Datenschutzerklärung

Stand: 1. Juni 2026

Diese Datenschutzerklärung erläutert Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten im Rahmen der Nutzung der mobilen Anwendung ArcUp (im Folgenden „App"). Maßgeblich sind die Datenschutz-Grundverordnung (DSGVO), das österreichische Datenschutzgesetz (DSG) sowie ergänzende Bestimmungen.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist die im Impressum (siehe Impressum) genannte Person. Für datenschutzrechtliche Anliegen ist folgende Kontaktadresse eingerichtet:

E-Mail: datenschutz@arc-up.com

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen.

2. Übersicht: welche Daten wir verarbeiten

Die App ist so gestaltet, dass möglichst wenige personenbezogene Daten verarbeitet werden („Datenminimierung", Art. 5 Abs. 1 lit. c DSGVO). Konkret werden folgende Datenkategorien verarbeitet:

a) Account- und Profildaten

  • E-Mail-Adresse (für Anmeldung, Konto-Bestätigung, Passwort-Zurücksetzung)
  • Benutzername, Vorname (im Profil)
  • Spracheinstellung, Maßeinheit (metrisch/imperial), Zeitzone, Farbschema, erster Wochentag
  • Benachrichtigungs-Einstellungen: Erinnerungszeiten für Habit-Benachrichtigungen (Morgen / Mittag / Abend), ein Hauptschalter für alle Benachrichtigungen sowie die An/Aus-Schalter für die Rückkehr-Erinnerung (bei längerer Inaktivität) und die Streak-in-Gefahr-Erinnerung
  • Onboarding-Status („welche Walkthroughs habe ich gesehen")
  • Zeitpunkt der einmaligen Kenntnisnahme des Gesundheits-Hinweises (siehe AGB § 9 Abs. 6–7)
  • Zeitstempel der Kontoerstellung, des letzten Logins und des letzten Datenexports

b) Nutzungsdaten zur App-Funktionalität

  • Selbst angelegte Lebensbereiche (Life Areas), Ziele, Tagebucheinträge
  • Gewählte ARCs (Herausforderungen) und ihre Konfiguration
  • Habit-Definitionen, sofern selbst erstellt
  • Habit-Logs (täglich/wöchentlich eingegebene numerische Werte je Habit)
  • Berechnete Statistiken: tägliche/wöchentliche Vervollständigung, Streak, XP, Level
  • Erfolge / Achievements
  • Urlaubsperioden (Vacation Mode) zur Pausierung der Streak
  • Lesezeichen / Favoriten (gespeicherte Lerninhalte und ARCs)
  • In-App-Feedback- und Support-Nachrichten (Freitext bis 2000 Zeichen, Kategorie; vom Nutzer aktiv übermittelt)

c) Hochgeladene Inhalte

  • ARC-Coverbilder, die der Nutzer selbst hochlädt (gespeichert im Storage-Bereich arc-covers/<user_id>/)
  • Optionale Screenshots, die der Nutzer freiwillig an eine Feedback-Nachricht anhängt (gespeichert im privaten Storage-Bereich feedback-screenshots/<user_id>/; nicht öffentlich abrufbar, nur über kurzlebige signierte URLs für Administratoren einsehbar). Solche Screenshots können je nach Bildinhalt personenbezogene Daten enthalten.

d) Abonnement- und Kaufstatus-Daten

  • Tarif, Status, Verlängerungs-/Ablaufdatum, Kündigungsmarkierung
  • Store-Kennzeichen, über das der Kauf erfolgte (z. B. „App Store", „Google Play")
  • Eine pseudonyme Abonnenten-Kennung bei RevenueCat, die unserer internen Nutzer-ID entspricht
  • Keine Zahlungs-, Karten- oder Kontodaten: Der Kauf wird vollständig über die In-App-Kauf-Mechanismen von Apple bzw. Google abgewickelt; vollständige Zahlungsdaten werden ausschließlich vom jeweiligen Store verarbeitet und sind dem Anbieter zu keinem Zeitpunkt zugänglich.

e) Technische Daten

Beim Aufruf der Server-Infrastruktur fallen technisch unvermeidbare Protokolldaten an (IP-Adresse, Zeitstempel, Endpunkt, HTTP-Statuscode). Diese werden vom Cloud-Anbieter Supabase verarbeitet und nur zur Aufrechterhaltung des Betriebs und zur Abwehr von Missbrauch genutzt.

f) Daten, die wir nicht erheben

  • Keine Standortdaten (GPS)
  • Keine Kontakte
  • Keine Kalender-, SMS- oder Telefonbuchdaten
  • Keine Push-Token / Geräte-Identifier für Push-Server (Benachrichtigungen werden ausschließlich lokal auf dem Gerät geplant – siehe 7.)
  • Kein App-Tracking durch Dritte, keine Drittanbieter-Analyse- oder Werbe-SDKs, keine Werbe-IDs, keine Cookies in der App, keine Drittanbieter-Tracker (Google Analytics, Facebook SDK o. ä. sind nicht eingebunden). Ein separates Verhaltens-Tracking findet nicht statt; rein interne, aggregierte Auswertungen bereits zu Funktionszwecken vorhandener Daten zur Reichweiten- und Nutzungsmessung sind in Abschnitt 3 beschrieben.
  • Keine Gesundheitsdaten im engeren Sinne des Art. 9 DSGVO werden gezielt erhoben. Habit-Logs können zwar Werte enthalten, die Rückschlüsse auf Verhalten zulassen (z. B. Schlafdauer, Schritte), werden jedoch ausschließlich auf Initiative des Nutzers eingegeben.

3. Zwecke und Rechtsgrundlagen

  • Bereitstellung des Nutzerkontos, Authentifizierung (E-Mail, Passwort-Hash, Profildaten) — Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Bereitstellung der Kernfunktionen (Habit-Logging, ARCs, Statistiken) — Art. 6 Abs. 1 lit. b DSGVO
  • Beweissicherung der Kenntnisnahme des Gesundheits-Hinweises (AGB § 9 Abs. 6–7) — Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Dokumentation der Aufklärung gegenüber Haftungsansprüchen
  • Bearbeitung von In-App-Feedback, Support und Produktverbesserung — Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an Fehlerbehebung und Produktverbesserung
  • Abrechnung des Pro-Tarifs, Abonnement-Verwaltung — Art. 6 Abs. 1 lit. b DSGVO; steuerrechtliche Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO i. V. m. BAO
  • KI-gestützte ARC-Vorschläge („Generate ARC", Pro-Feature) — Art. 6 Abs. 1 lit. b DSGVO, nur auf aktive Anfrage des Nutzers; die optionale Mitsendung der selbst erstellten Gewohnheiten zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung per Opt-in-Schalter, standardmäßig deaktiviert)
  • Lokale Erinnerungs-Benachrichtigungen — Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über System-Dialog)
  • Datenexport und Datenauskunft (DSGVO Art. 15/20) — Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 15/20 DSGVO
  • Kontolöschung (DSGVO Art. 17) — Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 17 DSGVO
  • Aufrechterhaltung und Sicherheit des Betriebs (Logs, Missbrauchserkennung) — Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an stabilem und sicherem Betrieb
  • Reichweiten- und Nutzungsmessung zur Produktverbesserung (internes Admin-Panel) — ausschließlich aggregierte bzw. pseudonyme Kennzahlen, berechnet aus bereits zu Funktionszwecken vorhandenen Daten (z. B. Gesamt- und aktive Nutzerzahlen, Neuregistrierungen, Verteilungen nach Sprache/Zeitzone/Tarif, Engagement-Durchschnitte wie Level/XP/Streak, Monatstrends); keine Auswertung identifizierbarer Einzelinhalte — Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an der Verbesserung und wirtschaftlichen Tragfähigkeit der App; Widerspruchsrecht nach Art. 21 DSGVO

Zugriff durch den Betreiber

Der Anbieter ist datenschutzrechtlich Verantwortlicher (nicht Auftragsverarbeiter) und kann im technisch und organisatorisch erforderlichen Umfang auf gespeicherte Account- und Nutzungsdaten zugreifen – etwa zur Aufrechterhaltung des Betriebs, zur Fehlerbehebung, zur Bearbeitung von Support-Anfragen, zur Abwehr von Missbrauch sowie zur Erfüllung gesetzlicher Pflichten. Der Zugriff erfolgt nach dem Grundsatz der Erforderlichkeit (need-to-know):

  • Systematische Auswertungen (siehe Abschnitt 3) erfolgen ausschließlich auf aggregierter bzw. pseudonymisierter Basis; dabei werden keine identifizierbaren Einzelinhalte einzelner Nutzer durchgesehen.
  • Auf identifizierbare Einzelinhalte (z. B. der Freitext einer Feedback-Nachricht samt angehängtem Screenshot) wird nur bei einem konkreten Anlass zugegriffen, etwa zur Bearbeitung der jeweiligen Support-Nachricht.
  • Der Betrieb wird derzeit von einer einzelnen verantwortlichen Person geführt; eine Weitergabe an oder Einsicht durch weitere Personen findet nicht statt. Sollte sich dies ändern, werden die Betroffenen informiert und etwaige Vertraulichkeits- bzw. Auftragsverarbeitungspflichten vorab erfüllt.

4. Empfänger / Auftragsverarbeiter

Wir setzen für den Betrieb der App folgende Auftragsverarbeiter ein. Mit allen wurden – soweit DSGVO-pflichtig – Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO abgeschlossen.

Supabase Inc. – Backend, Datenbank, Authentifizierung, Storage

  • Sitz: 970 Toa Payoh North, #07-04, Singapore 318992 (Holding); operative Tochter in den USA.
  • Funktion: Hosting der PostgreSQL-Datenbank, Authentifizierungs-Service, Object Storage (für Coverbilder, optionale Feedback-Screenshots und Daten-Exporte), Edge Functions.
  • Hosting-Region: Stockholm (eu-north-1), Europäische Union. Datenbank, Auth-Service, Storage und Edge Functions liegen physisch in der EU.
  • Drittlandsbezug: Supabase ist ein US-amerikanisches Unternehmen. Mit Supabase besteht ein AVV inklusive der EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.
  • Datenschutzerklärung: supabase.com/privacy

RevenueCat, Inc. – Abonnement-Validierung und -Statusverwaltung

  • Sitz: 1100 Mission St, San Francisco, CA 94103, USA.
  • Funktion: Technische Validierung der über Apple/Google getätigten In-App-Käufe sowie Verwaltung und Synchronisation des Abonnement-Status (Webhook-Lieferung von Kauf-, Verlängerungs- und Kündigungs-Ereignissen an unser Backend). RevenueCat wickelt keine Zahlungen ab.
  • Verarbeitete Daten: eine pseudonyme App-User-ID (entspricht unserer internen Nutzer-ID), Kauf-/Abonnement-Status, Produkt-Kennung, Store-Kennzeichen (Apple/Google), Zeitstempel. Keine Zahlungs-, Karten- oder Kontodaten, keine E-Mail-Adresse, keine Klarnamen.
  • Drittlandsbezug: USA. RevenueCat stellt EU-Standardvertragsklauseln zur Verfügung.
  • Datenschutzerklärung: revenuecat.com/privacy

Anthropic, PBC – Generierung von ARC-Vorschlägen (Pro-Feature)

  • Sitz: 548 Market St, PMB 90375, San Francisco, CA 94104, USA.
  • Funktion: Verarbeitung des vom Nutzer eingegebenen Textprompts plus mitgeschickter Katalog-Stammdaten (integrierter System-Habit-Katalog, Lebensbereiche, Sprache, Einheitensystem) zur Erzeugung eines KI-generierten ARC-Vorschlags durch das Modell Claude Haiku 4.5.
  • Übermittelte Daten: Standardmäßig werden nur der Prompt-Freitext sowie der gemeinsame, für alle Nutzer identische System-Stammdaten-Katalog (Gewohnheiten, Lebensbereiche, Sprache, Einheit) übermittelt. Aktiviert der Pro-Nutzer den optionalen Schalter „Eigene Gewohnheiten einbeziehen" (standardmäßig deaktiviert), werden zusätzlich die Bezeichnungen seiner selbst erstellten Gewohnheiten übertragen. Nicht übermittelt werden in keinem Fall Profil-/Kontodaten, E-Mail-Adresse, Nutzer-ID, Habit-Logs, Statistiken, Streaks oder sonstige Verhaltens-/Verlaufsdaten.
  • Drittlandsbezug: USA. Anthropic stellt EU-Standardvertragsklauseln zur Verfügung.
  • Datenverwendung: Eingaben werden laut Anthropic-Richtlinie für API-Kunden nicht für das Training von Modellen verwendet. Anthropic speichert API-Eingaben standardmäßig nur für die Dauer der Anfrage bzw. zur Missbrauchserkennung für einen begrenzten Zeitraum.
  • Diese Funktion wird ausschließlich auf aktive Anfrage des Pro-Nutzers ausgelöst.
  • Datenschutzerklärung: anthropic.com/legal/privacy

Resend (Resend, Inc.) – Versand von System-/Auth-E-Mails

  • Sitz: Resend, Inc., USA (San Francisco, CA) (genaue Anschrift aus dem Resend-AVV/Impressum übernehmen).
  • Funktion: technischer Versand der automatisierten System-E-Mails der App (E-Mail-Bestätigung bei der Registrierung, Passwort-Zurücksetzung) über einen eigenen SMTP-Dienst, ausgelöst durch den Supabase-Authentifizierungs-Service; Absender noreply@arc-up.com.
  • Verarbeitete Daten: die E-Mail-Adresse des Empfängers sowie der Inhalt der jeweiligen System-Mail (Bestätigungs-/Reset-Link). Keine weiteren Profil-, Nutzungs- oder Verhaltensdaten.
  • Drittlandsbezug: USA. Resend stellt EU-Standardvertragsklauseln zur Verfügung.
  • Datenschutzerklärung: resend.com/legal/privacy-policy

Cloudflare (Cloudflare, Inc.) – Website-Hosting, CDN & DNS

  • Sitz: 101 Townsend St, San Francisco, CA 94107, USA.
  • Funktion: Hosting und Auslieferung der Website arc-up.com (inkl. dieser Rechtstexte) über Cloudflare Pages/CDN sowie DNS-Verwaltung der Domain.
  • Verarbeitete Daten: technisch unvermeidbare Zugriffsdaten beim Aufruf der Website (IP-Adresse, Zeitstempel, angefragte Seite, User-Agent) zur Auslieferung und Missbrauchsabwehr.
  • Drittlandsbezug: USA. Cloudflare stellt EU-Standardvertragsklauseln zur Verfügung (DPA).
  • Datenschutzerklärung: cloudflare.com/privacypolicy

Zoho (Zoho Corporation) – geschäftliches E-Mail-Postfach (Kontakt/Support)

  • Sitz: Zoho Corporation, USA (Austin, TX); bei der Einrichtung wird die EU-Datenresidenz (Rechenzentrum in der EU) gewählt.
  • Funktion: Betrieb der geschäftlichen E-Mail-Postfächer (kontakt@, support@, datenschutz@arc-up.com); verarbeitet E-Mails, wenn ein Nutzer den Anbieter per E-Mail kontaktiert.
  • Verarbeitete Daten: E-Mail-Adresse von Absender/Empfänger und der Inhalt der jeweiligen Nachricht (vom Nutzer freiwillig übermittelt).
  • Drittlandsbezug: Zoho ist ein US-Unternehmen; bei gewählter EU-Datenresidenz liegen die Daten in der EU. Soweit ein Drittlandsbezug besteht, stützen wir uns auf EU-Standardvertragsklauseln.
  • Datenschutzerklärung: zoho.com/privacy

Apple Distribution International Ltd. / Google Commerce Ltd. – App-Vertrieb

  • Sitz: Apple – Hollyhill Industrial Estate, Cork, Irland. Google – Gordon House, Barrow Street, Dublin 4, Irland.
  • Funktion: Vertrieb der App über den jeweiligen Store; bei In-App-Käufen Abwicklung der Zahlung über die Store-eigenen Mechanismen.
  • Wir erhalten von Apple/Google nur aggregierte und pseudonymisierte Informationen über Käufe, keine personenbezogenen Klardaten der Käufer.
  • Datenschutzerklärungen: apple.com/legal/privacy und policies.google.com/privacy

4a. Ausgehende Links und Amazon-Affiliate-Empfehlungen

Die App enthält in den „Lerninhalten" redaktionell ausgewählte Verweise zu Amazon-Produktseiten (Buchempfehlungen). Klickt der Nutzer auf einen solchen Link, verlässt er die App und wird im externen Browser des Geräts zur Amazon-Zielseite weitergeleitet.

  • Der Anbieter selbst überträgt im Moment des Klicks keine personenbezogenen Daten an Amazon. Die Affiliate-Zuordnung erfolgt ausschließlich über einen anonymen Partner-Tag (z. B. tag=arcup-21) in der Ziel-URL, der den Anbieter als vermittelnde Quelle ausweist, nicht den klickenden Nutzer.
  • Auf der Amazon-Zielseite kann Amazon eigene Cookies, Tracking-Pixel oder ähnliche Technologien einsetzen. Für diese Vorgänge ist ausschließlich Amazon datenschutzrechtlich verantwortlich. Maßgeblich ist Amazons Datenschutzerklärung: amazon.de/gp/help/customer/display.html?nodeId=201909010.
  • Es findet kein Profiling des Nutzers durch den Anbieter im Zuge eines Affiliate-Klicks statt.
  • Der Anbieter erhält von Amazon im Rahmen des Partnerprogramms ausschließlich aggregierte, nicht personenbezogene Statistiken (Klick- und Conversionszahlen) — keine Klardaten zu einzelnen klickenden oder kaufenden Nutzern.

4b. Einsatz von KI für redaktionelle Inhalte

Die in der App angezeigten ArcUp-Original-Inhalte (Lerninhalte) wurden mit Unterstützung des Large Language Models Claude (Anthropic) vorab und kuratorisch erstellt. Es werden zu keinem Zeitpunkt personenbezogene Daten der Nutzer für diese Inhaltsgenerierung an Anthropic übermittelt. Die Inhaltserstellung erfolgt unabhängig vom konkreten Nutzer; jeder Nutzer sieht denselben kuratierten Inhalt.

Der separate, nutzergesteuerte KI-Generator („Generate ARC", Pro-Feature) ist hiervon zu unterscheiden und in Abschnitt 4 (Anthropic, PBC) gesondert beschrieben — nur dort werden in Echtzeit der vom Nutzer eingegebene Prompt sowie der System-Stammdaten-Katalog und, sofern der Nutzer den entsprechenden Schalter aktiviert hat (standardmäßig deaktiviert), die Bezeichnungen seiner selbst erstellten Gewohnheiten an Anthropic übermittelt. Personenbezogene Profil-, Konto- oder Verhaltensdaten werden auch dort nicht übertragen.

5. Drittlandsübermittlung

Mit Supabase (US-Konzernzugehörigkeit, EU-Hosting), Anthropic (USA), RevenueCat (USA), Resend (USA), Cloudflare (USA, Website-Hosting) und Zoho (USA / EU-Datenresidenz, E-Mail) bestehen Datenverarbeitungen mit Bezug zu einem Drittstaat. Soweit Daten in die USA übertragen oder von dort aus zugänglich werden, stützen wir die Übermittlung auf die Standardvertragsklauseln (SCC) der EU-Kommission gem. Art. 46 Abs. 2 lit. c DSGVO. Wir prüfen die jeweils aktuellen Angemessenheitsentscheidungen (z. B. EU-US Data Privacy Framework) und passen die Grundlage bei Bedarf an.

6. Speicherdauer

  • Account-, Profil- und Nutzungsdaten: für die Dauer des bestehenden Vertragsverhältnisses. Bei Löschung des Kontos werden sie umgehend gelöscht (siehe 10.).
  • Habit-Logs, Statistiken, Achievements, Ziele, Journal-Einträge, Selfmade-Habits/-ARCs, Coverbilder, Feedback-Nachrichten samt optional angehängtem Screenshot, Urlaubsperioden: bis zur Kontolöschung. Einzelne Datensätze kann der Nutzer jederzeit selbst innerhalb der App löschen.
  • Cross-ARC-Vervollständigungs-Logs (completion_logs): rollierendes 90-Tage-Fenster; ältere Datensätze werden automatisch gelöscht.
  • Abo-/Rechnungsdaten: sieben Jahre gemäß § 132 Bundesabgabenordnung (BAO) bzw. § 212 UGB. Innerhalb dieser Frist werden Daten nur noch zu Beweis- und Aufbewahrungszwecken vorgehalten und nicht weiter aktiv verarbeitet.
  • Store-Abonnements & RevenueCat: Aktive In-App-Abonnements werden von Apple bzw. Google verwaltet und durch eine Kontolöschung nicht automatisch beendet — der Nutzer muss sie in den Store-Einstellungen selbst kündigen (hierauf wird vor der Löschung hingewiesen). Der bei RevenueCat gespeicherte pseudonyme Abonnenten-Datensatz enthält keine Klardaten und kann auf Anfrage gelöscht werden.
  • Server-Logs: maximal 30 Tage durch Supabase-Logging, danach automatische Rotation.

7. Push-Benachrichtigungen (rein lokal)

ArcUp nutzt keinen Push-Server (kein FCM, kein APNs-Token wird gespeichert oder an unsere Server übertragen). Alle Erinnerungen sind lokal auf dem Gerät durch das Betriebssystem geplante Benachrichtigungen. Der Nutzer kann sie jederzeit über die Profil-Einstellungen der App – einzeln je Kategorie oder zentral über einen Hauptschalter – oder über die System-Einstellungen seines Geräts vollständig deaktivieren.

Es gibt drei Kategorien lokaler Erinnerungen, jeweils einzeln abschaltbar: (1) tägliche Habit-Erinnerungen zu den gewählten Tageszeiten, (2) eine Rückkehr-Erinnerung, die nach einer festen Zahl an Tagen ohne App-Nutzung ausgelöst und beim nächsten Öffnen automatisch wieder verworfen wird, sowie (3) eine Streak-in-Gefahr-Erinnerung, die nur dann am Abend (gerätelokale Zeit) ausgelöst wird, wenn ein laufender Streak besteht und der Tag noch nicht abgeschlossen ist. Alle drei werden ausschließlich aus bereits auf dem Gerät vorhandenen Daten berechnet; es werden hierfür keine Daten an Server übertragen.

Die Berechtigung zur Anzeige von Benachrichtigungen wird über den jeweiligen System-Dialog von iOS/Android eingeholt; eine Ablehnung beeinträchtigt die übrige Funktionalität der App nicht.

8. Lokale Datenspeicherung auf dem Gerät

  • Expo SecureStore: speichert ausschließlich das Supabase-Sitzungstoken (JWT) verschlüsselt im sicheren Bereich des Betriebssystems (iOS Keychain / Android Keystore). Bei Logout oder Konto-Löschung wird das Token entfernt.
  • Lokaler Cache (TanStack React Query): im Arbeitsspeicher der App, zur Performance-Optimierung der Anzeige. Kein persistenter Datenexport; bei App-Schließung gelöscht.
  • Foto-Auswahl (expo-image-picker): greift nach Bestätigung des System-Dialogs auf einzelne, vom Nutzer ausgewählte Bilder zu, zur Verwendung als ARC-Coverbild oder als optionaler Screenshot-Anhang an eine Feedback-Nachricht.

9. Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, insbesondere:

  • Transport-Verschlüsselung: Sämtliche Kommunikation zwischen App und Server erfolgt über HTTPS/TLS.
  • Authentifizierung: Passwort-basierte Anmeldung mit Supabase Auth; serverseitiges Hashing der Passwörter.
  • Row-Level Security (RLS): Auf Datenbank-Ebene ist für jede Tabelle erzwungen, dass Nutzer ausschließlich auf ihre eigenen Zeilen zugreifen können (Vergleich auth.uid() = user_id).
  • Verschlüsselte Token-Ablage im Keychain/Keystore des Endgeräts.
  • Backups durch die EU-Infrastruktur des Cloud-Anbieters (verschlüsselte Snapshots).
  • Strenge Minimal-Berechtigungen für Server-Funktionen; sensible Drittanbieter-Schlüssel (RevenueCat, Anthropic) liegen ausschließlich serverseitig.

10. Ihre Rechte als betroffene Person

Sie haben jederzeit folgende Rechte:

  • Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO – „Recht auf Vergessenwerden")
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Erleichterung der Ausübung dieser Rechte bietet die App zwei integrierte Selbstbedienungs-Funktionen:

  • Datenexport („Datenexport" im Profil-Bereich): erstellt einen ZIP-Download Ihres gesamten personenbezogenen Datenbestands (alle Tabellen, in denen Sie Eigentümer sind, plus Ihre hochgeladenen Coverbilder und an Feedback angehängten Screenshots) als JSON-Dateien plus Manifest. Aus Schutz vor missbräuchlichen Massenanfragen ist die Funktion auf eine Anfrage pro 24 Stunden beschränkt (Art. 12 Abs. 5 DSGVO).
  • Konto-Löschung („Konto löschen" in den Account-Einstellungen): löscht unwiderruflich Ihren Supabase-Account, alle damit verknüpften Datensätze über ON DELETE CASCADE-Verknüpfungen, sämtliche von Ihnen hochgeladenen Storage-Objekte (Coverbilder, an Feedback angehängte Screenshots und ggf. vorgenerierte Export-Archive). Über Apple bzw. Google abgeschlossene Abonnements werden hierdurch nicht gekündigt und müssen separat in den Store-Einstellungen beendet werden.

Darüber hinaus erreichen Sie uns unter der in 1. angegebenen Adresse.

11. Beschwerderecht

Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Zuständig in Österreich ist:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

Nutzer aus anderen EU-Mitgliedstaaten können sich ebenso an die Aufsichtsbehörde ihres gewöhnlichen Aufenthaltsorts wenden.

12. Automatisierte Entscheidungsfindung, Profiling

Eine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Funktion „Generate ARC" erstellt lediglich Vorschläge, die ausschließlich auf Initiative des Nutzers angestoßen werden und vom Nutzer angenommen, geändert oder verworfen werden können.

13. Minderjährige

ArcUp ist nicht auf Personen unter 16 Jahren ausgerichtet; eine Kontoerstellung setzt die Vollendung des 16. Lebensjahres voraus. Wir erheben wissentlich keine Daten von Personen unter 16 Jahren. Eltern oder Erziehungsberechtigte, die feststellen, dass ihr Kind uns Daten übermittelt hat, können sich jederzeit an die in 1. genannte Adresse wenden; die Daten werden umgehend gelöscht.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Funktionen der App, eingesetzte Dienstleister oder die Rechtslage ändern. Die jeweils aktuelle Fassung ist über die App (Profil → Rechtliches) abrufbar.

This privacy policy explains the nature, scope and purposes of the processing of personal data in connection with the use of the mobile application ArcUp (hereinafter the "App"). The relevant legal bases are the General Data Protection Regulation (GDPR), the Austrian Data Protection Act (DSG) and supplementary provisions. Translation provided for convenience — the binding text is the German version.

1. Controller

The controller within the meaning of Art. 4(7) GDPR is the person named in the imprint. The following address is set up for data protection enquiries:

Email: datenschutz@arc-up.com

A Data Protection Officer has not been appointed under Art. 37 GDPR, as the statutory requirements for this are not met.

2. Overview: what data we process

The App is designed so that as little personal data as possible is processed ("data minimisation", Art. 5(1)(c) GDPR). Specifically, the following categories of data are processed:

a) Account and profile data

  • Email address (for sign-in, account confirmation, password reset)
  • Username, first name (in the profile)
  • Language preference, unit system (metric/imperial), time zone, colour scheme, first weekday
  • Notification settings: reminder times for habit notifications (morning / midday / evening), a master switch for all notifications, plus the on/off toggles for the come-back reminder (after a period of inactivity) and the streak-at-risk reminder
  • Onboarding status ("which walkthroughs have I seen")
  • Time of the one-time acknowledgement of the health notice (see Terms § 9(6)–(7))
  • Timestamps of account creation, last login and last data export

b) Usage data for app functionality

  • Self-created life areas, goals, journal entries
  • Selected ARCs (challenges) and their configuration
  • Habit definitions, if self-created
  • Habit logs (numeric values entered daily/weekly per habit)
  • Calculated statistics: daily/weekly completion, streak, XP, level
  • Achievements
  • Vacation periods (Vacation Mode) for pausing the streak
  • Bookmarks / favorites (saved learning content and ARCs)
  • In-app feedback and support messages (free text up to 2000 characters, category; actively submitted by the User)

c) Uploaded content

  • ARC cover images uploaded by the User (stored in the storage area arc-covers/<user_id>/)
  • Optional screenshots the User voluntarily attaches to a feedback message (stored in the private storage area feedback-screenshots/<user_id>/; not publicly accessible, viewable by administrators only via short-lived signed URLs). Depending on their content, such screenshots may contain personal data.

d) Subscription and purchase-status data

  • Plan, status, renewal/expiry date, cancellation marker
  • Store identifier the purchase was made through (e.g. "App Store", "Google Play")
  • A pseudonymous subscriber identifier at RevenueCat, equal to our internal user ID
  • No payment, card or bank-account data: the purchase is handled entirely via the in-app purchase mechanisms of Apple/Google; full payment data is processed exclusively by the respective store and is at no point accessible to the Provider.

e) Technical data

When accessing the server infrastructure, technically unavoidable log data (IP address, timestamp, endpoint, HTTP status code) is generated. This is processed by the cloud provider Supabase and used only to maintain operation and prevent abuse.

f) Data we do not collect

  • No location data (GPS)
  • No contacts
  • No calendar, SMS or phonebook data
  • No push tokens / device identifiers for push servers (notifications are scheduled exclusively locally on the device – see 7.)
  • No third-party app tracking, no third-party analytics or advertising SDKs, no advertising IDs, no cookies in the app, no third-party trackers (Google Analytics, Facebook SDK or similar are not integrated). No separate behavioural tracking takes place; purely internal, aggregated evaluations of data already held for functional purposes, for reach and usage measurement, are described in Section 3.
  • No health data in the narrower sense of Art. 9 GDPR is collected purposefully. Habit logs may contain values that allow conclusions about behaviour (e.g. sleep duration, steps), but they are entered only at the User's initiative.

3. Purposes and legal bases

  • Providing the user account, authentication (email, password hash, profile data) — Art. 6(1)(b) GDPR (performance of contract)
  • Providing the core features (habit logging, ARCs, statistics) — Art. 6(1)(b) GDPR
  • Evidence of acknowledgement of the health notice (Terms § 9(6)–(7)) — Art. 6(1)(f) GDPR, legitimate interest in documenting the warning against liability claims
  • Handling in-app feedback, support and product improvement — Art. 6(1)(f) GDPR, legitimate interest in bug-fixing and product improvement
  • Billing of the Pro plan, subscription management — Art. 6(1)(b) GDPR; tax-law retention Art. 6(1)(c) GDPR in conjunction with BAO
  • AI-assisted ARC suggestions ("Generate ARC", Pro feature) — Art. 6(1)(b) GDPR, only on active request of the User; the optional inclusion of self-created habits additionally Art. 6(1)(a) GDPR (consent via opt-in toggle, off by default)
  • Local reminder notifications — Art. 6(1)(a) GDPR (consent via system dialog)
  • Data export and access (GDPR Art. 15/20) — Art. 6(1)(c) GDPR in conjunction with Art. 15/20 GDPR
  • Account deletion (GDPR Art. 17) — Art. 6(1)(c) GDPR in conjunction with Art. 17 GDPR
  • Maintaining and securing operation (logs, abuse detection) — Art. 6(1)(f) GDPR, legitimate interest in stable and secure operation
  • Reach and usage measurement for product improvement (internal admin panel) — exclusively aggregated or pseudonymous metrics computed from data already held for functional purposes (e.g. total and active user counts, new sign-ups, distributions by language/timezone/plan, engagement averages such as level/XP/streak, monthly trends); no evaluation of identifiable individual content — Art. 6(1)(f) GDPR, legitimate interest in improving and sustaining the App; right to object under Art. 21 GDPR

Access by the operator

Under data protection law the provider is the controller (not a processor) and may access stored account and usage data to the extent technically and organisationally necessary – for example to maintain operation, to fix errors, to handle support requests, to prevent abuse and to comply with legal obligations. Access follows the principle of necessity (need-to-know):

  • Systematic evaluations (see Section 3) are carried out exclusively on an aggregated or pseudonymised basis; no identifiable individual content of individual users is reviewed in the process.
  • Identifiable individual content (e.g. the free text of a feedback message together with an attached screenshot) is accessed only on a specific occasion, such as to handle the respective support message.
  • Operation is currently run by a single responsible person; no disclosure to or access by further persons takes place. Should this change, data subjects will be informed and any confidentiality or processing obligations will be fulfilled in advance.

4. Recipients / processors

We use the following processors to operate the App. Where required by the GDPR, data processing agreements (DPAs) under Art. 28 GDPR have been concluded with all of them.

Supabase Inc. – backend, database, authentication, storage

  • Seat: 970 Toa Payoh North, #07-04, Singapore 318992 (holding); operating subsidiary in the USA.
  • Function: hosting of the PostgreSQL database, authentication service, object storage (for cover images, optional feedback screenshots and data exports), edge functions.
  • Hosting region: Stockholm (eu-north-1), European Union. Database, auth service, storage and edge functions are physically located in the EU.
  • Third-country reference: Supabase is a US company. A DPA including the EU Standard Contractual Clauses under Art. 46(2)(c) GDPR has been concluded with Supabase.
  • Privacy policy: supabase.com/privacy

RevenueCat, Inc. – subscription validation and status management

  • Seat: 1100 Mission St, San Francisco, CA 94103, USA.
  • Function: technical validation of in-app purchases made via Apple/Google and management and synchronisation of the subscription status (webhook delivery of purchase, renewal and cancellation events to our backend). RevenueCat does not process any payments.
  • Processed data: a pseudonymous app user ID (equal to our internal user ID), purchase/subscription status, product identifier, store identifier (Apple/Google), timestamps. No payment, card or bank-account data, no email address, no real names.
  • Third-country transfer: USA. RevenueCat provides EU Standard Contractual Clauses.
  • Privacy policy: revenuecat.com/privacy

Anthropic, PBC – generation of ARC suggestions (Pro feature)

  • Seat: 548 Market St, PMB 90375, San Francisco, CA 94104, USA.
  • Function: processing of the text prompt entered by the User plus catalogue master data sent along (built-in system habit catalogue, life areas, language, unit system) to produce an AI-generated ARC suggestion by the model Claude Haiku 4.5.
  • Transmitted data: by default, only the free-text prompt and the shared system master-data catalogue (habits, life areas, language, unit) — identical for all users — are transmitted. If the Pro User enables the optional toggle "Include my own habits" (off by default), the names of their self-created habits are sent in addition. In no case are profile/account data, email address, user ID, habit logs, statistics, streaks or any other behavioural/history data transmitted.
  • Third-country reference: USA. Anthropic provides EU Standard Contractual Clauses.
  • Data use: according to Anthropic's policy for API customers, inputs are not used to train models. By default, Anthropic stores API inputs only for the duration of the request or for abuse detection for a limited period.
  • This feature is triggered exclusively on active request of the Pro User.
  • Privacy policy: anthropic.com/legal/privacy

Resend (Resend, Inc.) – sending of system/auth emails

  • Seat: Resend, Inc., USA (San Francisco, CA) (exact address to be taken from the Resend DPA/imprint).
  • Function: technical delivery of the app's automated system emails (email confirmation at sign-up, password reset) via a dedicated SMTP service, triggered by the Supabase authentication service; sender noreply@arc-up.com.
  • Processed data: the recipient's email address and the content of the respective system email (confirmation/reset link). No other profile, usage or behavioural data.
  • Third-country transfer: USA. Resend provides EU Standard Contractual Clauses.
  • Privacy policy: resend.com/legal/privacy-policy

Cloudflare (Cloudflare, Inc.) – website hosting, CDN & DNS

  • Seat: 101 Townsend St, San Francisco, CA 94107, USA.
  • Function: hosting and delivery of the website arc-up.com (incl. these legal texts) via Cloudflare Pages/CDN, and DNS management of the domain.
  • Processed data: technically unavoidable access data when the site is loaded (IP address, timestamp, requested page, user agent) for delivery and abuse prevention.
  • Third-country transfer: USA. Cloudflare provides EU Standard Contractual Clauses (DPA).
  • Privacy policy: cloudflare.com/privacypolicy

Zoho (Zoho Corporation) – business email mailbox (contact/support)

  • Seat: Zoho Corporation, USA (Austin, TX); EU data residency (EU data centre) is selected at setup.
  • Function: operation of the business email mailboxes (kontakt@, support@, datenschutz@arc-up.com); processes emails when a user contacts the provider by email.
  • Processed data: the email address of the sender/recipient and the content of the respective message (voluntarily provided by the user).
  • Third-country transfer: Zoho is a US company; with the selected EU data residency the data is stored in the EU. Where a third-country transfer occurs, we rely on EU Standard Contractual Clauses.
  • Privacy policy: zoho.com/privacy

Apple Distribution International Ltd. / Google Commerce Ltd. – app distribution

  • Seat: Apple – Hollyhill Industrial Estate, Cork, Ireland. Google – Gordon House, Barrow Street, Dublin 4, Ireland.
  • Function: distribution of the app via the respective store; for in-app purchases, payment processing via the store's own mechanisms.
  • We receive only aggregated and pseudonymised purchase information from Apple/Google, no plain personal data of buyers.
  • Privacy policies: apple.com/legal/privacy and policies.google.com/privacy

4a. Outgoing links and Amazon affiliate recommendations

Within the "Learning Content" library, the app contains editorially selected references to Amazon product pages (book recommendations). When the User clicks on such a link, they leave the app and are redirected to the Amazon target page in the device's external browser.

  • The Provider itself does not transmit any personal data to Amazon at the moment of the click. Affiliate attribution is made exclusively via an anonymous partner tag (e.g. tag=arcup-21) in the target URL, which identifies the Provider as referring source — not the clicking User.
  • On the Amazon target page, Amazon may use its own cookies, tracking pixels or similar technologies. Amazon is solely responsible under data protection law for these operations. Amazon's privacy policy applies: amazon.de/gp/help/customer/display.html?nodeId=201909010.
  • No profiling of the User is performed by the Provider as a result of an affiliate click.
  • Under the partner programme, the Provider receives from Amazon only aggregated, non-personal statistics (click and conversion numbers) — no plain data on individual clicking or purchasing users.

4b. Use of AI for editorial content

The ArcUp Original content shown in the app (Learning Library) was created in advance and curatorially with the support of the Large Language Model Claude (Anthropic). At no point are personal data of users transmitted to Anthropic for this content generation. Content creation is independent of the specific User; every User sees the same curated content.

The separate, user-controlled AI generator ("Generate ARC", Pro feature) is to be distinguished from this and is described separately in Section 4 (Anthropic, PBC) — only there are the prompt entered by the User, the system master-data catalogue and, if the User has enabled the corresponding toggle (off by default), the names of their self-created habits transmitted to Anthropic in real time. No personal profile, account or behavioural data is transmitted there either.

5. Transfer to third countries

With Supabase (US corporate affiliation, EU hosting), Anthropic (USA), RevenueCat (USA), Resend (USA), Cloudflare (USA, website hosting) and Zoho (USA / EU data residency, email), there are processing operations involving a third country. To the extent data is transferred to the USA or accessible from there, we base the transfer on the Standard Contractual Clauses (SCC) of the EU Commission under Art. 46(2)(c) GDPR. We review the respective adequacy decisions in force (e.g. EU-US Data Privacy Framework) and adjust the basis as required.

6. Storage period

  • Account, profile and usage data: for the duration of the existing contractual relationship. Upon deletion of the account, it is deleted immediately (see 10.).
  • Habit logs, statistics, achievements, goals, journal entries, self-made habits/ARCs, cover images, feedback messages including any attached screenshot, vacation periods: until account deletion. Individual records can be deleted by the User at any time within the App.
  • Cross-ARC completion logs (completion_logs): rolling 90-day window; older records are automatically deleted.
  • Subscription/invoice data: seven years pursuant to Section 132 of the Austrian Federal Fiscal Code (BAO) or Section 212 UGB. During this period, data is retained only for evidence and storage purposes and is no longer actively processed.
  • Store subscriptions & RevenueCat: Active in-app subscriptions are managed by Apple/Google and are not automatically terminated by deleting your account — you must cancel them yourself in the store settings (you are warned of this before deletion). The pseudonymous subscriber record held at RevenueCat contains no plain-text data and can be deleted on request.
  • Server logs: max. 30 days via Supabase logging, then automatic rotation.

7. Push notifications (purely local)

ArcUp uses no push server (no FCM, no APNs token is stored or transmitted to our servers). All reminders are locally on the device scheduled notifications by the operating system. The User can deactivate them at any time via the profile settings of the App — individually per category or centrally via a master switch — or via the system settings of their device.

There are three categories of local reminders, each individually switchable: (1) daily habit reminders at the chosen times of day, (2) a come-back reminder that triggers after a fixed number of days without app usage and is automatically discarded the next time the app is opened, and (3) a streak-at-risk reminder that fires in the evening (device-local time) only when an ongoing streak exists and the day is not yet complete. All three are computed solely from data already present on the device; no data is transmitted to servers for this purpose.

Permission to display notifications is obtained via the respective iOS/Android system dialog; refusal does not impair the other functionality of the App.

8. Local data storage on the device

  • Expo SecureStore: stores only the Supabase session token (JWT) encrypted in the secure area of the operating system (iOS Keychain / Android Keystore). The token is removed on logout or account deletion.
  • Local cache (TanStack React Query): in the App's working memory, to optimise display performance. No persistent data export; deleted when the App is closed.
  • Photo picker (expo-image-picker): after confirming the system dialog, accesses individual images selected by the User, for use as an ARC cover image or as an optional screenshot attachment to a feedback message.

9. Security

We take appropriate technical and organisational measures pursuant to Art. 32 GDPR, in particular:

  • Transport encryption: all communication between App and server is via HTTPS/TLS.
  • Authentication: password-based sign-in with Supabase Auth; server-side hashing of passwords.
  • Row-Level Security (RLS): at the database level, each table enforces that users can only access their own rows (comparison auth.uid() = user_id).
  • Encrypted token storage in the device's Keychain/Keystore.
  • Backups via the EU infrastructure of the cloud provider (encrypted snapshots).
  • Strict minimum permissions for server functions; sensitive third-party keys (RevenueCat, Anthropic) are kept exclusively server-side.

10. Your rights as a data subject

You have the following rights at any time:

  • Access (Art. 15 GDPR) to the data stored about you
  • Rectification of incorrect data (Art. 16 GDPR)
  • Erasure (Art. 17 GDPR – "right to be forgotten")
  • Restriction of processing (Art. 18 GDPR)
  • Data portability (Art. 20 GDPR)
  • Objection to processing based on legitimate interest (Art. 21 GDPR)
  • Withdrawal of consent with effect for the future (Art. 7(3) GDPR)

To facilitate the exercise of these rights, the App offers two integrated self-service functions:

  • Data export ("Data export" in the profile area): creates a ZIP download of your entire personal data set (all tables where you are the owner, plus your uploaded cover images and screenshots attached to feedback) as JSON files plus a manifest. To protect against abusive bulk requests, the function is limited to one request per 24 hours (Art. 12(5) GDPR).
  • Account deletion ("Delete account" in the account settings): irreversibly deletes your Supabase account, all linked records via ON DELETE CASCADE relations, all storage objects you have uploaded (cover images, screenshots attached to feedback and any pre-generated export archives). Subscriptions concluded via Apple/Google are not cancelled by this and must be ended separately in the respective store settings.

You can also reach us at the address given in 1.

11. Right to complain

You have the right to lodge a complaint with a supervisory authority. Competent in Austria is:

Austrian Data Protection Authority (DSB)
Barichgasse 40-42, 1030 Vienna
Phone: +43 1 52 152-0
Email: dsb@dsb.gv.at
Web: www.dsb.gv.at

Users from other EU member states may equally turn to the supervisory authority of their place of habitual residence.

12. Automated decision-making, profiling

Automated decision-making with legal effect within the meaning of Art. 22 GDPR does not take place. The AI feature "Generate ARC" merely creates suggestions that are triggered exclusively at the User's initiative and can be accepted, modified or discarded by the User.

13. Minors

ArcUp is not directed at persons under 16 years of age; creating an account requires having reached the age of 16. We knowingly do not collect data from persons under 16. Parents or legal guardians who notice that their child has transmitted data to us may contact us at any time at the address given in 1.; the data will be deleted promptly.

14. Changes to this privacy policy

We reserve the right to adapt this privacy policy if functions of the App, processors used or the legal situation change. The current version is available via the App (Profile → Legal).