Datenschutzerklärung

Diese Datenschutzerklärung beschreibt, wie wir personenbezogene Daten bei der Nutzung unserer Website, Warteliste, Support-Kanäle und der App "CTRL Habits" verarbeiten. Wir versuchen, Datenverarbeitungen so schlank wie möglich zu halten. Gleichzeitig decken wir hier die Funktionen ab, die aktuell technisch tatsächlich eingesetzt werden, insbesondere AI-Onboarding, Produktanalyse mit PostHog, Community-Funktionen, Push-Nachrichten und In-App-Abonnements.

1. Verantwortlicher

2. Welche Daten wir verarbeiten

2.1 Website, Warteliste und E-Mail-Kommunikation

Wenn Sie unsere Website nutzen oder sich zur Warteliste anmelden, verarbeiten wir insbesondere:

• E-Mail-Adresse
• Zeitpunkt der Anmeldung und Verifizierung
• Verifizierungs- und Abmeldetokens
• Inhalte und Metadaten von E-Mails, die wir Ihnen senden
• technisch erforderliche Server-Logs wie IP-Adresse, Zeitstempel, User-Agent und aufgerufene URL

Die Anmeldung zur Warteliste erfolgt per Double-Opt-in. Erst nach Klick auf den Bestätigungslink wird die Anmeldung aktiv. Sie können sich über den Abmeldelink in unseren E-Mails jederzeit wieder austragen.

Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Wartelisten-/Launch-E-Mails; berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für technisch notwendige Logs, Missbrauchsschutz und die sichere Bereitstellung der Website.

2.2 Konto-, Profil- und Authentifizierungsdaten

Bei der Registrierung und Nutzung eines Nutzerkontos verarbeiten wir:

• E-Mail-Adresse, Benutzername, Anzeigename
• Passwort in gehashter/verschlüsselter Form
• interne User-ID, Session- und Sicherheitsdaten
• Profilbild, sofern Sie eines hochladen
• bei Social Login die vom gewählten Anbieter bereitgestellten Basisdaten, insbesondere Apple- oder Google-Account-Bezug, Authentifizierungskennungen und ggf. Name/E-Mail

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für Kontosicherheit, Missbrauchsprävention und Fehleranalyse.

2.3 App-Inhalte, Fortschritt und Community-Daten

Zur Nutzung der Kern- und Social-Funktionen der App verarbeiten wir unter anderem:

• Habits, Routinen, Ziele, Notizen und Onboarding-Angaben
• Fortschrittsdaten wie Streaks, Completion-Status und Statistiken
• Freundschaften, Freundschaftsanfragen, Gruppen und Challenges
• Social- und Feed-Daten, soweit diese durch die App-Funktionen erzeugt werden
• Profil- und Gruppenbilder, sofern Sie diese hochladen

Wenn Sie Community-Funktionen verwenden, können bestimmte Daten innerhalb der App für andere Nutzer sichtbar werden, etwa Benutzername, Profilbild, Freundesbeziehungen, Gruppenmitgliedschaften, Challenge- Teilnahme sowie als sichtbar markierte Habits und deren Fortschritt. Die Sichtbarkeit erfolgt innerhalb der App und featureabhängig, nicht als frei indexierbare Internet-Veröffentlichung.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.4 AI-Onboarding und AI-generierte Planvorschläge

Wir bieten AI-Funktionen an, insbesondere einen geführten AI-Chat im Onboarding und die AI-gestützte Erstellung eines Starter-Plans. Dabei können insbesondere folgende Daten verarbeitet und an unseren AI-Anbieter weitergegeben werden:

• Ihre Chat-Nachrichten und sonstige Freitext-Eingaben
• Onboarding-Angaben wie Altersgruppe, Beruf, Geschlecht, Entwicklungsbereiche, Motivation, Herausforderung, Präferenzen und Commitment-Level
• optionale Namensangaben oder sonstige personenbezogene Inhalte, sofern Sie diese selbst eingeben
• AI-generierte Zusammenfassungen, Habit-Vorschläge und Planentwürfe

Das AI-Onboarding kann bereits vor vollständiger Registrierung nutzbar sein. Auch dann können die eingegebenen Inhalte personenbezogene Daten darstellen, wenn Sie solche Angaben selbst eintragen. Teile des Onboarding-Fortschritts können zusätzlich temporär lokal auf Ihrem Gerät gespeichert werden, damit Sie den Flow fortsetzen können.

Rechtsgrundlagen: Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) für die Bereitstellung der angeforderten Funktion; berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einer nutzerfreundlichen, personalisierten Produktführung.

2.5 Produktanalyse und Nutzungsdaten (PostHog)

Wir nutzen PostHog für Produkt-, Nutzungs- und Ereignisanalyse im Zusammenhang mit App und Backend. Dabei können je nach Ereignis und Nutzungskontext unter anderem verarbeitet werden:

• interne User-ID und Session-ID
• E-Mail-Adresse, Name, Benutzername, Anzeigename, Profilbild
• Screenviews und Ereignisse innerhalb der App
• technische Kontextdaten wie Plattform, App-Version, Build-Nummer, Release-Channel, Umgebung, Zeitzone, API-Version und User-Agent
• Ereignisse zu Kontoanlage, Login, Onboarding, Habits, Gruppen, Challenges, Benachrichtigungen und Abonnementstatus

Wir nutzen diese Daten, um die Stabilität des Produkts zu überwachen, Fehler zu analysieren, Features zu verbessern und zu verstehen, welche Funktionen tatsächlich genutzt werden. Wir verkaufen diese Daten nicht und nutzen sie nicht für fremde Werbezwecke.

Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der sicheren, wirtschaftlichen und datenbasierten Weiterentwicklung unseres Produkts.

2.6 Abonnements, Plattformen und Zahlungen

Für In-App-Abonnements und Testphasen verarbeiten wir Informationen zum Abonnementstatus. Die Zahlungsabwicklung selbst erfolgt über Apple App Store bzw. Google Play. Wir erhalten nicht Ihre vollständigen Zahlungsdaten, wohl aber abonnementsbezogene Informationen wie Status, Laufzeiten, Kaufzeitpunkte, Entitlement-Daten und eine technische Zuordnung über eine pseudonymisierte App-User-ID.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

2.7 Push-Nachrichten und Geräteberechtigungen

Wenn Sie Push-Benachrichtigungen erlauben, verarbeiten wir Ihr Push- Token, Geräte- und App-Kontext sowie Benachrichtigungspräferenzen und Zustellinformationen. Wenn Sie ein Profil- oder Gruppenbild hochladen, greifen wir nur nach Ihrer Freigabe auf Foto-/Dateiberechtigungen zu.

Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für pushbezogene Berechtigungen und den Fotozugriff; Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Auslieferung aktivierter Benachrichtigungsfunktionen.

3. Zwecke der Verarbeitung

• Betrieb der Website, Warteliste und E-Mail-Kommunikation
• Registrierung, Login und Kontoverwaltung
• Bereitstellung von Habit-, Community- und Social-Funktionen
• Erstellung personalisierter Onboarding- und AI-Vorschläge
• Abwicklung von Testphasen, Abonnements und Referral-Programmen
• Versand von Push-Nachrichten und transaktionalen E-Mails
• IT-Sicherheit, Missbrauchsprävention, Fehleranalyse und Produkt- Verbesserung

4. Empfänger und eingesetzte Dienste

4.1 Hosting und Infrastruktur

Unsere Kerninfrastruktur läuft auf eigenen bzw. angemieteten Servern bei Hetzner Online GmbH. Dort werden insbesondere Website-, API- und Datenbankinhalte verarbeitet.

4.2 OpenAI (AI-Funktionen)

Für AI-Onboarding und AI-generierte Habit-/Planvorschläge nutzen wir OpenAI. Dabei werden die für die jeweilige Anfrage erforderlichen Inhalte an OpenAI übermittelt. Dazu gehören insbesondere Chat-Inhalte, strukturierte Onboarding-Angaben und AI-relevante Kontextdaten aus Ihrem Onboarding.

4.3 PostHog (Produktanalyse)

Für Produkt- und Nutzungsanalyse nutzen wir PostHog. PostHog erhält Ereignis-, Nutzungs- und technische Kontextdaten sowie je nach Event auch Kontobezüge wie interne User-ID, E-Mail, Name oder Benutzername.

4.4 RevenueCat, Apple und Google (Abonnements / Plattformen)

Für Subscription-Management nutzen wir RevenueCat. In-App-Käufe selbst werden über Apple bzw. Google abgewickelt. Dabei verarbeiten diese Anbieter die für Kauf, Verifikation und Abrechnungsstatus erforderlichen Daten.

4.5 Expo sowie Apple/Google für Push-Nachrichten

Für Push-Zustellung nutzen wir Expo sowie die jeweiligen Push-Infrastrukturen von Apple und Google.

4.6 E-Mail-Versand

Für Verifizierungs-, Welcome- und Launch-E-Mails nutzen wir einen SMTP- Versanddienstleister. Dabei werden insbesondere Ihre E-Mail-Adresse, Versandmetadaten und die jeweiligen E-Mail-Inhalte verarbeitet.

5. Drittlandübermittlungen

Einige der eingesetzten Dienstleister sitzen oder verarbeiten Daten außerhalb der EU bzw. des EWR, insbesondere in den USA. Sofern dabei personenbezogene Daten in Drittländer übermittelt werden, stützen wir uns auf die jeweils verfügbaren gesetzlichen Transfermechanismen, insbesondere Standardvertragsklauseln oder sonstige zulässige Garantien, soweit anwendbar.

6. Speicherdauer und Löschung

• Wartelisten-Daten speichern wir bis zum Widerruf Ihrer Einwilligung, zur erfolgreichen Abmeldung oder solange sie für den jeweiligen Kampagnenzweck benötigt werden.
• Kontodaten speichern wir grundsätzlich für die Dauer des Nutzungsverhältnisses und löschen oder anonymisieren sie anschließend, soweit keine gesetzlichen Aufbewahrungspflichten oder technisch notwendige Restbestände entgegenstehen.
• Technische Logs und Sicherheitsdaten werden nur so lange aufbewahrt, wie sie für Stabilität, Missbrauchsschutz und Fehleranalyse notwendig sind.

Sie können Ihr Konto direkt in der App löschen. Bitte beachten Sie, dass eine Konto-Löschung blockiert sein kann, solange ein noch aktives, automatisch verlängerndes Abonnement besteht. In diesem Fall muss das Abonnement zuerst über Apple oder Google gekündigt werden.

7. Ihre Rechte

Sie haben insbesondere folgende Rechte:

• Auskunft über die von uns verarbeiteten Daten
• Berichtigung unrichtiger Daten
• Löschung oder Einschränkung der Verarbeitung
• Datenübertragbarkeit, soweit gesetzlich vorgesehen
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Beschwerde bei einer zuständigen Datenschutzaufsichtsbehörde

8. Mindestalter

Unser Angebot richtet sich nicht an Personen unter 16 Jahren. Wenn Sie das Mindestalter nicht erreicht haben, nutzen Sie bitte weder die App noch die AI- oder Community-Funktionen.

9. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Datenverarbeitungen oder rechtliche Anforderungen ändern. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.

Datenschutzkontakt: info@ctrlhabits.com