Datenschutzerklärung
Stand: 20. Juli 2025.
Präambel
Christian Kleemann (im Folgenden: „Anbieter“) betreibt die App „KaloFix“, eine iOS‑Anwendung zur Erfassung und Analyse von Gesundheits‑ und Nährwertinformationen. Die App nutzt Kamera‑, Widget‑, Apple HealthKit‑Funktionen sowie iCloud‑Synchronisation, jedoch keine Nutzerregistrierung oder personenbezogenen Login.
Diese Datenschutzhinweise erläutern, welche Arten von personenbezogenen Daten verarbeitet werden und zu welchen Zwecken. Sie gelten für die App, die App‑Website (Website) sowie die Kontaktaufnahme per E‑Mail (kalofixapp@gmail.com).
1) Verantwortliche Stelle
Christian Kleemann
Koselstraße 19
60318 Frankfurt am Main
Deutschland
E‑Mail: kalofixapp@gmail.com
Aktuell besteht keine Pflicht zur Bestellung einer/s Datenschutzbeauftragten, da keiner der in Art. 37 Abs. 1 DSGVO genannten Fälle vorliegt. Wir verarbeiten zwar besondere Kategorien von Daten (Gesundheits‑/Ernährungswerte), jedoch nicht groß angelegt im Sinne der Leitlinien der Aufsichtsbehörden. Weiterhin werden diese Daten in der App Verarbeitet, können jedoch nicht durch den Anbieter eingesehen oder gespeichert werden. Wir bewerten diese Voraussetzung mindestens einmal jährlich oder bei wesentlichen Funktionsänderungen erneut und benennen bei Bedarf unverzüglich eine/n DSB.
2) Verschlüsselung
Alle Datenkommunikationen innerhalb der App und zu externen Schnittstellen (Open Food Facts, OpenAI API) erfolgen über HTTPS mit TLS‑Verschlüsselung. Bestimmte über iCloud synchronisierte Datenkategorien unterliegen zusätzlicher (teilweise Ende‑zu‑Ende‑)Verschlüsselung; bei aktivierter „Advanced Data Protection“ (falls vom Nutzer eingeschaltet) erhöht sich die Anzahl der Ende‑zu‑Ende‑verschlüsselten Kategorien.
3) Erhebung und Verarbeitung personenbezogener Daten
3.1) Keine Nutzerkonten erforderlich
Es ist keine Registrierung notwendig; es werden keine Namen, E‑Mail‑Adressen oder Passwörter erfasst oder gespeichert.
3.2) Vom Nutzer bereitgestellte Inhalte
- Fotos zur Nährwertanalyse (optional, nur bei Nutzung der Fotoanalyse)
- Eingegebene Lebensmittel oder Barcodes
- Kalorien-, Nährstoff- oder Gewichtseinträge
Diese Eingaben dienen ausschließlich der individuellen Auswertung innerhalb der App und werden nicht für Werbeprofile verwendet.
3.3) Automatisch erfasste Daten
Über Apple App Store Connect werden anonymisierte Nutzungs‑ und Stabilitätsinformationen (z.B. Gerätemodell, iOS‑Version, Absturzberichte, Lokalisierung) bereitgestellt, ohne dass zusätzliche personenbezogene Profile entstehen.
3.4) Nutzung von APIs
- Open Food Facts: Barcodes oder Produktanfragen werden ohne personenbezogene Identifikatoren an die Open‑Food‑Facts‑API gesendet. Nutzung unterliegt den Terms of Use und der offenen Datenlizenz. Datenschutzrichtlinie: Privacy Policy.
- OpenAI API: Fotos von Lebensmitteln werden ausschließlich zur automatisierten Nährwertschätzung an die OpenAI‑Schnittstelle übertragen. Es werden keine Daten für das Anlegen externer Nutzerprofile genutzt. Informationen zur Datennutzung und Policies: OpenAI Policies sowie Your Data & Privacy.
- Cloudflare CDN & Security: Beim Aufruf unserer Website und der „openai-proxy“-Worker-Funktion wird der Datenverkehr über Server der Cloudflare Inc., 101 Townsend St, San Francisco CA 94107, USA geleitet. Cloudflare verarbeitet dabei IP-Adresse, User-Agent, HTTP-Header und Zeitstempel, um Inhalte auszuliefern, DDoS-Angriffe abzuwehren und die Performance zu optimieren. Verarbeitung erfolgt als Auftragsverarbeiter auf Grundlage eines Data-Processing-Addendums (Art. 28 DSGVO). Daten werden maximal 24 h bis 30 Tage in Edge-Logs gespeichert und anschließend gelöscht bzw. anonymisiert.
3.5) Nutzung von Apple HealthKit
Mit ausdrücklicher Nutzerfreigabe greift die App über Apple HealthKit ausschließlich lesend und schreibend auf folgende Datentypen zu: dietaryEnergyConsumed, basalEnergyBurned, activeEnergyBurned, dietaryFatTotal, dietaryCarbohydrates, dietaryProtein, bodyMass.
Die aus HealthKit gelesenen Daten verbleiben lokal, werden nicht an Server des Anbieters oder Dritte gesendet und können durch Entzug der Berechtigungen in den iOS‑Einstellungen (Health‑App / Datenzugriff) jederzeit blockiert werden.
3.6) Speicherung und Synchronisation in der iCloud
Aktiviert der Nutzer iCloud, werden App‑Einstellungen (Einheiten, Zielwerte) sowie erfasste Mahlzeiten und Nährwert‑Historien verschlüsselt im privaten iCloud‑Account des Nutzers gespeichert und über seine Geräte synchronisiert. Standardmäßig sind sensible Kategorien (u.a. Health‑Daten) Ende‑zu‑Ende verschlüsselt; bei aktivierter Advanced Data Protection erhöht sich der Umfang zusätzlicher Ende‑zu‑Ende‑verschlüsselter Kategorien (z.B. Backups, Notizen, Fotos).
HealthKit‑Daten selbst werden durch das Betriebssystem verwaltet und von der App nicht in iCloud exportiert.
3.7) Daten von Kindern / Altersfreigabe
Bei der Erstinstallation werden Nutzer*innen gebeten, ihr Geburtsjahr anzugeben. Personen unter 16 Jahren dürfen die App erst nach verifizierter Zustimmung der Erziehungsberechtigten (Double‑Opt‑In‑E‑Mail‑Verfahren) nutzen. Die App ist im App Store mit einer Altersfreigabe von 17+ gekennzeichnet und richtet sich nicht gezielt an Kinder. Gelangen uns trotzdem Daten eines Kindes ohne erforderliche Zustimmung zur Kenntnis, veranlassen wir deren Löschung. Nutzer sollten keine personenbezogenen Daten von Kindern in Freitextfeldern eingeben.
3.8) Internationale Datenübermittlungen
OpenAI LLC, 3180 Porter Drive, Palo Alto CA 94304, USA – Alle Übermittlungen an OpenAI LLC (USA) erfolgen **ausschließlich** auf Grundlage der **Standardvertragsklauseln** gem. Art. 46 Abs. 2 lit. c DSGVO. Der Verantwortliche hat eine **Transfer-Impact-Assessment (TIA)** durchgeführt (§ 5.2 DSFA) und zusätzliche Schutzmaßnahmen implementiert (Verschlüsselung der Foto-Uploads, kurze Speicherfrist, keinerlei Weitergabe zu Trainings- oder Werbezwecken). *Hinweis*: OpenAI LLC ist **nicht** Teilnehmer des EU-US Data Privacy Frameworks (Stand 20.07.2025). Daten werden transportverschlüsselt übertragen und von OpenAI nach max. 30 Tagen gelöscht.
Apple Inc. (iCloud‑Sync, USA/Irland) – Verarbeitet iCloud‑Daten als eigenständiger Verantwortlicher. Schutz besteht über das Data Privacy Framework und SCC.
Cloudflare Inc., 101 Townsend St, San Francisco CA 94107, USA – Für CDN-, Routing- und Sicherheitsleistungen werden Log-Daten an Cloudflare übermittelt. Cloudflare ist seit 28. 09. 2023 unter dem EU-US DPF zertifiziert und sichert Transfers zusätzlich durch EU-Standardvertragsklauseln (SCC 2021/914) ab. Eine Transfer-Impact-Assessment (TIA) liegt vor; ergänzende Maßnahmen wie TLS 1.3 und Geo-Fence „EU Only“ sind aktiviert.
4) Rechtsgrundlagen der Verarbeitung
Die Verarbeitung lokaler App‑Daten zur Bereitstellung der Kernfunktionen erfolgt zur Vertragserfüllung bzw. vorvertraglichen Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO). Die Nutzung von HealthKit‑Daten beruht auf ausdrücklicher Einwilligung über das iOS‑Berechtigungssystem (Art. 6 Abs. 1 lit. a i.V.m. Art. 9 Abs. 2 lit. a DSGVO). Fehler‑/Nutzungsanalysen über anonyme App‑Store‑Berichte sowie Sicherheits‑Logdaten der Website stützen sich auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Unser berechtigtes Interesse liegt in der Sicherstellung von Stabilität, Betrugsprävention und IT‑Sicherheit.
5) Website & Kommunikation
Beim Besuch von kalofix.de können Server‑Logdaten (IP‑Adresse, Browser, Zeitstempel, Referrer) zur technischen Bereitstellung, Stabilität und Sicherheit verarbeitet werden (berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO). E‑Mail‑Anfragen werden ausschließlich zur Bearbeitung der Anfrage verarbeitet und anschließend entsprechend gesetzlicher Aufbewahrungsfristen gespeichert oder gelöscht.
Nutzer*innen können sich bei jeder Datenschutzaufsichtsbehörde innerhalb der EU beschweren. Wir beantworten Betroffenenanfragen spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).
Die Auslieferung der Seiten erfolgt über das Content-Delivery-Network der Cloudflare Inc. Cloudflare speichert zur Abwehr von Angriffen und Fehleranalyse gekürzte Edge-Logs (IP-Adresse, Datum/Uhrzeit, User-Agent) bis zu 30 Tage. Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren und effizienten Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Sie können die Verarbeitung durch Do-Not-Track-Header oder ähnliche Browser-Einstellungen einschränken; dies kann jedoch die Website-Funktion beeinträchtigen.
6) Speicherdauer und Löschung
| Datenkategorie | Zweck | Aufbewahrung | Löschkriterium |
|---|---|---|---|
| Crash- & Nutzungsdaten (App Store Connect, nur opt-in) | Fehlersuche, Produktverbesserung | Bis Entwickler löscht | Manuelle Löschung in App Store Connect |
| Edge-Logs (Cloudflare CDN/WAF) | IT-Sicherheit, DDoS-Abwehr, Performance-Optimierung | 24 h (Free) / 30 Tage (Pro +) | Automatische Löschung durch Cloudflare |
| Server-Logfiles (Origin-Server) | IT-Sicherheit | 7 Tage | Automatische Anonymisierung |
| KI-Uploads (OpenAI) | Bildanalyse | max. 30 Tage | Löschung bei OpenAI |
| Support-E-Mails | Anfragebearbeitung | 6 Monate | Manuelle Löschung/Archivierung |
| Rechnungsdaten (In-App-Käufe) | Steuer- & Handelsrecht | 10 Jahre | Gesetzliches Ende |
| iCloud-Synchronisation | Geräteübergreifende Nutzung | Bis Nutzer löscht | Entfernen in iOS-Einstellungen |
6.1) Widerruf & Löschung HealthKit
Nutzer*innen können die Einwilligung zur HealthKit‑Nutzung jederzeit in den iOS‑Einstellungen Health ▶ Datenzugriff widerrufen; vorhandene Daten lassen sich unter Einstellungen ▶ Daten löschen aus der App entfernen. Der ANbieter kan keinen Zugriff auf deine Health-Daten und wird diese entsprechend auch nicht für Werbung, Verkauf oder ähnliche Zwecke nutzen
7) Betroffenenrechte
Nutzer haben Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie Widerruf erteilter Einwilligungen (Art. 7 Abs. 3). Zur Ausübung genügt eine formlose Mitteilung per E‑Mail.
7a) Datensicherheit
- Übertragung aller App-Kommunikation per TLS 1.2/1.3
- Optionale Ende-zu-Ende-Verschlüsselung weiterer iCloud-Daten über „Advanced Data Protection“
- iCloud-Rechenzentren sind ISO/IEC 27001 & 27018 zertifiziert
- Der Entwickler-Account ist durch Zwei-Faktor-Authentifizierung geschützt
8a) Datenschutz‑Folgenabschätzung (DPIA)
Eine DSFA nach Art. 35 DSGVO wurde am 20. 07. 2025 durchgeführt. Ergebnis: **mittleres Restrisiko**, keine Vorab‑Konsultation erforderlich. Nächste Review: 20. 01. 2026 oder bei wesentlichen Funktionsänderungen.
8) Aufsichtsbehörde
Sie können eine Beschwerde bei der zuständigen Datenschutz‑Aufsichtsbehörde einreichen, z. B. dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit oder jeder anderen Behörde Ihres Wohnsitzes.
9) Änderung dieser Datenschutzerklärung
Diese Erklärung wird bei funktionalen oder rechtlichen Änderungen aktualisiert. Die jeweils aktuelle Version ist in der App und auf der Website abrufbar – bitte informieren Sie sich dort regelmäßig.