Datenschutzerklärung

André Bäcker
Nutriva-AI
Hopstener Straße 25
49479 Ibbenbüren
Deutschland
E-Mail: kontakt@nutriva-ai.de

• Registrierungsdaten: E-Mail, Name (über Clerk, USA, EU-Standardvertragsklauseln)
• Profildaten: Alter, Geschlecht, Größe, Gewicht, Allergien, Krankheiten, Ernährungsform
• Nutzungsdaten: Ernährungstagebuch, Gewichtsverlauf, Chat-Verläufe, Ernährungspläne, Ziele
• Zahlungsdaten: über Stripe (USA, EU-Standardvertragsklauseln) — wir speichern keine Kreditkartendaten
• Technische Daten: IP-Adresse, Browser, Geräteinformationen (über Vercel)

• Bereitstellung personalisierter Ernährungsempfehlungen mittels KI
• KI-basierte Analyse von Gesundheitsdaten zur Erstellung von Ernährungsplänen und Wochenreviews
• Qualitätssicherung durch Einsicht ausgewählter Gespräche (nur mit gesonderter Einwilligung)
• Zahlungsabwicklung

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die KI-Verarbeitung von Gesundheitsdaten
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Bereitstellung des Dienstes
• Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) für Gesundheitsdaten

• Anthropic (Claude API, USA): Anonymisierte Gesundheitsdaten (ohne Name, E-Mail) werden zur KI-gestützten Ernährungsberatung übermittelt. EU-Standardvertragsklauseln. API-Daten werden nicht für KI-Training verwendet.
• Anthropic Claude Vision (USA): Fotos von Mahlzeiten werden über Claude Vision analysiert, um Kaloriengehalt und Nährwerte zu schätzen. Es gelten die gleichen EU-Standardvertragsklauseln wie für die Chat-Verarbeitung. Bilder werden nicht für KI-Training verwendet.
• OpenAI (Embedding API, USA): User-Nachrichten und Profilmerkmale werden für die Vektor-Suche in der Wissensbasis verarbeitet. EU-Standardvertragsklauseln.
• Clerk (USA): Authentifizierung. Speichert E-Mail, Name, Login-History. EU-Standardvertragsklauseln.
• Stripe (USA): Zahlungsabwicklung. Speichert Zahlungsdaten. EU-Standardvertragsklauseln.
• Supabase (EU, Frankfurt): Datenbankhosting. Alle Nutzerdaten werden in der EU gespeichert.
• Supabase Storage (EU, Frankfurt): Fotos von Mahlzeiten werden in einem privaten, verschlüsselten Bucket innerhalb der EU gespeichert und sind ausschließlich für den jeweiligen Nutzer zugänglich. Bei Kontolöschung werden sie automatisch mit entfernt.
• Resend (USA): Versand transaktionaler E-Mails (Willkommen, Abo-Bestätigung, Credit-Warnungen, Erinnerungen, Monatsberichte, Account-Löschung). Verarbeitet werden nur E-Mail-Adresse und Versandzeitpunkt. EU-Standardvertragsklauseln.
• Vercel (USA): Hosting. Speichert Request-Logs. EU-Standardvertragsklauseln.
• Upstash (USA): Redis-basiertes Rate-Limiting zum Schutz vor Missbrauch. Gespeichert werden ausschließlich die User-ID und Zeitstempel der Anfragen für maximal 24 Stunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsschutz). EU-Standardvertragsklauseln.
• Sentry (Functional Software, Inc., USA): Error-Monitoring. Bei Fehlern werden technische Metadaten (Fehlertyp, Zeitstempel, betroffene Komponente, anonymisierte User-ID) übertragen — keine Inhalte deiner Ernährungsdaten, Nachrichten oder Fotos. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit der App). EU-Standardvertragsklauseln.

Auftragsverarbeitung (Art. 28 DSGVO): Mit allen Dienstleistern, die personenbezogene Daten in unserem Auftrag verarbeiten, haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen. Dies betrifft insbesondere Clerk, Supabase, Anthropic, OpenAI, Vercel, Stripe, Resend, Upstash und Sentry.

Wir nutzen PostHog (PostHog Inc., gehostet auf EU-Servern in Frankfurt) zur Analyse der App-Nutzung und zur Verbesserung unserer Produktqualität. Erfasst werden:

• Seitenaufrufe und Klick-Aktionen innerhalb der App
• Genutzte Features (Chat, Mahlzeit-Eintrag, Plan-Erstellung, Foto-Analyse, Smart Log)
• Conversion-Events (Registrierung, Plan-Aktivierung, Kündigung, Top-Up-Käufe)
• Deine User-ID und dein Vorname zur Verknüpfung der Events mit deinem Account

Wir tracken NICHT die Inhalte deiner Chats, deiner Mahlzeiten, dein Gewicht oder andere Gesundheitsdaten — nur welche Aktionen ausgeführt wurden.

Die Daten werden ausschließlich auf EU-Servern verarbeitet und sind nach 12 Monaten automatisch gelöscht.

Du kannst der Analyse jederzeit widersprechen über Profil → Einstellungen → Tracking deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung).

Anbieter: PostHog Inc., 2261 Market St #4008, San Francisco, CA 94114, USA. EU-Hosting via PostHog EU GmbH, gehostet bei Hetzner Frankfurt.

In Smart Log und im Chat kannst du deine Eingaben per Sprache erfassen. Dabei wird dein Audio direkt von deinem Browser verarbeitet:

• Bei Chrome, Edge, Opera: Über Google-Spracherkennungsserver
• Bei Safari (Desktop und iOS): Über Apple-Spracherkennungsserver

Wir speichern weder das Audio noch leiten es über unsere Server. Wir erhalten ausschließlich den transkribierten Text — und nur dann wenn du den Mikrofon-Button aktiv anklickst.

Die Verarbeitung durch Google bzw. Apple unterliegt deren jeweiligen Datenschutzbestimmungen. Für Chromium-basierte Browser ist Google verantwortlicher Dritter, für Safari Apple.

Unsere Dienste richten sich an Personen ab 16 Jahren. Für Nutzer zwischen 13 und 15 Jahren ist die Einwilligung der Erziehungsberechtigten erforderlich (Art. 8 DSGVO). Nutzer unter 13 Jahren dürfen Nutriva-AI nicht nutzen. Sollten wir Kenntnis davon erlangen, dass ein Konto ohne erforderliche Einwilligung von einem Kind unter 16 Jahren angelegt wurde, löschen wir es unverzüglich.

• Profil-, Nutzungs- und Chat-Daten: Solange der Account besteht
• Fotos von Mahlzeiten: Solange der Account besteht. Bei Kontolöschung werden sie innerhalb von 30 Tagen aus dem Supabase Storage entfernt.
• Bei Kontolöschung: Alle personenbezogenen Daten — inklusive Fotos im Storage — werden innerhalb von 30 Tagen gelöscht.
• Zahlungsdaten bei Stripe: Gemäß gesetzlicher Aufbewahrungsfristen (6–10 Jahre)
• Accounts die länger als 12 Monate inaktiv sind, werden nach vorheriger Benachrichtigung automatisch gelöscht.

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung (Clerk Session-Cookie). Es werden keine Tracking-Cookies, Analyse-Cookies oder Marketing-Cookies eingesetzt.

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO) — in der App unter Einstellungen möglich
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Export-Funktion in der App unter Einstellungen
• Widerspruch (Art. 21 DSGVO)
• Widerruf der Einwilligung jederzeit ohne Angabe von Gründen
• Beschwerderecht bei der zuständigen Aufsichtsbehörde:
  Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
  Kavalleriestraße 2–4, 40213 Düsseldorf