Privacy Policy / Datenschutzerklärung

Effective Date / Gültig ab: March 9, 2026

Privacy Policy (English)

1. Data Controller

The data controller responsible for this website is:

Sebastian Idelar
[Street and house number]
[Postal code City]
Germany
Email: sebidelar@gmail.com
Phone: [Insert phone number]

2. Introduction

footballstats.watch (“we”, “us”, “our”) provides football/soccer match analytics by analyzing GPS activity data from Strava. This Privacy Policy explains how we collect, use, store, and protect your personal data when you use our service.

This policy does not modify, conflict with, or supersede the Strava Privacy Policy, which controls in the event of any conflict.

3. Data We Collect & Legal Basis

When you connect your Strava account, we access the following data through the Strava API:

Profile Information

Your name (first and last)
Profile photo URL
Strava athlete ID

Legal basis: Contract performance (Art. 6(1)(b) GDPR) — necessary to create your account and provide the service.

Activity Data

Activity metadata: name, type, date, distance, duration, elevation, speed
GPS streams: latitude/longitude coordinates, timestamps
Performance streams: heart rate, cadence, velocity
Activity summary polylines (encoded route data) for live route previews

Legal basis: Contract performance (Art. 6(1)(b) GDPR) — you request analysis of your activities.

We request read-only access with the scopes activity:read_all and profile:read_all. We cannot modify or delete your Strava data.

OAuth Tokens

Strava access token and refresh token (stored server-side in encrypted form)

Legal basis: Contract performance (Art. 6(1)(b) GDPR) — required to fetch your data from Strava on your behalf.

Saved Analysis Results

Derived performance metrics, event arrays, thresholds, and optional pitch or section setup
GPS coordinates, route polylines, and full per-sample Strava stream series are never stored on our servers

Legal basis: Consent (Art. 6(1)(a) GDPR) — you actively choose to save each analysis.

Session Cookie

authjs.session-token or __Secure-authjs.session-token — essential for authentication

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) — technically necessary for website functionality.

Vercel Analytics and Speed Insights (only with consent)

Anonymous page views, performance metrics, and Web Vitals — no direct personal identifiers intentionally added by us

Legal basis: Consent (Art. 6(1)(a) GDPR) — only collected after you accept the cookie consent banner.

Server Log Files

Hosting platform request logs may include IP address, user agent, timestamp, and request URL for security and operations

Legal basis: Legitimate interest (Art. 6(1)(f) GDPR) — necessary for security, abuse prevention, and error diagnosis. We do not use these logs for advertising or profiling.

4. How We Collect Data

Data is collected exclusively through the official Strava API after you explicitly authorize our application via Strava's OAuth 2.0 flow. We never scrape, crawl, or collect data through any other means.

You initiate data access by signing in with your Strava account. Activity data is fetched on-demand when you choose to view or analyze specific activities.

5. How We Use Your Data

Authentication: Your Strava profile is used to create and manage your account
Activity Analysis: GPS streams and performance data are processed to generate sprint detection, acceleration analysis, heart-rate zone mapping, route heatmaps, and virtual pitch projections
Saving & Comparison: When you choose to save an analysis, summary metrics and event summaries are stored on our server so you can review activities over time, while detailed charts can be rebuilt from local cache or a fresh Strava fetch
Display: Activity metadata is displayed in your activity list, saved analyses, and comparison views

We do not use your data for:

Advertising or targeted marketing
AI/ML model training
Selling, licensing, or sharing with third parties
Aggregated analytics or customer insights

6. Data Storage, Retention & Location

Server Location

Our server (Vercel) and database (PostgreSQL) are both located in Frankfurt am Main, Germany. Your data does not leave the EU for hosting purposes.

Server-side (PostgreSQL Database — Frankfurt, Germany)

User profile (name, photo URL) — retained until account deletion
OAuth tokens (encrypted) — retained until account deletion or Strava deauthorization
Saved analyses (derived metrics only) — retained until you delete them or your account

Client-side (Browser IndexedDB & localStorage)

Temporary analysis handoff and cache (localStorage analysisResults and IndexedDB watchme-analysis) may contain full analysis results, including raw GPS streams, and are automatically deleted after 7 days per Strava API Agreement §7.1
Analysis setup drafts (localStorage analysisSetupDrafts) may contain selected activity type, section drafts, and pitch corners; these drafts are automatically pruned after 7 days
Pitch calibration frame (localStorage footballstats_pitchFrame) — retained until replaced or cleared by the user
GPS preferences (localStorage footballstats_gpsPreferences) — retained until changed or cleared by the user
Theme preference (localStorage watchme:theme-preference:v1) — retained until changed or cleared by the user
Analytics consent preference (localStorage watchme:cookie-consent:v1) — retained until changed or cleared by the user
Signing out clears Strava-derived browser caches immediately; if your session is invalidated after a server-side deauthorization, the app clears the same local Strava-derived cache on the next session sync

What We Do NOT Store on Our Servers

Raw GPS latitude/longitude coordinates — never stored server-side
Route polylines — never stored server-side as part of saved analyses
Raw Strava activity streams (heart-rate samples, cadence, velocity data points) — fetched on demand and only kept in the browser cache for up to 7 days

7. Data Security

We implement appropriate technical and organizational measures (Art. 32 GDPR):

All data transmitted over HTTPS (TLS 1.2+)
OAuth access and refresh tokens stored encrypted at rest and never exposed to the browser
API routes protected by authentication middleware
Content Security Policy, HSTS, X-Frame-Options headers
Database access restricted and authenticated

In the event of a data breach, we will notify Strava within 24 hours per the API Agreement, the relevant supervisory authority within 72 hours per Art. 33 GDPR, and affected users as required by Art. 34 GDPR.

8. Your Rights (Art. 15–21 GDPR)

You have the following rights regarding your personal data:

Right of access (Art. 15): Request a copy of your data by contacting sebidelar@gmail.com
Right to rectification (Art. 16): Request correction of inaccurate data
Right to erasure (Art. 17): Delete your account via Settings or request deletion by email
Right to restrict processing (Art. 18): Request restriction by email
Right to data portability (Art. 20): Your original data is exportable from Strava; saved analyses are accessible in your dashboard
Right to object (Art. 21): Object to processing based on legitimate interests by email
Right to withdraw consent (Art. 7(3)): Withdraw at any time — revoke Strava access via Strava settings, or change cookie preferences via the footer link

Right to complain: You have the right to lodge a complaint with a supervisory authority. The relevant authority for this service is the Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden, Germany (datenschutz.hessen.de).

9. Strava API Usage

Our use of the Strava API is governed by the Strava API Agreement and Strava Brand Guidelines.

We only display Strava data to the authenticated user who owns that data
We do not display, share, or disclose any user's Strava data to other users or third parties
Strava may monitor and collect usage data related to our use of the Strava API for its own business purposes (API Agreement §2.12)
Cached raw Strava data (GPS streams, heart rate, cadence) is automatically expired within 7 days in your browser per §7.1
If you delete an activity on Strava, we automatically delete the corresponding saved analysis within 48 hours via webhook (§2.14.6)
If you make an activity private on Strava, we automatically delete the corresponding saved analysis via webhook
Activity data obtained through the Strava API may include data from Garmin devices. Where applicable, Garmin attribution is displayed (API Agreement §2.4)

10. Third-Party Services & Data Transfers

Strava, Inc. (San Francisco, USA) — OAuth authentication and activity data. Data transfer to the USA is based on Strava's compliance mechanisms. Strava Privacy Policy
Vercel Inc. (USA, server region: Frankfurt, Germany) — Hosting & optional analytics. Hosting infrastructure is in Frankfurt; analytics data processing may involve US servers. Data processing is subject to Vercel's applicable privacy and data-processing terms. Vercel Privacy Policy
ESRI / ArcGIS (USA) — Satellite map imagery tiles. When viewing maps, your browser connects to ESRI servers and transmits your IP address. No personal data beyond the IP address is sent. Map tile loading is necessary for the service functionality (Art. 6(1)(b) GDPR).

Providing your Strava account data is necessary to use the service. Without it, we cannot provide the analysis functionality.

11. Cookies & Tracking Technologies

Cookie/Technology	Purpose	Type	Legal Basis
`authjs.session-token` / `__Secure-authjs.session-token`	User authentication	Essential	Art. 6(1)(f) GDPR / §25(2) TDDDG — technically necessary
`watchme:cookie-consent:v1`	Remember your analytics preference	Essential	Art. 6(1)(f) GDPR / §25(2) TDDDG — technically necessary
Vercel Analytics	Anonymous performance metrics	Non-essential	Art. 6(1)(a) GDPR / §25(1) TDDDG — consent required
Vercel Speed Insights	Page load performance	Non-essential	Art. 6(1)(a) GDPR / §25(1) TDDDG — consent required

You can change your cookie preferences at any time using the “Cookie Settings” link in our footer.

12. Children's Privacy

Our service is not directed to individuals under the age of 18. We do not knowingly collect personal data from children. If you are under 18, please do not use our service.

13. Changes to This Policy

We may update this Privacy Policy from time to time. Changes will be posted on this page with an updated effective date. For material changes, we will provide prominent notice.

14. Contact

If you have any questions about this Privacy Policy or your data, please contact us at: sebidelar@gmail.com

Datenschutzerklärung (Deutsch)

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO:

Sebastian Idelar
[Straße und Hausnummer]
[PLZ Ort]
Deutschland
E-Mail: sebidelar@gmail.com
Telefon: [Telefonnummer einfügen]

2. Überblick

footballstats.watch („wir“, „uns“, „unser“) bietet Fußball-Leistungsanalysen auf Basis von Strava-GPS-Daten. Diese Datenschutzerklärung erläutert, wie wir Ihre personenbezogenen Daten erheben, nutzen, speichern und schützen.

Diese Erklärung ändert, widerspricht oder ersetzt nicht die Strava-Datenschutzerklärung, die im Konfliktfall vorgeht.

3. Erhobene Daten & Rechtsgrundlagen

Profildaten

Name (Vor- und Nachname), Profilbild-URL, Strava-Athleten-ID

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — zur Kontoerstellung erforderlich.

Aktivitätsdaten

Metadaten: Name, Typ, Datum, Distanz, Dauer, Höhenmeter, Geschwindigkeit
GPS-Streams: Koordinaten, Zeitstempel
Leistungsstreams: Herzfrequenz, Kadenz, Geschwindigkeit
Polylines (kodierte Routendaten) fuer Live-Routenvorschauen

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Sie beauftragen die Analyse.

OAuth-Tokens

Strava Access- und Refresh-Token (serverseitig verschlüsselt gespeichert)

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Gespeicherte Analyseergebnisse

Abgeleitete Leistungsmetriken, Ereignislisten, Schwellenwerte sowie optionale Pitch- oder Abschnittsdaten
GPS-Koordinaten, Routen-Polylines und vollaufgeloeste Strava-Datenreihen werden niemals auf unseren Servern gespeichert

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Sie entscheiden aktiv, jede Analyse zu speichern.

Session-Cookie

authjs.session-token oder __Secure-authjs.session-token — technisch notwendig für Authentifizierung

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) / §25 Abs. 2 TDDDG.

Vercel Analytics und Speed Insights (nur mit Einwilligung)

Anonyme Seitenaufrufe, Leistungsmetriken und Web-Vitals — keine von uns bewusst hinzugefügten direkten Personenkennzeichen

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) / §25 Abs. 1 TDDDG.

Server-Logdateien

Request-Logs der Hosting-Plattform können IP-Adresse, User-Agent, Zeitstempel und Anfrage-URL für Sicherheit und Betrieb enthalten

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Sicherheit, Missbrauchsprävention und Fehlerdiagnose. Diese Logs werden nicht für Werbung oder Profiling genutzt.

4. Datenerhebung

Daten werden ausschließlich über die offizielle Strava API erhoben, nachdem Sie unsere Anwendung über Stravas OAuth-2.0-Verfahren ausdrücklich autorisiert haben.

5. Verwendungszwecke

Authentifizierung: Kontoerstellung und -verwaltung
Aktivitätsanalyse: Sprint-Erkennung, Beschleunigungsanalyse, Herzfrequenz-Auswertung, Routen-Heatmaps, virtuelle Spielfeld-Projektion
Speichern & Vergleichen: Zusammenfassende Metriken und Ereignislisten fuer Aktivitaetsvergleiche; Detailcharts koennen aus lokalem Cache oder per neuem Strava-Abruf wiederhergestellt werden

Wir nutzen Ihre Daten nicht für Werbung, KI-Training, Verkauf an Dritte oder aggregierte Analysen.

6. Datenspeicherung, Aufbewahrung & Standort

Serverstandort

Unser Server (Vercel) und die Datenbank (PostgreSQL) befinden sich in Frankfurt am Main, Deutschland. Ihre Daten verlassen für Hosting-Zwecke nicht die EU.

Serverseitig (PostgreSQL — Frankfurt)

Nutzerprofil — bis zur Kontolöschung
OAuth-Tokens (verschlüsselt) — bis zur Kontolöschung oder Strava-Deautorisierung
Gespeicherte Analysen (zusammenfassende Metriken, Ereignislisten, Schwellenwerte und optionale Pitch- oder Abschnittsdaten) — bis zur Loeschung durch Sie

Was wir NICHT serverseitig speichern

Rohe GPS-Koordinaten — niemals serverseitig gespeichert
Routen-Polylines — niemals serverseitig als Teil gespeicherter Analysen abgelegt
Rohe Strava-Streams (Herzfrequenz-, Kadenz- oder Geschwindigkeits-Samples) — nur temporaer im Browser-Cache fuer bis zu 7 Tage

Clientseitig (Browser)

Temporäre Analyse-Übergabe und Cache (localStorage analysisResults sowie IndexedDB watchme-analysis) können vollständige Analyseergebnisse inklusive roher GPS-Streams enthalten und werden nach spätestens 7 Tagen automatisch gelöscht
Analyse-Entwurfsdaten (localStorage analysisSetupDrafts) können Aktivitätstyp, Abschnittsentwürfe und Pitch-Ecken enthalten; diese Entwürfe werden nach 7 Tagen automatisch bereinigt
Spielfeldkalibrierung (localStorage footballstats_pitchFrame) — bis zur Ersetzung oder manuellen Löschung
GPS-Einstellungen (localStorage footballstats_gpsPreferences) — bis zur Änderung oder manuellen Löschung
Theme-Einstellung (localStorage watchme:theme-preference:v1) — bis zur Änderung oder manuellen Löschung
Analytics-Einwilligung (localStorage watchme:cookie-consent:v1) — bis zur Änderung oder manuellen Löschung
Beim Abmelden wird der Strava-bezogene Browser-Cache sofort geloescht; wenn eine serverseitige Deautorisierung Ihre Sitzung ungueltig macht, loescht die App denselben lokalen Strava-Cache bei der naechsten Sitzungssynchronisierung

7. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:

HTTPS-Verschlüsselung (TLS 1.2+)
Verschlüsselte Speicherung von OAuth-Access- und Refresh-Tokens
Authentifizierungs-Middleware für API-Routen
Content Security Policy, HSTS, X-Frame-Options

Bei einer Datenpanne informieren wir Strava innerhalb von 24 Stunden, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33 DSGVO) und betroffene Personen gemäß Art. 34 DSGVO.

8. Ihre Rechte (Art. 15–21 DSGVO)

Auskunftsrecht (Art. 15): Anfrage per E-Mail an sebidelar@gmail.com
Berichtigungsrecht (Art. 16): Korrektur unrichtiger Daten
Recht auf Löschung (Art. 17): Konto löschen über Einstellungen oder per E-Mail
Recht auf Einschränkung (Art. 18): Anfrage per E-Mail
Datenübertragbarkeit (Art. 20): Originaldaten aus Strava exportierbar; Analysen über Dashboard zugänglich
Widerspruchsrecht (Art. 21): Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen per E-Mail
Widerruf der Einwilligung (Art. 7 Abs. 3): Jederzeit möglich — Strava-Zugriff über Strava-Einstellungen widerrufen oder Cookie-Präferenzen über den Footer-Link ändern

Beschwerderecht: Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig: Hessischer Beauftragter für Datenschutz und Informationsfreiheit, Postfach 3163, 65021 Wiesbaden (datenschutz.hessen.de).

9. Strava API

Wir zeigen Strava-Daten ausschließlich dem authentifizierten Eigentümer an
Keine Weitergabe von Strava-Daten an andere Nutzer oder Dritte
Strava kann Nutzungsdaten unserer API-Nutzung für eigene Geschäftszwecke erheben (API-Vereinbarung §2.12)
Gecachte Rohdaten werden im Browser nach 7 Tagen automatisch gelöscht (§7.1)
Bei Löschung einer Aktivität auf Strava löschen wir die zugehörige Analyse innerhalb von 48 Stunden per Webhook (§2.14.6)
Aktivitätsdaten können Garmin-Gerätedaten enthalten. Entsprechende Attribution wird angezeigt (§2.4)

10. Drittanbieter-Dienste & Datenübermittlung

Strava, Inc. (USA) — Authentifizierung und Aktivitätsdaten. Datenübermittlung in die USA auf Basis der Compliance-Mechanismen von Strava. Strava-Datenschutzerklärung
Vercel Inc. (USA) — Hosting & optionale Analysen. Die Verarbeitung richtet sich nach den anwendbaren Datenschutz- und Auftragsverarbeitungsbedingungen von Vercel. Vercel-Datenschutzerklärung
ESRI / ArcGIS (USA) — Satellitenbildkacheln. Beim Laden von Kartenkacheln wird Ihre IP-Adresse an ESRI-Server übermittelt.

Die Bereitstellung Ihrer Strava-Kontodaten ist für die Nutzung des Dienstes erforderlich.

11. Cookies & Tracking

Cookie/Technologie	Zweck	Typ	Rechtsgrundlage
`authjs.session-token` / `__Secure-authjs.session-token`	Authentifizierung	Essenziell	Art. 6(1)(f) DSGVO / §25(2) TDDDG
`watchme:cookie-consent:v1`	Speichert Ihre Analytics-Einstellung	Essenziell	Art. 6(1)(f) DSGVO / §25(2) TDDDG
Vercel Analytics	Anonyme Leistungsstatistiken	Nicht-essenziell	Art. 6(1)(a) DSGVO / §25(1) TDDDG
Vercel Speed Insights	Ladezeit-Leistung	Nicht-essenziell	Art. 6(1)(a) DSGVO / §25(1) TDDDG

Sie können Ihre Cookie-Präferenzen jederzeit über den Link „Cookie-Einstellungen“ im Footer ändern.

12. Minderjährige

Unser Dienst richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.

13. Änderungen

Wir können diese Datenschutzerklärung aktualisieren. Änderungen werden auf dieser Seite mit einem aktualisierten Datum veröffentlicht. Bei wesentlichen Änderungen informieren wir Sie gesondert.

14. Kontakt

Bei Fragen zur Datenschutzerklärung: sebidelar@gmail.com