Privacy Policy / Datenschutzerklärung

Effective Date / Gültig ab: March 9, 2026

Privacy Policy (English)

1. Data Controller

The data controller responsible for this website is:

Sebastian Idelar
[Street and house number]
[Postal code City]
Germany
Email: sebidelar@gmail.com
Phone: [Insert phone number]

2. Introduction

footballstats.watch (“we”, “us”, “our”) provides football/soccer match analytics by analyzing GPS activity data from Strava. This Privacy Policy explains how we collect, use, store, and protect your personal data when you use our service.

This policy does not modify, conflict with, or supersede the Strava Privacy Policy, which controls in the event of any conflict.

3. Data We Collect & Legal Basis

When you connect your Strava account, we access the following data through the Strava API:

Profile Information

Your name (first and last)
Profile photo URL
Strava athlete ID

Legal basis: Contract performance (Art. 6(1)(b) GDPR) — necessary to create your account and provide the service.

Activity Data

Activity metadata: name, type, date, distance, duration, elevation, speed
GPS streams: latitude/longitude coordinates, timestamps
Performance streams: heart rate, cadence, velocity
Activity summary polylines (encoded route data)

Legal basis: Contract performance (Art. 6(1)(b) GDPR) — you request analysis of your activities.

We request read-only access with the scopes activity:read_all and profile:read_all. We cannot modify or delete your Strava data.

OAuth Tokens

Strava access token and refresh token (stored server-side in encrypted form)

Legal basis: Contract performance (Art. 6(1)(b) GDPR) — required to fetch your data from Strava on your behalf.

Saved Analysis Results

Derived performance metrics only: sprint counts, top speed, heart-rate averages, downsampled speed/HR series
GPS coordinates are never stored on our servers

Legal basis: Consent (Art. 6(1)(a) GDPR) — you actively choose to save each analysis.

Session Cookie

next-auth.session-token — essential for authentication

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) — technically necessary for website functionality.

Vercel Analytics (only with consent)

Anonymous page views, performance metrics, Web Vitals — no personal identifiers

Legal basis: Consent (Art. 6(1)(a) GDPR) — only collected after you accept the cookie consent banner.

Server Log Files

IP address (anonymized), user agent, timestamp, request URL

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) — necessary for security and error diagnosis. Logs are retained for a maximum of 30 days.

4. How We Collect Data

Data is collected exclusively through the official Strava API after you explicitly authorize our application via Strava's OAuth 2.0 flow. We never scrape, crawl, or collect data through any other means.

You initiate data access by signing in with your Strava account. Activity data is fetched on-demand when you choose to view or analyze specific activities.

5. How We Use Your Data

Authentication: Your Strava profile is used to create and manage your account
Activity Analysis: GPS streams and performance data are processed to generate sprint detection, acceleration analysis, heart-rate zone mapping, route heatmaps, and virtual pitch projections
Saving & Comparison: When you choose to save an analysis, derived performance metrics are stored on our server so you can review and compare activities over time
Display: Activity metadata is displayed in your activity list, saved analyses, and comparison views

We do not use your data for:

Advertising or targeted marketing
AI/ML model training
Selling, licensing, or sharing with third parties
Aggregated analytics or customer insights

6. Data Storage, Retention & Location

Server Location

Our server (Vercel) and database (PostgreSQL) are both located in Frankfurt am Main, Germany. Your data does not leave the EU for hosting purposes.

Server-side (PostgreSQL Database — Frankfurt, Germany)

User profile (name, photo URL) — retained until account deletion
OAuth tokens (encrypted) — retained until account deletion or Strava deauthorization
Saved analyses (derived metrics only) — retained until you delete them or your account

Client-side (Browser IndexedDB & localStorage)

Full analysis results including GPS streams — cached in IndexedDB and automatically deleted after 7 days per Strava API Agreement §7.1
Pitch calibration frame (localStorage) — retained until cleared by user
Cookie consent preference (localStorage) — retained until cleared by user

What We Do NOT Store on Our Servers

Raw GPS latitude/longitude coordinates — never stored server-side
Raw Strava activity streams (heart-rate samples, cadence, velocity data points) — only downsampled, derived summaries are saved when you choose

7. Data Security

We implement appropriate technical and organizational measures (Art. 32 GDPR):

All data transmitted over HTTPS (TLS 1.2+)
OAuth access tokens stored encrypted and never exposed to the browser
API routes protected by authentication middleware
Content Security Policy, HSTS, X-Frame-Options headers
Database access restricted and authenticated

In the event of a data breach, we will notify Strava within 24 hours per the API Agreement, the relevant supervisory authority within 72 hours per Art. 33 GDPR, and affected users as required by Art. 34 GDPR.

8. Your Rights (Art. 15–21 GDPR)

You have the following rights regarding your personal data:

Right of access (Art. 15): Request a copy of your data by contacting sebidelar@gmail.com
Right to rectification (Art. 16): Request correction of inaccurate data
Right to erasure (Art. 17): Delete your account via Settings or request deletion by email
Right to restrict processing (Art. 18): Request restriction by email
Right to data portability (Art. 20): Your original data is exportable from Strava; saved analyses are accessible in your dashboard
Right to object (Art. 21): Object to processing based on legitimate interests by email
Right to withdraw consent (Art. 7(3)): Withdraw at any time — revoke Strava access via Strava settings, or change cookie preferences via the footer link

Right to complain: You have the right to lodge a complaint with a supervisory authority. The relevant authority for this service is the Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, Germany (datenschutz.hessen.de).

9. Strava API Usage

Our use of the Strava API is governed by the Strava API Agreement and Strava Brand Guidelines.

We only display Strava data to the authenticated user who owns that data
We do not display, share, or disclose any user's Strava data to other users or third parties
Strava may monitor and collect usage data related to our use of the Strava API for its own business purposes (API Agreement §2.12)
Cached raw Strava data (GPS streams, heart rate, cadence) is automatically expired within 7 days in your browser per §7.1
If you delete an activity on Strava, we automatically delete the corresponding saved analysis within 48 hours via webhook (§2.14.6)
If you make an activity private on Strava, we automatically delete the corresponding saved analysis via webhook
Activity data obtained through the Strava API may include data from Garmin devices. Where applicable, Garmin attribution is displayed (API Agreement §2.4)

10. Third-Party Services & Data Transfers

Strava, Inc. (San Francisco, USA) — OAuth authentication and activity data. Data transfer to the USA is based on Strava's compliance mechanisms. Strava Privacy Policy
Vercel Inc. (USA, server region: Frankfurt, Germany) — Hosting & optional analytics. Hosting infrastructure is in Frankfurt; analytics data processing may involve US servers. A Data Processing Agreement (DPA) is in place per Art. 28 GDPR. Vercel Privacy Policy
ESRI / ArcGIS (USA) — Satellite map imagery tiles. When viewing maps, your browser connects to ESRI servers and transmits your IP address. No personal data beyond the IP address is sent. Map tile loading is necessary for the service functionality (Art. 6(1)(b) GDPR).

Providing your Strava account data is necessary to use the service. Without it, we cannot provide the analysis functionality.

11. Cookies & Tracking Technologies

Cookie/Technology	Purpose	Type	Legal Basis
`next-auth.session-token`	User authentication	Essential	Art. 6(1)(f) GDPR / §25(2) TDDDG — technically necessary
`cookie-consent`	Remember your consent choice	Essential	Art. 6(1)(f) GDPR / §25(2) TDDDG — technically necessary
Vercel Analytics	Anonymous performance metrics	Non-essential	Art. 6(1)(a) GDPR / §25(1) TDDDG — consent required
Vercel Speed Insights	Page load performance	Non-essential	Art. 6(1)(a) GDPR / §25(1) TDDDG — consent required

You can change your cookie preferences at any time using the “Cookie Settings” link in our footer.

12. Children's Privacy

Our service is not directed to individuals under the age of 18. We do not knowingly collect personal data from children. If you are under 18, please do not use our service.

13. Changes to This Policy

We may update this Privacy Policy from time to time. Changes will be posted on this page with an updated effective date. For material changes, we will provide prominent notice.

14. Contact

If you have any questions about this Privacy Policy or your data, please contact us at: sebidelar@gmail.com

Datenschutzerklärung (Deutsch)

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

Sebastian Idelar
[Straße und Hausnummer]
[PLZ Ort]
Deutschland
E-Mail: sebidelar@gmail.com
Telefon: [Telefonnummer einfügen]

2. Überblick

footballstats.watch („wir“, „uns“, „unser“) bietet Fußball-Leistungsanalysen auf Basis von Strava-GPS-Daten. Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erheben, nutzen, speichern und schützen.

Diese Erklärung ändert, widerspricht oder ersetzt nicht die Strava-Datenschutzerklärung, die im Konfliktfall vorgeht.

3. Erhobene Daten & Rechtsgrundlagen

Profildaten

Name (Vor- und Nachname), Profilbild-URL, Strava-Athleten-ID

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — zur Kontoerstellung erforderlich.

Aktivitätsdaten

Metadaten: Name, Typ, Datum, Distanz, Dauer, Höhenmeter, Geschwindigkeit
GPS-Streams: Koordinaten, Zeitstempel
Leistungsstreams: Herzfrequenz, Kadenz, Geschwindigkeit
Polylines (kodierte Routendaten)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Sie beauftragen die Analyse.

OAuth-Tokens

Strava Access- und Refresh-Token (serverseitig verschlüsselt gespeichert)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Gespeicherte Analyseergebnisse

Abgeleitete Metriken: Sprintzählung, Höchstgeschwindigkeit, HF-Durchschnitte, heruntergerechnete Datenreihen
GPS-Koordinaten werden niemals auf unseren Servern gespeichert

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Sie entscheiden aktiv, jede Analyse zu speichern.

Session-Cookie

next-auth.session-token — technisch notwendig für Authentifizierung

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) / §25 Abs. 2 TDDDG.

Vercel Analytics (nur mit Einwilligung)

Anonyme Seitenaufrufe, Leistungsmetriken — keine personenbezogenen Identifikatoren

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) / §25 Abs. 1 TDDDG.

Server-Logdateien

IP-Adresse (anonymisiert), User-Agent, Zeitstempel, Anfrage-URL

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit und Fehlerdiagnose. Aufbewahrungsdauer: maximal 30 Tage.

4. Datenerhebung

Daten werden ausschließlich über die offizielle Strava API erhoben, nachdem Sie unsere Anwendung über Stravas OAuth-2.0-Verfahren ausdrücklich autorisiert haben.

5. Verwendungszwecke

Authentifizierung: Kontoerstellung und -verwaltung
Aktivitätsanalyse: Sprint-Erkennung, Beschleunigungsanalyse, Herzfrequenz-Auswertung, Routen-Heatmaps, virtuelle Spielfeld-Projektion
Speichern & Vergleichen: Abgeleitete Leistungsmetriken für Aktivitätsvergleich

Wir nutzen Ihre Daten nicht für Werbung, KI-Training, Verkauf an Dritte oder aggregierte Analysen.

6. Datenspeicherung, Aufbewahrung & Standort

Serverstandort

Unser Server (Vercel) und die Datenbank (PostgreSQL) befinden sich in Frankfurt am Main, Deutschland. Ihre Daten verlassen für Hosting-Zwecke nicht die EU.

Serverseitig (PostgreSQL — Frankfurt)

Nutzerprofil — bis zur Kontolöschung
OAuth-Tokens (verschlüsselt) — bis zur Kontolöschung oder Strava-Deautorisierung
Gespeicherte Analysen (nur abgeleitete Metriken) — bis zur Löschung durch Sie

Clientseitig (Browser)

Vollständige Analyseergebnisse inkl. GPS — IndexedDB, automatische Löschung nach 7 Tagen
Spielfeldkalibrierung (localStorage) — bis zur manuellen Löschung
Cookie-Einwilligung (localStorage) — bis zur manuellen Löschung

7. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:

HTTPS-Verschlüsselung (TLS 1.2+)
Verschlüsselte Token-Speicherung
Authentifizierungs-Middleware für API-Routen
Content Security Policy, HSTS, X-Frame-Options

Bei einer Datenpanne informieren wir Strava innerhalb von 24 Stunden, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) und betroffene Personen gemäß Art. 34 DSGVO.

8. Ihre Rechte (Art. 15–21 DSGVO)

Auskunftsrecht (Art. 15): Anfrage per E-Mail an sebidelar@gmail.com
Berichtigungsrecht (Art. 16): Korrektur unrichtiger Daten
Recht auf Löschung (Art. 17): Konto löschen über Einstellungen oder per E-Mail
Recht auf Einschränkung (Art. 18): Anfrage per E-Mail
Datenübertragbarkeit (Art. 20): Originaldaten aus Strava exportierbar; Analysen über Dashboard zugänglich
Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen per E-Mail
Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit möglich — Strava-Zugriff über Strava-Einstellungen widerrufen oder Cookie-Präferenzen über den Footer-Link ändern

Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig: Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden (datenschutz.hessen.de).

9. Strava API

Wir zeigen Strava-Daten ausschließlich dem authentifizierten Eigentümer an
Keine Weitergabe von Strava-Daten an andere Nutzer oder Dritte
Strava kann Nutzungsdaten unserer API-Nutzung für eigene Geschäftszwecke erheben (API-Vereinbarung §2.12)
Gecachte Rohdaten werden im Browser nach 7 Tagen automatisch gelöscht (§7.1)
Bei Löschung einer Aktivität auf Strava löschen wir die zugehörige Analyse innerhalb von 48 Stunden per Webhook (§2.14.6)
Aktivitätsdaten können Garmin-Gerätedaten enthalten. Entsprechende Attribution wird angezeigt (§2.4)

10. Drittanbieter-Dienste & Datenübermittlung

Strava, Inc. (USA) — Authentifizierung und Aktivitätsdaten. Datenübermittlung in die USA auf Basis der Compliance-Mechanismen von Strava. Strava-Datenschutzerklärung
Vercel Inc. (USA, Serverregion: Frankfurt) — Hosting & optionale Analysen. Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO vorhanden. Vercel-Datenschutzerklärung
ESRI / ArcGIS (USA) — Satellitenbildkacheln. Beim Laden von Kartenkacheln wird Ihre IP-Adresse an ESRI-Server übermittelt.

Die Bereitstellung Ihrer Strava-Kontodaten ist für die Nutzung des Dienstes erforderlich.

11. Cookies & Tracking

Cookie/Technologie	Zweck	Typ	Rechtsgrundlage
`next-auth.session-token`	Authentifizierung	Essenziell	Art. 6(1)(f) DSGVO / §25(2) TDDDG
`cookie-consent`	Einwilligungsspeicherung	Essenziell	Art. 6(1)(f) DSGVO / §25(2) TDDDG
Vercel Analytics	Anonyme Leistungsstatistiken	Nicht-essenziell	Art. 6(1)(a) DSGVO / §25(1) TDDDG
Vercel Speed Insights	Ladezeit-Leistung	Nicht-essenziell	Art. 6(1)(a) DSGVO / §25(1) TDDDG

Sie können Ihre Cookie-Präferenzen jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern.

12. Minderjährige

Unser Dienst richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.

13. Änderungen

Wir können diese Datenschutzerklärung aktualisieren. Änderungen werden auf dieser Seite mit einem aktualisierten Datum veröffentlicht. Bei wesentlichen Änderungen informieren wir Sie gesondert.

14. Kontakt

Bei Fragen zur Datenschutzerklärung: sebidelar@gmail.com