Datenschutzerklärung.
Stand: 10.06.2026
Verantwortlich für die Datenverarbeitung auf dieser Website ist:
2.1 Beim Besuch der Website
Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:
- —IP address of the requesting computer
- —Date and time of access
- —Name and URL of the retrieved file
- —Website from which access is made (referrer URL)
- —Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO
2.2 Bei einer Bestellung
TrackToPrint kann ohne Registrierung und ohne Anlegen eines Kundenkontos genutzt werden. Bei einer Bestellung erheben wir folgende Daten zur Vertragsabwicklung:
- —First and last name
- —Email address
- —Liefer- und ggf. Rechnungsadresse
- —Bestelldetails (Produkt, Format, Preis, Bestelldatum)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
2.3 Bei der Erstellung von Postern aus GPX-Dateien
Kern unseres Dienstes ist die Erstellung personalisierter Poster aus GPX-Dateien (GPS Exchange Format). Diese Dateien enthalten in der Regel:
- —Geografische Koordinaten (Längen- und Breitengrade) Ihrer Aktivität
- —Zeitstempel zu den einzelnen Trackpunkten
- —Optional: Höhendaten, Herzfrequenz, Trittfrequenz und weitere Sportmetriken
- —Optional: Name der Aktivität, Datum und Uhrzeit
Verarbeitung ausschließlich in Ihrem Browser: Die von Ihnen ausgewählte GPX-Datei wird nicht auf unsere Server hochgeladen. Das Parsen der Datei und die Generierung der Kartenvisualisierung erfolgen vollständig lokal in Ihrem Webbrowser auf Ihrem Endgerät.
Hinweis zu Standortdaten: GPX-Dateien enthalten detaillierte Bewegungsprofile, aus denen sich Aufenthaltsorte, gewohnheitsmäßige Strecken und ggf. der Wohnort ableiten lassen. Da die Verarbeitung ausschließlich lokal in Ihrem Browser erfolgt, verbleiben diese sensiblen Daten auf Ihrem Endgerät.
Erst im Moment der Bestellung wird das finale, gerenderte Poster als Bilddatei bzw. PDF an unseren Server übermittelt und von dort direkt an unseren Druckdienstleister weitergegeben. Die ursprüngliche GPX-Datei selbst verlässt Ihren Browser nicht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
2.4 Bei der Nutzung der Strava-Integration
Als Alternative zum manuellen Upload einer GPX-Datei bieten wir Ihnen die Möglichkeit, Ihr Strava-Konto mit TrackToPrint zu verbinden. Die Nutzung dieser Funktion ist optional.
Ablauf der Verbindung (OAuth 2.0): Nach Ihrer Zustimmung werden Sie zur Authentifizierung an Strava weitergeleitet. Wir fordern dabei die Berechtigungen read and activity:read_all an. Folgende Daten werden temporär gespeichert:
- —Strava-Athleten-ID (strava_id)
- —Access Token und Refresh Token
- —Ablaufzeitpunkt des Access Tokens
Wählen Sie eine Aktivität für ein Poster aus, werden die GPS-Daten temporär unter storage/public/gpx/ abgelegt und nach Verarbeitung bzw. spätestens nach 60 Minuten automatisch gelöscht.
Trennung der Verbindung: Sie können die Verbindung zu Strava jederzeit trennen. Dabei wird der Token bei Strava widerrufen und die genannten Felder werden gelöscht. Alternativ direkt in Ihren Strava-Kontoeinstellungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
- —Provision of the TrackToPrint service (poster configuration and creation)
- —Processing of orders, including payment and dispatch
- —Sending transactional emails (order confirmation, dispatch notification, invoice)
- —Communication regarding your order
- —Compliance with statutory retention obligations (in particular Section 147 of the German Fiscal Code (AO) and Section 257 of the German Commercial Code (HGB))
- —Security, error analysis and service improvement
- — Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Strava-Verbindung)
- — Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Bereitstellung des Dienstes, Bestellabwicklung)
- — Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (Aufbewahrungspflichten)
- — Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Sicherheit, Fehleranalyse)
Your personal data will not be disclosed to third parties for any purposes other than those set out below.
Hosting (Hetzner)
Our server infrastructure is operated by Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany. Die Verarbeitung erfolgt ausschließlich in deutschen und finnischen Rechenzentren (EU/EWR). Hetzner ist zertifiziert nach ISO 27001.
Data backup (Hetzner Storage Share)
Zur Sicherung der gespeicherten Daten führen wir täglich automatisierte Backups durch. Die Backup-Daten werden verschlüsselt übertragen und in einem Nextcloud Storage Share der Hetzner Online GmbH gespeichert. Backup-Dateien werden nach 30 Tagen automatisch gelöscht.
Printing and dispatch (Gelato)
Für die Produktion und den Versand nutzen wir Gelato ASA, Schweigaards gate 33, 0191 Oslo, Norwegen. An Gelato werden Name, Lieferadresse, E-Mail und die fertige Poster-Datei (PDF) übermittelt. Die ursprünglichen GPX-Daten werden nicht an Gelato übermittelt. Norwegen ist Teil des EWR.
Map display (Mapbox)
Zur Darstellung der interaktiven Vorschau nutzen wir Mapbox, Inc., Washington, D.C., USA. Beim Aufruf des Konfigurators werden IP-Adresse, Kartenausschnitte und Browser-Informationen an Mapbox übermittelt. Mapbox ist im Rahmen des EU-US Data Privacy Framework (DPF) zertifiziert.
Email delivery (Brevo)
Für den Versand transaktionaler E-Mails nutzen wir Brevo (Sendinblue GmbH), Köpenicker Straße 126, 10179 Berlin. Brevo verarbeitet E-Mail-Adressen sowie Inhalte der versendeten E-Mails ausschließlich auf Servern innerhalb der EU.
Payment processing (Mollie)
Für die Abwicklung von Zahlungen nutzen wir Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam. Mollie verarbeitet je nach Zahlungsmethode Name, E-Mail, Rechnungsadresse sowie zahlungsspezifische Daten. Wir selbst erhalten keinen Zugriff auf vollständige Kreditkartendaten.
Error monitoring (Sentry)
Zur Erkennung technischer Fehler nutzen wir Sentry (EU-Region de.sentry.io). Die Verarbeitung erfolgt in Rechenzentren innerhalb der EU. Wir nutzen send_default_pii = false — es werden weder IP-Adressen noch Nutzer-IDs übermittelt.
Strava integration
If you use the optional Strava integration, data will be exchanged with Strava, Inc., San Francisco, CA 94103, USA. Strava ist im Rahmen des EU-US Data Privacy Framework (DPF) zertifiziert. Die Datenübermittlung erfolgt erst nach Ihrer ausdrücklichen Zustimmung im OAuth-Flow. strava.com/legal/privacy
Wir setzen auf unserer Website technisch notwendige Cookies ein. Wir verwenden folgende Arten von Cookies:
- — Session-Cookies: For registration, the shopping basket and use of the configurator (technically necessary)
- — CSRF-Token: To protect against cross-site request forgery attacks (technically necessary)
- — Cookies des Zahlungsdienstleisters: Mollie may set its own cookies for fraud prevention purposes during the payment process
Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- — Right to information (Art. 15 DSGVO)
- — Right to rectification (Art. 16 DSGVO)
- — Right to erasure (Art. 17 DSGVO)
- — Right to restriction of processing (Art. 18 DSGVO)
- — Right to data portability (Art. 20 DSGVO)
- — Right to object (Art. 21 DSGVO)
- — Right to withdraw consent (Art. 7 Abs. 3 DSGVO)
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig: Berlin Commissioner for Data Protection and Freedom of Information, Alt-Moabit 59–61, 10555 Berlin.
Wir verwenden innerhalb des Website-Besuchs das verbreitete SSL-Verfahren in Verbindung mit der jeweils höchsten Verschlüsselungsstufe, die von Ihrem Browser unterstützt wird. Alle Daten werden verschlüsselt übertragen.
Sensible Daten wie Strava-Tokens werden verschlüsselt in unserer Datenbank gespeichert. Eingaben von Zahlungsdaten erfolgen ausschließlich direkt bei unserem Zahlungsdienstleister (Mollie); wir selbst erhalten keinen Zugriff auf vollständige Kreditkarten- oder Kontodaten.
We will only retain your personal data for as long as is necessary to fulfil the purposes for which it was collected or for as long as statutory retention periods apply.
- — Bestellerdaten (Name, Adresse, E-Mail): Dauer der Bestellabwicklung + gesetzliche Aufbewahrungspflichten
- — GPX-Dateien (manuell hochgeladen): Ausschließlich im Browser, nicht auf unseren Servern
- — GPX-Dateien (aus Strava generiert): Temporär, Löschung nach Verarbeitung, spätestens nach 60 Minuten
- — Strava OAuth-Tokens: Dauer der Browser-Session bzw. bis zur aktiven Trennung
- — Bestelldaten und Rechnungen: 10 years in accordance with section 147 of the German Fiscal Code (AO) and section 257 of the German Commercial Code (HGB)
- — Logfiles: Maximal 14 Tage
- — Fehlerprotokolle (Sentry): Maximal 90 Tage
- — Backup-Daten: 30 days
We reserve the right to amend this privacy policy to ensure that it always complies with current legal requirements or to reflect changes to our services. The new privacy policy will then apply to your next visit.
If you have any questions regarding the collection, processing or use of your personal data, or if you wish to request information, correction, restriction or erasure of data, please contact:
support@tracktoprint.comStand: 10.06.2026