Privacy Policy
Datenschutzerklärung · Last updated: April 2026
This privacy policy informs you about how routebook.io collects, uses, and protects your personal data in accordance with the EU General Data Protection Regulation (GDPR / DSGVO) and the Swiss Federal Act on Data Protection (nDSG).
1. Data Controller
Simon Abplanalp, c/o abplanalp-it
Schmittenweg 7, 5707 Seengen, Switzerland
Email: support@routebook.io
2. Data We Collect and Legal Basis
We process personal data only where a legal basis under Art. 6 GDPR applies:
| Category | Examples | Legal Basis | Retention |
|---|---|---|---|
| Account data | Name, email address, password hash | Art. 6(1)(b) GDPR – contract performance | Until account deletion |
| Flight data | Flight numbers, airports, dates, seat class | Art. 6(1)(b) GDPR – contract performance | Until account deletion |
| Payment data | Billing details (processed by Stripe) | Art. 6(1)(b) GDPR – contract performance; Art. 6(1)(c) – legal obligation | 10 years (statutory accounting) |
| Usage data | Pages visited, access times, device type | Art. 6(1)(f) GDPR – legitimate interest (service improvement) | 90 days |
| Preferences | Cookie consent, display settings | Art. 6(1)(a) GDPR – consent | Until consent withdrawn |
3. Cookies
We use cookies to operate and improve our website. A cookie banner lets you manage your preferences. Necessary cookies are set without consent as they are essential for the service to function.
- Necessary: Authentication session, security tokens (Art. 6(1)(b) GDPR)
- Analytics: Vercel Analytics – anonymised page-view data (Art. 6(1)(f) GDPR / consent)
- Functional: Stripe payment widgets (Art. 6(1)(b) GDPR)
- Marketing: Not used
You can withdraw consent at any time via the cookie banner or by clearing your browser cookies.
4. Third-Party Services and Data Transfers
- Supabase (Supabase Inc., USA) – database and authentication hosting. Data is stored in the EU region (Frankfurt). Supabase acts as a data processor under a DPA. Transfer basis: Standard Contractual Clauses (SCCs).
- Vercel (Vercel Inc., USA) – website hosting and edge network. Transfer basis: Standard Contractual Clauses (SCCs). Vercel Privacy Policy.
- Stripe (Stripe, Inc., USA) – payment processing. Your payment data is transmitted directly to Stripe and never stored on our servers. Stripe is certified under the EU–US Data Privacy Framework. Stripe Privacy Policy.
- Flagcdn / OurAirports / OpenFlights – public airport and flag data fetched client-side. No personal data is transmitted.
5. Your Rights (Art. 15–22 GDPR)
You have the following rights regarding your personal data:
- Access – request a copy of the data we hold about you
- Rectification – correct inaccurate or incomplete data
- Erasure – request deletion of your data ("right to be forgotten")
- Restriction – restrict processing in certain circumstances
- Portability – receive your data in a machine-readable format (CSV export available in Pro)
- Objection – object to processing based on legitimate interest
- Withdraw consent – withdraw any consent given at any time without affecting prior processing
To exercise any of these rights, contact us at support@routebook.io. We will respond within 30 days.
6. Right to Lodge a Complaint
If you believe your data is being processed unlawfully, you have the right to lodge a complaint with a supervisory authority:
- Switzerland: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) – www.edoeb.admin.ch
- EU users: The supervisory authority in your country of residence
7. Data Security
We implement appropriate technical and organisational measures to protect your data, including:
- All data transmission via HTTPS/TLS encryption
- Password hashing using bcrypt (handled by Supabase Auth)
- Role-based access controls – each user can only access their own data
- Regular dependency updates and security patches
8. Automated Decision-Making
We do not use automated decision-making or profiling within the meaning of Art. 22 GDPR.
9. Changes to This Policy
We may update this privacy policy from time to time. The current version is always available at routebook.io/privacy-policy. Material changes will be communicated by email.
Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
Simon Abplanalp, c/o abplanalp-it
Schmittenweg 7, 5707 Seengen, Schweiz
E-Mail: support@routebook.io
2. Erhobene Daten und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage nach Art. 6 DSGVO vorliegt:
- Kontodaten (Name, E-Mail, Passwort-Hash) – Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung. Aufbewahrung: bis zur Kontolöschung.
- Flugdaten (Flugnummern, Flughäfen, Daten) – Art. 6 Abs. 1 lit. b DSGVO. Aufbewahrung: bis zur Kontolöschung.
- Zahlungsdaten (über Stripe) – Art. 6 Abs. 1 lit. b und lit. c DSGVO. Aufbewahrung: 10 Jahre (gesetzliche Buchführungspflicht).
- Nutzungsdaten (Seitenaufrufe, Zugriffszeiten) – Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Aufbewahrung: 90 Tage.
- Cookie-Einstellungen – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Aufbewahrung: bis zum Widerruf.
3. Cookies
Wir verwenden Cookies für den Betrieb und die Verbesserung unserer Website. Über den Cookie-Banner können Sie Ihre Einstellungen jederzeit anpassen oder Ihre Einwilligung widerrufen.
- Notwendig: Authentifizierungs-Session, Sicherheits-Tokens
- Analyse: Vercel Analytics (anonymisiert)
- Funktional: Stripe-Zahlungswidgets
- Marketing: Nicht verwendet
4. Drittanbieter und Datenübermittlungen
- Supabase (USA) – Datenbankhosting, EU-Region Frankfurt. Rechtsgrundlage: Standardvertragsklauseln (SCC).
- Vercel (USA) – Website-Hosting. Rechtsgrundlage: SCC.
- Stripe (USA) – Zahlungsabwicklung. Zertifiziert nach EU–US Data Privacy Framework. Keine Speicherung von Zahlungsdaten auf unseren Servern.
5. Ihre Rechte (Art. 15–22 DSGVO)
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft über die bei uns gespeicherten Daten
- Berichtigung unrichtiger oder unvollständiger Daten
- Löschung Ihrer Daten («Recht auf Vergessenwerden»)
- Einschränkung der Verarbeitung
- Datenübertragbarkeit in einem maschinenlesbaren Format (CSV-Export für Pro-Nutzer)
- Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft
Anfragen richten Sie bitte an support@routebook.io. Wir antworten innerhalb von 30 Tagen.
6. Beschwerderecht
Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren:
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), www.edoeb.admin.ch
- EU-Nutzer: Zuständige Datenschutzbehörde Ihres Wohnsitzlandes
7. Datensicherheit
Wir setzen technische und organisatorische Massnahmen ein: HTTPS-Verschlüsselung, Passwort-Hashing (bcrypt), rollenbasierte Zugriffskontrollen sowie regelmässige Sicherheitsupdates.
8. Automatisierte Entscheidungsfindung
Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO.