Datenschutzerklärung

§ 1 Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

KI-Kochhilfe UG (haftungsbeschränkt)
Hauptstraße 209
79465 Rheinhausen, Deutschland
Telefon: +49 (0) 7643 / 9490620
E-Mail: support@ki-kochhilfe.de
Vertretungsberechtigt: Danyi György (einzelvertretungsberechtigt)

§ 2 Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür (Art. 37 DSGVO, § 38 BDSG) nicht erfüllt sind. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die unter § 1 genannte Adresse.

§ 3 Allgemeine Hinweise

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können (Art. 4 Nr. 1 DSGVO).

Die Übertragung aller Daten zwischen Ihrem Endgerät und unseren Servern erfolgt verschlüsselt (TLS 1.2 oder höher). Ihr Browser zeigt dies durch ein Schloss-Symbol an.

Hinweis: Bei der Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) können Sicherheitslücken bestehen; ein lückenloser Schutz vor dem Zugriff durch Dritte ist nicht möglich.

§ 4 Bereitstellung der Webseite und Server-Logs

Beim Aufruf unserer Webseite werden zur Sicherstellung der Funktionsfähigkeit und IT-Sicherheit folgende Daten in Server-Logs gespeichert:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• HTTP-Methode, angeforderte URL und Antwort-Statuscode
• übertragene Datenmenge
• Referrer-URL (sofern übermittelt)
• User-Agent (Browser- und Betriebssystem-Kennung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung, Stabilität und Sicherheit der Webseite, einschließlich Abwehr von Angriffen).

Speicherdauer: Server-Logs werden nach maximal 14 Tagen automatisch gelöscht (Logrotation), es sei denn, ein konkreter sicherheitsrelevanter Vorfall macht eine längere Aufbewahrung im Einzelfall erforderlich.

Technisches Fehler-Monitoring (Sentry): Zur Erkennung und Behebung technischer Fehler setzen wir den Dienst Sentry ein (Functional Software, Inc., EU-Region in Frankfurt am Main, Deutschland). Bei einem Anwendungsfehler werden technische Informationen (Fehlermeldung, Stack-Trace, anonymisierte URL, User-Agent, anonymisierte IP-Adresse) sowie ein maskiertes Sitzungs-Replay (alle Texte und Medien werden vor dem Versand pixeliert; Eingaben in Formularfeldern werden nicht erfasst) an Sentry übermittelt. Eine Profilbildung erfolgt nicht; die Daten dienen ausschließlich der Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität, Sicherheit und Fehlerbehebung der Anwendung).

Speicherdauer: Fehler-Events werden bei Sentry standardmäßig 30 Tage, Sitzungs-Replays 30 Tage aufbewahrt und anschließend automatisch gelöscht. Details siehe § 13 (Auftragsverarbeiter).

§ 5 Cookies und lokaler Speicher

Wir setzen technisch notwendige Cookies und Browser-Speicher ein, die für Anmeldung und Sitzungsverwaltung erforderlich sind. Zusätzlich verwenden wir nach Ihrer ausdrücklichen EinwilligungGoogle Analytics 4 zur Reichweiten- und Nutzungsanalyse (siehe unten). Andere Marketing- oder Tracking-Cookies (z. B. Meta Pixel, Hotjar, TikTok Pixel) werden nicht verwendet.

Im Einzelnen:

Sie können Cookies jederzeit in Ihrem Browser löschen oder das Setzen blockieren. Bei Blockade der notwendigen Cookies ist eine Anmeldung am Dienst technisch nicht möglich.

Reichweitenanalyse mit Google Analytics 4 (nur mit Einwilligung):

§ 5a Native App (iOS / Android): Push-Benachrichtigungen und biometrische Anmeldung

Unseren Dienst bieten wir zusätzlich als native App für iOS und Android an. Die App ist ein technischer Zugang (WebView-Wrapper) zu derselben Plattform; es gelten alle übrigen Abschnitte dieser Datenschutzerklärung entsprechend. Die folgenden Verarbeitungen finden ausschließlich in der App statt:

(a) Push-Benachrichtigungen.

Wenn Sie der App die Berechtigung zum Senden von Mitteilungen erteilen, registriert sich Ihr Gerät bei dem Push-Dienst und erhält ein gerätespezifisches Push-Token. Dieses Token speichern wir – Ihrer Konto-ID zugeordnet – in unserer Datenbank (Tabelle push_tokens), um Ihnen Benachrichtigungen (z. B. Hinweise zu neuen Rezepten oder Konto-Vorgängen) zustellen zu können. Die Zustellung erfolgt über Firebase Cloud Messaging (Google) – auf iOS technisch über den Apple Push Notification service (APNs). Es wird kein Benachrichtigungs-Inhalt mit besonderem Personenbezug an Dritte übermittelt, der über das Token und die Zustellinformation hinausgeht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über die System-Abfrage) i.V.m. § 25 Abs. 1 TTDSG.
Widerruf: jederzeit über die Mitteilungs-Einstellungen Ihres Geräts; nach Abmeldung oder Widerruf wird das Token deaktiviert.
Speicherdauer: bis zur Abmeldung, bis zum Widerruf der Berechtigung oder bis das Token vom Push-Dienst als ungültig zurückgemeldet wird. Empfänger siehe § 13 (Firebase Cloud Messaging, Apple).

(b) Biometrische Anmeldung (Face ID / Touch ID / Fingerabdruck).

Sie können die App optional so einstellen, dass sie beim Öffnen per Biometrie gesperrt wird und Sie sich nach dem Abmelden ohne Passworteingabe wieder anmelden können. Die biometrische Prüfung erfolgt vollständig lokal durch das Betriebssystem (Apple/Google) im gesicherten Bereich des Geräts (Secure Enclave bzw. Keystore). Wir erheben, speichern und übertragen keinerlei biometrische Daten; uns wird vom Betriebssystem lediglich das Ergebnis „erfolgreich/abgebrochen“ mitgeteilt. Es findet daher keine Verarbeitung biometrischer Daten i.S.d. Art. 9 DSGVO durch uns statt.

Aktivieren Sie zusätzlich die biometrische Wiederanmeldung, werden Ihre Anmeldedaten (E-Mail und Passwort) ausschließlich im hardware-verschlüsselten Schlüsselspeicher des Geräts (iOS Schlüsselbund / Android Keystore) hinterlegt und biometrisch geschützt; sie verlassen das Gerät nur als gewöhnliche Anmeldung an unserem Dienst (wie bei manueller Eingabe). Ein Opt-in-Hinweis wird lokal gesetzt (ki_biometric_enabled). Beim Deaktivieren der Funktion werden die gespeicherten Anmeldedaten vom Gerät gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung – komfortable Anmeldung).

§ 6 Registrierung und Konto-Verwaltung

Bei der Registrierung erheben und verarbeiten wir folgende Daten: Anrede, Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), optional Firmenname. Zur Verifizierung Ihrer E-Mail-Adresse versenden wir einen sechsstelligen Bestätigungscode (10 Min. Gültigkeit), den wir temporär in Ihrem Profil speichern und nach erfolgreicher Eingabe wieder löschen.

Zweck: Identifikation, Vertragsabwicklung, Vermeidung von Betrug und Mehrfachregistrierungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung).
Speicherdauer: bis zur Löschung des Kontos zzgl. gesetzlicher Aufbewahrungspflichten (insbesondere 10 Jahre nach § 147 AO für rechnungs- und steuerrelevante Daten).

Anmeldedaten zu Ihrer Sitzung (Gerätemodus „Browser“ oder „PWA“, Plattform „ios/android/desktop“) werden zur Anpassung der Anzeige und für interne Nutzungsstatistiken (aggregiert) verarbeitet (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der Optimierung der Plattform).

§ 7 Erbringung der KI-Leistungen (Rezept- und Bildgenerierung)

Zur Erstellung der von Ihnen angefragten Rezepte und Bilder werden Ihre Eingaben (Prompts, gewählte Optionen wie AirFryer-Modus, Allergene, Diät-Wünsche) an unseren KI-Auftragsverarbeiter OpenAI übermittelt und dort verarbeitet.

Verarbeitete Daten: Ihre Eingabe-Texte, Anrede „Koch“ (Pseudonym), interne Anfragenummer. Eine Verknüpfung mit Ihrer E-Mail-Adresse oder Ihrem Klarnamen erfolgt im Übertragungsprozess nicht.

Zweck: Erfüllung des Vertrags zur KI-Generierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: OpenAI verarbeitet Daten u. a. in den USA. Der Transfer erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und der Zertifizierung von OpenAI nach dem EU-US Data Privacy Framework.

Hinweis „kein Modell-Training“: OpenAI verwendet API-Daten nach eigener Zusicherung nicht zum Training oder zur Verbesserung der Modelle. Wir empfehlen dennoch, in den Eingaben keine sensiblen personenbezogenen Daten Dritter (z. B. Klarnamen, Adressen, Gesundheitsangaben) anzugeben.

Die generierten Rezepte und Bilder werden in unserer Supabase-Datenbank (EU) und im Storage gespeichert und Ihrem Konto zugeordnet.

§ 7a Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Wenn Sie in Ihrem Profil oder beim Anlegen eines Familienmitglieds Allergien, Unverträglichkeiten oder medizinisch motivierte Diätformen(z. B. Diabetiker-Diät, glutenfrei aufgrund Zöliakie) angeben, handelt es sich um sogenannte „besondere Kategorien personenbezogener Daten“ im Sinne von Art. 9 Abs. 1 DSGVO (Gesundheitsdaten).

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung. Sie erteilen diese durch das gesonderte Häkchen bei der Registrierung („Optional: Verarbeitung von Allergie- und Diät-Daten als besondere Datenkategorie“) oder durch erstmaliges Eintragen einer Allergie im Konto-Bereich.

Zweck: Personalisierung der Rezeptvorschläge — die KI berücksichtigt diese Angaben automatisch, damit Ihnen keine unverträglichen Rezepte vorgeschlagen werden.

Widerruf: Sie können die Einwilligung jederzeit ohne Begründung widerrufen, indem Sie die entsprechenden Felder im Konto-Bereich leeren oder die Funktion „Konto löschen" nutzen. Der Widerruf wirkt sich nicht auf die Rechtmäßigkeit vergangener Verarbeitungen aus.

Familienmitglieder (Premium): Wenn Sie Allergien für ein Familienmitglied eintragen, versichern Sie gemäß AGB §6, die ausdrückliche Einwilligung des betroffenen Familienmitglieds (oder bei Minderjährigen der Erziehungsberechtigten) eingeholt zu haben.

Übermittlung an OpenAI: Allergie-/Diät-Angaben werden als Teil des Prompts an OpenAI übertragen (siehe § 7 und § 14). Sie werden dort nicht zum Training verwendet und nach max. 30 Tagen automatisch gelöscht. Die Übertragung ist durch Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert.

§ 8 Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt ausschließlich durch unseren Zahlungsdienstleister Stripe. Wir selbst erhalten und speichern keine vollständigen Kreditkarten- oder Bankdaten. Stripe verarbeitet die Zahlungsdaten eigenverantwortlich und stellt uns lediglich einen anonymisierten Customer- und Subscription-Identifikator sowie Status- und Rechnungsdaten zur Verfügung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Stripe-spezifische Cookies werden ausschließlich auf Stripe-eigenen Domains beim Aufruf der Zahlungsseite (checkout.stripe.com) gesetzt. Nähere Informationen entnehmen Sie der Datenschutzerklärung von Stripe (siehe § 13).

§ 9 E-Mail-Versand

Wir versenden folgende E-Mails:

• Verifizierungs-Code bei Registrierung (über Resend);
• Bestätigungen nach erfolgreicher Registrierung und nach Vertragsabschluss (über Resend);
• Empfehlungs-Codes für Standard-/Premium-Monatsabos (über Resend);
• Wiederaufnahme-/Retention-Mails mit personalisierten Rezeptvorschlägen, sofern Sie dem nicht widersprochen haben (über Resend, Edge Function); Widerspruch jederzeit möglich;
• Antworten an Support-Anfragen (über SMTP von Hostinger).
• Benachrichtigungen an die Anbieter-Adresse bei eingegangenen Bewertungen oder Support-Nachrichten (über Resend).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenbindung bei Retention-E-Mails).

Zwei separat abbestellbare Marketing-Kategorien:

• Wiederaufnahme-Mails (Retention): nur für Standard-/Premium-Konten, die seit mehr als 7 Tagen kein Rezept mehr generiert haben. Wird montags 8:00 Uhr versendet.
• Wochen-Digest: nur für aktive Standard-/Premium-Konten mit Aktivität in den letzten 14 Tagen. Wird sonntags 18:00 Uhr als wöchentliche Zusammenfassung der eigenen Aktivität versendet.

Abbestellung — getrennt pro Kategorie: Jede E-Mail enthält am Ende einen Link „…abbestellen“, der ausschließlich diese Kategorie deaktiviert (interne Spalten retention_email_opt_out bzw. weekly_digest_opt_out). Zusätzlich enthalten alle Mails einen List-Unsubscribe-Header (RFC 2369 / RFC 8058), sodass viele E-Mail-Programme einen eigenen „Abbestellen“-Button anzeigen. Alternativ genügt eine kurze Nachricht an support@ki-kochhilfe.de. Es entstehen keine Kosten. Transaktionale Mails (Bestätigungen, Rechnungen, Support-Antworten) sind hiervon nicht betroffen, da sie zur Vertragsdurchführung gesetzlich erforderlich sind.

§ 10 Bewertungssystem

Sie können auf der Webseite Bewertungen abgeben (Sternebewertung 1-5 + Kommentar). Aus technischen Gründen (Schutz vor Spam und Mehrfachbewertungen) speichern wir einen SHA-256-Hash Ihrer IP-Adresse – nicht jedoch die IP-Adresse selbst – für die Dauer von 24 Stunden. Bewertungen werden vor Veröffentlichung manuell freigegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spamabwehr) und Art. 6 Abs. 1 lit. a DSGVO bei freiwilligem Kommentar.

Echtheit der Bewertungen (§ 5b Abs. 3 UWG): Wir veröffentlichen ausschließlich Bewertungen, die von registrierten und angemeldeten Konten stammen. Die Authentizität jeder Bewertung wird durch die Anmeldepflicht sowie durch den unter dieser Vorschrift gespeicherten IP-Hash (Mehrfachvermeidung) sichergestellt. Eine Bewertung kann nur abgegeben werden, nachdem der jeweilige Nutzer den Dienst mit einem aktiven Konto verwendet hat; eine direkte technische Verifikation der konkret rezensierten Bestellung erfolgt nicht (vergleichbar mit Hotel- und Software-Bewertungsplattformen).

Anzeige der Bewertungen: Veröffentlichte Bewertungen werden ausnahmslos in chronologisch absteigender Reihenfolge (neueste zuerst) ohne algorithmische Gewichtung oder Bezahlplatzierung angezeigt. Negative oder kritische Bewertungen werden nicht ausgeblendet oder nach unten verschoben. Eine Manipulation der Bewertungen (durch eigene Mitarbeiter, durch gezielte Belohnungen für positive Bewertungen oder durch das Entfernen begründeter Kritik) findet nicht statt. Eine Bewertung kann vom Anbieter nur dann abgelehnt werden, wenn sie offensichtlich rechtswidrig (z. B. Beleidigung, falsche Tatsachenbehauptung), inhaltsleer (Spam) oder nicht zum Dienst bezogen ist; ablehnungsfähige Bewertungen erscheinen gar nicht in der Liste und werden nicht etwa weiter unten angezeigt.

§ 11 Support-Anfragen

Wenn Sie uns über das Support-Formular oder per E-Mail kontaktieren, verarbeiten wir die in der Anfrage übermittelten Daten (Name, E-Mail, Plan, Anfragetext) zur Beantwortung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertrags­bezogenen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden gelöscht, sobald sie für die Beantwortung nicht mehr erforderlich sind, spätestens nach Ablauf der Verjährungsfrist (regelmäßig 3 Jahre, § 195 BGB).

§ 11a Öffentliche Rezept-Galerie

Wir betreiben unter /galerie eine öffentlich einsehbare Sammlung KI-generierter Rezepte. Eine Veröffentlichung Ihrer gespeicherten Rezepte erfolgt ausschließlich nach Ihrer ausdrücklichen vorherigen Einwilligung(opt-in über Ihren Kontobereich) und erst nach redaktioneller Qualitätsprüfung durch uns.

Veröffentlichte Inhalte: Rezeptname, Beschreibung, Zutaten, Zubereitungsschritte, Tipps, ggf. KI-generiertes Titelbild, Tags und allergene Hinweise. Es werden keine personenbezogenen Daten (Name, E-Mail-Adresse, Pseudonym) des Erstellers angezeigt; die Veröffentlichung erfolgt vollständig anonym.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft im Konto-Bereich widerrufen werden; bereits veröffentlichte Rezepte werden auf Widerruf binnen 7 Tagen aus der Galerie entfernt.

Speicherdauer: Bis zum Widerruf der Einwilligung bzw. bis zum Zeitpunkt einer redaktionellen Entfernung.

Konto-Löschung: Wenn Sie Ihr Konto löschen, werden bereits in der Galerie veröffentlichte Rezepte anonymisiert (Ihre Benutzer-ID, persönliche Bewertung, Feedback und Bewertungs-Zeitstempel werden entfernt). Das Rezept selbst (Titel, Zutaten, Schritte, Bild) bleibt unter dem aktuellen Slug abrufbar – allerdings nun ohne jeden Bezug zu Ihrer Person. Das ist datenschutzrechtlich unbedenklich, da der veröffentlichte Inhalt von Anfang an anonym (ohne Namen oder E-Mail) eingestellt wurde und nach der Anonymisierung kein Rückschluss auf Sie mehr möglich ist. Möchten Sie auch die Rezept-Inhalte vollständig aus der Galerie entfernt haben, ziehen Sie bitte die Einwilligung im Konto-Bereich vor der Konto-Löschung zurück; die Rezepte werden dann auf Anfrage vor der Konto-Löschung aus der Galerie genommen.

Galerie-Rezept in eigene Sammlung übernehmen („Speichern"): Standard- und Premium-Nutzer können öffentliche Galerie-Rezepte gegen Verbrauch von 1 Rezept-Kredit in ihre privaten gespeicherten Rezepte übernehmen. Beim Speichern erstellen wir in Ihrer privaten Rezeptliste eine vollständige Kopie des Galerie-Rezepts (Titel, Beschreibung, Zutaten, Zubereitungsschritte, Tipps, Tags, allergene Hinweise und – sofern vorhanden – das KI-Titelbild). Zusätzlich speichern wir intern den Slug des Quellrezepts (technisches Feld cloned_from_slug), um Doppel-Speicherungen zu erkennen und Ihnen den vollständigen Inhalt nach dem Speichern wieder anzuzeigen. Es werden keine personenbezogenen Datendes ursprünglichen Erstellers übertragen, da die Galerie ohnehin anonym betrieben wird (siehe oben). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung der gewählten Tarif-Funktion).

Vorschau vor dem Speichern: Vor dem Speichern werden auf der Galerie-Detailseite nur die ersten zwei Zubereitungsschritte des Rezepts an Ihren Browser ausgeliefert; die übrigen Schritte sind serverseitig ausgeblendet und weder im HTML-Quelltext noch über die Browser-Entwicklertools einsehbar. Die vollständige Schritt-für-Schritt-Anleitung wird erst nach erfolgreicher Speicherung in Ihre eigene Sammlung geladen. Diese Maßnahme dient dem Schutz unserer KI-generierten Inhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Privatkopie und Bestandsschutz: Eine später erfolgende Entfernung des Quellrezepts aus der Galerie (z. B. wegen Widerruf der Veröffentlichungs-Einwilligung des ursprünglichen Erstellers oder redaktioneller Entfernung) berührt Ihre bereits gespeicherte Privatkopie nicht. Die Privatkopie verbleibt in Ihrer eigenen Rezeptsammlung, bis Sie sie selbst löschen oder Ihr Konto schließen. Eine Erstattung des verbrauchten Rezept-Kredits findet weder bei Entfernung des Quellrezepts noch bei einer von Ihnen selbst vorgenommenen Löschung der Privatkopie statt (siehe § 21a der AGB).

§ 12 Empfehlungs-/Einladungsprogramm

Im Rahmen des Empfehlungsprogramms speichern wir den Ihnen zugewiesenen Code, dessen Status, das Ablaufdatum und ggf. die Information, welcher Nutzer den Code eingelöst hat. Wir geben Ihren Klarnamen oder Ihre E-Mail-Adresse nicht an Code-Einlöser weiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 13 Auftragsverarbeiter und Subverarbeiter

Wir setzen folgende externe Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO (DPA). Drittlandtransfers sind durch EU-Standardvertragsklauseln und – soweit anwendbar – durch Zertifizierungen nach dem EU-US Data Privacy Framework abgesichert.

§ 14 Drittlandtransfer

Soweit Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (insbesondere an OpenAI, Resend und ggf. Stripe in den USA), erfolgt dies nur, wenn ein angemessenes Datenschutzniveau im Sinne der Art. 44 ff. DSGVO gewährleistet ist. Konkret stützen wir uns auf:

• EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914;
• die Zertifizierung der jeweiligen Empfänger nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023);
• ergänzende technische und organisatorische Maßnahmen, soweit erforderlich.

Eine Kopie der Garantien können Sie über die unter § 1 angegebene Kontaktadresse anfordern.

§ 15 Speicherdauer im Überblick

• Profildaten: bis zur Löschung des Kontos.
• Generierte Rezepte, Bilder, Wochenmenüs: bis zur Löschung des Kontos; nach Vertragsende 30 Tage Export-Möglichkeit.
• Rechnungs- und Steuerdaten: 10 Jahre (§ 147 AO).
• E-Mail-Verifizierungscodes: 10 Minuten – danach gelöscht.
• IP-Hash bei Bewertungen: 24 Stunden zur Spamabwehr.
• IP-Datensätze für Free-Recipe-Limit: 24 Stunden, danach gelöscht.
• Server-Logs: max. 14 Tage.
• Support-Nachrichten: bis zu 3 Jahre (Verjährungsfrist).
• Bewertungen (veröffentlicht): bis zum Löschverlangen oder bis zur Schließung der Plattform.
• Push-Token (native App): bis zur Abmeldung, zum Widerruf der Mitteilungs-Berechtigung oder bis zur Ungültigkeitsmeldung durch den Push-Dienst (§ 5a).
• Cookies / LocalStorage: wie unter § 5 angegeben.

§ 16 Ihre Rechte

Ihnen stehen unter den jeweiligen gesetzlichen Voraussetzungen folgende Rechte zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO);
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO);
• Löschung („Recht auf Vergessenwerden“) Ihrer Daten (Art. 17 DSGVO);
• Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO);
• Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO);
• Widerruf einmal erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO).

Anfragen zur Ausübung Ihrer Rechte richten Sie bitte ansupport@ki-kochhilfe.de. Wir bearbeiten Ihre Anfrage in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: +49 (0) 711 / 615541-0 · E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

§ 17 Pflicht zur Bereitstellung der Daten

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich zwingend vorgeschrieben. Sie sind nicht verpflichtet, Ihre Daten zur Verfügung zu stellen. Allerdings ist die Nutzung des Dienstes ohne die im Bestellprozess geforderten Pflichtangaben (insbesondere E-Mail-Adresse, Passwort, Anrede, Name) technisch nicht möglich, da diese für die Vertragsdurchführung erforderlich sind.

§ 18 Automatisierte Entscheidungsfindung / Profiling

Wir setzen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in vergleichbarer Weise erheblich beeinträchtigt. Die KI-gestützte Generierung von Rezepten ist eine inhaltliche Leistungserbringung und keine personenbezogene Bewertung Ihrer Person.

§ 19 Datensicherheit und Datenpannenmanagement

Wir treffen geeignete technische und organisatorische Maßnahmen, insbesondere:

• Verschlüsselte Datenübertragung (TLS 1.2 oder höher; HSTS, HTTP/2);
• Verschlüsselte Speicherung von Passwörtern (Hashing mit modernen Verfahren);
• Datenresidenz in der EU für die zentrale Datenbank (Supabase, AWS Irland-Region);
• Row-Level Security auf der Datenbank zur Trennung von Nutzerdaten;
• Regelmäßige Security-Updates und Logging;
• Rate-Limiting an sicherheitskritischen Endpunkten (Login, OTP, Bewertungen);
• Mehrstufiges Berechtigungskonzept für Administrator-Funktionen.

Datenpannen (Art. 33 DSGVO): Für den Fall einer Verletzung des Schutzes personenbezogener Daten unterhalten wir einen internen Incident-Response-Plan, der die unverzügliche Eindämmung, Risikobewertung sowie die Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden regelt. Sofern ein hohes Risiko für Ihre Rechte und Freiheiten besteht (Art. 34 DSGVO), informieren wir Sie unverzüglich persönlich – per E-Mail an die in Ihrem Konto hinterlegte Adresse.

Personalisiertes Wasserzeichen auf Rezepten: Während Ihrer angemeldeten Sitzung blenden wir über jeder Rezept-Anzeige (sowohl bei eigenen generierten und gespeicherten Rezepten als auch auf den Detailseiten der öffentlichen Rezept-Galerie unter /galerie) ein dezentes, diagonal verlaufendes Wasserzeichen ein. Es enthält ausschließlich Ihren eigenen Vornamen sowie die letzten acht Zeichen Ihrer internen Konto-ID — also Daten, die Sie ohnehin in Ihrem Konto sehen. Das Wasserzeichen wird nicht an Dritte übermittelt und nicht separat gespeichert; es wird ausschließlich beim Rendern der Seite in Ihrem Browser sichtbar. Bei nicht-angemeldeten Besuchern der öffentlichen Galerie wird ein neutrales Wasserzeichen ohne personenbezogene Daten eingeblendet („ki-kochhilfe.de · Galerie"). Zweck ist die Nachvollziehbarkeit für den Fall einer unrechtmäßigen Weitergabe von Rezeptinhalten gemäß § 18 unserer AGB. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer KI-generierten Inhalte und der Vertragstreue).

§ 20 Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Mai 2026. Durch die Weiterentwicklung unseres Dienstes und gesetzlicher Anforderungen kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Fassung kann jederzeit unter www.ki-kochhilfe.de/datenschutz abgerufen werden.