Informativa sulla privacy

Stand: 04.06.2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Jens Freudenau
Eisenacher Straße 66
10823 Berlin
Germania

E-Mail: support@tracktoprint.com

2. Erhebung und Speicherung personenbezogener Daten

2.1 Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sog. Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

  • Indirizzo IP del computer richiedente
  • Data e ora dell'accesso
  • Nome e URL del file scaricato
  • Sito web dal quale avviene l'accesso (URL di provenienza)
  • Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb der Website).

2.2 Bei einer Bestellung

TrackToPrint kann ohne Registrierung und ohne Anlegen eines Kundenkontos genutzt werden. Bei einer Bestellung erheben wir folgende Daten zur Vertragsabwicklung:

  • Nome e cognome
  • Indirizzo e-mail
  • Liefer- und ggf. Rechnungsadresse
  • Bestelldetails (Produkt, Format, Preis, Bestelldatum)

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.3 Bei der Erstellung von Postern aus GPX-Dateien

Kern unseres Dienstes ist die Erstellung personalisierter Poster aus GPX-Dateien (GPS Exchange Format). Diese Dateien enthalten in der Regel:

  • Geografische Koordinaten (Längen- und Breitengrade) Ihrer Aktivität
  • Zeitstempel zu den einzelnen Trackpunkten
  • Optional: Höhendaten, Herzfrequenz, Trittfrequenz und weitere Sportmetriken
  • Optional: Name der Aktivität, Datum und Uhrzeit

Verarbeitung ausschließlich in Ihrem Browser: Die von Ihnen ausgewählte GPX-Datei wird <strong>nicht auf unsere Server hochgeladen</strong>. Das Parsen der Datei und die Generierung der Kartenvisualisierung erfolgen vollständig lokal in Ihrem Webbrowser auf Ihrem Endgerät. Wir erhalten zu keinem Zeitpunkt Zugriff auf Ihre vollständigen GPX-Daten oder das daraus resultierende Bewegungsprofil.

Hinweis zu Standortdaten: GPX-Dateien enthalten detaillierte Bewegungsprofile, aus denen sich Aufenthaltsorte, gewohnheitsmäßige Strecken und ggf. der Wohnort ableiten lassen. Da die Verarbeitung ausschließlich lokal in Ihrem Browser erfolgt, verbleiben diese sensiblen Daten auf Ihrem Endgerät.

Erst im Moment der Bestellung wird das finale, gerenderte Poster als Bilddatei bzw. PDF an unseren Server übermittelt und von dort direkt an unseren Druckdienstleister (siehe Abschnitt 5 – Gelato) weitergegeben. Die ursprüngliche GPX-Datei selbst verlässt Ihren Browser nicht.

Beim Aufruf des Konfigurators werden zur Darstellung der Karte technisch notwendige Daten an den Kartendienst Mapbox übermittelt (siehe Abschnitt 5 – Mapbox).

Rechtsgrundlage für die Übermittlung des fertigen Posters zur Bestellabwicklung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.4 Bei der Nutzung der Strava-Integration

Als Alternative zum manuellen Upload einer GPX-Datei bieten wir Ihnen die Möglichkeit, Ihr Strava-Konto mit TrackToPrint zu verbinden, um Aktivitäten direkt aus Strava als Grundlage für Ihr Poster zu verwenden. Die Nutzung dieser Funktion ist optional.

Ablauf der Verbindung (OAuth 2.0): Nach Ihrer Zustimmung werden Sie zur Authentifizierung an Strava weitergeleitet. Wir fordern dabei die Berechtigungen <code>read</code> und <code>activity:read_all</code> an, um Ihre Aktivitäten lesen zu können. Nach erfolgreicher Autorisierung erhalten wir von Strava einen Access Token und einen Refresh Token. Folgende Daten werden temporär gespeichert und mit Ihrer aktuellen Browser-Session verknüpft:

  • Strava-Athleten-ID (strava_id)
  • Access Token und Refresh Token
  • Ablaufzeitpunkt des Access Tokens

Abruf von Aktivitäten: Nach erfolgreicher Verbindung rufen wir Ihre Aktivitätsliste live über die Strava-API ab (/athlete/activities). Diese Liste wird nicht dauerhaft gespeichert, sondern nur im Arbeitsspeicher zur Anzeige im Konfigurator gehalten.

Import einer Aktivität: Wählen Sie eine Aktivität für ein Poster aus, laden wir über die Strava Streams API die GPS-Koordinaten, Zeitstempel, Höhendaten und Distanzwerte der ausgewählten Aktivität. Aus diesen Daten generieren wir eine GPX-Datei, die <strong>temporär</strong> unter <code>storage/public/gpx/</code> abgelegt wird. Diese Datei wird gelöscht, sobald Ihr Browser sie geladen und verarbeitet hat. Zusätzlich löscht ein stündlicher Cronjob alle Strava-GPX-Dateien, die älter als 60 Minuten sind. Die rohen JSON-Daten von Strava werden zu keinem Zeitpunkt persistent gespeichert.

Die weitere Verarbeitung erfolgt anschließend wie unter Abschnitt 2.3 beschrieben (Kartenrendering im Browser, Übermittlung des fertigen Posters bei Bestellung).

Trennung der Verbindung: Sie können die Verbindung zu Strava jederzeit trennen. Dabei wird der Token bei Strava widerrufen (<code>/oauth/deauthorize</code>) und die oben genannten Felder werden gelöscht. Alternativ können Sie den Zugriff auch direkt in Ihren <a href="https://www.strava.com/settings/apps" target="_blank" rel="noopener">Strava-Kontoeinstellungen</a> widerrufen. Eine Trennung erfolgt zudem automatisch mit Ablauf Ihrer Browser-Session.

La base giuridica per Strava OAuth è l'art. 6, par. 1, lett. a) del RGPD (consenso), in virtù dell'autorizzazione da Lei fornita nel flusso OAuth, nonché l'art. 6, par. 1, lett. b) del RGPD (adempimento del contratto) per la successiva creazione del post. Puoi revocare il tuo consenso in qualsiasi momento interrompendo la connessione con effetto per il futuro.

3. Finalità del trattamento dei dati

Trattiamo i vostri dati personali per le seguenti finalità:

  • Fornitura del servizio TrackToPrint (configurazione e creazione di poster)
  • Gestione degli ordini, compresi il pagamento e la spedizione
  • Invio di e-mail transazionali (conferma d'ordine, avviso di spedizione, fattura)
  • Comunicazioni relative al tuo ordine
  • Adempimento degli obblighi di conservazione previsti dalla legge (in particolare l'art. 147 del Codice tributario tedesco [AO] e l'art. 257 del Codice commerciale tedesco [HGB])
  • Sicurezza, analisi degli errori e miglioramento del nostro servizio

4. Basi giuridiche

Il trattamento dei Suoi dati avviene sulla base dei seguenti fondamenti giuridici:

  • Art. 6 Abs. 1 lit. a DSGVO – Consenso (ad es. collegamento a Strava)
  • Art. 6 Abs. 1 lit. b DSGVO – Adempimento del contratto (fornitura del servizio, gestione degli ordini)
  • Art. 6 Abs. 1 lit. c DSGVO – Obbligo di legge (obblighi di conservazione)
  • Art. 6 Abs. 1 lit. f DSGVO – Interesse legittimo (sicurezza, analisi degli errori)

5. Trasmissione dei dati a terzi e a responsabili del trattamento

I vostri dati personali non saranno trasmessi a terzi per finalità diverse da quelle di seguito indicate.

Hosting (Hetzner)

La nostra infrastruttura server è gestita da Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germania.

Il trattamento dei dati personali avviene esclusivamente in centri di elaborazione dati situati in Germania e in Finlandia, ovvero all'interno dell'UE e del SEE. Il trattamento avviene sulla base di un contratto di incarico ai sensi dell'art. 28 del GDPR. Hetzner è certificata secondo la norma ISO 27001 (sicurezza delle informazioni).

La base giuridica di Hetzner è costituita dall'art. 6, par. 1, lett. b del RGPD (adempimento del contratto) e dall'art. 6, par. 1, lett. f del RGPD (interesse legittimo al funzionamento sicuro del servizio). Ulteriori informazioni: https://www.hetzner.com/de/legal/privacy-policy

Backup dei dati (Hetzner Storage Share)

Per garantire la sicurezza dei dati archiviati, eseguiamo quotidianamente backup automatici. I dati di backup vengono trasmessi in forma crittografata e archiviati in una condivisione di Nextcloud Storage della Hetzner Online GmbH. L'archiviazione avviene esclusivamente in data center situati in Germania e in Finlandia.

I backup servono esclusivamente al ripristino in caso di perdita dei dati e non vengono utilizzati per altri scopi. I file di backup vengono cancellati automaticamente dopo 30 giorni. La base giuridica è l'art. 6, comma 1, lett. f del RGPD (interesse legittimo alla sicurezza dei dati).

Stampa e spedizione (Gelato)

Per la produzione e la spedizione dei poster ordinati ci avvaliamo del servizio di stampa su richiesta Gelato Gelato ASA, Schweigaards gate 33, 0191 Oslo, Norvegia.}

Per l'elaborazione dell'ordine vengono trasmessi a Gelato i seguenti dati:

  • Nome e indirizzo di consegna del destinatario
  • Indirizzo e-mail (per le notifiche di spedizione)
  • Dettagli dell'ordine (formato, materiale, quantità)
  • Il file del poster già renderizzato (PDF)

I dati GPX originali vengono no trasmessi a Gelato. Gelato produce i poster in centri di stampa regionali all’interno dell’UE, purché ciò sia logisticamente possibile. La Norvegia fa parte del SEE; per i trasferimenti si applica lo stesso livello di protezione dei dati previsto all’interno dell’UE.

La base giuridica per Gelato è l'art. 6, par. 1, lett. b del RGPD (adempimento del contratto). Il trattamento avviene sulla base di un contratto di incarico ai sensi dell'art. 28 del RGPD. Ulteriori informazioni: https://www.gelato.com/legal/privacy-policy

Visualizzazione della mappa (Mapbox)

Per visualizzare l'anteprima interattiva nel configuratore di poster utilizziamo il servizio di mappe Mapbox Mapbox, Inc., 740 15th Street NW, 5° piano, Washington, D.C. 20005, Stati Uniti.}

All'apertura del configuratore vengono caricati i riquadri della mappa dai server Mapbox. In tale occasione vengono trasmessi a Mapbox i dati tecnicamente necessari, in particolare:

  • Indirizzo IP
  • Sezioni cartografiche richieste (coordinate dell'area visualizzata)
  • Informazioni sul browser e sul dispositivo (User-Agent)

Mapbox nell'ambito del Quadro UE-USA sulla protezione dei dati (DPF) certificato, il quale garantisce un livello adeguato di protezione dei dati per i trasferimenti verso gli Stati Uniti ai sensi dell'art. 45 del RGPD. Sono inoltre in vigore le clausole standard di protezione dei dati ai sensi dell'art. 46, comma 2, lett. c) del RGPD.

La base giuridica per Mapbox è costituita dall'art. 6, comma 1, lett. f del RGPD (interesse legittimo alla visualizzazione funzionale delle mappe) nonché dall'art. 6, comma 1, lett. b del RGPD in caso di utilizzo del configuratore nell'ambito di un ordine. Ulteriori informazioni: https://www.mapbox.com/legal/privacy

Invio di e-mail (Brevo)

Per l'invio di e-mail transazionali (ad es. conferme d'ordine, notifiche di spedizione) utilizziamo il servizio Brevo Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlino, Germania.}

A tal fine, Brevo tratta gli indirizzi e-mail e i contenuti delle e-mail inviate (ad es. nome del destinatario, dettagli dell'ordine). Il trattamento avviene esclusivamente su server situati all'interno dell'UE.

La base giuridica per Brevo è l'art. 6, par. 1, lett. b del RGPD (adempimento del contratto). Il trattamento avviene sulla base di un contratto di incarico ai sensi dell'art. 28 del RGPD. Il contratto di incarico è disponibile come allegato alle condizioni d'uso di Brevo: https://www.brevo.com/legal/termsofuse/#annex

Gestione dei pagamenti (Mollie)

Per l'elaborazione dei pagamenti utilizziamo il servizio Mollie Mollie B.V., Keizersgracht 126, 1015 CW Amsterdam, Paesi Bassi.}

A seconda del metodo di pagamento scelto (ad es. addebito diretto SEPA, bonifico immediato, PayPal, carta di credito), Mollie tratta il nome, l'indirizzo e-mail, l'indirizzo di fatturazione e i dati necessari per la rispettiva modalità di pagamento. L'inserimento dei dati di pagamento sensibili avviene direttamente presso Mollie; noi non abbiamo accesso ai dati completi della carta di credito. Il trattamento avviene all'interno dell'UE.

La base giuridica per Mollie è l'art. 6, par. 1, lett. b del RGPD (adempimento del contratto). Il trattamento avviene sulla base di un contratto di incarico ai sensi dell'art. 28 del RGPD. Ulteriori informazioni: https://www.mollie.com/de/privacy

Monitoraggio degli errori (Sentry)

Per individuare e risolvere i problemi tecnici utilizziamo il servizio Sentry Functional Software, Inc., operante con il nome commerciale Sentry, 45 Fremont Street, 8° piano, San Francisco, CA 94105, Stati Uniti.}

Utilizziamo esclusivamente il Regione UE di Sentry (de.sentry.io). Il trattamento e la conservazione dei dati relativi agli errori avvengono in centri di elaborazione dati situati all'interno dell'Unione Europea. Durante il normale funzionamento non viene effettuato alcun trasferimento di dati verso gli Stati Uniti.

Sentry raccoglie automaticamente le informazioni tecniche quando si verifica un errore nella nostra applicazione. Tra queste figurano in particolare:

  • Messaggio di errore tecnico e traccia dello stack
  • URL della pagina visitata
  • Informazioni sul browser e sul dispositivo (User-Agent)
  • Data e ora dell'errore

Abbiamo configurato Sentry in modo tale che, per impostazione predefinita, non vengano raccolti dati personali (opzione send_default_pii = false). In particolare, a Sentry non vengono trasmessi né l'indirizzo IP dell'utente, né gli ID utente registrati, né i contenuti dei cookie o dei corpi delle richieste.

La base giuridica per Sentry è l'art. 6, par. 1, lett. f del RGPD (interesse legittimo a garantire un funzionamento stabile e privo di errori dell'applicazione). Il trattamento avviene sulla base di un contratto di incarico ai sensi dell'art. 28 del RGPD. Ulteriori informazioni: https://sentry.io/privacy/

Integrazione con Strava

Se si utilizza l'integrazione opzionale con Strava, si verifica uno scambio di dati con Strava, Inc., 3rd Floor, 208 Utah Street, San Francisco, CA 94103, USA.

Strava agisce in questo contesto come titolare autonomo del trattamento dei dati all'interno della propria piattaforma; l'utente ha un rapporto contrattuale diretto con Strava e ha accettato la relativa informativa sulla privacy. Nell'ambito dell'integrazione vengono scambiati i seguenti dati:

  • Da noi a Strava: Richieste di autenticazione OAuth con il nostro ID client
  • Da Strava a noi: ID atleta Strava, token di accesso/aggiornamento, elenco delle attività e – per l'attività selezionata – coordinate GPS, data e ora, dati relativi all'altitudine e alla distanza

La trasmissione dei dati a Strava avviene solo dopo che l'utente ha espressamente acconsentito nell'ambito della procedura OAuth. Strava tratta i dati negli Stati Uniti. Strava è soggetta al Quadro UE-USA sulla protezione dei dati (DPF) certificato, il quale garantisce un livello adeguato di protezione dei dati per i trasferimenti verso gli Stati Uniti ai sensi dell'art. 45 del GDPR.

La base giuridica dell'integrazione con Strava è l'art. 6, par. 1, lett. a del RGPD (consenso). È possibile revocare tale consenso in qualsiasi momento disattivando il collegamento nel configuratore o direttamente nel proprio Impostazioni Strava revocare.

Ulteriori informazioni sulla protezione dei dati su Strava: https://www.strava.com/legal/privacy

6. Cookie

Sul nostro sito web utilizziamo i cookie. Si tratta di piccoli file che il browser crea automaticamente e salva sul dispositivo dell'utente. I cookie non causano alcun danno al dispositivo e non contengono virus.

Utilizziamo i seguenti tipi di cookie:

  • Cookie di sessione: Per la registrazione, il carrello e l'utilizzo del configuratore (tecnicamente necessario)
  • Token CSRF: Per proteggersi dagli attacchi di tipo Cross-Site Request Forgery (necessario dal punto di vista tecnico)
  • Cookie del fornitore di servizi di pagamento: Durante la procedura di pagamento, Mollie può impostare i propri cookie a scopo di prevenzione delle frodi

La base giuridica per i cookie tecnicamente necessari è costituita dall'articolo 25, paragrafo 2, punto 2, della TDDDG in combinato disposto con l'articolo 6, paragrafo 1, lettera f), del GDPR.

7. I vostri diritti

Lei gode dei seguenti diritti nei nostri confronti in relazione ai dati personali che La riguardano:

  • Diritto di accesso (Art. 15 DSGVO)
  • Diritto di rettifica (Art. 16 DSGVO)
  • Diritto alla cancellazione (Art. 17 DSGVO)
  • Diritto alla limitazione del trattamento (Art. 18 DSGVO)
  • Diritto alla portabilità dei dati (Art. 20 DSGVO)
  • Diritto di opposizione (Art. 21 DSGVO)
  • Diritto di revoca del consenso prestato (Art. 7 Abs. 3 DSGVO)

Avete inoltre il diritto di presentare un reclamo presso un'autorità di controllo competente in materia di protezione dei dati in merito al trattamento dei vostri dati personali da parte nostra. L'autorità di controllo competente per noi è la Responsabile per la protezione dei dati e la libertà di informazione di Berlino, Alt-Moabit 59-61, 10555 Berlin.

8. Sicurezza dei dati

Durante la navigazione sul sito web utilizziamo il diffuso protocollo SSL (Secure Socket Layer) in combinazione con il livello di crittografia più elevato supportato dal vostro browser. Tutti i dati vengono trasmessi in forma crittografata.

I dati sensibili, come i token Strava, vengono memorizzati in forma crittografata nel nostro database. L'inserimento dei dati di pagamento avviene esclusivamente tramite il nostro fornitore di servizi di pagamento (vedi sezione 5 – Mollie); noi non abbiamo alcun accesso ai dati completi delle carte di credito o dei conti bancari.

9. Periodo di conservazione

Conserviamo i tuoi dati personali solo per il tempo necessario al raggiungimento delle finalità previste o per il periodo previsto dai termini di conservazione previsti dalla legge.

  • Dati dell'acquirente (nome, indirizzo, e-mail): nell'ambito dell'elaborazione degli ordini e per tutta la durata degli obblighi di conservazione previsti dalla legge
  • File GPX (caricati manualmente): vengono trattati esclusivamente nel browser dell'utente e non vengono memorizzati sui nostri server
  • File GPX (generati da Strava): memorizzati temporaneamente; cancellazione dopo l'elaborazione da parte del browser, al più tardi dopo 60 minuti tramite un cronjob orario
  • Token OAuth di Strava: solo per la durata della sessione del browser o fino alla disconnessione attiva da parte dell'utente
  • File dei poster renderizzati: vengono trasmessi a Gelato ai fini dell'evasione dell'ordine e conservati, nell'ambito degli obblighi di conservazione previsti dal diritto commerciale, come parte integrante della documentazione relativa all'ordine
  • Dati dell'ordine e fatture: 10 anni ai sensi dell'articolo 147 del Codice fiscale tedesco (AO) e dell'articolo 257 del Codice commerciale tedesco (HGB)
  • File di log: di norma al massimo 14 giorni
  • Log degli errori (Sentry): al massimo 90 giorni
  • Dati di backup: 30 giorni

Alla scadenza del termine previsto, i dati saranno cancellati, a meno che non sussistano ulteriori obblighi di conservazione previsti dalla legge.

10. Modifiche alla presente informativa sulla privacy

Ci riserviamo il diritto di modificare la presente informativa sulla privacy affinché sia sempre conforme alle disposizioni di legge vigenti o per adeguare i nostri servizi alle eventuali modifiche. In caso di una vostra nuova visita, si applicherà la nuova informativa sulla privacy.

11. Contatti

Per qualsiasi domanda relativa alla raccolta, al trattamento o all'utilizzo dei Suoi dati personali, nonché per richieste di informazioni, rettifica, blocco o cancellazione dei dati, La preghiamo di rivolgersi a:

E-Mail: support@tracktoprint.com