Datenschutzerklärung

Stand: 20. April 2026

Hinweis zur Privatheit: TrailBlaze ist ein Privacy-by-Design-Dienst. Es wird kein Name, keine E-Mail-Adresse und kein Passwort gespeichert. Der Zugang erfolgt ausschließlich über eine selbst gewählte Seed-Phrase, von der serverseitig nur ein gesalzener SHA-256-Hash abgelegt wird. Hochgeladene Tracks sind ausschließlich für den jeweiligen Nutzer selbst sichtbar.

1. Präambel

Mit der folgenden Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle Verarbeitungen, die im Rahmen der Nutzung von TrailBlaze stattfinden.

2. Verantwortlicher

T Wenzel Consulting LLC
323 Margaret St
33040 Key West, USA

Vertreten durch: Tom Wenzel

E-Mail: [email protected]

3. GPX-Tracks als personenbezogene Daten

GPX-Tracks sind keine trivialen Daten. Standortdaten zählen gemäß Art. 4 Abs. 1 DSGVO zu den personenbezogenen Daten, sofern sie einer natürlichen Person zugeordnet werden können. Bewegungsprofile aus GPS-Tracks erlauben häufig Rückschlüsse auf Personen (z. B. Wohnort, Freizeitgewohnheiten), selbst wenn kein Name gespeichert wird.

Daher behandeln wir alle hochgeladenen GPX-Dateien als personenbezogene Daten im Sinne der DSGVO.

Wichtig: Nutzer dürfen ausschließlich GPX-Tracks hochladen, die sie selbst aufgezeichnet haben oder für die sie das ausdrückliche Einverständnis der betroffenen Personen besitzen. Das Hochladen von Tracks Dritter ohne deren Einwilligung ist unzulässig.

4. Übersicht der verarbeiteten Daten

Verarbeitete Datenarten

GPX-Tracks (Standortdaten): Vom Nutzer hochgeladene GPS-Routen, die gemäß Art. 4 Abs. 1 DSGVO personenbezogene Daten darstellen können
IP-Adressen: Werden beim Upload und jedem Seitenaufruf serverseitig in Logfiles erfasst
Authentifizierungshash: SHA-256-Hash der Seed-Phrase (kein Klartext, kein Passwort, keine E-Mail)
Server-Logfiles: Zeitstempel, aufgerufene URLs, HTTP-Statuscodes, Browsertyp (User-Agent)

Kategorien betroffener Personen

Nutzer der Webanwendung TrailBlaze

Zwecke der Verarbeitung

Bereitstellung der Kernfunktion (Speicherung und Visualisierung eigener GPX-Tracks)
Nutzertrennung und Zugriffskontrolle (Vault-System)
Sicherheit und Missbrauchsschutz (Rate-Limiting, Logfiles)

5. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf folgenden Rechtsgrundlagen:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Der Nutzer lädt bewusst eigene GPX-Tracks hoch und stimmt dadurch der Speicherung zu. Der Hinweis beim Upload macht dies transparent.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung von IP-Adressen und Logfiles zur Sicherstellung des Betriebs und zur Abwehr von Missbrauch.

6. Hosting und Server-Standort

TrailBlaze wird über Railway (Railway Corp., San Francisco, CA, USA) gehostet, wobei ausschließlich die Region eu-west (Amsterdam, Niederlande) verwendet wird. Sämtliche Nutzerdaten — einschließlich GPX-Tracks, Authentifizierungshashes und Logfiles — werden auf Servern innerhalb der Europäischen Union gespeichert und verarbeitet. Es findet kein Transfer personenbezogener Daten in Drittländer statt.

Weitere Informationen: Railway Datenschutzrichtlinie

7. Sicherheitsmaßnahmen

HTTPS/TLS: Alle Verbindungen sind verschlüsselt
Kein Klartextpasswort: Die Seed-Phrase verlässt den Browser nur als HTTPS-Bearer-Token; gespeichert wird ausschließlich ein gesalzener SHA-256-Hash
Nutzertrennung: Jeder Nutzer sieht ausschließlich eigene Tracks — keine geteilten Datensätze
Rate-Limiting: Upload- und Login-Endpunkte sind gegen Brute-Force geschützt
Datensparsamkeit: Es werden keine Cookies gesetzt, kein Tracking, keine Analytics

Hinweis zur Verschlüsselung gespeicherter Daten (At-Rest Encryption)

Im Sinne vollständiger Transparenz weisen wir darauf hin, dass die hochgeladenen GPX-Tracks in der Datenbank nicht verschlüsselt gespeichert werden. Die Seed-Phrase dient ausschließlich der Zugangskontrolle (Authentifizierung), nicht der Verschlüsselung der gespeicherten Koordinatendaten.

Das bedeutet konkret: Personen mit direktem Datenbankzugriff — etwa im Fall eines Datenbankdumps oder durch den Hosting-Anbieter — könnten die gespeicherten Koordinaten im Klartext lesen. Der Schutz der Daten beruht auf der Zugriffskontrolle der Infrastruktur (Railway eu-west, Amsterdam) sowie der Nutzertrennung auf Anwendungsebene.

Eine clientseitige Verschlüsselung der Tracks mit der Seed-Phrase wäre technisch möglich, würde jedoch serverseitige Geodatenverarbeitung (z. B. räumliche Datenbankabfragen via PostGIS) ausschließen. Diese Abwägung wird hier transparent offengelegt.

8. Datenspeicherung und Löschung

GPX-Tracks: Werden gespeichert, bis der Nutzer sie manuell löscht oder das Vault löscht
Authentifizierungshash: Wird zusammen mit dem Vault gelöscht
Server-Logfiles (IP-Adressen): Werden nach maximal 30 Tagen automatisch gelöscht oder anonymisiert

Nutzer können jederzeit alle eigenen Daten über die Funktion "Vault löschen" in der App vollständig und unwiderruflich entfernen (Recht auf Löschung gemäß Art. 17 DSGVO).

9. Rechte der betroffenen Personen

Gemäß Art. 15–21 DSGVO stehen Ihnen folgende Rechte zu:

Auskunftsrecht (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17 DSGVO) — direkt über die App ausübbar
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — GPX-Dateien können jederzeit heruntergeladen werden
Widerspruchsrecht (Art. 21 DSGVO)
Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO)
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an: [email protected]

10. Nutzungsbeschränkung — Tracks Dritter

Das Hochladen von GPS-Tracks, die Bewegungsprofile anderer Personen enthalten, ist ohne deren ausdrückliche Einwilligung unzulässig. Nutzer sind selbst verantwortlich dafür, dass hochgeladene Daten keine personenbezogenen Daten Dritter enthalten, für die keine Rechtsgrundlage vorliegt.

11. Webhosting und Drittdienste

Railway (Hosting)

Dienstanbieter: Railway Corp., San Francisco, CA, USA. Server-Standort: eu-west, Amsterdam, Niederlande (EU). Datenschutzrichtlinie. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Kein Drittlandtransfer — Daten verbleiben in der EU.

Google Fonts

Bezug von Schriftarten von Google-Servern. IP-Adresse und Gerätedaten werden dabei an Google übermittelt. Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Datenschutzerklärung. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Drittlandtransfer: Data Privacy Framework (DPF).

Leaflet / CartoCDN (Kartenmaterial)

Für die Kartendarstellung werden Kacheln von CartoCDN-Servern geladen. Dabei kann die IP-Adresse des Nutzers übertragen werden. Dienstanbieter: CARTO, Madrid, Spanien. Datenschutzerklärung. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

12. Änderung und Aktualisierung

Diese Datenschutzerklärung wird bei Änderungen der Datenverarbeitungsprozesse angepasst. Bitte prüfen Sie sie regelmäßig.

Erstellt auf Basis des Datenschutz-Generators von Dr. Thomas Schwenke — angepasst für TrailBlaze.