← Back EN DE

Privacy Policy

Lounge Surf — Power of Life Labs GmbH
As of: May 2026

Note: This is a courtesy translation. The German version below is legally binding.

With this privacy policy, we, Power of Life Labs GmbH, inform you about the processing of personal data in connection with our platform "Lounge Surf" (app and website).

1. Responsible Entity

Power of Life Labs GmbH
Oberdorfweg 9, 8704 Herrliberg, Switzerland
Email: hello@power-of-life-labs.com

2. Personal Data Collected

We process the following personal data that you provide directly or that is generated through your use of our platform:

Account Data: Email address, password (stored encrypted), display name.

Profile Data: Alliance/frequent flyer program, home airport, travel personality, profile picture, biography, countries visited.

Travel Data: Home airport, travel destinations, flight numbers, flight dates. Used exclusively to enable matches and operate the Travel Card Configurator.

Financial Region: User's banking country. Used exclusively to display credit card offers for which the user is legally eligible.

Usage Data: Offers and requests, matches, chat messages, reviews, Surfs balance, trivia results, badges, lounge preferences, and status match queries.

Travel Card Configurator Data: Home airport, most frequent destination, annual travel frequency, travel party size, and current credit card/ecosystem. This data is used to calculate a personalized credit card recommendation and is stored both locally on the device (Local Storage) and on our servers.

Verification Data: When using the Verified Surfer Pass, identity verification is performed by a third-party provider (Didit Identity Inc.). We do not store identity documents or biometric data. Didit's privacy policy applies.

Alliance Verification Data: When using the Alliance Status Verification feature, users may upload a screenshot of their airline or hotel loyalty program status. This image is processed by Google Cloud Vision (Google LLC) for automated text recognition to verify the claimed loyalty tier. The image is stored in our infrastructure. Google Cloud Vision processes the image data according to Google's privacy policy.

Technical Data: IP address, device type, operating system, browser, usage times.

3. Purpose of Data Processing

We process your personal data for the following purposes:

Provision and operation of the platform, including user account, matching algorithm, chat function, and review system.

Calculation of personalized credit card recommendations in the Travel Card Configurator based on your travel data. This may involve algorithmic analysis using AI-powered services.

Processing of subscriptions (Verified Surfer Pass) via Apple App Store, Google Play, or the website.

Improvement of the platform and user experience through anonymized analytics.

Communication with you, including notifications about matches and messages. The platform uses the Browser Notification API and requests your permission to send desktop or mobile browser notifications. To do this, the platform checks approximately every 10 seconds for new messages or match requests.

Fulfillment of legal obligations.

4. Legal Basis

Processing of your personal data is based on the following legal grounds under the Swiss Federal Act on Data Protection (FADP):

Contract Performance (Art. 31 para. 2 lit. a FADP): Processing is necessary for the provision of our services.

Consent (Art. 31 para. 1 FADP): Where required, we obtain your explicit consent, e.g., for push notifications or identity verification.

Legitimate Interests (Art. 31 para. 2 lit. a FADP): For improvement and security of our services.

5. Real-Time Location and Matching

When you use the matching function, your selected airport and user profile become temporarily visible to other users at the same airport. Your exact GPS coordinates are not shared — only your selected airport or terminal is displayed.

6. Data Sharing

Your profile data (display name, alliance, rating, badges, travel personality) is visible to other platform users to enable matching.

Chat messages are only visible to the matched partners involved.

We share data with the following third parties:

Supabase Inc. (United States, EU-hosted infrastructure): Backend-as-a-service for authentication, transactional email, database, file storage, and edge function execution. Your account data, profile, chat messages, matches, listings, Surfs, and any files you upload are stored on AWS infrastructure in Frankfurt, Germany (eu-central-1) and do not leave the European Union.

Didit Identity Inc. (identity verification, United States): Only when using the Verified Surfer Pass. Didit processes verification data according to their own privacy policy.

Google Cloud LLC (alliance status verification): Images uploaded for alliance verification are processed via Google Cloud Vision API for text recognition. Google's privacy policy applies.

Stripe Inc. (payment processing): Subscription payments for the Verified Surfer Pass on the web platform are processed by Stripe. Stripe's privacy policy applies.

Apple Inc. and Google LLC (app distribution and payment processing, United States): As part of App Store / Google Play usage and subscription management, including in-app purchases.

RevenueCat Inc. (native subscription management, United States): Mirroring and entitlement management of subscriptions purchased through Apple App Store or Google Play.

Affiliate Partners: If you apply for a credit card through an affiliate link, you leave our platform. The privacy policies of the respective bank or affiliate network apply.

We do not sell your personal data to third parties.

7. International Data Transfers

Your primary user data — account, profile, chat messages, matches, listings, and any uploaded files — is hosted by Supabase Inc. on AWS infrastructure in Frankfurt, Germany (eu-central-1). This data does not leave the European Union.

Certain sub-processors are based in the United States and are invoked only for specific user-initiated actions or services you have opted into: web subscription processing (Stripe), native subscription processing and app distribution (Apple, Google, RevenueCat), push notification delivery (Apple APNs, Google FCM), optional identity verification (Didit), and optional automated text recognition on uploaded status screenshots (Google Cloud Vision). For these US transfers, we rely on the following safeguards: for transfers from Switzerland, the sub-processor is recognized under the Swiss-U.S. Data Privacy Framework where available, or we rely on EU Standard Contractual Clauses supplemented by a Swiss addendum; for transfers from the EU, on EU Standard Contractual Clauses; or your explicit consent where required by law.

8. Data Retention and Deletion

We retain your personal data for as long as necessary for the purposes described above or as required by law. Upon deletion of your account, your personal data (profile, messages, matches, transactions) will be deleted immediately, unless a legal retention obligation exists. Reviews and anonymized usage data may persist after account deletion.

9. Your Rights

Under the Swiss FADP and the EU GDPR, you have the following rights:

Right of Access: You may request information about the personal data we process.

Right to Rectification: You may request correction of inaccurate data.

Right to Deletion: You may request deletion of your data. You can delete your account at any time directly in the platform settings.

Right to Data Portability: You may request your data in a common electronic format.

Right to Object: You may object to the processing of your data.

To exercise your rights, please contact us at: hello@power-of-life-labs.com

10. Cookies, Local Storage, and Third-Party Services

We use only strictly necessary storage. We do not use any analytics, tracking, advertising, or profiling cookies, and we do not show a consent banner because none is required for the storage we use (Art. 5(3) ePrivacy Directive, §25(2) No. 2 German TDDDG, Art. 31 Swiss FADP). The legal basis under the GDPR is Art. 6(1)(b) GDPR (performance of a contract — for authentication, account management, identity verification, and payment processing) and Art. 6(1)(f) GDPR (our legitimate interest in providing a functional and secure service — including fraud prevention and automatic platform updates).

a) Local Storage on our domains. We use the browser's Local Storage (not traditional cookies) on app.lounge.surf and lounge.surf to operate features you have actively used: authentication session token (Supabase, keeps you logged in), language preference (EN/DE), onboarding progress, Travel Card Configurator state and results, Card Quiz state and results, Status Match selections, and a version identifier that triggers automatic platform updates. This data stays on your device and can be cleared at any time through your browser settings.

b) Third-party services that may set cookies on their own domains, only when you actively use the corresponding feature:

Stripe Inc. (United States): sets __stripe_mid and __stripe_sid on Stripe's domains when you open the subscription checkout, for payment fraud prevention.

Google LLC (United States): sets session cookies on accounts.google.com when you choose “Sign in with Google”.

Apple Inc. (United States): sets session cookies on appleid.apple.com when you choose “Sign in with Apple”.

Didit Identity Inc. (United States): sets cookies on their own domain when you start identity verification via the Surfer Pass.

Supabase Inc. (United States): provides authentication and database services. Uses Local Storage on our domain only; no cookies are set on Supabase domains.

Firebase Cloud Messaging (Google LLC): uses IndexedDB on your device for push notification delivery; no cookies.

Each of these services is invoked only when you actively initiate the corresponding feature (subscribing, signing in, verifying, etc.). Their cookies are strictly necessary for that requested service. You can clear all Local Storage at any time through your browser settings; doing so will log you out and reset feature state but does not affect your account or data on our servers.

11. Changes to this Privacy Policy

We may update this privacy policy at any time. The current version is available in the platform and on our website. We will inform you of significant changes through the platform.

Datenschutzerklärung

Lounge Surf — Power of Life Labs GmbH
Stand: Mai 2026

Mit dieser Datenschutzerklärung informieren wir, die Power of Life Labs GmbH, Sie über die Bearbeitung von Personendaten im Zusammenhang mit unserer Plattform „Lounge Surf“ (App und Website).

1. Verantwortliche Stelle

Power of Life Labs GmbH
Oberdorfweg 9, 8704 Herrliberg, Schweiz
E-Mail: hello@power-of-life-labs.com

2. Erhobene Personendaten

Wir bearbeiten folgende Personendaten, die Sie uns direkt zur Verfügung stellen oder die bei der Nutzung unserer Plattform anfallen:

Kontodaten: E-Mail-Adresse, Passwort (verschlüsselt gespeichert), Anzeigename.

Profildaten: Allianz/Vielfliegerprogramm, Heimatflughafen, Reisepersönlichkeit, Profilbild, Biografie, Länderanzahl.

Reisedaten: Heimatflughafen, Reiseziele, Flugnummern, Flugdaten. Diese werden ausschliesslich verwendet, um Matches zu ermöglichen und den Travel Card Configurator zu betreiben.

Finanzregion: Bankland des Nutzers. Wird ausschliesslich verwendet, um Kreditkartenangebote anzuzeigen, für die der Nutzer rechtlich antragsberechtigt ist.

Nutzungsdaten: Angebote und Anfragen, Matches, Chat-Nachrichten, Bewertungen, Surfs-Guthaben, Trivia-Ergebnisse und Badges, Lounge-Präferenzen und Status-Match-Suchanfragen.

Daten des Travel Card Configurators: Heimatflughafen, häufigstes Reiseziel, jährliche Reisehäufigkeit, Reisegruppengrösse und aktuelle Kreditkarte/Ökosystem. Diese Angaben werden für die Berechnung einer personalisierten Kreditkartenempfehlung verwendet und sowohl lokal auf dem Gerät (Local Storage) als auch auf unseren Servern gespeichert.

Verifizierungsdaten: Bei Nutzung des Verified Surfer Pass wird die Identitätsverifizierung durch einen Drittanbieter (Didit Identity Inc.) durchgeführt. Die Betreiberin speichert keine Ausweisdokumente oder biometrischen Daten. Es gelten die Datenschutzbestimmungen von Didit.

Allianz-Verifizierungsdaten: Bei Nutzung der Allianz-Statusverifizierung können Nutzer einen Screenshot ihres Airline- oder Hotel-Treueprogrammstatus hochladen. Dieses Bild wird von Google Cloud Vision (Google LLC) zur automatisierten Texterkennung verarbeitet, um die beanspruchte Statusstufe zu verifizieren. Das Bild wird in unserer Infrastruktur gespeichert. Google Cloud Vision verarbeitet die Bilddaten gemäss der Datenschutzerklärung von Google.

Technische Daten: IP-Adresse, Gerätetyp, Betriebssystem, Browser, Nutzungszeiten.

3. Zweck der Datenbearbeitung

Wir bearbeiten Ihre Personendaten zu folgenden Zwecken:

Bereitstellung und Betrieb der Plattform, einschliesslich Benutzerkonto, Matching-Algorithmus, Chat-Funktion und Bewertungssystem.

Berechnung personalisierter Kreditkartenempfehlungen im Travel Card Configurator basierend auf Ihren Reisedaten. Dabei kann eine algorithmische Analyse unter Einsatz von KI-gestützten Diensten erfolgen.

Abwicklung von Abonnements (Verified Surfer Pass) über Apple App Store, Google Play oder die Website.

Verbesserung der Plattform und Nutzererfahrung durch anonymisierte Analysen.

Kommunikation mit Ihnen, einschliesslich Benachrichtigungen über Matches und Nachrichten. Die Plattform nutzt die Browser-Notification-API und fragt Ihre Erlaubnis an, um Ihnen Desktop- oder Mobilbenachrichtigungen zu senden. Dafür prüft die Plattform in regelmässigen Abständen (ca. alle 10 Sekunden), ob neue Nachrichten oder Match-Anfragen vorliegen.

Erfüllung gesetzlicher Pflichten.

4. Rechtsgrundlagen

Die Bearbeitung Ihrer Personendaten erfolgt auf folgenden Rechtsgrundlagen gemäss dem Schweizer Bundesgesetz über den Datenschutz (DSG):

Vertragserfüllung (Art. 31 Abs. 2 lit. a DSG): Die Bearbeitung ist erforderlich für die Bereitstellung unserer Dienste.

Einwilligung (Art. 31 Abs. 1 DSG): Soweit erforderlich, holen wir Ihre ausdrückliche Einwilligung ein, z.B. für Push-Benachrichtigungen oder die Identitätsverifizierung.

Berechtigte Interessen (Art. 31 Abs. 2 lit. a DSG): Für Verbesserung und Sicherheit unserer Dienste.

5. Echtzeit-Standort und Matching

Wenn Sie die Matching-Funktion nutzen, werden Ihr gewählter Flughafen und Ihr Nutzerprofil temporär für andere Nutzer am selben Flughafen sichtbar. Ihre exakten GPS-Koordinaten werden nicht geteilt — es wird ausschliesslich Ihr gewählter Flughafen bzw. Terminal angezeigt.

6. Weitergabe von Daten

Ihre Profildaten (Anzeigename, Allianz, Bewertung, Badges, Reisepersönlichkeit) sind für andere Nutzer der Plattform sichtbar, um das Matching zu ermöglichen.

Chat-Nachrichten sind nur für die beteiligten Match-Partner sichtbar.

Wir geben Daten an folgende Dritte weiter:

Supabase Inc. (USA, EU-gehostete Infrastruktur): Backend-as-a-Service für Authentifizierung, transaktionale E-Mails, Datenbank, Dateispeicherung und Ausführung von Edge Functions. Ihre Kontodaten, Profile, Chat-Nachrichten, Matches, Inserate, Surfs und alle von Ihnen hochgeladenen Dateien werden auf AWS-Infrastruktur in Frankfurt, Deutschland (eu-central-1) gespeichert und verlassen die Europäische Union nicht.

Didit Identity Inc. (Identitätsverifizierung, USA): Nur bei Nutzung des Verified Surfer Pass. Didit verarbeitet Verifizierungsdaten gemäss deren eigener Datenschutzerklärung.

Google Cloud LLC (Allianz-Statusverifizierung): Bilder, die zur Allianz-Verifizierung hochgeladen werden, werden über die Google Cloud Vision API zur Texterkennung verarbeitet. Es gelten die Datenschutzbestimmungen von Google.

Stripe Inc. (Zahlungsabwicklung): Abonnementzahlungen für den Verified Surfer Pass auf der Web-Plattform werden über Stripe abgewickelt. Es gelten die Datenschutzbestimmungen von Stripe.

Apple Inc. und Google LLC (App-Vertrieb und Zahlungsabwicklung, USA): Im Rahmen der App Store- bzw. Google Play-Nutzung und Abonnementverwaltung, einschliesslich In-App-Käufe.

RevenueCat Inc. (native Abonnementverwaltung, USA): Spiegelung und Entitlement-Verwaltung von Abonnements, die über den Apple App Store oder Google Play abgeschlossen wurden.

Affiliate-Partner: Wenn Sie über einen Affiliate-Link eine Kreditkarte beantragen, verlassen Sie unsere Plattform. Es gelten die Datenschutzbestimmungen der jeweiligen Bank oder des Affiliate-Netzwerks.

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.

7. Datenübermittlung ins Ausland

Ihre wesentlichen Nutzerdaten — Konto, Profil, Chat-Nachrichten, Matches, Inserate sowie alle von Ihnen hochgeladenen Dateien — werden von Supabase Inc. auf AWS-Infrastruktur in Frankfurt, Deutschland (eu-central-1) gehostet. Diese Daten verlassen die Europäische Union nicht.

Bestimmte Auftragsverarbeiter haben ihren Sitz in den USA und werden nur für spezifische, von Ihnen initiierte Aktionen oder Dienste eingebunden, für die Sie sich entschieden haben: Abonnement-Abwicklung im Web (Stripe), Abonnement-Abwicklung und App-Vertrieb auf nativen Plattformen (Apple, Google, RevenueCat), Zustellung von Push-Benachrichtigungen (Apple APNs, Google FCM), optionale Identitätsverifizierung (Didit) sowie optionale automatisierte Texterkennung auf hochgeladenen Status-Screenshots (Google Cloud Vision). Bei diesen Übermittlungen in die USA stützen wir uns auf folgende Garantien: bei Übermittlungen aus der Schweiz ist der Auftragsverarbeiter, soweit verfügbar, unter dem Swiss-U.S. Data Privacy Framework anerkannt, oder wir stützen uns auf EU-Standardvertragsklauseln ergänzt durch einen Schweizer Zusatz; bei Übermittlungen aus der EU auf EU-Standardvertragsklauseln; oder Ihre ausdrückliche Einwilligung, soweit gesetzlich erforderlich.

8. Datenspeicherung und Löschung

Wir speichern Ihre Personendaten so lange, wie es für die Erfüllung der oben genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Bei Löschung Ihres Kontos werden Ihre personenbezogenen Daten (Profil, Nachrichten, Matches, Transaktionen) umgehend gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Bewertungen und anonymisierte Nutzungsdaten können auch nach Kontolöschung bestehen bleiben.

9. Ihre Rechte

Sie haben gemäss dem Schweizer DSG und der EU-DSGVO folgende Rechte:

Auskunftsrecht: Sie können Auskunft über die von uns bearbeiteten Personendaten verlangen.

Recht auf Berichtigung: Sie können die Berichtigung unrichtiger Daten verlangen.

Recht auf Löschung: Sie können die Löschung Ihrer Daten verlangen. Sie können Ihr Konto jederzeit direkt in den Einstellungen der Plattform löschen.

Recht auf Datenherausgabe: Sie können die Herausgabe Ihrer Daten in einem gängigen elektronischen Format verlangen.

Widerspruchsrecht: Sie können der Bearbeitung Ihrer Daten widersprechen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter: hello@power-of-life-labs.com

10. Cookies, lokale Speicherung und Drittanbieter-Dienste

Wir verwenden ausschliesslich technisch notwendige Speicherung. Wir setzen keine Analyse-, Tracking-, Werbe- oder Profiling-Cookies ein und zeigen kein Einwilligungsbanner, da für die von uns verwendete Speicherung keine Einwilligung erforderlich ist (Art. 5 Abs. 3 ePrivacy-Richtlinie, §25 Abs. 2 Nr. 2 deutsches TDDDG, Art. 31 Schweizer DSG). Rechtsgrundlage nach DSGVO ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — für Authentifizierung, Kontoverwaltung, Identitätsverifizierung und Zahlungsabwicklung) sowie Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an einem funktionalen und sicheren Dienst — einschliesslich Betrugsprävention und automatischer Plattform-Aktualisierungen).

a) Lokale Speicherung auf unseren Domains. Wir verwenden den Local Storage des Browsers (keine herkömmlichen Cookies) auf app.lounge.surf und lounge.surf, um Funktionen zu betreiben, die Sie aktiv genutzt haben: Authentifizierungs-Sitzungstoken (Supabase, hält Sie eingeloggt), Spracheinstellung (EN/DE), Onboarding-Fortschritt, Status und Ergebnisse des Travel Card Configurators, Status und Ergebnisse des Card Quiz, Status-Match-Auswahl sowie eine Versionskennung zur automatischen Aktualisierung der Plattform. Diese Daten verbleiben auf Ihrem Gerät und können jederzeit über die Einstellungen Ihres Browsers gelöscht werden.

b) Drittanbieter-Dienste, die Cookies auf ihren eigenen Domains setzen können — ausschliesslich, wenn Sie die entsprechende Funktion aktiv nutzen:

Stripe Inc. (USA): setzt __stripe_mid und __stripe_sid auf Stripes Domains, wenn Sie den Abonnement-Checkout öffnen, zur Betrugsprävention bei Zahlungen.

Google LLC (USA): setzt Sitzungs-Cookies auf accounts.google.com, wenn Sie „Mit Google anmelden“ wählen.

Apple Inc. (USA): setzt Sitzungs-Cookies auf appleid.apple.com, wenn Sie „Mit Apple anmelden“ wählen.

Didit Identity Inc. (USA): setzt Cookies auf ihrer eigenen Domain, wenn Sie die Identitätsverifizierung über den Surfer Pass starten.

Supabase Inc. (USA): stellt Authentifizierungs- und Datenbankdienste bereit. Verwendet ausschliesslich Local Storage auf unserer Domain; auf Supabase-Domains werden keine Cookies gesetzt.

Firebase Cloud Messaging (Google LLC): verwendet IndexedDB auf Ihrem Gerät zur Zustellung von Push-Benachrichtigungen; keine Cookies.

Jeder dieser Dienste wird nur aufgerufen, wenn Sie die entsprechende Funktion aktiv initiieren (Abonnieren, Anmelden, Verifizieren usw.). Ihre Cookies sind für den jeweils angeforderten Dienst technisch notwendig. Sie können den Local Storage jederzeit über die Einstellungen Ihres Browsers löschen; dies meldet Sie ab und setzt den Funktionsstatus zurück, hat aber keine Auswirkungen auf Ihr Konto oder Ihre Daten auf unseren Servern.

11. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit anpassen. Die aktuelle Version ist in der Plattform und auf unserer Website einsehbar. Bei wesentlichen Änderungen werden wir Sie über die Plattform informieren.