Bolty

Datenschutzerklärung

Gültig ab: 4. März 2026

1. Verantwortlicher

Bolty wird von Robin Baret, natürliche Person, betrieben.

Kontakt-E-Mail: [email protected]

Hosting: Railway (Server in Europa).

2. Erhobene Daten

Bolty erhebt die folgenden Daten im Rahmen der Bereitstellung des Dienstes:

2.1 Benutzerkonto

  • E-Mail-Adresse
  • Passwort (gehasht mit bcrypt — niemals im Klartext gespeichert)
  • Apple Sign-In- oder Google Sign-In-Kennungen (eindeutige Kennung des Anbieters)

2.2 Läuferprofil

  • Vorname
  • Alter
  • Gewicht
  • Niveau und Lauferfahrung
  • Motivation und Laufziele
  • Herzfrequenzzonen
  • Bevorzugte Trainingstage

2.3 Sportliche Aktivitäten

  • Metadaten: Distanz, Dauer, Durchschnittstempo, Herzfrequenz, Kadenz, Höhenmeter
  • Sekundengenaue Streams: GPS, Herzfrequenz, Tempo, Höhe, Kadenz
  • GPS-Strecke (kodierte Polyline)
  • Rundendaten (Laps)
  • GPS-Standortdaten in Echtzeit (bei Nutzung des integrierten Trackings vom Handy)

2.4 Empfindungen nach dem Lauf

  • Bewertung der subjektiven Belastung (RPE)
  • Körperliche Empfindungen
  • Freie Notizen des Nutzers

2.5 Trainingspläne

  • Von künstlicher Intelligenz generierte Pläne
  • Geplante Einheiten und deren Status

2.6 KI-Coach-Analysen

  • Von der KI generierte Texte und strukturierte Daten
  • Verlauf der Fragen und Antworten mit dem Coach

2.7 Technische Daten

  • Strava-Authentifizierungstoken (verschlüsselt in der Datenbank)
  • Garmin Connect-Authentifizierungstoken (verschlüsselt in der Datenbank)
  • Push-Benachrichtigungstoken (Expo)

2.8 Nutzungs- und Analysedaten

  • Navigationsereignisse in der App (besuchte Bildschirme, abgeschlossene Onboarding-Schritte)
  • Wichtige Aktionen: Abonnement, Verbindung einer Aktivitätsquelle, Abruf einer Analyse
  • Plattform (iOS/Android) und App-Version

Diese Daten werden pseudonymisiert über PostHog (gehostet in Europa) erhoben und niemals an Dritte verkauft. Sie dienen ausschließlich der Verbesserung der Nutzererfahrung und der Identifikation von Reibungspunkten in der App.

3. Rechtsgrundlage der Verarbeitung

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung der Daten ist für die Bereitstellung des Bolty-Dienstes erforderlich (Laufanalyse, Planerstellung, Fortschrittsverfolgung).
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Push-Benachrichtigungen, den Zugriff auf den GPS-Standort (integriertes Tracking) und die Verbindung mit Drittanbieterdiensten (Strava, Garmin Connect, Apple Health). Du kannst deine Einwilligung jederzeit widerrufen.

4. Auftragsverarbeiter und Dritte

Bestimmte Daten werden im Rahmen der Diensterbringung mit folgenden Dienstleistern geteilt:

Anbieter künstlicher Intelligenz (USA)

Zweck : KI-Analyse der Aktivitäten und Erstellung von Trainingsplänen.

Übermittelte Daten : Nutzerprofil und aggregierte Metriken. Rohe GPS-Streams werden nicht übermittelt.

Strava (USA)

Zweck : Import von Aktivitäten über OAuth 2.0 im Lesemodus (Scope activity:read_all).

An Strava übermittelte Daten : keine. Bolty importiert ausschließlich Daten von Strava.

Importierte Daten : Laufaktivitäten (Metadaten, GPS-/HF-/Tempo-/Höhen-/Kadenz-Streams, Strava-Athleten-ID, GPS-Strecken, Laps).

Die Verbindung kann jederzeit über die Bolty-App oder über die Strava-Einstellungen widerrufen werden.

Garmin Connect (USA)

Zweck : Import von Aktivitäten über OAuth 2.0. Bolty greift auf Laufaktivitäten im Lesemodus zu.

An Garmin übermittelte Daten : keine. Bolty importiert ausschließlich Daten von Garmin Connect.

Importierte Daten : Laufaktivitäten (Metadaten, GPS-/HF-/Tempo-/Höhen-/Kadenz-Streams, GPS-Strecken, Laps).

Die Verbindung kann jederzeit über die Bolty-App oder über die Garmin Connect-Einstellungen widerrufen werden.

Apple / Google (USA)

Zweck : ausschließlich Authentifizierung (Überprüfung der Identitätstoken).

Expo / EAS (USA)

Zweck : Push-Benachrichtigungsdienst.

Übermittelte Daten : Push-Token und Benachrichtigungsinhalt.

RevenueCat (USA)

Zweck : Verwaltung der In-App-Abonnements.

Übermittelte Daten : anonymisierte Nutzer-ID. Keine Bankdaten werden mit RevenueCat geteilt oder von Bolty gespeichert.

PostHog (Europa)

Zweck : Produktanalysen zum Verständnis der App-Nutzung und zur Verbesserung der Nutzererfahrung.

Übermittelte Daten : pseudonymisierte Nutzungsereignisse (Onboarding-Schritte, wichtige Aktionen), Plattform und App-Version. Keine sensiblen personenbezogenen Daten werden übermittelt.

Hosting : europäische Instanz (eu.posthog.com). Die Daten verlassen Europa nicht.

Railway (Europa)

Zweck : Hosting des Backends und der PostgreSQL-Datenbank. Die Server befinden sich in Europa.

5. Apple Health (HealthKit), Garmin Connect und integriertes GPS-Tracking

Bolty kann auf Laufdaten über Apple Health (HealthKit) auf iOS zugreifen. Dieser Zugriff ist lokal: Die Daten werden nach ausdrücklicher Genehmigung des Nutzers über das iOS-Berechtigungssystem direkt vom Gerät gelesen.

Die über Apple Health importierten Daten (Läufe, Herzfrequenz, Kadenz, Höhenmeter) werden genauso behandelt wie die über Strava importierten Daten.

Bolty ermöglicht auch die Verbindung eines Garmin Connect-Kontos, um automatisch auf einer Garmin-Uhr aufgezeichnete Aktivitäten zu importieren. Diese Verbindung nutzt das OAuth 2.0-Protokoll und kann jederzeit widerrufen werden.

Darüber hinaus bietet Bolty ein integriertes GPS-Tracking, um einen Lauf direkt vom Handy aufzuzeichnen. Diese Funktion erfordert den Zugriff auf den Standort des Geräts, der über die Berechtigungen des Betriebssystems erteilt wird. Standortdaten werden ausschließlich zur Aufzeichnung der Laufstrecke verwendet und niemals zu Werbezwecken weitergegeben.

6. Internationale Datenübermittlung

Einige Auftragsverarbeiter haben ihren Sitz in den USA. Diese Unternehmen sind im Rahmen des EU-US Data Privacy Framework (DPF) zertifiziert, das ein von der Europäischen Kommission anerkanntes angemessenes Schutzniveau gewährleistet.

7. Speicherdauer

Deine Daten werden für die gesamte Dauer des Bestehens deines Kontos gespeichert.

Bei Löschung deines Kontos werden alle zugehörigen Daten vollständig und unwiderruflich gelöscht (kaskadierende Löschung aller Aktivitäten, Analysen, Pläne, des Profils und der Token).

8. Deine Rechte (DSGVO)

Gemäß der Datenschutz-Grundverordnung (DSGVO) hast du folgende Rechte:

  • Recht auf Auskunft: eine Kopie deiner personenbezogenen Daten erhalten.
  • Recht auf Berichtigung: unrichtige oder unvollständige Daten korrigieren.
  • Recht auf Löschung: die Löschung deiner Daten verlangen. Die Kontolöschung ist direkt in der App verfügbar (Profil > Mein Konto löschen).
  • Recht auf Datenübertragbarkeit: deine Daten in einem strukturierten und lesbaren Format erhalten.
  • Widerspruchsrecht: der Verarbeitung deiner Daten widersprechen.
  • Recht auf Einschränkung: die Einschränkung der Verarbeitung verlangen.

Um diese Rechte auszuüben, kontaktiere uns unter [email protected].

9. Besondere Rechte für Kalifornien (CCPA)

Wenn du in Kalifornien wohnst, hast du gemäß dem California Consumer Privacy Act (CCPA) folgende Rechte:

  • Recht auf Auskunft: die Kategorien und spezifischen Elemente der erhobenen personenbezogenen Daten erfahren.
  • Recht auf Löschung: die Löschung deiner personenbezogenen Daten verlangen.
  • Recht auf Nichtdiskriminierung: nicht unterschiedlich behandelt werden, weil du deine Rechte ausgeübt hast.

Bolty verkauft keine personenbezogenen Daten.

10. Sicherheit

Wir setzen folgende Maßnahmen zum Schutz deiner Daten um:

  • HTTPS-Verschlüsselung für die gesamte Kommunikation
  • Passwörter gehasht mit bcrypt (niemals im Klartext gespeichert)
  • Strava-Token verschlüsselt in der Datenbank
  • Authentifizierung über Token mit begrenzter Gültigkeitsdauer

11. Mindestalter

Bolty richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen unter 16 Jahren. Wenn du ein Elternteil oder Erziehungsberechtigter bist und glaubst, dass dein Kind uns personenbezogene Daten übermittelt hat, kontaktiere uns, damit wir diese löschen können.

12. Cookies und Analysen

Die Bolty-Landingpage (bolty.run) verwendet keine Tracking-Cookies oder Analytics-Tools von Drittanbietern. Es werden ausschließlich technisch notwendige Cookies verwendet, die für den Betrieb erforderlich sind.

Die mobile Bolty-App nutzt PostHog (europäische Instanz) zur Erfassung anonymisierter Nutzungsereignisse. Diese Daten dienen ausschließlich der Produktverbesserung. In der mobilen App werden keine Cookies verwendet — PostHog arbeitet über das in die App integrierte SDK.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung zu ändern. Bei wesentlichen Änderungen wirst du per Benachrichtigung in der App oder per E-Mail informiert.

14. Kontakt

Bei Fragen zu dieser Datenschutzerklärung oder zu deinen personenbezogenen Daten kontaktiere uns unter [email protected].