Datenschutzerklärung

Stand: 1. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
RYPOX GmbH
Mergenthalerallee 73–75
65760 Eschborn
E-Mail: info@rypox.de
Geschäftsführer: Jan Pfeil

2. Welche Daten wir verarbeiten

2.1 Account-Daten

Bei der Registrierung speichern wir deine E-Mail-Adresse, einen Anzeigenamen und ein Passwort-Hash (Argon2id). Die Authentifizierung erfolgt über unsere eigene Keycloak-Instanz auf auth.movidor.com; ein Drittanbieter ist daran nicht beteiligt.

2.2 Aufgezeichnete Aktivitäten

Wenn du die App zur Aufzeichnung von Trainings nutzt, werden GPS-Tracks (Breitengrad, Längengrad, Höhe, Zeitstempel), Sensor-Daten (Herzfrequenz, Trittfrequenz, Leistung) sowie aus diesen Werten abgeleitete Kennzahlen (Tempo, Splits, Kalorien) verarbeitet. Diese Daten sind nur dir zugeordnet und sind standardmäßig nicht öffentlich.

2.3 Equipment- und Trainingsdaten

Optional erfasst die App Equipment (Bikes, Schuhe, Pulsgurte), zugehörige Wartungs- und Kostendaten sowie Bluetooth-Sensor-Bindungen (MAC-Adressen). Diese Daten dienen ausschließlich der Funktion in deinem eigenen Konto.

2.4 Verknüpfte Drittanbieter

Wenn du Movidor mit Strava, Komoot oder Garmin Connect verbindest, speichern wir die jeweiligen OAuth-Tokens bzw. API-Schlüssel verschlüsselt in unserer Datenbank. Wir holen dann auf deinen Wunsch Aktivitäten aus diesen Diensten ab oder schicken neue Aktivitäten dorthin. Die Datenverarbeitung beim Drittanbieter selbst richtet sich nach dessen Datenschutzerklärung:

• Strava: strava.com/legal/privacy
• Komoot: komoot.com/privacy
• Garmin Connect: garmin.com/privacy/global

2.5 Zahlungsdaten

Zahlungen werden ausschließlich über Stripe Inc. abgewickelt. Kartennummern oder Bankverbindungen gelangen nicht in unsere Systeme. Wir erhalten von Stripe lediglich Status-Webhooks (z. B. „Zahlung erfolgreich"), eine pseudonyme Kunden-ID und die Rechnungs-Stammdaten zur Steuerablage. Stripe-Datenschutz: stripe.com/de/privacy.

2.6 Server-Logs

Beim Zugriff auf movidor.com, app.movidor.com oder unsere API werden technische Daten in Server-Logs gespeichert: IP-Adresse, Zeitstempel, angeforderte URL, HTTP-Statuscode, übertragene Datenmenge, User-Agent, Referrer-URL. Diese Logs werden zur Missbrauchserkennung (z. B. Brute-Force-Versuche) verwendet und nach 7 Tagen automatisch gelöscht.

2.7 Push-Notifications

Wenn du Push-Benachrichtigungen aktivierst, speichern wir den Web-Push- oder Firebase-Cloud-Messaging-Token deines Geräts, um dir Hinweise zu Kommentaren, Coaching-Empfehlungen oder Verbindungs-Statusänderungen zustellen zu können.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): für Account, Aktivitätsaufzeichnung, Drittanbieter-Sync.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): für Push-Benachrichtigungen und Newsletter (falls angeboten).
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): für Server-Logging zur Sicherheit, Fehleranalyse über Sentry, anonymisierte Web-Analyse mit Matomo.
• Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht): für Rechnungen und Aufbewahrung nach § 147 AO.

4. Empfänger und Auftragsverarbeiter

Eine Weitergabe deiner Daten an Dritte findet nicht statt, mit folgenden Ausnahmen:

• Hosting: Hetzner Online GmbH, Gunzenhausen, Deutschland. Sämtliche Datenbanken, Application-Server und der E-Mail-Versand laufen auf dort gemieteten Servern in einem deutschen Rechenzentrum.
• Stripe: Zahlungsabwicklung (siehe 2.5).
• Strava / Komoot / Garmin Connect: nur wenn du diese Verbindung selbst hergestellt hast (siehe 2.4).
• Google Play Billing: bei Abos, die du über den Play Store abschließt, läuft die Zahlung über Google nach deren Nutzungsbedingungen.
• Sentry: optionale Fehler-Telemetrie. In den dort übermittelten Stack-Traces können Geräte-ID und User-ID enthalten sein. Daten werden in der EU-Region verarbeitet. Du kannst dies in den App-Einstellungen deaktivieren.

Web-Analyse erfolgt mit Matomo, das wir selbst hosten. Es werden keine Cookies gesetzt, IP-Adressen werden vor der Speicherung anonymisiert, und es gibt keinen Datentransfer an Dritte.

5. Speicherdauer

• Account-Daten: solange dein Konto besteht.
• Aktivitäten und Equipment: solange dein Konto besteht.
• Server-Logs: 7 Tage.
• Sentry-Fehler-Reports: 30 Tage.
• Rechnungen und Zahlungsbelege: 10 Jahre gemäß § 147 AO. Personenbezug wird nach Kontolöschung auf das gesetzliche Minimum reduziert.

6. Deine Rechte

Du hast jederzeit das Recht auf

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung (Art. 17 DSGVO), Anleitung unter Konto löschen,
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
• Beschwerde bei einer Aufsichtsbehörde, in Deutschland in der Regel die zuständige Landesdatenschutzbehörde.

Anfragen richte bitte per E-Mail an info@rypox.de. Wir antworten innerhalb der gesetzlichen Frist von 30 Tagen.

7. Cookies

Die Landingpage movidor.com setzt keine Cookies. Die Web-App app.movidor.com setzt ausschließlich ein technisch notwendiges Cookie für die Login-Sitzung aus dem OIDC-Flow. Tracking- oder Werbe-Cookies setzen wir nirgends; die Web-Analyse mit Matomo arbeitet ohne Cookies (siehe Abschnitt 4).

8. Eingebettete Inhalte Dritter

Die Landingpage zeigt eine interaktive Karte über das Open-Source-Projekt MapLibre; die Karten-Kacheln stammen von unseren eigenen Servern und binden keine Dritt-CDN-Inhalte ein.

9. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Datenverarbeitung ändert (z. B. neue Drittanbieter-Integrationen). Die jeweils aktuelle Fassung ist unter https://movidor.com/privacy/ abrufbar.

Non-binding English translation. The German version above is the legally binding text under the GDPR.

Privacy Policy

Last updated: 1 June 2026

1. Controller

Controller within the meaning of the GDPR:
RYPOX GmbH
Mergenthalerallee 73–75
65760 Eschborn, Germany
E-mail: info@rypox.de
Managing Director: Jan Pfeil

2. Which data we process

2.1 Account data

When you register we store your email address, a display name and a password hash (Argon2id). Authentication runs through our own Keycloak instance at auth.movidor.com; no third party is involved.

2.2 Recorded activities

If you use the app to record workouts we process GPS tracks (latitude, longitude, altitude, timestamps), sensor data (heart rate, cadence, power) and derived metrics (pace, splits, calories). These data are linked only to your account and are not public by default.

2.3 Equipment and training data

Optionally the app records equipment (bikes, shoes, HR straps), associated maintenance and cost data, and Bluetooth-sensor bindings (MAC addresses). These data exist solely for the function within your own account.

2.4 Connected third parties

When you connect Movidor with Strava, Komoot or Garmin Connect we store the respective OAuth tokens or API keys encrypted in our database. We then fetch activities from these services on your request, or push new activities to them. Data processing at the third party itself is governed by their own privacy policy:

• Strava: strava.com/legal/privacy
• Komoot: komoot.com/privacy
• Garmin Connect: garmin.com/privacy/global

2.5 Payment data

Payments are processed exclusively via Stripe Inc. Card numbers and bank details never enter our systems. From Stripe we receive only status webhooks (e.g. „payment succeeded"), a pseudonymous customer ID, and the invoicing master data required for tax records. Stripe privacy: stripe.com/privacy.

2.6 Server logs

When you access movidor.com, app.movidor.com or our API, technical data is stored in server logs: IP address, timestamp, requested URL, HTTP status code, bytes transferred, user agent, referrer. These logs are used for abuse detection (e.g. brute-force attempts) and are automatically deleted after 7 days.

2.7 Push notifications

If you enable push notifications we store the Web Push or Firebase Cloud Messaging token of your device, so we can deliver alerts about comments, coaching recommendations or connection status changes.

3. Legal bases

• Art. 6 (1) (b) GDPR (performance of contract): for account, activity recording, third-party sync.
• Art. 6 (1) (a) GDPR (consent): for push notifications and newsletters (if offered).
• Art. 6 (1) (f) GDPR (legitimate interest): for server logging, error analysis via Sentry, anonymised web analytics with Matomo.
• Art. 6 (1) (c) GDPR (legal obligation): for invoices and retention under § 147 AO (German Fiscal Code).

4. Recipients and processors

Your data is not passed to third parties, except for the following:

• Hosting: Hetzner Online GmbH, Gunzenhausen, Germany. All databases, application servers and outbound email run on servers rented in a German data centre.
• Stripe: payment processing (see 2.5).
• Strava / Komoot / Garmin Connect: only if you have explicitly connected these accounts (see 2.4).
• Google Play Billing: for subscriptions you take out via the Play Store, payment runs through Google according to its terms of use.
• Sentry: optional error telemetry. Stack traces transmitted there may contain a device ID and user ID. Data is processed in the EU region. You can disable this in the app settings.

Web analytics is performed using Matomo, which we host ourselves. No cookies are set, IP addresses are anonymised before storage, and no data is transferred to third parties.

5. Retention periods

• Account data: for as long as your account exists.
• Activities and equipment: for as long as your account exists.
• Server logs: 7 days.
• Sentry error reports: 30 days.
• Invoices and payment records: 10 years pursuant to § 147 AO. After account deletion, personal references are reduced to the legal minimum.

6. Your rights

You have the right at any time to

• information about your stored data (Art. 15 GDPR),
• correction of incorrect data (Art. 16 GDPR),
• erasure (Art. 17 GDPR), instructions at Delete account,
• restriction of processing (Art. 18 GDPR),
• data portability (Art. 20 GDPR),
• objection to processing (Art. 21 GDPR),
• complaint to a supervisory authority; in Germany usually the competent state data protection authority.

Please send requests by email to info@rypox.de. We respond within the statutory deadline of 30 days.

7. Cookies

The landing page movidor.com sets no cookies. The web app app.movidor.com sets only a technically necessary cookie for the login session from the OIDC flow. We set no tracking or advertising cookies anywhere; web analytics with Matomo works without cookies (see section 4).

8. Embedded third-party content

The landing page displays an interactive map via the open-source project MapLibre; map tiles are served from our own servers and do not embed any third-party CDN content.

9. Changes

We reserve the right to adapt this privacy policy when our data processing changes (e.g. new third-party integrations). The current version is always available at https://movidor.com/privacy/.