Politique de Confidentialité

Stand: 29.05.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Jens Freudenau
Eisenacher Straße 66
10823 Berlin
Allemagne

2. Erhebung und Speicherung personenbezogener Daten

2.1 Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

Adresse IP de l'ordinateur demandeur
Date et heure d'accès
Nom et URL du fichier consulté
Site web à partir duquel l'accès est effectué (URL de référence)
Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website).

2.2 Bei einer Bestellung

TrackToPrint kann ohne Registrierung und ohne Anlegen eines Kundenkontos genutzt werden. Bei einer Bestellung erheben wir folgende Daten zur Vertragsabwicklung:

Prénom et nom
Adresse e-mail
Liefer- und ggf. Rechnungsadresse
Bestelldetails (Produkt, Format, Preis, Bestelldatum)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Bei der Erstellung von Postern aus GPX-Dateien

Kern unseres Dienstes ist die Erstellung personalisierter Poster aus GPX-Dateien (GPS Exchange Format). Diese Dateien enthalten in der Regel:

Geografische Koordinaten (Längen- und Breitengrade) Ihrer Aktivität
Zeitstempel zu den einzelnen Trackpunkten
Optional: Höhendaten, Herzfrequenz, Trittfrequenz und weitere Sportmetriken
Optional: Name der Aktivität, Datum und Uhrzeit

Verarbeitung ausschließlich in Ihrem Browser: Die von Ihnen ausgewählte GPX-Datei wird <strong>nicht auf unsere Server hochgeladen</strong>. Das Parsen der Datei und die Generierung der Kartenvisualisierung erfolgen vollständig lokal in Ihrem Webbrowser auf Ihrem Endgerät. Wir erhalten zu keinem Zeitpunkt Zugriff auf Ihre vollständigen GPX-Daten oder das daraus resultierende Bewegungsprofil.

Hinweis zu Standortdaten: GPX-Dateien enthalten detaillierte Bewegungsprofile, aus denen sich Aufenthaltsorte, gewohnheitsmäßige Strecken und ggf. der Wohnort ableiten lassen. Da die Verarbeitung ausschließlich lokal in Ihrem Browser erfolgt, verbleiben diese sensiblen Daten auf Ihrem Endgerät.

Erst im Moment der Bestellung wird das finale, gerenderte Poster als Bilddatei bzw. PDF an unseren Server übermittelt und von dort direkt an unseren Druckdienstleister (siehe Abschnitt 5 – Gelato) weitergegeben. Die ursprüngliche GPX-Datei selbst verlässt Ihren Browser nicht.

Beim Aufruf des Konfigurators werden zur Darstellung der Karte technisch notwendige Daten an den Kartendienst Mapbox übermittelt (siehe Abschnitt 5 – Mapbox).

Rechtsgrundlage für die Übermittlung des fertigen Posters zur Bestellabwicklung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.4 Bei der Nutzung der Strava-Integration

Als Alternative zum manuellen Upload einer GPX-Datei bieten wir Ihnen die Möglichkeit, Ihr Strava-Konto mit TrackToPrint zu verbinden, um Aktivitäten direkt aus Strava als Grundlage für Ihr Poster zu verwenden. Die Nutzung dieser Funktion ist optional.

Ablauf der Verbindung (OAuth 2.0): Nach Ihrer Zustimmung werden Sie zur Authentifizierung an Strava weitergeleitet. Wir fordern dabei die Berechtigungen <code>read</code> und <code>activity:read_all</code> an, um Ihre Aktivitäten lesen zu können. Nach erfolgreicher Autorisierung erhalten wir von Strava einen Access Token und einen Refresh Token. Folgende Daten werden temporär gespeichert und mit Ihrer aktuellen Browser-Session verknüpft:

Strava-Athleten-ID (strava_id)
Access Token und Refresh Token
Ablaufzeitpunkt des Access Tokens

Abruf von Aktivitäten: Nach erfolgreicher Verbindung rufen wir Ihre Aktivitätsliste live über die Strava-API ab (/athlete/activities). Diese Liste wird nicht dauerhaft gespeichert, sondern nur im Arbeitsspeicher zur Anzeige im Konfigurator gehalten.

Import einer Aktivität: Wählen Sie eine Aktivität für ein Poster aus, laden wir über die Strava Streams API die GPS-Koordinaten, Zeitstempel, Höhendaten und Distanzwerte der ausgewählten Aktivität. Aus diesen Daten generieren wir eine GPX-Datei, die <strong>temporär</strong> unter <code>storage/public/gpx/</code> abgelegt wird. Diese Datei wird gelöscht, sobald Ihr Browser sie geladen und verarbeitet hat. Zusätzlich löscht ein stündlicher Cronjob alle Strava-GPX-Dateien, die älter als 60 Minuten sind. Die rohen JSON-Daten von Strava werden zu keinem Zeitpunkt persistent gespeichert.

Die weitere Verarbeitung erfolgt anschließend wie unter Abschnitt 2.3 beschrieben (Kartenrendering im Browser, Übermittlung des fertigen Posters bei Bestellung).

Trennung der Verbindung: Sie können die Verbindung zu Strava jederzeit trennen. Dabei wird der Token bei Strava widerrufen (<code>/oauth/deauthorize</code>) und die oben genannten Felder werden gelöscht. Alternativ können Sie den Zugriff auch direkt in Ihren <a href="https://www.strava.com/settings/apps" target="_blank" rel="noopener">Strava-Kontoeinstellungen</a> widerrufen. Eine Trennung erfolgt zudem automatisch mit Ablauf Ihrer Browser-Session.

La base juridique de Strava OAuth est l'article 6, paragraphe 1, point a) du RGPD (consentement), par le biais de votre autorisation dans le flux OAuth, ainsi que l'article 6, paragraphe 1, point b) du RGPD (exécution du contrat) pour la création ultérieure de l'affiche. Vous pouvez retirer votre consentement à tout moment en vous déconnectant, avec effet pour l'avenir.

3. Finalités du traitement des données

Nous traitons vos données à caractère personnel aux fins suivantes :

Mise à disposition du service TrackToPrint (configuration et création d'affiches)
Traitement des commandes, y compris le paiement et l'expédition
Envoi d'e-mails transactionnels (confirmation de commande, avis d'expédition, facture)
Communications concernant votre commande
Respect des obligations légales de conservation (notamment l'article 147 du Code fiscal allemand (AO) et l'article 257 du Code de commerce allemand (HGB))
Sécurité, analyse des erreurs et amélioration de notre service

4. Bases juridiques

Le traitement de vos données repose sur les bases juridiques suivantes :

Art. 6 Abs. 1 lit. a DSGVO – Consentement (par exemple, connexion Strava)
Art. 6 Abs. 1 lit. b DSGVO – Exécution du contrat (fourniture du service, traitement de la commande)
Art. 6 Abs. 1 lit. c DSGVO – Obligation légale (obligations de conservation)
Art. 6 Abs. 1 lit. f DSGVO – Intérêt légitime (sécurité, analyse des erreurs)

5. Transmission de données à des tiers et à des sous-traitants

Vos données personnelles ne seront pas transmises à des tiers à des fins autres que celles énumérées ci-dessous.

Hébergement (Hetzner)

Notre infrastructure serveur est gérée par Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Allemagne.

Le traitement des données à caractère personnel s'effectue exclusivement dans des centres de données situés en Allemagne et en Finlande, c'est-à-dire au sein de l'UE ou de l'EEE. Ce traitement s'effectue sur la base d'un contrat de sous-traitance conformément à l'article 28 du RGPD. Hetzner est certifié ISO 27001 (sécurité de l'information).

La base juridique pour Hetzner est l'article 6, paragraphe 1, point b) du RGPD (exécution du contrat) ainsi que l'article 6, paragraphe 1, point f) du RGPD (intérêt légitime à l'exploitation sécurisée du service). Pour plus d'informations : https://www.hetzner.com/de/legal/privacy-policy

Sauvegarde des données (Hetzner Storage Share)

Afin de sécuriser les données enregistrées, nous effectuons quotidiennement des sauvegardes automatisées. Les données sauvegardées sont transmises sous forme cryptée et stockées dans un espace de stockage Nextcloud de la société Hetzner Online GmbH. Le stockage s'effectue exclusivement dans des centres de données situés en Allemagne et en Finlande.

Les sauvegardes servent exclusivement à la restauration des données en cas de perte et ne sont pas utilisées à d'autres fins. Les fichiers de sauvegarde sont automatiquement supprimés au bout de 30 jours. La base juridique est l'article 6, paragraphe 1, point f) du RGPD (intérêt légitime à la sécurité des données).

Impression et expédition (Gelato)

Pour la production et l'expédition des posters commandés, nous faisons appel au service d'impression à la demande Gelato Gelato ASA, Schweigaards gate 33, 0191 Oslo, Norvège.}

Les données suivantes sont transmises à Gelato dans le cadre du traitement des commandes :

Nom et adresse de livraison du destinataire
Adresse e-mail (pour les notifications d'expédition)
Détails de la commande (format, matériau, quantité)
Le fichier de l'affiche finalisé (PDF)

Les données GPX d'origine sont pas transmises à Gelato. Gelato fait imprimer les affiches dans des centres d'impression régionaux situés au sein de l'UE, dans la mesure où cela est possible d'un point de vue logistique. La Norvège fait partie de l'EEE ; les transferts de données bénéficient du même niveau de protection des données qu'au sein de l'UE.

La base juridique pour Gelato est l'article 6, paragraphe 1, point b) du RGPD (exécution du contrat). Le traitement est effectué sur la base d'un contrat de sous-traitance conformément à l'article 28 du RGPD. Pour plus d'informations : https://www.gelato.com/legal/privacy-policy

Affichage de la carte (Mapbox)

Pour afficher l'aperçu interactif dans le configurateur d'affiches, nous utilisons le service de cartographie Mapbox Mapbox, Inc., 740 15th Street NW, 5e étage, Washington, D.C. 20005, États-Unis.}

Lors du lancement du configurateur, des tuiles cartographiques sont chargées à partir des serveurs Mapbox. À cette occasion, certaines données techniques nécessaires sont transmises à Mapbox, notamment :

adresse IP
Extraits de carte demandés (coordonnées de la région affichée)
Informations sur le navigateur et l'appareil (User-Agent)

Mapbox, dans le cadre du Cadre de protection des données UE-États-Unis (DPF) certifié, ce qui garantit un niveau de protection des données adéquat pour les transferts vers les États-Unis conformément à l'article 45 du RGPD. De plus, des clauses types de protection des données ont été mises en place conformément à l'article 46, paragraphe 2, point c), du RGPD.

La base juridique pour Mapbox est l'article 6, paragraphe 1, point f) du RGPD (intérêt légitime à la mise à disposition d'une carte fonctionnelle) ainsi que l'article 6, paragraphe 1, point b) du RGPD en cas d'utilisation du configurateur dans le cadre d'une commande. Pour plus d'informations : https://www.mapbox.com/legal/privacy

Envoi d'e-mails (Brevo)

Pour l'envoi d'e-mails transactionnels (par exemple, confirmations de commande, notifications d'expédition), nous utilisons le service Brevo Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Allemagne.}

À cette fin, Brevo traite les adresses e-mail ainsi que le contenu des e-mails envoyés (par exemple, le nom du destinataire, les détails de la commande). Le traitement s'effectue exclusivement sur des serveurs situés au sein de l'UE.

La base juridique de Brevo est l'article 6, paragraphe 1, point b), du RGPD (exécution du contrat). Le traitement est effectué sur la base d'un contrat de sous-traitance conformément à l'article 28 du RGPD. Le contrat de sous-traitance est disponible en annexe des conditions d'utilisation de Brevo : https://www.brevo.com/legal/termsofuse/#annex

Traitement des paiements (Mollie)

Pour le traitement des paiements, nous utilisons le service Mollie Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Pays-Bas.}

En fonction du mode de paiement choisi (par exemple, prélèvement SEPA, virement bancaire instantané, PayPal, carte de crédit), Mollie traite le nom, l'adresse e-mail, l'adresse de facturation ainsi que les données requises pour le mode de paiement concerné. La saisie des données de paiement sensibles s'effectue directement auprès de Mollie ; nous n'avons nous-mêmes aucun accès aux données complètes de la carte de crédit. Le traitement a lieu au sein de l'UE.

La base juridique pour Mollie est l'article 6, paragraphe 1, point b) du RGPD (exécution du contrat). Le traitement est effectué sur la base d'un contrat de sous-traitance conformément à l'article 28 du RGPD. Pour plus d'informations : https://www.mollie.com/de/privacy

Surveillance des erreurs (Sentry)

Pour détecter et corriger les erreurs techniques, nous utilisons le service Sentry Functional Software, Inc., opérant sous le nom commercial Sentry, 45 Fremont Street, 8e étage, San Francisco, CA 94105, États-Unis.}

Nous utilisons exclusivement la Région UE de Sentry (de.sentry.io). Le traitement et le stockage des données d'erreur s'effectuent dans des centres de données situés au sein de l'Union européenne. En conditions normales d'exploitation, aucun transfert vers les États-Unis n'a lieu.

Sentry recueille automatiquement des informations techniques lorsqu'une erreur survient dans notre application. Il s'agit notamment :

Message d'erreur technique et trace de pile
URL de la page consultée
Informations sur le navigateur et l'appareil (User-Agent)
Heure de l'erreur

Nous avons configuré Sentry de manière à ce qu'aucune donnée à caractère personnel ne soit collectée par défaut (option send_default_pii = false). En particulier, ni l'adresse IP de l'utilisateur, ni les identifiants de connexion, ni le contenu des cookies ou des corps de requête ne sont transmis à Sentry.

La base juridique pour Sentry est l'article 6, paragraphe 1, point f) du RGPD (intérêt légitime à garantir un fonctionnement stable et sans faille de l'application). Le traitement est effectué sur la base d'un contrat de sous-traitance conformément à l'article 28 du RGPD. Pour plus d'informations : https://sentry.io/privacy/

Intégration Strava

Si vous utilisez l'intégration Strava en option, un échange de données a lieu avec Strava, Inc., 3rd Floor, 208 Utah Street, San Francisco, CA 94103, USA.

Strava agit en tant que responsable du traitement des données à part entière au sein de sa plateforme ; vous avez vous-même établi une relation contractuelle directe avec Strava et accepté sa propre politique de confidentialité. Dans le cadre de cette intégration, les données suivantes sont échangées :

De notre part à Strava : Demandes d'authentification OAuth avec notre identifiant client
De Strava à notre attention : Identifiant d'athlète Strava, jeton d'accès/de rafraîchissement, liste de vos activités et, pour l'activité sélectionnée, coordonnées GPS, horodatage, données d'altitude et de distance

Les données ne sont transmises à Strava qu'après que vous ayez donné votre consentement explicite dans le cadre du processus OAuth. Strava traite les données aux États-Unis. Strava est soumise au Cadre de protection des données UE-États-Unis (DPF) certifié, ce qui garantit un niveau de protection des données adéquat pour les transferts vers les États-Unis, conformément à l'article 45 du RGPD.

La base juridique de l'intégration de Strava est l'article 6, paragraphe 1, point a) du RGPD (consentement). Vous pouvez retirer ce consentement à tout moment en désactivant la connexion dans le configurateur ou directement dans votre Paramètres Strava révoquer.

Pour plus d'informations sur la protection des données chez Strava : https://www.strava.com/legal/privacy

6. Cookies

Nous utilisons des cookies sur notre site web. Il s'agit de petits fichiers que votre navigateur crée automatiquement et enregistre sur votre appareil. Les cookies ne causent aucun dommage à votre appareil et ne contiennent aucun virus.

Nous utilisons les types de cookies suivants :

Cookies de session : Pour la connexion, le panier et l'utilisation du configurateur (nécessaire d'un point de vue technique)
Jeton CSRF : Pour se protéger contre les attaques de type « Cross-Site Request Forgery » (nécessité technique)
Cookies du prestataire de services de paiement : Mollie peut installer ses propres cookies à des fins de prévention de la fraude pendant le processus de paiement

La base juridique des cookies techniquement nécessaires est l'article 25, paragraphe 2, point 2, de la loi allemande sur les télémédias (TDDDG), en liaison avec l'article 6, paragraphe 1, point f), du RGPD.

7. Vos droits

Vous disposez à notre égard des droits suivants concernant les données à caractère personnel vous concernant :

Droit à l'information (Art. 15 DSGVO)
Droit de rectification (Art. 16 DSGVO)
Droit à l'effacement (Art. 17 DSGVO)
Droit à la limitation du traitement (Art. 18 DSGVO)
Droit à la portabilité des données (Art. 20 DSGVO)
Droit d'opposition (Art. 21 DSGVO)
Droit de retirer un consentement donné (Art. 7 Abs. 3 DSGVO)

Vous avez également le droit de déposer une plainte auprès d'une autorité de contrôle de la protection des données concernant le traitement de vos données à caractère personnel par nos soins. L'autorité de contrôle compétente pour nous est la Commissaire berlinois à la protection des données et à la liberté d'information, Alt-Moabit 59-61, 10555 Berlin.

8. Sécurité des données

Lors de votre visite sur notre site web, nous utilisons le protocole SSL (Secure Socket Layer), largement répandu, associé au niveau de cryptage le plus élevé pris en charge par votre navigateur. Toutes les données sont transmises sous forme cryptée.

Les données sensibles, telles que les jetons Strava, sont stockées sous forme cryptée dans notre base de données. La saisie des données de paiement s'effectue exclusivement auprès de notre prestataire de services de paiement (voir section 5 – Mollie) ; nous n'avons nous-mêmes aucun accès aux données complètes de carte de crédit ou de compte bancaire.

9. Durée de conservation

Nous ne conservons vos données à caractère personnel que pendant la durée nécessaire à la réalisation des finalités prévues ou tant que des délais de conservation légaux s'appliquent.

Coordonnées du client (nom, adresse, e-mail) : dans le cadre du traitement des commandes ainsi que pendant la durée des obligations légales de conservation
Fichiers GPX (téléchargés manuellement) : sont traitées exclusivement dans le navigateur de l'utilisateur et ne sont pas enregistrées sur nos serveurs
Fichiers GPX (générés par Strava) : stockés temporairement, suppression après traitement par le navigateur, au plus tard après 60 minutes via une tâche cron horaire
Jetons OAuth Strava : uniquement pendant la durée de la session de navigation ou jusqu'à ce que l'utilisateur se déconnecte activement
Fichiers d'affiches finalisés : sont transmises à Gelato aux fins du traitement de la commande et conservées dans le cadre des obligations de conservation prévues par le droit commercial, en tant que partie intégrante de la documentation relative à la commande
Données de commande et factures : 10 ans, conformément à l'article 147 du Code général des impôts (AO) et à l'article 257 du Code de commerce allemand (HGB)
Fichiers journaux : en général, 14 jours au maximum
Journaux d'erreurs (Sentry) : 90 jours au maximum
Données de sauvegarde : 30 jours

À l'expiration du délai applicable, les données sont supprimées, sauf si d'autres obligations légales de conservation s'appliquent.

10. Modifications apportées à la présente politique de confidentialité

Nous nous réservons le droit de modifier la présente politique de confidentialité afin qu'elle soit toujours conforme aux exigences légales en vigueur ou pour tenir compte des changements apportés à nos services. La nouvelle politique de confidentialité s'appliquera alors lors de votre prochaine visite.

11. Contact

Pour toute question concernant la collecte, le traitement ou l'utilisation de vos données à caractère personnel, ou pour toute demande d'accès, de rectification, de blocage ou de suppression de données, veuillez vous adresser à :

E-Mail: support@tracktoprint.com