Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO (Art. 4 Nr. 7):

Julius Göhring [Anschrift wird zum offiziellen Release ergänzt] E-Mail: kontakt.offlinetracker@ik.me

2. Grundprinzip: Deine Daten bleiben auf deinem Gerät

Die App ist bewusst offline-first und ohne Nutzerkonto gebaut. Alle Inhalte, die du erfasst — Ernährungstagebuch, Gewicht, Profil (Alter, Größe, Ziele), Aktivitäten, Rezepte samt eigenen Rezept-Fotos, eigene Lebensmittel — werden ausschließlich lokal auf deinem Gerät gespeichert. Die Datenbank ist durch die Dateiverschlüsselung von iOS („Data Protection", AES-256) geschützt, deren Schlüssel an deinen Gerätecode gebunden ist; bei ausgeschaltetem Gerät sowie nach einem Neustart bis zur ersten Entsperrung sind die Daten dadurch verschlüsselt at-rest (Schutzklasse „geschützt bis zur ersten Anmeldung“ — sie ermöglicht zuverlässige Hintergrund-Funktionen wie den Apple-Health-Import, nachdem das Gerät seit dem Einschalten einmal entsperrt wurde). Wie bei iOS-Apps üblich, können deine lokalen App-Daten zudem Teil deines iOS-Geräte-Backups sein (iCloud oder Computer), das gemäß den Apple-Bedingungen gespeichert wird; das steuerst du in den iOS-Einstellungen. Es gibt kein Konto und keinen Cloud-Sync: Wir betreiben keinen Server für deine Inhalte und haben keinen Zugriff auf deine Daten. Soweit wir überhaupt eigene Dienste betreiben (die freiwilligen, standardmäßig ausgeschalteten Statistiken nach Ziff. 6a und 6b), erhalten diese ausschließlich anonyme Aggregate — nie deine Inhalte. Es findet keine serverseitige oder werbliche Profilbildung statt. Nur wenn du sie ausdrücklich aktivierst, kann die App auf deinem Gerät ein lokales Präferenzprofil für Rezept- und Planvorschläge bilden. Daten werden nicht verkauft.

Soweit wir überhaupt als Verantwortliche personenbezogene Daten verarbeiten, geschieht dies allein zur Bereitstellung der von dir aktiv genutzten App-Funktionen auf deinem Gerät (Art. 6 Abs. 1 lit. b DSGVO). Eine Verarbeitung deiner Inhalte außerhalb deines Geräts durch uns findet nicht statt.

Auch die optionale Layout-Personalisierung („Aus meiner Nutzung lernen", standardmäßig ausgeschaltet) arbeitet ausschließlich lokal: Sie speichert für höchstens 90 Tage feste Bedien-Ereignisse des Tagebuch-Baukastens (z. B. „Karte ausgeblendet", „Reihenfolge geändert") in der lokalen Datenbank — keine Messwerte, keine Lebensmittel, keine Freitexte. Nichts davon verlässt dein Gerät; in den Einstellungen (Design & Layout) kannst du die Lernspur jederzeit vollständig löschen.

Die optionale Rezept- und Plan-Personalisierung („lokales Coach-Lernen") ist ebenfalls standardmäßig ausgeschaltet. Sie beginnt erst, nachdem du in einem gesonderten Hinweis ausdrücklich zugestimmt hast. Dann wertet die App ausschließlich auf deinem Gerät bereits lokal getrackte Mahlzeiten und Rezepte der letzten 56 Tage, favorisierte Rezepte, als „gegessen" oder „ausgelassen" markierte Planergebnisse sowie deine bewussten Entscheidungen im Essensplan aus. Als Feedback-Ereignisse speichert sie „Gericht getauscht" und „nicht passend". Ein Ereignis enthält interne Kennungen des bisherigen und gegebenenfalls gewählten Rezepts, Plan-, Slot-, Datums- und Mahlzeitenkontext, den festen Aktions- beziehungsweise Grundcode, Quelle und Zeitpunkt sowie gegebenenfalls die Information, dass die Entscheidung zurückgenommen wurde. Rezepttitel, Zutaten, Nährwerte und Freitexte werden nicht in dieser Feedback-Tabelle gespeichert.

Für die Sortierung zukünftiger Vorschläge berücksichtigt die App Häufigkeit, Aktualität, Mahlzeitenkontext und Art des festen Grundes. Neuere und bewusst stärkere Signale können dabei mehr Gewicht erhalten; rein situationsbezogene Gründe werden schwächer oder nur im passenden Kontext berücksichtigt. Dieses lokale Präferenzprofil wird weder synchronisiert noch für Werbung, Statistiken oder ein KI-Training verwendet und nicht automatisch an einen KI-Anbieter gesendet. Pro Profil bleiben höchstens die neuesten 1.500 Ereignisse und kein Ereignis länger als 365 Tage in der aktiven Lern-Tabelle gespeichert. Die App setzt diese Grenzen beim Start, bei jedem Feedback-Schreibvorgang, vor einem Backup-Export und nach einer Wiederherstellung physisch durch; ungültige, zukünftige und ältere Doppelereignisse werden dabei ebenfalls gelöscht.

Du kannst das Coach-Lernen jederzeit wieder ausschalten oder die Plan-Lernspur vollständig zurücksetzen. Dadurch endet diese Auswertung und die gespeicherten Tausch- und „nicht passend"-Ereignisse werden gelöscht; Tagebuch, Rezepte und Essenspläne bleiben unverändert. Die Planung funktioniert weiterhin mit allgemeinen und deinen ausdrücklich gesetzten Regeln. Die Version und der Zeitpunkt deiner Zustimmung werden nur lokal als Nachweis gespeichert. Rechtsgrundlage ist deine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; soweit Angaben zu Allergien, Gesundheit oder Lebensphase in die lokale Personalisierung einfließen, zusätzlich Art. 9 Abs. 2 lit. a DSGVO; für das optionale Speichern und Auslesen der Lernspur auf deinem Endgerät zusätzlich § 25 Abs. 1 TDDDG). Die noch vorhandenen Plan-Feedback-Ereignisse sind Bestandteil eines von dir selbst ausgelösten, passwortgeschützten AES-Backups nach Ziff. 11. Außer über einen solchen von dir ausgelösten Backup-Vorgang werden sie nicht übertragen. Bereits zuvor von dir gespeicherte oder geteilte Backup-Dateien sind eigenständige verschlüsselte Momentaufnahmen: Ein Reset in der App verändert oder löscht solche externen Kopien nicht; über deren Aufbewahrung und Löschung entscheidest du.

3. Apple Health (optional)

Wenn du den Aktivitäts-Import aktivierst, liest die App mit deiner ausdrücklichen Erlaubnis Trainings- und Aktivenergie-Daten aus Apple Health — auf Systemebene auch stündlich im Hintergrund, damit Tagebuch und Widget aktuell bleiben. Auf deine gesonderte Anfrage hin kann die App außerdem einmalig Geburtsjahr, Geschlecht, Größe und Gewicht aus Apple Health lesen, um dein Profil vorzubelegen. Aktivierst du „Ernährung nach Apple Health schreiben", überträgt die App deine Ernährungs-Tageswerte (Kalorien, Makronährstoffe, Wasser) in Apple Health auf deinem Gerät. Aktivierst du „Aktivitäten nach Apple Health schreiben", legt die App von dir manuell erfasste Aktivitäten als Workout (inklusive Aktivenergie) in Apple Health ab. In allen Fällen werden ausschließlich die von dieser App stammenden Einträge angelegt bzw. ersetzt. Alle Funktionen sind getrennt abschaltbar; alle Daten verbleiben auf dem Gerät. HealthKit-Daten werden — entsprechend den Apple-Regeln und unserer Architektur — niemals für Werbung verwendet oder an Dritte weitergegeben. Die Berechtigung kannst du jederzeit in den iOS-Einstellungen widerrufen. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 9 Abs. 2 lit. a DSGVO für Gesundheitsdaten).

4. Werbung (nur im werbefinanzierten Tarif)

Nach der kostenlosen Testphase kannst du wählen: werbefreies Abo/Einmalkauf oder kostenlose Nutzung mit Werbung. Nur im Werbe-Tarif bindet die App Google AdMob ein (Google Ireland Ltd.).

Die App liefert ausschließlich nicht-personalisierte (kontextbezogene) Anzeigen aus:

Deine Tagebuch-, Gesundheits- und Profildaten werden nie an Google oder andere Werbepartner übermittelt. In der EU/im EWR zeigt die App vor der ersten Anzeige einen Datenschutz-Hinweis (Google User Messaging Platform); deine dort getroffene Wahl kannst du jederzeit unter Einstellungen → Werbung → „Werbe-Datenschutz anpassen" ändern. Details: Google-Datenschutzerklärung.

Wer überhaupt keine externen Werbe-Anfragen wünscht, wählt den werbefreien Tarif — dann finden keinerlei Anfragen an Google statt.

Rechtsgrundlagen: Die Anzeigen-Auslieferung ist Teil des von dir frei gewählten werbefinanzierten Nutzungsmodells (Art. 6 Abs. 1 lit. b DSGVO). Soweit das Werbe-SDK dabei Informationen auf deinem Gerät speichert oder ausliest (z. B. zur Häufigkeitsbegrenzung), geschieht dies auf Grundlage deiner im Datenschutz-Hinweis (UMP) getroffenen Wahl bzw. soweit es für die Anzeigen-Auslieferung technisch erforderlich ist (§ 25 TDDDG). Zur Erfolgsmessung von Werbung kann Apples datenschutzfreundliches SKAdNetwork-Verfahren zum Einsatz kommen; es liefert Werbetreibenden nur aggregierte Bestätigungen ohne Identifizierung deiner Person.

5. Käufe

Abos und Einmalkäufe wickelt ausschließlich Apple über den App Store ab. Wir erhalten keine Zahlungs- oder Identitätsdaten, sondern nur die von Apple signierte Information, dass eine Berechtigung besteht. Zur Missbrauchsvermeidung speichert die App den Beginn deiner kostenlosen Testphase lokal auch im iOS-Schlüsselbund; dieser Eintrag enthält nur einen Zeitstempel, verlässt das Gerät nicht und kann eine Neuinstallation überdauern (für die einmalige Testphase technisch erforderlich, § 25 Abs. 2 TDDDG).

6. Optionale Online-Datenbanken (Barcode & Lebensmittelsuche)

Barcode (Open Food Facts). Die Produktdatenbank von Open Food Facts ist in der App bereits enthalten, sodass Barcode-Scans standardmäßig vollständig offline funktionieren. Nur wenn ein gescanntes Produkt nicht im mitgelieferten Offline-Paket enthalten ist, fragt die App ergänzend die Online-Datenbank von Open Food Facts ab (Open Food Facts, Frankreich). Dasselbe gilt, wenn du für ein gescanntes Produkt den optionalen „Nachbau" startest — dann ruft die App die Zutatenliste des Produkts anhand des Barcodes online ab. In beiden Fällen werden der Barcode und technisch bedingt deine IP-Adresse übertragen — keine weiteren Daten. Empfänger ist Open Food Facts in Frankreich (EU); es findet keine Drittlandübermittlung statt. Rechtsgrundlage ist die Bereitstellung der von dir genutzten Scan-Funktion (Art. 6 Abs. 1 lit. b DSGVO). Produktdaten stehen unter der Open Database License (ODbL).

Lebensmittelsuche (USDA, optional — standardmäßig AUS). Die Suche nach Lebensmitteln über die Texteingabe läuft standardmäßig vollständig offline; ohne aktivierte Online-Suche und ohne deine separate Zustimmung zur Suchqualitäts-Statistik verlässt dein Suchbegriff dein Gerät nicht. Nur wenn du in den Einstellungen die Online-Suche (USDA) ausdrücklich aktivierst und die lokale Suche keinen passenden Treffer liefert, fragt die App ergänzend die offene Nährwertdatenbank USDA FoodData Central ab (U.S. Department of Agriculture, technisch über api.data.gov, USA). Dabei werden dein Suchbegriff (für die Abfrage ins Englische übersetzt), der verwendete API-Schlüssel und technisch bedingt deine IP-Adresse übertragen — keine weiteren Daten; der Betreiber protokolliert die Anfragen. Die Funktion ist standardmäßig deaktiviert und wird nur auf deine ausdrückliche Aktivierung hin genutzt (Art. 6 Abs. 1 lit. a, Art. 49 Abs. 1 lit. a DSGVO). Daten gemeinfrei (CC0).

6a. Freiwillige Suchqualitäts-Statistik

Unter „Sicherheit & Datenschutz" kannst du separat in eine eigene Suchqualitäts-Statistik einwilligen. Die Übertragung ist standardmäßig ausgeschaltet. Bereits ab dem ersten Start sammelt die App die unten beschriebenen Tageswerte ausschließlich lokal auf deinem Gerät (Verfall spätestens nach 21 Tagen); lehnst du ab oder widerrufst du, stoppt auch die lokale Sammlung und vorhandene Werte werden sofort gelöscht. Ein normalisierter Suchbegriff wird erst nach mindestens drei lokalen Suchen als Wochenwert (je Kalenderwoche, erst nach Abschluss der Woche) übertragen, zusammen mit Suchbereich, Trefferzahl, Laufzeit, Klickposition, Umformulierungen und Abbrüchen. Mengen, sensible Gesundheitsbegriffe, Tagebuch-, Profil- und Gesundheitsdaten, eigene Lebensmittel sowie Nutzer-, Geräte- und Session-Kennungen werden nicht übertragen. Eine Kennung aus der öffentlichen BLS-Datenbank wird nur übertragen, wenn dasselbe Ziel lokal mindestens zweimal ausgewählt wurde. Übertragen wird ausschließlich nach deiner Einwilligung; mit ihr wird auch der bis dahin lokal gesammelte Stand übermittelt.

Seltene Begriffe werden serverseitig höchstens 21 Tage zwischengespeichert und erst nach Beiträgen aus mindestens fünf getrennten Übertragungs-Batches ausgewertet (unterschieden über zufällige Batch-Kennungen ohne Bezug zu dir oder deinem Gerät); andernfalls werden sie gelöscht. Dabei entsteht kein Nutzerprofil. Die bei HTTPS technisch anfallende IP-Adresse wird nicht in den Suchqualitäts-Tabellen gespeichert. Der Auswertungsdienst wird von uns betrieben und läuft auf Infrastruktur von Cloudflare (Cloudflare, Inc., USA) als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags mit EU-Standardvertragsklauseln; Cloudflare verarbeitet technisch kurzzeitig deine IP-Adresse, um die Anfrage zuzustellen und Missbrauch über ein kurzzeitiges Anfrage-Limit abzuwehren. Zur Transparenz zeigt dir die App unter „Was wurde zuletzt gesendet?" ein rein lokales Sendeprotokoll der übertragenen Suchbegriffe und Werte; es verlässt dein Gerät nicht. Rechtsgrundlage ist deine freiwillige Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG). Du kannst sie jederzeit in der App widerrufen; noch nicht übertragene Aggregate und das Sendeprotokoll werden dabei lokal gelöscht. Bereits ausreichend aggregierte, nicht mehr einer Person zuordenbare Statistiken bleiben erhalten.

6b. Freiwillige Produktnutzungs-Statistik

Frühestens nach fünf echten Nutzungstagen bittet die App um eine separate, freiwillige Einwilligung zur Produktverbesserung. Lehnst du ab („Nein danke"), fragt die App nicht erneut; wählst du „Später", erinnert sie frühestens nach 14 Tagen noch einmal. Ohne deine Einwilligung verlässt für diesen Zweck nichts dein Gerät: Bereits ab dem ersten Start bildet die App die im Folgenden beschriebenen Zusammenfassungen ausschließlich lokal auf deinem Gerät; solange du nicht entschieden hast, verfallen sie spätestens nach 21 Tagen. Lehnst du ab oder widerrufst du, stoppt auch die lokale Sammlung und vorhandene Werte werden sofort gelöscht. Die Zusammenfassungen bestehen (je Kalenderwoche) aus Aufrufen und aktiver, auf fünf Sekunden gerundeter Nutzungszeit der Hauptbereiche, Zählern für wenige fest definierte Funktionen sowie einer Wochenmarke „App genutzt". Aktive Zeit wird nur im Vordergrund erfasst und nach zwei Minuten ohne Aktivität beendet.

Für diese Statistik nicht übertragen werden Tagebuch-, Profil-, Gewichts-, Foto- oder Gesundheitsdaten, Lebensmittel, Suchbegriffe (die Suchqualitäts-Statistik nach Ziff. 6a ist eine eigene, getrennte Einwilligung), Freitext, genaue Zeitpunkte, einzelne Tage oder Nutzer-, Geräte-, Konto- und Session-Kennungen. Die App überträgt — erst nach deiner Einwilligung — ausschließlich abgeschlossene Wochen-Zusammenfassungen, App-Version (ohne Build-Nummer) und Plattform; mit der Einwilligung auch die bis dahin lokal gesammelten, höchstens drei abgeschlossenen Wochen. Der Server gibt einen Wert erst zur Auswertung frei, wenn mindestens fünf getrennte Wochenbeiträge zusammengekommen sind. Seltene Zwischendaten werden nach 21 Tagen, freigegebene Wochen-Zusammenfassungen nach 180 Tagen gelöscht; Übertragungs-Kennungen (zufällige IDs einzelner Batches, nur zum Erkennen doppelter Übertragungen, ohne Bezug zu dir oder deinem Gerät) nach 21 Tagen. Die bei HTTPS technisch anfallende IP-Adresse wird nicht in den Produktanalyse-Tabellen gespeichert.

Der Auswertungsdienst wird von uns betrieben und läuft auf Infrastruktur von Cloudflare (Cloudflare, Inc., USA) als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags mit EU-Standardvertragsklauseln. Cloudflare verarbeitet technisch kurzzeitig deine IP-Adresse, um die Anfrage zuzustellen und Missbrauch über ein kurzzeitiges Anfrage-Limit abzuwehren; eine dauerhafte Protokollierung für die Produktanalyse ist deaktiviert.

Zur Transparenz zeigt dir die App unter „Was wurde zuletzt gesendet?" ein rein lokales Sendeprotokoll: die zuletzt übertragenen Wochenpakete als verständliche Übersicht und wörtlich als Rohdaten. Das Protokoll verlässt dein Gerät nicht.

Rechtsgrundlage ist deine freiwillige Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG). Du kannst sie jederzeit unter „Sicherheit & Datenschutz" widerrufen. Dabei werden ausstehende lokale Aggregate und das Sendeprotokoll sofort gelöscht und künftig keine Daten mehr erfasst.

7. Foto-Erkennung & KI-Rezeptgenerator (optional)

Die Erkennung von Mahlzeiten-Fotos ist eine optionale Funktion, die du zuerst selbst einrichten musst — du hast die Wahl zwischen zwei Wegen. Ohne Einrichtung findet keine Erkennung statt, und kein Foto verlässt das Gerät.

Lokale Erkennung (auf dem Gerät). Richtest du die lokale Erkennung ein, lädt die App einmalig ein KI-Modell von Hugging Face herunter — erst nach deiner ausdrücklichen Bestätigung inklusive Größenangabe (mehrere GB; dabei wird technisch deine IP-Adresse übertragen, wie bei jedem Download). Danach läuft die Erkennung vollständig auf dem Gerät; Fotos verlassen das Gerät dabei nicht.

Optionale Online-Erkennung (standardmäßig AUS). Statt oder zusätzlich zur lokalen Erkennung kannst du in den Einstellungen eine Online-Erkennung aktivieren. Nur wenn du sie ausdrücklich einschaltest, einen eigenen API-Schlüssel eines KI-Anbieters deiner Wahl (Google Gemini, OpenAI, Anthropic, Mistral, OpenRouter oder ein selbst angegebener OpenAI-kompatibler Dienst) hinterlegst und einmalig einwilligst, wird das jeweilige Foto zur Analyse an diesen Anbieter gesendet und dort nach dessen Datenschutzbestimmungen verarbeitet (je nach Anbieter auch außerhalb der EU/des EWR). Vor dem Versand kodiert die App das Bild neu und entfernt dabei Standort- und sonstige Metadaten (EXIF/GPS); übertragen werden nur das Bild selbst und die Erkennungs-Anfrage. Der Schlüssel wird ausschließlich lokal im iOS-Schlüsselbund gespeichert; die Abrechnung läuft über dein eigenes Konto beim jeweiligen Anbieter. Wir erhalten weder das Foto noch das Ergebnis. Du kannst die Funktion jederzeit wieder ausschalten — dann verlässt kein Foto mehr das Gerät. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; für die Übermittlung in Drittländer Art. 49 Abs. 1 lit. a DSGVO).

Optionaler Text-Rezeptgenerator. Mit denselben von dir eingerichteten Online-Anbietern kannst du aus Vorräten Rezeptideen erzeugen lassen. Das Eingabefenster zeigt dir die zu übertragenden Angaben, den Anbieter, mögliche Fallbacks und bei einer eigenen Anbieter-URL auch den Zielhost direkt vor der auslösenden Aktion an. Zutaten, Grundvorrat, Portionszahl, Zeitrahmen und Wünsche kannst du dort bearbeiten. Gegebenenfalls hinterlegte Ausschlüsse und Allergien werden sichtbar angezeigt und einbezogen; ändern kannst du sie vor dem Aufruf in den Coach-Einstellungen. Sichtbare Vorbelegungen können lokal aus deinen Lebensmitteln oder Kombinationen abgeleitet sein; nicht ausgewählte Vorschläge bleiben lokal. Erst dein bewusster Tipp auf „3 Rezeptideen erstellen" sendet die sichtbar ausgewählten Angaben an den in deiner Reihenfolge obersten verfügbaren Anbieter. Dieser eine Tipp ist die einmalige Zustimmung für genau den angezeigten Aufruf; ein zweites Bestätigungsfenster folgt nicht. Externe eigene Anbieter-URLs müssen HTTPS verwenden; unverschlüsseltes HTTP ist technisch auf Loopback-Dienste auf demselben Gerät begrenzt. Antwortet der erste Anbieter nicht, kann automatisch der nächste von dir eingerichtete Anbieter als Fallback versucht werden. Der jeweils verwendete Anbieter verarbeitet Anfrage und Antwort nach seinen Datenschutzbestimmungen und kann sich außerhalb der EU/des EWR befinden.

Rohdaten aus deinem Tagebuch und die lokale Plan-Feedbackhistorie werden dabei nicht automatisch übertragen. Wir erhalten weder die Eingaben noch die Antwort. Bevor Angaben, die Gesundheitsdaten oder Angaben zur Lebensphase offenbaren können — insbesondere Allergien, Unverträglichkeiten oder frei formulierte Wünsche — für die Rezeptgenerierung gesendet werden, holt die App vor jedem Aufruf deine ausdrückliche Einwilligung über die klar bezeichnete Aktion ein. Du kannst die eingegebenen Angaben vor jedem Aufruf ändern, Wunsch-Tags abwählen, Ausschlüsse in den Coach-Einstellungen anpassen oder den Aufruf unterlassen und die Online-KI jederzeit wieder ausschalten. Rechtsgrundlage ist deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; bei möglichen Gesundheitsdaten zusätzlich Art. 9 Abs. 2 lit. a DSGVO). Für eine Übermittlung in ein Drittland gelten abhängig vom konkreten Anbieter dessen Angemessenheitsrahmen oder geeignete Garantien; soweit diese fehlen, erfolgt der von dir ausgelöste Aufruf nur nach deiner ausdrücklichen Einwilligung. Der Inline-Hinweis weist dafür auf mögliche Risiken hin, insbesondere ein niedrigeres Datenschutzniveau, Zugriffe ausländischer Behörden und eine erschwerte Rechtsdurchsetzung (Art. 49 Abs. 1 lit. a DSGVO).

8. Spracheingabe (optional)

Nutzt du das Diktat zum Lebensmittel-Loggen, verarbeitet die Spracherkennung von Apple (iOS-Systemdienst) deine Sprachaufnahme; je nach Gerät und Sprache kann Apple die Verarbeitung auf Apple-Servern durchführen (Apple-Datenschutzhinweise gelten). Die App selbst speichert oder überträgt keine Audioaufnahmen; das Mikrofon ist nur während des Diktats aktiv.

9. Rezept-Import & optionale Downloads

Importierst du ein Rezept per Web-Adresse, ruft die App genau diese von dir eingegebene Seite ab (dabei erhält der jeweilige Seitenbetreiber technisch deine IP-Adresse — wie bei einem Browser-Aufruf). Dasselbe gilt für den jeweiligen Download-Server, wenn du ein optionales KI-Modell oder Datenpaket herunterlädst. All dies geschieht nur auf deine ausdrückliche Aktion hin (Art. 6 Abs. 1 lit. a DSGVO).

10. Erinnerungen

Erinnerungen (Logging/Wiegen) sind lokale Mitteilungen, die dein Gerät selbst plant — es gibt keinen Push-Server, keine Daten verlassen dafür die App.

11. Backups

Backups erstellst du manuell; auf Wunsch werden sie AES-verschlüsselt mit einem von dir gewählten Passwort — ohne Passwort ist die Backup-Datei unverschlüsselt und sollte nur an Orten abgelegt werden, denen du vertraust. Backups werden lokal abgelegt (und sind damit — wie die App-Daten selbst — Teil deines iOS-Geräte-Backups, das gemäß den Apple-Bedingungen gespeichert wird), an einem von dir gewählten Ort gespeichert oder über das Teilen-Menü weitergegeben. Die beim Export noch zulässigen Plan-Feedback-Ereignisse sind darin enthalten, damit die von dir bewusst aufgebaute Lernspur bei einer Wiederherstellung erhalten werden kann. Eine solche Datei bleibt als verschlüsselte Momentaufnahme bestehen, bis du sie am jeweiligen Speicherort löschst. Beim Restore entfernt die App abgelaufene, ungültige, doppelte oder überzählige Feedback-Ereignisse und aktiviert das Coach-Lernen nicht automatisch. Ohne dein Passwort sind verschlüsselte Backups nicht lesbar; erstellt oder exportiert wird ein Backup nur auf deine Aktion.

12. Diagnose-Protokolle

Die App führt lokale technische Protokolle zur Fehlersuche. Sensible Werte (z. B. Namen, Suchbegriffe, Messwerte, E-Mail-Adressen) werden darin nach festen Regeln automatisch geschwärzt. Die Protokolle sind größenbegrenzt und überschreiben sich fortlaufend selbst; von Absturzberichten behält die App höchstens die 20 neuesten. Die Protokolle verlassen das Gerät nur, wenn du sie selbst aktiv exportierst. Es gibt keine automatische Absturzanalyse durch uns. Die optionale Suchqualitäts-Statistik und Produktnutzungs-Statistik sind abschließend in Ziff. 6a und 6b beschrieben.

Aktivierst du in den iOS-Einstellungen „Mit App-Entwicklern teilen", stellt Apple uns ausschließlich aggregierte, anonymisierte Absturz- und Nutzungsstatistiken bereit (Apple-Verfahren, ohne Bezug zu deiner Person oder deinen Inhalten). Die App selbst sendet für Apples Analysefunktion nichts.

13. Empfänger / Drittlandübermittlung

Wir geben deine Daten nicht an Dritte weiter. Im Werbe-Tarif verarbeitet Google (AdMob/User Messaging Platform) die in Ziff. 4 beschriebenen Auslieferungsdaten. Bei den übrigen, optionalen Funktionen kann es zu einem Kontakt mit Diensten Dritter kommen, den ausschließlich du auslöst: unsere Statistik-Dienste (nur nach Ziff. 6a und 6b, betrieben auf Infrastruktur von Cloudflare), Apple (App Store, Käufe, Health, Spracherkennung), Open Food Facts (Frankreich/EU), der Hugging-Face-Download-Server, — nur bei aktivierter Online-Suche — USDA FoodData Central / api.data.gov (USA) sowie — nur bei aktivierter Online-KI für Foto-Erkennung oder Rezeptgenerierung — der von dir gewählte beziehungsweise als Fallback eingerichtete KI-Anbieter (Ziff. 7). Soweit dabei eine Übermittlung in ein Drittland außerhalb der EU/des EWR erfolgt (insb. an Apple, Google, Hugging Face, Cloudflare, USDA oder KI-Anbieter in den USA), stützt sich diese auf die Standardvertragsklauseln bzw. den jeweils gültigen Angemessenheitsrahmen der Anbieter; bei den von dir aktivierten optionalen Online-Abfragen in Drittländer (USDA, Online-KI) zusätzlich auf deine ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Die Barcode-Abfrage bei Open Food Facts richtet sich an einen Empfänger in der EU und ist daher keine Drittlandübermittlung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Ziff. 6).

14. Deine Rechte

Da deine Inhalte ausschließlich lokal liegen, übst du Auskunft, Berichtigung und Löschung direkt in der App aus (Einträge bearbeiten/löschen, App löschen = alle Daten löschen; Backup-Export = Datenübertragbarkeit). Für die Datenverarbeitung durch Google bei der Anzeigen-Auslieferung gelten zusätzlich deine Rechte gegenüber Google; in der EU/im EWR kannst du deine Werbe-Datenschutz-Wahl jederzeit ändern und der Verarbeitung widersprechen (Einstellungen → Werbung). Erteilte Einwilligungen (z. B. für Apple Health, lokales Coach-Lernen, Online-KI, Produktnutzung oder Suchqualität) kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Du hast das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) und kannst deine Rechte aus Art. 15–21 DSGVO jederzeit gegenüber dem Verantwortlichen (Ziff. 1) geltend machen. Das optionale lokale Präferenzprofil sortiert ausschließlich unverbindliche Rezept- und Planvorschläge. Du entscheidest immer selbst, ob du einen Vorschlag übernimmst, tauschst oder ignorierst; eine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO findet daher nicht statt.

15. Änderungen

Stand: 17.07.2026. Bei Funktionsänderungen, die die Datenverarbeitung betreffen, wird diese Erklärung aktualisiert; die jeweils aktuelle Fassung ist in der App und unter https://offlinetracker-datenschutz.pages.dev/ abrufbar.