Datenschutzerklärung
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Plattform ist die Web Labels Webdesign GmbH, Am Markt 15, 22941 Bargteheide. Kontakt: kontakt@web-labels.de
2. Zweck der Plattform
KINETIC ist eine kostenlose Community-Lösung für Fitness-Enthusiasten, Trainer und Studios. Ziel ist es, eine werbefreie und gebührenfreie Plattform für Training, Fortschrittstracking, Trainingsplan-Verwaltung und die Kommunikation zwischen Mitgliedern und Trainern bereitzustellen.
3. Kein Tracking und keine Werbung
Wir setzen keinerlei Tracking-Tools, Analyse-Software oder Cookies von Drittanbietern ein. Es gibt kein Google Analytics, kein Facebook Pixel, keine Werbe-Tracker und keine vergleichbaren Dienste. Die Plattform verwendet ausschließlich technisch notwendige Session-Cookies, die für die Anmeldung und Nutzung erforderlich sind. Es wird keine Werbung geschaltet. Deine Daten werden nicht für Werbezwecke genutzt, nicht an Dritte verkauft, vermietet oder anderweitig weitergegeben.
4. Accountbezogene Informationen
Bei der Registrierung und Nutzung werden folgende personenbezogene Daten gespeichert:
Pflichtangaben bei der Registrierung:
- Name und E-Mail-Adresse
- Passwort (verschlüsselt gespeichert via bcrypt — das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)
- Zugewiesene Rolle (Mitglied, Trainer, Administrator)
Optionale Profilangaben:
- Größe, Geburtsdatum, Geschlecht
- Profilfoto und Titelbild
- Telefonnummer, WhatsApp-Nummer, Webseite (nur für Trainer)
- Bio, Trainer-Titel, Dienstleistungen, Stundensatz, Erfahrung (nur für Trainer)
- Trainingsziele, Körpertyp, Trainingstage, Erfahrungslevel, Verletzungen (Setup-Wizard)
Trainingsdaten (nutzungsbedingt):
- Trainingspläne, Workout-Logs, Satz- und Wiederholungsdaten
- Körperdaten (Gewicht, Körperfettanteil, Wasseranteil)
- Lauf- und Raddaten (Distanz, Dauer, Pace, Herzfrequenz, Kalorien, GPS-Routendaten)
- Trainings-Sessions (Datum, Dauer, Kalorien, Herzfrequenz)
- Ausrüstung/Gear (Laufschuhe, Fahrräder mit Kilometerstand)
Alle Trainingsdaten dienen ausschließlich der Funktionalität der Plattform für den jeweiligen Nutzer und werden nicht für andere Zwecke verwendet.
5. Chat-Nachrichten und Verschlüsselung
Die Plattform bietet eine Chat-Funktion zur Kommunikation zwischen Mitgliedern und ihren zugewiesenen Trainern.
- Chat-Nachrichten werden mit AES-256-GCM (Advanced Encryption Standard, 256-Bit, Galois/Counter Mode) verschlüsselt in der Datenbank gespeichert.
- Der Verschlüsselungsschlüssel liegt ausschließlich in der Serverkonfiguration und ist nicht in der Datenbank enthalten.
- Nur der Sender und der Empfänger einer Nachricht können den Inhalt lesen. Administratoren, Studio-Betreiber und der Plattform-Betreiber haben keinen Einblick in die Chatinhalte.
- Chat-Nachrichten werden nach 180 Tagen automatisch gelöscht.
- Push-Benachrichtigungen für neue Chat-Nachrichten zeigen lediglich eine Vorschau der ersten 100 Zeichen. Diese wird nicht dauerhaft gespeichert.
6. Push-Benachrichtigungen
Die Plattform bietet optionale Push-Benachrichtigungen über zwei Kanäle:
- Web Push (Browser): Verschlüsselt nach RFC 8291 (aes128gcm) mit VAPID-Authentifizierung. Gespeichert wird der Subscription-Endpoint, der öffentliche Schlüssel (p256dh) und der Authentifizierungsschlüssel.
- Firebase Cloud Messaging (Mobile App): Für native Push-Benachrichtigungen auf Android/iOS. Gespeichert wird lediglich das FCM-Token (Gerätekennung). Die Kommunikation erfolgt über die Firebase-Infrastruktur von Google.
Der Nutzer kann Push-Benachrichtigungen jederzeit in den Profileinstellungen pro Kategorie aktivieren oder deaktivieren. Verfügbare Kategorien:
- Pausentimer, Supplements-Erinnerung, Neuer Trainingsplan, Chat-Nachrichten, News, Freundes-Aktivität
7. Externe Dienste und Integrationen
Die Plattform nutzt folgende externe Dienste:
- Polar AccessLink API: Auf ausdrücklichen Wunsch des Nutzers können Trainingsdaten (Herzfrequenz, Kalorien, Distanz, Dauer) von einer verbundenen Polar-Uhr synchronisiert werden. Die Verbindung erfolgt über OAuth2 und kann jederzeit vom Nutzer getrennt werden. Es wird lediglich ein Zugriffstoken gespeichert — keine Polar-Kontodaten.
- Fitbit Web API: Auf ausdrücklichen Wunsch des Nutzers können Trainingsdaten (Herzfrequenz, Kalorien, Distanz, Dauer, Schritte) von einem verbundenen Fitbit-Konto synchronisiert werden. Die Verbindung erfolgt über OAuth2 mit PKCE und kann jederzeit vom Nutzer getrennt werden. Es werden lediglich Zugriffs- und Refresh-Token gespeichert — keine Fitbit-Kontodaten. Die Kommunikation erfolgt über die Fitbit-API-Infrastruktur (Fitbit LLC / Google).
- Garmin Connect API: Wie bei Polar und Fitbit auf ausdrücklichen Nutzerwunsch. Aktuell in Vorbereitung.
- Firebase Cloud Messaging (Google): Für die Zustellung von Push-Benachrichtigungen an mobile Geräte. Es werden keine personenbezogenen Daten an Google übermittelt, lediglich die Nachricht und das Geräte-Token.
- QR-Code-Generierung (api.qrserver.com): Für die Erstellung von QR-Codes für Studiogeräte. Es werden keine personenbezogenen Daten übermittelt — lediglich die Geräte-URL.
- OpenStreetMap/Nominatim: Für die Geocodierung von Standorten bei der Umkreissuche. Es wird ausschließlich die eingegebene Adresse/PLZ übermittelt, keine personenbezogenen Daten. Anfragen sind auf 10 pro Tag und IP-Adresse begrenzt.
Es werden keine Daten an soziale Netzwerke, Werbenetzwerke oder Datenbroker übermittelt.
8. Standortdaten
Die Umkreissuche für Studios und Trainer nutzt optional den Browserstandort. Hierzu gelten folgende Grundsätze:
- Der Standort wird ausschließlich im Browser ermittelt und nicht auf dem Server gespeichert.
- Vor der Standortabfrage wird eine ausdrückliche Einwilligung eingeholt (Geo-Consent-Dialog).
- Die Einwilligung gilt nur für die aktuelle Browser-Sitzung und wird nicht dauerhaft gespeichert.
- Alternativ kann die Suche über eine manuelle PLZ- oder Stadteingabe erfolgen — ganz ohne Standortfreigabe.
- GPS-Routendaten von Lauf- und Radfahrten werden ausschließlich im Nutzerkonto gespeichert und sind für andere Nutzer nicht sichtbar.
9. Freundes-System und Rankings
Die Plattform bietet optionale soziale Funktionen:
- Freundschaften: Nur auf gegenseitige Anfrage und Bestätigung. Keine automatische Verknüpfung.
- Rankings: Teilnahme an Freundes- und globalen Rankings ist opt-in und kann in den Profileinstellungen jederzeit deaktiviert werden.
- Öffentliches Profil: Standardmäßig deaktiviert. Der Nutzer entscheidet selbst, ob sein Profil öffentlich sichtbar sein soll.
- Datenweitergabe an Trainer/Studio: Der Nutzer kontrolliert über individuelle Datenschutz-Einstellungen (Bitmask), welche Daten mit dem zugewiesenen Trainer und/oder dem Studio geteilt werden.
10. Mobile App
Die KINETIC Mobile App (Android/iOS) ist eine native Hülle (WebView) um die Webplattform. Es werden keine zusätzlichen Daten erhoben. Für Push-Benachrichtigungen wird ein Firebase Cloud Messaging Token gespeichert (siehe Abschnitt 6). Die App fordert ausschließlich die Berechtigung für Push-Benachrichtigungen an — keine Kamera, kein Mikrofon, keine Kontakte, kein Speicherzugriff.
11. Keine Weitergabe an Dritte
Personenbezogene Daten werden unter keinen Umständen:
- an Dritte verkauft, vermietet oder weitergegeben
- für Werbezwecke genutzt oder an Werbenetzwerke übermittelt
- für Profiling, automatisierte Entscheidungsfindung oder KI-Training verwendet
- an Behörden weitergegeben, es sei denn, es liegt eine gesetzliche Verpflichtung vor
12. Datensicherheit
Die Plattform setzt folgende technische Maßnahmen zum Schutz deiner Daten ein:
- Transportverschlüsselung: Alle Verbindungen sind per HTTPS/TLS verschlüsselt (HSTS aktiviert).
- Passwortspeicherung: Passwörter werden ausschließlich als bcrypt-Hash gespeichert. Das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert oder protokolliert.
- Chat-Verschlüsselung: Nachrichten werden mit AES-256-GCM verschlüsselt in der Datenbank abgelegt.
- Session-Sicherheit: httponly, secure, samesite=Lax — Sessions sind nicht per JavaScript auslesbar.
- CSRF-Schutz: Alle Formulare sind gegen Cross-Site Request Forgery geschützt (Timing-Safe Token-Vergleich).
- Content Security Policy: Restriktive CSP-Header verhindern das Einbinden externer Skripte.
- Prepared Statements: Alle Datenbankabfragen nutzen parametrisierte Queries (SQL-Injection-Schutz).
- Upload-Validierung: Datei-Uploads werden auf MIME-Type und Dateiendung geprüft.
- Keine externen Ressourcen: Alle Schriftarten, Stylesheets und JavaScript-Bibliotheken werden lokal gehostet — kein Laden von externen CDNs.
13. Datenlöschung und Aufbewahrungsfristen
Automatische Löschung:
- Chat-Nachrichten: nach 180 Tagen
- Passwort-Reset-Tokens: nach Ablauf (24 Stunden)
- E-Mail-Verifikations-Tokens: nach Ablauf (24 Stunden)
- Einladungs-Tokens: nach 7 Tagen
Manuelle Löschung:
- Mitglieder und Trainer können die Löschung ihres Kontos jederzeit beim zuständigen Administrator oder per E-Mail an kontakt@web-labels.de beantragen.
- Bei Kontolöschung werden sämtliche personenbezogene Daten einschließlich Trainingsdaten, Chat-Nachrichten, Profilbilder und Verbindungen zu externen Diensten unwiderruflich entfernt.
- Studios (Administratoren) können die Löschung per schriftlichem Antrag an den Betreiber beantragen.
Trainingshistorie: Nutzer können einzelne Einträge in der Trainingshistorie selbstständig über die Plattform löschen.
14. Deine Rechte
Du hast gemäß DSGVO jederzeit das Recht auf:
- Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung deiner Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Zur Ausübung deiner Rechte wende dich an: kontakt@web-labels.de
15. Hosting und Serverstandort
Die Plattform wird auf Servern in Deutschland gehostet (TimmeHosting, Debian Linux). Es findet keine Datenübermittlung in Drittländer statt. Ausnahme: Bei Nutzung von Push-Benachrichtigungen über Firebase Cloud Messaging werden Nachrichten über die Google-Infrastruktur zugestellt. Es werden dabei keine personenbezogenen Daten, sondern lediglich die Benachrichtigungsinhalte und das Geräte-Token übermittelt.
16. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Funktionen der Plattform oder geänderte rechtliche Anforderungen anzupassen. Die aktuelle Fassung ist stets auf dieser Seite einsehbar.
Stand: April 2026