Short version: Your data lives in your own iCloud account. We don't run a server, we don't see your training, and we don't sell or share anything about you. No analytics, no ad networks, no tracking.
1. Who we are
rox-strat ("the app," "we," "us") is a personal pacing tool for HYROX® and hybrid-fitness athletes, built for iOS and Apple Watch.
rox-strat is not affiliated with HYROX® or Hyrox World GmbH. HYROX® is a registered trademark of Hyrox World GmbH.
2. What data the app handles
Identity
Apple Sign-In identifier — a stable, hashed user ID issued by Apple. We use this only to associate your data with your iCloud account inside the app. We never receive your email, name, or Apple ID password.
All of this is written to your private CloudKit database in the container iCloud.com.roxstrat.app. It lives in your iCloud, under your Apple ID — not on our servers. We do not have access to it.
Health data (read-only, from Apple Health)
Heart rate variability (HRV / SDNN)
Sleep analysis
Running workouts (distance, duration)
Health data is read directly from Apple Health, used on your device to compute your readiness score and refine pacing projections, and is never transmitted off your device. You can revoke HealthKit permissions at any time in iOS Settings → Privacy & Security → Health → rox-strat.
Strava data (optional, read-only)
If you connect Strava, the app reads your recent running activities to refine your pacing plan. The OAuth handshake goes through our Cloudflare Worker at strava-worker.roxstrat.workers.dev, which exists only to perform the token exchange so that the Strava client secret never lives in the app binary. The Worker does not log, persist, or forward any user data — it relays tokens straight back to your device.
Strava tokens are stored locally in the iOS Keychain. You can disconnect Strava at any time from the Profile screen, which deletes the tokens from your device.
Subscription state
rox-strat uses RevenueCat to manage in-app purchases for rox-strat Pro. RevenueCat receives an anonymous app user identifier and the Apple-issued purchase receipt — enough to verify your subscription. It does not receive any of your training data. See RevenueCat's privacy policy for details.
3. What we do NOT collect
No analytics SDKs (Firebase, Mixpanel, Amplitude, etc.)
No advertising identifiers (IDFA)
No crash-reporting third parties (we rely on Apple's built-in crash logs you opt into via iOS Settings)
No location data
No microphone, camera, or contacts access
No tracking across other apps or websites
4. How your data is used
Everything described above is used for a single purpose: to give you a personalized pacing plan. There is no secondary use, no profiling for ads, no data brokers, and no sale of any data to third parties.
5. Data retention & deletion
Because your data lives in your iCloud, you control its retention. You can:
Delete individual records from inside the app (Profile → History screens).
Sign out to remove the local Apple ID association and Keychain tokens.
Delete the app, which removes all on-device caches.
Remove the iCloud data via iOS Settings → Apple ID → iCloud → rox-strat → Delete Data.
6. Children
rox-strat is intended for users 13 years or older. We do not knowingly collect data from children under 13. If you believe a child has used the app, contact us and we will help walk through deleting their iCloud data.
7. International users
rox-strat is available worldwide. Because all data is stored in the user's own iCloud account, data residency is governed by Apple's iCloud infrastructure for the user's region. We do not transfer data across borders ourselves.
8. Your rights (GDPR, CCPA, etc.)
Under GDPR, CCPA, and similar frameworks, you have the right to access, correct, port, or delete personal data we hold about you. Because we do not hold your data — Apple does, on your behalf — you can exercise these rights directly through iCloud and iOS Settings as described in Section 5. We are happy to assist if you run into trouble: contact details below.
9. Changes to this policy
If we materially change how data is handled, this page will be updated and the "Last updated" date at the top will move. Substantial changes will also be communicated inside the app on next launch.
Kurzfassung: Deine Daten liegen in deinem eigenen iCloud-Account. Wir betreiben keinen Server, sehen dein Training nicht und verkaufen oder teilen nichts über dich. Keine Analyse, keine Werbenetzwerke, kein Tracking.
1. Wer wir sind
rox-strat („die App", „wir", „uns") ist ein persönliches Pacing-Tool für HYROX®- und Hybrid-Fitness-Athleten, entwickelt für iOS und Apple Watch.
rox-strat ist nicht mit HYROX® oder der Hyrox World GmbH verbunden. HYROX® ist eine eingetragene Marke der Hyrox World GmbH.
2. Welche Daten die App verarbeitet
Identität
Apple Sign-In-Kennung — eine stabile, gehashte Benutzer-ID, die von Apple ausgestellt wird. Wir verwenden sie ausschließlich, um deine Daten innerhalb der App deinem iCloud-Account zuzuordnen. Wir erhalten niemals deine E-Mail-Adresse, deinen Namen oder dein Apple-ID-Passwort.
Leistungsdaten (in deiner iCloud gespeichert)
Ergebnisse des persönlichen Fitnesstests (PFT)
5-km-Bestzeit, persönliche Rekorde an den Stationen
All diese Daten werden in deine private CloudKit-Datenbank im Container iCloud.com.roxstrat.app geschrieben. Sie liegen in deiner iCloud, unter deiner Apple ID — nicht auf unseren Servern. Wir haben keinen Zugriff darauf.
Gesundheitsdaten (nur lesend, aus Apple Health)
Herzratenvariabilität (HRV / SDNN)
Schlafanalyse
Laufeinheiten (Distanz, Dauer)
Gesundheitsdaten werden direkt aus Apple Health gelesen, auf deinem Gerät verwendet, um deinen Bereitschafts-Score zu berechnen und Pacing-Prognosen zu verfeinern, und werden niemals von deinem Gerät übertragen. Du kannst HealthKit-Berechtigungen jederzeit unter iOS-Einstellungen → Datenschutz & Sicherheit → Gesundheit → rox-strat widerrufen.
Strava-Daten (optional, nur lesend)
Wenn du Strava verbindest, liest die App deine aktuellen Laufaktivitäten, um deinen Pacing-Plan zu verfeinern. Der OAuth-Handshake läuft über unseren Cloudflare Worker unter strava-worker.roxstrat.workers.dev, der ausschließlich den Token-Austausch durchführt, damit das Strava-Client-Secret niemals im App-Binär enthalten ist. Der Worker protokolliert, speichert oder leitet keine Benutzerdaten weiter — er übermittelt Tokens direkt an dein Gerät.
Strava-Tokens werden lokal im iOS Keychain gespeichert. Du kannst Strava jederzeit über den Profil-Bildschirm trennen, wodurch die Tokens von deinem Gerät gelöscht werden.
Abonnementstatus
rox-strat verwendet RevenueCat, um In-App-Käufe für rox-strat Pro zu verwalten. RevenueCat erhält eine anonyme App-Benutzerkennung und die von Apple ausgestellte Kaufquittung — genug, um dein Abonnement zu verifizieren. Es erhält keine deiner Trainingsdaten. Weitere Details findest du in RevenueCats Datenschutzrichtlinie.
3. Was wir NICHT erfassen
Keine Analytics-SDKs (Firebase, Mixpanel, Amplitude usw.)
Keine Werbe-IDs (IDFA)
Keine Drittanbieter für Crash-Reporting (wir verlassen uns auf Apples integrierte Absturzprotokolle, in die du über die iOS-Einstellungen einwilligst)
Keine Standortdaten
Kein Zugriff auf Mikrofon, Kamera oder Kontakte
Kein Tracking über andere Apps oder Websites hinweg
4. Wie deine Daten verwendet werden
Alles oben Beschriebene wird für einen einzigen Zweck verwendet: dir einen personalisierten Pacing-Plan zu erstellen. Es gibt keine Sekundärnutzung, kein Profiling für Werbung, keine Datenvermittler und keinen Verkauf von Daten an Dritte.
5. Datenspeicherung & Löschung
Da deine Daten in deiner iCloud liegen, kontrollierst du deren Aufbewahrung. Du kannst:
Einzelne Einträge löschen — direkt in der App (Profil → Verlauf-Bildschirme).
Dich abmelden, um die lokale Apple-ID-Verknüpfung und Keychain-Tokens zu entfernen.
Die App löschen, wodurch alle lokalen Caches entfernt werden.
Die iCloud-Daten entfernen — über iOS-Einstellungen → Apple ID → iCloud → rox-strat → Daten löschen.
6. Kinder
rox-strat richtet sich an Nutzer ab 13 Jahren. Wir erfassen wissentlich keine Daten von Kindern unter 13 Jahren. Wenn du glaubst, dass ein Kind die App verwendet hat, kontaktiere uns und wir helfen dabei, die iCloud-Daten zu löschen.
7. Internationale Nutzer
rox-strat ist weltweit verfügbar. Da alle Daten im eigenen iCloud-Account des Nutzers gespeichert sind, richtet sich die Datenspeicherung nach Apples iCloud-Infrastruktur für die jeweilige Region des Nutzers. Wir übertragen Daten nicht selbst über Ländergrenzen hinweg.
8. Deine Rechte (DSGVO, CCPA usw.)
Im Rahmen der DSGVO, CCPA und ähnlicher Regelwerke hast du das Recht, auf personenbezogene Daten, die wir über dich speichern, zuzugreifen, sie zu berichtigen, zu übertragen oder löschen zu lassen. Da wir deine Daten nicht speichern — das tut Apple in deinem Auftrag — kannst du diese Rechte direkt über iCloud und die iOS-Einstellungen ausüben, wie in Abschnitt 5 beschrieben. Wir helfen gerne weiter, wenn du auf Probleme stößt: Kontaktdaten siehe unten.
9. Änderungen dieser Richtlinie
Wenn wir wesentliche Änderungen am Umgang mit Daten vornehmen, wird diese Seite aktualisiert und das Datum „Zuletzt aktualisiert" oben ändert sich. Wesentliche Änderungen werden auch beim nächsten App-Start innerhalb der App kommuniziert.