Datenschutzerklärung

Stand: 21. Juni 2026

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der App „kontur" (nachfolgend „die App").

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO):

Michael Schmidinger
Sommeregg 14
5301 Eugendorf
Österreich
E-Mail: contact@s-labs.app

Kontaktaufnahme bei Datenschutzfragen bitte per E-Mail an die oben genannte Adresse mit dem Betreff „Datenschutz kontur".

2. Überblick und Rechtsgrundlagen

Die App verarbeitet nahezu alle Daten ausschließlich lokal auf deinem Gerät. Eine Übermittlung an Server des Verantwortlichen findet nicht statt. Die App enthält keine Werbe-SDKs, kein Tracking und keine Nutzungsanalyse.

Daten verlassen dein Gerät nur in zwei Fällen:

1. Hammerhead-Login und Aktivitätsabruf (Art. 6 Abs. 1 lit. b DSGVO, Vertragsdurchführung) — du verbindest dich aktiv mit deinem Hammerhead-Konto.
2. Optionale Cloud-KI-Funktionen (Art. 6 Abs. 1 lit. a DSGVO, Einwilligung) — nur wenn du selbst einen Gemini-API-Schlüssel hinterlegst und aktiv Fragen stellst bzw. Analysen aufrufst. Die Standard-KI läuft on-device (siehe Abschnitt 3.3) und übermittelt keine Daten.

3. Datenkategorien und Verarbeitungszwecke

3.1 Lokal auf dem Gerät verarbeitete Daten

Beim Abruf von Hammerhead werden folgende Daten auf deinem Gerät gespeichert (SwiftData-Datenbank, verschlüsselt bei aktivierter Geräteverschlüsselung):

• Aktivitätsdaten: Datum, Distanz, Dauer, Höhenmeter, Geschwindigkeit, Kadenz, Temperatur, Kalorien
• Gesundheitsbezogene Daten (Art. 9 DSGVO): Herzfrequenz, Leistung/Watt, Trainingsstress-Score (TSS), Intensitätsfaktor (IF), FTP
• Standort-/Routendaten: GPS-Polylinien deiner Aktivitäten
• Anstiegsdaten: erkannte Anstiege, Anstiegsprofile (Länge, Steigung, VAM)
• Metadaten: Aktivitätsname, Beschreibung, Gerätename, Ausrüstung

Zweck: Anzeige deiner Statistiken, Anstiege und Trainingsanalyse in der App. Speicherdauer: bis zum manuellen Löschen in der App (Einstellungen → „Lokale Daten löschen") oder Deinstallation der App.

3.2 Hammerhead (Datenübermittlung)

Beim Verbinden mit Hammerhead und beim Synchronisieren werden Daten zwischen deinem Gerät und Hammerhead (HQ Inc.) ausgetauscht:

• Beim Login: OAuth-Flow via ASWebAuthenticationSession; ein Zugriffs-Token wird verschlüsselt in der iOS-Keychain abgelegt.
• Beim Abruf: Hammerhead übermittelt Aktivitätslisten und FIT-Dateien an die App; die App sendet keine Aktivitätsinhalte an Hammerhead.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung mit Hammerhead). Verantwortlich für die Verarbeitung bei Hammerhead ist HQ Inc.; es gelten deren Datenschutzbestimmungen. Diese App ruft nur Daten ab, die Hammerhead ohnehin von dir erhoben hat — es findet keine zusätzliche Erhebung statt.

3.3 KI-Funktionen (Apple Foundation Models on-device + optionaler Cloud-Fallback)

Die App bietet KI-gestützte Trainingsanalysen und einen Trainingsassistenten (Chat). Die KI funktioniert auf zwei Wegen:

a) Standard: Apple Foundation Models (AFM) — on-device, keine Übermittlung

Auf Geräten ab A17 Pro mit aktivierter Apple Intelligence nutzt die App die Apple Foundation Models. Die KI-Inferenz läuft vollständig lokal auf deinem Gerät aus. Es werden keine Trainingsdaten an Apple oder Dritte übermittelt. Apple sieht die Anfragen nicht, und es findet kein Tracking statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung durch Nutzung) für die rein lokale Verarbeitung gesundheitsbezogener Daten.

b) Optional: Cloud-Fallback via Gemini-API (nur bei hinterlegtem API-Schlüssel)

Wenn AFM nicht verfügbar ist (Gerät < A17 Pro oder Apple Intelligence deaktiviert) und du in den Einstellungen selbst einen Gemini-API-Schlüssel hinterlegst, werden beim Aufruf der KI-Funktionen aggregierte Trainingsdaten an Google LLC (generativelanguage.googleapis.com) übertragen:

• Übermittelte Daten: Datum, Distanz, Höhenmeter, Dauer, Herzfrequenz, Leistung, Kadenz, Temperatur, Ausrüstung, Aktivitätsnamen, Anstiegsnamen
• NICHT übermittelt: GPS-/Routendaten, Standortkoordinaten, Polylinien

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung durch Hinterlegen des API-Schlüssels und aktives Aufrufen der Funktion). Du kannst die Einwilligung jederzeit widerrufen, indem du den API-Schlüssel in den Einstellungen entfernst. Ab dem nächsten Aufruf werden keine Daten mehr übermittelt. Die übermittelten Daten unterliegen den Datenschutzbestimmungen von Google LLC (Drittempfänger bzw. Auftragsverarbeiter).

Der API-Schlüssel selbst wird verschlüsselt in der iOS-Keychain gespeichert und verlässt das Gerät nur als Authentifizierung gegenüber Google.

4. Speicherdauer

• Lokale Aktivitätsdaten: bis zum Löschen in der App oder Deinstallation
• OAuth-Token (Hammerhead): bis zum Trennen der Verbindung in den Einstellungen
• AI-API-Schlüssel: bis zum Entfernen in den Einstellungen
• Serverseitig beim Verantwortlichen: keine Speicherung (kein Backend)

5. Deine Rechte (Betroffenenrechte)

Du hast gemäß DSGVO das Recht auf:

• Auskunft (Art. 15) über die hier verarbeiteten Daten
• Berichtigung (Art. 16) unrichtiger Daten
• Löschung (Art. 17) — in der App: „Lokale Daten löschen" oder Deinstallation
• Einschränkung (Art. 18) der Verarbeitung
• Datenübertragbarkeit (Art. 20) — deine Daten liegen lokal; ein Export ist über die iOS-Sicherung möglich
• Widerspruch (Art. 21) gegen die Verarbeitung
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3) — siehe Abschnitt 3.3
• Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Da alle Daten lokal auf deinem Gerät liegen, kannst du die meisten Rechte selbst durch die App-Funktionen oder durch Löschen der App ausüben. Bei Rückfragen wende dich an die in Abschnitt 1 genannte Kontaktadresse.

6. Besonderheit: Gesundheitsdaten (Art. 9 DSGVO)

Herzfrequenz, Leistung und Trainingsmetriken können als Gesundheitsdaten im Sinne des Art. 9 DSGVO gelten. Diese werden ausschließlich lokal verarbeitet. Die Standard-KI (Apple Foundation Models) läuft ebenfalls on-device — auch hier werden Gesundheitsdaten nicht an Dritte übermittelt. Eine Übermittlung an Dritte erfolgt ausschließlich bei aktiviertem Cloud-Fallback (Gemini-API) nach ausdrücklicher Einwilligung (Abschnitt 3.3b). Rechtsgrundlage für die lokale Verarbeitung ist Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung durch Nutzung der App mit eigenen Hammerhead-Daten) i. V. m. Art. 6 Abs. 1 lit. b DSGVO.

7. Daten von Kindern

Die App richtet sich nicht an Personen unter 16 Jahren und ist nicht für diese bestimmt. Es werden wissentlich keine Daten von Minderjährigen verarbeitet.

8. Sicherheit

• OAuth-Token und AI-API-Schlüssel liegen in der iOS-Keychain (kSecAttrAccessibleAfterFirstUnlockThisDeviceOnly) — verschlüsselt und nicht in unverschlüsselten Geräte-Backups enthalten.
• Alle Netzwerkverbindungen laufen über HTTPS (App Transport Security, keine Ausnahmen für unsichere Verbindungen).
• Es gibt kein Backend des Verantwortlichen, das angegriffen werden könnte.

9. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann bei Funktionsänderungen der App angepasst werden. Die jeweils aktuelle Version ist in der App (Einstellungen → Rechtliches) und unter der in App Store Connect hinterlegten URL abrufbar.

10. Impressum

Michael Schmidinger
Sommeregg 14
5301 Eugendorf
Österreich
E-Mail: contact@s-labs.app

Weitere Details im Impressum.