Loop Datenschutz

Datenschutzerklärung

Stand: Mai 2026

Loop ist ein Running-Coach für iOS. Diese Erklärung beschreibt, welche Daten wir verarbeiten — einschließlich Gesundheitsdaten (besondere Kategorien nach Art. 9 DSGVO) — mit welchen Drittanbietern wir sie teilen und welche Rechte du hast.

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO:
Hannes Buchner
Waldstraße 16
89250 Senden, Deutschland
E-Mail: loop@hannesbuchner.com

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt (keine Pflicht nach Art. 37 DSGVO bei dieser Unternehmensgröße).

2. Besondere Kategorien (Gesundheitsdaten)

Loop verarbeitet Gesundheitsdaten — also besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO. Dazu zählen insbesondere Herzfrequenz, Herzfrequenzvariabilität (HRV), Schlafdaten, Ruhepuls, Atemfrequenz, Körpergewicht und Angaben zu Verletzungen.

Die Verarbeitung dieser Daten erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Du erteilst diese Einwilligung, indem du die jeweilige Datenquelle (Garmin, Oura, Strava) verbindest oder die Werte manuell einträgst. Ohne diese Einwilligung kann die Kern-Funktion der App (datenbasiertes Coaching) nicht bereitgestellt werden.

3. Welche Daten wir verarbeiten

Pflichtdaten (Account)

Gesundheits- und Trainingsdaten von Drittanbietern (★ = Gesundheitsdaten nach Art. 9)

Vom Nutzer manuell eingegeben

4. Zwecke der Verarbeitung

5. Rechtsgrundlagen

6. Einwilligung & Widerruf

Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Den Widerruf erklärst du, indem du die jeweilige Datenquelle im Profil trennst, deine Einträge löschst oder deinen Account löschst. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

7. Automatisierte Verarbeitung & KI

Loop wertet deine Daten algorithmisch aus und nutzt ein KI-Sprachmodell (Anthropic Claude), um individuelle Coaching-Empfehlungen zu erzeugen. Dies stellt ein Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar.

Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung nach Art. 22 DSGVO statt: Die Empfehlungen sind unverbindliche Trainingsvorschläge, über deren Umsetzung du frei entscheidest. Für die KI-Verarbeitung werden ein Snapshot deiner aktuellen Trainings-/Wellness-Daten und dein Chat-Verlauf an Anthropic (USA) übermittelt (siehe Abschnitt 8).

8. Sub-Prozessoren & Drittland-Transfers

Folgende Dienste verarbeiten Daten in unserem Auftrag (Art. 28 DSGVO):

DienstZweckOrt
Heroku / SalesforceApp-Hosting + DatenbankEU/US
Anthropic ClaudeCoach-LLMUS
OpenAISprach-Memos (Whisper)US
Twilio VerifySMS-OTP beim LoginUS
Garmin ConnectAktivitäts-/Wellness-SyncUS
StravaAktivitäts-Sync (OAuth)US
Oura Ring APIWellness-SyncUS
ExpoPush-BenachrichtigungenUS
SentryCrash-Reporting (anonymisiert)EU

Bei Übermittlungen in die USA besteht kein generelles Angemessenheitsniveau im Sinne der DSGVO. Die Transfers stützen sich, soweit verfügbar, auf eine Zertifizierung des Empfängers nach dem EU-US Data Privacy Framework und/oder auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Trotz dieser Garantien kann ein Zugriff durch US-Behörden nicht vollständig ausgeschlossen werden (vgl. EuGH „Schrems II"). Mit dem Verbinden eines US-Dienstes willigst du auch in diese Übermittlung ein (Art. 49 Abs. 1 lit. a DSGVO).

9. Garmin: Spezialhinweis

Garmin bietet aktuell keine offizielle OAuth-Schnittstelle für unsere App. Wir loggen uns in deinem Namen mit den von dir eingegebenen Credentials in die Garmin-Web-Plattform ein, um deine Daten zu lesen. Dein Passwort wird AES-128-verschlüsselt (Fernet) gespeichert und nur für den Daten-Abruf entschlüsselt. Du kannst die Verbindung jederzeit im Profil trennen — die verschlüsselten Credentials werden dann gelöscht.

10. Speicherdauer

Bei Account-Löschung (Profil → „Account löschen") werden alle personenbezogenen Daten unverzüglich gelöscht und innerhalb von 30 Tagen aus den Backups entfernt.

11. Deine Rechte (Art. 15–22 DSGVO)

Für alle Anfragen außer der direkten App-Löschung: loop@hannesbuchner.com.

12. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.

13. Pflicht zur Bereitstellung

Die Bereitstellung der Telefonnummer ist für die Registrierung erforderlich. Die Bereitstellung der Gesundheits-/Trainingsdaten ist freiwillig — ohne sie ist jedoch die datenbasierte Coaching-Funktion nicht oder nur eingeschränkt nutzbar.

14. Datensicherheit

Die Übertragung erfolgt TLS-verschlüsselt. Daten werden verschlüsselt gespeichert (Encryption-at-Rest); sensible Drittanbieter-Credentials zusätzlich anwendungsseitig (Fernet/AES-128). Der Zugang zum Account ist per SMS-Einmalcode abgesichert.

15. Kein Tracking, keine Werbung

Loop nutzt keine Analyse-Tools, keine Werbe-Tracker und keinen Apple-IDFA. Das iOS-Privacy-Manifest deklariert NSPrivacyTracking=false.

16. Änderungen

Diese Datenschutzerklärung kann sich ändern, wenn neue Funktionen oder Sub-Prozessoren hinzukommen. Wesentliche Änderungen werden in der App angekündigt.