BeBetr
App holen
Rechtliches

Datenschutzerklärung

Deine Privatsphäre ist uns wichtig. Hier erfährst du, wie wir mit deinen Daten umgehen.

1. Verantwortlicher

Onfidence GmbH
Forstbergstrasse 18
4470 Enns, Österreich

Geschäftsführer: Amer Kladnjakovic
Firmenbuchnummer: FN 507139 v
Firmenbuchgericht: Landesgericht Steyr
UID-Nummer: ATU74080013
E-Mail: office@bebetr.app

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • Teil A — die Website bebetr.app
  • Teil B — die mobile App „BeBetr" für iOS und Android

Sie informiert dich darüber, welche personenbezogenen Daten wir erheben, wie wir sie verarbeiten und welche Rechte dir zustehen.

3. Rechtsgrundlagen

Die Verarbeitung deiner Daten erfolgt auf Basis folgender Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a — Einwilligung (z.B. für Analytics, Push-Benachrichtigungen)
  • Art. 6 Abs. 1 lit. b — Vertragserfüllung (Bereitstellung der App und ihrer Funktionen)
  • Art. 6 Abs. 1 lit. f — Berechtigtes Interesse (Crash-Reporting, Sicherheit, betrugssichere Abo-Verwaltung)
  • Art. 9 Abs. 2 lit. a — Ausdrückliche Einwilligung für die Verarbeitung von Gesundheitsdaten (Ernährung, Peptid-Logs, Laborwerte, Symptome, Körpermetriken)

Teil A — Website

A.1 Hosting

Unsere Website wird gehostet bei ALL-INKL.COM — Neue Medien Münnich (Hauptstraße 68, 02742 Friedersdorf, Deutschland). Beim Aufruf der Website werden vom Hosting-Anbieter automatisch Server-Logfiles erhoben:

  • IP-Adresse (gekürzt, soweit technisch möglich)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL / Referrer-URL
  • Browsertyp und -version, Betriebssystem

Diese Daten werden ausschließlich zur Sicherstellung des Betriebs und zur Fehleranalyse verwendet und nach 30 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

A.2 Cookies

Unsere Website verwendet Cookies und ähnliche Technologien. Beim ersten Besuch wird dir ein Cookie-Consent-Banner angezeigt. Nur technisch notwendige Cookies werden ohne Einwilligung gesetzt. Analyse- und Marketing-Cookies werden erst nach deiner ausdrücklichen Zustimmung aktiviert (Opt-in). Du kannst deine Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer ändern.

Wir unterscheiden folgende Kategorien:

  • Notwendig — Consent-Speicherung (localStorage), Spracheinstellung. Immer aktiv.
  • Analyse — Google Analytics 4 (siehe A.5). Nur mit Einwilligung.
  • Marketing — Meta Pixel, TikTok Pixel, Google Ads (siehe A.6). Nur mit Einwilligung.

A.3 Schriftarten (lokal gehostet)

Wir verwenden die Schriftart „Geist", die vollständig lokal auf unserem Server gehostet wird. Es findet keine Verbindung zu externen Schriftarten-Diensten (z.B. Google Fonts) statt. Es werden dabei keine personenbezogenen Daten an Dritte übermittelt.

A.4 Kontaktaufnahme

Wenn du uns per E-Mail kontaktierst, speichern wir deine Nachricht, E-Mail-Adresse und ggf. deinen Namen zur Bearbeitung deiner Anfrage. Diese Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen.

A.5 Webanalyse — Google Analytics 4

Mit deiner Einwilligung verwenden wir Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Der Dienst analysiert das Nutzerverhalten auf unserer Website (aufgerufene Seiten, Verweildauer, Herkunft des Traffics). Dabei werden folgende Daten verarbeitet:

  • Gekürzte IP-Adresse (IP-Anonymisierung ist aktiviert)
  • Browser, Betriebssystem, Gerätekategorie
  • Besuchte Seiten, Verweildauer, Absprungrate
  • Ungefährer Standort (Stadt/Land, nicht präzise GPS)
  • Pseudonyme Client-ID (Cookie)

Die Daten werden auf Google-Servern in den USA verarbeitet (Grundlage: EU-US Data Privacy Framework). Der Cookie läuft nach 13 Monaten ab. Du kannst die Erfassung jederzeit über den Link „Cookie-Einstellungen" im Footer deaktivieren oder das Browser-Add-on tools.google.com/dlpage/gaoptout verwenden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

A.6 Marketing & Werbung

Mit deiner Einwilligung setzen wir folgende Marketing-Pixel ein, die uns ermöglichen, Werbeanzeigen auszuspielen und deren Wirksamkeit zu messen:

Meta Pixel (Facebook / Instagram)

Anbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Das Meta Pixel erfasst Besuche auf unserer Website und bestimmte Aktionen (z.B. Seitenaufrufe), um Werbeanzeigen auf Facebook und Instagram zielgerichtet auszuspielen und die Conversion zu messen. Dabei wird eine Cookie-ID sowie deine (ggf. gehashte) E-Mail-Adresse verwendet. Die Daten können in die USA übertragen werden (Grundlage: SCCs). Du kannst der Datenverarbeitung durch Meta für Werbezwecke unter facebook.com/settings widersprechen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

TikTok Pixel

Anbieter: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Irland. Das TikTok Pixel misst Interaktionen auf unserer Website und ermöglicht es, Werbung auf TikTok an relevante Zielgruppen auszuspielen. Dabei werden pseudonymisierte IDs und Verhaltensdaten erhoben. Die Daten können in die USA und weitere Drittländer übertragen werden (Grundlage: SCCs). Widerspruch: TikTok Datenschutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Google Ads (inkl. Conversion-Tracking & Remarketing)

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Ads ermöglicht die Schaltung von Suchanzeigen und Display-Werbung. Das Conversion-Tracking misst, ob Nutzer nach dem Klick auf eine Anzeige die App herunterladen oder die Website besuchen. Das Remarketing ermöglicht die erneute Ansprache von Website-Besuchern. Dabei werden Cookies und pseudonyme IDs verwendet. Daten werden in den USA verarbeitet (Grundlage: EU-US Data Privacy Framework). Widerspruch: adssettings.google.com.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Hinweis: Alle Marketing- und Analyse-Tools werden erst nach deiner ausdrücklichen Einwilligung über unser Cookie-Banner aktiviert. Du kannst deine Einwilligung jederzeit über „Cookie-Einstellungen" im Footer widerrufen.

Teil B — BeBetr App

B.1 Registrierung und Profil

Bei der Registrierung erheben wir:

  • E-Mail-Adresse
  • Passwort (als Hash gespeichert, nie im Klartext)
  • Vorname und Nachname

Optional kannst du im Profil weitere Angaben machen: Geburtsdatum, Geschlecht, Größe, Gewicht, Region, Aktivitätslevel und Gesundheitsziele. Diese Daten dienen der Personalisierung der App-Funktionen.

B.2 Gesundheitsdaten

Die App verarbeitet folgende Gesundheitsdaten, die du aktiv eingibst:

  • Mahlzeiten (Fotos, Zutaten, Kalorien, Makronährstoffe)
  • Peptid- und Substanz-Logs (Dosierung, Zeitpunkt, Injektionsstellen, Vial-Inventar)
  • Blutwerte und Laborergebnisse
  • Symptom-Check-ins (Skalen-Bewertungen)
  • Gewichtsverlauf und Körpermetriken
  • Hydration
  • Workouts

Diese Daten werden in unserer Cloud-Datenbank (Supabase, siehe B.6) gespeichert und zusätzlich lokal auf deinem Gerät in einer SQLite-Datenbank als Offline-Cache vorgehalten. Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — du erteilst deine ausdrückliche Einwilligung im Rahmen des Onboardings.

B.3 KI-gestützte Funktionen

Mahlzeit-Foto-Analyse: Wenn du ein Foto deiner Mahlzeit machst, wird dieses zur Analyse an die Anthropic Claude API (Anthropic PBC, USA) gesendet. Das KI-Modell erkennt Zutaten, schätzt Portionsgrößen und berechnet Nährwerte. Anthropic speichert API-Daten gemäß deren Richtlinien nicht zu Trainingszwecken.

KI-Coach: Der Chat-Coach nutzt ebenfalls die Anthropic Claude API. Deine Fragen werden über Supabase Edge Functions an die API weitergeleitet. Die Konversationen werden in deinem Account gespeichert.

Wichtig: Bei beiden Funktionen werden Inhalte (Fotos, Textnachrichten) an Server in den USA übermittelt. Es werden dabei keine weiteren personenbezogenen Daten (Name, E-Mail etc.) an Anthropic weitergegeben.

B.4 Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Die KI-gestützten Funktionen (Foto-Analyse, Coach) liefern Vorschläge und Schätzungen, keine verbindlichen Entscheidungen. Du kannst jede KI-Auswertung vor dem Speichern bearbeiten oder verwerfen. Es findet kein Profiling im Sinne des Art. 22 DSGVO statt, das rechtliche Wirkung entfaltet oder dich erheblich beeinträchtigt.

B.5 Lebensmittel-Suche und Barcode-Scanner

Die Lebensmittel-Suche und der Barcode-Scanner nutzen die öffentliche Open Food Facts API (Open Food Facts, Frankreich). Dabei werden Suchanfragen und EAN-Codes übermittelt. Es ist kein Account erforderlich; es werden keine personenbezogenen Daten an Open Food Facts gesendet.

B.6 Hosting und Cloud-Datenbank

Alle Nutzerdaten werden in einer Supabase-Datenbank (PostgreSQL) gespeichert. Die Authentifizierung (E-Mail/Passwort, Session-Tokens) läuft ebenfalls über Supabase Auth.

  • Datenübertragung: verschlüsselt via TLS
  • Speicherung: Encryption at Rest auf Datenbank-Ebene
  • Serverstandort (nutzerwählbar): Bei der Registrierung wählst du deinen Datenspeicherort. Deine Daten werden entweder auf Supabase-Servern in der EU (Frankfurt, Deutschland) oder in den USA gespeichert. Bei Wahl des US-Standorts erfolgt die Übertragung auf Grundlage der EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

B.7 Lokale Datenspeicherung

Auf deinem Gerät werden Daten in folgenden Formen gespeichert:

  • SQLite-Datenbank (Drift) — Offline-Cache aller App-Daten
  • SharedPreferences — Einstellungen (Theme, Onboarding-Status, Coachmarks)
  • Secure Storage — Verschlüsselter Speicher für Tokens und Zugangsdaten (Keychain / Keystore)

Diese Daten verlassen dein Gerät nicht, es sei denn, die App synchronisiert sie mit der Cloud-Datenbank.

B.8 Authentifizierung

Die Anmeldung erfolgt über:

  • Supabase Auth — E-Mail und Passwort (Hash). Session-Tokens werden verschlüsselt im Secure Storage abgelegt.
  • Google Sign-In (optional) — Bei Nutzung werden Google-Account-ID, E-Mail und Name an Google OAuth-Server (Google LLC, USA) übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

B.9 Geräte-Berechtigungen

Die App fragt folgende Berechtigungen an — jeweils nur bei Bedarf und mit deiner Zustimmung:

  • Kamera — Mahlzeit-Fotos und Barcode-Scanner für Lebensmittel-EAN
  • Fotogalerie — Auswahl bestehender Fotos für das Food-Tracking
  • Biometrie (Fingerabdruck / Face ID) — Optionale App-Sperre im Privacy Hub. Biometrische Daten werden ausschließlich lokal auf deinem Gerät verarbeitet (iOS Keychain / Android Keystore) und nie an unsere Server übertragen.
  • Benachrichtigungen — Erinnerungen an Einnahmen und Tracking
  • Internet — Synchronisation, KI-Funktionen und Lebensmittel-Suche

Es findet keine Integration mit Apple HealthKit oder Google Health Connect statt. Es werden keine Werbe-SDKs, kein Facebook SDK und kein Google Analytics verwendet.

B.10 Push-Benachrichtigungen

Für Push-Benachrichtigungen wird Firebase Cloud Messaging (FCM) von Google verwendet. Dabei wird ein FCM-Token (Geräte-Kennung) an Google-Server (USA) gesendet. Es werden keine Nachrichteninhalte oder Gesundheitsdaten übertragen — nur Zustellungs-Metadaten. Lokale Benachrichtigungen (Erinnerungen) laufen vollständig auf dem Gerät.

B.11 Analytics

Wir verwenden PostHog zur Analyse der App-Nutzung. Dabei werden erhoben:

  • Events und Screen-Views (pseudonymisiert)
  • Feature-Flags
  • Gerätetyp, Betriebssystem, App-Version
  • Pseudonyme User-ID (keine Klardaten)

Es werden keine Gesundheitsdaten an PostHog übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst Analytics in den App-Einstellungen deaktivieren.

B.12 Crash-Reporting

Wir verwenden Sentry zur Erkennung und Behebung technischer Fehler. Dabei werden übermittelt:

  • Crash-Reports und Stack-Traces
  • Gerätemodell, Betriebssystem, RAM

Es werden keine personenbezogenen Gesundheitsdaten an Sentry gesendet — ausschließlich technische Fehlerinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

B.13 Zahlungen und Abonnements

Die Zahlungsabwicklung für Premium-Abonnements erfolgt über Apple App Store bzw. Google Play Store. Kreditkarten- oder Bankdaten gelangen nicht an die App oder unsere Server.

Die Abo-Verwaltung (Status, Transaktionen) wird über RevenueCat (RevenueCat Inc., USA) abgewickelt. Dabei wird eine anonyme App-User-ID verwendet. RevenueCat erhält keine Gesundheitsdaten.

B.14 Einwilligungsmanagement

Deine Einwilligung zur Verarbeitung von Gesundheitsdaten wird im Rahmen des Onboardings eingeholt. Du kannst diese Einwilligung jederzeit widerrufen — entweder durch Löschung deines Kontos oder durch Kontaktaufnahme unter office@bebetr.app. Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Teil C — Gemeinsame Bestimmungen

C.1 Drittanbieter und Auftragsverarbeiter

Folgende Drittanbieter erhalten im Rahmen der Nutzung Zugang zu Daten:

Anbieter Zweck Daten Standort
Google Analytics 4 Webanalyse (Website) Pseudonyme Client-ID, IP (gekürzt), Seitenaufrufe, Verhalten EU / USA
Meta Pixel Marketing / Conversion (Website) Cookie-ID, Seitenaufrufe, Conversion-Events USA
TikTok Pixel Marketing / Conversion (Website) Pseudonyme IDs, Verhaltensdaten USA / Drittländer
Google Ads Werbung / Remarketing (Website) Cookie-ID, Conversion-Daten, Remarketing-Listen EU / USA
Supabase Backend, Datenbank, Auth Alle Nutzerdaten EU (Frankfurt) oder USA (nutzerwählbar)
Anthropic (Claude API) KI-Foto-Analyse, KI-Coach Mahlzeit-Fotos, Chat-Nachrichten USA
Google Sign-In, Push (FCM), Fonts Account-ID, E-Mail, FCM-Token, IP-Adresse USA
RevenueCat Abo-Verwaltung Abo-Status, Transaktionen, anonyme User-ID USA
PostHog Analytics (App) Events, Screen-Views, Gerätetyp, OS, pseudonyme User-ID EU / USA
Sentry Crash-Reporting (App) Stack-Traces, Geräteinfo (keine Gesundheitsdaten) EU / USA
Open Food Facts Lebensmitteldatenbank Suchanfragen, EAN-Codes (kein Account) EU (Frankreich)

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO. Es werden keine Daten an Dritte zu Werbezwecken weitergegeben.

C.2 Datenübertragung in Drittländer

Einige unserer Auftragsverarbeiter (Anthropic, Google, RevenueCat) haben ihren Sitz in den USA. Die Übertragung personenbezogener Daten erfolgt auf Grundlage von:

  • EU-US Data Privacy Framework (soweit der Anbieter zertifiziert ist)
  • Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO

Wir stellen sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist.

C.3 Datensicherheit

Wir setzen technische und organisatorische Maßnahmen zum Schutz deiner Daten ein:

  • Verschlüsselte Datenübertragung (TLS/HTTPS) für alle Verbindungen
  • Encryption at Rest auf Datenbank-Ebene (Supabase PostgreSQL)
  • Passwörter werden ausschließlich als kryptographische Hashes gespeichert
  • Tokens und Secrets werden im verschlüsselten Gerätespeicher abgelegt (iOS Keychain / Android Keystore)
  • Biometrische Daten verlassen nie das Gerät
  • Zugriffskontrolle und Prinzip der minimalen Berechtigung (Row Level Security)
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen

C.4 Speicherdauer

  • Gesundheitsdaten — Werden gespeichert, solange dein Konto besteht. Du kannst einzelne Einträge jederzeit löschen.
  • Account-Daten — Werden nach Konto-Löschung innerhalb von 30 Tagen vollständig entfernt.
  • Lokaler Cache — Bleibt auf deinem Gerät, bis du die App deinstallierst oder den Cache manuell löschst.
  • Crash-Reports — Werden nach 90 Tagen automatisch gelöscht.
  • Analytics-Cookies (Google Analytics) — Cookie läuft nach 13 Monaten ab. Pseudonymisierte Daten werden nach 14 Monaten in Google Analytics gelöscht.
  • Marketing-Cookies (Meta, TikTok, Google Ads) — Laufzeit je nach Anbieter zwischen 90 Tagen und 2 Jahren. Wir haben keinen direkten Einfluss auf die Speicherdauer beim jeweiligen Anbieter.
  • Server-Logfiles (Website) — Werden nach 30 Tagen gelöscht.
  • E-Mail-Korrespondenz — Wird nach Abschluss der Anfrage gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

C.5 Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

  • Auskunft (Art. 15) — Welche Daten über dich gespeichert sind
  • Berichtigung (Art. 16) — Korrektur unrichtiger Daten
  • Löschung (Art. 17) — Löschung deiner Daten („Recht auf Vergessenwerden")
  • Einschränkung (Art. 18) — Einschränkung der Verarbeitung
  • Datenübertragbarkeit (Art. 20) — Export deiner Daten in einem gängigen Format
  • Widerspruch (Art. 21) — Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3) — Jederzeit mit Wirkung für die Zukunft

Du kannst dein Konto und alle Daten direkt in der App löschen (Profil → Privacy Hub → Konto löschen). Für weitere Anfragen erreichst du uns unter office@bebetr.app.

Darüber hinaus hast du das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at

C.6 Mindestalter

Die Nutzung von BeBetr ist ab 18 Jahren zulässig. Aufgrund der Art der verarbeiteten Daten (Peptide, Substanz-Tracking, Injektionsstellen) richtet sich die App ausschließlich an volljährige Nutzer.

C.7 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren — etwa bei neuen Funktionen oder geänderten rechtlichen Anforderungen. Wesentliche Änderungen werden dir per App-Benachrichtigung oder E-Mail mitgeteilt. Die jeweils aktuelle Version findest du unter bebetr.app/datenschutz.

C.8 Kontakt

Bei Fragen zum Datenschutz erreichst du uns unter:
Onfidence GmbH
Forstbergstrasse 18, 4470 Enns
office@bebetr.app

Stand: Juni 2026

1. Controller

Onfidence GmbH
Forstbergstrasse 18
4470 Enns, Austria

Managing Director: Amer Kladnjakovic
Company register No.: FN 507139 v, Landesgericht Steyr
VAT No.: ATU74080013
Email: office@bebetr.app

2. Scope

This Privacy Policy applies to: Part A — the website bebetr.app; Part B — the BeBetr mobile app for iOS and Android.

3. Legal bases

  • Art. 6(1)(a) GDPR — Consent (e.g. analytics, push notifications)
  • Art. 6(1)(b) GDPR — Contract performance (provision of app features)
  • Art. 6(1)(f) GDPR — Legitimate interest (crash reporting, security, subscription management)
  • Art. 9(2)(a) GDPR — Explicit consent for health data (nutrition, peptide logs, lab values, symptoms, body metrics)

Part A — Website

A.1 Hosting

Our website is hosted by ALL-INKL.COM — Neue Medien Münnich (Hauptstraße 68, 02742 Friedersdorf, Germany). Server log files are automatically collected on each visit: IP address (truncated where technically possible), date and time of access, accessed URL/referrer URL, browser type and version, operating system. These data are used solely for operational stability and error analysis, and are automatically deleted after 30 days. Legal basis: Art. 6(1)(f) GDPR.

A.2 Cookies

Our website uses cookies and similar technologies. A cookie consent banner is displayed on your first visit. Only technically necessary cookies are set without consent. Analytics and marketing cookies are only activated after your explicit consent (opt-in). You can change your settings at any time via the "Cookie settings" link in the footer.

  • Necessary — Consent storage (localStorage), language setting. Always active.
  • Analytics — Google Analytics 4 (see A.5). Only with consent.
  • Marketing — Meta Pixel, TikTok Pixel, Google Ads (see A.6). Only with consent.

A.3 Fonts (self-hosted)

We use the "Geist" typeface, which is fully self-hosted on our server. No connection is made to external font services. No personal data is transmitted to third parties.

A.4 Contact

If you contact us by email, we store your message, email address and name to process your inquiry. These data are deleted once the inquiry has been conclusively processed, unless statutory retention obligations apply.

A.5 Web analytics — Google Analytics 4

With your consent, we use Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland). The service analyses user behaviour on our website. Data processed: truncated IP address (anonymisation enabled), browser, OS, device category, pages visited, session duration, approximate location, pseudonymous client ID (cookie). Data is processed on Google servers in the USA (basis: EU-US Data Privacy Framework). Cookie expires after 13 months. You can opt out via "Cookie settings" or the browser add-on at tools.google.com/dlpage/gaoptout. Legal basis: Art. 6(1)(a) GDPR.

A.6 Marketing & advertising

Meta Pixel (Facebook / Instagram)

Provider: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Ireland. The Meta Pixel records visits to our website and certain actions to deliver targeted ads on Facebook and Instagram and measure conversions. Data may be transferred to the USA (basis: SCCs). Opt-out: facebook.com/settings. Legal basis: Art. 6(1)(a) GDPR.

TikTok Pixel

Provider: TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Ireland. The TikTok Pixel measures interactions on our website and enables targeted advertising on TikTok. Data may be transferred to the USA and other third countries (basis: SCCs). Opt-out: TikTok Privacy Policy. Legal basis: Art. 6(1)(a) GDPR.

Google Ads (incl. conversion tracking & remarketing)

Provider: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland. Google Ads enables search ads and display advertising. Conversion tracking measures whether users download the app or visit the website after clicking an ad. Data processed in the USA (basis: EU-US Data Privacy Framework). Opt-out: adssettings.google.com. Legal basis: Art. 6(1)(a) GDPR.

Note: All marketing and analytics tools are only activated after your explicit consent via our cookie banner. You can withdraw your consent at any time via "Cookie settings" in the footer.

Part B — BeBetr App

B.1 Registration and profile

On registration: email address, password (stored as hash, never in plain text), first and last name. Optional profile data: date of birth, gender, height, weight, region, activity level, health goals.

B.2 Health data

The app processes the following health data that you actively enter: meals (photos, ingredients, calories, macronutrients); peptide and substance logs (dosage, time, injection sites, vial inventory); lab values and results; symptom check-ins; weight history and body metrics; hydration; workouts. Legal basis: Art. 9(2)(a) GDPR — you give explicit consent during onboarding.

B.3 AI-powered features

Meal photo analysis: Photos are sent to the Anthropic Claude API (Anthropic PBC, USA) for analysis. Anthropic does not use API data for training. AI coach: Also uses the Anthropic Claude API via Supabase Edge Functions. No personal data (name, email) is transmitted to Anthropic beyond the content of photos/messages.

B.4 Automated decision-making (Art. 22 GDPR)

AI features provide suggestions and estimates, not binding decisions. You can edit or discard any AI result before saving. No profiling with legal effect takes place.

B.5 Food search and barcode scanner

Uses the public Open Food Facts API (France). Search queries and EAN codes are transmitted. No account required; no personal data is sent.

B.6 Hosting and cloud database

All user data is stored in a Supabase database (PostgreSQL). Transmission: encrypted via TLS. Encryption at rest is enabled at database level.

Server location (user-selectable): During registration, you choose where your data is stored — either on Supabase servers in the EU (Frankfurt, Germany) or in the USA. For the US location, transfers are made on the basis of EU Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR.

B.7 Local data storage

  • SQLite database (Drift) — Offline cache of all app data
  • SharedPreferences — Settings (theme, onboarding status)
  • Secure Storage — Encrypted storage for tokens and credentials (Keychain / Keystore)

B.8 Authentication

Supabase Auth — Email and password (hash). Session tokens stored encrypted in Secure Storage. Google Sign-In (optional) — Google account ID, email and name transmitted to Google OAuth servers (USA). Legal basis: Art. 6(1)(a) GDPR.

B.9 Device permissions

  • Camera — Meal photos and barcode scanner
  • Photo library — Selecting existing photos for food tracking
  • Biometrics (fingerprint / Face ID) — Optional app lock. Biometric data is processed exclusively locally on your device and never transmitted to our servers.
  • Notifications — Reminders for intake and tracking
  • Internet — Sync, AI features and food search

No integration with Apple HealthKit or Google Health Connect. No advertising SDKs, no Facebook SDK, no Google Analytics.

B.10 Push notifications

Firebase Cloud Messaging (FCM) by Google is used. An FCM token is sent to Google servers (USA). No message content or health data is transmitted — only delivery metadata. Local notifications run entirely on device.

B.11 Analytics

We use PostHog for app usage analytics. Data collected: events and screen views (pseudonymised), feature flags, device type, OS, app version, pseudonymous user ID (no personal data). No health data is transmitted to PostHog. Legal basis: Art. 6(1)(a) GDPR. You can disable analytics in app settings.

B.12 Crash reporting

We use Sentry for error detection. Data transmitted: crash reports and stack traces, device model, OS, RAM. No personal health data is sent to Sentry. Legal basis: Art. 6(1)(f) GDPR.

B.13 Payments and subscriptions

Payment processing for Premium subscriptions is handled by the Apple App Store or Google Play Store. Payment data does not reach the app or our servers. Subscription management is handled by RevenueCat (RevenueCat Inc., USA) using an anonymous app user ID.

B.14 Consent management

Your consent to health data processing is obtained during onboarding. You can withdraw consent at any time by deleting your account or contacting office@bebetr.app. Withdrawal does not affect the lawfulness of processing carried out prior to withdrawal.

Part C — Common provisions

C.1 Third-party providers and processors

Provider Purpose Data Location
Google Analytics 4Web analyticsPseudonymous client ID, truncated IP, page viewsEU / USA
Meta PixelMarketing / conversionCookie ID, page views, conversion eventsUSA
TikTok PixelMarketing / conversionPseudonymous IDs, behavioural dataUSA / third countries
Google AdsAdvertising / remarketingCookie ID, conversion data, remarketing listsEU / USA
SupabaseBackend, database, authAll user dataEU (Frankfurt)
Anthropic (Claude API)AI photo analysis, AI coachMeal photos, chat messagesUSA
GoogleSign-In, Push (FCM)Account ID, email, FCM token, IP addressUSA
RevenueCatSubscription managementSubscription status, transactions, anonymous user IDUSA
PostHogAnalytics (app)Events, screen views, device type, OS, pseudonymous user IDEU / USA
SentryCrash reporting (app)Stack traces, device info (no health data)EU / USA
Open Food FactsFood databaseSearch queries, EAN codes (no account)EU (France)

Data processing agreements (DPAs) pursuant to Art. 28 GDPR exist with all processors. No data is passed to third parties for advertising purposes.

C.2 Transfers to third countries

Some processors (Anthropic, Google, RevenueCat) are based in the USA. Transfers are made on the basis of the EU-US Data Privacy Framework (where the provider is certified) or Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR.

C.3 Data security

  • Encrypted data transmission (TLS/HTTPS) for all connections
  • Encryption at rest at the database level (Supabase PostgreSQL)
  • Passwords stored only as cryptographic hashes
  • Tokens and secrets stored in encrypted device storage (iOS Keychain / Android Keystore)
  • Biometric data never leaves the device
  • Access control and principle of least privilege (Row Level Security)

C.4 Retention periods

  • Health data — Stored while your account exists. You can delete individual entries at any time.
  • Account data — Fully removed within 30 days of account deletion.
  • Local cache — Remains on your device until you uninstall the app or manually clear the cache.
  • Crash reports — Automatically deleted after 90 days.
  • Analytics cookies (Google Analytics) — Cookie expires after 13 months. Data deleted after 14 months in Google Analytics.
  • Marketing cookies (Meta, TikTok, Google Ads) — Duration varies by provider, between 90 days and 2 years.
  • Server log files (website) — Deleted after 30 days.
  • Email correspondence — Deleted after the inquiry is closed, unless statutory retention obligations apply.

C.5 Your rights

Under the GDPR you have the following rights:

  • Access (Art. 15) — What data is stored about you
  • Rectification (Art. 16) — Correction of inaccurate data
  • Erasure (Art. 17) — Deletion of your data ("right to be forgotten")
  • Restriction (Art. 18) — Restriction of processing
  • Data portability (Art. 20) — Export of your data in a common format
  • Objection (Art. 21) — Objection to processing based on legitimate interests
  • Withdrawal of consent (Art. 7(3)) — At any time with effect for the future

You can delete your account and all data directly in the app (Profile → Privacy Hub → Delete account). For other requests: office@bebetr.app.

You also have the right to lodge a complaint with the supervisory authority:
Austrian Data Protection Authority
Barichgasse 40–42, 1030 Vienna
www.dsb.gv.at

C.6 Minimum age

Use of BeBetr is permitted from the age of 18. Due to the nature of the data processed (peptides, substance tracking, injection sites), the app is exclusively for adult users.

C.7 Changes to this Privacy Policy

We reserve the right to update this Privacy Policy as needed — for example when adding new features or to reflect changed legal requirements. Material changes will be communicated to you via app notification or email. The current version is always available at bebetr.app/datenschutz.

C.8 Contact

Onfidence GmbH
Forstbergstrasse 18, 4470 Enns, Austria
office@bebetr.app

Last updated: June 2026