Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen des Projekts Mealyo ist Enactus Mannheim e. V., P4 9, 68161 Mannheim. Der Vorstand vertritt den Verein nach außen; die jeweils aktuelle Besetzung findest du auf enactus-mannheim.com/impressum.

Direkter Kontakt zum Mealyo-Team: team@mealyo.de

2. Grundsätze

Wir verarbeiten personenbezogene Daten nur im Rahmen der gesetzlichen Vorgaben (insbesondere DSGVO und BDSG) und immer nur, soweit dies für die Bereitstellung unserer Dienste erforderlich ist. Wir geben Daten nicht ohne Rechtsgrundlage an Dritte weiter und speichern sie nicht länger als nötig.

Diese Erklärung beschreibt sowohl die Datenverarbeitung auf der Mealyo-Website (mealyo.de) als auch in der Mealyo-App für iOS und Android.

3. Welche Daten wir verarbeiten

3.1 Account-Daten

Wenn du ein Mealyo-Konto erstellst, verarbeiten wir abhängig von der gewählten Methode folgende Daten: E-Mail-Adresse, Anzeigename, Profilbild (bei Login mit Google oder Apple), Geburtsdatum (sofern von dir angegeben) sowie eine intern generierte Nutzer-ID.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Profil- und Präferenzdaten

Damit Mealyo dir passende Rezepte vorschlagen kann, speichern wir optionale Angaben wie Ernährungsform, Allergien, Abneigungen sowie — sofern aktiviert — Größe, Gewicht, Aktivitätslevel und Ziele. Diese Angaben sind freiwillig und können jederzeit in der App geändert oder gelöscht werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bei Gesundheitsangaben.

3.3 Inhaltsdaten

Inhalte, die du in Mealyo erstellst — Inventar, Einkaufslisten, Wochenpläne, Kochhistorie, eigene Rezepte, Notizen — sind unter deiner Nutzer-ID gespeichert und nur dir bzw. von dir eingeladenen Haushaltsmitgliedern zugänglich.

3.4 Bon-Scans und KI-Verarbeitung

Wenn du einen Kassenbon scannst, wird das Bild auf unsere Server übertragen und dort durch eine KI (siehe Abschnitt 4.4) in einzelne Posten umgewandelt. Wir speichern den Bon nur so lange, wie es für die Verarbeitung erforderlich ist. Die erkannten Artikel landen in deinem Inventar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.5 Technische Nutzungsdaten

Beim Aufruf der Website oder App werden technische Daten verarbeitet, die für den Betrieb erforderlich sind (z. B. IP-Adresse, Geräte- und Browser-Informationen, Zeitstempel). Diese Daten werden bei der App durch Firebase, bei der Website durch unseren Hosting-Anbieter verarbeitet. IP-Adressen werden nicht dauerhaft gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb sicherer Dienste).

3.6 Warteliste

Wenn du dich für unsere Warteliste einträgst, speichern wir Name und E-Mail-Adresse in einer Google-Sheets-Tabelle, ausschließlich, um dich zum Launch von Mealyo einmalig zu benachrichtigen. Eine Weitergabe an Dritte findet nicht statt. Du kannst dich jederzeit per Antwort auf unsere Bestätigungsmail wieder austragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

4. Eingesetzte Dienste und Auftragsverarbeiter

Wir setzen technische Dienstleister ein, die für uns Daten verarbeiten. Mit allen Anbietern bestehen entweder Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO oder die Verarbeitung erfolgt auf Basis ihrer eigenen Verantwortlichkeit, soweit gesetzlich erforderlich.

4.1 Firebase (Google Ireland Limited)

Wir nutzen mehrere Firebase-Dienste der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland):

• Firebase Authentication für Login (E-Mail/Passwort, Google, Apple)
• Cloud Firestore als Datenbank für deine Mealyo-Inhalte (Hosting in der EU, Region europe-west)
• Firebase Storage für Bilder (z. B. Bon-Scans, eigene Rezeptbilder)
• Firebase Cloud Functions für serverseitige Logik wie Rezeptmatching, Bon-Verarbeitung und Preisabschätzung
• Firebase App Check zum Schutz unserer Backend-APIs vor Missbrauch

Soweit Datenverarbeitung in Drittländer (USA) erfolgen kann, geschieht dies auf Grundlage von Standardvertragsklauseln und ggf. dem EU-US Data Privacy Framework. Datenschutzerklärung von Google: policies.google.com/privacy.

4.2 RevenueCat

Für die Verwaltung von Mealyo-Abonnements nutzen wir RevenueCat, Inc. (USA). Übermittelt werden eine pseudonyme Nutzer-ID sowie Abonnementstatus aus dem App Store / Google Play. RevenueCat verarbeitet keine Zahlungsdaten — diese liegen ausschließlich bei Apple bzw. Google.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung: revenuecat.com/privacy.

4.3 PostHog (Produkt-Analytics)

Wir nutzen PostHog, um zu verstehen, wie Mealyo genutzt wird und wo wir die App verbessern können. Übermittelt werden pseudonymisierte Ereignisdaten (welche Funktion wurde wann genutzt) sowie eine technisch notwendige Geräte-ID. Wir verzichten bewusst auf Cross-App-Tracking und Werbe-IDs.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung). Du kannst die Analyse in den App-Einstellungen deaktivieren. Datenschutzerklärung: posthog.com/privacy.

4.4 OpenAI

Für Bon-Erkennung, Rezeptvorschläge und automatische Übersetzungen nutzen wir Modelle der OpenAI, L.L.C. (USA). Wir senden ausschließlich die für die jeweilige Funktion erforderlichen Daten (z. B. den Inhalt eines Bons, den Titel eines Rezepts) — niemals deinen Klarnamen, E-Mail-Adresse oder Profil. Die Anfragen erfolgen über unser Backend mit deaktivierter Trainings-Nutzung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzerklärung: openai.com/policies/privacy-policy.

4.5 Tavily (Web-Suche für Bon-Abkürzungen)

Wenn auf einem Kassenbon eine ungewöhnliche Abkürzung erkannt wird, die wir nicht intern auflösen können, fragen wir bei Tavily eine Web-Suche an, um den Artikel zu identifizieren. Übermittelt wird ausschließlich die unbekannte Abkürzung selbst, keine Nutzerdaten.

4.6 Google Mobile Ads (AdMob)

In der kostenlosen Version der App können Werbeanzeigen über Google AdMob ausgespielt werden. AdMob verarbeitet hierfür Geräte- und Werbe-IDs. In der iOS-App fragen wir vor jeder Personalisierung dein Tracking-Consent (App Tracking Transparency); auf Android richten sich die Vorgaben nach den Systemeinstellungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. Einwilligung (Art. 6 Abs. 1 lit. a) bei personalisierter Werbung. Datenschutzerklärung: policies.google.com/privacy. Mit einem Mealyo-Pro- oder Family-Abonnement entfallen Werbeanzeigen und damit verbundene Verarbeitungen vollständig.

4.7 Google Sign-In und Sign in with Apple

Wenn du dich mit Google oder Apple anmeldest, erhalten wir ausschließlich die für die Anmeldung notwendigen Informationen (E-Mail-Adresse, ggf. Name). Apple bietet die Möglichkeit, eine Weiterleitungsadresse statt deiner echten E-Mail zu nutzen — das respektieren wir.

4.8 Google Fonts (lokal eingebunden)

Auf der Website verwenden wir die Schriftart „Poppins". Die Schriftart wird über next/font selbst gehostet — es findet keine Live-Verbindung zu Google-Servern beim Aufruf der Seite statt.

5. Cookies und Local Storage

Auf der Website setzen wir nur technisch notwendige Daten im Local Storage des Browsers (z. B. die Auswahl von Light/Dark Mode und die bevorzugte Sprache). Wir nutzen keine Tracking- oder Marketing-Cookies. Innerhalb der App speichern wir Login-Tokens und lokale Caches im geschützten App-Speicher des Betriebssystems.

6. Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen erlaubst, erinnert dich Mealyo beispielsweise an bald ablaufende Lebensmittel oder geplante Mahlzeiten. Du kannst Push-Benachrichtigungen jederzeit in den Systemeinstellungen deines Geräts deaktivieren.

7. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur, solange dein Konto aktiv ist oder gesetzliche Aufbewahrungsfristen dies erfordern. Du kannst dein Konto jederzeit in den App-Einstellungen unter „Konto löschen" eigenständig löschen. Damit werden alle deine Daten — inklusive Inventar, Einkaufslisten, Plänen und eigenen Rezepten — unwiderruflich entfernt.

8. Deine Rechte

Dir stehen nach DSGVO folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) – die für uns zuständige Behörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Zur Ausübung deiner Rechte schreib uns einfach an team@mealyo.de. Wir antworten in der Regel innerhalb weniger Tage.

9. Datensicherheit

Wir verwenden Transportverschlüsselung (TLS) für alle Verbindungen zwischen App, Website und unseren Servern. Innerhalb von Firebase werden Daten zusätzlich „at rest" verschlüsselt. Zugriffe auf personenbezogene Daten sind innerhalb des Mealyo-Teams auf einen kleinen Kreis von Personen beschränkt, die diese für ihre Aufgabe benötigen.

10. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich an unseren Diensten, eingesetzten Auftragsverarbeitern oder rechtlichen Vorgaben etwas ändert. Die jeweils aktuelle Version findest du immer auf dieser Seite; das Datum oben gibt den Stand der letzten Aktualisierung an.