Datenschutzerklärung

Stand: 11. Juli 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Alexander Burkhard, Münsterlandstraße 68, 10317 Berlin, Deutschland
Kontakt: [email protected]

Wir haben keinen Datenschutzbeauftragten nach Art. 37 DSGVO bestellt: Wir sind weder eine Behörde noch eine öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO); unsere Kern-Tätigkeit besteht weder in einer umfangreichen, regelmäßigen und systematischen Überwachung von Betroffenen (Art. 37 Abs. 1 lit. b DSGVO) noch, bei unserem aktuellen Nutzerumfang, in einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO im Sinne dieser Vorschrift (Art. 37 Abs. 1 lit. c DSGVO); und unsere Mitarbeitendenzahl erreicht zusätzlich die Schwelle nach § 38 BDSG nicht. Wir überprüfen diese Einschätzung erneut, sobald unsere Nutzerzahl, unser Mitarbeitendenbestand oder der Umfang unserer Verarbeitung besonderer Kategorien personenbezogener Daten wesentlich wächst.

2. Welche Daten wir verarbeiten

2.1 Kontodaten und Authentifizierung

2.2 Gesundheits- und Ernährungsdaten

Diese Daten gelten gemäß Art. 9 Abs. 1 DSGVO als besondere Kategorie personenbezogener Daten und werden ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung verarbeitet (Art. 9 Abs. 2 lit. a DSGVO).

2.3 Chat-Inhalte

2.4 Subscription- und Plus-Daten

Die Zahlungsabwicklung selbst läuft ausschließlich über Apple. Wir erhalten weder deine Zahlungsmittel-Daten noch deinen Rechnungsstand.

2.5 Nutzungs- und Verbrauchsdaten

2.6 Server-Protokolldaten

2.7 Administrative Zugriffe (Audit-Log)

Wenn ein berechtigter Administrator (derzeit ausschließlich der Verantwortliche) im Rahmen von Support, Missbrauchsabwehr oder Sicherheits-Audits auf deine Konto-, Gesundheits- oder Chatdaten zugreift oder diese verändert, protokollieren wir diesen Zugriff (Zeitpunkt, betroffener Account, durchgeführte Aktion). Dies dient dem Nachweis und der Nachvollziehbarkeit nach Art. 32 DSGVO.

3. Zwecke und Rechtsgrundlagen

4. Empfänger und Auftragsverarbeiter

Zur Erbringung des Dienstes setzen wir die folgenden Auftragsverarbeiter und Drittdienste ein. Mit allen wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen, soweit zutreffend.

5. Drittlandtransfers

Mehrere der oben genannten Anbieter haben ihren Sitz in den USA. Soweit personenbezogene Daten dorthin übermittelt werden, geschieht dies auf Grundlage des EU-US Data Privacy Framework, sofern der Anbieter zertifiziert ist, andernfalls auf Grundlage der Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO einschließlich ergänzender Maßnahmen.

Für Nutzer in der Schweiz stützen wir Übermittlungen in die USA auf das Swiss-U.S. Data Privacy Framework, sofern der Anbieter zertifiziert ist, andernfalls auf die von der schweizerischen Aufsichtsbehörde (EDÖB) anerkannten Standardvertragsklauseln.

Für Nutzer im Vereinigten Königreich stützen wir Übermittlungen in die USA auf die UK-Erweiterung des EU-U.S. Data Privacy Framework („UK-U.S. Data Bridge“), sofern der Anbieter zertifiziert ist, andernfalls auf das UK International Data Transfer Agreement (IDTA) bzw. dessen Addendum.

6. Speicherdauer

7. Cookies und lokale Speicher

Auf unseren öffentlichen Seiten (Startseite, /foods, /blog) erfassen wir cookielose, pseudonyme Nutzungsstatistiken, die auf den einzelnen Seitenbesuch bzw. die einzelne Sitzung beschränkt bleiben — insbesondere Seitenaufrufe sowie Interaktionen wie Klicks auf Navigations-/Call-to-Action-Elemente und den App-Store-Link — und ohne Speicherung auf deinem Gerät (es sei denn, du deaktivierst die Analyse aktiv über ?noph=1 — dann merken wir uns dies über einen einzelnen lokalen Hinweis). Es wird keine dauerhafte, geräteübergreifende Kennung gesetzt; eine Sitzung wird nicht über den Seitenbesuch hinaus verknüpft, und die Daten werden nicht für kontextübergreifendes Werbe-Tracking genutzt. Die Verarbeitung erfolgt EU-gehostet über PostHog, erreicht ausschließlich über unseren first-party-Proxy (/relay), der deine Besucher-IP-Adresse vor der Weiterleitung an PostHog entfernt. Die personalisierte In-App-Analyse bleibt hiervon getrennt und nur mit deiner Einwilligung in den Einstellungen aktiv.

8. KI-Verarbeitung

Der Ernährungsassistent wird durch Google Gemini betrieben, ein generatives KI-Modell. Deine Chat-Eingaben (Text, Foto, Audio) werden zur Beantwortung an die Gemini-API übermittelt. Die KI ersetzt keine medizinische oder ernährungswissenschaftliche Beratung; ihre Ausgaben können fehlerhaft sein.

Einwilligung und wie die Erfassung funktioniert: Die KI-Verarbeitung setzt deine ausdrückliche Einwilligung voraus, die du beim Onboarding oder in den Einstellungen erteilst und jederzeit widerrufen kannst. Der KI-Assistent ist der primäre Weg, um in Dumb Calories Essen zu erfassen; wenn du die Einwilligung ablehnst oder widerrufst, kannst du keine neuen Lebensmittel erfassen, behältst aber vollen Zugriff, um deine vorhandenen Daten einzusehen, zu exportieren und zu löschen.

Kein Training auf Nutzerdaten: Wir nutzen Gemini ausschließlich über die kostenpflichtige API. Google hat dafür vertraglich zugesichert, deine Eingaben und die generierten Antworten nicht zum Training oder zur Verbesserung der Modelle zu verwenden.

Welche Daten Gemini pro Anfrage erhält: deine aktuelle Nachricht, der Chatverlauf des bearbeiteten Tages, die an diesem Tag bereits geloggten Einträge samt Nährwert-Summen, deine Kalorien- und Makroziele, dein effektives Tagesziel sowie ein kompakter Rückblick auf die Lebensmittel der letzten vier Tage. Nicht übermittelt werden: deine interne Konto-UUID, dein aktuelles Körpergewicht, rohe Werte verbrannter Energie (aktive Kalorien) und dein Basis-Ruheumsatz (Basalwert).

9. Apple Health / HealthKit

Wenn du in der iOS-App die HealthKit-Integration aktivierst, liest die App auf deinem Gerät aktive und Ruheenergie (verbrannte Kalorien je Tag), Körpergewicht, Körpergröße, biologisches Geschlecht und Geburtsdatum aus Apple Health und sendet diese Werte an unsere Server zur Berechnung deines Kalorienziels und zur Anzeige im Tagesüberblick. Umgekehrt schreibt die App dein in der App erfasstes Körpergewicht sowie die Kalorien, das Eiweiß, die Kohlenhydrate und das Fett deiner geloggten Mahlzeiten zurück nach Apple Health. Apple Health-Daten verlassen dein Gerät erst durch diese ausdrückliche Aktivierung. Du kannst die Berechtigung jederzeit in den iOS-Einstellungen widerrufen. Die Verarbeitung erfolgt im Rahmen von Apples HealthKit-Richtlinien: HealthKit-Daten werden nicht für Werbung verwendet und nicht an Dritte weitergegeben, die keine Auftragsverarbeiter im Rahmen unseres Dienstes sind.

10. Sign in with Apple / Sign in with Google

Beim Login per Apple oder Google übermittelt der jeweilige Anbieter ausschließlich einen stabilen Identifikator („sub“), deine E-Mail-Adresse sowie (bei Apple, einmalig) deinen vollständigen Namen an uns. Wir speichern den „sub“, um dich bei künftigen Logins zuverlässig wiederzuerkennen. Bei Apple speichern wir zusätzlich einen Fernet-verschlüsselten Refresh Token, mit dem wir deine Verknüpfung im Falle einer Kontolöschung gegenüber Apple aufheben können.

11. Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO

Wir treffen keine ausschließlich automatisierten Einzelfallentscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung für dich. Die KI-Antworten sind unterstützende Empfehlungen ohne rechtsverbindlichen Charakter.

12. Deine Rechte

Du hast jederzeit das Recht auf:

Auskunft vs. Datenübertragbarkeit — und was der In-App-Export enthält: Die Auskunft (Art. 15 DSGVO) ist das umfassende Recht auf eine Kopie sämtlicher Daten, die wir über dich gespeichert haben — einschließlich Daten, die wir selbst erzeugt oder beobachtet haben (zum Beispiel unser Protokoll etwaiger Administratorzugriffe auf dein Konto). Die Datenübertragbarkeit (Art. 20 DSGVO) ist enger gefasst: Sie umfasst nur die Daten, die du uns selbst bereitgestellt hast und die wir automatisiert auf Grundlage deiner Einwilligung oder unseres Vertrags mit dir verarbeiten, in einem Format, das du zu einem anderen Anbieter mitnehmen kannst. In den Einstellungen liefert dir „Meine Daten exportieren“ einen strukturierten JSON-Export, der das Auskunftsrecht abdeckt — deine Kontodaten, deinen Einwilligungsverlauf, dein Profil, dein Ernährungstagebuch, deine verbrannten Kalorien, deine Chat-Nachrichten (einschließlich Foto-/Audio-Metadaten und deren Aufbewahrungsablauf, jedoch nie einen signierten Datei-Link oder Zugangsdaten), deinen Abo-/Testphasen-Status, deine KI-Nutzung sowie das Protokoll etwaiger Administratorzugriffe auf dein Konto. Derselbe Export erfüllt zugleich die Datenübertragbarkeit für den Teilbestand, den du uns auf Grundlage von Einwilligung oder Vertrag bereitgestellt hast. Alles, was über diesen Export hinausgeht — eine Anfrage in einem anderen Format, die direkte Übermittlung an einen anderen Verantwortlichen, oder ein Datensatz, den wir für eine automatische Offenlegung nicht für geeignet halten (zum Beispiel im Rahmen einer laufenden Missbrauchs- oder Sicherheitsüberprüfung) — bearbeiten wir manuell per E-Mail.

Bei Fragen zu diesen Rechten oder zur Geltendmachung: [email protected].

13. Beschwerderecht

Du hast das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzulegen. Zuständig für unseren Sitz ist:
Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin, www.datenschutz-berlin.de.

14. Nutzer in der Schweiz (revDSG)

Für Nutzer mit Wohnsitz in der Schweiz gilt ergänzend das revidierte Schweizer Bundesgesetz über den Datenschutz (revDSG, in Kraft seit 1. September 2023). Unsere an der DSGVO ausgerichtete Verarbeitung erfüllt dessen Anforderungen in der Sache; die in dieser Erklärung beschriebenen Betroffenenrechte (Auskunft, Berichtigung, Löschung) bestehen unter dem revDSG gleichermaßen. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch.

15. Nutzer im Vereinigten Königreich (UK GDPR)

Für Nutzer mit Wohnsitz im Vereinigten Königreich gelten ergänzend die UK GDPR und der Data Protection Act 2018. Unsere an der DSGVO ausgerichtete Verarbeitung erfüllt deren Anforderungen in der Sache; die in dieser Erklärung beschriebenen Betroffenenrechte bestehen gleichermaßen. Zuständige Aufsichtsbehörde für Nutzer im Vereinigten Königreich ist das Information Commissioner’s Office (ICO), Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, ico.org.uk. Übermittlungen personenbezogener Daten aus dem Vereinigten Königreich in die USA stützen wir für zertifizierte Empfänger auf die UK-Erweiterung des EU-U.S. Data Privacy Framework („UK-U.S. Data Bridge“), andernfalls auf das UK International Data Transfer Agreement (IDTA) bzw. dessen Addendum.

16. Nutzer in Neuseeland (Privacy Act 2020)

Für Nutzer mit Wohnsitz in Neuseeland gilt ergänzend der Privacy Act 2020 mit seinen Information Privacy Principles. Unsere Verarbeitung erfüllt dessen Anforderungen in der Sache; die in dieser Erklärung beschriebenen Betroffenenrechte (Auskunft, Berichtigung, Löschung) bestehen gleichermaßen. Unser Datenschutzverantwortlicher (privacy officer) im Sinne des Gesetzes ist Alexander Burkhard ([email protected]). Zuständige Behörde ist das Office of the Privacy Commissioner (OPC), www.privacy.org.nz. Soweit wir personenbezogene Daten an Dienstleister außerhalb Neuseelands übermitteln, stellen wir vergleichbare Schutzmaßnahmen im Sinne des Information Privacy Principle 12 sicher.

17. Nutzer in den Vereinigten Staaten

Für Nutzer mit Wohnsitz in den Vereinigten Staaten gilt ergänzend: Wir verkaufen deine personenbezogenen Daten nicht und geben sie nicht für kontextübergreifende verhaltensbezogene Werbung weiter — der Dienst zeigt keine Werbung und enthält keine Werbe-Tracker. Gesundheits- und Ernährungsdaten behandeln wir als sensible personenbezogene Daten im Sinne des California Consumer Privacy Act (CCPA/CPRA): Wir verwenden sie ausschließlich zur Bereitstellung des von dir angeforderten Dienstes und nicht, um Eigenschaften über dich für andere Zwecke abzuleiten. Auch soweit die Anwendbarkeitsschwellen einzelner US-Landesgesetze nicht erreicht werden, gewähren wir deren Kernrechte — Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, ohne Benachteiligung bei deren Ausübung — allen US-Nutzern, wie in Abschnitt 12 beschrieben. Anfragen: [email protected].

Für Verbraucher in Washington und Nevada beschreibt unsere separate Consumer Health Data Privacy Policy (englisch), welche Verbraucher-Gesundheitsdaten wir verarbeiten und welche Rechte der Washington My Health My Data Act (Chapter 19.373 RCW) und das Gesundheitsdatengesetz Nevadas (SB 370, 2023) gewähren, einschließlich Widerruf der Einwilligung, Löschung und Beschwerdeverfahren.

Kalifornien — CalOPPA-Hinweis zu „Do Not Track“: Dumb Calories betreibt kein kontextübergreifendes Tracking deines Verhaltens auf verschiedenen Websites. Die Statistiken auf unseren öffentlichen Seiten (Startseite, /foods, /blog, siehe Abschnitt 7) sind cookielos, pseudonym und auf den einzelnen Seitenbesuch bzw. die einzelne Sitzung beschränkt — es wird keine geräteübergreifende Kennung gesetzt, unser first-party-Proxy (/relay) entfernt deine Besucher-IP-Adresse vor der Weiterleitung an PostHog, und kein Dritter darf über unseren Dienst personenbezogene Daten zu deinem Verhalten im Zeitverlauf und über andere Websites oder Apps hinweg erheben oder für kontextübergreifende Werbung nutzen. Diese öffentliche Analyse kannst du jederzeit über ?noph=1 deaktivieren. Die personalisierte In-App-Analyse läuft nur, wenn du ihr in den Einstellungen zustimmst. Da wir keine personenbezogenen Daten verkaufen oder weitergeben, löst ein „Do Not Track“-Signal (DNT) oder Global-Privacy-Control-Signal (GPC) in unserem Dienst keinen Verkaufs-/Weitergabe-Opt-out aus — es gibt keinen Verkauf und keine Weitergabe, von denen man sich abmelden könnte.

18. Nutzer in Kanada

Für Nutzer mit Wohnsitz in Kanada gilt ergänzend der Personal Information Protection and Electronic Documents Act (PIPEDA); für Nutzer in Québec zusätzlich das Gesetz über den Schutz personenbezogener Informationen im Privatsektor in der durch das Gesetz 25 („Law 25“) modernisierten Fassung. Unsere an der DSGVO ausgerichtete Verarbeitung erfüllt deren Anforderungen in der Sache: Gesundheits- und Ernährungsdaten verarbeiten wir nur mit deiner ausdrücklichen Einwilligung bei der Registrierung, und die in dieser Erklärung beschriebenen Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit — einschließlich des Datenexports in der App) bestehen gleichermaßen. Verantwortlicher für den Schutz personenbezogener Informationen (responsable de la protection des renseignements personnels) ist Alexander Burkhard, Gründer ([email protected]).

Deine Daten werden außerhalb Kanadas gespeichert und verarbeitet — auf Servern in der Europäischen Union sowie bei den in den Abschnitten 4 und 5 genannten Anbietern in den USA und der Schweiz. Dort unterliegen sie dem Recht des jeweiligen Landes und können dessen Gerichten, Strafverfolgungs- und Sicherheitsbehörden zugänglich sein. Wir bleiben für sie verantwortlich und schützen sie durch die in den Abschnitten 4 und 5 beschriebenen vertraglichen und technischen Maßnahmen; für die Übermittlung von Daten aus Québec haben wir die nach Abschnitt 17 des Québecer Gesetzes erforderliche schriftliche Bewertung durchgeführt. Beschwerden kannst du jederzeit an uns richten, an das Office of the Privacy Commissioner of Canada (www.priv.gc.ca) oder in Québec an die Commission d’accès à l’information (www.cai.gouv.qc.ca). Eine französische Zusammenfassung dieser Erklärung ist unter Résumé en français verfügbar.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung an geänderte rechtliche oder technische Rahmenbedingungen anzupassen. Die jeweils aktuelle Fassung ist hier abrufbar; wesentliche Änderungen kündigen wir mit angemessener Vorlaufzeit an.