Datenschutzerklärung

Stand: 25.01.2026

Diese Datenschutzerklärung informiert dich über die Verarbeitung personenbezogener Daten bei Nutzung von

• der App „Flarely“ (Android & iOS) sowie
• der Web-App / Website unter https://flarely.at.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).

---

1. Kontaktdaten

Verantwortlicher i. S. d. Art. 4 Z 7 DSGVO
Flarely e.U.
Inhaber: Severin Hilbert
Herbert Rauch-Gasse 16, 2361 Laxenburg, Österreich
Firmenbuchnummer: FN 670427 y E-Mail (allgemein): info@flarely.at
E-Mail (Datenschutz): datenschutz@flarely.at

Es ist kein Datenschutzbeauftragter bestellt.

---

2. Umfang der Datenverarbeitung, Zwecke und Rechtsgrundlagen

Den Umfang und die Zwecke der Verarbeitung beschreiben wir unten in den jeweiligen Abschnitten zu App und Website. Als Rechtsgrundlagen kommen, je nach Zweck, insbesondere in Betracht:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) – z. B. für optionale Funktionen wie Push-Benachrichtigungen, die freiwillige Verknüpfung deines Google-Kontos zur Kalendersynchronisierung sowie Analytics/Tracking.
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertraglich) – z. B. für Registrierung, Login und Bereitstellung der Kernfunktionen.
• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflicht) – z. B. Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) – z. B. IT-Sicherheit, Betrieb der Infrastruktur, Logfiles, Störungsabwehr.

---

3. Datenverarbeitung außerhalb des EWR

Soweit Daten an Dienstleister außerhalb des EWR übermittelt werden (z. B. USA), stützen wir dies je nach Anbieter auf einen Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework) oder auf Standardvertragsklauseln (Art. 46 DSGVO) sowie geeignete technische und organisatorische Maßnahmen.

Hinweis zu PostHog Cloud (EU): Wir nutzen PostHog in der EU-Cloud (EU-Server). Dennoch ist PostHog ein international tätiger Anbieter; im Fall eines Drittlandbezugs (z. B. Support/Administration) stellen wir geeignete Garantien sicher (z. B. SCC/Angemessenheitsbeschluss).

---

4. Speicherdauer

Sofern in dieser Erklärung nicht anders angegeben, speichern wir personenbezogene Daten nur solange, wie es für die jeweiligen Zwecke erforderlich ist; im Übrigen entsprechend gesetzlicher Aufbewahrungsfristen. Anschließend löschen oder anonymisieren wir die Daten.

Hinweis zu Inhalten/Uploads (z. B. Meldungen in Feuerwehr-Kontexten): Inhalte können für andere Nutzer:innen weiterhin erforderlich sein. Uploads werden daher nicht automatisch bei Kontolöschung entfernt, sondern nur bei deiner aktiven Löschung oder auf Anfrage nach Kontolöschung, soweit keine gesetzlichen Pflichten, Rechte Dritter oder schutzwürdige Interessen entgegenstehen (Art. 6 Abs. 1 lit. b/f DSGVO).

---

5. Rechte der betroffenen Personen

Du hast im gesetzlichen Rahmen folgende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch sowie Widerruf erteilter Einwilligungen.
Du kannst dich außerdem bei der Österreichischen Datenschutzbehörde (DSB) beschweren:
https://dsb.gv.at/ — Beschwerdeformular: https://dsb.gv.at/eingabe-an-die-dsb/beschwerde

Zur Ausübung deiner Rechte genügt eine E-Mail an datenschutz@flarely.at.

---

6. Pflicht zur Bereitstellung von Daten

Für die Nutzung der Kernfunktionen (Konto/Authentifizierung) sind bestimmte Angaben erforderlich (z. B. E-Mail, Passwort, Name). Ohne diese Angaben kannst du die Kernfunktionen nicht nutzen. Uploads sind optional, soweit nicht für bestimmte Funktionen/Fälle erforderlich.

---

7. Keine automatisierte Entscheidungsfindung

Wir setzen keine vollautomatisierten Entscheidungen im Einzelfall i. S. v. Art. 22 DSGVO ein.
Hinweis: Im Rahmen von Analytics/Produktanalyse (PostHog) werten wir Nutzungsverhalten aus, um die App/Website zu verbessern. Dies hat keine rechtliche Wirkung oder ähnlich erhebliche Beeinträchtigung für dich.

---

8. Kontaktaufnahme

Wenn du uns kontaktierst (z. B. per E-Mail), verarbeiten wir die von dir mitgeteilten Daten zur Bearbeitung deiner Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation).

---

9. App-Nutzung (Android, iOS)

9.1 Verarbeitete Datenarten

• Kontodaten: E-Mail-Adresse, Passwort (gehasht), Name.
• Nutzergenerierte Inhalte: Texte, Bilder, Videos (z. B. Meldungen/Belege).
• Push-Tokens: Geräte-/App-Tokens für Push-Benachrichtigungen.
• Technische Daten/Logs: u. a. Abrufe, Fehler-/Leistungsdaten (Expo OTA), Zugriffs- und Sicherheitslogs.
• Produktanalyse/Tracking (PostHog, nur bei Einwilligung): Nutzungs- und Ereignisdaten (z. B. App-Screens, Klicks/Events), technische Geräte-/App-Informationen sowie Kennungen; bei eingeloggten Nutzer:innen verknüpfen wir die Analyse-Daten mit User-ID und E-Mail-Adresse.
• Daten aus Google-Diensten (optional, nur bei aktiver Verknüpfung): siehe Abschnitt 9.5 Google OAuth & Kalendersynchronisierung.

9.2 Zwecke & Rechtsgrundlagen

• Bereitstellung der Funktionen (Registrierung, Login, Speicherung/Synchronisierung deiner Inhalte): Art. 6 Abs. 1 lit. b DSGVO.
• Push-Benachrichtigungen (nur transaktional): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO; Opt-out ist jederzeit über die OS-Einstellungen möglich.
• Betrieb & Sicherheit (z. B. Logs, Missbrauchs-/Störungsabwehr, OTA-Updates): Art. 6 Abs. 1 lit. f DSGVO.
• Produktanalyse/Verbesserung inkl. Session Replay (PostHog, optional): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe 9.6).
• Optionale Google-Kalendersynchronisierung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Verknüpfung deines Google-Kontos, Art. 6 Abs. 1 lit. b DSGVO für die anschließende Durchführung der Synchronisierung (siehe Abschnitt 9.5).

9.3 Dienstleister (App)

• Supabase: (Region: EU) Datenbank, Auth, Storage, Edge Functions
  Datenschutz: https://supabase.com/privacy
• Expo: Push-Benachrichtigungen, OTA-Updates
  Datenschutz: https://expo.dev/privacy
• Resend: E-Mail-Versand (Authentifizierungs-/System-E-Mails)
  Datenschutz: https://resend.com/legal/privacy-policy
• PostHog (Cloud EU): Produktanalyse/Tracking, Session Replay (nur bei Einwilligung)
  Datenschutz: https://posthog.com/privacy
  Hinweis: Verarbeitung erfolgt als Auftragsverarbeiter; ggf. Drittlandbezug siehe Abschnitt 3.
• Google (Google Ireland Limited / Google LLC):
  Einsatz von Google OAuth 2.0 und der Google Calendar API zur optionalen Verknüpfung deines Google-Kontos und zur Synchronisierung von von dir ausgewählten Google-Kalendern mit Flarely (siehe Abschnitt 9.5).
  Datenschutz: https://policies.google.com/privacy
  Hinweis: Es kann zu einer Übermittlung von Daten in Drittländer (insb. USA) kommen; siehe Abschnitt 3.

9.4 Sicherheit

• Transportverschlüsselung (TLS); Passwörter gehasht.
• Keine Ende-zu-Ende-Verschlüsselung durch uns; Speicherung erfolgt gemäß den technischen Standards der genannten Anbieter.

9.5 Google OAuth & Kalendersynchronisierung (optionale Funktion)

Du kannst dein Flarely-Konto freiwillig mit deinem Google-Konto verknüpfen, um ausgewählte Google-Kalender mit Flarely zu synchronisieren (z. B. zum Anzeigen, Abgleichen oder Erstellen von Kalender-Einträgen aus der App heraus).

9.5.1 Welche Daten werden verarbeitet?

Im Rahmen der Verknüpfung und Nutzung dieser Funktion können – je nach von dir erteilter Berechtigung/Scope – insbesondere folgende Daten verarbeitet werden:

• Google-Konto-Basisdaten

  • Name
  • E-Mail-Adresse
  • Google-Account-ID
  • ggf. Profilbild (soweit von Google bereitgestellt)

• Kalender-Metadaten der von dir ausgewählten Kalender

  • Kalender-ID
  • Kalendername/Titel
  • Zeitzone, Beschreibung, ggf. Farbe/Anzeigeeinstellungen

• Kalenderereignisse der ausgewählten Kalender

  • Titel/Betreff des Termins
  • Beschreibung/Notizen
  • Beginn-/Endzeit, ganztägige Ereignisse
  • Ort
  • Teilnehmer:innen (z. B. Namen/E-Mail-Adressen)
  • Erinnerungen/Benachrichtigungseinstellungen
  • Status (z. B. frei, beschäftigt)

• Technische Daten im Zusammenhang mit der Schnittstelle (API)

  • OAuth-Token/Refresh-Token (in sicherer Form) zur erneuten Authentifizierung gegenüber der Google API
  • Fehler-/Zugriffslogs im Rahmen des technischen Betriebs und der Fehleranalyse

Wir greifen nur auf jene Google-Kalender zu, die du ausdrücklich für Flarely freigibst. Andere Datenbereiche deines Google-Kontos werden von uns nicht genutzt.

9.5.2 Zwecke der Verarbeitung

Die Verarbeitung erfolgt zu folgenden Zwecken:

• Bereitstellung der Kalendersynchronisierung als App-Funktion, insbesondere

  • Anzeigen von Ereignissen der von dir ausgewählten Google-Kalender in Flarely,
  • ggf. Erstellen, Ändern oder Löschen von Terminen in diesen ausgewählten Kalendern über Flarely,
  • Abgleich (Sync) zwischen Flarely und Google-Kalender.

• Benutzerfreundlichkeit & Kontenverwaltung

  • Speichern deiner Auswahl der zu synchronisierenden Kalender,
  • Zuordnung der Kalenderdaten zu deinem Flarely-Nutzerkonto.

• Betrieb & Sicherheit

  • Sicherstellung der technischen Funktionsfähigkeit der Schnittstelle,
  • Protokollierung von API-Aufrufen und Fehlern, Missbrauchserkennung.

9.5.3 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung):
  Für die Verknüpfung deines Google-Kontos mit Flarely sowie die Gewährung der jeweiligen Zugriffsberechtigungen (Scopes) über Google OAuth holen wir deine ausdrückliche Einwilligung ein. Ohne diese Einwilligung erfolgt keine Verknüpfung und kein Zugriff auf deine Google-Kalender.

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung):
  Soweit die Kalendersynchronisierung Teil des von dir gewünschten Leistungsumfangs ist, erfolgt die anschließende Verarbeitung zur Erfüllung des Nutzungsverhältnisses (Bereitstellung der Funktion).

• Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen):
  Für den sicheren technischen Betrieb (z. B. Logs, Missbrauchserkennung) stützen wir uns auf unsere berechtigten Interessen an einem sicheren, stabilen Dienst.

9.5.4 Speicherdauer

• OAuth-/API-Zugangsdaten (Token) und deine Auswahl der zu synchronisierenden Kalender speichern wir, solange die Verknüpfung besteht.
• Kalenderdaten, die wir in unseren Systemen (z. B. in Supabase) speichern, bewahren wir nur solange auf, wie dies für die Anzeige/Synchronisierung im Rahmen deines Kontos erforderlich ist oder du diese Daten in der App nutzt.
• Bei Widerruf der Einwilligung bzw. Aufhebung der Verknüpfung löschen bzw. anonymisieren wir die damit verbundenen Daten, soweit keine gesetzlichen Pflichten oder überwiegende schutzwürdige Interessen entgegenstehen. Kalenderdaten verbleiben im Übrigen bei Google, bis du sie dort selbst löschst.

9.5.5 Widerruf der Einwilligung & Aufhebung der Verknüpfung

Du kannst deine Einwilligung zur Google-Kalendersynchronisierung jederzeit mit Wirkung für die Zukunft widerrufen bzw. die Verknüpfung aufheben:

• In Flarely: über die Kontoeinstellungen (z. B. „Google-Konto trennen“ / „Kalendersynchronisierung deaktivieren“), soweit in der App vorgesehen;
• In deinem Google-Konto: über die Verwaltung der App-Berechtigungen (z. B. unter https://myaccount.google.com/permissions).

Nach Widerruf bzw. Aufhebung greifen wir nicht mehr auf deine Google-Kalender zu. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

9.5.6 Gemeinsame Verantwortlichkeit / Verantwortlichkeit von Google

Im Hinblick auf dein Google-Konto und die dortige Datenverarbeitung ist Google Verantwortlicher im Sinne der DSGVO. Wir verarbeiten deine Daten lediglich über die von Google bereitgestellte Schnittstelle (API) in dem Umfang, den du freigibst.
Weitere Informationen zur Datenverarbeitung durch Google findest du in der Datenschutzerklärung von Google: https://policies.google.com/privacy

9.6 PostHog (Produktanalyse/Tracking & Session Replay – optional)

Wir verwenden in der App PostHog Cloud (EU), um die Nutzung der App zu analysieren, Fehler zu finden und Funktionen zu verbessern (z. B. welche Screens/Funktionen genutzt werden, an welchen Stellen es zu Abbrüchen kommt).

Welche Daten werden verarbeitet

• Nutzungs-/Ereignisdaten (z. B. Screen-Views, Klicks/Events, Zeitpunkte),
• technische Daten (z. B. App-Version, Gerätetyp/OS),
• Kennungen (z. B. Session-/Gerätekennung); bei eingeloggten Nutzer:innen verknüpfen wir dies mit User-ID und E-Mail-Adresse,
• Session Replay: Interaktionen innerhalb der App-Sitzung; Eingaben/Formularinhalte werden geschützt/maskiert, sodass keine sensiblen Eingaben aufgezeichnet werden sollen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: 12 Monate (bzw. bis zu deinem Widerruf; gesetzliche Aufbewahrungspflichten bleiben unberührt).

Widerruf/Opt-out: Du kannst Tracking/Session Replay jederzeit in der App über dein Benutzerprofil deaktivieren (Opt-out). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

---

10. Web-App / Website

10.1 Informatorische Nutzung

Bei rein informatorischer Nutzung (kein Login/keine Eingaben) verarbeiten wir die Daten, die dein Browser an unseren Server übermittelt, um Stabilität und Sicherheit sicherzustellen (z. B. IP-Adresse, Datum/Uhrzeit, URL/Referrer, User-Agent, HTTP-Status).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer Bereitstellung).

10.2 Hosting & Bereitstellung

Die Website sowie ggf. Backend-Jobs hosten wir bei Hetzner. Die API-Funktionalitäten laufen über Supabase.

• Supabase (Datenschutz): https://supabase.com/privacy
• Hetzner (Datenschutz): https://www.hetzner.com/de/legal/privacy-policy/

10.3 Webanalyse mit PostHog (optional, nur bei Einwilligung)

Wir nutzen auf der Website/Web-App PostHog Cloud (EU) zur Webanalyse und Produktverbesserung (z. B. Seitenaufrufe, Nutzungspfade, Events). Dabei können insbesondere Nutzungs-/Ereignisdaten, technische Daten sowie Kennungen (z. B. Cookie-/LocalStorage-IDs) verarbeitet werden.
Wenn du eingeloggt bist, können Analyse-Daten mit deinem Konto (User-ID/E-Mail) verknüpft werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Speicherdauer: 12 Monate.

Widerruf: Du kannst deine Einwilligung jederzeit im Nutzerprofil mit Wirkung für die Zukunft widerrufen.

10.4 Endgeräte-Zugriffe, Cookies und § 165 TKG

Wir setzen technisch notwendige Endgeräte-Zugriffe/Cookies ein, die für den Betrieb der Website erforderlich sind.
Darüber hinaus setzen wir PostHog (Analytics/Session Replay) nur nach deiner Einwilligung ein.
Rechtsgrundlage: § 165 TKG 2021 für Endgeräte-Zugriffe (Cookies/ähnliche Identifier), die nicht technisch notwendig sind; die nachgelagerte Verarbeitung richtet sich nach der DSGVO (insb. Art. 6 Abs. 1 lit. a DSGVO).

---

11. E-Mail-Kommunikation über Resend

Für Authentifizierungs- und System-E-Mails verwenden wir Resend.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsverhältnis).
Privacy: https://resend.com/legal/privacy-policy

---

12. Minderjährige

Unsere Dienste richten sich nicht speziell an Kinder. Wenn du unter 14 Jahren bist, benötigst du die Zustimmung deiner Erziehungsberechtigten, bevor du dich registrierst bzw. personenbezogene Daten bereitstellst (Art. 8 DSGVO i. V. m. nationalem Recht).

---

13. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung künftig anpassen (z. B. bei Funktions- oder Rechtsänderungen). Die jeweils aktuelle Fassung findest du unter: https://flarely.at/datenschutz

---

14. Fragen und Kontakt

Wenn du Fragen oder Anliegen zu dieser Datenschutzerklärung hast, melde dich jederzeit bei uns:

Flarely e.U.
Inhaber: Severin Hilbert
Herbert Rauch-Gasse 16, 2361 Laxenburg, Österreich
Firmenbuchnummer: FN 670427 y E-Mail (allgemein): info@flarely.at
E-Mail (Datenschutz): datenschutz@flarely.at