Datenschutzerklärung
Stand: 27. Dezember 2025 · Version 1.0
1. Verantwortliche Stelle
AeroByte – Michael Gail
Freienrieder Weg 14 · 86316 Friedberg · Deutschland
E-Mail: mail@ridebase.app
Web: https://ridebase.app
Ein Datenschutzbeauftragter ist nicht erforderlich (kleines Unternehmen).
2. Allgemeines zur Datenverarbeitung
2.1 Umfang der Verarbeitung
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen App sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt nur nach Einwilligung des Nutzers oder wenn eine vorherige Einholung aus tatsächlichen Gründen nicht möglich und die Verarbeitung durch gesetzliche Vorschriften gestattet ist.
2.2 Rechtsgrundlagen
- Art. 6 Abs. 1 lit. a DSGVO: Einwilligung des Nutzers
- Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrags
- Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (z. B. Sicherheit, Betrugsbekämpfung)
2.3 Datenlöschung und Speicherdauer
Die personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine darüber hinausgehende Speicherung ist nur möglich, wenn europäische oder nationale Rechtsvorschriften dies vorsehen.
2.4 Serverstandort
Unsere Server werden bei IONOS in Deutschland betrieben. Ihre Daten werden ausschließlich in Deutschland bzw. innerhalb der EU verarbeitet und gespeichert.
3. Benutzerkonten und Registrierung
3.1 Registrierungsdaten
Bei der Registrierung erheben wir: E-Mail-Adresse, Passwort (ausschließlich gehasht), Vorname, Nachname, Registrierungszeitpunkt sowie den Timestamp der letzten Anmeldung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO · Speicherdauer: Solange das Konto besteht; nach Löschung sofortige Entfernung aller Daten.
3.2 E-Mail-Verifizierung
Zur Verifizierung speichern wir temporär einen Verifizierungstoken und sein Ablaufdatum (24 Stunden). Nach erfolgreicher Verifizierung oder Ablauf wird der Token gelöscht.
3.3 Passwort-Reset
Bei einer Passwort-Reset-Anfrage speichern wir temporär einen Reset-Token und sein Ablaufdatum (1 Stunde). Nach Nutzung oder Ablauf wird der Token gelöscht.
3.4 Session-Verwaltung
Für die Authentifizierung verwenden wir verschlüsselte Refresh-Tokens (Laufzeit standardmäßig 30 Tage) inklusive Ablaufdatum und Widerrufsstatus. Sie können aktive Sessions jederzeit in den App-Einstellungen einsehen und einzeln widerrufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (technische Notwendigkeit für Login)
4. Geräte-Verwaltung (Multi-Device-Support)
Wir speichern Informationen über die Geräte, von denen Sie auf RideBase zugreifen:
- Geräte-ID (app-generierte UUID pro Installation)
- Gerätename (z. B. „iPhone 14 Pro", vom Nutzer änderbar)
- Plattform (iOS, Android, Web, macOS, Windows, Linux)
- Gerätemodell und Betriebssystem-Version
- App-Version sowie Timestamp des letzten Zugriffs
- FCM-Token (für Push-Benachrichtigungen, siehe Abschnitt 5)
Zweck: Multi-Device-Unterstützung, Sicherheit (Anzeige aktiver Geräte), gezielte Push-Benachrichtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO
Sie können in den App-Einstellungen alle registrierten Geräte einsehen und einzelne entfernen. Dies widerruft automatisch alle zugehörigen Sessions.
5. Push-Benachrichtigungen (Firebase Cloud Messaging)
5.1 Firebase Cloud Messaging (FCM)
Wir verwenden Firebase Cloud Messaging (Google) für Push-Benachrichtigungen.
Erhobene Daten: FCM-Token sowie Notification-Logs (Art der Benachrichtigung, Status, Zeitpunkt, Titel, Text, verknüpfte Fahrzeug-/Service-IDs).
Zweck: Service-Erinnerungen (z. B. „Ölwechsel fällig"), Benachrichtigung über neue importierte Trips, Wartungsbenachrichtigungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Aktivierung in der App)
Datenübermittlung: FCM-Tokens werden an Google-Server übermittelt. Google agiert als Auftragsverarbeiter und kann Server auch außerhalb der EU (USA) betreiben. Rechtsgrundlage: EU-Standardvertragsklauseln. Weitere Informationen: firebase.google.com/support/privacy
Speicherdauer: FCM-Tokens solange das Gerät registriert ist; Notification-Logs 7 Tage.
Widerruf: Push-Benachrichtigungen können jederzeit in den App-Einstellungen deaktiviert werden; der FCM-Token wird dann gelöscht.
5.2 Kein Google Analytics
Wir verwenden kein Google Analytics oder andere Tracking-Dienste. Firebase wird ausschließlich für Push-Benachrichtigungen genutzt.
6. Strava-Integration
6.1 OAuth-Authentifizierung
Sie können Ihr Strava-Konto verbinden, um Fahrrad-Aktivitäten automatisch zu importieren.
Von Strava erhobene Daten: Strava Athlete ID, OAuth-Access- und Refresh-Token (verschlüsselt), Token-Ablaufdatum sowie Aktivitätsdaten (Distanz, Dauer, Datum, Titel, Beschreibung, Gear ID, GPS-Koordinaten falls vorhanden).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Verbindung)
Strava Webhooks: Nach der Verbindung registrieren wir einen Webhook bei Strava für Echtzeit-Synchronisation bei neuen, geänderten oder gelöschten Aktivitäten.
Datenübermittlung: Strava ist ein US-amerikanisches Unternehmen. Die Übermittlung erfolgt auf Basis Ihrer Einwilligung und der Strava-Datenschutzerklärung: strava.com/legal/privacy
Widerruf: Strava-Verbindung jederzeit in den App-Einstellungen trennbar. Alle OAuth-Tokens werden dann gelöscht. Bereits importierte Aktivitäten bleiben erhalten, bis Sie diese manuell löschen.
7. Apple Health Integration (nur iOS)
Erhobene Daten: Workout-Typ (nur Fahrrad-Workouts), Distanz, Dauer (Start-/Endzeitpunkt), Kalorien (optional), GPS-Route (falls im Workout enthalten).
Zweck: Import von Fahrrad-Aktivitäten aus Apple Health in Ihr Fahrtenbuch.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Zugriffsberechtigung)
Verarbeitung: Daten werden lokal auf Ihrem Gerät gelesen und nur auf Ihre explizite Anforderung (manueller Import) an unseren Server übertragen. Wir haben keinen automatischen oder permanenten Zugriff auf Apple Health.
Widerruf: iOS-Einstellungen → Datenschutz → Health → RideBase. Weitere Informationen: apple.com/de/legal/privacy
8. Standortdaten
Verwendungszweck: Ortsbasierte Zuordnungsregeln (Geofencing), Kartenansicht beim Erstellen von Regeln sowie der Ortspicker.
Erhobene Daten: GPS-Koordinaten (Breiten- und Längengrad) und Genauigkeit – nur bei aktiver Nutzung der entsprechenden Funktionen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Berechtigungsstufen: iOS: „Zugriff während der Nutzung" · Android: Berechtigung wird nur für ortsbasierte Regeln angefordert.
Hintergrundstandort: RideBase nutzt keinen dauerhaften Hintergrund-Standortzugriff. Standortdaten werden nur bei aktiver App-Nutzung erhoben.
Speicherung: Nur die von Ihnen explizit konfigurierten Koordinaten für Geofencing-Regeln werden gespeichert.
Widerruf: Standortberechtigung jederzeit in den Geräteeinstellungen widerrufbar. Bestehende ortsbasierte Regeln funktionieren dann nicht mehr.
9. Kamera und Fotobibliothek
Verwendungszweck: Aufnahme neuer Fotos Ihrer Fahrzeuge sowie Auswahl bestehender Fotos aus der Fotobibliothek.
Erhobene Daten: Bilddateien (JPEG/PNG). EXIF-Metadaten (Standort, Kameramodell) werden vor dem Upload entfernt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Speicherung: Fotos werden komprimiert auf Cloudflare R2 (EU-Region) gespeichert.
Widerruf: Berechtigung jederzeit in den Geräteeinstellungen widerrufbar. Bereits hochgeladene Fotos können Sie in der App einzeln löschen.
10. Fahrzeug- und Fahrtdaten
10.1 Fahrzeugverwaltung
Gespeicherte Daten: Fahrzeugname, Marke/Modell/Serie, Kilometerstand oder Betriebsstunden, Startwert, Fahrzeugtyp, Eigenschaften (Farbe, Rahmennummer, individuelle Felder), Fotos (optional), Tags.
10.2 Fahrtenbuch (Trips)
Gespeicherte Daten: Distanz, Datum/Uhrzeit, Quelle (manuell, Strava, Apple Health), externe ID, Fahrzeug-Zuordnung, Notizen (optional), Route (GPS-Koordinaten, falls von Strava/Apple Health importiert).
10.3 Wartungsverwaltung
Gespeicherte Daten: Wartungspläne, Komponenten, durchgeführte Services (Datum, Kilometerstand, Kosten, Werkstatt), Dokumente (Rechnungen als PDF), Service-Erinnerungen.
10.4 Assignment Rules (automatische Fahrzeugzuordnung)
Gespeicherte Daten: Regeltyp (Zeit, Wochentag, Standort), Bedingungen, Ziel-Fahrzeug, Priorität.
Rechtsgrundlage für 10.1–10.4: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
11. Dateien und Dokumente
Sie können Dokumente (z. B. Rechnungen, Kaufbelege) als PDF, JPEG oder PNG zu Services hochladen.
Speicherort: Cloudflare R2 (EU-Region) oder MinIO (IONOS Deutschland) · Übertragung: TLS-verschlüsselt · Speicherlimit: 100 MB pro Nutzer
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
Löschung: Dokumente werden gelöscht, wenn Sie das verknüpfte Service, das Dokument selbst oder Ihr gesamtes Konto löschen.
12. Externe Dienste und Datenübermittlung
12.1 Eingesetzte Dienste
| Dienst | Zweck | Anbieter | Standort |
|---|---|---|---|
| IONOS | Webhosting, Server | 1&1 IONOS SE | Deutschland |
| PostgreSQL | Datenbank | Eigeninstallation | Deutschland (IONOS) |
| Firebase Cloud Messaging | Push-Benachrichtigungen | Google LLC | EU/USA |
| Strava API | Aktivitäten-Import | Strava, Inc. | USA |
| Cloudflare R2 | File-Storage | Cloudflare | EU |
| Apple Health | Workout-Import | Apple Inc. | Lokal (iOS) |
12.2 Auftragsverarbeitung
Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen.
12.3 Datenübermittlung in Drittländer
Firebase (Google): Server auch außerhalb der EU (USA). Grundlage: EU-Standardvertragsklauseln.
Strava: US-Unternehmen. Grundlage: Ihre Einwilligung beim Verbinden des Strava-Kontos.
Alle anderen Dienste (IONOS, PostgreSQL, File-Storage) werden ausschließlich in Deutschland bzw. der EU betrieben.
13. Sicherheitsmaßnahmen
13.1 Technische Maßnahmen
- Verschlüsselte Übertragung über HTTPS/TLS
- Passwort-Hashing mit bcrypt
- Token-basierte Authentifizierung (JWT mit Refresh Tokens)
- API-Rate-Limiting gegen Brute-Force-Angriffe
- SQL-Injection-Schutz via Prisma ORM mit Prepared Statements
- CORS-Restriktionen (API nur für autorisierte Clients)
- Regelmäßige Sicherheitsupdates für Server und Abhängigkeiten
13.2 Organisatorische Maßnahmen
- Zugriffskontrolle: Nur autorisierte Administratoren haben Serverzugriff
- Logging sicherheitsrelevanter Events (ohne personenbezogene Daten)
- Regelmäßige verschlüsselte Backups (Aufbewahrung 30 Tage)
- Incident-Response-Prozess gemäß Art. 33 DSGVO
13.3 Gerätesicherheit
- Einsicht und Widerruf aktiver Geräte in den App-Einstellungen
- Remote-Session-Beendigung bei Geräteverlust
14. Cookies und lokale Speicherung
14.1 App-Speicherung (Mobile/Desktop)
- Secure Storage: Login-Tokens (verschlüsselt via flutter_secure_storage)
- Shared Preferences: App-Einstellungen (Theme, Sprache, Benachrichtigungspräferenzen)
- Cache: Temporäre Bilder und Daten zur Performance-Optimierung
Löschung bei App-Deinstallation oder manueller Cache-Löschung in den App-Einstellungen.
14.2 Web-Version
Falls Sie RideBase über den Browser nutzen: Es werden ausschließlich technisch notwendige Session-Cookies für Login-Sessions verwendet. Wir setzen keine Marketing- oder Analyse-Cookies ein.
15. Speicherdauer und Löschung
15.1 Reguläre Speicherdauer
| Datenart | Speicherdauer |
|---|---|
| Benutzerkonto | Bis zur Löschung durch Nutzer |
| Fahrzeuge & Trips | Bis zur Löschung durch Nutzer |
| Notification Logs | 7 Tage |
| E-Mail-Verifizierungstoken | 24 Stunden |
| Passwort-Reset-Token | 1 Stunde |
| Refresh Tokens | 30 Tage oder bis Widerruf |
| Backups | 30 Tage |
15.2 Löschung des Benutzerkontos
Sie können Ihr Benutzerkonto jederzeit in den App-Einstellungen löschen. Dabei werden unwiderruflich gelöscht: alle personenbezogenen Daten, alle Fahrzeuge/Trips/Services/Komponenten, alle hochgeladenen Dokumente und Fotos, alle Geräte-Registrierungen und Sessions, alle Benachrichtigungs-Logs sowie Strava/Apple-Health-Verknüpfungen.
Ausnahme – Backups: In verschlüsselten Backups können Daten bis zu 30 Tage nach Löschung verbleiben. Danach sind auch diese Daten unwiderruflich gelöscht.
Gesetzliche Aufbewahrungspflichten: Keine – RideBase unterliegt keinen steuerrechtlichen Aufbewahrungspflichten für Nutzerdaten.
16. Ihre Rechte als Betroffener (DSGVO Art. 15–22)
16.7 Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
| Einwilligung | Widerruf | Auswirkung |
|---|---|---|
| Push-Benachrichtigungen | Einstellungen → Benachrichtigungen | Keine Benachrichtigungen mehr |
| Strava-Verbindung | Einstellungen → Integrationen → Strava trennen | Keine Synchronisation mehr |
| Apple Health Zugriff | iOS-Einstellungen → Datenschutz → Health | Kein Import mehr |
| Standortzugriff | Geräteeinstellungen | Ortsbasierte Regeln funktionieren nicht |
| Kamera/Fotos | Geräteeinstellungen | Keine Foto-Uploads mehr |
Der Widerruf wirkt nur für die Zukunft. Bereits rechtmäßig verarbeitete Daten bleiben rechtmäßig verarbeitet.
16.8 Beschwerderecht (Art. 77 DSGVO)
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153 · 53117 Bonn · Tel.: +49 (0)228-997799-0
poststelle@bfdi.bund.de ·
www.bfdi.bund.de
17. Kontakt und Anfragen
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte:
E-Mail: mail@ridebase.app
Post: Michael Gail · Freienrieder Weg 14 · 86316 Friedberg · Deutschland
Wir beantworten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
18. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Bei wesentlichen Änderungen werden Sie per E-Mail und/oder In-App-Benachrichtigung informiert. Die aktuelle Version ist stets unter ridebase.app/datenschutz und in der App unter „Profil → Datenschutz" einsehbar.
19. Besondere Hinweise für Minderjährige
RideBase richtet sich an Personen ab 16 Jahren. Personen unter 16 Jahren dürfen die App nur mit Einwilligung der Erziehungsberechtigten nutzen. Wir erheben wissentlich keine Daten von Kindern unter 16 Jahren ohne Zustimmung der Eltern.