Fuelivo

← Zurück / Back
# Datenschutzerklärung / Privacy Policy

Stand / Last updated: 20. März 2026 / March 20, 2026

---

## Deutsch

### 1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Yannik Wünker / Fuelivo
Loevenicher Weg 2b
50933 Köln
Deutschland
E-Mail: mail@yannikwuenker.de

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO für dieses Angebot nicht gesetzlich verpflichtend bestellt, da die Voraussetzungen (Art. 37 Abs. 1 DSGVO) nicht erfüllt sind. Bei Datenschutzfragen wende dich direkt an die oben genannte E-Mail-Adresse.

### 2. Welche Daten wir erheben und zu welchem Zweck

#### 2.1 Account-Daten

Bei der Registrierung erheben wir:

- E-Mail-Adresse
- Passwort (ausschließlich als bcrypt-Hash gespeichert, niemals im Klartext)
- Anzeigename (optional)

**Zweck:** Bereitstellung des Nutzerkontos, Authentifizierung, Kommunikation.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

#### 2.2 Einstellungen und Präferenzen

Gespeicherte Trainings-Präferenzen (Standard-Gewicht, -Dauer, -Intensität, -Sportart, GI-Empfindlichkeit u. a.).

**Zweck:** Vorausfüllen des Rechners, Verbesserung der Nutzererfahrung.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO.

#### 2.3 Berechnungsdaten

Eingaben und Ergebnisse des Fueling-Rechners (Sportart, Intensität, Dauer, Körpergewicht, Kohlenhydratziele u. a.). Das Körpergewicht kann als Gesundheitsdatum im Sinne des Art. 9 DSGVO qualifiziert werden. Wir verarbeiten es ausschließlich zur Berechnung sportspezifischer Ernährungsempfehlungen im Rahmen des Vertrags.

**Zweck:** Bereitstellung der Kernfunktion (Fueling-Rechner), Verlaufsanzeige (Pro-Plan).
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO; für Gesundheitsdaten Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung durch Nutzung der Eingabemaske).

#### 2.4 Sitzungs- und Sicherheitsdaten

Session-ID (als Hash gespeichert), CSRF-Token, IP-Adresse (Server-Logs), Zeitstempel, User-Agent.

**Zweck:** Authentifizierung, Missbrauchsprävention, Sicherheit.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Betrieb).

#### 2.5 Zahlungs- und Abonnementdaten

Stripe-Kundennummer, Abonnement-ID, Zahlungsstatus, Billing-Intervall. Wir speichern keine vollständigen Kreditkartendaten – diese liegen ausschließlich bei Stripe.

**Zweck:** Abonnementverwaltung, Berechtigungsprüfung.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflicht).

#### 2.6 Coach-Profil und Athlet:innen-Zuordnung (optional)

Für Nutzer:innen mit Coach-Funktion: Coach-Profil, Athlet:innen-Zuordnung, Coach-Notizen zu Berechnungen.

**Zweck:** Coach-Athleten-Verwaltung im Rahmen der Pro-Funktion.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO.

### 3. Drittanbieter-Services (Auftragsverarbeitung / Datentransfer)

#### 3.1 PostHog (Web-Analytics)

Wir nutzen **PostHog** (PostHog Inc., 965 Mission St, Suite 100, San Francisco, CA 94103, USA) zur Analyse der App-Nutzung. PostHog erfasst Seitenaufrufe, Feature-Nutzung und Nutzer-Events (z. B. Berechnungen, Plan-Typ). Die Daten werden mit deiner pseudonymisierten Nutzer-ID übermittelt.

Hosting: EU-Infrastruktur (`eu.i.posthog.com`), Proxy über unsere eigene Domain (`b.yannikwuenker.de`).

**Frontend-Tracking:** Nur nach deiner ausdrücklichen Einwilligung aktiv (Cookie-Banner).
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

**Backend-Events:** Serverseitige pseudonymisierte Events (z. B. Registrierung, Berechnung abgeschlossen) werden als berechtigtes Interesse verarbeitet, da sie keine direkt personenbezogenen Daten enthalten (`send_default_pii = false`) und ausschließlich der Produkt-Analyse dienen.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Du kannst deine Einwilligung jederzeit unter **Einstellungen → Datenschutz & Daten → Cookie-Einstellungen** widerrufen.

Datenschutzerklärung PostHog: https://posthog.com/privacy

#### 3.2 Sentry (Fehlerüberwachung)

Wir nutzen **Sentry** (Functional Software Inc. dba Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur Fehlererfassung und Stabilitätsüberwachung. Sentry ist mit `send_default_pii = False` konfiguriert, sodass keine personenbezogenen Daten (E-Mail, IP) in Fehlerberichten übertragen werden.

**Zweck:** Sicherstellung der Dienststabilität, Fehlerbehebung.
**Rechtsgrundlage:** Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebsstabilität).

Datenschutzerklärung Sentry: https://sentry.io/privacy/

#### 3.3 Stripe (Zahlungsabwicklung)

Wir nutzen **Stripe** (Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland) zur Abonnementverwaltung und Zahlungsabwicklung. Übermittelt werden: E-Mail-Adresse, Nutzer-ID sowie Zahlungsdaten, die du direkt bei Stripe eingibst.

Stripe verarbeitet Daten ggf. in den USA. Rechtsgrundlage für den Drittlandtransfer: EU-US Data Privacy Framework (DPF) sowie Standardvertragsklauseln (SCCs).

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzerklärung Stripe: https://stripe.com/de/privacy

#### 3.4 Resend (Transaktions-E-Mails)

Wir nutzen **Resend** (Resend Inc., 2261 Market St #5039, San Francisco, CA 94114, USA) zum Versand von Transaktions-E-Mails (Registrierungsbestätigung, Willkommens-E-Mail, Onboarding-Serie). Übermittelt werden: E-Mail-Adresse und Anzeigename.

Resend verarbeitet Daten in den USA (Standardvertragsklauseln).

**Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzerklärung Resend: https://resend.com/legal/privacy-policy

#### 3.5 Hosting / Infrastruktur

Die Anwendung wird auf Servern gehostet, die dem EU-Datenschutzstandard entsprechen oder durch entsprechende Verträge abgesichert sind (Auftragsverarbeitungsvertrag).

#### 3.6 Schriftarten (Fonts)

Die Schriftart **Inter** wird lokal aus unserem eigenen Server geladen. Es werden keine Daten (insbesondere keine IP-Adressen) an externe Font-Anbieter wie Google Fonts übertragen.

### 4. Cookies und lokale Datenspeicherung

| Name | Typ | Zweck | Speicherdauer | Einwilligung |
|------|-----|-------|---------------|--------------|
| `session` | Cookie (httpOnly) | Authentifizierungssitzung | 7 Tage (Standard) | Nein – essenziell |
| `csrf_token` | Cookie | CSRF-Schutz für Formulare | Sitzung | Nein – essenziell |
| `fuelivo-theme` | localStorage | Dark/Light-Mode-Präferenz | Unbegrenzt (lokal) | Nein – funktional |
| `fuelivo-consent` | localStorage | Speicherung deiner Cookie-Entscheidung | Unbegrenzt (lokal) | Nein – essenziell |
| PostHog-Cookies (`ph_*`) | Cookies | Web-Analytics, Session-Tracking | Bis zu 1 Jahr | **Ja – nur bei Einwilligung** |

Deine Cookie-Einstellungen kannst du jederzeit unter **Einstellungen → Datenschutz & Daten → Cookie-Einstellungen** anpassen oder im Footer auf „Cookie-Einstellungen" klicken.

### 5. Aufbewahrungsfristen

| Datenkategorie | Aufbewahrungsdauer |
|---------------|--------------------|
| Account-Daten (E-Mail, Passwort-Hash) | Bis zur Kontolöschung |
| Sitzungsdaten | 7 Tage (automatisch) |
| Berechnungsdaten | Bis zur Kontolöschung |
| Präferenzen | Bis zur Kontolöschung |
| Zahlungsdaten / Rechnungsbelege | 10 Jahre (§ 147 AO, § 257 HGB) |
| Server-Logs / Fehlerlogs | Kurzfristig (Tage bis wenige Wochen) |
| Coach-Notizen | Bis zur Kontolöschung des Coaches oder Athleten |

Nach Ablauf der Aufbewahrungsfrist werden Daten gelöscht oder anonymisiert.

### 6. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Einzelentscheidung im Sinne des Art. 22 DSGVO statt. Der Fueling-Rechner wendet deterministische Regeln auf deine Eingaben an – es handelt sich dabei nicht um eine automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung.

### 7. Deine Rechte (Art. 15–21, 77 DSGVO)

Du hast folgende Rechte:

- **Auskunft (Art. 15):** Du kannst Auskunft über die über dich gespeicherten Daten verlangen.
- **Berichtigung (Art. 16):** Du kannst unrichtige Daten korrigieren lassen.
- **Löschung (Art. 17):** Du kannst die Löschung deiner Daten verlangen. Konkreter Weg: **Einstellungen → Datenschutz & Daten → Account löschen**.
- **Einschränkung der Verarbeitung (Art. 18):** Du kannst in bestimmten Fällen die Einschränkung der Verarbeitung verlangen.
- **Datenübertragbarkeit (Art. 20):** Du kannst deine Daten als strukturierten, maschinenlesbaren Download erhalten. Konkreter Weg: **Einstellungen → Datenschutz & Daten → Meine Daten exportieren**.
- **Widerspruch (Art. 21):** Du kannst der Verarbeitung widersprechen, die auf berechtigten Interessen beruht (z. B. serverseitige PostHog-Events). Wende dich dazu an mail@yannikwuenker.de.
- **Widerruf der Einwilligung (Art. 7 Abs. 3):** Einwilligungen (z. B. Analytics-Cookies) können jederzeit widerrufen werden – ohne Auswirkung auf die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
- **Beschwerde (Art. 77):** Du hast das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen. Für Nordrhein-Westfalen ist dies die **Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)**, Postfach 200444, 40102 Düsseldorf, poststelle@ldi.nrw.de.

### 8. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein (u. a. HTTPS, bcrypt-Passwort-Hashing, CSRF-Schutz, httpOnly-Cookies). Kein System ist absolut sicher – wir können keine absolute Datensicherheit garantieren.

### 9. Kinder

Das Angebot richtet sich nicht an Kinder unter 16 Jahren. Wir erheben nicht wissentlich Daten von Kindern.

### 10. Änderungen dieser Datenschutzerklärung

Wir können diese Erklärung aktualisieren. Das Datum „Stand" wird dabei aktualisiert. Bei wesentlichen Änderungen informieren wir registrierte Nutzer:innen per E-Mail.

### 11. Kontakt für Datenschutzanfragen

Yannik Wünker / Fuelivo
E-Mail: mail@yannikwuenker.de
Adresse: Loevenicher Weg 2b, 50933 Köln, Deutschland

---

## English

### 1. Controller

Yannik Wünker / Fuelivo
Loevenicher Weg 2b
50933 Cologne, Germany
Email: mail@yannikwuenker.de

### 2. Data We Collect and Why

#### 2.1 Account Data

Email address, bcrypt-hashed password, display name (optional).
**Legal basis:** Art. 6(1)(b) GDPR – contract performance.

#### 2.2 Preferences

Training defaults stored per account (weight, duration, intensity, sport type, GI sensitivity, etc.).
**Legal basis:** Art. 6(1)(b) GDPR.

#### 2.3 Calculation Data

Fueling calculator inputs and outputs (sport type, intensity, duration, body weight, carbohydrate targets, etc.). Body weight may constitute health data under Art. 9 GDPR and is processed solely for fueling calculations.
**Legal basis:** Art. 6(1)(b) GDPR; for health data Art. 9(2)(a) GDPR (explicit consent via use of the input form).

#### 2.4 Session and Security Data

Session token (stored as hash), CSRF token, IP address (server logs), timestamps, user agent.
**Legal basis:** Art. 6(1)(f) GDPR – legitimate interest in security.

#### 2.5 Payment and Subscription Data

Stripe customer ID, subscription ID, billing status. Full card data is held only by Stripe.
**Legal basis:** Art. 6(1)(b) and (c) GDPR.

#### 2.6 Coach Data (optional)

Coach profile, athlete roster, coach notes on calculations.
**Legal basis:** Art. 6(1)(b) GDPR.

### 3. Third-Party Services

#### 3.1 PostHog (Analytics)

PostHog is used for web analytics. Frontend tracking is activated **only with your explicit consent** (cookie banner). Backend events (pseudonymised user IDs only, no PII) run under legitimate interest. Hosted on EU infrastructure (`eu.i.posthog.com`), proxied via our own domain. You can withdraw consent at any time under **Settings → Privacy & Data → Cookie settings**. Privacy policy: https://posthog.com/privacy

#### 3.2 Sentry (Error Monitoring)

Sentry is used for error tracking with `send_default_pii = False` (no email/IP in reports). Legal basis: Art. 6(1)(f) GDPR – legitimate interest in service stability. Privacy policy: https://sentry.io/privacy/

#### 3.3 Stripe (Payments)

Stripe Payments Europe processes subscription payments. Data transferred: email, user ID, payment data. Stripe may process data in the USA under the EU-US DPF and SCCs. Legal basis: Art. 6(1)(b) GDPR. Privacy policy: https://stripe.com/privacy

#### 3.4 Resend (Transactional Email)

Resend sends transactional emails (registration confirmation, welcome, onboarding series). Data: email, display name. Processed in the USA under SCCs. Legal basis: Art. 6(1)(b) GDPR. Privacy policy: https://resend.com/legal/privacy-policy

#### 3.5 Fonts

The Inter typeface is served locally from our own servers. No data is sent to Google Fonts or any external font provider.

### 4. Cookies and Local Storage

| Name | Type | Purpose | Duration | Consent required |
|------|------|---------|----------|-----------------|
| `session` | Cookie (httpOnly) | Authentication | 7 days | No – essential |
| `csrf_token` | Cookie | CSRF protection | Session | No – essential |
| `fuelivo-theme` | localStorage | Dark/light mode | Persistent (local) | No – functional |
| `fuelivo-consent` | localStorage | Cookie consent record | Persistent (local) | No – essential |
| PostHog (`ph_*`) | Cookies | Web analytics | Up to 1 year | **Yes – consent only** |

You can manage your cookie preferences at any time under **Settings → Privacy & Data → Cookie settings** or via the footer link.

### 5. Retention

| Data | Retention |
|------|-----------|
| Account data | Until account deletion |
| Sessions | 7 days (automatic) |
| Calculation data | Until account deletion |
| Preferences | Until account deletion |
| Payment records | 10 years (tax law) |
| Server/error logs | Days to a few weeks |
| Coach notes | Until coach or athlete deletes account |

### 6. Automated Decision-Making

No automated individual decision-making under Art. 22 GDPR takes place. The fueling calculator applies deterministic rules to your inputs and does not make decisions with legal or similarly significant effects.

### 7. Your Rights (Art. 15–21, 77 GDPR)

You have the right to: **access** your data · **rectify** inaccurate data · **erase** data (→ Settings → Privacy & Data → Delete account) · **restrict** processing · **data portability** (→ Settings → Privacy & Data → Export my data) · **object** to processing based on legitimate interests (contact mail@yannikwuenker.de) · **withdraw consent** at any time · **lodge a complaint** with the LDI NRW (poststelle@ldi.nrw.de).

### 8. Security

We apply appropriate technical and organizational measures (HTTPS, bcrypt, CSRF protection, httpOnly cookies). No system is absolutely secure.

### 9. Children

The Service is not directed at children under 16. We do not knowingly collect data from children.

### 10. Changes

We may update this policy. The "Last updated" date will be revised. Registered users will be notified of material changes by email.

### 11. Contact

Yannik Wünker / Fuelivo
Email: mail@yannikwuenker.de
Address: Loevenicher Weg 2b, 50933 Cologne, Germany