Method Strength

Datenschutzerklärung

Stand: 25. März 2026

1. Verantwortlicher und Kontaktdaten

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Stolzenburg Ventures UG (haftungsbeschränkt) c/o IP-Management #7306 Ludwig-Erhard-Straße 18 20459 Hamburg

E-Mail: contact@methodstrength.app

Wir haben keinen Datenschutzbeauftragten bestellt, da die Voraussetzungen des Art. 37 DSGVO i.V.m. § 38 BDSG nicht vorliegen. Für alle datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Allgemeines zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder in Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

2.2 Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

Für die Verarbeitung besonderer Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten) dient Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) als Rechtsgrundlage.

2.3 Datenlöschung und Speicherdauer

Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

3. Bereitstellung der Anwendung (Hosting)

3.1 Vercel (Hosting und Content Delivery)

Unsere Progressive Web App (PWA) wird über Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet.

Bei jedem Zugriff auf unsere Anwendung werden automatisch durch den Hostingdienstleister folgende Daten erhoben:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer URL
  • Angefragte URL
  • Übertragene Datenmenge
  • HTTP-Statuscode

Diese Daten werden in sogenannten Server-Log-Dateien gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der stabilen und sicheren Bereitstellung der Anwendung).

Speicherdauer: Server-Log-Dateien werden von Vercel gemäß deren Datenschutzrichtlinie gespeichert und nach maximal 30 Tagen gelöscht.

Drittlandtransfer: Vercel verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF), Art. 45 DSGVO. Vercel ist unter dem DPF zertifiziert. Ergänzend bestehen Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Absicherung.

Weitere Informationen: https://vercel.com/legal/privacy-policy

4. Nutzerkonto und Authentifizierung

4.1 Registrierung und Anmeldung (Supabase Auth)

Für die Nutzung unserer Anwendung ist die Erstellung eines Nutzerkontos erforderlich. Die Authentifizierung erfolgt über Supabase (Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992 / US-Infrastruktur).

Bei der Registrierung werden folgende Daten verarbeitet:

  • E-Mail-Adresse
  • Passwort (verschlüsselt/gehasht gespeichert)
  • Zeitpunkt der Registrierung
  • Authentifizierungstokens (Session-Management)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Registrierung ist Voraussetzung für die Nutzung der Anwendung).

Speicherdauer: Bis zur Löschung des Nutzerkontos durch den Nutzer oder auf dessen Anfrage.

4.2 Anmeldung über Drittanbieter (Social Login)

Alternativ zur Registrierung mit E-Mail und Passwort bieten wir die Möglichkeit, sich über folgende Drittanbieter anzumelden:

4.2.1 Google Sign-In

Bei der Anmeldung über Google werden Sie auf eine Anmeldeseite von Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) bzw. Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) weitergeleitet. Nach Ihrer Autorisierung übermittelt Google folgende Daten an unsere Anwendung (über Supabase Auth):

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Profilbild-URL
  • Google-Nutzer-ID (eindeutige Kennung)

Wir verwenden diese Daten ausschließlich zur Erstellung und Verwaltung Ihres Nutzerkontos. Name und Profilbild werden nicht in der Anwendung angezeigt oder anderweitig verarbeitet, sofern Sie dies nicht aktiv veranlassen. Die Google-Nutzer-ID dient ausschließlich der Zuordnung bei künftigen Anmeldungen.

Google agiert bei der Authentifizierung als eigenständiger Verantwortlicher für die auf seiner Plattform stattfindende Datenverarbeitung (insbesondere die Anmeldeseite und die Verwaltung Ihrer Google-Anmeldedaten).

Drittlandtransfer: Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen Standardvertragsklauseln (SCC).

Weitere Informationen: https://policies.google.com/privacy

4.2.2 Apple Sign-In

Bei der Anmeldung über Apple werden Sie auf eine Anmeldeseite von Apple Inc. (One Apple Park Way, Cupertino, CA 95014, USA) bzw. Apple Distribution International Ltd. (Hollyhill Industrial Estate, Cork, Irland) weitergeleitet. Nach Ihrer Autorisierung übermittelt Apple folgende Daten:

  • E-Mail-Adresse (wahlweise Ihre echte E-Mail-Adresse oder eine von Apple generierte, anonymisierte Relay-Adresse über den Dienst „Hide My Email")
  • Name (Vor- und Nachname, nur bei erstmaliger Anmeldung, durch den Nutzer editierbar vor Übermittlung)
  • Apple-Nutzer-ID (eindeutige, app-spezifische Kennung)

Apple bietet Nutzern die Möglichkeit, ihre tatsächliche E-Mail-Adresse zu verbergen. In diesem Fall erhalten wir eine von Apple generierte Relay-Adresse, über die E-Mails an Ihre echte Adresse weitergeleitet werden.

Apple agiert bei der Authentifizierung als eigenständiger Verantwortlicher.

Drittlandtransfer: Die Verarbeitung erfolgt in der EU (Apple Distribution International Ltd., Irland) und/oder den USA. Apple ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen Standardvertragsklauseln (SCC).

Weitere Informationen: https://www.apple.com/legal/privacy/

4.2.3 Facebook Login

Bei der Anmeldung über Facebook werden Sie auf eine Anmeldeseite von Meta Platforms Ireland Limited (Merrion Road, Dublin 4, D04 X2K5, Irland) bzw. Meta Platforms, Inc. (1 Hacker Way, Menlo Park, CA 94025, USA) weitergeleitet. Nach Ihrer Autorisierung übermittelt Meta folgende Daten:

  • E-Mail-Adresse
  • Name (Vor- und Nachname)
  • Profilbild-URL
  • Facebook-Nutzer-ID (eindeutige Kennung)

Wir fordern ausschließlich das Basisprofil und die E-Mail-Adresse an (Scope: email, public_profile). Weitergehende Zugriffsrechte (z. B. Freundeslisten, Beiträge) werden nicht angefragt.

Meta agiert bei der Authentifizierung als eigenständiger Verantwortlicher für die auf seiner Plattform stattfindende Datenverarbeitung.

Drittlandtransfer: Meta Platforms, Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend bestehen Standardvertragsklauseln (SCC).

Weitere Informationen: https://www.facebook.com/privacy/policy/

4.2.4 Allgemeine Hinweise zu Social Login

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Anmeldung ist Voraussetzung für die Nutzung der Anwendung). Die Wahl des Anmeldewegs (E-Mail/Passwort oder Social Login) liegt beim Nutzer.

Umfang der Verarbeitung: Unabhängig vom gewählten Anmeldeweg speichern wir in unserer Datenbank ausschließlich die für die Kontoverwaltung erforderlichen Daten (E-Mail-Adresse, Authentifizierungsprovider, Provider-Nutzer-ID). Profilbilder und Namen werden von uns nicht dauerhaft gespeichert, sofern Sie diese nicht aktiv in Ihr Profil übernehmen.

Verknüpfung aufheben: Sie können die Verknüpfung mit dem jeweiligen Drittanbieter in den Einstellungen der Anwendung aufheben und stattdessen auf E-Mail/Passwort-Anmeldung wechseln. Auf der Plattform des Drittanbieters selbst können Sie den Zugriff unserer Anwendung jederzeit in Ihren dortigen Kontoeinstellungen widerrufen.

Wir erhalten keinen Zugriff auf Ihr Passwort beim Drittanbieter oder auf sonstige Daten Ihres Drittanbieter-Kontos über die oben genannten Daten hinaus.

4.3 Profildaten und Onboarding

Im Rahmen des Onboardings und der Nutzung werden folgende Profildaten erfasst:

  • Geburtsjahr
  • Geschlecht
  • Trainingserfahrung (Einsteiger, Fortgeschritten, Erfahren)
  • Verfügbares Equipment (Home Gym, Commercial Gym, Minimal)
  • Trainingsziele (Muskelaufbau, Kraft, Fitness, Rekomposition)
  • Trainingsfrequenz (Tage pro Woche)
  • Bevorzugte Sprache (Deutsch/Englisch)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — diese Daten sind erforderlich, um einen personalisierten Trainingsplan zu erstellen).

4.4 Gesundheitsbezogene Daten (besondere Kategorien)

Im Rahmen der Nutzung erfassen wir körperliche Einschränkungen und gesundheitliche Kontraindikationen (z. B. Knie-, Schulter-, Rückenprobleme). Diese Daten stellen besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO dar.

Die Verarbeitung dieser Daten ist ausschließlich nach Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO zulässig. Die Einwilligung wird im Rahmen des Onboardings über eine aktive Bestätigung (Checkbox) eingeholt. Die Daten werden ausschließlich zum Zweck der sicheren Trainingsplanung verwendet — insbesondere um potenziell gefährliche Übungen für Ihre individuellen Einschränkungen durch sichere Alternativen zu ersetzen.

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einschränkungen in den Einstellungen löschen oder uns per E-Mail kontaktieren.

Speicherdauer: Bis zur Löschung durch den Nutzer oder Löschung des Nutzerkontos.

5. Datenbank und Datenspeicherung

5.1 Supabase (PostgreSQL-Datenbank)

Sämtliche Nutzerdaten (Profildaten, Trainingspläne, Workout-Protokolle, Feedback, Reviews) werden in einer PostgreSQL-Datenbank gespeichert, die von Supabase, Inc. bereitgestellt wird.

Die Datenbank ist durch Row Level Security (RLS) geschützt. Das bedeutet, dass jeder Nutzer ausschließlich Zugriff auf seine eigenen Daten hat — ein technischer Zugriff auf Daten anderer Nutzer ist auf Datenbankebene ausgeschlossen.

Verarbeitete Daten:

  • Profildaten (siehe Abschnitt 4)
  • Trainingspläne (Übungen, Sätze, Wiederholungen, Gewichte)
  • Workout-Protokolle (durchgeführte Übungen, tatsächliche Gewichte und Wiederholungen, RPE-Werte, Dauer)
  • Post-Workout-Feedback (Sessionbewertung, Probleme, Energielevel, qualitative Tags)
  • Wöchentliche und monatliche AI-Reviews
  • Abonnement- und Zahlungsstatus (Tier, Stripe-Kunden-ID, Abonnementstatus)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Bis zur Löschung des Nutzerkontos. Nach Löschung werden alle personenbezogenen Daten innerhalb von 30 Tagen aus der Datenbank und allen Backups entfernt.

Drittlandtransfer: Supabase betreibt Infrastruktur in den USA. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzenden technischen Schutzmaßnahmen (Verschlüsselung bei der Übertragung und im Ruhezustand).

Weitere Informationen: https://supabase.com/privacy

5.2 Lokale Datenspeicherung (IndexedDB / Dexie.js)

Unsere Anwendung nutzt die browserseitige Technologie IndexedDB (über die Bibliothek Dexie.js), um Trainingsdaten lokal auf Ihrem Endgerät zu speichern. Dies ermöglicht die Offline-Nutzung der Anwendung — insbesondere das Protokollieren von Workouts ohne aktive Internetverbindung.

Lokal gespeicherte Daten umfassen:

  • Aktive und vergangene Trainingspläne
  • Workout-Protokolle
  • AI-Feedback und Reviews
  • Synchronisierungswarteschlange (Daten, die noch nicht an den Server übertragen wurden)

Diese Daten verlassen Ihr Endgerät nur im Rahmen der Synchronisierung mit unserer Datenbank (Supabase), wenn eine Internetverbindung besteht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Offline-Funktionalität).

Löschung: Sie können die lokal gespeicherten Daten jederzeit über die Browsereinstellungen (Website-Daten löschen) oder durch Deinstallation der PWA entfernen.

6. KI-gestützte Trainingsplanung (Claude API)

6.1 Zweck und Funktionsweise

Kernfunktion unserer Anwendung ist die KI-gestützte Erstellung und Anpassung personalisierter Trainingspläne. Hierzu nutzen wir die API von Anthropic, PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA) — konkret das Sprachmodell Claude Sonnet.

Die KI wird in folgenden Fällen eingesetzt:

  • Erstellung eines initialen, personalisierten Trainingsplans bei der Registrierung
  • Post-Workout-Feedback mit Mikro-Anpassungen (Gewichte, Wiederholungen)
  • Wöchentliche Reviews (Muster-Erkennung, Volumenanpassungen)
  • Monatliche Reviews (Langfristprogression, Programmänderungen)

6.2 An Anthropic übermittelte Daten

Bei jedem KI-Aufruf werden folgende Daten an die API übermittelt:

  • Trainingserfahrung und -ziele
  • Verfügbares Equipment
  • Körperliche Einschränkungen (sofern angegeben)
  • Trainingsfrequenz
  • Aktuelle und vergangene Workout-Daten (Übungen, Gewichte, Wiederholungen, RPE-Werte)
  • Qualitative Tags und Notizen aus Workouts
  • Spracheinstellung (Deutsch/Englisch)

Es werden ausdrücklich nicht übermittelt: E-Mail-Adresse, Name, Geburtsjahr oder sonstige direkt identifizierende Merkmale. Die Daten werden vor der Übermittlung auf das für die Trainingsplanung erforderliche Minimum reduziert.

6.3 Verarbeitung durch Anthropic

Anthropic verarbeitet die übermittelten Daten ausschließlich zur Generierung der angeforderten Trainingsempfehlung. Gemäß den Nutzungsbedingungen der Anthropic-API:

  • werden über die API übermittelte Daten nicht zum Training der KI-Modelle verwendet
  • besteht eine Aufbewahrungsfrist von maximal 30 Tagen zu Sicherheits- und Missbrauchserkennungszwecken
  • erfolgt keine Weitergabe an Dritte außerhalb der vertraglich vereinbarten Zwecke

Wir haben mit Anthropic einen Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) abgeschlossen, der die Verarbeitung gemäß Art. 28 DSGVO regelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die KI-gestützte Trainingsplanung ist wesentlicher Bestandteil des Dienstes). Soweit gesundheitsbezogene Daten (Einschränkungen) verarbeitet werden: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

Drittlandtransfer: Anthropic verarbeitet Daten in den USA. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO in Verbindung mit dem abgeschlossenen DPA. Ergänzend gelten technische Schutzmaßnahmen (Verschlüsselung bei der Übertragung, minimierte Datensätze, 30-Tage-Aufbewahrungslimit).

Weitere Informationen: https://www.anthropic.com/privacy

7. Zahlungsabwicklung (Stripe)

7.1 Zweck

Für die Abwicklung kostenpflichtiger Abonnements (Pro Monatlich, Pro Jährlich, Lifetime) nutzen wir den Zahlungsdienstleister Stripe, Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA) bzw. in Europa: Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland).

7.2 Verarbeitete Daten

Die Zahlungsabwicklung erfolgt vollständig über Stripe Checkout — eine gehostete Zahlungsseite von Stripe. Zu keinem Zeitpunkt gelangen Zahlungsdaten (Kreditkartennummern, Bankverbindungen) auf unsere Server.

Durch Stripe verarbeitete Daten:

  • Zahlungsmethode (Kreditkartendaten, Bankverbindung etc.)
  • Rechnungsadresse (für Umsatzsteuerberechnung via Stripe Tax)
  • E-Mail-Adresse (für Zahlungsbestätigungen)
  • Transaktionsbeträge und -zeitpunkte
  • Abonnementstatus (aktiv, gekündigt, überfällig)

Auf unserer Seite gespeicherte Daten:

  • Stripe-Kunden-ID (anonyme Referenz)
  • Abonnementstufe (Free, Pro, Lifetime)
  • Abonnementstatus
  • Ablaufdatum des Abonnements

7.3 Stripe Customer Portal

Für die Selbstverwaltung Ihres Abonnements (Kündigung, Zahlungsmethode ändern, Rechnungshistorie) nutzen wir das Stripe Customer Portal. Beim Zugriff werden Sie auf eine von Stripe gehostete Seite weitergeleitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Abwicklung des Abonnements).

Drittlandtransfer: Stripe ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zahlungsabwicklung in der EU erfolgt primär über die irische Niederlassung (Stripe Payments Europe, Ltd.). Ergänzend bestehen Standardvertragsklauseln (SCC).

Speicherdauer: Stripe speichert Zahlungsdaten gemäß gesetzlichen Aufbewahrungspflichten (insbesondere steuer- und handelsrechtlich: bis zu 10 Jahre). Unsere Referenzdaten (Stripe-Kunden-ID, Abonnementstatus) werden bis zur Löschung des Nutzerkontos gespeichert.

Weitere Informationen: https://stripe.com/de/privacy

8. Bildbereitstellung (ImageKit)

Für die Auslieferung von Übungsbildern in unserer Übungsbibliothek nutzen wir den Content Delivery Network-Dienst ImageKit.io (ImageKit Private Limited, Indien / globale CDN-Infrastruktur).

Bei jedem Abruf eines Übungsbildes wird Ihre IP-Adresse an ImageKit übermittelt, um das Bild auszuliefern. Es werden keine nutzerbezogenen Profile erstellt; es handelt sich um rein statische Bildinhalte ohne personalisierte Inhalte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der performanten Auslieferung von Medieninhalten über ein CDN).

Drittlandtransfer: ImageKit verarbeitet Daten potenziell in verschiedenen Ländern im Rahmen des CDN-Betriebs. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen: https://imagekit.io/privacy-policy

9. Ratenbegrenzung (Upstash Redis)

Zum Schutz vor Missbrauch und zur Einhaltung von Nutzungskontingenten (insbesondere für KI-Funktionen) setzen wir Upstash (Upstash, Inc., USA) als Redis-Datenbank ein.

Verarbeitete Daten:

  • Nutzer-ID (anonymisierte interne Kennung)
  • Zähler der API-Aufrufe pro Zeitfenster
  • Zeitstempel der letzten Aufrufe

Es werden keine inhaltlichen Nutzungsdaten (Trainingspläne, Workout-Daten) in Upstash gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch und der Einhaltung fairer Nutzungskontingente).

Speicherdauer: Rate-Limiting-Daten werden automatisch nach Ablauf des jeweiligen Zeitfensters gelöscht (maximal 30 Tage).

Drittlandtransfer: Upstash betreibt Infrastruktur in den USA. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Weitere Informationen: https://upstash.com/privacy

10. Webanalyse (Plausible Analytics)

Wir nutzen Plausible Analytics (Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland) zur statistischen Auswertung der Nutzung unserer Anwendung.

Plausible Analytics ist ein datenschutzfreundliches Analyse-Tool, das:

  • keine Cookies setzt
  • keine personenbezogenen Daten erhebt
  • keine IP-Adressen speichert
  • vollständig DSGVO-konform ohne Einwilligungserfordernis betrieben wird
  • Daten ausschließlich in der EU (Deutschland, Estland) verarbeitet

Die Analyse basiert auf aggregierten, anonymen Datenpunkten wie Seitenaufrufe, Verweildauer, Referrer und genutztes Endgerät. Ein Rückschluss auf einzelne Nutzer ist technisch ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Auswertung zur Verbesserung des Angebots).

Kein Cookie-Banner erforderlich: Da Plausible keine Cookies setzt und keine personenbezogenen Daten verarbeitet, ist nach § 25 Abs. 2 Nr. 2 TDDDG (ehemals TTDSG) und der ePrivacy-Richtlinie keine Einwilligung über ein Cookie-Banner erforderlich.

Weitere Informationen: https://plausible.io/data-policy

11. Service Worker und PWA-Funktionalität (Serwist)

Unsere Anwendung nutzt einen Service Worker (über die Bibliothek Serwist), der folgende Funktionen bereitstellt:

  • Caching: Statische Ressourcen (HTML, CSS, JavaScript, Bilder) werden lokal auf Ihrem Endgerät zwischengespeichert, um die Anwendung auch ohne Internetverbindung nutzbar zu machen.
  • Hintergrundsynchronisierung: Offline erfasste Workout-Daten werden automatisch synchronisiert, sobald wieder eine Internetverbindung besteht.
  • Automatische Updates: Der Service Worker aktualisiert die Anwendung im Hintergrund, ohne dass eine Neuinstallation erforderlich ist.

Der Service Worker verarbeitet keine personenbezogenen Daten über die in Abschnitt 5.2 beschriebene lokale Speicherung hinaus. Alle zwischengespeicherten Daten verbleiben auf Ihrem Endgerät und werden im Rahmen der Standardfunktionalität des Browsers verwaltet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die Offline-Funktionalität ist wesentlicher Bestandteil der PWA).

12. Cookies und ähnliche Technologien

12.1 Übersicht

Unsere Anwendung verwendet ausschließlich technisch notwendige Cookies und Speichertechnologien:

| Technologie | Zweck | Speicherdauer | Einwilligung erforderlich | |---|---|---|---| | Supabase Auth Token | Authentifizierung / Session-Management | Bis zum Logout | Nein (technisch notwendig) | | IndexedDB (Dexie.js) | Offline-Datenspeicherung | Bis zur manuellen Löschung | Nein (technisch notwendig) | | Service Worker Cache | Offline-Verfügbarkeit der Anwendung | Bis zum Cache-Update | Nein (technisch notwendig) | | Sprachpräferenz (next-intl) | Speicherung der gewählten Sprache (DE/EN) | Bis zur manuellen Änderung | Nein (technisch notwendig) |

12.2 Keine Tracking-Cookies

Wir setzen keine Tracking-, Werbe- oder Marketing-Cookies ein. Es werden keine Schriftarten von externen Diensten (wie Google Fonts) nachgeladen — alle Schriftarten werden lokal über die Anwendung ausgeliefert (Self-Hosting via next/font).

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technische Notwendigkeit).

13. Datenübermittlung in Drittländer

Einige unserer Dienstleister verarbeiten Daten außerhalb des Europäischen Wirtschaftsraums (EWR). Im Folgenden eine Übersicht der Drittlandtransfers und der jeweiligen Rechtsgrundlagen:

| Dienstleister | Sitz | Datenart | Rechtsgrundlage Transfer | |---|---|---|---| | Vercel, Inc. | USA | Server-Logs, IP-Adressen | EU-US DPF + SCC | | Supabase, Inc. | USA | Nutzerdaten, Trainingsdaten | SCC + technische Maßnahmen | | Anthropic, PBC | USA | Trainingsdaten (anonymisiert) | SCC + DPA + technische Maßnahmen | | Stripe, Inc. | USA/Irland | Zahlungsdaten | EU-US DPF + SCC | | Upstash, Inc. | USA | Nutzer-ID, Zähler | SCC | | ImageKit Pvt. Ltd. | Indien/Global | IP-Adresse (CDN-Abruf) | SCC | | Google LLC | USA/Irland | Auth-Daten (E-Mail, Name, ID) | EU-US DPF + SCC | | Apple Inc. | USA/Irland | Auth-Daten (E-Mail, Name, ID) | EU-US DPF + SCC | | Meta Platforms, Inc. | USA/Irland | Auth-Daten (E-Mail, Name, ID) | EU-US DPF + SCC |

Zum EU-US Data Privacy Framework (DPF): Das DPF wurde am 10. Juli 2023 durch einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO als ausreichendes Datenschutzniveau anerkannt. Im September 2025 hat das Gericht der Europäischen Union eine Nichtigkeitsklage gegen das DPF abgewiesen. Wir überwachen die regulatorische Entwicklung des DPF kontinuierlich und halten ergänzend Standardvertragsklauseln (SCC) als Rückfallmechanismus bereit.

14. Ihre Rechte als betroffene Person

14.1 Überblick

Sie haben als betroffene Person folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir von Ihnen verarbeiten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern die Voraussetzungen vorliegen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können gegen die Verarbeitung Ihrer Daten Widerspruch einlegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

14.2 Ausübung Ihrer Rechte

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte per E-Mail: contact@methodstrength.app

Wir werden Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats, bearbeiten.

14.3 Löschung des Nutzerkontos

Sie können Ihr Nutzerkonto jederzeit in den Einstellungen der Anwendung löschen. Bei der Löschung werden:

  • Alle personenbezogenen Daten in der Datenbank (Supabase) gelöscht
  • Alle lokal gespeicherten Daten (IndexedDB) bei der nächsten Synchronisierung bereinigt
  • Die Stripe-Kunden-ID von Ihrem Profil entkoppelt (Zahlungsdaten bei Stripe unterliegen gesetzlichen Aufbewahrungspflichten)

14.4 Beschwerderecht bei einer Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt.

Die für uns zuständige Aufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Ludwig-Erhard-Str 22, 7. OG 20459 Hamburg Telefon: +49 40 428 54 4040 E-Mail: mailbox@datenschutz.hamburg.de Website: https://datenschutz-hamburg.de

15. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten:

  • Verschlüsselung: Sämtliche Datenübertragungen erfolgen verschlüsselt über TLS/HTTPS.
  • Zugriffskontrolle: Row Level Security (RLS) auf Datenbankebene stellt sicher, dass Nutzer ausschließlich auf eigene Daten zugreifen können.
  • Passwort-Hashing: Passwörter werden niemals im Klartext gespeichert, sondern ausschließlich als kryptografischer Hash (bcrypt).
  • Minimierung: Bei der Übermittlung an die Claude API werden Daten auf das für die Trainingsplanung erforderliche Minimum reduziert (keine identifizierenden Merkmale).
  • Webhook-Verifizierung: Stripe-Webhooks werden durch kryptografische Signaturprüfung verifiziert, bevor Daten verarbeitet werden.

16. Minderjährige

Unsere Anwendung richtet sich an Erwachsene (insbesondere Personen ab 40 Jahren). Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass personenbezogene Daten eines Kindes unter 16 Jahren ohne die Einwilligung eines Erziehungsberechtigten erhoben wurden, werden wir diese Daten unverzüglich löschen.

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes sowie der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets in der Anwendung unter „Datenschutz" abrufbar. Bei wesentlichen Änderungen werden wir Sie über die Anwendung oder per E-Mail informieren.