Zum Hauptinhalt springen
← Zurück zur Startseite

Datenschutzerklärung

Informationen gemäß Art. 13 und 14 DSGVO

Stand: April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

ThyPoAI EU.inc
TESTStraße 123 84000 Testhausen
E-Mail: datenschutz@gesund-essen.life

Bei Fragen zum Datenschutz wenden Sie sich bitte per E-Mail an uns. Ein gesetzlich vorgeschriebener Datenschutzbeauftragter ist nach aktuellem Stand nicht erforderlich; bei Änderung der gesetzlichen Lage wird dieser unverzüglich benannt und bekannt gemacht.

2. Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies für die Bereitstellung unserer Plattform und Leistungen erforderlich ist. Wir halten die Grundsätze der Datenminimierung, Zweckbindung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit nach Art. 5 DSGVO ein.

3. Welche Daten wir verarbeiten

3.1 Registrierung & Konto

  • Name (Vor- und Nachname), Benutzername, E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, Klartext nie einsehbar)
  • Rolle (Berater / Klient)
  • Registrierungsdatum, letzte Anmeldung

3.2 Klientendaten (durch Berater erfasst)

  • Geburtsdatum, Geschlecht, Körpergröße, Körpergewicht, Telefonnummer, Adresse
  • Anamnese-Daten: Erkrankungen, Medikamente, Allergien, Unverträglichkeiten, Ernährungsgewohnheiten
  • Laborwerte und Blutbild (Gesundheitsdaten gemäß Art. 9 DSGVO)
  • Ernährungspläne, Ernährungs-IST-Erfassungen, Supplement-Empfehlungen
  • Rezepte, Mahlzeitenpläne, Einkaufslisten

3.3 Berater-Profildaten

  • Qualifikationen, Kurzbeschreibung (Bio), Profilbild
  • Beratungspreise und -dauern
  • Bankverbindung (für Auszahlungen)

3.4 Zahlungsdaten

Zahlungen werden über Stripe abgewickelt. Wir speichern keine vollständigen Kreditkartendaten. Stripe erhebt und verarbeitet Zahlungsdaten nach eigenen Datenschutzbestimmungen (stripe.com/de/privacy).

3.5 Kommunikationsdaten

  • E-Mail-Adressen für System-Benachrichtigungen (Terminbestätigungen, Erinnerungen, Rechnungen)
  • Feedback-Nachrichten

3.6 Technische Daten

  • IP-Adresse (pseudonymisiert für Sicherheitszwecke)
  • Browser-Typ und -Version (für Fehlerdiagnose)
  • Zugriffszeitpunkte (Server-Logs, max. 30 Tage)
  • JWT-Token (in Cookies gespeichert, Session-basiert)

4. Besondere Kategorien personenbezogener Daten (Gesundheitsdaten)

Im Rahmen der Ernährungsberatung werden Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO verarbeitet, insbesondere Laborwerte, Krankheitsdiagnosen, Medikamentenlisten und körperliche Maße. Diese Daten werden nur mit ausdrücklicher Einwilligung des Klienten nach Art. 9 Abs. 2 lit. a DSGVO verarbeitet, die beim Onboarding eingeholt wird.

Zugriffsbeschränkung: Gesundheitsdaten sind ausschließlich für den jeweiligen Berater und den Klienten selbst einsehbar. Der Plattformbetreiber hat keinen routinemäßigen Zugriff auf Beratungsinhalte; ein Zugriff erfolgt nur in begründeten Ausnahmefällen (z.B. Sicherheitsvorfall, gerichtliche Anforderung).

5. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Verarbeitung zur Bereitstellung der Plattformfunktionen (Registrierung, Terminbuchung, Ernährungspläne).
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Verarbeitung von Gesundheitsdaten, Marketing-E-Mails (falls aktiviert), Feedback-Auswertungen.
  • Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Aufbewahrung von Rechnungsdaten gemäß § 147 AO (10 Jahre).
  • Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Sicherheitslogs, Missbrauchsprävention, Plattformstabilität.
  • Art. 9 Abs. 2 lit. a DSGVO – Ausdrückliche Einwilligung für Gesundheitsdaten.

6. Weitergabe an Dritte

Personenbezogene Daten werden nicht an Dritte verkauft oder zu Werbezwecken weitergegeben. Eine Übermittlung erfolgt ausschließlich in folgenden Fällen:

  • Auftragsverarbeiter: Dienstleister, die im Auftrag des Betreibers tätig sind (Hosting, E-Mail-Versand, Zahlungsabwicklung) – jeweils auf Basis eines Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO.
  • Gesetzliche Pflicht: Bei behördlichen Anfragen oder gerichtlichen Anordnungen, soweit gesetzlich verpflichtet.
  • Sicherheitsvorfälle: Bei konkretem Verdacht auf Straftaten können relevante Daten an Strafverfolgungsbehörden übermittelt werden.

7. Auftragsverarbeiter & Dienstleister

  • Hosting: Server innerhalb der EU/Deutschland. Alle Daten werden ausschließlich auf europäischen Servern gespeichert und verarbeitet.
  • Zahlungsabwicklung: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland. Stripe ist nach EU-Standardvertragsklauseln (SCC) zertifiziert.
  • E-Mail-Versand: Transaktionaler E-Mail-Dienst (Postmark/Wildbit) für System-E-Mails. Nur E-Mail-Adresse und Name werden übermittelt.
  • Dateispeicherung: Dokumente und Dateien werden auf einem selbst betriebenen oder EU-ansässigen Objektspeicher (kompatibel mit S3-Protokoll) gespeichert.

Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen. Eine Übermittlung in Drittstaaten außerhalb der EU/EWR findet nur statt, sofern ein angemessenes Datenschutzniveau durch Standardvertragsklauseln (SCC) oder Angemessenheitsbeschluss der EU-Kommission sichergestellt ist.

8. Speicherdauer

  • Kontodaten: Bis zur Löschung des Kontos durch den Nutzer. Nach Löschung werden Daten innerhalb von 30 Tagen unwiederbringlich gelöscht.
  • Gesundheits- und Beratungsdaten: Bis zur Kontolöschung. Der Berater ist für die eigene Archivierungspflicht nach berufsrechtlichen Vorschriften verantwortlich.
  • Rechnungs- und Zahlungsdaten: 10 Jahre gemäß § 147 AO (steuerrechtliche Aufbewahrungspflicht).
  • Server-Logs: Maximal 30 Tage, danach automatische Löschung.
  • Einwilligungsnachweise: Bis 3 Jahre nach Widerruf der Einwilligung (Verjährung).

9. Datensicherheit & Technische und Organisatorische Maßnahmen (TOM)

Wir setzen folgende Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ein:

  • Verschlüsselte Datenübertragung via TLS 1.2/1.3 (HTTPS)
  • Passwörter werden ausschließlich als Argon2id-Hash gespeichert – Klartextpasswörter werden nie gespeichert
  • JWT-Token mit kurzem Gültigkeitszeitraum (15 Minuten) und Refresh-Token-Rotation
  • Rollenbasierte Zugriffskontrolle (Admin / Berater / Klient)
  • Rate-Limiting für Anmelde- und Registrierungsversuche
  • Regelmäßige Datenbank-Backups auf verschlüsseltem Speicher
  • Hosting ausschließlich auf EU-Servern
  • Pseudonymisierung technischer Logs

Hinweis auf Restrisiko: Trotz modernster Sicherheitsmaßnahmen kann absolute Sicherheit nicht garantiert werden. Die Übertragung von Informationen über das Internet birgt grundsätzliche Risiken. Wir haften nicht für Schäden durch Angriffe, gegen die trotz zumutbarer Sicherheitsvorkehrungen kein wirksamer Schutz möglich ist.

Die vollständige Dokumentation aller technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO ist in unserem TOM-Dokument abrufbar.

10. Ihre Rechte als betroffene Person

Sie haben nach DSGVO folgende Rechte, die Sie jederzeit geltend machen können:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzliche Aufbewahrungspflicht besteht.
  • Einschränkungsrecht (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenportabilität (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format herausverlangen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigten Interesses widersprechen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@gesund-essen.life

Beschwerderecht: Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde richtet sich nach Ihrem Wohnort bzw. dem Sitz des Betreibers.

11. Cookies & Sitzungsverwaltung

Die Plattform verwendet ausschließlich technisch notwendige Cookies für die Sitzungsverwaltung (JWT-Access-Token). Es werden keine Tracking-, Werbe- oder Analyse-Cookies eingesetzt. Eine Einwilligung gemäß § 25 TTDSG ist für technisch notwendige Cookies nicht erforderlich.

  • access_token: Enthält den verschlüsselten JWT zur Authentifizierung. Gültigkeit: 15 Minuten. Zweck: Authentifizierung bei API-Anfragen.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Plattform-Funktionen anzupassen. Die jeweils aktuelle Version ist unter dieser URL abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.