nutzt, erhalten wir nur deine E-Mail + Name. Kein Zugriff auf weitere Konto-Daten.
Telegram-Bot (optional) — Wenn aktiviert, werden Trainings-Reminder via Telegram-Bot-API verschickt. Telegram erhält dabei deine Chat-ID + Nachricht-Inhalt.

5. Wie lange werden die Daten gespeichert

Solange dein Account besteht. Bei Account-Löschung (Anfrage per E-Mail) werden alle zugeordneten Daten innerhalb 7 Tagen gelöscht — inklusive Foto-Uploads, Trainings-Historie und verschlüsselter Credentials.

6. Deine Rechte (DSGVO Art. 15-21)

  • Auskunft: welche Daten gespeichert sind
  • Berichtigung: falsche Daten korrigieren
  • Löschung: Account + alle Daten entfernen
  • Datenportabilität: Export deiner Daten als JSON
  • Widerspruch: gegen Verarbeitung widersprechen
  • Beschwerde: bei der zuständigen Aufsichtsbehörde (z.B. EDÖB Schweiz oder BfDI Deutschland)

Anfragen an rolipos@gmail.com.

7. Cookies

legplan nutzt nur einen <strong class="text-ink">Session-Cookie</strong> (HttpOnly, Secure, SameSite=Lax) zur Authentifizierung nach dem Login. Keine Tracking- oder Analyse-Cookies. Nach DSGVO/TTDSG ist für rein technisch notwendige Cookies kein Banner erforderlich.

8. Rechtsgrundlage

Verarbeitung erfolgt zur <strong class="text-ink">Erfüllung des Nutzungsvertrags</strong> (DSGVO Art. 6 Abs. 1 lit. b) und auf Basis deiner <strong class="text-ink">Einwilligung</strong> (Art. 6 Abs. 1 lit. a) bei der Account-Erstellung.

Stand: Mai 2026