Loop Datenschutz

Datenschutzerklärung

Stand: Mai 2026

Loop ist ein Running- und Triathlon-Coach für iOS. Diese Erklärung beschreibt, welche Daten wir verarbeiten, mit welchen Drittanbietern wir sie teilen und welche Rechte du hast.

1. Verantwortlicher

Hannes Buchner
E-Mail: mail@hannesbuchner.com

2. Welche Daten wir verarbeiten

Pflichtdaten (Account)

• Telefonnummer — als Account-ID. Verifikation per SMS-Code (Twilio).
• Name — optional, für die Anrede.

Trainings- und Gesundheitsdaten

Du verbindest optional Drittanbieter, von denen wir die folgenden Daten beziehen:

• Garmin Connect: Aktivitäten (Distanz, Dauer, Herzfrequenz, GPS, Watt, Pace), VO2max, Training-Status, HRV-Status, Schlaf, Body-Battery, Stress
• Oura Ring: HRV, Readiness, Schlaf (Stages + Gesamt), Aktivität, Körpertemperatur
• Strava: Aktivitäten (analog Garmin), Athleten-Profil, Avatar
• Pushing Limits Club (PLC): importierter Trainingsplan (iCal oder Web-Login)

Vom Nutzer manuell eingegeben

• Race-Ziele (Name, Datum, Ort)
• Performance-Anker: FTP, CSS, Körpergewicht, biologisches Geschlecht
• Subjektive Wellness-Logs (Schlaf, Müdigkeit, Stress, Muskelkater, Stimmung)
• Memory-Notizen (Trainingsgeschichte, Verletzungen)
• Chat-Nachrichten an den Coach (Text + optional Bilder)

3. Zweck der Verarbeitung

• Coach-Empfehlungen: Anpassung der Trainings-Intensität, Erholungs-Verdict, Race-Predictions, Plan-Adaption
• Plan-Generation: evidenzbasierte Lauf- und Triathlon-Pläne (VDOT, FTP-Zonen, Periodisierung)
• Activity-Analyse: Pace-Splits, HR-Zonen, Threshold-Time, Sweet-Spot

4. Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — App-Funktionalität) und lit. a (Einwilligung — für die Drittanbieter-Verbindungen, die du jeweils explizit autorisierst).

5. Sub-Prozessoren / Drittanbieter

Folgende Dienste verarbeiten deine Daten im Auftrag von Loop:

Dienst	Zweck	Daten	Ort
Heroku (Salesforce)	App-Hosting + DB	alle	EU/US
Anthropic Claude	Coach-LLM	Snapshot + Chat	US
OpenAI	Sprach-Memos (Whisper)	Audio	US
Twilio Verify	SMS-OTP Login	Phone + Code	US
Garmin Connect	Aktivitäts-Sync	Credentials, Wellness	US
Strava	Aktivitäts-Sync (OAuth)	Activities + Profil	US
Oura Ring API	Wellness-Sync	HRV/Sleep/Recovery	US
Pushing Limits Club	Plan-Import	Credentials, Plan	EU
Expo (Push)	Push-Notifications	Device-Token	US
Sentry (geplant)	Crash-Reporting	Anonyme Traces	EU

US-Transfers basieren auf EU-Standardvertragsklauseln (SCC) und/oder dem EU-US Data Privacy Framework.

6. Garmin / PLC: Spezialhinweis

Garmin und Pushing Limits Club bieten keine offizielle OAuth-Schnittstelle. Wir loggen uns in deinem Namen mit den von dir eingegebenen Credentials in deren Web-Plattformen ein, um deine Daten zu lesen. Deine Passwörter werden AES-128-verschlüsselt (Fernet) gespeichert und nur für den Daten-Abruf entschlüsselt. Du kannst die Verbindung jederzeit im Profil trennen — die verschlüsselten Credentials werden dann gelöscht.

7. Speicherdauer

• Account-Daten: solange der Account besteht
• Trainings-/Wellness-Daten: solange der Account besteht (für Trend-Analysen 1–2 Jahre rückwirkend nötig)
• Chat-Verlauf: solange der Account besteht
• Backend-Logs: 14 Tage rolling

Bei Account-Löschung (Profil → "Account löschen") werden alle Daten innerhalb von 30 Tagen aus den Backups entfernt.

8. Deine Rechte (Art. 15–22 DSGVO)

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17) — direkt in der App: Profil → "Account löschen"
• Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Beschwerde bei der Aufsichtsbehörde (Art. 77) — zuständig: Bayerisches Landesamt für Datenschutzaufsicht

Für alle Anfragen außer Löschung: mail@hannesbuchner.com.

9. Kein Tracking, keine Werbung

Loop nutzt keine Analyse-Tools, keine Werbe-Tracker, keinen Apple-IDFA. Das Privacy-Manifest (PrivacyInfo.xcprivacy) deklariert NSPrivacyTracking=false.

10. Änderungen

Diese Datenschutzerklärung kann sich ändern, wenn neue Funktionen oder Sub-Prozessoren hinzukommen. Wesentliche Änderungen werden in der App per Push-Notification angekündigt.