Rechtliches

Datenschutzerklärung

Diese Erklärung beschreibt, wie wir personenbezogene Daten bei der Nutzung von foodlex.app (Marketing-Seite) und app.foodlex.app (Web-Anwendung) verarbeiten. Geltungsbereich: Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

Stephan Buchfink
Adlerstraße 26
68199 Mannheim
Deutschland
E-Mail: kontakt@foodlex.app

2. Datenschutzbeauftragter

Aufgrund der Größe und Art der Datenverarbeitung ist die Bestellung eines Datenschutzbeauftragten nicht gesetzlich erforderlich (§ 38 BDSG). Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Kontakt-E-Mail.

3. Allgemeine Hinweise

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Inhalte und Leistungen erforderlich ist. Personenbezogene Daten werden nur mit Ihrer Einwilligung oder auf Grundlage einer gesetzlichen Erlaubnis verarbeitet.

4. Aufruf der Marketing-Seite (foodlex.app) — Server-Logs

Beim Aufruf von foodlex.app verarbeitet unser Hoster (Vercel Inc., siehe Abschnitt 9) automatisch technische Daten, die Ihr Browser übermittelt:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und Referrer
  • Browser-Typ und Betriebssystem (User-Agent)
  • Übertragene Datenmenge und HTTP-Statuscode

Zweck: Auslieferung der Inhalte, Gewährleistung der Stabilität und Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb der Website).
Speicherdauer: Server-Logs werden bei Vercel standardmäßig nach kurzer Zeit anonymisiert oder gelöscht.

5. Reichweitenmessung (Umami & Google Analytics)

5.1 Umami (selbst gehostet, cookielos)

Wir setzen auf foodlex.app eine selbst gehostete Instanz der Open-Source-Analyse-Software Umami ein. Umami arbeitet vollständig cookielos und ohne Tracking-Identifier über Sitzungen oder Geräte hinweg und läuft unabhängig von einer Einwilligung.

Erfasste Daten:

  • Aufgerufene Seite
  • Referrer (woher der Besuch kam, falls vorhanden)
  • Browser- und Betriebssystem-Familie
  • Land (aus IP-Adresse abgeleitet, IP selbst wird gehasht und nicht gespeichert)
  • Auflösungsklasse des Bildschirms (z. B. „Mobile", „Desktop")

Zweck: Verstehen, wie unsere Marketing-Inhalte angenommen werden, um sie zu verbessern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an datensparsamer Reichweitenmessung). Da Umami cookielos arbeitet und keine geräteübergreifenden Identifier setzt, ist nach gängiger Rechtsauffassung keine Einwilligung nach § 25 TTDSG erforderlich.
Auftragsverarbeitung: Die Umami-Instanz läuft auf Vercel (Hosting) mit einer Neon-PostgreSQL-Datenbank (siehe Abschnitt 9).
Speicherdauer: Aggregierte Statistiken unbefristet, IP-Hashes nach 30 Tagen rotiert.

5.2 Google Analytics 4 (nur mit Ihrer Einwilligung)

Zusätzlich setzen wir Google Analytics 4 (GA4) ein – jedoch ausschließlich dann, wenn Sie über unseren Cookie-Banner ausdrücklich eingewilligt haben. Ohne Einwilligung werden keine GA4-Cookies gesetzt und keine Daten an Google übermittelt (technisch umgesetzt über Google Consent Mode v2, Standardzustand „denied").

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; ggf. unter Beteiligung der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Zweck: statistische Analyse des Nutzungsverhaltens auf foodlex.app zur Reichweitenmessung und Verbesserung des Angebots.
Verarbeitete Daten: u. a. gekürzte IP-Adresse, Geräte- und Browser-Informationen, aufgerufene Seiten, Verweildauer, Referrer sowie eine pseudonyme Nutzer-/Cookie-Kennung (Cookies _ga, _ga_*).
Rechtsgrundlage: Ihre Einwilligung gemäß § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.
Drittlandtransfer: Eine Übermittlung in die USA (Google LLC) ist möglich. Google ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln.
Speicherdauer: die Aufbewahrung nutzerbezogener Daten ist auf 14 Monate begrenzt.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – über den Link „Cookie-Einstellungen" im Seitenfuß. Ergänzend können Sie das Browser-Add-on zur Deaktivierung von Google Analytics nutzen: tools.google.com/dlpage/gaoptout.
Auftragsverarbeitung: Mit Google besteht ein Vertrag zur Auftragsverarbeitung (Google Ads/Analytics Data Processing Terms).

6. Nutzung der Web-App (app.foodlex.app) — Konto und Inhalte

Die eigentliche Anwendung unter app.foodlex.app ist auf eine Konto-Anmeldung ausgelegt. Folgende Daten werden dabei verarbeitet:

6.1 Konto-Anmeldung (Authentifizierung)

  • E-Mail-Adresse (zur Anmeldung und Magic-Link-Authentifizierung)
  • Hashes des Passworts (kein Klartext-Speichern)
  • Letzter Login-Zeitpunkt, Anmeldeversuche

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, da die Konto-Anmeldung Voraussetzung für die Nutzung der App ist).
Auftragsverarbeiter: Supabase Inc. (siehe Abschnitt 9), Rechenzentrum eu-central-1 (Frankfurt).

6.2 Nutzerinhalte

In der App können Sie Lebensmittel, Rezepte, Wochenpläne und zugehörige Stammdaten anlegen. Diese Inhalte werden in Ihrem Konto bei Supabase (eu-central-1) gespeichert. Sie können jederzeit über die Backup-Funktion in der App (Header-Buttons ⤓ Export / ⤒ Import) Ihre Daten als JSON-Datei herunterladen oder einspielen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Konto-Löschung durch Sie oder Beendigung der Beta.

6.3 KI-Analyse von Lebensmittel-Etiketten und Rezepten

Wenn Sie über die App ein Foto oder PDF eines Lebensmittel-Etiketts oder Rezepts hochladen, wird der Inhalt zur strukturierten Auswertung an die KI-API von Anthropic, PBC (siehe Abschnitt 9) übermittelt. Die KI extrahiert dabei Zutaten, Nährwerte und Allergene aus dem Bild. Anthropic verarbeitet die übermittelten Inhalte gemäß seiner eigenen Datenschutzrichtlinie und speichert API-Eingaben standardmäßig nur kurzfristig zur Missbrauchs-Erkennung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die KI-Analyse ist Kernfunktion der App).
Hinweis: Bitte laden Sie keine sensiblen oder urheberrechtlich geschützten Inhalte hoch, an deren Verarbeitung durch die Anthropic-API Sie keinen Rechtsanspruch haben.

6.4 Lokale Speicherung im Browser

Die App nutzt localStorage Ihres Browsers, um Einstellungen (z. B. Lokal-Modus-Präferenz, Sortier-Optionen, zuletzt geöffnete Ansicht) zu speichern. Es werden dabei keine personenbezogenen Daten an unsere Server übermittelt. Sie können den localStorage in den Einstellungen Ihres Browsers jederzeit leeren.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG (technisch erforderlich für die vom Nutzer ausdrücklich gewünschte Funktion).

7. Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre E-Mail-Adresse sowie den Nachrichteninhalt zur Bearbeitung Ihrer Anfrage. Die E-Mails werden über Namecheap Private Email Forwarding an unser Postfach weitergeleitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Anfragebeantwortung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: Bis zum Abschluss der Korrespondenz, anschließend gemäß gesetzlicher Aufbewahrungsfristen.

8. Cookies & Einwilligung

Die Marketing-Seite foodlex.app setzt von sich aus keine Cookies – die Reichweitenmessung mit Umami ist cookielos. Google Analytics 4 (Abschnitt 5.2) setzt Cookies jedoch erst, nachdem Sie über unseren Cookie-Banner eingewilligt haben. Über den Link „Cookie-Einstellungen" im Seitenfuß können Sie Ihre Auswahl jederzeit ändern oder widerrufen; Ihre Entscheidung wird lokal in Ihrem Browser gespeichert.

Die Web-App app.foodlex.app setzt nur technisch erforderliche Cookies bzw. Speichermechanismen (Session-Cookie von Supabase für die Anmeldung, localStorage für App-Einstellungen).

9. Auftragsverarbeiter und Drittländer-Transfer

Wir setzen folgende Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO ein:

Vercel Inc. — Hosting

Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
Verarbeitet: Server-Logs (siehe Abschnitt 4), statische Auslieferung der Marketing-Seite und der App.
Drittland: USA — Datenübermittlung erfolgt unter den Standardvertragsklauseln (SCCs) der EU-Kommission und den ergänzenden Maßnahmen von Vercel.
Datenschutz: vercel.com/legal/privacy-policy

Supabase Inc. — Authentifizierung und Datenbank

Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992
Verarbeitet: Konto-Daten, Nutzerinhalte (siehe Abschnitt 6).
Rechenzentrum: eu-central-1 (Frankfurt am Main, Deutschland). Datenverarbeitung erfolgt innerhalb der EU.
Datenschutz: supabase.com/privacy

Anthropic, PBC — KI-API

Anthropic, PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA
Verarbeitet: Hochgeladene Bilder/PDFs zur Extraktion von Zutaten und Nährwerten (siehe Abschnitt 6.3).
Drittland: USA — Datenübermittlung erfolgt unter den Standardvertragsklauseln (SCCs).
Datenschutz: anthropic.com/legal/privacy

Neon, Inc. — Datenbank für Reichweitenmessung

Neon, Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA
Verarbeitet: Aggregierte Reichweiten-Statistiken der Umami-Instanz (siehe Abschnitt 5).
Drittland: USA (Region iad1 / US East) — Datenübermittlung erfolgt unter den Standardvertragsklauseln (SCCs).
Datenschutz: neon.tech/privacy-policy

Google Ireland Limited — Webanalyse (Google Analytics 4)

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; ggf. Google LLC, Mountain View, CA, USA.
Verarbeitet: Nutzungsdaten zur statistischen Reichweitenmessung — nur nach Ihrer Einwilligung (siehe Abschnitt 5.2).
Drittland: USA — zertifiziert unter dem EU-US Data Privacy Framework, ergänzend Standardvertragsklauseln (SCCs).
Datenschutz: policies.google.com/privacy

10. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

  • Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten
  • Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — in der App über die Backup-Export-Funktion direkt umsetzbar
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Zur Geltendmachung dieser Rechte wenden Sie sich bitte an kontakt@foodlex.app.

11. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder mutmaßlichen Verstoßes (Art. 77 DSGVO).

12. Sicherheit

Die Übertragung erfolgt ausschließlich verschlüsselt über HTTPS / TLS 1.2 oder höher. Passwörter werden ausschließlich als Hash-Wert über bcrypt/argon2 in Supabase gespeichert; ein Klartext-Zugriff ist auch uns nicht möglich.

13. Änderungen dieser Erklärung

Mit der Weiterentwicklung von Foodlex und dem Wegfall der Beta-Phase können sich Änderungen an dieser Datenschutzerklärung ergeben. Die jeweils aktuelle Fassung ist unter foodlex.app/datenschutz abrufbar.

Stand: