Datenschutzerklärung
Stand: März 2026
1. Verantwortlicher und Kontakt
Verantwortlich für die Datenverarbeitung auf dieser Website und in der NextBurn-App ist:
Nanuc Gesellschaft mit beschränkter Haftung
Wartmauerstr. 12, D-71296 Heimsheim
Geschäftsführer: Sebastian Schöps
Amtsgericht Mannheim, HRB 729512
USt-IdNr.: DE296504286
E-Mail: privacy@nextburn.app
2. Datenschutz auf einen Blick
Wir nehmen den Schutz deiner persönlichen Daten sehr ernst. Wir behandeln deine personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften (insbesondere der DSGVO) sowie dieser Datenschutzerklärung. Wir verkaufen deine Daten nicht.
3. Welche Daten wir erheben
a) Account-Daten
Bei der Registrierung erheben wir: Name, E-Mail-Adresse, Alter, Gewicht, Größe und Geschlecht. Diese Daten sind für die Bereitstellung der App-Funktionen erforderlich.
b) Waitlist-Anmeldung
Wenn du dich für unsere Waitlist anmeldest, speichern wir deine E-Mail-Adresse, die gewählte Sprache und den Zeitpunkt der Anmeldung. Diese Daten werden ausschließlich verwendet, um dich über den Launch von NextBurn zu informieren.
c) Trainingsdaten von Garmin Connect
Wenn du dein Garmin-Konto mit NextBurn verbindest, rufen wir über die Garmin Connect API folgende Daten ab:
Aktivitätsdaten:
- Aktivitätstyp, Dauer, Distanz, Kalorien, Tempo/Pace, Höhenmeter
- Herzfrequenzdaten: Durchschnitt-HR, Max-HR, HR-Zonen, Ruheherzfrequenz
- GPS-Daten: Strecke, Splits, Segmente
- Leistungsdaten: VO2max-Schätzung, Trainingsstatus
- Aktivitätsdateien (FIT-Dateien mit vollständigen Details)
Gesundheitsdaten:
- Tägliche Zusammenfassung: Schritte, Kalorienverbrauch, aktive Minuten
- Schlaf: Schlafdauer, Schlafphasen, Schlafqualitäts-Score
- Herzfrequenzvariabilität (HRV): HRV-Status, HRV-Trend
- Stress: Stresslevel, Stressdauer
- Body Battery: Energielevel über den Tag
- Körperdaten: Gewicht (falls Garmin-Waage verbunden)
d) Trainingsdaten von Strava
Wenn du dein Strava-Konto mit NextBurn verbindest, importieren wir Aktivitätsdaten wie Typ, Dauer, Distanz und Pace. Die Verarbeitung erfolgt analog zu den Garmin-Daten.
e) In-App generierte Daten
Ziele, Präferenzen, Onboarding-Antworten und Trainingshistorie, die du innerhalb der App erstellst.
f) Nutzungsdaten
Wir verwenden Fathom Analytics, einen datenschutzfreundlichen Analyse-Dienst. Fathom setzt keine Cookies und erfasst keine personenbezogenen Daten. Alle Daten werden in der EU verarbeitet. Ein Cookie-Banner ist daher nicht erforderlich.
g) Zahlungsdaten
Zahlungen werden über Apple In-App Purchase und Google Play Billing abgewickelt. NextBurn speichert keine Kreditkarten- oder Zahlungsdaten direkt.
4. Zweck und Rechtsgrundlage der Verarbeitung
- Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der App-Funktionen, Trainingsplanung, Synchronisation.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Garmin-Datenimport, KI-Verarbeitung, Verarbeitung von Gesundheitsdaten, Waitlist-Anmeldung.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Analytics, Sicherheit, Fehlerbehebung.
5. Garmin Connect Integration
NextBurn bietet die Möglichkeit, dein Garmin Connect-Konto mit der App zu verbinden. Die Verbindung erfolgt über OAuth 2.0 – du wirst zu Garmin weitergeleitet, um die Autorisierung zu erteilen. NextBurn speichert zu keinem Zeitpunkt dein Garmin-Passwort.
Wichtig: Wenn du dein Garmin-Konto mit NextBurn verbindest, werden deine Trainingsdaten von Garmin Connect an NextBurn übermittelt. Diese Daten werden von NextBurn verarbeitet und gespeichert – nicht von Garmin. Garmin übernimmt keine Verantwortung oder Haftung für Daten, die an NextBurn übermittelt werden.
Die vollständige Liste der abgerufenen Datenkategorien findest du unter Abschnitt 3c dieser Datenschutzerklärung.
Export von Workouts an Garmin
NextBurn kann geplante Trainingseinheiten und Wochenpläne über die Garmin Training API an dein Garmin-Gerät exportieren. Dabei werden Daten von NextBurn an Garmin zurückübertragen. Für Informationen darüber, wie Garmin diese Daten verarbeitet, besuche die Garmin Connect Datenschutzerklärung.
Einwilligung und Widerruf
Vor dem ersten Zugriff auf deine Garmin-Daten wirst du in einem eigenen Consent-Screen darüber informiert, welche Daten abgerufen werden und wofür sie verwendet werden. Du erteilst deine ausdrückliche Einwilligung aktiv (kein vorausgefülltes Opt-In). Du kannst die Garmin-Verbindung jederzeit in den App-Einstellungen trennen. Nach dem Trennen werden keine weiteren Daten von Garmin abgerufen.
Weitere Informationen zum Datenschutz bei Garmin findest du in der Garmin Connect Datenschutzerklärung.
6. Strava Integration
Wenn du dein Strava-Konto mit NextBurn verbindest, werden Aktivitätsdaten über die Strava API importiert. Die Verbindung erfolgt über OAuth 2.0. Du kannst die Strava-Verbindung jederzeit in den App-Einstellungen trennen. Die Verarbeitung und Nutzung der Daten erfolgt analog zur Garmin-Integration.
7. Einsatz von Künstlicher Intelligenz (KI-Transparenzerklärung)
NextBurn verwendet KI-Technologie zur Analyse deiner Trainingsdaten und Generierung personalisierter Trainingspläne. Das verwendete KI-System ist Claude, betrieben von Anthropic PBC (San Francisco, USA).
Welche Daten an die KI übermittelt werden
- Aktivitätsdaten (Typ, Dauer, Distanz, Pace, Herzfrequenz)
- Gesundheitsmetriken (VO2max, HRV, Schlaf, Ruheherzfrequenz)
- Zieldaten (Wettkampfziele, Trainingspräferenzen)
- Körperdaten (Alter, Gewicht, Größe, Geschlecht)
Anonymisierung
Deine Daten werden anonymisiert an die KI übermittelt. Es werden keine Namen, E-Mail-Adressen, Garmin-Account-IDs oder andere direkt identifizierende Merkmale an Anthropic gesendet.
Zweck der KI-Verarbeitung
- Tägliche Trainingsempfehlungen
- Personalisierte Wochenpläne
- Zielprognosen
- Wöchentliche Trainingsreviews
Kein KI-Modelltraining
Deine Daten werden nicht zum Training oder zur Verbesserung der KI-Modelle verwendet. Anthropic nutzt über die API übermittelte Daten standardmäßig nicht für das Modelltraining.
Einwilligung und Widerruf
Die KI-Verarbeitung erfordert deine ausdrückliche Einwilligung, die du vor der ersten Nutzung aktiv erteilst. Du kannst die KI-Verarbeitung jederzeit in den App-Einstellungen deaktivieren. Bei Widerruf erhältst du keine KI-gestützten Trainingsempfehlungen mehr, grundlegende App-Funktionen bleiben aber weiterhin verfügbar.
Serverstandort
Die KI-Verarbeitung findet auf Servern der Anthropic PBC in den USA statt. Siehe Abschnitt 9 (Drittlandtransfer) für die getroffenen Datenschutzgarantien.
8. Datenweitergabe an Dritte
- Anthropic PBC (USA): Anonymisierte Trainingsdaten, Gesundheitsmetriken und Zieldaten zur KI-gestützten Trainingsplanberechnung. Anthropic verarbeitet API-Daten nicht für Modelltraining.
- Garmin International (USA): Bei Nutzung des Workout-Exports werden geplante Trainingseinheiten an Garmin übertragen.
- Strava Inc. (USA): Bei Nutzung der Strava-Integration werden Aktivitätsdaten importiert.
- Hetzner Online GmbH (Deutschland): Hosting unserer Server in Deutschland.
- Fathom Analytics: Datenschutzfreundliche Website-Analyse, keine Cookies, EU-Datenverarbeitung.
- Apple / Google: Abwicklung von In-App-Käufen. NextBurn speichert keine Zahlungsdaten.
Wir geben keine Daten an Werbetreibende weiter. Wir verkaufen deine Daten nicht.
9. Drittlandtransfer
Einige unserer Dienstleister sitzen in den USA, einem Land ohne Angemessenheitsbeschluss der EU-Kommission für alle Unternehmen. Wir treffen folgende Schutzmaßnahmen:
- Anthropic PBC: Wir prüfen die Zertifizierung unter dem EU-US Data Privacy Framework. Zusätzlich setzen wir auf Standardvertragsklauseln (SCC) und Anonymisierung der übertragenen Daten als zusätzliche technische Schutzmaßnahme.
- Garmin International: Standard Contractual Clauses (Controller-to-Controller, Modul 1) gemäß Annex A des Garmin Connect Developer Program Agreements. Geltendes Recht: Deutsches Recht. Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht.
10. Datensicherheit
- Verschlüsselung aller Datenübertragungen über TLS/HTTPS
- Verschlüsselung sensibler Daten bei Speicherung (at rest)
- EU-Server (Hetzner, Deutschland)
- Rollenbasierte Zugangskontrollen und Authentifizierung
- Sichere OAuth 2.0-Implementierung für Garmin und Strava – keine Speicherung von Passwörtern
- Regelmäßige Sicherheitsüberprüfungen
- Dokumentierte Incident-Response-Prozesse für Sicherheitsvorfälle
11. Besonderer Schutz von Gesundheitsdaten
Daten wie Herzfrequenz, HRV, Schlaf und VO2max gelten als Gesundheitsdaten im Sinne von Art. 9 DSGVO. Diese unterliegen einem besonderen Schutz:
- Rechtsgrundlage: Ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO
- Separate Einwilligung: Die Einwilligung zur Verarbeitung von Gesundheitsdaten wird separat von der allgemeinen Einwilligung eingeholt
- Erhöhte Sicherheitsmaßnahmen: Verschlüsselung, Zugangsbeschränkung, Pseudonymisierung
- Datensparsamkeit: Nur die für den Zweck erforderlichen Daten werden erhoben
12. Datenaufbewahrung und Löschung
| Datentyp | Aufbewahrungsfrist |
|---|---|
| Aktivitäts- und Gesundheitsdaten | Solange Account aktiv + 30 Tage nach Löschung |
| KI-generierte Trainingspläne | 12 Monate |
| Garmin OAuth-Tokens | Bis Widerruf oder Account-Löschung |
| Account-Daten | Bis Account-Löschung + gesetzliche Aufbewahrungsfristen |
Was bei Account-Löschung passiert
- Alle personenbezogenen Daten werden vollständig gelöscht
- Garmin OAuth-Tokens werden widerrufen und gelöscht
- Daten bei Anthropic: API-Aufrufe werden nicht dauerhaft gespeichert
- Verbleibende Daten nur bei gesetzlicher Aufbewahrungspflicht (z.B. Rechnungsdaten)
13. Deine Rechte
Du hast gemäß DSGVO folgende Rechte:
| Recht | Umsetzung |
|---|---|
| Auskunft (Art. 15 DSGVO) | In-App-Anzeige aller gespeicherten Daten + Export-Funktion |
| Berichtigung (Art. 16 DSGVO) | Profildaten können in der App geändert werden |
| Löschung (Art. 17 DSGVO) | Account-Löschung in der App → vollständige Datenlöschung inkl. Garmin-Tokens |
| Einschränkung (Art. 18 DSGVO) | Möglichkeit, die KI-Verarbeitung zu deaktivieren |
| Datenübertragbarkeit (Art. 20 DSGVO) | Export deiner Trainingsdaten im JSON-Format |
| Widerspruch (Art. 21 DSGVO) | Jederzeit über App-Einstellungen |
| Widerruf der Einwilligung | Garmin-Verbindung trennen, KI-Verarbeitung deaktivieren – jederzeit in den Einstellungen |
Zur Ausübung deiner Rechte kannst du uns jederzeit kontaktieren: privacy@nextburn.app
14. Hosting
Diese Website und die NextBurn-App werden auf Servern von Hetzner Online GmbH in Deutschland gehostet. Die Datenverarbeitung findet ausschließlich auf EU-Servern statt.
15. Push-Benachrichtigungen
NextBurn kann Push-Benachrichtigungen senden für Trainingsmotivation, Übertrainungswarnungen und Wochenreviews. Du kannst Push-Benachrichtigungen jederzeit in den App- oder Geräte-Einstellungen aktivieren oder deaktivieren.
16. Standort- und GPS-Daten
NextBurn verarbeitet GPS-Daten aus deinen Garmin-Aktivitäten ausschließlich für Laufanalysen und Pace-Berechnungen pro Segment. GPS-Daten werden nicht standardmäßig gesammelt, sondern nur mit deiner ausdrücklichen Einwilligung im Rahmen der Garmin-Verbindung importiert.
17. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen, neue Funktionen oder Änderungen der Garmin-Richtlinien anzupassen. Bei wesentlichen Änderungen informieren wir dich per In-App-Benachrichtigung oder E-Mail. Die URL dieser Datenschutzerklärung bleibt stabil und wird bei Änderung der Adresse weitergeleitet.
18. Kontakt und Aufsichtsbehörde
Bei Fragen zum Datenschutz erreichst du uns unter: privacy@nextburn.app
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de