Datenschutzerklärung

Stand: 21.04.2026 – Version 2.2

1. Einleitung und Geltungsbereich

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Diese Datenschutzerklärung gilt für die mobile App „Shelto" (iOS und Android) sowie die Website shelto.app und informiert Sie gemäß Art. 13 und 14 DSGVO darüber, wie wir Ihre personenbezogenen Daten verarbeiten.

Mindestalter: Die Nutzung der App setzt ein Mindestalter von 16 Jahren voraus. Personen unter 16 Jahren dürfen die App nur mit Einwilligung eines Erziehungsberechtigten nutzen.

2. Verantwortliche Stelle

Stansday UG (haftungsbeschränkt)

Oberer Kolberg 12

34212 Melsungen

Deutschland

E-Mail: support@stansday.com

Datenschutzbeauftragter: Wir sind nicht verpflichtet, einen Datenschutzbeauftragten zu benennen (§ 38 BDSG). Für alle Anfragen zum Datenschutz wenden Sie sich bitte an die oben genannten Kontaktdaten.

3. Kategorien personenbezogener Daten

3.1 Kontodaten (bei Registrierung)

  • E-Mail-Adresse
  • Benutzername
  • Passwort (verschlüsselt gespeichert mittels Hashing)
  • Profilbild (optional)
  • Name (optional)

3.2 OAuth-Authentifizierungsdaten

Bei Anmeldung über Google oder Apple:

  • OAuth-Token und Benutzer-ID des Anbieters
  • Name (sofern vom Anbieter übermittelt)
  • E-Mail-Adresse (bei Apple ggf. anonymisiert)

3.3 Standort- und Navigationsdaten

Vordergrund-Standort (Art. 6(1)a – Einwilligung):

  • GPS-Koordinaten für Kartendarstellung und Routenplanung
  • Wird nur bei aktiver App-Nutzung erfasst

Hintergrund-Standort (Art. 6(1)a – explizite Einwilligung erforderlich):

  • GPS-Koordinaten während aktiver Navigation
  • Erforderlich für Turn-by-Turn-Navigation bei minimierter App
  • Wird ausschließlich in der mobilen App (iOS/Android) erfasst – die Website shelto.app verarbeitet keine Hintergrund-Standortdaten
  • Sie können diese Berechtigung jederzeit in den Systemeinstellungen widerrufen

3.4 GPX-Routen und Aktivitätsdaten

  • Erstellte und gespeicherte Routen (GPS-Koordinaten, Wegpunkte)
  • Höhenprofil und Oberflächendaten
  • Routenbeschreibungen und -namen

Hinweis zu Art. 9 DSGVO: Reine GPX-Daten ohne Verknüpfung mit Fitnessdaten (Herzfrequenz, Trittfrequenz, etc.) gelten nicht als Gesundheitsdaten. Shelto erfasst keine Fitness- oder Gesundheitsdaten.

3.5 Nutzerinhalte

  • Hochgeladene Fotos (POIs, Routen, Sammlungen)
  • Kommentare und Bewertungen
  • Erstellte Sammlungen (Collections)
  • Favoriten und gespeicherte Orte (POIs)

3.6 Technische Daten

  • Geräte-ID (anonymisiert, plattformspezifisch generiert)
  • Betriebssystem und Version (iOS/Android)
  • App-Version
  • Push-Notification-Token (FCM)

3.7 Zahlungs- und Abodaten

  • Abonnement-Status (Free/Supporter/Supporter Pro)
  • Kaufhistorie (über Apple App Store / Google Play)
  • RevenueCat-Kunden-ID

Hinweis: Zahlungsinformationen (Kreditkarte, etc.) werden ausschließlich von Apple/Google verarbeitet, nicht von uns.

3.8 Newsletter-Daten (Website)

Wenn Sie sich über unsere Newsletter-Seite anmelden, verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • Zeitpunkt der Anmeldung sowie Bestätigung (Double-Opt-In)
  • Abmelde-Status

Anbieter & Rechtsgrundlage: Der Newsletter-Versand erfolgt über unseren Dienstleister Beehiiv, Inc. (USA). Nach dem Absenden werden Sie zu einem Beehiiv-Anmeldeformular weitergeleitet, auf dem Sie Ihre E-Mail-Adresse im Double-Opt-In-Verfahren bestätigen. Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6(1)a DSGVO. Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail widerrufen.

3.9 Kontaktformular

Wenn Sie unser Kontaktformular unter /kontakt bzw. /contact nutzen, verarbeiten wir:

  • Name
  • E-Mail-Adresse
  • Betreff (optional)
  • Nachrichtentext
  • Zeitpunkt der Anfrage

Zweck & Rechtsgrundlage: Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet und an support@shelto.de auf unserer europäischen Infrastruktur (Hetzner, Deutschland) zugestellt. Rechtsgrundlage ist Art. 6(1)f DSGVO (berechtigtes Interesse an effizienter Kommunikation) bzw. Art. 6(1)b DSGVO bei Vertragsanbahnung.

3.10 Server-Logfiles

Beim Besuch unserer Website werden automatisch Server-Logfiles erstellt:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Angeforderte URL und HTTP-Statuscode
  • Übertragene Datenmenge
  • User-Agent (Browser, Betriebssystem)
  • Referer-URL (zuvor besuchte Seite, sofern vom Browser übermittelt)

Zweck & Rechtsgrundlage: Die Logfiles dienen der IT-Sicherheit, Fehleranalyse und dem stabilen Betrieb unserer Website (Art. 6(1)f DSGVO). Eine Zusammenführung mit anderen Datenquellen oder eine Auswertung zu Marketingzwecken findet nicht statt.

4. Zwecke und Rechtsgrundlagen

ZweckDatenRechtsgrundlage
Bereitstellung der App-FunktionenKontodaten, Routen, InhalteArt. 6(1)b DSGVO (Vertrag)
Navigation und Routenplanung (Vordergrund)StandortdatenArt. 6(1)a DSGVO (Einwilligung)
Navigation im HintergrundStandortdatenArt. 6(1)a DSGVO (explizite Einwilligung)
Push-BenachrichtigungenFCM-Token, Geräte-IDArt. 6(1)a DSGVO (Einwilligung)
App-Analyse und VerbesserungNutzungsdaten (anonymisiert)Art. 6(1)f DSGVO (berechtigtes Interesse)
Abonnement-VerwaltungKauf- und AbodatenArt. 6(1)b DSGVO (Vertrag)
Routenexport an DrittgeräteRoutendatenArt. 6(1)a DSGVO (Einwilligung)
KartendarstellungStandort, KarteninteraktionenArt. 6(1)b DSGVO (Vertrag)
Geocoding (Ortssuche)Suchanfragen, ungefährer StandortArt. 6(1)b DSGVO (Vertrag)
IT-Sicherheit, MissbrauchspräventionTechnische Daten, LogsArt. 6(1)f DSGVO (berechtigtes Interesse)
Newsletter-VersandE-Mail-AdresseArt. 6(1)a DSGVO (Einwilligung)
Bearbeitung von KontaktanfragenName, E-Mail, Betreff, NachrichtArt. 6(1)f bzw. 6(1)b DSGVO
Betriebssicherheit & Server-LoggingServer-Logfiles (IP, User-Agent, Zeitstempel)Art. 6(1)f DSGVO (berechtigtes Interesse)

5. Empfänger und Drittanbieter

Wir arbeiten mit verschiedenen Dienstleistern zusammen, um unsere App und Website bereitzustellen. Details zu allen Empfängern finden Sie in der vollständigen Dokumentation.

  • Hetzner Cloud – Hosting (EU)
  • Google Firebase – Analytics, Push (USA, SCCs)
  • RevenueCat – Abo-Verwaltung (USA, SCCs)
  • MapTiler – Kartendienst (Schweiz)
  • Komoot GmbH (Photon API) – Geocoding/Ortssuche (Deutschland)
  • Garmin, Wahoo, Hammerhead – Geräteintegration (USA, SCCs)
  • Beehiiv, Inc. – Newsletter-Versand (USA, SCCs)

6. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz außerhalb der EU/EWR:

AnbieterLandRechtsgrundlage der Übermittlung
Google (Firebase, Analytics)USAEU-Standardvertragsklauseln (SCCs)
RevenueCatUSAEU-Standardvertragsklauseln (SCCs), DPA
GarminUSAEU-Standardvertragsklauseln (SCCs)
WahooUSAEU-Standardvertragsklauseln (SCCs)
HammerheadUSAEU-Standardvertragsklauseln (SCCs)
MapTilerSchweizAngemessenheitsbeschluss
Beehiiv, Inc.USAEU-Standardvertragsklauseln (SCCs)

Die USA gelten als Drittland ohne angemessenes Datenschutzniveau. Wir haben mit diesen Anbietern EU-Standardvertragsklauseln (SCCs) gemäß Art. 46(2)c DSGVO abgeschlossen.

7. Speicherdauer

DatenkategorieSpeicherdauer
KontodatenBis zur Löschung des Kontos + 30 Tage Backup-Retention
Routen und InhalteBis zur Löschung durch Nutzer oder Kontolöschung
Öffentliche Routen/SammlungenBis zur Depublikation oder Löschung
Standortdaten (Navigation)Nur während aktiver Navigation (nicht dauerhaft gespeichert)
Analytics-Daten (Firebase)14 Monate (Google Analytics Standard)
Analytics-Daten (Website)14 Monate, nur bei Einwilligung
Zahlungsdaten10 Jahre (§ 147 AO, gesetzliche Aufbewahrungspflicht)
Server-Logs30 Tage
Push-TokenBis zur Abmeldung oder Token-Invalidierung
Newsletter-AbonnentendatenBis zum Widerruf (Abmeldelink) oder bis zur Löschung der Anmeldung
Kontaktanfragen (E-Mail-Inhalte)Bis zur abschließenden Bearbeitung + 6 Monate

8. Cookies und Tracking (Website)

8.1 TTDSG § 25 – Einwilligung

Gemäß § 25 TTDSG ist für das Setzen nicht-technisch notwendiger Cookies eine Einwilligung erforderlich. Unsere Website zeigt beim ersten Besuch einen Cookie-Banner mit folgenden Optionen:

  • Notwendige Cookies (immer aktiv): Session-Management, Authentifizierung
  • Analyse-Cookies (optional): Google Analytics 4
  • Marketing-Cookies (optional): Derzeit nicht verwendet

Sie können Ihre Einwilligung jederzeit unter „Cookie-Einstellungen" im Footer widerrufen.

8.2 Verwendete Cookies

NameAnbieterZweckDauerTyp
shelto_cookie_consentSheltoCookie-Einwilligungsstatus1 JahrNotwendig
_ga, _ga_*GoogleAnalytics2 JahreAnalyse

9. Automatisierte Entscheidungsfindung und Profiling

Art. 22 DSGVO – Profiling: Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling statt, die rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Die Anzeige von „beliebten" Routen basiert auf aggregierten, nicht-personalisierten Metriken (Aufrufzahlen, Likes) und stellt kein Profiling im Sinne der DSGVO dar.

10. Ihre Rechte

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunft (Art. 15): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigung (Art. 16): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden").
  • Einschränkung (Art. 18): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) erhalten.
  • Widerspruch (Art. 21): Sie können der Verarbeitung auf Basis von Art. 6(1)f widersprechen.
  • Widerruf (Art. 7 Abs. 3): Sie können eine erteilte Einwilligung jederzeit widerrufen.

10.1 So üben Sie Ihre Rechte aus

Per E-Mail: support@stansday.com

In der App:

  • Profil → Einstellungen → Konto löschen (vollständige Datenlöschung)

Datenexport (Art. 20 DSGVO): Auf Anfrage per E-Mail an support@stansday.com stellen wir Ihnen die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) innerhalb von 30 Tagen zur Verfügung.

Antwortfrist: Wir werden Ihre Anfrage innerhalb eines Monats bearbeiten (verlängerbar um zwei weitere Monate bei komplexen Anfragen, Art. 12(3) DSGVO).

11. Widerruf der Einwilligung

Einwilligungen können Sie wie folgt widerrufen:

EinwilligungWiderruf
Standort (Vordergrund)iOS/Android Systemeinstellungen → Apps → Shelto → Standort
Standort (Hintergrund)iOS/Android Systemeinstellungen → Apps → Shelto → Standort → „Nie"
Push-BenachrichtigungeniOS/Android Systemeinstellungen → Apps → Shelto → Benachrichtigungen
Analytics (Website)Cookie-Einstellungen im Footer → Analyse deaktivieren
Garmin/Wahoo/HammerheadProfil → Einstellungen → Verbindung trennen

12. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Transportverschlüsselung: Alle Datenübertragungen erfolgen über TLS 1.3/HTTPS
  • Passwortsicherheit: Passwörter werden mit bcrypt gehasht (nicht reversibel)
  • Zugangskontrolle: Rollenbasierte Zugriffskontrolle, Zwei-Faktor-Authentifizierung für Administratoren
  • Server-Sicherheit: Regelmäßige Sicherheitsupdates, Firewall, DDoS-Schutz
  • Backup: Tägliche verschlüsselte Backups mit 30 Tagen Retention
  • Penetrationstests: Regelmäßige Sicherheitsüberprüfungen

13. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Behörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Postfach 3163

65021 Wiesbaden

E-Mail: poststelle@datenschutz.hessen.de

https://datenschutz.hessen.de

Sie können sich auch an die Aufsichtsbehörde Ihres Wohnorts wenden.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Bei wesentlichen Änderungen informieren wir Sie:

  • In der App per In-App-Benachrichtigung
  • Auf der Website durch einen Banner

Die jeweils aktuelle Version ist in der App unter Profil → Datenschutz sowie auf unserer Website einsehbar.

Fragen zum Datenschutz?
Kontaktieren Sie uns: support@stansday.com

Diese Datenschutzerklärung wurde zuletzt am 21.04.2026 aktualisiert.

🍪 Cookie-Einstellungen

Wir verwenden Cookies für die beste Website-Erfahrung. Du kannst deine Einstellungen jederzeit anpassen. Mehr in unserer Datenschutzerklärung.

Notwendige Cookies

Erforderlich für die grundlegende Website-Funktionalität. Kann nicht deaktiviert werden.

Analytics Cookies

Helfen uns zu verstehen, wie die Website genutzt wird. Google Analytics 4 mit IP-Anonymisierung.

Marketing Cookies

Für personalisierte Werbung und Marketingkampagnen. Verfolgen Besucher über Websites hinweg.