Tracking und SDKs von Drittanbietern

Strenqo wird herausgegeben und betrieben von Andreas Mondo (italienisches Einzelunternehmen, Verantwortlicher gemäß DSGVO).

1. Vorwort

Strenqo ist eine native mobile Anwendung (iOS und Android). Sie verwendet keine Cookies für ihren Betrieb und integriert keine Werbe- oder Verhaltensprofiling-SDKs von Drittanbietern.

Dieses Dokument beschreibt transparent, welche Telemetrie-SDKs in der App vorhanden sind und wie sie durch die Einwilligung des Nutzers geregelt werden.

2. In der App verwendete SDKs

2.1 Sentry — Absturzberichte (optional, einwilligungspflichtig)

• Anbieter: Functional Software, Inc. (in der EU tätig als Sentry GmbH)
• Zweck: Erfassung von Stack-Traces, Breadcrumbs und Geräteinformationen im Falle eines App-Absturzes, zur Diagnose und Fehlerbehebung
• Ingest-Endpunkt: EU / Deutschland (ingest.de.sentry.io), in der Produktion verifiziert. Keine Drittlandübermittlung für Absturzberichte.
• Erfasste Daten (mit PII-Redaktion): Absturzereignis, Stack-Trace, Breadcrumbs, App-Version, Betriebssystem, Gerätemodell, pseudonyme Nutzerkennung (UUID — nicht E-Mail). Automatisch redigiert: Felder, deren Name dem Muster email | password | token | secret | apiKey | sessionId | weight | height | phone | cookie | authorization entspricht. Freie Strings (Fehlermeldungen, Breadcrumbs) werden zusätzlich auf E-Mail- und Token-Muster gescannt, die durch [email] / [token] ersetzt werden.
• Restliche PII: die Redaktion ist eine Minderungsmaßnahme, keine Garantie. Strings, die nicht von den oben genannten Mustern abgedeckt sind, können trotz Redaktion in Absturzberichten landen.

2.2 Einwilligungsverhalten

Die Einwilligung zu Absturzberichten ist kein „globales Opt-in“:

1. Beim Kaltstart wird Sentry nie initialisiert, bis der Einwilligungsstatus aus dem lokalen Speicher geladen wurde.
2. Wenn Sie nie eine ausdrückliche Wahl getroffen haben, wenden wir einen markt-spezifischen Standard an, sobald das Wohnsitzland verfügbar ist:

Sie können Ihre Wahl jederzeit unter Profil → Support, Datenschutz und Recht → Diagnose und Absturzbericht ändern.

3. NICHT vorhandene SDKs

Zur Transparenz: Strenqo integriert keine der folgenden:

Folglich: Strenqo liest weder iOS IDFA noch Android AAID, teilt keine Werbekennungen mit Dritten, profiliert den Nutzer nicht für kontextübergreifendes Marketing und zeigt keine App-Tracking-Transparency-(ATT)-Aufforderung an.

4. Plattform-SDKs (Apple / Google)

Zur Gewährleistung des nativen Betriebs der App sind obligatorische Plattform-SDKs vorhanden:

• Apple HealthKit (iOS) und Google Health Connect (Android): Lesen/Schreiben von Gesundheitsdaten auf dem Gerät, nur mit ausdrücklicher Betriebssystem-Einwilligung
• Apple Push Notification Service / Firebase Cloud Messaging: lokale und Push-Benachrichtigungen, nur mit ausdrücklicher Einwilligung
• Google Maps SDK Android: Rendering von Kartenkacheln für Outdoor-Cardio-Routen — nur wenn Sie die GPS-Funktion nutzen

5. Cloud-Wearable-Integrationen (kein Tracking)

Strenqo bietet OAuth-basierte Integrationen mit Fitness-Cloud-Plattformen Dritter an — derzeit Whoop und Oura (siehe Liste der Unterauftragsverarbeiter §3 für die vollständige Liste, die in Zukunft um Anbieter wie Garmin Connect, Polar Flow, Fitbit / Google Fit, Suunto, Coros, Withings, Samsung Health erweitert werden kann). Diese Integrationen sind keine Tracking-SDKs und unterliegen nicht den Analysen in §2 / §3 dieser Richtlinie: es handelt sich um ausdrückliche, bedarfsgesteuerte Datenübermittlungen, die der Nutzer per OAuth beim Drittanbieter autorisiert.

Was Sie wissen sollten:

• Kein SDK dieser Anbieter ist in der Strenqo-App eingebettet. Es gibt kein Hintergrund-Tracking. Daten werden serverseitig durch unsere Supabase Edge Function in einem geplanten Sync (in der Regel einmal täglich) abgerufen, nachdem Sie den Anbieter verbunden haben.
• Sie entscheiden jeden Anbieter einzeln: das Verbinden von Whoop verbindet nicht Oura, und umgekehrt.
• Sie können jederzeit trennen über Profil → Verbundene Gesundheit oder über das eigene Dashboard des Anbieters.
• Keine Werbe-Kennung wird mit dem Anbieter ausgetauscht; nur die OAuth-Tokens und Ihre Nutzer-ID des Anbieters werden in unserem Backend gespeichert.
• Wir importieren nicht die proprietären Scores des Anbieters (Whoop Recovery/Strain, Oura Readiness usw.) — nur die biometrischen Roh-Inputs.

Details zur Verantwortlichkeit nach DSGVO und zum Datenfluss finden Sie in der Datenschutzerklärung §4.A und in der Liste der Unterauftragsverarbeiter §3.

6. Verbundene Unterauftragsverarbeiter (nur wenn autorisiert)

Daten, die möglicherweise an Unterauftragsverarbeiter Dritter übermittelt werden (OpenAI für AI Coach, RevenueCat für Abonnements, Resend für Transaktions-E-Mails), erfolgen nie zu Werbe- oder Profilingzwecken. Siehe die Liste der Unterauftragsverarbeiter für vollständige Details.

7. Nutzerrechte

Ihre Entscheidungen zu den Einwilligungsschaltern können jederzeit unter Profil → Support, Datenschutz und Recht geändert werden. Um Absturzberichte vollständig zu deaktivieren:

1. Öffnen Sie Strenqo
2. Tippen Sie auf „Profil“
3. Erweitern Sie die Karte „Support, Datenschutz und Recht“
4. Deaktivieren Sie „Diagnose und Absturzbericht“

Beim nächsten Start nach der Deaktivierung wird das Sentry-SDK nicht mehr initialisiert.

8. Kontakte

• E-Mail: strenqo-support@strenqo.eu
• PEC: andreasmondo@ultracert.it