Entwurfsversion. Diese Seite ist ein strukturierter Vorschlag und keine Rechtsberatung. Vor Veröffentlichung muss der Text durch eine fachkundige Person (Anwalt oder Datenschutzbeauftragte:r) auf Vollständigkeit und Richtigkeit geprüft werden. Platzhalter wie […] sind durch echte Angaben zu ersetzen.

Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[Inhaber:in / Firmenname]
[Anschrift wie im Impressum]
E-Mail: datenschutz@glacelia.de

2. Welche Daten verarbeiten wir und warum?

2.1 Konto und Authentifizierung

Beim Login per Magic-Link oder Sign-in with Apple speichern wir Deine E-Mail-Adresse, eine pseudonyme Benutzer-Kennung sowie den Zeitpunkt von Login-Ereignissen. Diese Daten sind erforderlich, damit die App Dich beim nächsten Aufruf wiedererkennt (Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Nutzungsvertrags).

2.2 Inhalte (Rezepte, Zutaten, Profile)

Inhalte, die Du in Deiner Eisdiele anlegst — Rezepte, Zutaten, KI-Generierungs-Profile, Bilder, Etiketten-Daten — werden in Deinem Workspace bei unserem Datenbank-Anbieter Supabase gespeichert. Eine Freigabe in den Marketplace findet nur statt, wenn Du das ausdrücklich aktivierst (Art. 6 Abs. 1 lit. a DSGVO — Einwilligung).

2.3 KI-Generierungen

Wenn Du den KI-Generator oder den KI-Zutaten-Importer nutzt, übermitteln wir Deinen Prompt sowie ggf. anonymisierte Auszüge Deines Inventars an unseren KI-Dienstleister (Anthropic, USA). Antworten werden an Dich zurückgespielt und in Deinem Workspace als Draft gespeichert (Art. 6 Abs. 1 lit. b DSGVO).

2.4 Subscription und Zahlung

Für die Abwicklung kostenpflichtiger Pläne nutzen wir den Zahlungsdienstleister Stripe. Wir übermitteln dabei Deine E-Mail-Adresse, eine Kunden-Referenz und Rechnungsdaten; Karten- und Bankdaten werden ausschließlich bei Stripe verarbeitet (Art. 6 Abs. 1 lit. b DSGVO).

2.5 Technische Logs

Beim Aufruf der App und der Edge-Functions fallen technische Daten an (IP-Adresse, User-Agent, Zeitstempel, Anforderungs-URL). Diese werden bei Supabase bzw. unserem Hosting-Provider Vercel kurzzeitig gespeichert, um Fehler zu finden und Angriffe abzuwehren (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse).

3. Empfänger Deiner Daten

Folgende Auftragsverarbeiter werden eingebunden:

  • Supabase (Datenbank, Auth, Storage) — Rechenzentrum Frankfurt (EU).
  • Vercel (Hosting der Web-App) — globale Edge-Caches, Server-Side- Rendering in EU-Region [Region noch festzulegen].
  • Anthropic (KI-Service Claude) — Datenübermittlung in die USA. Wir stützen uns auf die Standardvertragsklauseln (SCC) der EU-Kommission.
  • Stripe (Zahlungsabwicklung) — Hauptsitz Irland, Sub-Verarbeitung in den USA mit SCC.
  • Apple (Sign-in with Apple, ggf. App-Store-In-App-Käufe) — gemäß den Apple-Datenschutzbestimmungen.
  • [SMTP-Anbieter] (Versand transaktionaler E-Mails wie Team-Einladungen).

Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Bei Übermittlungen in Drittländer ohne Angemessenheitsbeschluss kommen zusätzliche Garantien (SCC, technische Maßnahmen) zum Einsatz.

4. Speicherdauer

  • Konto-Daten: bis zur Löschung Deines Accounts.
  • Inhalte (Rezepte, Zutaten): bis zur Löschung durch Dich.
  • KI-Generierungs-Logs (Tokens, Kosten): 24 Monate für Abrechnungs- und Statistik-Zwecke.
  • Rechnungs-/Buchhaltungs-Daten: nach gesetzlicher Aufbewahrungsfrist (in DE 10 Jahre).
  • Technische Logs: maximal 30 Tage.

5. Deine Rechte

Du hast nach den Art. 15 ff. DSGVO insbesondere folgende Rechte:

  • Auskunft über die zu Dir gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung (Art. 17), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Du kannst diese Rechte jederzeit per E-Mail an datenschutz@glacelia.de geltend machen.

6. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, Dich bei der für Dich zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig für uns ist:

[Zuständige Landes-Aufsichtsbehörde — z. B. „Bayerisches Landesamt für Datenschutzaufsicht"]

7. Cookies und vergleichbare Technologien

Wir setzen technisch notwendige Cookies ein (z. B. für Theme-Auswahl Light/Dark/System und für die Auth-Session). Tracking- oder Marketing-Cookies setzen wir nicht ein. Du kannst Deinen Browser so konfigurieren, dass er Cookies blockt — Teile der App funktionieren dann eventuell nicht mehr.

8. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen oder Dienstleister ändern. Die jeweils aktuelle Fassung ist hier abrufbar.

Stand: [Datum]. Vor Veröffentlichung muss eine fachkundige Person (Datenschutzbeauftragte:r oder spezialisierter Anwalt) prüfen, ob alle Datenflüsse korrekt abgebildet sind und ob SCC bzw. weitere Garantien dem aktuellen Stand entsprechen.