Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO):
[VOR- UND NACHNAME], [ANSCHRIFT], E-Mail: [KONTAKT-E-MAIL].

2. Grundsätze

TrueLabel ist bewusst datensparsam gebaut: Scannen funktioniert ohne Konto. In diesem Fall wird dein Scan-Verlauf ausschließlich lokal auf deinem Gerät gespeichert (localStorage) und nicht an uns übertragen. Wir zeigen keine Werbung und verkaufen keine Daten — Werbe- oder Tracking-Dienste Dritter sind nicht eingebunden.

3. Hosting

Die App wird bei [HOSTING-ANBIETER, ANSCHRIFT] gehostet. Beim Aufruf verarbeitet der Anbieter technisch notwendige Daten (IP-Adresse, Zeitpunkt, abgerufene Ressource, User-Agent) in Server-Logfiles. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb). Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag. [Falls der Anbieter außerhalb der EU/des EWR sitzt: Hinweis auf EU-Standardvertragsklauseln als Grundlage der Übermittlung ergänzen.]

4. Konto und Registrierung

Bei der Registrierung verarbeiten wir deine E-Mail-Adresse, einen Anzeigenamen und dein Passwort (gespeichert ausschließlich als bcrypt-Hash). Mit Konto speichern wir außerdem: deinen Scan-Verlauf, deine Ernährungsprofile (z. B. „vegan“, „glutenfrei“), Community-Beiträge, Korrekturen und Punktestand. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Session wird über ein technisch notwendiges Cookie („tl_session“, 30 Tage, httpOnly) gehalten — Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG.

Besonderer Hinweis zu Ernährungsprofilen: Einstellungen wie Unverträglichkeiten können Rückschlüsse auf deine Gesundheit zulassen (Art. 9 DSGVO). Du gibst sie freiwillig an; mit dem Aktivieren willigst du in die Verarbeitung zum Zweck der personalisierten Produktbewertung ein (Art. 9 Abs. 2 lit. a DSGVO). Du kannst sie jederzeit im Profil deaktivieren — sie werden dann nicht mehr verwendet.

5. Login mit Google (optional)

Wenn du dich mit Google anmeldest, erhalten wir von Google deine E-Mail-Adresse, deinen Namen und eine Konto-ID. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Die Nutzung ist freiwillig — Registrierung per E-Mail ist gleichwertig möglich.

6. Premium-Abo und Zahlungen (Stripe)

Zahlungen wickelt Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland ab. Wir erhalten keine vollständigen Zahlungsdaten, sondern nur eine Kundenreferenz und den Abo-Status. Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und gesetzliche Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO). Details: https://stripe.com/de/privacy.

7. Produktfotos und KI-Verarbeitung (Mistral AI)

Wenn du ein Produkt per Foto beiträgst, werden die Fotos zur automatischen Texterkennung an Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich (EU) übertragen und dort verarbeitet. Wir speichern die Fotos nicht dauerhaft — nur die extrahierten Produktdaten (Zutaten, Nährwerte). Fotografiere keine Personen oder persönlichen Gegenstände mit. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Auch Korrekturtexte werden zur automatischen Prüfung an Mistral übermittelt.

8. Produktdaten (OpenFoodFacts)

Für unbekannte Barcodes fragt unser Server die offene Datenbank OpenFoodFacts ab. Dabei wird der Barcode übermittelt — niemals deine IP-Adresse oder Kontodaten, da die Anfrage von unserem Server ausgeht.

9. Lokale Speicherung (localStorage)

Ohne Konto speichert die App deinen Verlauf, deine letzten Suchen und den Onboarding-Status ausschließlich lokal auf deinem Gerät. Diese Daten verlassen dein Gerät nicht (§ 25 Abs. 2 Nr. 2 TDDDG). Beim Erstellen eines Kontos kannst du den lokalen Verlauf in dein Konto übernehmen.

10. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Session, OAuth-Sicherheits-State). Es gibt kein Tracking, keine Analyse-Cookies, keine Werbe-Cookies — deshalb auch kein Cookie-Banner.

11. Speicherdauer

Kontodaten speichern wir bis zur Löschung deines Kontos. Server-Logs werden vom Hosting-Anbieter nach kurzer Zeit automatisch gelöscht. Rechnungsbezogene Daten unterliegen gesetzlichen Aufbewahrungsfristen (bis zu 10 Jahre).

12. Deine Rechte

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Wende dich dafür formlos an [KONTAKT-E-MAIL]. Außerdem hast du das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, z. B. der für [BUNDESLAND] zuständigen Behörde.

13. Datensicherheit

Alle Verbindungen sind TLS-verschlüsselt. Passwörter werden ausschließlich gehasht gespeichert. Der Zugriff auf die Datenbank ist auf den Betreiber beschränkt.

14. Änderungen

Wir passen diese Erklärung an, wenn sich die App oder die Rechtslage ändert. Es gilt die jeweils hier veröffentlichte Fassung.