Datenschutzerklärung
Verantwortliche Stelle
TODO: Name
TODO: Adresse
E-Mail: TODO: E-Mail-Adresse
1. HealthKit-Daten
Zweck: Synchronisation deiner Ernährungsdaten mit deinem Tageslog.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Speicherdauer: bis zur Löschung deines Accounts.
Verarbeitungsort: ausschließlich auf deinem Gerät (on-device) — Gewicht, Größe, Geburtsjahr, Geschlecht und Workout-Historie werden nur lokal gelesen, Nährwerte aus deinem Meal-Log werden nur lokal nach HealthKit zurückgeschrieben.
Empfänger: niemand — es findet keine Übertragung an unser Backend, Supabase oder einen LLM-Provider statt.
Drittland-Transfer: keiner.
2. Supabase (Account- & Meal-Log-Daten)
Zweck: Speicherung deines Accounts und deiner Mahlzeiten-Einträge.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Speicherdauer: bis zur Löschung deines Accounts.
Verarbeitete Tabellen: Nutzerprofil (Gewicht, Größe, Geburtsjahr, Geschlecht, Körperfettanteil, Kalorienziele), Mahlzeiten-Einträge (Freitext-Beschreibung, Nährwerte, HealthKit-Referenz-ID), Häufigkeits-Cache (normalisierte Essens-Namen samt Nährwerten), Account- und Abo-Status.
Empfänger: Supabase als Auftragsverarbeiter.
Speicherort/Region: TODO: Supabase-Region bestätigen
Auftragsverarbeitungsvertrag (DPA): TODO: DPA-Status bestätigen (Supabase + OpenAI)
Drittland-Transfer: abhängig von der bestätigten Supabase-Region (siehe oben).
3. LLM-Provider (Google Gemini + OpenAI)
Zweck: Umwandlung deines Sprach-/Text-Eintrags in ein normalisiertes Lebensmittel sowie Schätzung von Kalorien und Makronährstoffen.
Anbieter je nach Modus:
— Standard (Free-, Trial- und Abo-Tier): Google Gemini(2.5 Flash-Lite bzw. 3.1 Flash-Lite), serverseitig über unser Backend angebunden.
— High-Reasoning-Modus (optional zubuchbar): OpenAI (Responses API), ebenfalls serverseitig über unser Backend.
— BYOK-Modus (eigener API-Key): dein Gerät sendet die Anfrage direkt an api.openai.com — dein API-Key und diese Anfrage laufen zu keinem Zeitpunkt über unser Backend; unser Backend lehnt BYOK-Anfragen explizit ab.
Rechtsgrundlage: Vertragserfüllung bzw. Einwilligung (Art. 6 Abs. 1 lit. b bzw. lit. a DSGVO) — im BYOK-Modus zusätzlich dein eigener Vertrag mit OpenAI.
Übermittelte Daten: Freitext-Transkript, normalisierter Item-Name, Mengenangabe, ggf. Rezept-Kontext (max. 500 Zeichen), im Plan-Modus dein Kalorienbudget.Keine Fotos oder Bilder, keine API-Keys, kein Supabase-Auth-Token.
Speicherdauer: liegt beim jeweiligen Provider, nicht bei Waffly — im BYOK-Modus ausschließlich in deinem eigenen Provider-Account.
Drittland-Transfer: ja, in die USA (Google Gemini und OpenAI).
4. Cloudflare Pages (Website-Hosting)
Zweck: Auslieferung dieser Website.
Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: Standard-Server-Logs gemäß Cloudflare-Aufbewahrungsfristen.
Empfänger: Cloudflare, Inc. als Auftragsverarbeiter.
5. Kontakt / Feedback per E-Mail
Zweck: Bearbeitung deiner Anfrage.
Rechtsgrundlage: Einwilligung durch aktives Senden der E-Mail (Art. 6 Abs. 1 lit. a DSGVO).
Speicherdauer: keine — diese Website selbst speichert keine Daten aus dem Feedback-Link; er öffnet direkt dein E-Mail-Programm.
Empfänger: ausschließlich Waffly direkt (kein Dritter, kein Formular-Backend dieser Website).
Deine Rechte
Du hast nach der DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) bezüglich deiner personenbezogenen Daten. Account-Löschung und Datenexport kannst du direkt in der App unter Einstellungen ausüben; für alle anderen Anfragen nutze den Kontaktweg oben.
Streitschlichtung
Die Europäische Kommission stellte früher eine Plattform zur Online-Streitbeilegung (OS) unter ec.europa.eu/consumers/odr bereit; diese wurde zum 20. Juli 2025 eingestellt. Wir sind nicht verpflichtet und nicht bereit, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.