Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO (Art. 4 Nr. 7):

Julius Göhring [Anschrift wird zum offiziellen Release ergänzt] E-Mail: kontakt.offlinetracker@ik.me

2. Grundprinzip: Deine Daten bleiben auf deinem Gerät

Die App ist bewusst offline-first und ohne Nutzerkonto gebaut. Alle Inhalte, die du erfasst — Ernährungstagebuch, Gewicht, Profil (Alter, Größe, Ziele), Aktivitäten, Rezepte, eigene Lebensmittel — werden ausschließlich lokal auf deinem Gerät gespeichert. Die Datenbank ist durch die Dateiverschlüsselung von iOS („Data Protection", AES-256) geschützt, deren Schlüssel an deinen Gerätecode gebunden ist; bei gesperrtem Gerät sind die Daten dadurch verschlüsselt at-rest. Es gibt kein Konto und keinen Cloud-Sync: Wir betreiben keinen Server für deine Inhalte und haben keinen Zugriff auf deine Daten. Soweit wir überhaupt eigene Dienste betreiben (die freiwilligen, standardmäßig ausgeschalteten Statistiken nach Ziff. 6a und 6b), erhalten diese ausschließlich anonyme Aggregate — nie deine Inhalte. Es findet keine Profilbildung durch uns statt, Daten werden nicht verkauft.

Soweit wir überhaupt als Verantwortliche personenbezogene Daten verarbeiten, geschieht dies allein zur Bereitstellung der von dir aktiv genutzten App-Funktionen auf deinem Gerät (Art. 6 Abs. 1 lit. b DSGVO). Eine Verarbeitung deiner Inhalte außerhalb deines Geräts durch uns findet nicht statt.

3. Apple Health (optional)

Wenn du den Aktivitäts-Import aktivierst, liest die App mit deiner ausdrücklichen Erlaubnis Trainingsdaten aus Apple Health. Aktivierst du „Ernährung nach Apple Health schreiben", überträgt die App deine Ernährungs-Tageswerte (Kalorien, Makronährstoffe, Wasser) in Apple Health auf deinem Gerät. Aktivierst du „Aktivitäten nach Apple Health schreiben", legt die App von dir manuell erfasste Aktivitäten als Workout (inklusive Aktivenergie) in Apple Health ab. In allen Fällen werden ausschließlich die von dieser App stammenden Einträge angelegt bzw. ersetzt. Alle Funktionen sind getrennt abschaltbar; alle Daten verbleiben auf dem Gerät. HealthKit-Daten werden — entsprechend den Apple-Regeln und unserer Architektur — niemals für Werbung verwendet oder an Dritte weitergegeben. Die Berechtigung kannst du jederzeit in den iOS-Einstellungen widerrufen. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; Art. 9 Abs. 2 lit. a DSGVO für Gesundheitsdaten).

4. Werbung (nur im werbefinanzierten Tarif)

Nach der kostenlosen Testphase kannst du wählen: werbefreies Abo/Einmalkauf oder kostenlose Nutzung mit Werbung. Nur im Werbe-Tarif bindet die App Google AdMob ein (Google Ireland Ltd.).

Die App liefert ausschließlich nicht-personalisierte (kontextbezogene) Anzeigen aus:

Deine Tagebuch-, Gesundheits- und Profildaten werden nie an Google oder andere Werbepartner übermittelt. In der EU/im EWR zeigt die App vor der ersten Anzeige einen Datenschutz-Hinweis (Google User Messaging Platform); deine dort getroffene Wahl kannst du jederzeit unter Einstellungen → Werbung → „Werbe-Datenschutz anpassen" ändern. Details: Google-Datenschutzerklärung.

Wer überhaupt keine externen Werbe-Anfragen wünscht, wählt den werbefreien Tarif — dann finden keinerlei Anfragen an Google statt.

5. Käufe

Abos und Einmalkäufe wickelt ausschließlich Apple über den App Store ab. Wir erhalten keine Zahlungs- oder Identitätsdaten, sondern nur die von Apple signierte Information, dass eine Berechtigung besteht.

6. Optionale Online-Datenbanken (Barcode & Lebensmittelsuche)

Barcode (Open Food Facts). Die Produktdatenbank von Open Food Facts ist in der App bereits enthalten, sodass Barcode-Scans standardmäßig vollständig offline funktionieren. Nur wenn ein gescanntes Produkt nicht im mitgelieferten Offline-Paket enthalten ist, fragt die App ergänzend die Online-Datenbank von Open Food Facts ab (Open Food Facts, Frankreich). Dasselbe gilt, wenn du für ein gescanntes Produkt den optionalen „Nachbau" startest — dann ruft die App die Zutatenliste des Produkts anhand des Barcodes online ab. In beiden Fällen werden der Barcode und technisch bedingt deine IP-Adresse übertragen — keine weiteren Daten. Produktdaten stehen unter der Open Database License (ODbL).

Lebensmittelsuche (USDA, optional — standardmäßig AUS). Die Suche nach Lebensmitteln über die Texteingabe läuft standardmäßig vollständig offline; ohne aktivierte Online-Suche und ohne deine separate Zustimmung zur Suchqualitäts-Statistik verlässt dein Suchbegriff dein Gerät nicht. Nur wenn du in den Einstellungen die Online-Suche (USDA) ausdrücklich aktivierst und die lokale Suche keinen passenden Treffer liefert, fragt die App ergänzend die offene Nährwertdatenbank USDA FoodData Central ab (U.S. Department of Agriculture, technisch über api.data.gov, USA). Dabei werden dein Suchbegriff (für die Abfrage ins Englische übersetzt), der verwendete API-Schlüssel und technisch bedingt deine IP-Adresse übertragen — keine weiteren Daten; der Betreiber protokolliert die Anfragen. Die Funktion ist standardmäßig deaktiviert und wird nur auf deine ausdrückliche Aktivierung hin genutzt (Art. 6 Abs. 1 lit. a, Art. 49 Abs. 1 lit. a DSGVO). Daten gemeinfrei (CC0).

6a. Freiwillige Suchqualitäts-Statistik

Unter „Sicherheit & Datenschutz" kannst du separat in eine eigene Suchqualitäts-Statistik einwilligen. Die Übertragung ist standardmäßig ausgeschaltet. Bereits ab dem ersten Start sammelt die App die unten beschriebenen Tageswerte ausschließlich lokal auf deinem Gerät (Verfall spätestens nach 21 Tagen); lehnst du ab oder widerrufst du, stoppt auch die lokale Sammlung und vorhandene Werte werden sofort gelöscht. Ein normalisierter Suchbegriff wird erst nach mindestens drei lokalen Suchen als Wochenwert (je Kalenderwoche, erst nach Abschluss der Woche) übertragen, zusammen mit Suchbereich, Trefferzahl, Laufzeit, Klickposition, Umformulierungen und Abbrüchen. Mengen, sensible Gesundheitsbegriffe, Tagebuch-, Profil- und Gesundheitsdaten, eigene Lebensmittel sowie Nutzer-, Geräte- und Session-Kennungen werden nicht übertragen. Eine Kennung aus der öffentlichen BLS-Datenbank wird nur übertragen, wenn dasselbe Ziel lokal mindestens zweimal ausgewählt wurde. Übertragen wird ausschließlich nach deiner Einwilligung; mit ihr wird auch der bis dahin lokal gesammelte Stand übermittelt.

Seltene Begriffe werden serverseitig höchstens 21 Tage zwischengespeichert und erst nach Beiträgen aus mindestens fünf getrennten Übertragungs-Batches ausgewertet (unterschieden über zufällige Batch-Kennungen ohne Bezug zu dir oder deinem Gerät); andernfalls werden sie gelöscht. Dabei entsteht kein Nutzerprofil. Die bei HTTPS technisch anfallende IP-Adresse wird nicht in den Suchqualitäts-Tabellen gespeichert. Der Auswertungsdienst wird von uns betrieben und läuft auf Infrastruktur von Cloudflare (Cloudflare, Inc., USA) als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags mit EU-Standardvertragsklauseln; Cloudflare verarbeitet technisch kurzzeitig deine IP-Adresse, um die Anfrage zuzustellen und Missbrauch über ein kurzzeitiges Anfrage-Limit abzuwehren. Zur Transparenz zeigt dir die App unter „Was wurde zuletzt gesendet?" ein rein lokales Sendeprotokoll der übertragenen Suchbegriffe und Werte; es verlässt dein Gerät nicht. Rechtsgrundlage ist deine freiwillige Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG). Du kannst sie jederzeit in der App widerrufen; noch nicht übertragene Aggregate und das Sendeprotokoll werden dabei lokal gelöscht. Bereits ausreichend aggregierte, nicht mehr einer Person zuordenbare Statistiken bleiben erhalten.

6b. Freiwillige Produktnutzungs-Statistik

Frühestens nach fünf echten Nutzungstagen bittet die App um eine separate, freiwillige Einwilligung zur Produktverbesserung. Lehnst du ab („Nein danke"), fragt die App nicht erneut; wählst du „Später", erinnert sie frühestens nach 14 Tagen noch einmal. Ohne deine Einwilligung verlässt für diesen Zweck nichts dein Gerät: Bereits ab dem ersten Start bildet die App die im Folgenden beschriebenen Zusammenfassungen ausschließlich lokal auf deinem Gerät; solange du nicht entschieden hast, verfallen sie spätestens nach 21 Tagen. Lehnst du ab oder widerrufst du, stoppt auch die lokale Sammlung und vorhandene Werte werden sofort gelöscht. Die Zusammenfassungen bestehen (je Kalenderwoche) aus Aufrufen und aktiver, auf fünf Sekunden gerundeter Nutzungszeit der Hauptbereiche, Zählern für wenige fest definierte Funktionen sowie einer Wochenmarke „App genutzt". Aktive Zeit wird nur im Vordergrund erfasst und nach zwei Minuten ohne Aktivität beendet.

Für diese Statistik nicht übertragen werden Tagebuch-, Profil-, Gewichts-, Foto- oder Gesundheitsdaten, Lebensmittel, Suchbegriffe (die Suchqualitäts-Statistik nach Ziff. 6a ist eine eigene, getrennte Einwilligung), Freitext, genaue Zeitpunkte, einzelne Tage oder Nutzer-, Geräte-, Konto- und Session-Kennungen. Die App überträgt — erst nach deiner Einwilligung — ausschließlich abgeschlossene Wochen-Zusammenfassungen, App-Version (ohne Build-Nummer) und Plattform; mit der Einwilligung auch die bis dahin lokal gesammelten, höchstens drei abgeschlossenen Wochen. Der Server gibt einen Wert erst zur Auswertung frei, wenn mindestens fünf getrennte Wochenbeiträge zusammengekommen sind. Seltene Zwischendaten werden nach 21 Tagen, freigegebene Wochen-Zusammenfassungen nach 180 Tagen gelöscht; Übertragungs-Kennungen (zufällige IDs einzelner Batches, nur zum Erkennen doppelter Übertragungen, ohne Bezug zu dir oder deinem Gerät) nach 21 Tagen. Die bei HTTPS technisch anfallende IP-Adresse wird nicht in den Produktanalyse-Tabellen gespeichert.

Der Auswertungsdienst wird von uns betrieben und läuft auf Infrastruktur von Cloudflare (Cloudflare, Inc., USA) als Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags mit EU-Standardvertragsklauseln. Cloudflare verarbeitet technisch kurzzeitig deine IP-Adresse, um die Anfrage zuzustellen und Missbrauch über ein kurzzeitiges Anfrage-Limit abzuwehren; eine dauerhafte Protokollierung für die Produktanalyse ist deaktiviert.

Zur Transparenz zeigt dir die App unter „Was wurde zuletzt gesendet?" ein rein lokales Sendeprotokoll: die zuletzt übertragenen Wochenpakete als verständliche Übersicht und wörtlich als Rohdaten. Das Protokoll verlässt dein Gerät nicht.

Rechtsgrundlage ist deine freiwillige Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG). Du kannst sie jederzeit unter „Sicherheit & Datenschutz" widerrufen. Dabei werden ausstehende lokale Aggregate und das Sendeprotokoll sofort gelöscht und künftig keine Daten mehr erfasst.

7. Foto-Erkennung (optional)

Die Erkennung von Mahlzeiten-Fotos ist eine optionale Funktion, die du zuerst selbst einrichten musst — du hast die Wahl zwischen zwei Wegen. Ohne Einrichtung findet keine Erkennung statt, und kein Foto verlässt das Gerät.

Lokale Erkennung (auf dem Gerät). Richtest du die lokale Erkennung ein, lädt die App einmalig ein KI-Modell von Hugging Face herunter — erst nach deiner ausdrücklichen Bestätigung inklusive Größenangabe (mehrere GB; dabei wird technisch deine IP-Adresse übertragen, wie bei jedem Download). Danach läuft die Erkennung vollständig auf dem Gerät; Fotos verlassen das Gerät dabei nicht.

Optionale Online-Erkennung (standardmäßig AUS). Statt oder zusätzlich zur lokalen Erkennung kannst du in den Einstellungen eine Online-Erkennung aktivieren. Nur wenn du sie ausdrücklich einschaltest, einen eigenen API-Schlüssel eines KI-Anbieters deiner Wahl (Google Gemini, OpenAI, Anthropic, Mistral, OpenRouter oder ein selbst angegebener OpenAI-kompatibler Dienst) hinterlegst und einmalig einwilligst, wird das jeweilige Foto zur Analyse an diesen Anbieter gesendet und dort nach dessen Datenschutzbestimmungen verarbeitet (je nach Anbieter auch außerhalb der EU/des EWR). Vor dem Versand kodiert die App das Bild neu und entfernt dabei Standort- und sonstige Metadaten (EXIF/GPS); übertragen werden nur das Bild selbst und die Erkennungs-Anfrage. Der Schlüssel wird ausschließlich lokal im iOS-Schlüsselbund gespeichert; die Abrechnung läuft über dein eigenes Konto beim jeweiligen Anbieter. Wir erhalten weder das Foto noch das Ergebnis. Du kannst die Funktion jederzeit wieder ausschalten — dann verlässt kein Foto mehr das Gerät. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; für die Übermittlung in Drittländer Art. 49 Abs. 1 lit. a DSGVO).

8. Spracheingabe (optional)

Nutzt du das Diktat zum Lebensmittel-Loggen, verarbeitet die Spracherkennung von Apple (iOS-Systemdienst) deine Sprachaufnahme; je nach Gerät und Sprache kann Apple die Verarbeitung auf Apple-Servern durchführen (Apple-Datenschutzhinweise gelten). Die App selbst speichert oder überträgt keine Audioaufnahmen; das Mikrofon ist nur während des Diktats aktiv.

9. Rezept-Import & optionale Downloads

Importierst du ein Rezept per Web-Adresse, ruft die App genau diese von dir eingegebene Seite ab (dabei erhält der jeweilige Seitenbetreiber technisch deine IP-Adresse — wie bei einem Browser-Aufruf). Dasselbe gilt für den jeweiligen Download-Server, wenn du ein optionales KI-Modell oder Datenpaket herunterlädst. All dies geschieht nur auf deine ausdrückliche Aktion hin (Art. 6 Abs. 1 lit. a DSGVO).

10. Erinnerungen

Erinnerungen (Logging/Wiegen) sind lokale Mitteilungen, die dein Gerät selbst plant — es gibt keinen Push-Server, keine Daten verlassen dafür die App.

11. Backups

Backups erstellst du manuell; sie werden AES-verschlüsselt mit einem von dir gewählten Passwort lokal abgelegt (und sind damit Teil deines iCloud-Gerätebackups, das Apple gemäß seinen Bedingungen speichert) oder von dir selbst über das Teilen-Menü exportiert. Ohne dein Passwort sind sie nicht lesbar.

12. Diagnose-Protokolle

Die App führt lokale technische Protokolle zur Fehlersuche. Sensible Werte werden darin automatisch geschwärzt. Die Protokolle verlassen das Gerät nur, wenn du sie selbst aktiv exportierst. Es gibt keine automatische Absturzanalyse durch uns. Die optionale Suchqualitäts-Statistik und Produktnutzungs-Statistik sind abschließend in Ziff. 6a und 6b beschrieben.

Aktivierst du in den iOS-Einstellungen „Mit App-Entwicklern teilen", stellt Apple uns ausschließlich aggregierte, anonymisierte Absturz- und Nutzungsstatistiken bereit (Apple-Verfahren, ohne Bezug zu deiner Person oder deinen Inhalten). Die App selbst sendet für Apples Analysefunktion nichts.

13. Empfänger / Drittlandübermittlung

Wir geben deine Daten nicht an Dritte weiter. Im Werbe-Tarif verarbeitet Google (AdMob/User Messaging Platform) die in Ziff. 4 beschriebenen Auslieferungsdaten. Bei den übrigen, optionalen Funktionen kann es zu einem Kontakt mit Diensten Dritter kommen, den ausschließlich du auslöst: unsere Statistik-Dienste (nur nach Ziff. 6a und 6b, betrieben auf Infrastruktur von Cloudflare), Apple (App Store, Käufe, Health, Spracherkennung), Open Food Facts (Frankreich/EU), der Hugging-Face-Download-Server, — nur bei aktivierter Online-Suche — USDA FoodData Central / api.data.gov (USA) sowie — nur bei aktivierter Online-Erkennung — der von dir gewählte KI-Anbieter (Ziff. 7). Soweit dabei eine Übermittlung in ein Drittland außerhalb der EU/des EWR erfolgt (insb. an Apple, Google, Hugging Face, Cloudflare, USDA oder KI-Anbieter in den USA), stützt sich diese auf die Standardvertragsklauseln bzw. den jeweils gültigen Angemessenheitsrahmen der Anbieter; bei den von dir selbst ausgelösten optionalen Online-Abfragen (Open Food Facts, USDA, Online-Erkennung) zusätzlich auf deine ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO).

14. Deine Rechte

Da deine Inhalte ausschließlich lokal liegen, übst du Auskunft, Berichtigung und Löschung direkt in der App aus (Einträge bearbeiten/löschen, App löschen = alle Daten löschen; Backup-Export = Datenübertragbarkeit). Für die Datenverarbeitung durch Google bei der Anzeigen-Auslieferung gelten zusätzlich deine Rechte gegenüber Google; in der EU/im EWR kannst du deine Werbe-Datenschutz-Wahl jederzeit ändern und der Verarbeitung widersprechen (Einstellungen → Werbung). Erteilte Einwilligungen (z. B. für Apple Health, Online-Erkennung, Produktnutzung oder Suchqualität) kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Du hast das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) und kannst deine Rechte aus Art. 15–21 DSGVO jederzeit gegenüber dem Verantwortlichen (Ziff. 1) geltend machen. Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

15. Änderungen

Stand: 07.07.2026. Bei Funktionsänderungen, die die Datenverarbeitung betreffen, wird diese Erklärung aktualisiert; die jeweils aktuelle Fassung ist in der App und unter https://offlinetracker-datenschutz.pages.dev/ abrufbar.