Datenschutzerklärung

Verantwortlicher: | Kontakt: | Stand: | Version:

ℹ️ Deine Daten gehören dir. Sie werden ausschließlich für den Betrieb des Dienstes verwendet, nicht an Dritte weitergegeben, nicht verkauft, nicht für Werbezwecke genutzt und nicht analysiert. Du kannst alle Daten jederzeit exportieren und löschen.

1. Verantwortlicher (Art. 13 DSGVO)

Verantwortlicher für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

E-Mail:

2. Datenschutzbeauftragter (Art. 37 DSGVO, § 38 BDSG)

Ein Datenschutzbeauftragter wurde nicht bestellt. Die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten, Art. 9 DSGVO) erfolgt nicht im großen Umfang als Kerntätigkeit im Sinne des Art. 37 Abs. 1 lit. c DSGVO. Die Nutzeranzahl liegt unterhalb der Schwellenwerte, ab denen Aufsichtsbehörden eine Bestellungspflicht typischerweise annehmen. Diese Einschätzung wird bei wesentlicher Ausweitung der Nutzerbasis überprüft.

Anfragen zum Datenschutz richten Sie direkt an den Verantwortlichen:

3. Welche Daten wir speichern

3.1 Kontodaten

Nutzername: Zur Identifikation im Dienst
E-Mail-Adresse: Zur Anmeldung und Kontowiederherstellung
Passwort (bcrypt-Hash): Wird nie im Klartext gespeichert (bcrypt, Kostenfaktor 12)
Registrierungsdatum: Zeitpunkt der Kontoerstellung
Letzter Login: Datum der letzten Anmeldung
AGB-Akzeptanz: Version und Zeitpunkt der Zustimmung (Dokumentationspflicht)
Einwilligungszeitpunkt Gesundheitsdaten: Datum und Uhrzeit der erteilten Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO

3.2 Tagebuchdaten (von dir eingegeben)

Mahlzeiten, Getränke, Toilettengänge, Befinden, Sporteinheiten
Fotos (optional, von dir hochgeladen)
Zeitstempel der Einträge

3.3 Technische Daten

Session-Cookie: Zur Aufrechterhaltung der Anmeldung (technisch notwendig, kein Tracking)
Keine Server-Logs mit IP-Adressen oder User-Agent-Strings werden dauerhaft gespeichert
Keine Cookies außer dem notwendigen Session-Cookie
Kein Tracking, kein Analytics, keine Werbung

4. Zweck und Rechtsgrundlage der Verarbeitung

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Folgende Daten werden zur Erfüllung des Nutzungsvertrages verarbeitet: Konto- und Authentifizierungsdaten (Nutzername, E-Mail, Passwort-Hash), Session-Management, Zahlungsabwicklung (bei kostenpflichtigen Plänen über Stripe). Ohne diese Verarbeitung kann der Dienst nicht bereitgestellt werden.

4.2 Ausdrückliche Einwilligung für Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO)

Tagebuchdaten (Mahlzeiten, Befinden, Verdauung, Sport, Fotos) sind Gesundheitsdaten im Sinne von Art. 9 DSGVO. Deren Verarbeitung erfolgt ausschließlich auf Basis deiner gesonderten, ausdrücklichen Einwilligung, die du bei der Registrierung durch eine eigene Checkbox erteilst — getrennt von der Zustimmung zu den AGB. Diese Einwilligung ist freiwillig und jederzeit durch Löschung deines Kontos widerrufbar (Art. 7 Abs. 3 DSGVO).

Da die Kernfunktion des Dienstes in der Speicherung von Gesundheitsdaten besteht, ist die Nutzung ohne diese Einwilligung nicht möglich. Dieser Zusammenhang wird bei der Registrierung transparent kommuniziert.

4.3 Rechtliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO)

Die Dokumentation der AGB-Zustimmung und der erteilten Einwilligungen dient der Erfüllung unserer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

5. Infrastruktur und Drittlandtransfer

Der Dienst wird betrieben auf Servern der . Hetzner ist ein europäisches Unternehmen mit Sitz in Deutschland; eine Übermittlung personenbezogener Daten in Drittländer außerhalb des EWR findet nicht statt. Mit dem Infrastrukturanbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Inhaltliche Daten (Tagebucheinträge, Fotos) sind für den Infrastrukturanbieter nicht zugänglich.

Zahlungsabwicklung (Stripe): Bei Abschluss eines kostenpflichtigen Plans werden Zahlungsdaten über Stripe, Inc. (USA) verarbeitet. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO). Inhaltliche Tagebuchdaten werden nicht an Stripe übermittelt.

6. Speicherdauer

Tagebuchdaten: Bis zur Kontolöschung durch den Nutzer oder den Betreiber
Kontodaten: Bis zur Kontolöschung
Session-Daten: 7 Tage nach letzter Aktivität, danach automatisch gelöscht
Nach Kontolöschung: Alle Daten werden sofort und vollständig gelöscht, einschließlich aller Foto-Dateien. Derzeit werden keine automatisierten Backups eingesetzt; gelöschte Daten sind daher sofort und unwiederbringlich entfernt. Sobald automatisierte Backup-Systeme eingesetzt werden, wird diese Erklärung um konkrete Backup-Aufbewahrungsfristen ergänzt.
Einwilligungsnachweise: Gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) werden Zeitpunkte der erteilten Einwilligungen dauerhaft gespeichert, auch nach Kontolöschung — jedoch ohne Verknüpfung mit Inhaltsdaten.

7. Deine Rechte (Art. 15–22 DSGVO)

Du hast jederzeit folgende Rechte, die du direkt in der App ausüben kannst:

Auskunftsrecht (Art. 15): Exportiere alle deine Daten unter „Mein Konto" → CSV oder JSON
Berichtigungsrecht (Art. 16): Bearbeite deine Einträge direkt in der App
Recht auf Löschung (Art. 17): Lösche dein Konto vollständig unter „Mein Konto" → Konto löschen
Recht auf Datenübertragbarkeit (Art. 20): JSON-Export aller Daten in maschinenlesbarem Format
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Widerruf der Einwilligung zur Verarbeitung von Gesundheitsdaten jederzeit durch Kontolöschung. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Widerspruchsrecht (Art. 21): Da keine Verarbeitung auf Basis von berechtigten Interessen für Werbezwecke erfolgt, ist dieses Recht hier nicht einschlägig.

Für Anfragen wende dich an:

8. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Die zuständige Behörde für Baden-Württemberg ist:

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)
Königstraße 10a, 70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de

9. Cookies und Session

Wir setzen ausschließlich einen technisch notwendigen Session-Cookie ein (Name: gdid). Dieser Cookie:

ist technisch notwendig für die Anmeldung und kann nicht deaktiviert werden
enthält keine personenbezogenen Daten, nur eine zufällige Session-ID
wird nach 7 Tagen Inaktivität automatisch ungültig
wird nach dem Abmelden sofort gelöscht
wird nicht für Tracking oder Werbung verwendet

Da dieser Cookie technisch notwendig ist, ist keine gesonderte Cookie-Einwilligung nach § 25 TTDSG erforderlich.

10. Keine automatisierten Entscheidungen

Wir führen keine automatisierten Entscheidungen oder Profiling i.S.d. Art. 22 DSGVO durch. Deine Daten werden ausschließlich zur Darstellung deiner eigenen Einträge verwendet.

11. Sicherheitsmaßnahmen

Passwörter werden mit bcrypt (Kostenfaktor 12) gehasht
Session-Tokens sind kryptografisch zufällig generiert
Fotos sind nur über authentifizierte Endpoints abrufbar
HTTP-Sicherheitsheader (Helmet.js): CSP, X-Frame-Options, HSTS (bei HTTPS)
Rate-Limiting gegen Brute-Force-Angriffe
Alle Datenbankabfragen sind parametrisiert (kein SQL-Injection-Risiko)

Trotz dieser Maßnahmen kann absolute Sicherheit nicht garantiert werden.

12. Aktualität und Versionierung

Diese Datenschutzerklärung wird bei wesentlichen Änderungen des Dienstes oder der Rechtslage aktualisiert. Materielle Änderungen werden Nutzern mit aktivem Konto mitgeteilt. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Vorherige Versionen können beim Betreiber angefragt werden.