Datenschutzerklärung
Diese Datenschutzerklärung informiert Sie über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von Superkitchen (nachfolgend „Dienst“), bereitgestellt als mobile App für iOS.
1.Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist: DBBC Ventures GmbH Platanenstr. 45, 13156 Berlin, Deutschland Telefon: +49 30 9798 2686 E-Mail: hello@getsuperkitchen.com Eingetragen beim Amtsgericht Berlin (Charlottenburg) unter HRB 256898.
2.Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür derzeit nicht vorliegen (§ 38 BDSG). Bei Fragen zum Datenschutz erreichen Sie uns unter hello@getsuperkitchen.com.
3.Rollen nach der DSGVO
Bei personenbezogenen Daten, die Sie als Familie im Rahmen der Nutzung des Dienstes einstellen (z. B. Namen von Familienmitgliedern, Geburtstage, Rezepte, Wochenpläne, Vorräte, Wünsche, Fotos), handelt die jeweilige Familie als Verantwortlicher und wir als Auftragsverarbeiter.
Für die Verarbeitung Ihrer Kontodaten, Authentifizierungsdaten und technischen Logs sind wir selbst Verantwortlicher. Diese Erklärung betrifft beide Verarbeitungen.
4.Kategorien verarbeiteter Daten
Konto- und Profildaten: E-Mail-Adresse, Name, Avatar, Spracheinstellung.
Familienprofil: Familienname, Mitglieder mit Name, Foto, Geburtstag, Geschlecht, Ernährungsform und Familienrolle (Owner, Chef, Sous Chef, Kind).
Authentifizierungsdaten: Hash der E-Mail, OAuth-Provider-IDs (Google, Apple), Session-Token, Einmalcode-Token.
Geräte-Token: ein technisches Push-Token Ihres Geräts, sofern Sie Push-Benachrichtigungen aktivieren.
Nutzungsdaten: Von Ihnen erstellte Rezepte, Wochenpläne, Vorräte, Wünsche, Bewertungen, Kommentare, Fotos und Zeitstempel.
Bestätigungs-Protokolle: Dokumentenversion, Zeitstempel sowie Zuordnung zu Konto und Familie, zum Nachweis der Bestätigung von Nutzungsbedingungen, Datenschutzerklärung und Eltern-Einwilligung.
Technische Logs: IP-Adresse, HTTP-Statuscode, aufgerufener Pfad, Zeitstempel, User-Agent, für Fehleranalyse und Missbrauchsabwehr.
Kommunikationsdaten: Inhalte, die Sie per E-Mail oder Support-Kanal an uns senden.
Kauf- und Abodaten: Abonnementstatus und Tarif Ihrer Familie, Transaktions- und Verlängerungskennungen aus dem App Store (z. B. die ursprüngliche Transaktions-ID), Beginn und Ablauf der Abrechnungsperiode sowie der Stand des KI-Kontingents. Zahlungsmittel- oder Kreditkartendaten erhalten wir von Apple nicht.
5.Zwecke und Rechtsgrundlagen
Bereitstellung des Dienstes und Account-Verwaltung: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Bereitstellung und Verwaltung des kostenpflichtigen KI-Abonnements sowie Zuordnung des Kontingents zu Ihrer Familie: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Authentifizierung (OAuth, Einmalcode): Art. 6 Abs. 1 lit. b DSGVO.
Sicherheit, Missbrauchsabwehr, Log-Dateien: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Nachweis der Bestätigung von Nutzungsbedingungen und Datenschutz: Art. 6 Abs. 1 lit. f DSGVO (Dokumentation und Rechtsverteidigung); Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Aufbewahrungspflichten bestehen.
Support-Kommunikation: Art. 6 Abs. 1 lit. b und f DSGVO.
Gesetzliche Aufbewahrungspflichten (z. B. Rechnungen): Art. 6 Abs. 1 lit. c DSGVO, § 257 HGB, § 147 AO.
6.Hosting (Supabase)
Die Anwendungsdatenbank, Authentifizierung und der Dateispeicher (z. B. für Rezeptfotos) werden von Supabase in der EU (AWS Region eu-central-1, Frankfurt) betrieben. Mit Supabase besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
6a.Transaktionale E-Mails (Login)
Für die Anmeldung per Einmalcode versenden wir transaktionale E-Mails über den Dienst Resend (Resend, Inc., USA) in unserem Auftrag an die von Ihnen angegebene Adresse. Verarbeitet werden dabei nur Ihre E-Mail-Adresse und der jeweilige Login-Inhalt (z. B. der Anmeldecode). Der Versand läuft über eine EU-Infrastruktur (Region Irland). Mit Resend besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO; eine etwaige Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln und, soweit anwendbar, des EU-U.S. Data Privacy Framework.
Einladungen zur Familie und an befreundete Familien laufen über einen Einladungs-Link bzw. Code, nicht über E-Mail. Produkt-Benachrichtigungen (z. B. eine angefragte Abstimmung) erhalten Sie als Push-Benachrichtigung (siehe 7b.), nicht per E-Mail.
7.OAuth-Login (Google, Apple)
Wenn Sie sich mit einem OAuth-Anbieter anmelden, werden die zur Authentifizierung erforderlichen Daten (E-Mail-Adresse, ggf. Name, Provider-ID) zwischen dem Anbieter und uns ausgetauscht. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Details zur Datenverarbeitung durch die Anbieter finden Sie in deren Datenschutzerklärungen.
7a.KI-Funktion (Anthropic, Google)
Wenn Sie die optionalen KI-Funktionen nutzen, um aus dem Foto eines Gerichts einen Rezeptvorschlag zu erstellen oder um aus Fotos Ihres Kühlschranks oder Vorrats die enthaltenen Lebensmittel zu erkennen, werden die von Ihnen gewählten Bilder (beim Vorrat-Scan bis zu fünf) zusammen mit einer optionalen Notiz an den Anbieter des von Ihnen gewählten KI-Modells übermittelt und dort verarbeitet, um den Vorschlag bzw. die Erkennung zu erzeugen. Welcher Anbieter dies ist, hängt von dem in den KI-Einstellungen gewählten Modell ab (siehe unten). Es kann sein, dass auf solchen Fotos Personen, auch Kinder, oder Teile Ihrer Wohnung zu sehen sind. Wählen Sie die Fotos daher bewusst aus.
Bei Auswahl eines Claude-Modells werden die Inhalte an Anthropic PBC (USA) übermittelt. Die Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln und, soweit anwendbar, des EU-U.S. Data Privacy Framework. Nach den Angaben von Anthropic werden über die API gesendete Inhalte nicht zum Training von Modellen verwendet und nur befristet zur Missbrauchsabwehr vorgehalten.
Bei Auswahl eines Gemini-Modells werden die Inhalte an Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) übermittelt und in der Europäischen Union verarbeitet. Mit Google besteht ein Datenverarbeitungsnachtrag (Data Processing Addendum), der sicherstellt, dass Google die Daten nur nach unseren Weisungen verarbeitet und nicht für eigene Zwecke wie das Training eigener KI-Modelle verwendet. Eine etwaige Übermittlung in Drittstaaten (etwa die USA) ist durch EU-Standardvertragsklauseln abgesichert.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der von Ihnen angeforderten Funktion). Die KI-Funktion ist freiwillig. Wenn Sie sie nicht nutzen, werden keine Inhalte an diese Anbieter übermittelt.
7b.Push-Benachrichtigungen (Apple)
Wenn Sie Push-Benachrichtigungen aktivieren (etwa um zu erfahren, dass jemand in der Familie eine Abstimmung über ein Gericht anfragt), registriert die App ein gerätebezogenes Push-Token. Wir speichern dieses Token und nutzen es über den Apple Push Notification service (APNs) der Apple Inc., um Ihnen die Benachrichtigung zuzustellen.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Ihre über die Systemabfrage erteilte Einwilligung) sowie lit. b zur Bereitstellung der Funktion. Sie können Push-Benachrichtigungen jederzeit in den Geräte- oder App-Einstellungen widerrufen; das Token wird dann nicht mehr verwendet und entfernt.
7c.Kauf und Abonnement (Apple App Store)
Wenn Sie ein kostenpflichtiges KI-Abonnement abschließen, übermittelt Apple uns technische Kauf- und Statusinformationen (insbesondere Transaktions- und Verlängerungskennungen, den gewählten Tarif sowie Beginn und Ablauf der Abrechnungsperiode). Wir verarbeiten diese serverseitig, um Ihrer Familie das gebuchte KI-Kontingent zuzuordnen und den Abostatus zu pflegen (unter anderem über App Store Server Notifications, die Apple an unseren Server sendet).
Die Zahlungsabwicklung liegt allein bei Apple; Zahlungsmittel- oder Kreditkartendaten erhalten wir nicht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Abonnements); für die eigene Verarbeitung im Rahmen des Kaufs ist Apple verantwortlich.
8.Kinder
Superkitchen darf gemeinsam mit Kindern unter 16 Jahren genutzt werden. Wir verarbeiten Daten von Kindern (Name, Foto, Geburtstag, Geschlecht, Ernährungsform, Rezeptbewertungen, Wünsche) ausschließlich auf Grundlage der Einwilligung der erziehungsberechtigten Person, die die Familie angelegt hat.
Die rechtliche Verantwortung für die Inhalte zu Kindern liegt bei den Erziehungsberechtigten der jeweiligen Familie. Auf Wunsch löschen wir Daten von Kindern sofort und unwiderruflich.
9.Sichtbarkeit im Freundes-Netzwerk
Familieninhalte sind grundsätzlich privat. Im Freundes-Netzwerk sehen andere Familien nur Inhalte, die Sie explizit pro Rezept freigegeben haben. Solange ein Rezept nicht aktiv geteilt wird, bleibt es ausschließlich innerhalb Ihrer eigenen Familie sichtbar.
10.Cookies und lokale Speicherung
In der App verwenden wir ausschließlich technisch notwendige lokale Speicherungen (Session-Token, gewählte Sprache, lokal gecachte Inhalte für Offline-Nutzung). Diese sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei. Wir setzen keine Marketing- oder Analyse-Cookies ein.
11.Speicherdauer
Kontodaten: bis zur Löschung des Familien-Accounts durch den Owner.
Nutzungsdaten (Rezepte, Plan, Zutaten, Wünsche, Fotos): bis zur Löschung durch ein Mitglied mit ausreichender Rolle oder bis zur Löschung des Accounts.
Technische Logs: max. 30 Tage, danach Löschung oder Aggregation.
Bestätigungs-Protokolle: für die Dauer der Geschäftsbeziehung + 3 Jahre (Nachweis).
Kauf- und Abodaten: für die Dauer des Abonnements und Ihrer Familie; steuerrelevante Transaktionsbelege 10 Jahre (§ 147 AO).
Rechnungen und steuerrelevante Daten: 10 Jahre (§ 147 AO).
12.Empfänger und Drittlandtransfer
Wir geben personenbezogene Daten nur an die oben genannten Auftragsverarbeiter weiter sowie an staatliche Stellen, soweit wir gesetzlich dazu verpflichtet sind. Drittlandübermittlungen können bei einzelnen Diensten stattfinden (z. B. an Anthropic in den USA für die KI-Funktion mit einem Claude-Modell; bei einem Gemini-Modell verarbeitet Google die Daten in der EU, siehe 7a.; zum E-Mail-Versand über Resend siehe 6a.); sie erfolgen auf Grundlage von EU-Standardvertragsklauseln und, soweit anwendbar, des EU-U.S. Data Privacy Framework.
13.Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.
14.Ihre Rechte
Recht auf Auskunft (Art. 15 DSGVO) Recht auf Berichtigung (Art. 16 DSGVO) Recht auf Löschung (Art. 17 DSGVO) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Widerspruchsrecht (Art. 21 DSGVO) Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft, soweit eine Verarbeitung auf Einwilligung beruht (Art. 7 Abs. 3 DSGVO) Zur Ausübung genügt eine formlose Nachricht an hello@getsuperkitchen.com.
15.Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen Rechtsbehelfs haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Für uns zuständig ist: Berliner Beauftragte für Datenschutz und Informationsfreiheit Alt-Moabit 59 bis 61 10555 Berlin www.datenschutz-berlin.de
16.Sicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Veränderung zu schützen. Dazu zählen insbesondere: TLS-Verschlüsselung, Row-Level-Security auf Datenbank-Ebene (mandantengetrennte Sichtbarkeit pro Familie), verschlüsselte Speicherung von Authentifizierungsdaten, Zugriffsbeschränkungen nach Need-to-know und regelmäßige Reviews.
17.Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn Funktionen, Rechtslage oder eingesetzte Dienste sich ändern. Die jeweils aktuelle Fassung ist in der App abrufbar. Bei wesentlichen Änderungen informieren wir aktive Nutzer zusätzlich per E-Mail oder in der App.