Datenschutzerklärung
Stand: März 2026
Diese Datenschutzerklärung informiert dich darüber, wie Smakwise („wir“, „uns“, „unser“) deine personenbezogenen Daten erhebt, verarbeitet und schützt, wenn du die Smakwise-App (iOS und Android) und die Website smakwise.app nutzt. Diese deutsche Fassung ist rechtlich bindend.
1. Verantwortlicher & Kontakt (Art. 13 Abs. 1 lit. a DSGVO)
Verantwortlicher im Sinne der DSGVO ist:
Ole ter Haseborg
c/o Postflex #9365
Emsdettener Str. 10
48268 Greven
Deutschland
E-Mail für Datenschutzanfragen: legal@smakwise.app
Die Benennung eines Datenschutzbeauftragten ist nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).
2. Übersicht der verarbeiteten Daten (Art. 13 Abs. 1 DSGVO)
2.1 Datenarten und Rechtsgrundlagen
| Datenkategorie | Konkrete Daten | Rechtsgrundlage | Zweck |
|---|---|---|---|
| Registrierungsdaten | E-Mail, Passwort (gehasht) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Kontoverwaltung, Authentifizierung |
| Ernährungsprofil (Food Profile) | Ernährungstyp (vegan, vegetarisch etc.), Unverträglichkeiten, Gesundheitsziele | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Personalisierte Rezeptgenerierung |
| Nutzungsdaten | Generierte Rezepte, Favoriten, Einkaufslisten, Kochmodus-Nutzung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Kernfunktionalität der App |
| Gamification-Daten | XP-Punkte, Level, Streaks, Meilensteine | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Gamification-System |
| Abonnement-Daten | Abo-Tier (Free/Premium/Ultra), Laufzeit, Trial-Status | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Abonnementverwaltung |
| KI-Interaktionsdaten | Freitext-Eingaben (NLP), Zutatenauswahl, Rezeptanfragen | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | KI-Rezeptgenerierung |
| Kamera-/Fotodaten | Fotos von Lebensmitteln (transient verarbeitet, nicht gespeichert) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | KI-gestützte Zutatenerkennung |
| Pseudonyme Analysedaten | Supabase-UUID, App-Events, Gerätetyp (kein PII) | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Produktverbesserung, Fehlerbehebung |
| Fehler-/Crash-Daten | Stack Traces, Fehler-Kontext, Breadcrumbs | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) | Fehlerbehebung, App-Stabilität |
| Zahlungsdaten | Kaufbestätigungen via App Store / Play Store | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Abonnement-Abwicklung |
2.2 Gesundheitsdaten — Besondere Kategorie (Art. 9 DSGVO)
Dein Ernährungsprofil (Unverträglichkeiten wie Laktose, Gluten, Nussallergien; Gesundheitsziele) kann als gesundheitsbezogene Daten im Sinne des Art. 9 DSGVO eingestuft werden und unterliegt besonderem Schutz.
- Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — deine ausdrückliche Einwilligung
- Umsetzung: Wir holen deine ausdrückliche Einwilligung während der Einrichtung des Ernährungsprofils ein, bevor Daten gespeichert werden
- Widerruf: Du kannst deine Einwilligung jederzeit widerrufen, indem du dein Ernährungsprofil oder dein Konto löschst. Der Widerruf ist ebenso einfach wie die Erteilung der Einwilligung (Art. 7 Abs. 3 DSGVO).
- Dokumentation: Einwilligungszeitpunkt und -version werden protokolliert
3. Auftragsverarbeiter & Drittanbieter (Art. 13 Abs. 1 lit. e/f DSGVO)
3.1 Auftragsverarbeiter-Übersicht
| Dienstleister | Zweck | Verarbeitete Daten | Sitz / Serverstandort | Transfermechanismus |
|---|---|---|---|---|
| Supabase Inc. | Authentifizierung, Datenbank, Dateispeicher, Edge Functions | Alle Nutzerdaten (Auth, Profil, Rezepte, Nutzung) | EU (Frankfurt, AWS) | Kein Drittlandtransfer |
| Cloudflare Inc. | KI-Backend (Worker), Static Hosting (Pages), Rate Limiting, DNS/CDN, Web Analytics | KI-Anfragen (Zutaten, Ernährungsprofil, Rezeptdaten), IP-Adresse (Transit), aggregierte Seiten-Performance-Daten | Global Edge (auch EU-Standorte) | EU-US DPF + SCCs |
| Vercel Inc. (AI Gateway) | Routing von KI-Anfragen an KI-Anbieter | Prompts mit Zutaten/Ernährungsdaten, KI-Antworten (transient) | USA (AWS) | EU-US DPF + SCCs |
| Anthropic PBC | KI-Modell (Claude) für Rezeptgenerierung | Prompts mit Zutaten, Ernährungsprofil-Daten | USA | EU-US DPF + SCCs |
| OpenAI Inc. | KI-Modelle (GPT-4o-mini) für Klassifizierung, Vorschläge | Prompts mit Zutaten, Rezeptdaten | USA | EU-US DPF + SCCs |
| Google LLC | KI-Modell (Gemini) für Rezepttext, Übersetzung | Prompts mit Zutaten, Ernährungsdaten, Rezeptinhalte | USA | EU-US DPF + SCCs |
| fal.ai (fal Inc.) | KI-Bildgenerierung (FLUX Schnell) | Rezeptbeschreibungen, Zutaten-Keywords (kein PII) | USA | SCCs |
| PostHog Inc. | Pseudonyme Produktanalyse | Pseudonyme Events (UUID, keine PII), App-Version, Abo-Tier | EU (Frankfurt) | Kein Drittlandtransfer |
| Sentry (Functional Software Inc.) | Fehler-Tracking, Crash Reports | Stack Traces, Fehler-Kontext, Breadcrumbs, Device-Info | USA | EU-US DPF + SCCs |
| RevenueCat Inc. | Abonnementverwaltung | Kauf-Events, Abo-Status, Transaktions-IDs | USA | EU-US DPF + SCCs |
| Apple Inc. | App-Distribution (App Store), In-App-Käufe | Zahlungsdaten (verarbeitet durch Apple, nicht durch Smakwise) | USA / Irland | Eigener Verantwortlicher |
| Google LLC (Play Store) | App-Distribution (Play Store), In-App-Käufe | Zahlungsdaten (verarbeitet durch Google, nicht durch Smakwise) | USA / Irland | Eigener Verantwortlicher |
Mit allen oben genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV). Apple und Google sind eigenständige Verantwortliche für ihre jeweiligen App Stores und die Zahlungsabwicklung.
4. KI-Verarbeitung — Transparenzpflicht (EU AI Act + DSGVO)
Smakwise verwendet Künstliche Intelligenz (Large Language Models und Bildgenerierung) zur Erstellung personalisierter Rezepte.
4.1 Datenfluss
Wenn du ein Rezept generierst, durchlaufen deine Daten folgende Kette:
- Smakwise-App → sendet deine Zutatenauswahl und dein Ernährungsprofil
- Cloudflare Worker (unser Server) → verarbeitet und leitet die Anfrage weiter
- Vercel AI Gateway → routet die Anfrage an den zuständigen KI-Anbieter
- KI-Anbieter (Anthropic, OpenAI oder Google) → generiert das Rezept
4.2 Welche Daten an KI-Anbieter übermittelt werden
- Zutatenauswahl und Zubereitungspräferenzen
- Ernährungsprofil (Ernährungstyp, Unverträglichkeiten, Ziele)
- Freitext-Eingaben (NLP-Input)
- Fotos von Lebensmitteln (für die Zutatenerkennung — siehe Abschnitt 4.6)
- Sprachpräferenz (DE/EN)
4.3 Welche Daten NICHT an KI-Anbieter übermittelt werden
- E-Mail-Adresse
- Passwort
- Zahlungsinformationen
- Geräte-IDs oder IP-Adressen
4.4 Datenspeicherung und Training
- Zero Data Retention: Prompts und Antworten werden nach der Verarbeitung gelöscht (Vercel AI Gateway ZDR)
- Kein Modelltraining: Deine Daten werden nicht zum Training von KI-Modellen verwendet (API-Nutzung, keine Trainingsdaten)
- Vercel AI Gateway fungiert als transienter Routing-Dienst und speichert keine Inhalte dauerhaft
4.5 Bildgenerierung (fal.ai)
Für die Bildgenerierung werden ausschließlich Rezeptmetadaten (Name, Beschreibung, Zutaten-Keywords) verwendet. Es werden keine personenbezogenen Daten an fal.ai übermittelt. Generierte Bilder werden in Supabase Storage gespeichert.
4.6 Fotoerkennung (Zutatenerkennung)
Smakwise bietet eine KI-gestützte Fotoerkennung, die Lebensmittel auf Fotos deines Kühlschranks, deiner Vorratskammer oder Arbeitsfläche identifiziert.
- Kamerazugriff: Die App fragt die Kameraberechtigung an, um Fotos aufzunehmen. Du kannst auch Fotos aus der Galerie deines Geräts auswählen (keine zusätzliche Berechtigung erforderlich).
- Transiente Verarbeitung: Fotos werden direkt an einen KI-Anbieter (Google Gemini) zur Zutatenerkennung gesendet. Fotos werden nicht auf unseren Servern gespeichert — sie werden in Echtzeit verarbeitet und sofort nach der Analyse verworfen.
- Kein Modelltraining: Deine Fotos werden nicht zum Training von KI-Modellen verwendet.
- Übermittelte Daten: Das Foto, deine verfügbare Zutatenliste und dein Ernährungsprofil werden für eine genaue Zuordnung an den KI-Anbieter gesendet.
- Keine Gesichtserkennung: Die KI ist angewiesen, ausschließlich Lebensmittel zu identifizieren. Es findet keine Gesichtserkennung, Personenidentifikation oder biometrische Verarbeitung statt.
- Gerätespeicherung: Das aufgenommene Foto wird während der Erkennungssitzung temporär im App-Speicher gehalten und beim Verlassen des Bildschirms verworfen.
5. Drittlandtransfer (Art. 44–49 DSGVO)
| Zielland | Anbieter | Transfermechanismus |
|---|---|---|
| USA | Cloudflare, Vercel, Anthropic, OpenAI, Google, fal.ai, Sentry, RevenueCat | EU-US Data Privacy Framework (DPF) + Standardvertragsklauseln (SCCs) als Backup |
Das EU-US Data Privacy Framework basiert auf dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 (C(2023) 4745). Zusätzlich stützen wir uns auf Standardvertragsklauseln (SCCs) als Backup-Mechanismus.
Trotz des DPF besteht ein Restrisiko bei US-Datenverarbeitung aufgrund möglicher Zugriffe durch US-Behörden unter FISA Section 702. Die DPF-Teilnahme der Anbieter kann unter dataprivacyframework.gov überprüft werden.
6. Analyse & Tracking (TDDDG + DSGVO)
6.1 PostHog Analytics
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse: Produktverbesserung)
- EU-gehostet (Frankfurt) — kein Drittlandtransfer
- Pseudonyme Nutzer-IDs (Supabase UUID, nicht verknüpfbar mit PII)
- Memory-only Persistenz (keine Cookies, kein AsyncStorage, kein LocalStorage)
- Kein IP-Tracking, keine Geolokalisierung
- Kein Session Replay
Du hast das Recht, der Analyseverarbeitung gemäß Art. 21 DSGVO zu widersprechen. Kontaktiere uns unter legal@smakwise.app.
6.2 Sentry Error Tracking
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse: App-Stabilität)
- Verarbeitete Daten: Stack Traces, Fehler-Kontext, Breadcrumbs
- Keine PII in Error Reports (keine E-Mails, Namen etc.)
- Data Scrubbing / PII-Filter ist aktiviert
6.3 Cloudflare Web Analytics
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse: Website-Performance-Monitoring)
- Cookieless — keine Cookies, kein localStorage, kein Fingerprinting
- Erfasst aggregierte Performance-Daten (Ladezeiten, Referrer, Seitenpfad)
- Kein individuelles Besucher-Tracking oder Profiling
- Datenverarbeitung durch Cloudflare Inc. (USA) auf Basis der Cloudflare-Auftragsverarbeitungsvereinbarung mit EU-Standardvertragsklauseln
6.4 Cookies & Tracking-Technologien
- Smakwise-App: Keine Cookies, keine Tracking-Pixel, kein Fingerprinting
- Smakwise-Website (smakwise.app): Es werden keine Cookies gesetzt. Cloudflare Web Analytics ist vollständig cookieless. Sollten künftig technisch notwendige Cookies eingesetzt werden, wird ein Cookie-Consent-Banner bereitgestellt.
- Keine Werbung: Es werden kein Werbetracking und keine Third-Party-Tracker verwendet
TDDDG § 25: Weder das PostHog-SDK noch Cloudflare Web Analytics greifen auf den Endgerätespeicher zu. Eine Einwilligung nach § 25 TDDDG ist daher nicht erforderlich.
7. Betroffenenrechte (Art. 12–23 DSGVO)
| Recht | Artikel | Umsetzung in Smakwise |
|---|---|---|
| Auskunft | Art. 15 | E-Mail-Anfrage → Datenexport bereitstellen |
| Berichtigung | Art. 16 | In-App-Bearbeitung des Profils oder E-Mail-Anfrage |
| Löschung („Recht auf Vergessenwerden“) | Art. 17 | Account-Löschung in App (Einstellungen) oder E-Mail-Anfrage |
| Einschränkung der Verarbeitung | Art. 18 | E-Mail-Anfrage |
| Datenübertragbarkeit | Art. 20 | Datenexport in maschinenlesbarem Format (JSON/CSV) |
| Widerspruch | Art. 21 | Gegen Analyse: E-Mail-Anfrage |
| Widerruf der Einwilligung | Art. 7 Abs. 3 | Für Gesundheitsdaten: Ernährungsprofil löschen oder E-Mail-Anfrage |
| Beschwerde bei Aufsichtsbehörde | Art. 77 | Hinweis auf zuständige Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes |
Zur Ausübung deiner Rechte kontaktiere uns unter legal@smakwise.app. Wir antworten innerhalb von 30 Tagen.
7.1 Account-Löschung
- In-App: Lösche dein Konto direkt in den Einstellungen (bereits verfügbar)
- Frist: Alle personenbezogenen Daten werden innerhalb von 30 Tagen vollständig gelöscht
- Umfang: Alle personenbezogenen Daten bei Supabase (Auth, Datenbank, Storage) werden gelöscht
- Drittanbieter: Anonymisierte/pseudonyme Daten bei Analytics-Anbietern sind ggf. nicht löschbar
- Apple/Google-Anforderung: Die Löschfunktion ist direkt in der App verfügbar (nicht nur per E-Mail)
8. Datensicherheit (Art. 32 DSGVO)
Wir setzen folgende technische und organisatorische Maßnahmen (TOM) um:
- Verschlüsselung im Transit: TLS/SSL für alle Verbindungen (Supabase, Cloudflare, API-Aufrufe)
- Verschlüsselung at Rest: Supabase (AWS-Verschlüsselung), Cloudflare (verschlüsselte Secrets)
- Zugangskontrolle: JWT-basierte Authentifizierung, Row Level Security (RLS) in Supabase
- Passwortsicherung: Passwörter werden gehasht gespeichert (Supabase Auth, bcrypt)
- API-Sicherheit: Rate Limiting (Cloudflare + Supabase), server-seitige JWT-Validierung
- Secrets-Management: Alle API-Keys als Secrets gespeichert (nicht im Code)
- Minimalprinzip: Nur notwendige Daten werden an Drittanbieter übermittelt
9. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO)
| Datenkategorie | Speicherdauer | Löschung |
|---|---|---|
| Account-Daten | Bis zur Kontolöschung | Mit Kontolöschung |
| Ernährungsprofil | Bis zur Kontolöschung oder Widerruf | Mit Kontolöschung oder auf Anfrage |
| Rezepte & Einkaufslisten | Bis zur Kontolöschung | Mit Kontolöschung |
| Gamification-Daten | Bis zur Kontolöschung | Mit Kontolöschung |
| Abo-Daten | Bis zur Kontolöschung + gesetzl. Aufbewahrungsfrist (6–10 Jahre HGB/AO) | Nach Ablauf der Aufbewahrungsfrist |
| Analyse-Daten (PostHog) | Pseudonymisiert, max. 12 Monate | Automatische Löschung / Aggregation |
| Error-Logs (Sentry) | 90 Tage (Sentry Standard) | Automatische Löschung |
| KI-Prompts | Nicht dauerhaft gespeichert (transient) | Sofort nach Verarbeitung |
10. Minderjährige (Art. 8 DSGVO)
Smakwise richtet sich an Nutzer ab 16 Jahren. In Deutschland können Personen ab 16 Jahren selbstständig in die Datenverarbeitung einwilligen (Art. 8 DSGVO).
Wenn du unter 16 Jahre alt bist, darfst du Smakwise nur mit Einwilligung deiner Erziehungsberechtigten nutzen.
Smakwise richtet sich nicht an Kinder unter 13 Jahren (gemäß dem US-amerikanischen Children's Online Privacy Protection Act, COPPA).
11. In-App-Käufe & Zahlungen
Alle Zahlungen werden ausschließlich über den Apple App Store oder Google Play Store abgewickelt. Smakwise erhält und speichert keine Kreditkartendaten oder Zahlungsdetails.
RevenueCat erhält Transaktions-IDs und Abo-Events von den App Stores, hat aber keinen Zugang zu deinen Zahlungsmitteln.
12. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Bei wesentlichen Änderungen informieren wir dich über eine In-App-Benachrichtigung. Das Datum der letzten Aktualisierung findest du oben auf dieser Seite.
13. Datenschutzrechte für Kalifornien (CCPA)
Wenn du in Kalifornien wohnhaft bist, hast du folgende zusätzliche Rechte:
- Auskunftsrecht: Welche personenbezogenen Daten wir erheben, verwenden und offenlegen
- Löschungsrecht: Löschung deiner personenbezogenen Daten verlangen
- Opt-out-Recht: Widerspruch gegen den Verkauf oder die Weitergabe deiner personenbezogenen Daten
- Nichtdiskriminierung: Du wirst bei Ausübung deiner Rechte nicht benachteiligt
Wir verkaufen deine personenbezogenen Daten nicht. Wir geben deine personenbezogenen Daten nicht für kontextübergreifende verhaltensbezogene Werbung weiter.
Zur Ausübung deiner CCPA-Rechte kontaktiere uns unter legal@smakwise.app.
14. UK GDPR
Wenn du dich im Vereinigten Königreich befindest, gilt diese Datenschutzerklärung auch unter der UK GDPR. Die zuständige Aufsichtsbehörde für den Datenschutz im Vereinigten Königreich ist das Information Commissioner's Office (ICO).
Datenübermittlungen in das Vereinigte Königreich werden durch den UK Adequacy Decision und UK Standard Contractual Clauses abgesichert.