Strava, Garmin, Komoot: Was die DSGVO bei Lauf-Tracking-Apps wirklich verlangt

Lauf-Tracking-Apps sind aus dem Hobbysport nicht mehr wegzudenken. Strava, Garmin Connect, Polar Flow und Komoot haben zusammen über 200 Millionen aktive Nutzer (Stand 2025). Jeder Lauf produziert dabei einen Datensatz, der weit über die simple Streckenaufzeichnung hinausgeht. Wer in Europa läuft, profitiert von der strengsten Datenschutz-Regelung der Welt. Welche Rechte das konkret bedeutet und welche Risiken bestehen, zeigt dieser Ratgeber.

Was Lauf-Apps wirklich sammeln

Eine typische moderne Lauf-Aufzeichnung mit GPS-Uhr und gekoppeltem Smartphone produziert in einer 60-Minuten-Einheit etwa 80.000 bis 200.000 einzelne Datenpunkte. Die Liste:

Standort-Daten: GPS-Koordinaten alle 1 bis 2 Sekunden, plus Höhenmeter. Bei einer 10-Kilometer-Strecke etwa 3.000 bis 6.000 Geo-Punkte.

Physiologische Daten: Herzfrequenz pro Sekunde (3.600 Werte pro Stunde), Herzfrequenz-Variabilität, Atemfrequenz (bei Premium-Modellen), Sauerstoff-Sättigung bei Pulsoxymetrie-Funktion, Hauttemperatur.

Bewegungs-Daten: Schritt-Frequenz (Kadenz), Schrittlänge, Bodenkontakt-Zeit, vertikale Oszillation, Gleichgewicht zwischen linker und rechter Seite.

Kontext-Daten: Wetter zum Zeitpunkt des Laufs (oft automatisch geladen aus dem Standort), Sonnenstand, Mondphase.

Geräte-Daten: Welches GPS-Uhr-Modell, welches Smartphone-Modell, welche App-Version, welche Lauf-Schuhe (bei manuell gepflegtem Lauf-Schuh-Tracking).

Persönliche Daten: Alter, Geschlecht, Gewicht, Größe (für VO2max-Berechnung), Trainingsgeschichte über Monate und Jahre.

Diese Daten-Kombination ergibt ein medizinisches Profil, das eine Hausarzt-Praxis nur ansatzweise erfasst.

Warum Art. 9 DSGVO eingreift

Art. 9 DSGVO regelt die “Verarbeitung besonderer Kategorien personenbezogener Daten”. Dazu zählen unter anderem Gesundheitsdaten, definiert als “personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen”. Der Europäische Datenschutzausschuss hat in mehreren Leitlinien klargestellt, dass Daten aus Fitness-Trackern und Lauf-Apps unter diese Definition fallen, sobald sie Rückschlüsse auf Gesundheit erlauben.

Was bedeutet das praktisch?

Einwilligung statt berechtigtes Interesse. Die Verarbeitung muss auf einer ausdrücklichen Einwilligung beruhen (Art. 9 Abs. 2 lit. a DSGVO). Pauschal-Klauseln wie “wir verbessern unseren Service” reichen nicht. Die Einwilligung muss klar formuliert, dokumentiert und jederzeit widerrufbar sein.

Verschärfte Sicherheitsmaßnahmen. Art. 32 DSGVO verlangt für besondere Kategorien einen “dem Risiko angemessenen Schutz”, was in der Praxis Verschlüsselung in Transit und at-rest, Mehr-Faktor-Authentifizierung und regelmäßige Audits bedeutet.

Datenschutz-Folgenabschätzung beim Anbieter. Strava, Garmin und Co. müssen vor der Einführung neuer Funktionen prüfen, ob diese ein hohes Risiko für die Rechte der Betroffenen darstellen, und dies dokumentieren.

Datenminimierung. Es darf nur das gesammelt werden, was für den deklarierten Zweck nötig ist. Eine Lauf-App, die jährlich deinen Schlaf trackt, obwohl du das nicht aktiviert hast, verstößt gegen Art. 5 Abs. 1 lit. c DSGVO.

Der Strava-Heatmap-Skandal 2018

Im November 2017 veröffentlichte Strava eine globale Heatmap aller bei der App aufgezeichneten Aktivitäten. Die Karte zeigte etwa 13 Billionen GPS-Punkte von über 27 Millionen aktiven Strava-Nutzern. Strava präsentierte das als wunderschöne Visualisierung der weltweiten Bewegungs-Aktivität.

Im Januar 2018, also etwa 8 Wochen nach Veröffentlichung, entdeckten investigative Journalisten und Open-Source-Intelligence-Forscher (darunter Nathan Ruser, ein 20-jähriger australischer Student) ein gewaltiges Problem: In schwach besiedelten Regionen mit ansonsten dünner Aktivitäts-Verteilung waren plötzlich hell leuchtende Lauf-Spuren erkennbar. Diese Spuren entsprachen geheimen US-Militärbasen.

Konkrete Beispiele:

• Niger: Eine bis dahin unbekannte US-Drohnen-Basis bei Agadez wurde sichtbar durch joggende Soldaten
• Syrien: Mehrere US-Vorposten in der östlichen Wüste wurden lokalisiert
• Afghanistan: Detaillierte Lauf-Routen innerhalb von Camp Eggers in Kabul
• Türkei: Ein US-Spezialeinheiten-Lager in der Nähe von Manbij wurde identifizierbar

Die Implikation war erschreckend. Aggregierte und scheinbar anonymisierte Daten konnten in dünn besiedelten Regionen Rückschlüsse auf einzelne Personen oder geheime Standorte erlauben.

Strava reagierte schnell:

• Sofort-Reduzierung der Heatmap-Auflösung
• Opt-out-Möglichkeit für die Heatmap-Teilnahme
• Strengere Default-Privatsphäre-Einstellungen für neue Accounts
• Erweiterung der Privacy-Zonen-Funktion (Bereiche um Heimat-Adresse werden nicht aufgezeichnet)

Der Vorfall hat in der Datenschutz-Wissenschaft das Konzept der “Aggregations-Risiken” geprägt. Selbst wenn einzelne Datenpunkte anonym erscheinen, können Muster über mehrere Punkte hinweg deanonymisierend wirken.

Der Datenfluss am Beispiel Strava

Der Drittland-Transfer und das EU-US Data Privacy Framework

Strava ist ein US-Unternehmen mit Hauptsitz in San Francisco. Garmin International ist ebenfalls US-Unternehmen (Olathe, Kansas), Komoot ist deutsch (Potsdam), Polar ist finnisch (Kempele).

Für US-Anbieter gilt das Problem des Drittland-Transfers. Datenfluss in die USA war nach Schrems-II-Urteil des EuGH (2020) lange juristisch heikel, weil US-Surveillance-Gesetze (FISA Section 702, Cloud Act, Executive Order 12333) den US-Behörden potenziell Zugriff auf europäische Personendaten gewähren.

Im Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework als Angemessenheitsbeschluss verabschiedet. Damit ist der Datentransfer in zertifizierte US-Unternehmen wieder rechtssicher. Strava, Garmin und Apple sind unter dem Framework zertifiziert.

Allerdings: Das Framework ist juristisch umstritten. NOYB (None of Your Business, die Datenschutz-NGO von Max Schrems) hat im Herbst 2023 ein Schrems-III-Verfahren eingeleitet, das die Angemessenheit anficht. Sollte das Verfahren in den nächsten Jahren erfolgreich sein, wäre der Datentransfer in die USA wieder rechtlich unsicher.

Praktische Empfehlung für Datenschutz-Bewusste: Wer maximale Sicherheit will, sollte zu einem europäischen Anbieter wechseln (Komoot, Polar Flow). Wer Strava oder Garmin weiterhin nutzen will, sollte mindestens die strengsten Privacy-Einstellungen aktivieren.

Welche Einstellungen wirklich helfen

Strava bietet seit 2018 mehrere wichtige Privacy-Funktionen:

Privacy Zone: Definiere einen Radius um deine Heimat-Adresse (typisch 200 Meter), in dem deine Aktivitäten nicht aufgezeichnet werden. So sehen andere Nutzer nicht, wo dein Lauf beginnt und endet.

Activity Privacy: Setze einzelne Aktivitäten auf “Only Me” (nur du siehst sie) oder “Followers” (nur Follower).

Profile Privacy: Setze dein gesamtes Profil auf privat, sodass keine fremden Nutzer es ansehen können.

Heatmap Opt-out: Du kannst Strava untersagen, deine Aktivitäten in die Global Heatmap einzufügen.

Daten-Export und Löschung: Du kannst alle deine Daten als ZIP exportieren und dein Konto vollständig löschen lassen.

Garmin Connect hat ähnliche Funktionen, aber etwas weniger granular. Wichtig: Die Default-Einstellungen sind oft öffentlich, du musst aktiv schärfere Einstellungen wählen.

Was bei Wettkampf-Anmeldungen passiert

Eine oft übersehene Datenschutz-Frage: Was passiert mit deinen Daten, wenn du dich für einen Wettkampf anmeldest. Beispiel BMW Berlin-Marathon. Bei der Anmeldung gibst du an SCC EVENTS GmbH (den Veranstalter) deinen vollständigen Namen, Geburtsdatum, Adresse, Mail-Adresse, Vereins-Zugehörigkeit, Notfall-Kontakt und Gesundheits-Selbstdeklaration ab.

SCC EVENTS verarbeitet diese Daten auf Grundlage des Anmelde-Vertrags (Art. 6 Abs. 1 lit. b DSGVO) und gibt sie an Zeit-Mess-Dienstleister, Sponsoren-Partner und gegebenenfalls Polizei oder Rettungsdienste weiter. Die Datenschutz-Erklärung des Berlin-Marathons listet die einzelnen Empfänger transparent auf.

Wichtig: Deine offizielle Wettkampf-Zeit wird mit deinem Namen veröffentlicht (auf der Veranstalter-Website, in Ergebnis-Listen). Das ist DSGVO-konform, weil die Veröffentlichung Teil des Anmelde-Vertrags ist. Wer das nicht will, muss vor der Anmeldung den Veranstalter kontaktieren und eine Anonymisierung anfordern, was meist nicht gewährt wird.

Datenschutz für Lauf-Trainer und Coaches

Wer als Personal Trainer oder Vereins-Coach Daten anderer Personen verarbeitet, ist DSGVO-rechtlich Verantwortlicher und muss alle Pflichten einhalten.

Konkret:

• Datenschutz-Erklärung auf der eigenen Website, die transparent beschreibt, welche Daten verarbeitet werden
• Einwilligungs-Formulare von den Athleten (am besten schriftlich)
• Auftragsverarbeitungsvertrag mit dem App-Anbieter (Strava, Garmin Connect, TrainingPeaks)
• Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
• Bei riskanten Verarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Ein Lauf-Coach in Hamburg, der für 20 Athleten Garmin-Connect-Coach-Funktionen nutzt, sammelt jährlich Bewegungs-, Herzfrequenz- und Schlaf-Daten von 20 Personen. Das ist eine substanzielle Datenverarbeitung, die ohne saubere DSGVO-Compliance abmahnfähig ist (siehe Urteil OLG Hamburg, Az. 13 U 117/22, das eine Mitgliedschafts-Verwaltung in einem Verein bezüglich Fitness-Daten beanstandete).

Versicherungs- und Arbeitgeber-Implikationen

Eine Frage, die in den letzten Jahren häufiger diskutiert wird: Können Krankenversicherungen oder Arbeitgeber meine Lauf-Daten anfordern.

Krankenversicherungen: In Deutschland gibt es seit 2018 sogenannte Bonus-Programme einiger gesetzlicher Krankenkassen (Techniker, AOK, Barmer), die Vergünstigungen für nachgewiesene sportliche Aktivität bieten. Hier wird die Datenübertragung freiwillig (Opt-in) durch den Versicherten initiiert. Eine zwangsweise Abforderung ist nach geltendem Recht ausgeschlossen.

Arbeitgeber: Ein Arbeitgeber darf grundsätzlich keine Fitness-Tracker-Daten von Beschäftigten einsehen. Auch bei betrieblicher Gesundheitsförderung muss die Teilnahme freiwillig sein und Daten dürfen nicht individuell, sondern nur aggregiert ausgewertet werden. Der LDI NRW hat dazu mehrere Verwarnungen ausgesprochen.

Die Liste der wichtigsten Lauf-Apps und ihre DSGVO-Profile

Stand 2026, mit Bewertung der DSGVO-Konformität.

Strava (US-Unternehmen):

• Hauptsitz: San Francisco
• Datenspeicherung: USA primär, EU-Mirror sekundär
• DSGVO-Konformität: EU-US DPF zertifiziert, gute Privacy-Einstellungen seit 2018
• Heatmap-Problematik: weiterhin existent, aber Opt-out möglich
• Empfehlung: Nutzbar bei aktiver Privacy-Konfiguration

Garmin Connect (US-Unternehmen):

• Hauptsitz: Olathe, Kansas
• Datenspeicherung: USA und Niederlande
• DSGVO-Konformität: EU-US DPF zertifiziert
• Besonderheit: Daten-Export gut umsetzbar, Daten-Löschung dauert 30 Tage
• Empfehlung: Solide Wahl, Default-Einstellungen sind privater als bei Strava

Komoot (deutsches Unternehmen):

• Hauptsitz: Potsdam
• Datenspeicherung: Frankfurt und Irland (komplette EU-Verarbeitung)
• DSGVO-Konformität: Sehr gut, keine Drittland-Transfer-Problematik
• Stärke: Routenplanung, weniger Wettkampf-Fokus
• Empfehlung: Beste Wahl für DSGVO-Bewusste

Polar Flow (finnisches Unternehmen):

• Hauptsitz: Kempele, Finnland
• Datenspeicherung: Finnland primär, USA sekundär
• DSGVO-Konformität: Gut, aber USA-Sekundär-Speicherung
• Stärke: Detaillierte Trainings-Wissenschaft
• Empfehlung: Gute EU-Alternative

Apple Health und Fitness (US-Unternehmen):

• Hauptsitz: Cupertino, Kalifornien
• Datenspeicherung: USA und EU (Irland)
• DSGVO-Konformität: EU-US DPF zertifiziert, Privacy-by-Design-Ansatz
• Besonderheit: Daten bleiben primär lokal auf dem Gerät
• Empfehlung: Solide, aber proprietäres Ökosystem

Runtastic / adidas Running (deutsch-österreichisch):

• Hauptsitz: Linz, Österreich (gehört zu adidas)
• Datenspeicherung: EU (Niederlande, Deutschland)
• DSGVO-Konformität: Gut
• Empfehlung: Gute EU-Alternative

Wer die DSGVO-Konformität als wichtiges Auswahl-Kriterium sieht, kommt mit Komoot, Polar Flow oder adidas Running am besten weg. Wer Strava oder Garmin nutzt, sollte die Privacy-Einstellungen sorgfältig konfigurieren.

Was bei Versterben des Nutzers passiert

Ein selten besprochener Punkt: Was geschieht mit deinen Lauf-Daten im Todesfall? Die Antwort ist anbieterabhängig und nicht trivial.

Strava: Die Daten bleiben grundsätzlich gespeichert. Erben können auf Antrag (Sterbeurkunde plus Identitätsnachweis) entweder das Konto in einen “Memorialized”-Status versetzen lassen oder vollständig löschen. Die Übertragung des Accounts an Erben ist nicht vorgesehen, weil das gegen die Strava-AGB verstößt.

Garmin Connect: Ähnlich wie Strava. Erben können einen Daten-Export anfordern oder die Löschung beantragen. Eine Übertragung der Account-Eigentümerschaft ist möglich, wenn ein Testament dies regelt und der Erbe das vorlegt.

Apple Health: Apple hat ein “Legacy Contact”-Feature eingeführt (seit iOS 15.2), das Nutzern ermöglicht, eine Person zu benennen, die im Todesfall Zugriff auf die Daten erhält. Das ist DSGVO-rechtlich elegant gelöst.

Wer ernsthafte Trainings-Geschichten über Jahre aufgebaut hat, sollte sich überlegen, was im Todesfall mit den Daten passieren soll. Eine entsprechende Klausel im Testament kostet bei einer Notar-Erstellung minimal extra und gibt Klarheit.

Was du als Nutzer wissen musst

Lauf-Tracking-Apps erstellen ein medizinisches Profil von dir, das über Art. 9 DSGVO besonderen Schutz genießt. Die wichtigsten Schritte:

Erstens: Beim Onboarding die Einstellungen auf privat setzen, nicht auf die Default-Einstellungen verlassen. Bei Strava gehört dazu Privacy Zone um die Heimat-Adresse, Activity Privacy auf “Followers” oder “Only Me” und Heatmap-Opt-out.

Zweitens: Daten-Export einmal pro Jahr als persönliches Backup machen und damit prüfen, was die Apps wirklich gespeichert haben. Bei den großen Anbietern ist das eine einmal-pro-Jahr-Aktivität in den Account-Einstellungen.

Drittens: Bei Wechsel zu einem anderen Anbieter den alten Account vollständig löschen lassen, nicht nur deaktivieren. Strava-, Garmin- und Komoot-Konten können vollständig gelöscht werden, die Löschung dauert 30 bis 90 Tage je nach Anbieter.

Viertens: Bei Wettkampf-Anmeldungen die Datenschutz-Erklärung des Veranstalters tatsächlich lesen, vor allem die Liste der Datenempfänger.

Wer diese vier Punkte einmal sauber abgearbeitet hat, kann die Vorteile moderner Lauf-Apps nutzen, ohne dass die eigenen Bewegungs- und Gesundheitsdaten ungewollt in fremden Datenbanken landen.