Datenschutzerklärung

Stand: 20. April 2026

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung Ihrer personenbezogenen Daten bei Nutzung der mobilen Anwendung CarbSense (iOS, Android, Apple Watch Companion).

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

Prim73 – Einzelunternehmen
Imanuel Richter
Nelkenweg 11
76356 Weingarten (Baden)
Deutschland

E-Mail: kontakt@prim73.com
Vollständige Kontaktangaben im Impressum.

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich und wurde nicht bestellt.

2. Begriffsbestimmungen

Es gelten die Begriffsbestimmungen der DSGVO (Art. 4). Insbesondere „personenbezogene Daten" (Art. 4 Nr. 1), „Verarbeitung" (Art. 4 Nr. 2) und „besondere Kategorien personenbezogener Daten" – hierzu zählen auch Gesundheitsdaten (Art. 9 Abs. 1 DSGVO), die CarbSense verarbeitet.

3. Welche Daten wir verarbeiten

3.1 Kontodaten

• E-Mail-Adresse, Name (optional), verschlüsseltes Passwort (bcrypt), Bestätigungsstatus der E-Mail
• Benutzerkennung (UUID), Erstellungs- und Änderungszeitpunkt
• JWT-Sitzungs-Token (kurzlebig)

3.2 Gesundheitsdaten (Art. 9 DSGVO)

• Blutzuckerwerte (Wert, Einheit, Zeitstempel, Trendkennung)
• Mahlzeiten (Name, Zeit, Kohlenhydrate, Zutaten, Nährwerte)
• Insulin-/Bolus-Handhabungen (Zeit, Menge, Typ)
• Sensor-Informationen (Seriennummer, Typ, Trage-Zeiträume, Austauschanfragen)

3.3 Produkt- und Inventardaten

• Gescannte Barcodes, Produktnamen, Nährwerttabellen, NOVA-Klassifikation, Produktbilder
• Bestandsdaten (Menge, Kaufdatum, Lagerort)

3.4 Geräte- und Nutzungsdaten

• Firebase Installation ID (pseudonyme Gerätekennung)
• App-Version, Plattform (iOS/Android/watchOS), Bundle-ID
• User-Agent-Header bei API-Anfragen
• Push-Token (APNs) für Live Activities auf Apple Watch

3.5 Inhalte, die Sie aktiv bereitstellen

• Fotos von Lebensmitteln (zur KI-Analyse, nicht dauerhaft gespeichert)
• Textanfragen (z. B. Produktsuche)
• Begleitbeziehungen (Companion-Verknüpfungen für Betreuende/Angehörige)

3.6 Zahlungs- und Abo-Daten

Abschluss und Abwicklung von In-App-Abonnements erfolgen ausschließlich über die Plattformbetreiber (Apple App Store, Google Play Store). Zahlungsinformationen werden von uns nicht eingesehen oder gespeichert. Zur Abo-Verwaltung nutzen wir RevenueCat (siehe Abschnitt 5).

4. Zwecke und Rechtsgrundlagen

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen (siehe Abschnitt 9).

5. Eingesetzte Dienste und Empfänger

Wir setzen Auftragsverarbeiter (Art. 28 DSGVO) und eigenständig Verantwortliche ein. Mit allen Auftragsverarbeitern bestehen AV-Verträge bzw. Standardvertragsklauseln der EU-Kommission.

5.1 Hosting und Backend – Amazon Web Services (AWS)

• Anbieter: Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy, L-1855 Luxembourg
• Dienste: Lambda, DynamoDB, SNS, SES, SSM Parameter Store
• Region: EU (Frankfurt)
• Zweck: Speicherung und Verarbeitung aller Konto- und Gesundheitsdaten, Versand systemgenerierter E-Mails (z. B. Passwort-Zurücksetzen), Push-Benachrichtigungs-Weiterleitung an Apple APNs

5.2 Push-Benachrichtigungen – Apple APNs

• Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland
• Zweck: Zustellung von Live-Activity-Updates an iPhone und Apple Watch
• Datenfluss: Glukosewert und Zeitstempel werden im Push-Payload an APNs übertragen und sofort an das Endgerät zugestellt (keine persistente Speicherung bei Apple).

5.3 Remote Config und Installations – Firebase

• Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Datenübermittlung an Google LLC, USA)
• Dienste: Firebase Remote Config, Firebase Installations
• Zweck: Ausrollen von Feature-Flags, Pseudonyme Gerätekennung
• Hinweis: Es werden keine Firebase Analytics oder Crashlytics eingesetzt.

5.4 Abonnement-Verwaltung – RevenueCat

• Anbieter: RevenueCat, Inc., 246 Russ Street, San Francisco, CA 94103, USA
• Zweck: Validierung und Verwaltung von In-App-Abonnements, virtuelle Guthaben für KI-Funktionen
• Übermittelt: pseudonyme Nutzer-ID, Abo-Status, Plattform
• Grundlage Drittlandtransfer: EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln

5.5 KI-Lebensmittelanalyse – OpenAI

• Anbieter: OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA
• Zweck: Analyse hochgeladener Lebensmittelfotos und Textanfragen zur Erkennung von Speisen und Nährwerten
• Übermittelt: Foto (Base64, pseudonym) bzw. Textanfrage — keine Kontodaten
• Speicherung: OpenAI verwendet API-Daten laut Geschäftsbedingungen nicht für Modelltraining und löscht sie nach maximal 30 Tagen.
• Grundlage Drittlandtransfer: EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln

5.6 Produktdatenbank – Open Food Facts

• Anbieter: Open Food Facts, 21 rue des Iris, 77700 Bailly-Romainvilliers, Frankreich (gemeinnützig)
• Zweck: Abruf öffentlicher Produktinformationen anhand Barcode
• Übermittelt: Barcode, keine Nutzerkennung

5.7 App-Plattformen

• Apple App Store (Apple Distribution International Ltd., Irland) und Google Play Store (Google Ireland Limited, Irland) wickeln Installation, Updates und Zahlungen ab. Datenschutzhinweise der jeweiligen Anbieter gelten eigenständig.

6. Drittlandübermittlung

Einige der unter Abschnitt 5 genannten Dienste verarbeiten Daten in den USA. Die Übermittlung erfolgt auf Grundlage:

• Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (Google LLC, OpenAI, RevenueCat, Apple – soweit zertifiziert), oder
• Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO einschließlich ergänzender technischer und organisatorischer Maßnahmen.

Trotz dieser Schutzmaßnahmen ist in den USA kein mit der EU vergleichbares Datenschutzniveau garantiert; insbesondere können US-Behörden theoretisch Zugriff verlangen.

7. Speicherdauer

• Kontodaten: bis zur Löschung des Kontos durch Sie
• Blutzuckerwerte: automatische Löschung nach 90 Tagen (DynamoDB TTL)
• Mahlzeiten, Sensoren, Inventar, Produkte: bis zur Löschung durch Sie bzw. bis zur Kontolöschung
• Foto-Uploads an OpenAI: nicht dauerhaft gespeichert; OpenAI-seitig max. 30 Tage
• Passwort-Reset-Token: 1 Stunde
• Server-Logs: max. 30 Tage zur Missbrauchsabwehr (Art. 6 Abs. 1 lit. f DSGVO)
• Lokale Daten (Realm) auf Ihrem Gerät: bis zur Deinstallation der App oder manueller Löschung

8. Berechtigungen auf dem Endgerät

Sie können Berechtigungen jederzeit in den Systemeinstellungen Ihres Geräts widerrufen; einzelne Funktionen stehen dann nicht mehr zur Verfügung.

9. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte:

• Auskunft über die bei uns gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
• Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO). Zuständig für uns: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an kontakt@prim73.com. Die Kontolöschung ist zusätzlich direkt in der App möglich.

10. Automatisierte Entscheidungsfindung

Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt. KI-basierte Lebensmittelerkennung ist lediglich ein Hilfsmittel; alle Einträge werden von Ihnen bestätigt, bevor sie gespeichert werden.

11. Datensicherheit

Wir sichern personenbezogene Daten durch TLS-Transportverschlüsselung, bcrypt-Passwort-Hashing, JWT-basierte Session-Isolation, verschlüsselte Ablage von Geheimnissen im AWS SSM Parameter Store (KMS) sowie strikte Zugriffskontrolle auf Backend-Ressourcen.

12. Nutzung durch Minderjährige

Minderjährige dürfen die App nur mit Einwilligung ihrer Erziehungsberechtigten nutzen, soweit das anwendbare Datenschutzrecht dies verlangt (Art. 8 DSGVO). Für die Altersfreigabe in den App-Stores gelten die dortigen Angaben.

13. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn Änderungen an der Verarbeitung dies erfordern. Die jeweils aktuelle Fassung ist in der App sowie unter der Privacy-URL abrufbar. Wesentliche Änderungen kündigen wir in der App an.