Datenschutzerklärung

§ 1 Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

MoKer GbR
Hauptstraße 209
79465 Rheinhausen, Deutschland
Telefon: +49 (0) 7643 / 9490620
E-Mail: support@ki-kochhilfe.de
Vertretungsberechtigt: Danyi György (einzelvertretungsberechtigt)

§ 2 Datenschutzbeauftragter

Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Voraussetzungen hierfür (Art. 37 DSGVO, § 38 BDSG) nicht erfüllt sind. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die unter § 1 genannte Adresse.

§ 3 Allgemeine Hinweise

Wir nehmen den Schutz Ihrer personenbezogenen Daten sehr ernst. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können (Art. 4 Nr. 1 DSGVO).

Die Übertragung aller Daten zwischen Ihrem Endgerät und unseren Servern erfolgt verschlüsselt (TLS 1.2 oder höher). Ihr Browser zeigt dies durch ein Schloss-Symbol an.

Hinweis: Bei der Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) können Sicherheitslücken bestehen; ein lückenloser Schutz vor dem Zugriff durch Dritte ist nicht möglich.

§ 4 Bereitstellung der Webseite und Server-Logs

Beim Aufruf unserer Webseite werden zur Sicherstellung der Funktionsfähigkeit und IT-Sicherheit folgende Daten in Server-Logs gespeichert:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• HTTP-Methode, angeforderte URL und Antwort-Statuscode
• übertragene Datenmenge
• Referrer-URL (sofern übermittelt)
• User-Agent (Browser- und Betriebssystem-Kennung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung, Stabilität und Sicherheit der Webseite, einschließlich Abwehr von Angriffen).

Speicherdauer: Server-Logs werden nach maximal 14 Tagen automatisch gelöscht (Logrotation), es sei denn, ein konkreter sicherheitsrelevanter Vorfall macht eine längere Aufbewahrung im Einzelfall erforderlich.

Technisches Fehler-Monitoring (Sentry): Zur Erkennung und Behebung technischer Fehler setzen wir den Dienst Sentry ein (Functional Software, Inc., EU-Region in Frankfurt am Main, Deutschland). Bei einem Anwendungsfehler werden technische Informationen (Fehlermeldung, Stack-Trace, anonymisierte URL, User-Agent, anonymisierte IP-Adresse) sowie ein maskiertes Sitzungs-Replay (alle Texte und Medien werden vor dem Versand pixeliert; Eingaben in Formularfeldern werden nicht erfasst) an Sentry übermittelt. Eine Profilbildung erfolgt nicht; die Daten dienen ausschließlich der Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität, Sicherheit und Fehlerbehebung der Anwendung).

Speicherdauer: Fehler-Events werden bei Sentry standardmäßig 30 Tage, Sitzungs-Replays 30 Tage aufbewahrt und anschließend automatisch gelöscht. Details siehe § 13 (Auftragsverarbeiter).

§ 5 Cookies und lokaler Speicher

Wir setzen ausschließlich technisch notwendige Cookies und Browser-Speicher ein. Marketing-, Tracking- oder Analyse-Cookies werden nicht verwendet. Es findet kein Webtracking durch Drittanbieter (z. B. Google Analytics, Meta Pixel, Hotjar) statt.

Im Einzelnen:

Sie können Cookies jederzeit in Ihrem Browser löschen oder das Setzen blockieren. Bei Blockade der notwendigen Cookies ist eine Anmeldung am Dienst technisch nicht möglich.

§ 6 Registrierung und Konto-Verwaltung

Bei der Registrierung erheben und verarbeiten wir folgende Daten: Anrede, Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), optional Firmenname. Zur Verifizierung Ihrer E-Mail-Adresse versenden wir einen sechsstelligen Bestätigungscode (10 Min. Gültigkeit), den wir temporär in Ihrem Profil speichern und nach erfolgreicher Eingabe wieder löschen.

Zweck: Identifikation, Vertragsabwicklung, Vermeidung von Betrug und Mehrfachregistrierungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung).
Speicherdauer: bis zur Löschung des Kontos zzgl. gesetzlicher Aufbewahrungspflichten (insbesondere 10 Jahre nach § 147 AO für rechnungs- und steuerrelevante Daten).

Anmeldedaten zu Ihrer Sitzung (Gerätemodus „Browser“ oder „PWA“, Plattform „ios/android/desktop“) werden zur Anpassung der Anzeige und für interne Nutzungsstatistiken (aggregiert) verarbeitet (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an der Optimierung der Plattform).

§ 7 Erbringung der KI-Leistungen (Rezept- und Bildgenerierung)

Zur Erstellung der von Ihnen angefragten Rezepte und Bilder werden Ihre Eingaben (Prompts, gewählte Optionen wie AirFryer-Modus, Allergene, Diät-Wünsche) an unseren KI-Auftragsverarbeiter OpenAI übermittelt und dort verarbeitet.

Verarbeitete Daten: Ihre Eingabe-Texte, Anrede „Koch“ (Pseudonym), interne Anfragenummer. Eine Verknüpfung mit Ihrer E-Mail-Adresse oder Ihrem Klarnamen erfolgt im Übertragungsprozess nicht.

Zweck: Erfüllung des Vertrags zur KI-Generierung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Drittlandtransfer: OpenAI verarbeitet Daten u. a. in den USA. Der Transfer erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und der Zertifizierung von OpenAI nach dem EU-US Data Privacy Framework.

Hinweis „kein Modell-Training“: OpenAI verwendet API-Daten nach eigener Zusicherung nicht zum Training oder zur Verbesserung der Modelle. Wir empfehlen dennoch, in den Eingaben keine sensiblen personenbezogenen Daten Dritter (z. B. Klarnamen, Adressen, Gesundheitsangaben) anzugeben.

Die generierten Rezepte und Bilder werden in unserer Supabase-Datenbank (EU) und im Storage gespeichert und Ihrem Konto zugeordnet.

§ 8 Zahlungsabwicklung (Stripe)

Die Zahlungsabwicklung erfolgt ausschließlich durch unseren Zahlungsdienstleister Stripe. Wir selbst erhalten und speichern keine vollständigen Kreditkarten- oder Bankdaten. Stripe verarbeitet die Zahlungsdaten eigenverantwortlich und stellt uns lediglich einen anonymisierten Customer- und Subscription-Identifikator sowie Status- und Rechnungsdaten zur Verfügung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Stripe-spezifische Cookies werden ausschließlich auf Stripe-eigenen Domains beim Aufruf der Zahlungsseite (checkout.stripe.com) gesetzt. Nähere Informationen entnehmen Sie der Datenschutzerklärung von Stripe (siehe § 13).

§ 9 E-Mail-Versand

Wir versenden folgende E-Mails:

• Verifizierungs-Code bei Registrierung (über Resend);
• Bestätigungen nach erfolgreicher Registrierung und nach Vertragsabschluss (über Resend);
• Empfehlungs-Codes für Standard-/Premium-Monatsabos (über Resend);
• Wiederaufnahme-/Retention-Mails mit personalisierten Rezeptvorschlägen, sofern Sie dem nicht widersprochen haben (über Resend, Edge Function); Widerspruch jederzeit möglich;
• Antworten an Support-Anfragen (über SMTP von Hostinger).
• Benachrichtigungen an die Anbieter-Adresse bei eingegangenen Bewertungen oder Support-Nachrichten (über Resend).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenbindung bei Retention-E-Mails).

Zwei separat abbestellbare Marketing-Kategorien:

• Wiederaufnahme-Mails (Retention): nur für Standard-/Premium-Konten, die seit mehr als 7 Tagen kein Rezept mehr generiert haben. Wird montags 8:00 Uhr versendet.
• Wochen-Digest: nur für aktive Standard-/Premium-Konten mit Aktivität in den letzten 14 Tagen. Wird sonntags 18:00 Uhr als wöchentliche Zusammenfassung der eigenen Aktivität versendet.

Abbestellung — getrennt pro Kategorie: Jede E-Mail enthält am Ende einen Link „…abbestellen“, der ausschließlich diese Kategorie deaktiviert (interne Spalten retention_email_opt_out bzw. weekly_digest_opt_out). Zusätzlich enthalten alle Mails einen List-Unsubscribe-Header (RFC 2369 / RFC 8058), sodass viele E-Mail-Programme einen eigenen „Abbestellen“-Button anzeigen. Alternativ genügt eine kurze Nachricht an support@ki-kochhilfe.de. Es entstehen keine Kosten. Transaktionale Mails (Bestätigungen, Rechnungen, Support-Antworten) sind hiervon nicht betroffen, da sie zur Vertragsdurchführung gesetzlich erforderlich sind.

§ 10 Bewertungssystem

Sie können auf der Webseite Bewertungen abgeben (Sternebewertung 1-5 + Kommentar). Aus technischen Gründen (Schutz vor Spam und Mehrfachbewertungen) speichern wir einen SHA-256-Hash Ihrer IP-Adresse – nicht jedoch die IP-Adresse selbst – für die Dauer von 24 Stunden. Bewertungen werden vor Veröffentlichung manuell freigegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spamabwehr) und Art. 6 Abs. 1 lit. a DSGVO bei freiwilligem Kommentar.

§ 11 Support-Anfragen

Wenn Sie uns über das Support-Formular oder per E-Mail kontaktieren, verarbeiten wir die in der Anfrage übermittelten Daten (Name, E-Mail, Plan, Anfragetext) zur Beantwortung Ihrer Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertrags­bezogenen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO. Die Daten werden gelöscht, sobald sie für die Beantwortung nicht mehr erforderlich sind, spätestens nach Ablauf der Verjährungsfrist (regelmäßig 3 Jahre, § 195 BGB).

§ 11a Öffentliche Rezept-Galerie

Wir betreiben unter /galerie eine öffentlich einsehbare Sammlung KI-generierter Rezepte. Eine Veröffentlichung Ihrer gespeicherten Rezepte erfolgt ausschließlich nach Ihrer ausdrücklichen vorherigen Einwilligung(opt-in über Ihren Kontobereich) und erst nach redaktioneller Qualitätsprüfung durch uns.

Veröffentlichte Inhalte: Rezeptname, Beschreibung, Zutaten, Zubereitungsschritte, Tipps, ggf. KI-generiertes Titelbild, Tags und allergene Hinweise. Es werden keine personenbezogenen Daten (Name, E-Mail-Adresse, Pseudonym) des Erstellers angezeigt; die Veröffentlichung erfolgt vollständig anonym.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit mit Wirkung für die Zukunft im Konto-Bereich widerrufen werden; bereits veröffentlichte Rezepte werden auf Widerruf binnen 7 Tagen aus der Galerie entfernt.

Speicherdauer: Bis zum Widerruf der Einwilligung bzw. bis zum Zeitpunkt einer redaktionellen Entfernung.

§ 12 Empfehlungs-/Einladungsprogramm

Im Rahmen des Empfehlungsprogramms speichern wir den Ihnen zugewiesenen Code, dessen Status, das Ablaufdatum und ggf. die Information, welcher Nutzer den Code eingelöst hat. Wir geben Ihren Klarnamen oder Ihre E-Mail-Adresse nicht an Code-Einlöser weiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 13 Auftragsverarbeiter und Subverarbeiter

Wir setzen folgende externe Dienstleister ein. Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO (DPA). Drittlandtransfers sind durch EU-Standardvertragsklauseln und – soweit anwendbar – durch Zertifizierungen nach dem EU-US Data Privacy Framework abgesichert.

§ 14 Drittlandtransfer

Soweit Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden (insbesondere an OpenAI, Resend und ggf. Stripe in den USA), erfolgt dies nur, wenn ein angemessenes Datenschutzniveau im Sinne der Art. 44 ff. DSGVO gewährleistet ist. Konkret stützen wir uns auf:

• EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914;
• die Zertifizierung der jeweiligen Empfänger nach dem EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10. Juli 2023);
• ergänzende technische und organisatorische Maßnahmen, soweit erforderlich.

Eine Kopie der Garantien können Sie über die unter § 1 angegebene Kontaktadresse anfordern.

§ 15 Speicherdauer im Überblick

• Profildaten: bis zur Löschung des Kontos.
• Generierte Rezepte, Bilder, Wochenmenüs: bis zur Löschung des Kontos; nach Vertragsende 30 Tage Export-Möglichkeit.
• Rechnungs- und Steuerdaten: 10 Jahre (§ 147 AO).
• E-Mail-Verifizierungscodes: 10 Minuten – danach gelöscht.
• IP-Hash bei Bewertungen: 24 Stunden zur Spamabwehr.
• IP-Datensätze für Free-Recipe-Limit: 24 Stunden, danach gelöscht.
• Server-Logs: max. 14 Tage.
• Support-Nachrichten: bis zu 3 Jahre (Verjährungsfrist).
• Bewertungen (veröffentlicht): bis zum Löschverlangen oder bis zur Schließung der Plattform.
• Cookies / LocalStorage: wie unter § 5 angegeben.

§ 16 Ihre Rechte

Ihnen stehen unter den jeweiligen gesetzlichen Voraussetzungen folgende Rechte zu:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO);
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO);
• Löschung („Recht auf Vergessenwerden“) Ihrer Daten (Art. 17 DSGVO);
• Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO);
• Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO);
• Widerruf einmal erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
• Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO).

Anfragen zur Ausübung Ihrer Rechte richten Sie bitte ansupport@ki-kochhilfe.de. Wir bearbeiten Ihre Anfrage in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

Sie haben außerdem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20, 70173 Stuttgart
Telefon: +49 (0) 711 / 615541-0 · E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

§ 17 Pflicht zur Bereitstellung der Daten

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich zwingend vorgeschrieben. Sie sind nicht verpflichtet, Ihre Daten zur Verfügung zu stellen. Allerdings ist die Nutzung des Dienstes ohne die im Bestellprozess geforderten Pflichtangaben (insbesondere E-Mail-Adresse, Passwort, Anrede, Name) technisch nicht möglich, da diese für die Vertragsdurchführung erforderlich sind.

§ 18 Automatisierte Entscheidungsfindung / Profiling

Wir setzen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in vergleichbarer Weise erheblich beeinträchtigt. Die KI-gestützte Generierung von Rezepten ist eine inhaltliche Leistungserbringung und keine personenbezogene Bewertung Ihrer Person.

§ 19 Datensicherheit und Datenpannenmanagement

Wir treffen geeignete technische und organisatorische Maßnahmen, insbesondere:

• Verschlüsselte Datenübertragung (TLS 1.2 oder höher; HSTS, HTTP/2);
• Verschlüsselte Speicherung von Passwörtern (Hashing mit modernen Verfahren);
• Datenresidenz in der EU für die zentrale Datenbank (Supabase, AWS Irland-Region);
• Row-Level Security auf der Datenbank zur Trennung von Nutzerdaten;
• Regelmäßige Security-Updates und Logging;
• Rate-Limiting an sicherheitskritischen Endpunkten (Login, OTP, Bewertungen);
• Mehrstufiges Berechtigungskonzept für Administrator-Funktionen.

Datenpannen (Art. 33 DSGVO): Für den Fall einer Verletzung des Schutzes personenbezogener Daten unterhalten wir einen internen Incident-Response-Plan, der die unverzügliche Eindämmung, Risikobewertung sowie die Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden regelt. Sofern ein hohes Risiko für Ihre Rechte und Freiheiten besteht (Art. 34 DSGVO), informieren wir Sie unverzüglich persönlich – per E-Mail an die in Ihrem Konto hinterlegte Adresse.

Personalisiertes Wasserzeichen auf Rezepten: Während Ihrer angemeldeten Sitzung blenden wir über jeder Rezept-Anzeige ein dezentes, diagonal verlaufendes Wasserzeichen ein. Es enthält ausschließlich Ihren eigenen Vornamen sowie die letzten acht Zeichen Ihrer internen Konto-ID — also Daten, die Sie ohnehin in Ihrem Konto sehen. Das Wasserzeichen wird nicht an Dritte übermittelt und nicht separat gespeichert; es wird ausschließlich beim Rendern der Seite in Ihrem Browser sichtbar. Zweck ist die Nachvollziehbarkeit für den Fall einer unrechtmäßigen Weitergabe von Rezeptinhalten gemäß § 18 unserer AGB. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz unserer KI-generierten Inhalte und der Vertragstreue).

§ 20 Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand April 2026. Durch die Weiterentwicklung unseres Dienstes und gesetzlicher Anforderungen kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Fassung kann jederzeit unter www.ki-kochhilfe.de/datenschutz abgerufen werden.