Datenschutzerklärung

1. Verantwortlicher

Felix Schuck
Eduard-Schmid-Straße 30
81541 München
Deutschland
E-Mail: hello@meala.me

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO und § 38 BDSG nicht verpflichtend zu bestellen.

2. Hosting

Meala wird auf Servern der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, betrieben — Rechenzentrum Frankfurt am Main, Deutschland. Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Es findet keine Datenübertragung in Drittstaaten außerhalb der EU/EWR statt.

3. Zwecke der Verarbeitung & Rechtsgrundlagen

3.1 Account und Nutzung des Wochenplaners

Zur Bereitstellung des Dienstes verarbeiten wir die für den Vertrag erforderlichen Daten: E-Mail-Adresse, Passwort (als gesalzener Hash, niemals im Klartext), Anzeigename (optional). Hinzu kommen die von dir freiwillig hinterlegten Haushaltsangaben (Personen, Diäten, Zeit-Budgets, Vorrats-Basics).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Allergien und Unverträglichkeiten

Wenn du Allergien oder Unverträglichkeiten in deinem Profil hinterlegst, handelt es sich um besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (Gesundheitsdaten). Diese Verarbeitung erfolgt ausschließlich, um Rezepte mit kritischen Zutaten aus deinem Wochenplan auszuschließen.

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO — deine ausdrückliche Einwilligung durch die aktive Eingabe in der App. Du kannst die Angabe jederzeit ändern oder vollständig entfernen.

3.3 Telemetrie zur Produktverbesserung

Wir erfassen anonymisierte Ereignisse zur Nutzung der App: Login, Plan-Generierung, Rezept-Aufrufe, Start des Koch-Modus. Personenbezogene Auswertungen finden in der Beta-Phase statt, um Fehler zu erkennen und das Produkt zu verbessern. Nach 30 Tagen werden die Daten anonymisiert und vom Account entkoppelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung in der geschlossenen Beta). Du kannst der Verarbeitung jederzeit widersprechen (siehe Abschnitt 8).

3.4 Server-Logs und Sicherheit

Bei jedem Aufruf protokolliert unser Server IP-Adresse, Zeitstempel, Request-Pfad und User-Agent. Diese Logs dienen ausschließlich der Abwehr von Angriffen (Rate-Limiting, Bot-Erkennung) und werden nach 14 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

3.5 Single Sign-On via Apple und Google (optional)

Wenn du dich über „Mit Apple anmelden" oder „Mit Google anmelden" registrierst, übermittelt Apple bzw. Google ausschließlich eine pseudonyme User-ID und — falls von dir freigegeben — deine E-Mail-Adresse an uns. Wir erhalten keinen Zugriff auf andere Profildaten. Dabei kann es zu einer Datenübertragung in Drittstaaten (USA) durch Apple Inc. bzw. Google LLC kommen, die jeweils nach dem EU-US Data Privacy Framework zertifiziert sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf den SSO-Button); Art. 45 DSGVO (Angemessenheitsbeschluss EU-US DPF).

4. Cookies und lokale Speicherung

Wir setzen nur technisch notwendige Cookies und nutzen lokalen Speicher (IndexedDB) zur App-Funktion. Es kommen keine Tracking-, Werbe- oder Drittanbieter-Cookies zum Einsatz — eine Cookie-Einwilligung ist nach § 25 Abs. 2 TTDSG nicht erforderlich.

5. Empfänger und Auftragsverarbeiter

Außerhalb von Hetzner (Hosting, siehe Abschnitt 2) geben wir deine Daten nicht an Dritte weiter. Bei Nutzung von Apple- bzw. Google-SSO findet eine direkte Übertragung zwischen dir und dem jeweiligen Identity-Provider statt (siehe Abschnitt 3.5).

6. Speicherdauern

• Account-Daten: bis zur Konto-Löschung. Nach Löschung sofortige Entfernung aus der Produktivdatenbank, in Datenbank-Backups maximal 14 Tage.
• Haushalts- und Plan-Daten: wie Account.
• Telemetrie-Events: 30 Tage personenbezogen, danach anonymisiert.
• Server-Logs: 14 Tage, dann automatische Rotation.
• Session-Cookies: 30 Tage (sliding).

7. Automatisierte Entscheidungen / Profiling

Die Plan-Generierung verwendet deine Profilangaben (Diäten, Allergien, Zeit-Budget, Themen-Präferenzen) automatisch, um Rezepte für deinen Wochenplan auszuwählen. Diese Vorschläge sind nicht bindend — du kannst jeden Plan in vollem Umfang manuell anpassen. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung gemäß Art. 22 DSGVO findet nicht statt.

8. Deine Rechte

Dir stehen gegenüber dem Verantwortlichen folgende Rechte zu:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
• Berichtigung unrichtiger Daten (Art. 16)
• Löschung („Recht auf Vergessenwerden", Art. 17)
• Einschränkung der Verarbeitung (Art. 18)
• Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20)
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21)
• Widerruf der Einwilligung für die Verarbeitung von Allergien/SSO mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Zur Geltendmachung genügt eine formlose Nachricht an hello@meala.me.

9. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe hast du das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere am Ort deines gewöhnlichen Aufenthalts. Für den Verantwortlichen zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 (0) 981 180093-0
Web: www.lda.bayern.de

10. Datensicherheit

Sämtliche Verbindungen zwischen deinem Endgerät und unseren Servern sind über TLS 1.3 verschlüsselt. Passwörter werden mit Argon2id gehasht. Datenbanken sind nur über interne Hetzner-Netze erreichbar und nicht öffentlich exponiert.

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen oder unsere Datenverarbeitung ändern. Bei wesentlichen Änderungen informieren wir dich über die in der App hinterlegte E-Mail-Adresse.