Privacy Policy

Hinweis: Diese Datenschutzerklärung enthält Platzhalter in [eckigen Klammern]. Sie müssen vor Veröffentlichung mit den tatsächlichen Angaben ausgefüllt und rechtlich geprüft werden. Dies ist keine Rechtsberatung.

Stand: [TT.MM.JJJJ]

Diese Datenschutzerklärung informiert dich darüber, wie wir mit deinen personenbezogenen Daten umgehen, wenn du die App circady („App") oder unsere zugehörige Webseite nutzt.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):

[VORNAME NACHNAME / FIRMENNAME]
[STRASSE HAUSNR.]
[PLZ ORT]
[LAND]

E-Mail: [DATENSCHUTZ@DEINEDOMAIN.DE]
Webseite: [https://deinedomain.de]

[OPTIONAL: Datenschutzbeauftragte:r: …]

2. Überblick

circady speichert deine Inhalte primär lokal auf deinem Gerät. Für Account, Subscription-Verwaltung und optionale Inhalts-Synchronisation zwischen Geräten nutzen wir externe Dienste (Apple, RevenueCat, Supabase). Wir betreiben keinen eigenen Server, keine eigenen Analytics, keine eigene Werbung, kein eigenes Tracking.

Im Detail:

Bereich	Ort der Verarbeitung
Routinen, Logs, Settings (lokal)	dein iOS-Gerät
HealthKit-Daten	dein iOS-Gerät (bleibt lokal)
Account / Login	Apple („Mit Apple anmelden") + Supabase Auth
Synchronisierte App-Inhalte	Supabase
Subscription / In-App-Käufe	Apple StoreKit + RevenueCat
Gerätedaten-Sync (optional)	iCloud (Apple)
Crash- & Diagnose-Daten	Apple (anonymisiert)

3. Account: „Mit Apple anmelden" (Sign in with Apple)

Für die Anmeldung in circady nutzen wir ausschließlich „Mit Apple anmelden". Bei der Anmeldung kannst du wählen, ob du deine echte E-Mail-Adresse oder eine Apple Relay-Adresse („Hide My Email") teilst.

Daten, die wir dadurch erhalten und in Supabase speichern:

Stabile Apple-User-Kennung
E-Mail-Adresse (echte oder Relay)
Optional einmalig der von dir bei Erstanmeldung freigegebene Name

Zweck: Wiedererkennung deines Accounts über Geräte hinweg, Subscription-Zuordnung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des App-Accounts).

Apple-Datenschutzerklärung: apple.com/legal/privacy

4. Account-Backend: Supabase

Für Account-Speicherung und Synchronisation deiner App-Inhalte (z. B. eigene Routinen, Einstellungen) zwischen deinen Geräten setzen wir Supabase ein.

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992 (bzw. eingetragene US-Niederlassung)

Webseite: supabase.com · Datenschutz: supabase.com/privacy

Standort der verarbeiteten Daten: [EU-Region, z. B. Frankfurt — falls nicht: Drittland mit Standardvertragsklauseln]

Verarbeitete Daten:

Apple-User-Kennung, E-Mail (siehe Abschnitt 3)
Eigene App-Inhalte: Custom-Routinen, Logs, Einstellungen
Technische Metadaten: Zeitpunkt der Erstellung/Änderung

Was NICHT in Supabase landet:

HealthKit-Daten (bleiben lokal auf deinem Gerät)
Zahlungsdaten (gehen ausschließlich an Apple/RevenueCat)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Mit Supabase besteht ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO.

5. Abonnement-Verwaltung: Apple + RevenueCat

Zahlungen und Subscriptions werden über Apple In-App-Purchase abgewickelt. Wir erhalten keine Kreditkarten- oder Bankdaten.

Zur technischen Verwaltung von Subscriptions und Berechtigungen nutzen wir RevenueCat.

Anbieter: RevenueCat, Inc., 153 Townsend Street, Suite 600, San Francisco, CA 94107, USA

Webseite: revenuecat.com · Datenschutz: revenuecat.com/privacy

Verarbeitete Daten:

Anonyme RevenueCat-App-User-Kennung (verknüpft mit unserer Supabase-User-Kennung)
Subscription-Status, Transaktions-Events (Start, Erneuerung, Kündigung)
Land, Sprache, App-Version, ungefähre Geräteinformationen

Drittlandtransfer: USA. Übertragung erfolgt auf Basis der EU-Standardvertragsklauseln und (falls anwendbar) des EU-US Data Privacy Framework. Mit RevenueCat besteht ein DPA.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung kostenpflichtiger Funktionen).

6. HealthKit-Integration

Welche Daten?

circady kann mit deiner ausdrücklichen Zustimmung über Apples HealthKit-Schnittstelle lesend auf folgende Gesundheitsdaten zugreifen:

Workouts
Schlafdaten
Achtsamkeitssitzungen (Mindful Minutes)
VO2max
Herzfrequenzvariabilität (HRV)
Ruheherzfrequenz (RHR)

circady kann optional schreibend Routinen-Abschlüsse in HealthKit ablegen, sofern du dies erlaubst.

Verarbeitung

HealthKit-Daten werden ausschließlich lokal auf deinem Gerät verarbeitet, um:

Routinen automatisch als erledigt zu markieren
Deinen Longevity Index zu berechnen
Trends und Verlauf anzuzeigen

Übermittlung

HealthKit-Daten werden nicht an Supabase, RevenueCat oder andere Dritte übermittelt. Sie verlassen dein Gerät nicht (Ausnahme: Apples eigene HealthKit-iCloud-Synchronisation, die von dir in den iOS-Einstellungen gesteuert wird — wir haben darauf keinen Zugriff).

Widerruf

Du kannst deine Zustimmung jederzeit widerrufen unter Einstellungen → Datenschutz & Sicherheit → Health → circady.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung in die Verarbeitung von Gesundheitsdaten).

7. iCloud-Sync (optional)

Wenn du iCloud-Sync für die App in den iOS-Einstellungen aktivierst, werden deine lokalen App-Daten zusätzlich über deinen persönlichen iCloud-Account zwischen deinen Apple-Geräten synchronisiert.

Verarbeitung durch Apple Inc. als Auftragsverarbeiter unter den Bedingungen deines iCloud-Accounts.
Wir haben keinen Zugriff auf diese Daten.
HealthKit-Daten werden nicht durch unsere iCloud-Synchronisation übertragen — HealthKit hat einen eigenen, von dir gesteuerten Sync.

8. Crashberichte und Diagnose (Apple)

Wenn du in iOS unter Einstellungen → Datenschutz & Sicherheit → Analyse & Verbesserungen → „Mit App-Entwicklern teilen" zugestimmt hast, übermittelt Apple uns anonymisierte und aggregierte Absturz- und Performance-Berichte.

Diese Daten enthalten keine direkt identifizierbaren personenbezogenen Daten.
Übermittlung erfolgt ausschließlich durch Apple, nicht direkt aus der App.
Du kannst dies jederzeit in den iOS-Einstellungen deaktivieren.

Zweck: Fehlerdiagnose und Stabilitätsverbesserung der App.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerdiagnose). Da Apple die Daten vor Übermittlung anonymisiert und aggregiert, gilt eine zusätzliche Schutzschicht.

9. Tracking, Werbung, Analytics

Wir setzen keine eigenen Analytics ein (kein Firebase, kein Mixpanel, kein PostHog, etc.).
Wir setzen keine Werbung ein.
Wir nutzen keine IDFA / kein Cross-App-Tracking und blenden daher keinen App-Tracking-Transparency-Dialog (ATT) ein.
Im Privacy-Manifest der App ist NSPrivacyTracking = false gesetzt.

Es findet keine Übermittlung von Daten an Werbenetzwerke oder Datenbroker statt.

10. App-Berechtigungen

circady fragt folgende Berechtigungen ab:

Berechtigung	Zweck
HealthKit (lesend)	Automatisches Abschließen von Routinen, Longevity-Index-Berechnung
HealthKit (schreibend)	[FALLS ZUTREFFEND: Routine-Abschlüsse zurück in die Health-App]
Mitteilungen	[FALLS ZUTREFFEND: Erinnerungen an Routinen]
„Mit Apple anmelden"	Account-Login

Jede Berechtigung kannst du in den iOS-Einstellungen jederzeit widerrufen.

11. Webseite

Unsere Webseite [https://deinedomain.de] wird gehostet bei [HOSTING-ANBIETER, z. B. „GitHub Pages, GitHub Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA"]. Beim Aufruf werden vom Hosting-Anbieter folgende Daten verarbeitet:

IP-Adresse
Datum und Uhrzeit des Zugriffs
aufgerufene Seite
Referrer
User-Agent (Browser, Betriebssystem)

Wir setzen keine Cookies, keine Analyse-Tools und keine Tracker auf der Webseite ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Bereitstellung).

12. Empfänger und Auftragsverarbeiter — Übersicht

Anbieter	Funktion	Sitz / Region	DPA?
Apple Inc.	Sign in with Apple, In-App-Purchase, HealthKit, iCloud, App-Diagnostik	USA / weltweit	Apple Developer Agreement
Supabase, Inc.	Backend (Auth, Datenbank)	[EU-Region — bitte konkret eintragen]	Ja
RevenueCat, Inc.	Subscription-Management	USA	Ja, SCCs
[HOSTING-ANBIETER]	Webseite-Hosting	[REGION]	[Ja/Nein]

13. Speicherdauer

Lokale App-Daten: so lange, wie du die App installiert hast bzw. die Daten nicht löschst.
Account- und synchronisierte Daten in Supabase: bis du dein Account in der App löschst oder uns per E-Mail um Löschung bittest.
Subscription-Daten in RevenueCat: entsprechend der Aufbewahrungsfristen von RevenueCat und den steuerlichen Aufbewahrungspflichten von Apple.
HealthKit-Daten: unverändert in Apples Health-App; werden von circady nicht persistiert.
Webseiten-Logs: entsprechend der Aufbewahrungsfristen des Hosting-Anbieters.

Bei Account-Löschung werden alle in Supabase verknüpften Daten unverzüglich gelöscht.

14. Deine Rechte

Du hast nach DSGVO insbesondere folgende Rechte:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO), wirksam für die Zukunft

Account-Löschung kannst du jederzeit direkt in der App über Einstellungen → Account → Konto löschen anstoßen. Für alle weiteren Anfragen: [DATENSCHUTZ@DEINEDOMAIN.DE]

Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, in der Regel in dem EU-Mitgliedstaat deines Wohnsitzes, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Übersicht der deutschen Aufsichtsbehörden: bfdi.bund.de

15. Datensicherheit

Lokale App-Daten werden in der iOS-Sandbox gespeichert und durch geräteseitige Verschlüsselung (Data Protection) geschützt, sofern dein Gerät mit Code/Face ID/Touch ID gesichert ist.
Die Verbindungen zu Supabase, RevenueCat und Apple-Diensten erfolgen verschlüsselt über TLS.
Wir wählen Anbieter, die nach branchenüblichen Sicherheitsstandards (u. a. ISO 27001, SOC 2) zertifiziert sind, soweit das auf den jeweiligen Anbieter zutrifft.

16. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich die App, die genutzten Schnittstellen oder die rechtlichen Rahmenbedingungen ändern. Die jeweils aktuelle Fassung findest du immer unter [https://deinedomain.de/datenschutz].

17. Kontakt

Bei Fragen oder Anliegen zum Datenschutz:

[VORNAME NACHNAME / FIRMENNAME]
E-Mail: [DATENSCHUTZ@DEINEDOMAIN.DE]

Note: This Privacy Policy contains placeholders in [square brackets]. They must be completed with the actual details and legally reviewed before publication. This is not legal advice.

Last updated: [DD MMM YYYY]

This Privacy Policy describes how we handle your personal data when you use the circady app („App") or our associated website.

1. Data Controller

Controller under the EU General Data Protection Regulation (GDPR):

[FIRST NAME LAST NAME / COMPANY NAME]
[STREET]
[POSTCODE CITY]
[COUNTRY]

Email: [PRIVACY@YOURDOMAIN.COM]
Website: [https://yourdomain.com]

[OPTIONAL: Data Protection Officer: …]

2. Overview

circady stores your content primarily locally on your device. For account, subscription management, and optional content synchronization across devices we use external services (Apple, RevenueCat, Supabase). We operate no own server, no own analytics, no own advertising, no own tracking.

In detail:

Area	Location of processing
Routines, logs, settings (local)	your iOS device
HealthKit data	your iOS device (stays local)
Account / login	Apple („Sign in with Apple") + Supabase Auth
Synchronized app content	Supabase
Subscription / In-App-Purchases	Apple StoreKit + RevenueCat
Device data sync (optional)	iCloud (Apple)
Crash & diagnostics data	Apple (anonymized)

3. Account: Sign in with Apple

For logging into circady we use Sign in with Apple exclusively. During sign-in you can choose whether to share your real email address or an Apple relay address („Hide My Email").

Data we receive and store in Supabase:

Apple stable user identifier
Email address (real or relay)
Optionally a name, one-time at first sign-in

Purpose: Recognizing your account across devices, subscription attribution.

Legal basis: Art. 6(1)(b) GDPR (contract performance — providing the app account).

Apple Privacy Policy: apple.com/legal/privacy

4. Account Backend: Supabase

For account storage and synchronization of your app content (e.g. custom routines, settings) across your devices, we use Supabase.

Provider: Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992 (or registered US subsidiary)

Website: supabase.com · Privacy: supabase.com/privacy

Data processing region: [EU region, e.g. Frankfurt — if not: third country with Standard Contractual Clauses]

Data processed:

Apple user identifier, email (see section 3)
Your own app content: custom routines, logs, settings
Technical metadata: creation/modification timestamps

What does NOT go to Supabase:

HealthKit data (stays local on your device)
Payment data (only goes to Apple/RevenueCat)

Legal basis: Art. 6(1)(b) GDPR (contract performance). A Data Processing Agreement (DPA) under Art. 28 GDPR is in place with Supabase.

5. Subscription Management: Apple + RevenueCat

Payments and subscriptions are processed via Apple In-App-Purchase. We do not receive credit card or banking data.

For technical management of subscriptions and entitlements we use RevenueCat.

Provider: RevenueCat, Inc., 153 Townsend Street, Suite 600, San Francisco, CA 94107, USA

Website: revenuecat.com · Privacy: revenuecat.com/privacy

Data processed:

Anonymous RevenueCat App User ID (linked to our Supabase user ID)
Subscription status, transaction events (start, renewal, cancellation)
Country, language, app version, approximate device info

Third-country transfer: USA. Transfer is based on EU Standard Contractual Clauses and (where applicable) the EU-US Data Privacy Framework. A DPA is in place with RevenueCat.

Legal basis: Art. 6(1)(b) GDPR (contract performance — providing paid features).

6. HealthKit Integration

What data?

With your explicit consent, circady can read the following health data via Apple's HealthKit framework:

Workouts
Sleep data
Mindful Minutes
VO2max
Heart Rate Variability (HRV)
Resting Heart Rate (RHR)

circady can optionally write routine completions to HealthKit, if you allow it.

Processing

HealthKit data is processed only on your device, in order to:

Auto-complete routines
Calculate your Longevity Index
Display trends and history

Transmission

HealthKit data is not transmitted to Supabase, RevenueCat, or any other third party. It does not leave your device (exception: Apple's own HealthKit iCloud sync, controlled by you in iOS Settings — we have no access to it).

Withdrawal of consent

You can withdraw your consent at any time under Settings → Privacy & Security → Health → circady.

Legal basis: Art. 6(1)(a) and Art. 9(2)(a) GDPR (explicit consent for processing of health data).

7. iCloud Sync (optional)

If you enable iCloud sync for the app in iOS Settings, your local app data is additionally synchronized between your Apple devices via your personal iCloud account.

Processing is performed by Apple Inc. as a processor under the terms of your iCloud account.
We have no access to this data.
HealthKit data is not transmitted via our iCloud sync — HealthKit has its own sync controlled by you.

8. Crash Reports and Diagnostics (Apple)

If you have consented in iOS under Settings → Privacy & Security → Analytics & Improvements → „Share with App Developers", Apple provides us with anonymized and aggregated crash and performance reports.

These reports do not contain directly identifiable personal data.
Transmission is performed by Apple, not directly by the app.
You can disable this at any time in iOS Settings.

Purpose: Error diagnosis and stability improvement.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in error diagnosis). Apple's anonymization and aggregation provide an additional protective layer.

9. Tracking, Advertising, Analytics

We use no own analytics (no Firebase, no Mixpanel, no PostHog, etc.).
We use no advertising.
We use no IDFA / no cross-app tracking and therefore do not show an App Tracking Transparency (ATT) prompt.
The app's Privacy Manifest has NSPrivacyTracking = false.

There is no data transmission to ad networks or data brokers.

10. App Permissions

circady requests the following permissions:

Permission	Purpose
HealthKit (read)	Auto-completion of routines, Longevity Index calculation
HealthKit (write)	[IF APPLICABLE: Routine completions back to the Health app]
Notifications	[IF APPLICABLE: Routine reminders]
Sign in with Apple	Account login

You can withdraw any permission at any time in iOS Settings.

11. Website

Our website [https://yourdomain.com] is hosted by [HOSTING PROVIDER, e.g. „GitHub Pages, GitHub Inc., 88 Colin P Kelly Jr Street, San Francisco, CA 94107, USA"]. On access, the hosting provider processes:

IP address
Date and time of access
Requested page
Referrer
User agent (browser, operating system)

We use no cookies, no analytics tools, and no trackers on the website.

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in technical provision).

12. Recipients and Processors — Overview

Provider	Function	Location / Region	DPA?
Apple Inc.	Sign in with Apple, In-App-Purchase, HealthKit, iCloud, app diagnostics	USA / worldwide	Apple Developer Agreement
Supabase, Inc.	Backend (auth, database)	[EU region — please specify]	Yes
RevenueCat, Inc.	Subscription management	USA	Yes, SCCs
[HOSTING PROVIDER]	Website hosting	[REGION]	[Yes/No]

13. Retention

Local app data: for as long as the app is installed, or until you delete the data yourself.
Account and synchronized data in Supabase: until you delete your account in the app or request deletion by email.
Subscription data in RevenueCat: per RevenueCat's retention policy and Apple's tax-related retention obligations.
HealthKit data: unchanged in Apple's Health app; not persisted by circady.
Website logs: per the hosting provider's retention policy.

Upon account deletion, all linked data in Supabase is deleted without delay.

14. Your Rights

Under the GDPR you have, in particular, the following rights:

Access (Art. 15 GDPR)
Rectification (Art. 16 GDPR)
Erasure (Art. 17 GDPR)
Restriction of processing (Art. 18 GDPR)
Data portability (Art. 20 GDPR)
Objection (Art. 21 GDPR)
Withdrawal of consent (Art. 7(3) GDPR), effective for the future

Account deletion can be triggered directly in the app under Settings → Account → Delete Account. For all other requests: [PRIVACY@YOURDOMAIN.COM]

Right to lodge a complaint

You have the right to lodge a complaint with a data protection supervisory authority, usually in the EU Member State of your residence, place of work, or the place of the alleged infringement.

For California residents (CCPA): you have additional rights, including the right to know, delete, and opt out of the sale of personal information. circady does not sell personal information.

15. Data Security

Local app data is stored in the iOS sandbox and protected by device-level encryption (Data Protection), provided your device is secured with a passcode/Face ID/Touch ID.
Connections to Supabase, RevenueCat, and Apple services are encrypted via TLS.
We select providers certified to industry-standard security frameworks (such as ISO 27001, SOC 2) where applicable to the respective provider.

16. Changes to This Privacy Policy

We may update this Privacy Policy if the app, its integrations, or applicable law change. The current version is always available at [https://yourdomain.com/privacy].

17. Contact

For any questions or concerns about privacy:

[FIRST NAME LAST NAME / COMPANY NAME]
Email: [PRIVACY@YOURDOMAIN.COM]