Datenschutzerklärung — SPORTVISE
Version 1.0 — In Kraft seit dem [DATE_LAUNCH]
Letzte Änderung: [DATE_LAUNCH]
⚠️ ENTWURF v1 — Wartet auf Validierung durch Schweizer Tech-Jurist vor dem Big Launch.
1. Präambel
Die vorliegende Datenschutzerklärung (nachfolgend „Erklärung") beschreibt, wie SPORTVISE Ihre Personendaten im Rahmen der Nutzung der unter der Adresse https://sportvise.ch zugänglichen Plattform (nachfolgend „der Dienst") erhebt, verwendet und schützt.
Diese Erklärung gilt für jede Person, die auf den Dienst zugreift, ob als Kontoinhaber oder als blosser Besucher.
Wir halten uns an das Bundesgesetz über den Datenschutz (DSG / nDSG), das am 1. September 2023 in Kraft getreten ist, sowie an die Datenschutz-Grundverordnung (DSGVO, EU 2016/679) für Nutzer mit Wohnsitz in der Europäischen Union.
2. Verantwortlicher für die Bearbeitung
Verantwortlicher für die Bearbeitung Ihrer Personendaten ist:
Thomas Castella (Einzelfirma)
Gantrischweg 9
3186 Düdingen (Guin)
Kanton Freiburg, Schweiz
Kontakt für jede Frage betreffend Ihre Daten:
info@sportvise.ch
Angesichts der Grösse der Struktur (Solo-Einzelunternehmung) wurde kein Datenschutzbeauftragter (DPO) formell ernannt. Alle Anfragen werden direkt vom Verantwortlichen behandelt.
3. Erhobene Personendaten
Wir erheben die folgenden Datenkategorien:
3.1 Daten, die direkt vom Nutzer bereitgestellt werden
- Kontodaten: Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt), bevorzugte Sprache
- Sportprofildaten: ausgeübte Sportart, Niveau, Verein, Wohnkanton, sportliche Ziele
- Tägliches Tagebuch: Stimmung (1-10), Energie (1-10), Schlafqualität (1-5), gemeldete Schmerzbereiche, körperlicher Zustand, freie Notizen
- Ereigniskalender: Spiele, Wettkämpfe, Trainings (Titel, Datum, Uhrzeit, Ort, Dauer, geplante Intensität, Notizen)
- Bilanzen nach Ereignissen: Leistungsbewertung (1-10), RPE — wahrgenommene Anstrengung (1-10), körperlicher Zustand, Stimmung, Schlafqualität in der Vornacht, Ernährung vor dem Ereignis, Meldung von Schmerzen oder Verletzungen, Stärken, Verbesserungspunkte, freie Notizen
- Austausch mit den KI-Agenten: Inhalt der mit den virtuellen Agenten (Lucas, David, Clara, Emma, Nora, Julie, Alex, Marc, Léa, Sophie, Pierre) gesendeten und empfangenen Nachrichten
- Zahlungen: Rechnungsinformationen, die ausschliesslich von Stripe verarbeitet werden (wir speichern niemals Ihre Kartennummern)
- Anhänge: in den Konversationen mit den Agenten geteilte Bilder (gegebenenfalls)
3.2 Automatisch erhobene Daten
- IP-Adresse, Browsertyp, Betriebssystem (technische Hosting-Logs)
- Nutzungsdaten des Dienstes (besuchte Seiten, verwendete Funktionen, Zeitstempel der Aktionen)
- Sitzungskennungen (nur essentielle Cookies)
3.3 Gesundheitsdaten — sensible Kategorie
Bestimmte oben erhobene Daten fallen unter die Kategorie der sensiblen Daten im Sinne von Art. 5 Abs. 3 lit. c nDSG und Art. 9 DSGVO:
- Körperlicher Zustand, Schmerzen, Verletzungen
- Schlafqualität
- Stimmung und emotionaler Zustand
- Wahrgenommene körperliche Anstrengung (RPE)
Diese Daten unterliegen verstärkten Schutzmassnahmen, die in Abschnitt 8 detailliert beschrieben sind.
4. Bearbeitungszwecke
Ihre Daten werden für die folgenden Zwecke erhoben und bearbeitet:
- Bereitstellung des KI-Sportcoaching-Dienstes: Den virtuellen Agenten ermöglichen, ihre Ratschläge anhand Ihres Profils, Kalenders, Tagebuchs und Ihrer Bilanzen zu personalisieren.
- Authentifizierung und Sicherung Ihres Kontos: Anmeldung, Passwortverwaltung, Verhinderung unbefugter Zugriffe.
- Verwaltung Ihres Abonnements: Rechnungsstellung, Inkasso, Kündigungsverwaltung (über Stripe).
- Transaktionskommunikation: Versand von Willkommensmails, Zahlungsbestätigungen, Erinnerungen zum Konto.
- Verbesserung des Dienstes: anonymisierte statistische Analyse der Nutzung zur Verbesserung der Funktionalitäten.
- Erfüllung unserer gesetzlichen Pflichten: Buchhaltungsaufbewahrung, Bearbeitung von Behördenanfragen, falls anwendbar.
5. Rechtsgrundlagen der Bearbeitung (DSGVO)
Für Nutzer mit Wohnsitz in der Europäischen Union sind die Rechtsgrundlagen:
| Zweck | Rechtsgrundlage DSGVO |
|---|---|
| Kontoerstellung, Funktionieren des Dienstes | Vertragserfüllung (Art. 6.1.b) |
| Gesundheitsdaten (Tagebuch, Bilanz) | Ausdrückliche Einwilligung (Art. 9.2.a) |
| Transaktionskommunikation | Vertragserfüllung (Art. 6.1.b) |
| Verbesserung des Dienstes (anonymisierte Statistiken) | Berechtigtes Interesse (Art. 6.1.f) |
| Buchhaltungsaufbewahrung | Rechtliche Verpflichtung (Art. 6.1.c) |
Für Nutzer mit Wohnsitz in der Schweiz beruht die Bearbeitung auf den Grundsätzen des nDSG: erkennbarer Zweck, Verhältnismässigkeit, aufgeklärte Einwilligung für sensible Daten.
6. Empfänger und Auftragsbearbeiter
Wir verkaufen oder vermieten Ihre Daten niemals an Dritte. Wir greifen auf technische Auftragsbearbeiter („Prozessoren") zurück, um den Dienst bereitzustellen:
| Auftragsbearbeiter | Rolle | Standort der Daten |
|---|---|---|
| Supabase Inc. | Datenbank (PostgreSQL) | USA (DPA verfügbar) |
| Netlify Inc. | Frontend-Hosting | USA (Standard-DPA) |
| Anthropic PBC | API Claude (KI-Agenten) | USA (DPA + DPF) |
| Resend Inc. | Versand transaktionaler E-Mails | USA (SCC) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) + USA |
| Strava Inc. | Synchronisierung sportlicher Aktivitäten (Opt-in des Nutzers) | USA (SCC) |
| API-Sports | Echtzeit-Sportdaten (Resultate, Tabellen) | Frankreich (EU) |
Jeder Auftragsbearbeiter ist mit SPORTVISE durch einen Auftragsverarbeitungsvertrag (DPA) verbunden, der ein DSG- und DSGVO-konformes Schutzniveau garantiert.
7. Internationale Datenübermittlungen
Da mehrere unserer Auftragsbearbeiter in den USA niedergelassen sind, werden bestimmte Ihrer Daten dorthin übermittelt. Diese Übermittlungen werden geregelt durch:
- Standardvertragsklauseln (SCC), von der Europäischen Kommission für die DSGVO genehmigt;
- Data Privacy Framework (DPF) für die teilnehmenden Auftragsbearbeiter (Anthropic, Stripe);
- Angemessenheitsbeschluss Schweiz–USA für Schweizer Nutzer (Swiss-US Data Privacy Framework, in Kraft seit 2024).
Ihre sensiblen Daten (Gesundheit) werden Anthropic nur in der für das KI-Coaching erforderlichen kontextuellen Form übermittelt. Wir senden Anthropic niemals mehr Daten, als zur Beantwortung Ihrer Nachricht nötig sind.
7bis. Verpflichtung zur Minimierung und zum Nicht-Zugriff durch Menschen auf Gesundheitsdaten
Thomas Castella, Verantwortlicher für die Bearbeitung, verpflichtet sich formell, niemals individuell auf die Gesundheitsdaten der Nutzer zuzugreifen (Stimmung, Energie, Schlafqualität, Schmerzen, Verletzungen, RPE — wahrgenommene Anstrengung, körperlicher Zustand, Leistung, Empfindungen nach Ereignissen).
Diese sensiblen Daten werden ausschliesslich:
- auf automatisierte Weise durch die KI-Agenten und nur zur Personalisierung der in der Oberfläche des Nutzers angezeigten Ratschläge bearbeitet, der sie eingegeben hat;
- in reinem Maschinenlesemodus für die Berechnung anonymisierter und aggregierter Statistiken über alle Nutzer (zum Beispiel: medianer RPE pro Sportart, Verletzungshäufigkeit pro Disziplin) — ohne jemals einen einzelnen Nutzer zu identifizieren.
Keine manuelle Extraktion, keine menschliche Analyse, kein Export für kommerzielle Akquise, keine Übermittlung an Dritte (ausserhalb der in Abschnitt 6 aufgelisteten technischen Auftragsbearbeiter) erfolgen.
Diese Verpflichtung ist vertraglich und durchsetzbar. Jede Verletzung kann dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder der Aufsichtsbehörde Ihres EU-Landes gemeldet werden.
8. Sicherheitsmassnahmen
Wir setzen die folgenden Massnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselung bei der Übertragung: alle Kommunikationen mit sportvise.ch verwenden HTTPS/TLS 1.3
- Verschlüsselung im Ruhezustand: die Supabase-Datenbank verschlüsselt die Daten auf Festplattenebene
- Passwörter: gehasht mit bcrypt (niemals im Klartext gespeichert)
- Authentifizierung: Verwaltung über Supabase Auth (Standards OAuth 2.0 / JWT)
- Zugriffskontrolle: Row-Level Security (RLS) PostgreSQL — jeder Nutzer kann nur auf seine eigenen Daten zugreifen
- Backups: tägliche automatische Backups durch Supabase (Aufbewahrung 7 Tage im Standardplan)
- Audit-Logs: Aufbewahrung der Anmelde- und Fehlerprotokolle für 90 Tage
- Zugriffsbeschränkung: nur Thomas Castella (Verantwortlicher) hat Lese-/Schreibzugriff auf die Produktion
Im Falle einer Datenverletzung, die ein Risiko für Ihre Rechte darstellen könnte, verpflichten wir uns, Sie innerhalb von 72 Stunden nach Entdeckung zu benachrichtigen, gemäss Art. 24 nDSG und Art. 33 DSGVO.
9. Aufbewahrungsdauer
| Kategorie | Dauer |
|---|---|
| Kontodaten (Profil, E-Mail) | Solange das Konto aktiv ist + 30 Tage nach Löschung |
| Tagebuch, Kalender, Bilanzen | Solange das Konto aktiv ist + 30 Tage nach Löschung |
| Konversationsverlauf mit Agenten | Solange das Konto aktiv ist + 30 Tage nach Löschung |
| Rechnungsdaten | 10 Jahre (Schweizer Buchhaltungspflicht, Art. 958f OR) |
| Technische Logs | 90 Tage |
| Anonymisierte Daten (Statistiken) | Unbegrenzt (anonym) |
Nach Ablauf der Frist werden die Daten sicher und unwiderruflich aus den Produktionsdatenbanken gelöscht. Die Backups übernehmen die Löschungen automatisch beim nächsten Rotationszyklus.
9bis. Kontolöschung und Recht auf Vergessenwerden
Sie können Ihr Konto jederzeit über Ihr Dashboard löschen (Profil → Bereich „Gefahrenzone" → „Konto löschen"). Die Löschung ist endgültig und unwiderruflich: Eine Wiederherstellung ist nach Bestätigung nicht möglich.
Sofortige Wirkung
Im Moment der Bestätigung:
- Alle Ihre persönlichen Daten, die bei SPORTVISE und bei Supabase (unserem Datenbankanbieter) gespeichert sind, werden endgültig aus der Produktion gelöscht: Profil, Ziele, tägliches Tagebuch, Kalender, Bilanzen nach Ereignissen, Konversationen mit den KI-Agenten, Favoriten, Ratings, Fitness-Scores.
- Ihr Authentifizierungskonto wird gelöscht.
- Falls Sie ein aktives bezahltes Abonnement hatten, wird es automatisch gekündigt (keine anteilige Rückerstattung).
- Eine Bestätigungs-E-Mail wird an Ihre Adresse gesendet.
Der Vorgang ist auf Datenbankseite atomar: Sollte ein Schritt fehlschlagen, wird die gesamte Löschung abgebrochen, um keine verwaisten Daten zu hinterlassen.
Verbleibende Aufbewahrung bei unseren technischen Auftragsbearbeitern
Aus technischen oder regulatorischen Gründen können bestimmte Daten bei unseren Auftragsbearbeitern über die bei uns durchgeführte Löschung hinaus vorübergehend verbleiben:
| Auftragsbearbeiter | Betroffene Daten | Verbleibende Aufbewahrungsdauer |
|---|---|---|
| Anthropic (Claude API) | Logs vergangener KI-Konversationen | ~30 Tage |
| Resend | Logs gesendeter E-Mails | ~30 Tage |
| Netlify | Server-Logs (IP, User-Agent) | ~7 Tage |
| Supabase | Tägliche automatische Backups | 7 Tage, dann Löschung |
| Strava | OAuth-Token + Metadaten importierter Aktivitäten | Jederzeit über Ihr Dashboard widerrufbar; Trennung = sofortiger Stopp des Imports. Der Token bleibt strava-seitig widerrufbar (strava.com → Einstellungen → Meine Apps), bis Sie ihn dort entfernen. |
| Stripe | Transaktionsdaten (Rechnungen) | 10 Jahre (Schweizer Buchhaltungspflicht, Art. 958f OR) |
Über diese Zeiträume hinaus werden Ihre Daten endgültig bei allen unseren Auftragsbearbeitern gelöscht, mit Ausnahme der Stripe-Transaktionen, die für die gesetzliche Dauer der Buchhaltungspflicht aufbewahrt werden.
Verpflichtung des Verantwortlichen für die Bearbeitung
Thomas Castella, Verantwortlicher für die Bearbeitung, greift niemals individuell auf die Gesundheitsdaten der Nutzer zu (Stimmung, Schmerzen, Verletzungen, Schlaf, RPE). Diese Daten werden ausschliesslich von den KI-Agenten auf automatisierte Weise zur Personalisierung der in der Oberfläche des Nutzers angezeigten Ratschläge verarbeitet. Keine Extraktion, keine manuelle Analyse, keine Übermittlung an Dritte ausserhalb der oben aufgelisteten technischen Auftragsbearbeiter erfolgt. Diese Verpflichtung ist in Abschnitt 7bis formalisiert.
10. Ihre Rechte
Unabhängig von Ihrem Wohnsitzort verfügen Sie über folgende Rechte an Ihren Personendaten:
- Recht auf Auskunft: Bestätigung erhalten, dass Ihre Daten bearbeitet werden, und eine Kopie davon erhalten
- Recht auf Berichtigung: ungenaue oder unvollständige Daten korrigieren
- Recht auf Löschung („Recht auf Vergessenwerden"): die Löschung Ihres Kontos und Ihrer Daten verlangen
- Recht auf Einschränkung: die vorübergehende Aussetzung der Bearbeitung verlangen
- Recht auf Datenübertragbarkeit: Ihre Daten in einem strukturierten Format (JSON) erhalten
- Widerspruchsrecht: einer auf berechtigtem Interesse beruhenden Bearbeitung widersprechen
- Recht auf Widerruf der Einwilligung: jederzeit, ohne die Rechtmässigkeit der vorherigen Bearbeitung zu beeinträchtigen
- Recht auf Beschwerde: beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB — edoeb.admin.ch) oder bei der Aufsichtsbehörde Ihres EU-Landes
Wie Sie Ihre Rechte ausüben
Senden Sie Ihre Anfrage an info@sportvise.ch und präzisieren Sie den Betreff („DSGVO/DSG-Anfrage") und das Recht, das Sie ausüben möchten. Wir antworten innerhalb einer maximalen Frist von 30 Tagen.
Für die Löschung Ihres Kontos können Sie auch den Schalter „Konto löschen" in den Einstellungen Ihres Dashboards verwenden (in der Bereitstellungsphase).
11. Cookies
SPORTVISE verwendet eine minimale Anzahl an Cookies, alle strikt notwendig für das Funktionieren des Dienstes:
| Cookie | Anbieter | Zweck | Dauer |
|---|---|---|---|
sb-access-token | Supabase | Aufrechterhaltung der authentifizierten Sitzung | Sitzung |
sb-refresh-token | Supabase | Automatische Token-Erneuerung | 7 Tage |
__stripe_* | Stripe | Zahlungssicherheit (nur auf der Zahlungsseite) | 30 Minuten bis 1 Jahr je nach Cookie |
Diese essentiellen Cookies erfordern gemäss DSG, DSGVO und ePrivacy-Richtlinien kein Einwilligungsbanner.
SPORTVISE verwendet weder analytische noch werbliche Cookies (kein Google Analytics, Facebook Pixel oder Äquivalent).
12. Minderjährige
Die Nutzung von SPORTVISE ist Personen vorbehalten, die mindestens 16 Jahre alt sind. Für Nutzer im Alter von 16 bis 17 Jahren ist die schriftliche Einwilligung des gesetzlichen Vertreters (Elternteil oder Vormund) erforderlich und kann jederzeit angefordert werden.
Sollten wir erfahren, dass ein Nutzer jünger als 16 Jahre ist, wird sein Konto unverzüglich gelöscht und alle seine Daten gelöscht.
Eltern oder Vormünder können info@sportvise.ch kontaktieren, um die Löschung des Kontos eines Minderjährigen, für den sie verantwortlich sind, zu verlangen.
13. Automatisierte Entscheidungen und Profiling
Die KI-Agenten von SPORTVISE generieren personalisierte Ratschläge auf Basis Ihrer Daten (Profil, Tagebuch, Bilanzen). Diese Ratschläge stellen keine automatisierten Entscheidungen mit Rechtswirkung im Sinne von Art. 22 DSGVO dar.
Sie behalten jederzeit:
- Die volle Kontrolle über die nach den Empfehlungen zu ergreifenden Massnahmen
- Die Möglichkeit, ein menschliches Eingreifen (Thomas Castella) über info@sportvise.ch zu verlangen
- Das Recht, jede Empfehlung anzufechten, die Ihnen ungeeignet erscheint
Wichtig: Die Ratschläge der KI-Agenten ersetzen niemals einen qualifizierten medizinischen, juristischen, steuerlichen oder finanziellen Rat. Konsultieren Sie für jede Frage in diesen Bereichen einen zertifizierten Fachmann.
14. Änderungen der Erklärung
Wir behalten uns das Recht vor, diese Erklärung zu ändern, um rechtliche, technische oder funktionale Entwicklungen zu berücksichtigen. Jede wesentliche Änderung wird Ihnen mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt. Das Datum der letzten Änderung ist oben in diesem Dokument angegeben.
Die fortgesetzte Nutzung des Dienstes nach der Benachrichtigung gilt als Annahme der neuen Erklärung.
15. Anwendbares Recht und Gerichtsstand
Diese Erklärung unterliegt dem Schweizer Recht. Jeder Streit über ihre Auslegung oder Ausführung unterliegt der ausschliesslichen Zuständigkeit der ordentlichen Gerichte des Kantons Freiburg, vorbehaltlich des Beschwerderechts beim Schweizer Bundesgericht.
Nutzer mit Wohnsitz in der Europäischen Union behalten das Recht, eine Beschwerde bei der Aufsichtsbehörde ihres Wohnsitzlandes einzureichen.
16. Kontakt
Für jede Frage, Anfrage oder Beschwerde betreffend diese Erklärung:
Thomas Castella
info@sportvise.ch
SPORTVISE — https://sportvise.ch
Datenschutzerklärung v1.0 — Verfasst am 29. April 2026 — Wartet auf Validierung durch Schweizer Tech-Jurist vor der Veröffentlichung.