Datenschutz
Transparenz ist uns wichtig. Hier erfährst du, welche Daten wir erheben, wie wir sie verwenden und welche Rechte du hast.
Verantwortlicher
Angaben gemäß Art. 4 Nr. 7 DSGVO
Flyva Studios
Hauptstr 37
76872 Steinweiler
Deutschland
Deniz Erginos
Ein Datenschutzbeauftragter ist gesetzlich nicht vorgeschrieben und wurde nicht bestellt.
Erhobene Daten im Überblick
Welche Kategorien personenbezogener Daten wir verarbeiten
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist. Im Folgenden findest du eine Übersicht der Datenkategorien:
- Kontodaten (E-Mail-Adresse, verschlüsseltes Passwort)
- Authentifizierungsdaten (JWT-Token, OAuth-Token)
- Gesundheitsdaten / Ernährungspräferenzen (Ernährungsform, Ausschlüsse, Allergien — nur mit Einwilligung)
- Standortdaten (Koordinaten, PLZ, Stadt — nur mit Einwilligung)
- Geräteinformationen (Plattform, App-Version)
- Nutzungsdaten (Rezeptauswahl, Einkaufslisten, Feedback)
- Zahlungsdaten (über RevenueCat verarbeitet, nicht bei uns gespeichert)
Hosting & Server-Logfiles
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Unsere Website und App-Infrastruktur werden bei externen Dienstleistern gehostet. Beim Aufruf unseres Angebots werden durch den Server automatisch technische Verbindungsdaten (Server-Logfiles) erhoben, die für einen sicheren Betrieb und den Schutz vor Cyberangriffen (DDoS-Schutz) erforderlich sind.
Zu diesen Daten gehören unter anderem:
- IP-Adresse des anfragenden Rechners
- Datum und Uhrzeit des Zugriffs
- Browsertyp und Browserversion
- Verwendetes Betriebssystem
- Referrer URL
Diese Daten werden in der Regel für 7–14 Tage gespeichert und danach automatisch gelöscht. Es findet keine Zusammenführung dieser Daten mit anderen Datenquellen statt.
Authentifizierung & Kontodaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zur Nutzung von Flyva ist ein Benutzerkonto erforderlich. Dabei erheben wir:
| Datum | Details |
|---|---|
| E-Mail-Adresse | Kontoidentifikation & Kommunikation |
| Passwort (gehasht) | Authentifizierung |
| Benutzer-ID (UUID) | Interne Zuordnung |
Alternativ kannst du dich über Google Sign-In oder Apple Sign-In anmelden. Dabei erhalten wir einen Identity Token vom jeweiligen Anbieter. Google und Apple übermitteln ggf. deine E-Mail-Adresse und deinen Namen — weitere Daten von diesen Diensten werden von uns nicht verarbeitet.
Die Authentifizierung erfolgt über JWT (JSON Web Token) mit ES256-Signatur. Token werden auf deinem Gerät in einem sicheren Speicher (AsyncStorage auf Mobilgeräten) gehalten und bei jeder API-Anfrage zur Verifizierung übertragen.
Ernährungs- & Präferenzdaten
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (Ausdrückliche Einwilligung)
Für die personalisierte Mahlzeitenplanung erheben wir folgende Präferenzen, die teilweise Gesundheitsdaten (wie Allergien oder Unverträglichkeiten) darstellen. Diese Daten verarbeiten wir ausschließlich mit deiner ausdrücklichen Einwilligung:
| Datum | Details |
|---|---|
| Ernährungsform | Normal, Vegetarisch, Vegan, Pescatarisch, Glutenfrei, Laktosefrei, Keto |
| Anzahl Mahlzeiten | 1–7 pro Woche |
| Portionsanzahl | 1–10 |
| Zutatenausschlüsse | Max. 20 Zutaten (z.B. Nüsse, Pilze) |
Darüber hinaus speichern wir deine ausgewählten Rezepte, deinen Wochenplan (Zuordnung von Rezepten zu Wochentagen) sowie deine Einkaufsliste (konsolidierte Zutaten, abgehakte Einträge und manuell hinzugefügte Artikel).
Standortdaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Flyva nutzt Standortdaten, um Supermärkte und Angebote in deiner Nähe zu finden. Die Erhebung erfolgt ausschließlich mit deiner ausdrücklichen Einwilligung, die über einen Einwilligungsdialog eingeholt wird.
| Datum | Details |
|---|---|
| GPS-Koordinaten | Breitengrad & Längengrad |
| Postleitzahl | Manuelle Eingabe oder Geocoding |
| Stadt | Manuelle Eingabe oder Geocoding |
| Einwilligungszeitpunkt | ISO-Zeitstempel |
Du kannst alternativ deinen Standort manuell eingeben (PLZ oder Stadt), ohne GPS-Zugriff zu erteilen. Die Geocodierung erfolgt über den Dienst Geoapify (siehe Abschnitt Drittanbieter).
Berechtigungen: Auf Android werden ACCESS_COARSE_LOCATION und ACCESS_FINE_LOCATION angefragt. Auf iOS wird locationWhenInUsePermission benötigt. Die Berechtigung kann jederzeit in den Geräteeinstellungen widerrufen werden.
Gerätedaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)
Wir erheben minimale technische Informationen zur Gewährleistung der App-Funktionalität:
| Datum | Details |
|---|---|
| Plattform | iOS, Android oder Web |
| App-Version | z.B. 1.0.3 |
Wir erheben keine Geräte-IDs, Fingerprints, Werbe-IDs oder vergleichbare Kennungen zur Nutzerverfolgung.
Drittanbieter & Datenübermittlung
Dienste, die wir zur Bereitstellung von Flyva einsetzen
Für Dienste mit Sitz in den USA (z.B. Google, Apple, Supabase, RevenueCat) erfolgt die Datenübermittlung auf Grundlage des EU-US Data Privacy Framework (DPF) oder, sofern die Anbieter nicht zertifiziert sind, auf Basis von Standardvertragsklauseln (SCCs) der EU-Kommission.
Supabase
Authentifizierung, Datenbank, Benutzerverwaltung
E-Mail, Passwort (gehasht), Profildaten, Mahlzeitendaten
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
OpenRouter (KI-Infrastruktur)
Automatische Rezeptgenerierung und Datenextraktion basierend auf aktuellen Angeboten
Angebotsartikel, Ernährungsform, Zutatenausschlüsse — keine personenbezogenen Daten
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
Geoapify
Geocodierung und Standort-Autovervollständigung
Eingegebener Suchtext (PLZ, Stadt, Adresse), gefiltert auf Deutschland
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
RevenueCat
Abonnementverwaltung und In-App-Käufe
Benutzer-ID, Abonnementstatus, Ablaufdatum
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
Google Sign-In / Apple Sign-In
Authentifizierung über OAuth
Identity Token, ggf. E-Mail-Adresse und Name
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
Overpass API (OpenStreetMap)
Synchronisation von Supermarktdaten
Geografische Koordinaten (Suchradius) — keine personenbezogenen Daten
Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse
Vercel (Web Analytics & Speed Insights)
Anonymisierte Erfassung von Seitenaufrufen und Performance-Metriken zur Verbesserung der App
Anonymisierte System- und Netzwerkdaten (keine IP-Speicherung, keine Cookies)
Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse
Resend
E-Mail-Versand über das Kontaktformular auf der Website
Name, E-Mail-Adresse, Nachrichtentext
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
KI-gestützte Verarbeitung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Flyva nutzt OpenRouter zur Anbindung verschiedener KI-Modelle für die automatische Generierung von Rezeptvorschlägen und Datenextraktion. Dabei werden ausschließlich folgende nicht-personenbezogene Daten an den Dienst übertragen:
- Aktuelle Angebotsartikel deines ausgewählten Supermarkts
- Deine gewählte Ernährungsform (z.B. Vegan)
- Deine Zutatenausschlüsse (z.B. Nüsse)
- Bereits generierte Rezepttitel (zur Vermeidung von Duplikaten)
Wichtiger Hinweis zu Gesundheitsdaten:
Die Übertragung dieser Daten (inkl. potenzieller Gesundheitsdaten wie Allergien oder Unverträglichkeiten) an die KI erfolgt vollständig anonymisiert und ohne jeglichen Bezug zu deinem Benutzerkonto.
Deine Benutzer-ID wird intern lediglich für die Protokollierung des Generierungsvorgangs verwendet (Token-Verbrauch, Kostenschätzung, Fehlermeldungen), aber nicht an OpenRouter oder die Modell-Anbieter übermittelt. Die Protokolldaten sind nur für den Systembetreiber einsehbar.
Zahlungen & Abonnements
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Zahlungen werden ausschließlich über die App-Stores (Google Play / Apple App Store) und den Dienst RevenueCat abgewickelt. Wir speichern selbst keine Zahlungsinformationen wie Kreditkartennummern oder Bankdaten.
Wir speichern lediglich:
| Datum | Details |
|---|---|
| Abonnementstatus | Aktiv / Inaktiv |
| Ablaufdatum | Zeitstempel |
| Testgenerierungen | Zähler (0–100) |
Datensicherheit
Technische und organisatorische Maßnahmen
- Verschlüsselte Übertragung aller Daten via HTTPS/TLS (erzwungen)
- Passwörter werden ausschließlich gehasht gespeichert (Supabase Auth)
- JWT-basierte Authentifizierung mit ES256-Signatur und JWKS-Verifizierung
- Row Level Security (RLS) — Benutzer können nur auf eigene Daten zugreifen
- Wir verzichten auf eine eigene IP-Protokollierung zur Nutzererfassung (abgesehen von temporären Server-Logs beim Hosting)
- API-Zugangskontrolle über Webhook-Secrets und Admin-API-Schlüssel
- Datenhaltung bei Supabase (PostgreSQL) mit Verschlüsselung im Ruhezustand
Deine Rechte
Gemäß Art. 15–22 DSGVO
Du hast jederzeit das Recht auf:
Auskunft
Welche Daten wir über dich gespeichert haben (Art. 15)
Berichtigung
Korrektur unrichtiger Daten (Art. 16)
Löschung
Löschung deiner personenbezogenen Daten (Art. 17)
Einschränkung
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit
Export deiner Daten in strukturiertem Format (Art. 20)
Widerruf
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
Beschwerde
Beschwerde bei einer Aufsichtsbehörde (Art. 77)
Widerspruchsrecht (Art. 21 Abs. 4 DSGVO)
Du hast das Recht, aus Gründen, die sich aus deiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung dich betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) erfolgt, Widerspruch einzulegen.
Datenlöschung & Kontolöschung
Dein Recht auf Vergessenwerden (Art. 17 DSGVO)
Du kannst dein Konto jederzeit löschen. Bei der Löschung deines Benutzerkontos werden alle zugehörigen Daten automatisch entfernt (kaskadierend):
- Profildaten (Standort, Ernährungspräferenzen)
- Ausgewählte Rezepte und Wochenpläne
- Einkaufslisten
- Abonnementstatus
- Feedback-Einträge
- Generierungsprotokolle
Die Kontolöschung kann über die App-Einstellungen oder über unsere Konto-Löschungsseite beantragt werden.
Kontakt für Datenschutzanfragen
Wir beantworten deine Anfrage innerhalb von 30 Tagen
Bei Fragen zum Datenschutz, Auskunftsersuchen oder Widerruf einer Einwilligung kannst du uns jederzeit kontaktieren:
Flyva Studios
Hauptstr 37, 76872 Steinweiler