Privacy Policy

Data Controller

Mareika Arnold
Dorfhaldenstrasse 5
6052 Hergiswil NW
Switzerland
Email: info@shapectrl.app

There is no statutory obligation to appoint a Data Protection Officer (Art. 37 GDPR, Art. 10 Swiss FADP). All data protection requests should be sent directly to the email address above.

1. Data Collected and Purpose

1.1 Waitlist Signup

When you sign up to our waitlist, we collect the following data:

  • Email address (to notify you at app launch)
  • Signup timestamp
  • Anonymised IP hash (SHA-256 with salt, server-side, non-reversible) for spam and abuse prevention
  • User agent (browser and device type, for technical error analysis)
  • Signup source (which form element was used)

Legal bases:

  • Email address and signup timestamp: Art. 6(1)(b) GDPR (pre-contractual measure with a view to later app access).
  • IP hash, user agent, source: Art. 6(1)(f) GDPR (legitimate interest in spam protection, abuse prevention and technical error analysis). Balancing test: processing is anonymised or minimal, the interference is negligible, the interest in platform security prevails.

1.2 Server Log Files

Every page request generates technical connection data in server logs, which are mandatory for operation:

  • IP address (truncated or anonymised)
  • Date and time of access
  • Referrer URL
  • User agent (browser, device, operating system)
  • HTTP status code, transferred data volume

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in stability, security and error analysis). Retention: up to 30 days, then automatic deletion. Processor: Vercel Inc. (see processors below).

1.3 Geo-IP Lookup for Localised Pricing

On the first request to the home page, your browser calls ipapi.co to determine your country of origin (two-letter ISO code, e.g. "DE", "US") so that prices can be displayed in your local currency. Your public IP address is processed by ipapi.co (Kaffeine LLC, Mauritius). We do not store the IP ourselves; only the country code is cached for the browser session (sessionStorage).

Legal basis: Art. 6(1)(f) GDPR (legitimate interest in displaying correct local pricing and avoiding currency confusion). You can override automatic detection at any time by manually selecting a currency in the footer (selection stored in localStorage). Country code retention: until the browser tab is closed. Transmission: ipapi.co operates globally distributed servers; requests go to the geographically nearest edge server.

1.4 Google Analytics (consent-based only)

With your explicit consent via the cookie banner, we use Google Analytics 4 to analyse user behaviour in aggregate (page views, time on page, source, conversion events). IP addresses are transmitted in anonymised form. Data is transferred to Google Ireland Ltd. and Google LLC (USA).

Legal basis: Art. 6(1)(a) GDPR (consent). You can withdraw your consent at any time with effect for the future — see "Cookies and Storage Technologies" below.

No analytics tracking runs before consent (Google Consent Mode v2 with default-denied).

2. Cookies and Storage Technologies

We use exclusively the following storage technologies on your device:

  • localStorage entry shapectrl_consent_v1 — stores your cookie decision (accepted/declined) so the banner does not appear on every visit. Strictly necessary under §25(2)(2) TTDSG (DE) and Art. 45c FMG (CH). Retention: until you manually clear your browser storage.
  • Google Analytics cookies (_ga, _ga_XLSKKZ7VYM) — set only after your consent. Purpose: recognition of returning visitors, session tracking. Retention: up to 2 years. Provider: Google.

Change cookie settings at any time: via the "Cookie settings" link in the footer you can reopen the banner and withdraw or update your decision at any time.

3. Processors

We use the following external service providers, with whom Article 28 GDPR processing agreements are in place:

  • Supabase Inc. (USA, with EU/Switzerland hosting) — storage of waitlist data. Region: eu-central-2 (Zurich). Safeguards: EU-US Data Privacy Framework, Standard Contractual Clauses.
  • Vercel Inc. (USA, with EU edge routing) — landing page hosting. Connection logs (anonymised IP, timestamp) may be processed briefly in the USA. Safeguards: EU-US Data Privacy Framework, Standard Contractual Clauses.
  • Hostpoint AG (Rapperswil-Jona, Switzerland) — email reception for info@shapectrl.app.
  • Google Ireland Ltd. and Google LLC (Ireland and USA) — Google Analytics 4, consent-based only. Safeguards: EU-US Data Privacy Framework, Standard Contractual Clauses.
  • Kaffeine LLC (ipapi.co) (Mauritius, global CDN) — Geo-IP lookup for localised pricing. Data processed: public IP address. Returns: two-letter country code. Provider does not store IP persistently (per provider privacy policy). Not a DPF member, legal basis: Art. 6(1)(f) GDPR; provider privacy policy: https://ipapi.co/privacy/

For transfers to the USA we rely on the EU-US Data Privacy Framework (European Commission adequacy decision of 10 July 2023) and on EU Standard Contractual Clauses (SCCs).

4. Storage Location

Waitlist data is stored exclusively in Switzerland: Supabase, region eu-central-2 (Zurich). Vercel hosting primarily uses EU edge nodes; logs may be processed briefly in the USA. Email correspondence runs through Hostpoint in Switzerland. With consent to Google Analytics, data is additionally transmitted to Google in Ireland and the USA.

5. Retention

Waitlist data is retained until launch of the ShapeCtrl app, at the latest 3 years after collection, or until you withdraw your consent. Server logs: up to 30 days. Google Analytics data is automatically deleted after 14 months (configurable in the GA property settings).

On request, your data will be deleted promptly and completely.

6. Your Rights

Under GDPR (and under the Swiss FADP for persons residing in Switzerland) you have the following rights:

  • Access to stored data (Art. 15 GDPR)
  • Rectification of inaccurate data (Art. 16 GDPR)
  • Erasure of your data (Art. 17 GDPR)
  • Restriction of processing (Art. 18 GDPR)
  • Data portability (Art. 20 GDPR)
  • Objection to processing (Art. 21 GDPR)
  • Withdrawal of given consent (Art. 7(3) GDPR)

All requests to: info@shapectrl.app

You also have the right to lodge a complaint with a data protection supervisory authority. For Switzerland: Federal Data Protection and Information Commissioner (FDPIC, www.edoeb.admin.ch). For Germany: the state data protection authorities or the Federal Commissioner for Data Protection and Freedom of Information (BfDI, www.bfdi.bund.de).

7. Changes to this Policy

We reserve the right to update this privacy policy at any time. The current version is always available at shapectrl.app/datenschutz.

Last updated: 27 May 2026

In case of any legal interpretation conflict between this English version and the German version, the German-language version prevails as the legally binding text under Swiss law (FADP) and EU law (GDPR). Switch to German via the language picker in the footer.

Datenschutzerklärung

Verantwortliche

Mareika Arnold
Dorfhaldenstrasse 5
6052 Hergiswil NW
Schweiz
E-Mail: info@shapectrl.app

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nicht (Art. 37 DSGVO, Art. 10 nDSG). Alle datenschutzrechtlichen Anfragen direkt an die oben genannte E-Mail-Adresse.

1. Erhobene Daten und Zweck

1.1 Waitlist-Anmeldung

Wenn du dich auf unserer Warteliste einträgst, erheben wir folgende Daten:

  • E-Mail-Adresse (zur Benachrichtigung beim App-Launch)
  • Anmeldezeitpunkt
  • Anonymisierter IP-Hash (SHA-256 mit Salt, server-seitig, nicht rückverfolgbar) zur Spam- und Missbrauchs-Prävention
  • User-Agent (Browser und Gerätetyp, zur technischen Fehleranalyse)
  • Quelle des Signups (welches Formular-Element genutzt wurde)

Rechtsgrundlagen:

  • E-Mail-Adresse und Anmeldezeitpunkt: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahme im Hinblick auf späteren App-Zugang).
  • IP-Hash, User-Agent, Quelle: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam-Schutz, Missbrauchsabwehr und technischer Fehleranalyse). Interessenabwägung: die Verarbeitung ist anonymisiert bzw. minimal, der Eingriff geringfügig, das Interesse an Plattform-Sicherheit überwiegt.

1.2 Server-Logfiles

Bei jedem Aufruf der Seite werden technische Verbindungsdaten in Server-Logs verarbeitet, die zwingend für den Betrieb anfallen:

  • IP-Adresse (gekürzt bzw. anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Referrer-URL (verweisende Seite)
  • User-Agent (Browser, Gerät, Betriebssystem)
  • HTTP-Statuscode, übertragene Datenmenge

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Fehleranalyse). Speicherdauer: bis zu 30 Tage, dann automatische Löschung. Verarbeiter: Vercel Inc. (siehe Auftragsverarbeiter unten).

1.3 Geo-IP-Lookup für lokalisierte Preisanzeige

Beim ersten Aufruf der Startseite ermittelt dein Browser über einen Aufruf an ipapi.co dein Herkunftsland (zweistelliger ISO-Code, z. B. "DE", "US"), um Preise in deiner lokalen Währung anzuzeigen. Verarbeitet wird dabei deine öffentliche IP-Adresse durch ipapi.co (Kaffeine LLC, Mauritius). Wir selbst speichern die IP nicht, nur den Ländercode wird für die Browser-Session gecacht (sessionStorage).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Anzeige korrekter lokaler Preise und Vermeidung von Währungsverwirrung). Du kannst die automatische Erkennung jederzeit überschreiben, indem du im Footer manuell eine Währung wählst (Auswahl wird in localStorage gespeichert). Speicherdauer Ländercode: bis Browser-Tab geschlossen wird. Übermittlung: ipapi.co betreibt Server weltweit, die Anfrage geht zum geographisch nächsten Edge-Server.

1.4 Google Analytics (nur bei Einwilligung)

Bei ausdrücklicher Einwilligung über den Cookie-Banner setzen wir Google Analytics 4 ein, um das Nutzerverhalten aggregiert auszuwerten (Seitenaufrufe, Verweildauer, Herkunft, Conversion-Events). Die IP-Adresse wird anonymisiert übertragen. Daten werden an Google Ireland Ltd. und Google LLC (USA) übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — siehe Section "Cookies und Speichertechnologien" unten.

Vor der Einwilligung wird kein Analytics-Tracking ausgeführt (Google Consent Mode v2 mit default-denied).

2. Cookies und Speichertechnologien

Wir nutzen ausschliesslich folgende Speicher-Technologien auf deinem Endgerät:

  • localStorage-Eintrag shapectrl_consent_v1 — speichert deine Cookie-Entscheidung (akzeptiert/abgelehnt), damit der Banner nicht bei jedem Besuch erscheint. Technisch notwendig nach §25 Abs. 2 Nr. 2 TTDSG (DE) bzw. Art. 45c FMG (CH). Speicherdauer: bis du den Browser-Speicher manuell löschst.
  • Google-Analytics-Cookies (_ga, _ga_XLSKKZ7VYM) — werden ausschliesslich nach deiner Einwilligung gesetzt. Zweck: Wiedererkennung wiederkehrender Besucher, Session-Tracking. Speicherdauer: bis zu 2 Jahre. Anbieter: Google.

Cookie-Einstellungen jederzeit ändern: über den Link "Cookie-Einstellungen" im Footer kannst du den Banner erneut öffnen und deine Entscheidung jederzeit widerrufen oder neu treffen.

3. Auftragsverarbeiter

Wir setzen folgende externe Dienstleister ein, mit denen Auftragsverarbeitungs-Verträge nach Art. 28 DSGVO bestehen:

  • Supabase Inc. (USA, mit Hosting in der EU/Schweiz) — Speicherung der Waitlist-Daten. Region: eu-central-2 (Zürich). Garantien: EU-US Data Privacy Framework, Standardvertragsklauseln.
  • Vercel Inc. (USA, mit EU-Edge-Routing) — Hosting der Landing Page. Verbindungslogs (anonymisierte IP, Zeitstempel) können kurzfristig in den USA verarbeitet werden. Garantien: EU-US Data Privacy Framework, Standardvertragsklauseln.
  • Hostpoint AG (Rapperswil-Jona, Schweiz) — E-Mail-Empfang für info@shapectrl.app.
  • Google Ireland Ltd. und Google LLC (Irland und USA) — Google Analytics 4, nur bei Einwilligung. Garantien: EU-US Data Privacy Framework, Standardvertragsklauseln.
  • Kaffeine LLC (ipapi.co) (Mauritius, global CDN) — Geo-IP-Lookup zur Anzeige lokalisierter Preise. Verarbeitete Daten: öffentliche IP-Adresse. Rückgabe: zweistelliger Ländercode. Anbieter speichert IP nicht dauerhaft (gemäss Anbieter-Datenschutzerklärung). Kein DPF-Mitglied, Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; Anbieter-DSE: https://ipapi.co/privacy/

Für die Übermittlung in die USA berufen wir uns auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.7.2023) sowie auf EU-Standardvertragsklauseln (SCCs).

4. Speicherort

Waitlist-Daten werden ausschliesslich in der Schweiz gespeichert: Supabase, Region eu-central-2 (Zürich). Vercel-Hosting nutzt primär EU-Edge-Knoten; Logs können kurzfristig in den USA verarbeitet werden. E-Mail-Korrespondenz läuft über Hostpoint in der Schweiz. Bei Einwilligung in Google Analytics werden Daten zusätzlich an Google in Irland und den USA übermittelt.

5. Speicherdauer

Waitlist-Daten werden gespeichert bis zum Launch der ShapeCtrl App, spätestens jedoch 3 Jahre nach Erhebung, oder bis zum Widerruf deiner Einwilligung. Server-Logs: bis zu 30 Tage. Google-Analytics-Daten werden nach 14 Monaten automatisch gelöscht (konfigurierbar im GA-Property-Setting).

Auf Anfrage werden deine Daten unverzüglich und vollständig gelöscht.

6. Deine Rechte

Du hast nach DSGVO (sowie nDSG für Personen mit Wohnsitz in der Schweiz) folgende Rechte:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Alle Anfragen bitte an: info@shapectrl.app

Du hast ausserdem das Recht, bei einer Datenschutzaufsichtsbehörde Beschwerde einzulegen. Für die Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB, www.edoeb.admin.ch). Für Deutschland: die Landesdatenschutzbeauftragten oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI, www.bfdi.bund.de).

7. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die jeweils aktuelle Version ist unter shapectrl.app/datenschutz abrufbar.

Stand: 27. Mai 2026