Datenschutzerklärung

1. Verantwortlicher im Sinne der DSGVO

Verantwortlich für die Verarbeitung personenbezogener Daten auf https://kellenheld.de ist:

Dimitrij Spasow Turnierweg 5 97422 Schweinfurt Deutschland

E-Mail: service@kellenheld.de Telefon: 097215410716

Weitere Angaben findest du im Impressum.

2. Datenschutzbeauftragte:r

Die Pflicht zur Benennung einer/eines Datenschutzbeauftragten nach Art. 37 DSGVO i. V. m. § 38 BDSG besteht erst, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) als Kern­tätigkeit umfangreich verarbeitet werden. Da der Dienst Gesundheitsdaten (Diäten, Allergien) verarbeiten kann, ist im Einzelfall zu prüfen, ob dieser Schwellenwert erreicht ist.

Ein behördlicher Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen hierfür gemäß § 38 BDSG nicht vorliegen. Verantwortlicher Ansprechpartner ist der Betreiber.

3. Allgemeine Hinweise zur Datenverarbeitung

(1) Wir verarbeiten personenbezogene Daten der Nutzer grundsätzlich nur, soweit dies zur Bereitstellung eines funktionsfähigen Dienstes sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder soweit eine Rechtsgrundlage nach der DSGVO diese gestattet.

(2) „Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

(3) Diese Erklärung beschreibt sowohl die Verarbeitung durch den Besuch unserer Website als auch die Verarbeitung bei der Nutzung des SaaS-Dienstes „Kellenheld".

4. Hosting — Vercel Inc.

(1) Diese Website und der Anwendungsteil von Kellenheld werden gehostet bei:

Vercel Inc. 440 N Barranca Avenue #4133 Covina, CA 91723 USA Website: https://vercel.com Datenschutzerklärung: https://vercel.com/legal/privacy-policy

(2) Beim Aufruf der Website übermittelt der Browser des Nutzers automatisiert Daten an die Server von Vercel. Hierzu gehören insbesondere:

  • IP-Adresse (gekürzt, soweit technisch möglich),
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene URL / Referrer,
  • User-Agent (Browser, Betriebssystem, Sprache),
  • Status-Code und übertragene Datenmenge.

(3) Zweck: Bereitstellung der Website, Sicherstellung eines störungsfreien Betriebs, Abwehr von Angriffen, kurzfristige Fehleranalyse.

(4) Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung). Soweit Vercel als Auftragsverarbeiter tätig wird, besteht hierzu ein Vertrag nach Art. 28 DSGVO.

(5) Drittlandtransfer (USA): Vercel ist ein US-Unternehmen; eine Datenübermittlung in die USA kann nicht vollständig ausgeschlossen werden. Die Übermittlung erfolgt auf Grundlage:

  • des EU-U.S. Data Privacy Framework (soweit Vercel als zertifiziertes Unternehmen teilnimmt); sowie
  • ergänzend der Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914;
  • und — soweit erforderlich — zusätzlicher technischer und organisatorischer Maßnahmen.

Weitere Informationen zur Compliance von Vercel: https://vercel.com/legal/dpa.

5. Datenbank, Authentifizierung und Storage — Supabase

(1) Für die Datenbank (PostgreSQL), die Benutzerauthentifizierung und Dateiablage nutzen wir den Dienst:

Supabase Inc. 970 Toa Payoh North #07-04 Singapore 318992 (Hauptsitz) sowie Supabase, Inc., San Francisco, CA, USA Website: https://supabase.com Datenschutzerklärung: https://supabase.com/privacy

(2) Die zugrunde­liegende Infrastruktur wird bei Amazon Web Services (AWS) betrieben; der für Kellenheld genutzte Supabase-Projekt-Region liegt in [EU-Region: eu-central-1 Frankfurt am Main]. Eine Übermittlung in andere Regionen erfolgt nur in Ausnahme­fällen (z. B. Support, Admin-Zugriff aus den USA).

(3) Zweck: Speicherung von Nutzerkonten, Workspaces, Rezepten, Zutaten, Planungsdaten, Audit-Logs und Einladungs-E-Mail-Adressen; Ermöglichung sicherer Login- und Session-Verwaltung.

(4) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Fehleranalyse, Missbrauchserkennung).

(5) Mit Supabase besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) inkl. Standardvertragsklauseln für Drittlandtransfer-Szenarien.

6. Welche Daten wir verarbeiten

6.1 Account-Daten (Registrierung / Login)

  • E-Mail-Adresse
  • Passwort (nur als gehashter Wert gespeichert) / Magic-Link-Token
  • Ggf. Secret für Multi-Faktor-Authentifizierung (verschlüsselt)
  • Anzeigename, optional Avatar
  • Account-Metadaten: Datum der Registrierung, letzter Login, bestätigte E-Mail

6.2 Workspace- und Rollen-Daten

  • Name, Beschreibung und Einstellungen eines Workspaces
  • Mitgliedsrollen (z. B. Owner, Admin, Planer, Koch, Einkäufer)
  • Einladungen: E-Mail-Adresse der eingeladenen Person, ausgesprochene Rolle, Status der Einladung, Ablaufdatum, Einladender
  • Wechsel des Owners, entfernte Mitglieder

6.3 Inhaltliche Planungsdaten

  • Rezepte, Zutaten, Mengenangaben, Preise, Lieferanten-Zuordnung
  • Wochenpläne, Mahlzeiten, Einkaufslisten
  • Teilnehmerdaten (sofern vom Nutzer eingepflegt): Name oder Pseudonym, Alter, Diäten und Allergien sowie ggf. weitere ernährungsbezogene Informationen.

Hinweis zu Gesundheitsdaten (Art. 9 DSGVO): Diäten- und Allergie-Angaben können besondere Kategorien personenbezogener Daten („Gesundheitsdaten") darstellen. Die Verarbeitung solcher Daten ist ausschließlich im Auftrag des jeweiligen Workspace-Owners (z. B. eines Vereins oder Camp-Trägers) zulässig, der gegenüber den betroffenen Personen (bzw. deren Erziehungsberechtigten) die jeweils erforderliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO einholen muss. Kellenheld tritt insoweit als Auftragsverarbeiter nach Art. 28 DSGVO auf. Ohne gültige Einwilligung dürfen solche Daten nicht im Dienst gespeichert werden.

6.4 Audit- und Sicherheits-Logs

Zur Nachvollziehbarkeit sicherheitsrelevanter Ereignisse protokollieren wir (siehe auch PROJ-13 Audit-Log):

  • User-ID, Ereignistyp (Login, Invite, Rollenwechsel, Workspace-Löschung, …)
  • Zeitstempel
  • IP-Adresse und User-Agent
  • Workspace-Kontext (sofern relevant)

6.5 Server-Logs (Vercel)

  • IP-Adresse (gekürzt), Zeitstempel, Request-URL, Status-Code, User-Agent
  • automatisch angelegt beim Aufruf von Seiten und API-Endpunkten

6.6 Keine Cookies zu Marketing- oder Analysezwecken

Wir setzen ausschließlich technisch notwendige Session-Cookies zur Aufrechterhaltung des Logins nach Art. 25 Abs. 2 TDDDG. Es werden keine Analyse- oder Tracking-Cookies verwendet. Solange sich daran nichts ändert, besteht kein Einwilligungserfordernis nach § 25 Abs. 1 TDDDG.

7. Zwecke der Verarbeitung & Rechtsgrundlagen

| Zweck | Daten | Rechtsgrundlage | |---|---|---| | Account-Bereitstellung, Login, Passwort-Reset | Account-Daten (6.1) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) | | Erbringung des SaaS-Dienstes (Workspaces, Planung) | Workspace- und Inhaltsdaten (6.2, 6.3) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag) | | Verarbeitung von Teilnehmer-Gesundheitsdaten | 6.3 Diäten/Allergien | Art. 9 Abs. 2 lit. a DSGVO i. V. m. Auftragsverarbeitung gem. Art. 28 DSGVO (Einwilligung des Betroffenen gegenüber dem Workspace-Owner) | | Versand von Einladungs-E-Mails an Dritte | Einladungs-E-Mail, Name des Einladenden | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an kollaborativer Nutzung) bzw. Art. 6 Abs. 1 lit. a DSGVO | | Sicherheit, Missbrauchs- und Betrugserkennung | Audit-Logs (6.4), Server-Logs (6.5) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Dienst) | | Erfüllung gesetzlicher Pflichten (z. B. Auskunftsersuchen) | Je nach Anfrage | Art. 6 Abs. 1 lit. c DSGVO |

8. Speicherdauer

  • Account-Daten: bis zur Löschung des Accounts durch den Nutzer (siehe § 10 Nr. 4 der AGB). Nach Löschung: Entfernung aus produktiven Systemen binnen [30] Tagen, Überschreiben in Backups innerhalb [30] Tagen.
  • Workspace-Daten: solange der Workspace besteht; nach Löschung des Workspaces: Entfernung binnen [30] Tagen.
  • Audit-Logs: Aufbewahrung für [90] Tage, danach automatisierte Anonymisierung/Löschung. Längere Aufbewahrung nur, soweit ein konkreter Sicherheits- oder Missbrauchs­fall eine spätere Klärung erfordert.
  • Server-Logs (Vercel): nach den Vorgaben des Anbieters, i. d. R. [kurzfristig, wenige Tage bis wenige Wochen].
  • Einladungen: offene Einladungen verfallen nach [7 Tagen] und werden spätestens [30 Tage] nach Ablauf gelöscht.
  • Abrechnungs- und Steuerdaten (zukünftig, bei kostenpflichtigen Tarifen): bis zu 10 Jahre gemäß § 147 AO / § 257 HGB.

Die genannten Fristen sind Zielwerte in der Beta-Phase und können bei konkreter Betriebserfahrung angepasst werden; entsprechende Änderungen werden in dieser Datenschutzerklärung dokumentiert.

9. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur insoweit weiter, als dies zur Erbringung des Dienstes erforderlich oder gesetzlich vorgeschrieben ist. Derzeit eingesetzte Auftragsverarbeiter:

| Anbieter | Zweck | Sitz / Region | Rechtsgrundlage Drittland | |---|---|---|---| | Vercel Inc. | Hosting, Edge-Netzwerk, Server-Logs | USA | SCC + ggf. EU-U.S. Data Privacy Framework | | Supabase Inc. (AWS-Infra) | Datenbank, Auth, Storage, E-Mail-Versand (SMTP) | EU-Region [Frankfurt], Support ggf. USA | Auftragsverarbeitungs­vertrag + SCC | | [ggf. externer SMTP-Provider, z. B. Resend/Postmark] | E-Mail-Zustellung für Einladungen/System­nachrichten | [Region] | [Grundlage] |

Eine Weitergabe an sonstige Dritte erfolgt nicht, außer:

  • wir sind gesetzlich verpflichtet (z. B. Auskunft an Strafverfolgungs­behörden),
  • die betroffene Person hat ausdrücklich eingewilligt, oder
  • es ist zur Geltendmachung, Ausübung oder Verteidigung von Rechts­ansprüchen erforderlich.

10. Drittlandtransfer

Eine Übermittlung personenbezogener Daten in Drittländer (insbesondere USA) findet im Rahmen der in Abschnitt 4, 5 und 9 genannten Auftragsverarbeiter statt. Wir stellen durch die folgenden Maßnahmen ein angemessenes Schutzniveau sicher:

  • Abschluss von Standardvertragsklauseln (Module 2/3) gemäß Durchführungsbeschluss (EU) 2021/914 mit den jeweiligen Dienstleistern;
  • sofern zertifiziert: Berufung auf das EU-U.S. Data Privacy Framework (https://www.dataprivacyframework.gov);
  • ergänzende technische Maßnahmen wie Transport­verschlüsselung (TLS), Verschlüsselung „at rest" und Zugriffs­beschränkungen auf das erforderliche Minimum;
  • organisatorische Maßnahmen wie Data-Processing-Agreements, Subprocessor-Listen und Sicherheits-Audits der Anbieter.

Ein Restrisiko — insbesondere im Hinblick auf Zugriffs­rechte US-amerikanischer Behörden nach Abschnitt 702 FISA und Executive Order 12333 — kann trotz dieser Maßnahmen nicht vollständig ausgeschlossen werden. Nutzer:innen werden hierüber ausdrücklich informiert.

11. Rechte der betroffenen Personen (Art. 15–22 DSGVO)

Du hast als betroffene Person folgende Rechte, die du uns gegenüber jederzeit ausüben kannst:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO);
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO);
  • Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO), soweit keine Aufbewahrungspflicht entgegensteht;
  • Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO);
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind, aus Gründen, die sich aus deiner besonderen Situation ergeben (Art. 21 DSGVO);
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an service@kellenheld.de. Bitte beachte, dass wir zur Beantwortung ggf. deine Identität verifizieren müssen.

12. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungs­rechtlichen oder gerichtlichen Rechts­behelfs steht dir das Recht zu, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde des EU-Mitgliedstaats deines Wohnsitzes, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für den Anbieter zuständige Aufsichtsbehörde ist: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach Website: https://www.lda.bayern.de

13. Sicherheit der Verarbeitung (Art. 32 DSGVO)

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen, insbesondere:

  • Transportverschlüsselung (TLS 1.2+) zwischen Browser und Server;
  • Verschlüsselung ruhender Daten („encryption at rest") auf Datenbank-Ebene durch Supabase/AWS;
  • Zugriffskontrollen mittels Row Level Security (RLS) zur strikten Mandanten-Trennung (siehe PROJ-13);
  • Multi-Faktor-Authentifizierung für Super-Admin-Zugänge;
  • Audit-Logs für sicherheitsrelevante Aktionen;
  • regelmäßige Sicherheits-Reviews und Abhängigkeits-Updates;
  • Backups mit definierter Retention.

Eine absolute Sicherheit kann jedoch im Internet nicht garantiert werden; ein Restrisiko verbleibt.

14. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungs­findung inklusive Profiling im Sinne des Art. 22 DSGVO statt. Die vom Dienst erstellten Mengen- und Einkaufs­empfehlungen sind reine Berechnungs­hilfen ohne rechtliche Wirkung gegenüber betroffenen Personen.

15. Kontakt für Datenschutz­anfragen

Fragen zum Datenschutz und zur Ausübung deiner Rechte richte bitte an:

E-Mail: service@kellenheld.de Post: wie in Abschnitt 1 angegeben

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutz­erklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umgesetzt werden können. Für deinen erneuten Besuch gilt dann die jeweils neue Datenschutz­erklärung. Wesentliche Änderungen werden wir — soweit rechtlich erforderlich — aktiv kommunizieren.