Datenschutzerklärung - Pantryverse App

Version: 1.0.0
Gültig ab: 23.12.2025
Letzte Aktualisierung: 23.12.2025

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO

Torsten Hubertus Kunz
Einzelunternehmer (natürliche Person)
Pistoriusstraße 9a
13086 Berlin
Deutschland

Handelsregister: n/a (natürliche Person, Beta-Phase)
Steuernummer: n/a (natürliche Person, Beta-Phase)

Kontakt:
E-Mail: statue-speer-4p@icloud.com
Website: https://pantryverse.com

Datenschutzbeauftragter

Nicht bestellt (nicht erforderlich für Ein-Personen-Beta ohne umfangreiche Verarbeitung).

2. Geltungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt für die Verarbeitung personenbezogener Daten durch die Pantryverse App auf folgenden Plattformen:

iOS App

• App Name: Pantryverse - Smart Grocery Lists & Recipes
• Bundle ID: com.omnom
• Mindestversion: iOS 16.0
• App Store: Apple App Store

Web-Anwendung

• URL: https://pantryverse.com
• Technologien: React, Firebase
• Browser: Chrome, Safari, Firefox, Edge (aktuelle Versionen)

Anwendungsbereich: Deutschland und Europäische Union
Sprachen: Deutsch (primär), Englisch (sekundär)
Beta-Tracking: Keine Produkt-Analytics oder Crashlytics aktiviert; nur technisch erforderliche Firebase-Dienste (Auth, Firestore, Storage).

3. Arten der verarbeiteten Daten

3.1 Pflichtdaten für die Nutzung

Diese Daten sind für die Grundfunktionen der App erforderlich:

Registrierungsdaten:

• E-Mail-Adresse (als Benutzername)
• Verschlüsseltes Passwort
• Zeitpunkt der Registrierung
• E-Mail-Verifizierungsstatus

Kontodaten:

• Benutzereinstellungen und -präferenzen
• Spracheinstellungen
• Benachrichtigungseinstellungen
• App-Konfiguration

3.2 Anwendungsdaten

Rezeptdaten:

• Rezepttitel und -beschreibungen
• Zutatenlisten
• Kochanleitungen
• Rezeptbilder (von Ihnen hochgeladen)
• Erstellungs- und Änderungsdaten
• Bewertungen und Notizen

Einkaufslisten:

• Einkaufslisteninhalte
• Artikelkategorien und -präferenzen
• Einkaufsverlauf
• Kategorie-Zuordnungen
• Freigabeberechtigungen für Listen

Synchronisationsdaten:

• Offline-Warteschlangendaten
• Synchronisationsstatus
• Konfliktauflösungsdaten

3.3 Besondere Kategorien personenbezogener Daten

Biometrische Daten (optional):

• Face ID / Touch ID Aktivierungsstatus
• Biometrische Authentifizierungseinstellungen
• Gerätespezifische Sicherheitstokens

Rechtliche Grundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)

Wichtiger Hinweis: Biometrische Vorlagen verlassen niemals Ihr Gerät. Sie werden ausschließlich in der iOS Secure Enclave gespeichert und verarbeitet. Unsere Server erhalten nur das Authentifizierungsergebnis (erfolgreich/fehlgeschlagen).

3.4 Technische und Gerätedaten

Geräteinformationen:

• Betriebssystemversion
• App-Version
• Gerätetyp und -modell
• Regioneinstellungen und Zeitzone
• Geräte-Identifikatoren für Sicherheits- und Missbrauchsprävention

Zugriffsdaten:

• IP-Adresse (anonymisiert)
• Zugriffszeitpunkte
• Verwendete Funktionen (grundlegende Betriebsprotokolle)
• Fehlermeldungen (kein Crash-Reporting im Beta-Test)

3.5 Analytik- und Leistungsdaten

Analytik- und Performance-Tracking sind im Beta-Test deaktiviert.

4. Zwecke der Datenverarbeitung und Rechtsgrundlagen

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Zweck: Bereitstellung der Hauptfunktionen der App

Verarbeitete Daten:

• Registrierungs- und Kontodaten
• Rezept- und Einkaufslistendaten
• Synchronisationsdaten
• Grundlegende technische Daten

Dauer: Während der Vertragslaufzeit

4.2 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Zweck: Sicherheit, Betrugsbekämpfung und Systemstabilität

Verarbeitete Daten:

• Technische und Gerätedaten
• Zugriffsprotokolle
• Sicherheitstokens und Attestierungsdaten
• Anonymisierte Leistungsdaten

Interessenabwägung: Unser berechtigtes Interesse an der Sicherheit und Funktionsfähigkeit der App überwiegt Ihre Interessen, da:

• Nur technische, nicht-identifizierende Daten verarbeitet werden
• Die Verarbeitung für die Sicherheit erforderlich ist
• Sie von der verbesserten Sicherheit profitieren
• Angemessene Schutzmaßnahmen implementiert sind

Widerspruchsrecht: Sie können der Verarbeitung widersprechen (siehe Abschnitt 8).

4.3 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Zweck: Zusätzliche Funktionen und Verbesserungen

Verarbeitete Daten (nur mit ausdrücklicher Einwilligung):

• Erweiterte Analysedaten
• Marketing-Kommunikation
• Beta-Feature-Teilnahme
• Biometrische Authentifizierung (Art. 9 Abs. 2 lit. a DSGVO)

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen (siehe Abschnitt 8).

4.4 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Zweck: Erfüllung gesetzlicher Aufbewahrungspflichten

Anwendbare Gesetze:

• Steuerrechtliche Aufbewahrungsfristen (10 Jahre)
• Verbraucherschutzrechtliche Dokumentation (3 Jahre)
• DSGVO-Nachweispflichten (3 Jahre)

5. KI-gestützte Datenverarbeitung und EU-KI-Verordnung

5.1 KI-Systeme in der App

Rezeptanalyse und -kategorisierung:

• System: Drittanbieter-KI-Dienste
• Zweck: Automatische Kategorisierung von Rezepten und Zutaten
• Risikokategorie: Minimales Risiko (Art. 6 EU-KI-Verordnung)
• Transparenz: Sie werden über KI-Verarbeitung informiert

Datenminimierung:

• Nur Rezeptinhalte werden an KI-Dienste gesendet
• Keine persönlichen Identifikatoren
• Anonymisierung vor Übertragung
• Opt-out-Möglichkeit verfügbar

5.2 Transparenz und Erklärbarkeit

Information über KI-Entscheidungen:

• Kategorisierungsergebnisse sind nachvollziehbar
• Manuelle Korrekturmöglichkeiten verfügbar
• Keine automatisierten Entscheidungen mit Rechtswirkung

Qualitätssicherung:

• Regelmäßige Überprüfung der KI-Ergebnisse
• Bias-Monitoring und -Korrektur
• Kontinuierliche Verbesserung der Modelle

6. Aufbewahrungsfristen

6.1 Kontodaten

Dauer: Bis zur Kontolöschung + 30 Tage
Grund: Kontowiederherstellung und Sicherheit

6.2 Anwendungsdaten (Rezepte, Listen)

Dauer: Bis zur Kontolöschung + 90 Tage
Grund: Datensicherung und Wiederherstellbarkeit

6.3 Biometrische Daten

Dauer: Bis zur Deaktivierung oder Kontolöschung
Ort: Ausschließlich auf Ihrem Gerät (iOS Secure Enclave)

6.4 Analytik- und Leistungsdaten

Anonymisierte Nutzungsdaten: Im Beta-Test nicht erhoben
Technische Leistungsdaten: Im Beta-Test nicht erhoben
Grund: Analytics deaktiviert; nur notwendige Betriebsprotokolle

6.5 KI-Verarbeitungsdaten

Lokale Verarbeitung: 90 Tage
Protokolle bei Drittanbietern: Minimierung und zeitlich begrenzte Speicherung gemäß Anbieter-Richtlinien

6.6 Support-Kommunikation

Dauer: 3 Jahre nach Problemlösung
Grund: Qualitätssicherung und rechtliche Absicherung

6.7 Rechtliche Nachweise

Einwilligungsnachweise: 7 Jahre nach Widerruf
Compliance-Dokumentation: 3 Jahre

Automatische Löschung: Alle Fristen werden automatisch überwacht und durchgesetzt.

7. Empfänger und Kategorien von Empfängern

7.1 Auftragsverarbeiter

Google LLC / Google Ireland Limited (Firebase)

• Dienste: Authentication, Firestore, Storage, Hosting, Sicherheits- und Missbrauchsprävention
• Ort: EU (Irland), USA
• Schutzmaßnahmen: EU-US Data Privacy Framework, Standardvertragsklauseln
• Zweck: Backend-Infrastruktur und Datenspeicherung

Drittanbieter-KI-Dienste

• Dienste: KI-Verarbeitung für Rezeptanalyse
• Ort: USA
• Schutzmaßnahmen: Standardvertragsklauseln
• Zweck: KI-gestützte Rezeptkategorisierung
• Datenminimierung: Nur anonymisierte Rezeptinhalte

7.2 Plattformanbieter

Apple Inc.

• Dienste: iOS App Store, Biometrische Authentifizierung
• Ort: USA, EU
• Zweck: App-Verteilung und Sicherheitsfunktionen
• Besonderheit: Biometrische Daten verlassen niemals Ihr Gerät

7.3 Infrastruktur und Entwicklung

Keine weiteren Empfänger über die oben genannten hinaus.

7.4 Neue Auftragsverarbeiter

Mitteilungspflicht: 30 Tage im Voraus
Widerspruchsrecht: Sie können binnen 30 Tagen widersprechen

8. Internationale Datenübertragungen

8.1 Angemessenheitsbeschlüsse

EU-US Data Privacy Framework

• Anwendbar auf: Google LLC
• Status: Aktiv (Stand: Juni 2025)
• Zertifizierung: https://www.dataprivacyframework.gov/

8.2 Standardvertragsklauseln (Art. 46 DSGVO)

Version: Durchführungsbeschluss (EU) 2021/914
Anwendbar auf: US-basierte Auftragsverarbeiter, soweit erforderlich

Zusätzliche Schutzmaßnahmen:

• Ende-zu-Ende-Verschlüsselung bei Datenübertragung
• Datenminimierung und Anonymisierung
• Regelmäßige Sicherheitsbewertungen
• Vorfallsreaktionsverfahren
• Technische Zugangskontrollen

8.3 Länder mit Datenübertragung

USA:

• Google (EU-US DPF)
• Drittanbieter-KI-Dienste (SCC + Schutzmaßnahmen)
• Apple (Plattformdienste)

Irland (EU):

• Google Ireland Limited (DSGVO-konform)

9. Cookies und Tracking (TDDDG § 25)

9.1 Cookie-Kategorien

Technisch erforderliche Cookies (keine Einwilligung erforderlich):

• Firebase Authentication Session
• App-Zustandsverwaltung
• Sicherheitstokens
• Zweck: Grundfunktionen der Anwendung
• Speicherdauer: Session oder bis Logout

Analytik-Cookies (einwilligungspflichtig nach TDDDG § 25):
Im Beta-Test werden keine Analytik-Cookies eingesetzt.

9.2 Einwilligungsmanagement

Cookie-Banner: Im Beta-Test nicht erforderlich, da nur essenzielle Cookies genutzt werden
Widerruf: Löschung über die Browser-Einstellungen möglich

9.3 Local Storage und App-Daten (iOS)

Lokale Datenspeicherung:

• UserDefaults für App-Einstellungen
• Core Data für Offline-Synchronisation
• Keychain für Sicherheitstokens

Zweck: Offline-Funktionalität und Benutzererfahrung
Zugriff: Nur durch die Pantryverse App

10. Ihre Rechte als betroffene Person

10.1 Auskunftsrecht (Art. 15 DSGVO)

Inhalt: Vollständige Übersicht über Ihre verarbeiteten Daten
Format: Strukturiert, maschinenlesbar (JSON/CSV)
Zeitrahmen: Binnen 30 Tagen
Kontakt: statue-speer-4p@icloud.com

10.2 Berichtigungsrecht (Art. 16 DSGVO)

Möglichkeit: Direkt in der App oder per E-Mail-Anfrage
Zeitrahmen: Unverzüglich, spätestens binnen 30 Tagen

10.3 Löschungsrecht (Art. 17 DSGVO)

"Recht auf Vergessenwerden":

• Vollständige Kontolöschung in App-Einstellungen
• Teilweise Datenlöschung auf Anfrage
• Automatische Löschung nach Aufbewahrungsfristen

Ausnahmen (keine Löschung):

• Laufende Verträge oder rechtliche Verpflichtungen
• Berechtigte Interessen (z.B. Sicherheit)
• Einwilligungsbasierte Verarbeitung bis zum Widerruf

10.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)

Fälle: Richtigkeit bestritten, Verarbeitung unrechtmäßig, Widerspruch eingelegt
Wirkung: Daten werden "eingefroren" aber nicht gelöscht

10.5 Datenübertragbarkeit (Art. 20 DSGVO)

Format: JSON, CSV oder andere strukturierte Formate
Umfang: Alle von Ihnen bereitgestellten Daten
Direkte Übertragung: Technisch möglich zu anderen Anbietern

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Gegen Verarbeitung aufgrund berechtigter Interessen:

• Jederzeit ohne Angabe von Gründen
• Bearbeitung binnen 30 Tagen
• Verarbeitung wird eingestellt, außer bei zwingenden Gründen

Gegen Direktwerbung:

• Jederzeit und bedingungslos
• Sofortige Einstellung der Verarbeitung

10.7 Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Widerrufsmöglichkeiten:

• In den App-Einstellungen
• Per E-Mail an statue-speer-4p@icloud.com
• Durch Deaktivierung spezifischer Funktionen

Wirkung: Für die Zukunft, bereits erfolgte Verarbeitung bleibt rechtmäßig

10.8 Rechtsbehelfe

Beschwerde bei Aufsichtsbehörde (Art. 77 DSGVO):

Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153
53117 Bonn
Deutschland

Kontakt:

• Website: https://www.bfdi.bund.de/
• E-Mail: poststelle@bfdi.bund.de
• Telefon: +49 (0)228 997799-0
• Beschwerdeformular: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Beschwerde/BeschwerdeformularBfDI.html

Gerichtlicher Rechtsschutz (Art. 79 DSGVO):

• Zivilgerichte am Ort des Verantwortlichen
• Deutsches Recht anwendbar

11. Sicherheitsmaßnahmen

11.1 Technische Schutzmaßnahmen

Verschlüsselung:

• Verschlüsselung für Datenübertragungen und, wo erforderlich, für gespeicherte Daten

Zugangskontrollen:

• Beschränkter Zugriff auf Produktionsdaten
• Regelmäßige Zugriffsüberprüfungen und Protokollierung

Missbrauchsprävention:

• Maßnahmen gegen automatisierte Angriffe und Missbrauch

11.2 Organisatorische Schutzmaßnahmen

Datenschutz durch Design und Voreinstellung:

• Minimale Datenerhebung standardmäßig
• Anonymisierung wo technisch möglich
• Regelmäßige Datenschutz-Folgenabschätzungen

Schulungen und Sensibilisierung:

• Regelmäßige Datenschutzschulungen
• Sicherheitsbewusstsein für alle Mitarbeiter
• Incident Response Training

Monitoring und Auditierung:

• Kontinuierliche Sicherheitsüberwachung
• Regelmäßige Penetrationstests
• Automatische Schwachstellenanalyse
• Compliance-Audits

11.3 Datenschutz-Folgenabschätzung (DSFA)

Durchgeführte DSFAs:

• KI-gestützte Rezeptverarbeitung
• Biometrische Authentifizierung
• Internationale Datenübertragungen

Ergebnis: Hohes Schutzniveau, angemessene Risikominderung

12. Automatisierte Entscheidungsfindung und Profiling

12.1 Keine automatisierten Entscheidungen mit Rechtswirkung

Klarstellung: Die Pantryverse App trifft keine automatisierten Entscheidungen, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO).

12.2 KI-gestützte Empfehlungen

Rezeptkategorisierung:

• Automatische Vorschläge für Kategorien
• Manuelle Korrektur jederzeit möglich
• Keine bindende Wirkung
• Transparenz über Entscheidungslogik

Einkaufslisten-Optimierung:

• Vorschläge basierend auf Ihren Präferenzen
• Vollständige Kontrolle über finale Entscheidungen
• Opt-out jederzeit möglich

12.3 Profiling (begrenzt)

Personalisierung der Benutzererfahrung:

• Basierend auf Ihren App-Einstellungen
• Zur Verbesserung der Benutzerfreundlichkeit
• Keine Kategorisierung oder Bewertung Ihrer Person
• Widerspruchsrecht gemäß Art. 21 DSGVO

13. Datenschutz bei Minderjährigen

13.1 Altersgrenze

Mindestalter: 16 Jahre (Art. 8 DSGVO)
Unter 16 Jahren: Einwilligung der Erziehungsberechtigten erforderlich

13.2 Verifikation

Altersabfrage: Bei der Registrierung
Elterliche Einwilligung: E-Mail-Verifikation erforderlich
Löschung: Bei fehlender Einwilligung binnen 30 Tagen

13.3 Besondere Schutzmaßnahmen

• Keine Marketing-Kommunikation an Minderjährige
• Eingeschränkte Datenerhebung
• Verstärkte Transparenz und Kontrolle

14. Änderungen dieser Datenschutzerklärung

14.1 Änderungsverfahren

Wesentliche Änderungen: 30 Tage im Voraus per E-Mail
Geringfügige Änderungen: Benachrichtigung in der App
Neue Rechtsgrundlagen: Erneute Einwilligung erforderlich

14.2 Versionskontrolle

Aktuelle Version: Immer auf https://legal.pantryverse.com/privacy/de
Frühere Versionen: Archivierung für 10 Jahre
Changelog: Detaillierte Änderungshistorie verfügbar

14.3 Ihre Reaktionsmöglichkeiten

Widerspruch: Binnen 30 Tagen nach Benachrichtigung
Kündigung: Kontolöschung bei nicht akzeptablen Änderungen
Beratung: Kostenlose Unterstützung bei Fragen

15. Kontakt und Datenschutzanfragen

15.1 Datenschutz-Kontakte

Allgemeine Datenschutzfragen:
E-Mail: statue-speer-4p@icloud.com
Antwortzeit: Binnen 48 Stunden

Betroffenenrechte:
E-Mail: statue-speer-4p@icloud.com
Bearbeitungszeit: Binnen 30 Tagen (DSGVO Art. 12)

Datenschutzverletzungen:
E-Mail: statue-speer-4p@icloud.com
Verfügbarkeit: 24/7

15.2 Erforderliche Informationen für Anfragen

Auskunftsersuchen:

• Vollständiger Name
• E-Mail-Adresse des App-Kontos
• Kopie eines Ausweisdokuments (zur Identitätsprüfung)
• Spezifische Informationen, die Sie wünschen

Löschungsanträge:

• Kontoinformationen
• Grund für die Löschung (optional)
• Bestätigung der Identität

Berichtigungsanträge:

• Zu korrigierende Daten
• Korrekte Informationen
• Nachweis der Richtigkeit (falls erforderlich)

15.3 Bearbeitungsverfahren

1. Eingangsbestätigung: Binnen 24 Stunden
2. Identitätsprüfung: Bis zu 7 Tage
3. Bearbeitung: Bis zu 30 Tage (DSGVO-konform)
4. Antwort: Strukturiert und verständlich
5. Nachfragen: Kostenlose Unterstützung

15.4 Sprachen

Deutsch: Vollständige Bearbeitung
Englisch: Vollständige Bearbeitung
Andere Sprachen: Auf Anfrage

Anhang: Rechtliche Grundlagen

Anwendbare Gesetze (Stand: Juni 2025)

• DSGVO: Verordnung (EU) 2016/679
• BDSG: Bundesdatenschutzgesetz (2018)
• TDDDG: Telekommunikation-Telemedien-Datenschutz-Gesetz (2021)
• TMG: Telemediengesetz (2007)
• EU-Datenschutz-Grundverordnung: Primärrecht
• Digital Services Act: Verordnung (EU) 2022/2065
• Data Governance Act: Verordnung (EU) 2022/868
• Data Act: Verordnung (EU) 2023/2854
• AI Act: Verordnung (EU) 2024/1689

Gerichtsstand und anwendbares Recht

Gerichtsstand: Deutschland (Amtsgericht am Sitz des Verantwortlichen)
Anwendbares Recht: Deutsches Recht
EU-Recht: DSGVO und andere EU-Verordnungen haben Vorrang

Letzte Aktualisierung: 19. Januar 2025
Nächste Überprüfung: 22. Juli 2025

Für Fragen zu dieser Datenschutzerklärung wenden Sie sich bitte an: statue-speer-4p@icloud.com