Datenschutzerklärung
Stand: 25. April 2026
Diese Datenschutzerklärung informiert dich gemäß Art. 13 und Art. 14 DSGVO über die Verarbeitung personenbezogener Daten beim Besuch und der Nutzung von DealMeal (https://dealmeal.app, https://dashboard.dealmeal.app, https://demo.dealmeal.app).
1. Verantwortlicher
Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist:
Kevin Felix (Inhaber des Online-Services DealMeal)
Saarbrücker Straße 21A
66440 Blieskastel
E-Mail: info@dealmeal.app
Telefon: +49 152 21681788
USt-IdNr.: DE420785710
Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist nicht bestellt (Art. 37 DSGVO i. V. m. § 38 BDSG nicht erforderlich, da unter 20 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind).
2. Server-Logs beim Besuch der Website
Beim Aufruf unserer Seiten erfasst unser Hosting-Anbieter (siehe Ziffer 8) folgende technische Daten in Server-Logs:
- IP-Adresse (gekürzt nach 7 Tagen, vollständige Löschung nach 30 Tagen)
- Datum und Uhrzeit der Anfrage
- Aufgerufene URL und HTTP-Statuscode
- Übertragene Datenmenge
- Referrer-URL (sofern übermittelt)
- Browser-Typ und -Version (User-Agent)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Missbrauchsabwehr). Die Daten werden nicht mit anderen Datenquellen verknüpft.
3. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Cookies (Art. 25 Abs. 2 TTDSG, keine Einwilligungspflicht):
| Cookie | Zweck | Lebensdauer |
|---|---|---|
| sb-* | Authentifizierung (Supabase Session) | 7 Tage |
| dm_demo_mode | Demo-Modus auf demo.dealmeal.app | 30 Tage |
| dm_demo_tier | Gewählter Demo-Tarif | 30 Tage |
| dm_demo_seen | Welcome-Modal nicht erneut anzeigen | 30 Tage |
| dm_click_id | Outbound-Klick-Attribution (Affiliate-Tracking) | 30 Tage |
| theme | Dark/Light-Mode Präferenz | 1 Jahr |
Wir setzen keine Marketing-, Analyse- oder Tracking-Cookies Dritter ein. Es gibt kein Google Analytics, kein Facebook Pixel, kein Werbe-Tracking. Eine Einwilligung über ein Cookie-Banner ist daher nicht erforderlich.
4. Konto und Authentifizierung
Bei der Registrierung verarbeiten wir:
- E-Mail-Adresse
- Passwort (gespeichert ausschließlich als bcrypt-Hash, nie im Klartext)
- optional: Name, Profilbild, Familien-Konto-Mitgliedschaft
- Onboarding-Daten (Lieblings-Supermärkte, Ernährungspräferenzen)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden bei unserem Auftragsverarbeiter Supabase (siehe Ziffer 8) gespeichert.
5. Zahlungsdaten
Zahlungen werden ausschließlich über die Stripe Payments Europe Ltd. (Irland) abgewickelt. Wir speichern in unserer Datenbank nur die Stripe-Customer-ID und den Status des Abonnements — niemals Kartendaten, Bankverbindung oder vollständige Transaktionsdetails.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist nach PCI-DSS Level 1 zertifiziert. Details zur Datenverarbeitung durch Stripe: stripe.com/de/privacy.
6. Transaktions-E-Mails
Wir versenden ausschließlich vertragsbezogene E-Mails (Bestätigung der Registrierung, Trial-Erinnerung 24 h vor Ablauf, Zahlungsbestätigungen, Passwort-Reset). Versand erfolgt über Resend Inc. (USA, siehe Ziffer 8). Es gibt keinen Newsletter und kein Marketing-Mailing ohne deine separate Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
7. KI-gestützte Datenverarbeitung
DealMeal verwendet zwei KI-Dienste mit unterschiedlichem Zweck und Datenfluss:
7.1 Vision-OCR auf Prospekt-Daten
Wir extrahieren Angebotsdaten aus öffentlich verfügbaren Wochen-Prospekten der Supermärkte mittels Vision-Anbieter Anthropic PBC (USA, Claude-API). Übermittelt werden ausschließlich PDF-/Bild-Dateien der Prospekte selbst — keine personenbezogenen Daten der Nutzer:innen. Diese Verarbeitung ist nutzer-unabhängig und einmal pro Woche im Cron-Job.
7.2 Rezept-Text-Generierung
Beim Generieren eines Wochenplans senden wir die zu deinen gewählten Supermärkten passenden Angebote (Produkttitel, Marke, Preis, Menge — keine User-IDs) an Moonshot AI (Singapore) über NVIDIA NIM-Inference (USA) zur Verarbeitung durch das Kimi-K2.6-Sprachmodell. Die übermittelten Daten enthalten keine direkt identifizierenden Personendaten wie E-Mail oder Name.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandsübermittlung gestützt auf EU-Standardvertragsklauseln (SCC, Art. 46 DSGVO). Anthropic ist im EU-US Data Privacy Framework gelistet; für Moonshot AI und NVIDIA gelten zusätzlich die SCC.
8. Auftragsverarbeiter und Drittlandsübermittlung
| Anbieter | Zweck | Sitz | Drittland-Schutz |
|---|---|---|---|
| Hetzner Online GmbH | App-Hosting (Coolify, Server in Nürnberg) | Deutschland | EU/EWR |
| Supabase Inc. | Datenbank, Authentifizierung, Storage (EU-Region Frankfurt) | USA / EU-Server | SCC + EU-US DPF |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland | EU/EWR |
| Resend Inc. | Versand Transaktions-E-Mails | USA | SCC + EU-US DPF |
| Anthropic PBC | Vision-OCR auf öffentliche Prospekt-PDFs (keine User-Daten) | USA | SCC + EU-US DPF |
| NVIDIA Corp. | KI-Inference (NIM) für Rezept-Text-Generierung (Kimi-K2.6) | USA | SCC |
| Moonshot AI Ltd. | Hersteller des Kimi-K2.6-Sprachmodells (über NVIDIA NIM bezogen, kein direkter Vertrag) | Singapore | SCC (über NVIDIA-Subprocessor-Vertrag) |
| Cloudflare Inc. | DNS, Zero-Trust-Access für Admin-Bereich, IP-Anonymisierung | USA / EU-PoPs | SCC + EU-US DPF |
| Marktguru GmbH | Aggregierte Supermarkt-Angebotsdaten (anonyme Anfragen, kein User-Bezug) | Österreich | EU/EWR |
| OpenStreetMap Foundation | Filial-Geodaten (Standorte, Adressen) für Märkte in deinem Umkreis. Keine User-Daten an OSM. ODbL-lizenziert. | UK | UK Adequacy Decision |
Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Drittlandsübermittlungen in die USA basieren auf EU-Standardvertragsklauseln (SCC) und der Teilnahme der Anbieter am EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023).
Die Filial-Standortdaten in DealMeal stammen von OpenStreetMap-Mitwirkenden und sind unter der Open Database License (ODbL) lizenziert.
9. Speicherdauer
- Konto-Daten: bis zur Kontolöschung (jederzeit über das Profil möglich), danach 30 Tage Soft-Delete-Frist
- Wochenpläne, Einkaufslisten: bis zur Kontolöschung, separat löschbar in der App
- Server-Logs: 7 Tage IP-vollständig, 30 Tage IP-gekürzt
- Backups: rollende 7-Tage-Aufbewahrung, danach gelöscht
- Stripe-Rechnungen: 10 Jahre (§ 257 HGB, § 147 AO — gesetzliche Aufbewahrungspflicht)
10. Keine automatisierte Entscheidungsfindung
Wir treffen keine automatisierten Einzelfallentscheidungen mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Die KI-gestützte Wochenplan-Erstellung ist ein Vorschlag — Auswahl und Ausführung liegen vollständig bei dir.
11. Deine Rechte nach DSGVO
Du hast jederzeit das Recht auf:
- Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
- Berichtigung unrichtiger Daten (Art. 16)
- Löschung deiner Daten — sofort über das Profil oder per E-Mail (Art. 17)
- Einschränkung der Verarbeitung (Art. 18)
- Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3)
Anfragen richte bitte formlos an info@dealmeal.app. Wir antworten innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).
12. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Für uns zuständig ist:
Unabhängiges Datenschutzzentrum Saarland
Fritz-Dobisch-Straße 12
66111 Saarbrücken
Telefon: +49 681 947 81-0
E-Mail: poststelle@datenschutz.saarland.de
Web: datenschutz.saarland.de
13. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage oder eingesetzte Dienste ändern. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail. Die jeweils aktuelle Fassung ist immer unter dealmeal.app/datenschutz abrufbar.