Rechtliches

Datenschutzerklärung

Stand: Juni 2026

Diese Datenschutzerklärung gilt für die mobile App TREVIT (iOS) sowie für diese Website. Wir nehmen den Schutz deiner personenbezogenen Daten ernst und verarbeiten sie nur im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt.

2. Wo deine Daten liegen, und was dein Gerät nicht verlässt

TREVIT erkennt über Geofencing automatisch, wann du im Gym bist. Deine genauen Standortdaten werden ausschließlich lokal auf deinem Gerät verarbeitet und nicht an uns übertragen. Gespeichert wird lediglich das Ergebnis, also dass eine Trainings-Session an einem von dir festgelegten Gym stattgefunden hat (Beginn, Ende, Dauer). Die Koordinaten deiner Gyms werden nur lokal auf dem Gerät gespeichert; in die Cloud gelangt höchstens der Name des Gyms.

Auch dein Körpergewicht (optional) bleibt ausschließlich lokal auf deinem Gerät und dient nur einer Kalorienschätzung direkt auf dem Gerät. Es wird nicht an uns übertragen.

Die Daten, die für die Cloud-Funktionen erforderlich sind (Konto, Trainings-Sessions, Freunde/Leaderboard, Formchecks), werden in unserem Auftrag bei Supabase auf Servern in der Europäischen Union (Irland) gespeichert und verarbeitet.

3. Welche Daten wir verarbeiten

a) Kontodaten

Bei der Registrierung über „Sign in with Apple" oder per E-Mail verarbeiten wir deine E-Mail-Adresse und eine eindeutige Nutzer-ID. Im Profil hinterlegst du einen Anzeigenamen und optional ein Profilbild. Bei „Sign in with Apple" kannst du deine E-Mail verbergen; dann erhalten wir eine anonymisierte Relay-Adresse von Apple. (Dein Körpergewicht bleibt lokal auf dem Gerät, siehe Abschnitt 2.)

b) Trainingsdaten

Zeitpunkt, Dauer und (optional) der von dir gewählte Trainingstyp deiner Sessions sowie der Name des zugehörigen Gyms. Daraus berechnen wir Statistiken, Streaks und Wochenziele.

c) Freunde und Leaderboard

Wenn du Freunde über einen Freundescode hinzufügst, speichern wir die Verbindung sowie deine wöchentlichen Trainingstage, damit das Leaderboard angezeigt werden kann. Freunde sehen deinen Anzeigenamen, dein Profilbild, dein Trainingsziel/-split und ob du gerade im Gym bist. Zum Hinzufügen per QR-Code kannst du die Kamera nutzen, um den Code deines Freundes zu scannen; dabei werden keine Bilder gespeichert.

d) Formchecks (Gains)

Wenn du einen Formcheck postest, verarbeiten wir das Foto sowie zugehörige Reaktionen und Kommentare. Das Foto nimmst du wahlweise mit der Kamera auf (Zugriff nur nach deiner Erlaubnis) oder wählst es aus deiner Fotomediathek. Formchecks sind nur für deine Freunde sichtbar und werden automatisch nach spätestens 24 Stunden vom Server gelöscht. Eine lokale Kopie kann auf deinem Gerät in deinem privaten Archiv verbleiben. Zur Moderation prüfen wir gemeldete Inhalte; Inhalte mit drei oder mehr Meldungen werden automatisch ausgeblendet.

e) Push-Benachrichtigungen

Wenn du Benachrichtigungen erlaubst, verarbeiten wir Push-Token (Apple Push Notification service) sowie deine Zeitzone, um dir Erinnerungen, Buddy- und Interaktions-Benachrichtigungen zu senden.

f) Technische Daten und Fehlerberichte

Zur Stabilität und Sicherheit verarbeiten wir anonymisierte Absturz- und Fehlerberichte (ohne Klarnamen, ohne Screenshots). Beim Aufruf der Website fallen zudem technische Zugriffsdaten an (siehe Abschnitt 8).

g) Kontaktformular

Wenn du das Kontaktformular auf dieser Website nutzt, verarbeiten wir die von dir angegebenen Daten (Name, E-Mail-Adresse, Nachricht), um deine Anfrage zu bearbeiten und zu beantworten. Der Versand erfolgt über den Dienstleister Web3Forms, der die Nachricht in unserem Auftrag an uns zustellt.

4. Zwecke und Rechtsgrundlagen

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung von Konto, Tracking, Statistiken, Freundes- und Leaderboard-Funktionen sowie Bearbeitung von Kontaktanfragen.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Push-Benachrichtigungen, Posten von Formchecks, Angabe des Körpergewichts. Du kannst eine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit, Missbrauchs- und Betrugsvermeidung, Fehleranalyse, Moderation rechtswidriger Inhalte.

5. Empfänger und Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge bestehen:

• Supabase (Datenbank, Authentifizierung, Speicher, Backend). Hosting in der EU (Region Irland). Anbieter: Supabase Inc.
• Apple (Sign in with Apple, Apple Push Notification service, App-Store- Bereitstellung). Anbieter: Apple Distribution International Ltd., Irland.
• Sentry (Absturz- und Fehlerberichte, EU-Region). Anbieter: Functional Software, Inc. (Sentry).
• RevenueCat (Abo-/Kaufverwaltung). Aktuell ist die App kostenlos und es werden keine Käufe abgewickelt; das SDK kann eine anonyme Geräte-/Nutzer-ID verarbeiten.
• Web3Forms (Zustellung der Kontaktformular-Nachrichten an uns). Verarbeitet Name, E-Mail und Nachricht.

Eine Übermittlung an Empfänger in Drittländern (z. B. USA) erfolgt nur auf Grundlage geeigneter Garantien, insbesondere EU-Standardvertragsklauseln.

6. Speicherdauer

• Konto- und Trainingsdaten: bis zur Löschung deines Kontos.
• Formchecks: automatische Löschung vom Server nach spätestens 24 Stunden.
• Protokoll-/Sicherheitsdaten: nur so lange wie für den jeweiligen Zweck erforderlich.

7. Deine Rechte

Dir stehen jederzeit folgende Rechte zu:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

In der App kannst du dein Konto und alle zugehörigen Daten jederzeit selbst löschen („Konto löschen") und deine Daten exportieren („Daten exportieren"). Vor dem Datenexport bestätigst du dich per Geräte-Authentifizierung (Face ID, Touch ID oder Code); diese prüft ausschließlich das Betriebssystem deines Geräts, biometrische Daten erhalten wir nicht. Für Anliegen erreichst du uns unter kilianmaier2005@gmail.com. Es besteht zudem ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.

8. Nutzung dieser Website

Beim Aufruf der Website verarbeitet der Hosting-/CDN-Anbieter Cloudflare (Cloudflare, Inc., USA; Auslieferung auch über Server in der EU, Standardvertragsklauseln) technisch notwendige Zugriffsdaten (z. B. IP-Adresse, Datum/Uhrzeit, abgerufene Datei, Browsertyp) in Server-Logs, um die Auslieferung und Sicherheit zu gewährleisten (Art. 6 Abs. 1 lit. f DSGVO).

Die Website speichert eine Einstellung zur gewählten Sprache lokal in deinem Browser (localStorage). Diese ist technisch erforderlich und wird nicht zur Auswertung genutzt. Es werden keine Tracking- oder Werbe-Cookies gesetzt.

Die verwendeten Schriftarten werden lokal von unserem eigenen Server ausgeliefert (self-hosted). Zur Schriftdarstellung findet keine Übertragung an Dritte statt.

9. Minderjährige

TREVIT richtet sich nicht an Kinder. Aufgrund nutzergenerierter Inhalte (Formchecks) ist die App für Personen ab 17 Jahren freigegeben.

10. Datensicherheit und Änderungen

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz deiner Daten (u. a. Transportverschlüsselung, Zugriffsbeschränkungen). Wir passen diese Datenschutzerklärung an, wenn sich Funktionen oder Rechtslage ändern. Es gilt die jeweils hier veröffentlichte Fassung.

Impressum · Nutzungsbedingungen

Legal

Privacy Policy

Last updated: June 2026

This privacy policy applies to the TREVIT mobile app (iOS) and to this website. We take the protection of your personal data seriously and process it only in accordance with the EU General Data Protection Regulation (GDPR) and German data protection law.

1. Controller

A data protection officer is not legally required and has not been appointed.

2. Where your data lives, and what never leaves your device

TREVIT uses geofencing to detect when you are at the gym. Your precise location is processed exclusively on your device and is not transmitted to us. We only store the result, i.e. that a training session took place at a gym you defined (start, end, duration). The coordinates of your gyms are stored locally on your device only; at most the name of the gym reaches the cloud.

Your body weight (optional) also stays exclusively on your device and is used only for an on-device calorie estimate. It is not transmitted to us.

The data required for the cloud features (account, training sessions, friends/leaderboard, form checks) is stored and processed on our behalf by Supabase on servers in the European Union (Ireland).

3. Data we process

a) Account data

When you sign up via "Sign in with Apple" or email, we process your email address and a unique user ID. In your profile you set a display name and optionally a profile picture. With "Sign in with Apple" you may hide your email; we then receive an anonymized relay address from Apple. (Your body weight stays on your device, see section 2.)

b) Training data

Time, duration and (optionally) the workout type of your sessions, plus the name of the associated gym. We use this to compute stats, streaks and weekly goals.

c) Friends and leaderboard

If you add friends via a friend code, we store the connection and your weekly training days so the leaderboard can be displayed. Friends can see your display name, profile picture, training goal/split and whether you are currently at the gym. To add friends via QR code you can use the camera to scan your friend's code; no images are stored in the process.

d) Form checks (Gains)

When you post a form check, we process the photo and any reactions and comments. You take the photo either with the camera (access only with your permission) or pick it from your photo library. Form checks are visible only to your friends and are automatically deleted from the server after no more than 24 hours. A local copy may remain in your private archive on your device. For moderation we review reported content; content with three or more reports is automatically hidden.

e) Push notifications

If you allow notifications, we process push tokens (Apple Push Notification service) and your time zone in order to send reminders, buddy and interaction notifications.

f) Technical data and crash reports

For stability and security we process anonymized crash and error reports (no real names, no screenshots). When you visit the website, technical access data is also processed (see section 8).

g) Contact form

When you use the contact form on this website, we process the data you provide (name, email address, message) in order to handle and answer your request. Delivery is handled by our service provider Web3Forms, which forwards the message to us on our behalf.

4. Purposes and legal bases

• Performance of a contract (Art. 6(1)(b) GDPR): providing the account, tracking, stats, friends and leaderboard features, and handling contact requests.
• Consent (Art. 6(1)(a) GDPR): push notifications, posting form checks, providing body weight. You may withdraw consent at any time with future effect.
• Legitimate interest (Art. 6(1)(f) GDPR): security, abuse and fraud prevention, error analysis, moderation of unlawful content.

5. Recipients and processors

We use carefully selected providers with whom data processing agreements are in place:

• Supabase (database, authentication, storage, backend). Hosted in the EU (Ireland region). Provider: Supabase Inc.
• Apple (Sign in with Apple, Apple Push Notification service, App Store distribution). Provider: Apple Distribution International Ltd., Ireland.
• Sentry (crash and error reports, EU region). Provider: Functional Software, Inc. (Sentry).
• RevenueCat (subscription/purchase management). The app is currently free and no purchases are processed; the SDK may process an anonymous device/user ID.
• Web3Forms (delivery of contact-form messages to us). Processes name, email and message.

Any transfer to recipients in third countries (e.g. the USA) only takes place on the basis of appropriate safeguards, in particular the EU Standard Contractual Clauses.

6. Retention

• Account and training data: until you delete your account.
• Form checks: automatically deleted from the server after no more than 24 hours.
• Log/security data: only as long as necessary for the respective purpose.

7. Your rights

You have the following rights at any time:

• Access (Art. 15 GDPR)
• Rectification (Art. 16 GDPR)
• Erasure (Art. 17 GDPR)
• Restriction of processing (Art. 18 GDPR)
• Data portability (Art. 20 GDPR)
• Objection to processing based on legitimate interest (Art. 21 GDPR)
• Withdrawal of consent with future effect

In the app you can delete your account and all associated data at any time ("Delete account") and export your data ("Export data"). Before exporting, you confirm via device authentication (Face ID, Touch ID or passcode); this is verified solely by your device's operating system, and we do not receive any biometric data. For requests, contact us at kilianmaier2005@gmail.com. You also have the right to lodge a complaint with a data protection supervisory authority.

8. Use of this website

When you access the website, the hosting/CDN provider Cloudflare (Cloudflare, Inc., USA; also served via EU servers, Standard Contractual Clauses) processes technically necessary access data (e.g. IP address, date/time, requested file, browser type) in server logs to ensure delivery and security (Art. 6(1)(f) GDPR).

The website stores your chosen language locally in your browser (localStorage). This is technically necessary and is not used for analytics. No tracking or advertising cookies are set.

The fonts used are served locally from our own server (self-hosted). No data is transferred to third parties for font rendering.

9. Minors

TREVIT is not directed at children. Due to user-generated content (form checks), the app is rated 17+.

10. Data security and changes

We take appropriate technical and organizational measures to protect your data (including transport encryption and access restrictions). We will update this privacy policy when features or the legal situation change. The version published here applies.

Legal Notice · Terms of Service