Datenschutz
Was wir ueber dich wissen - und warum.
Kein Juristendeutsch. Klare Sprache. Was wir sammeln, warum, was wir nie tun - plus eine Cookie-Tabelle, mit der du wirklich was anfangen kannst.
Zuletzt aktualisiert: Mai 2026
Was wir sammeln
Deine E-Mail - nur wenn du abonnierst.
Fuer die taegliche Coach-Mail. Bleibt gespeichert bis du dich abmeldest. Wir teilen oder verkaufen sie nie. Punkt.
Dein Land (immer) und Lat/Lon (oft).
Das Land kommt aus einer lokalen DB-IP-Datenbank auf unserem Server - keine externe Abfrage, deine IP geht an niemanden Dritten. Entscheidet ueber Celsius oder Fahrenheit und die Laender-Sortierung auf /steden. Lat/Lon (auf Stadtebene) treiben das Wetter, damit die Coach-Zeile zu deinem Tag passt. Beides aus der Besuchs-IP abgeleitet, nicht langfristig gespeichert.
Dein exakter Standort - nur wenn du ihn freigibst.
Klickst du auf /steden auf 'Genauen Standort verwenden', fragt der Browser nach Erlaubnis. Erlaubst du es, nutzen wir die Lat/Lon vom Geraet fuers Wetter und um zu pruefen, ob wir deine Stadt abdecken. Wenn nicht, fallen wir auf die IP-Schaetzung oben zurueck.
Deine IP-Adresse - kurz, gehasht.
Wir bilden einen SHA-256-Hash (erste 16 Zeichen) zum Rate-Limiting (Community-Beitraege, Custom-Roasts, Stadt-Vorschlaege). Die rohe IP speichern wir nie - nur den Hash, nur so lange wie noetig.
Was du tippst - fuer Custom-Roasts und Community-Zeilen.
Custom-Ausreden gehen an OpenAI zur Moderation und Roast-Generierung. Community-Einreichungen und Stadt-Vorschlaege bleiben in unserer DB bis du die Loeschung verlangst oder ein Admin sie ablehnt.
Anonymous pageviews and clicks — our own counter.
We run our own first-party audience-measurement: pageviews, which excuses are picked, which destinations are shared to, run-commits, subscribes. Stored in our database with route + event-type + country (from local mmdb) + device class + referrer host. No cookie set, no visitor identifier, no PII, no fingerprinting. Falls outside cookie-consent rules per CNIL / DSK / ICO guidance for consent-free first-party analytics. We use it to answer product questions (what works, what gets shared) — not to profile.
Anonyme Lauf-Events.
Wenn du auf Yes drueckst und dich zu einem Lauf bekennst, erfassen wir den Moment (Zeitstempel, Sprache, gewaehlte Ausrede, aktuelle Stadt + Temperatur + Wettercode, IP-Hash). Speist den Live-Zaehler im Footer und den Activity-Ticker auf der Startseite. Kein Name, keine E-Mail dabei. 90 Tage detailliert, danach anonymisiert.
Eine kleine Cookie- und localStorage-Liste - siehe Tabelle unten.
Sprache, Theme, Einheiten, deine Cookie-Wahl und (nur mit Zustimmung) Google Tag Manager. Volle Liste ein paar Abschnitte tiefer.
Wer es sonst noch sieht
Brevo (transaktionale Mails).
Beim Versand der taeglichen Mail sieht Brevo deine E-Mail und die fertige Mail. EU-Server, EU-Verarbeiter.
OpenAI (Custom-Roasts + Moderation + Admin-Uebersetzungen).
Tippst du eine Custom-Ausrede, geht der Text zu OpenAI fuer Moderation und Roast-Generierung. Bei KI-Uebersetzungen aus dem Admin geht der Quelltext mit. OpenAI speichert API-Requests laut aktueller Policy nicht fuer Training.
Open-Meteo (Wetter + Geocoding).
Fuers Wetter senden wir Lat/Lon. Beim Stadt-Vorschlag auf /steden geocoden wir den eingegebenen Namen. Kein Account, kein Cookie. Server in Deutschland.
OpenStreetMap Nominatim (Reverse Geocoding, nur Opt-in).
Klickst du auf /steden auf 'Genauen Standort verwenden' und stimmst der Browser-Abfrage zu, senden wir deine Lat/Lon an Nominatim der OSM Foundation, um einen Staedtenamen daraus zu machen (z. B. 'Muenchen'). Kostenloser Dienst. Wird nie ohne expliziten Klick + Zustimmung aufgerufen.
Mapbox (Karten-Bilder).
Statische Karten fuer Stadtseiten holen wir server-seitig bei Mapbox. Mapbox sieht unsere Server-IP, nicht deine. Im Browser laedt von Mapbox kein Tracking-Script.
Strava (Laufstrecken-Segmente).
Stravas oeffentliche Segmente-API speist die Marker auf /city/[name]. Unser Server fragt mit Lat/Lon der Stadt an. Strava sieht unsere Server-IP und die Bounding-Box-Abfrage, nicht deine IP oder Identitaet.
Meta (Facebook + Instagram, nur ausgehend).
Wenn wir den taeglichen Roast automatisch auf unsere eigene FB-Seite und unseren IG-Account posten, ruft unser Server die Meta Graph API auf. Es werden keine Besucher-Daten mitgesendet - nur unser Text und unser eigenes quadratisches Bild. Meta weiss nicht, wer du bist.
Google Tag Manager + GA4 (Analytics, optional).
Laedt nur, wenn du Cookies akzeptiert hast. Fuer Besuchs- und Klick-Zaehlung als Grundlage fuer Produktentscheidungen. Keine Werbe-Pixel.
Unser Hosting (Vultr via Cleavr).
Der Server laeuft auf einer Vultr-Instanz in der EU. Standard-Webserver-Logs (IP, User-Agent, angeforderte URL, Zeitstempel) speichert der Anbieter 7 Tage fuer Missbrauch- und Uptime-Monitoring.
Welche Cookies genau
Diese Liste halten wir vollstaendig und aktuell. Kommt etwas dazu, aendert sich oben auf dieser Seite das Datum und (falls du Analytics zugestimmt hast) sieht GTM ein neues consent_version-Feld.
Strikt notwendig
| Name | Geltung | Lebensdauer | Zweck |
|---|---|---|---|
| i18n_redirected | Cookie, Erstanbieter | 1 Jahr | Speichert deine Sprachpraeferenz (en, nl, de, fr, es, it, pt). |
| nobs:theme | localStorage | Bis du es loeschst | Speichert deine Wahl fuer Hell / Dunkel / Auto. |
| nobs:units | Cookie, Erstanbieter | 1 Jahr | Speichert deine Praeferenz fuer Celsius/km oder Fahrenheit/miles (oder 'auto'). |
| nobs:consent | localStorage | Bis Loeschung oder Aenderung | Speichert deine Cookie-Wahl und Version, damit wir nicht erneut fragen. |
| nobs:pending-run | localStorage | 6 Stunden, automatisch bereinigt | Merkt sich einen begonnenen Lauf, damit beim Wiederkommen 'noch unterwegs?' gezeigt werden kann. |
Statistiken (nur mit Zustimmung)
| Name | Geltung | Lebensdauer | Zweck |
|---|---|---|---|
| _ga | Cookie, Drittanbieter (Google) | 2 Jahre | Google Analytics Client-ID. Fuer eindeutige Besucherzaehlung. |
| _ga_XXXXXXXXXX | Cookie, Drittanbieter (Google) | 2 Jahre | Google Analytics 4 Session-State. |
Wie lange wir es speichern
E-Mail: bis du dich abmeldest (ein Klick in jeder taeglichen Mail). Lauf-Events / Ausreden-Picks: 90 Tage detailliert, danach anonymisiert (Stadt + Temp geleert, nur Slug + Zeitstempel fuer Statistik). Community-Einreichungen + Stadt-Vorschlaege: bis du Loeschung deines Beitrags verlangst, oder wir ihn ablehnen. Rate-Limit-Hashes: 1 Stunde, rollend. Server-Logs bei Vultr: 7 Tage.
Deine Rechte
Du kannst uns bitten: - Dir alles zu zeigen, was mit deiner E-Mail oder eingereichten Namen verknuepft ist. - Es zu loeschen. - Es in portablem Format zu uebergeben (wir senden JSON). - Falsches zu korrigieren oder zu aktualisieren. - Der Verarbeitung zu widersprechen. Antworte auf eine taegliche Mail oder schreib an die Adresse unten. Wir versuchen in 7 Tagen zu reagieren. Bist du in der EU/EWR/UK und mit unserer Antwort unzufrieden, kannst du dich auch bei deiner nationalen Aufsichtsbehoerde beschweren.
Was wir nie tun
Wir verkaufen deine Daten nicht. Wir teilen sie nicht mit Werbenetzwerken. Wir profilieren dich nicht ueber Sites hinweg. Wir nutzen keine Dark Patterns, um dich im Abo zu halten - jede Mail hat einen Abmelde-Link und eine Ein-Klick-Bestaetigungsseite ohne Account. Wir fingerprinten deinen Browser nicht. Wir verwenden keine Pixel-Tracker. Ausser Google Tag Manager laden wir keine Drittanbieter-Skripte - und das nur, wenn du Ja gesagt hast.
Kinder
nobs.run richtet sich an Personen ab 16. Wir erheben nicht wissentlich Daten von juengeren Nutzern. Falls doch - melde dich, wir loeschen es.
Internationale Uebermittlungen
OpenAI verarbeitet API-Calls in den USA. Wir stuetzen die Uebermittlung auf das EU-US Data Privacy Framework. Brevo und Open-Meteo verarbeiten innerhalb der EU. Mapbox nutzt US-Server; die Uebertragung laeuft Server-zu-Server (deine IP ist nicht Teil davon). Strava ist US; ebenso - Server-zu-Server, nicht deine IP.
Aenderungen an dieser Seite
Bei substantiellen Aenderungen aktualisieren wir das Datum oben und erwaehnen es (falls du abonniert bist) in einer taeglichen Mail. Die vollstaendige Historie liegt in git: github.com/elixermedia/nobsrun.