Vitanour
Menü

Datenschutzerklärung

Stand: Mai 2026

§1 Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Malita UG (in Gründung)

vertreten durch Stephan Häming

[Straße und Hausnummer — wird ergänzt]

[PLZ] Münster, Deutschland

E-Mail: stephanhaming@gmail.com

§2 Welche Daten wir verarbeiten

Im Rahmen der Nutzung von Vitanour verarbeiten wir folgende Kategorien personenbezogener Daten:

  • Stammdaten: Vollständiger Name, E-Mail-Adresse, Geburtsdatum, Rolle (Teilnehmer:in / Coach / Admin).
  • Authentifizierungsdaten: Passwort-Hash (gespeichert von Supabase Auth), Session-Token, IP-Adresse bei Login.
  • Gesundheitsdaten (Art. 9 DSGVO): Mahlzeiteneinträge (Lebensmittel, Mengen, Mahlzeitenfotos), Gewichtseinträge, wöchentliche Reflexionen zu Ernährungsverhalten und Wohlbefinden.
  • Nutzungs- und Verhaltensdaten: Kurs-Fortschritt, Zeitpunkte der Einträge, Einwilligungszeitstempel.
  • Technische Logs: Server-Logs (IP, Zeitstempel, HTTP-Methode, Pfad) — minimal, ohne Klardaten zu Gesundheitsinhalten.

§3 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO — Verarbeitung zur Erfüllung des Kursvertrags (Stammdaten, Kurs-Fortschritt, Authentifizierung).
  • Art. 9 Abs. 2 lit. a DSGVO — ausdrückliche Einwilligung für die Verarbeitung von Gesundheitsdaten (Ernährungs-, Gewichts- und Reflexionsdaten). Diese Einwilligung erteilen Sie beim Registrieren und können Sie jederzeit für die Zukunft widerrufen (→ §8).
  • Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Aufbewahrungspflichten (z. B. SGB-Nachweispflichten für §20-Kurse).
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Sicherheit der IT-Infrastruktur, Fraud-Prevention).

§4 Empfänger und Auftragsverarbeiter

Wir geben Daten ausschließlich an folgende Auftragsverarbeiter weiter, mit denen Verträge zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO abgeschlossen sind oder werden:

DienstZweckSitz / ServerDrittland
Hetzner CloudApp-Hosting (Server)DE (Falkenstein / Nürnberg)Nein
Supabase CloudDatenbank, Authentifizierung, DateispeicherEU (Frankfurt, AWS eu-central-1)Nein
Brevo (Sendinblue)Transaktions-E-Mails (Passwort-Reset, Einladungen)FR (EU-Server)Nein
AnthropicKI-gestützte Foto-Erkennung & Wochenreflexion (Claude API)USAJa → §5
Open Food FactsLebensmittel-Nährwert-Lookups (öffentliche API)FR (gemeinnützig)Nein
StratoDomain-Registrar (vitanour.de)DENein
CoolifySelf-hosted Deploy-Tool auf Hetzner (kein Drittanbieter)DE (Hetzner-Server)Nein

§5 Drittlandtransfer (USA)

Beim Einsatz der Claude API von Anthropic (San Francisco, USA) werden Mahlzeiten-Fotos und Reflexionstexte zur KI-Analyse in die USA übermittelt. Dies geschieht auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie — soweit zutreffend — des EU-US Data Privacy Framework (DPF).

Wir minimieren die übermittelten Daten technisch: Fotos werden vor dem Upload auf maximal 1568 px verkleinert, EXIF-Metadaten werden entfernt, und personenbezogene Informationen (Name, E-Mail o. Ä.) werden nicht in Prompts oder Bildmaterial eingebettet.

Der Auftragsverarbeitungsvertrag (Data Processing Addendum) mit Anthropic ist in deren Commercial Terms of Service automatisch eingebunden und enthält die EU-Standardvertragsklauseln (SCC) für die EU-US-Datenübermittlung. Eine Snapshot-Kopie des DPA wird beim Verantwortlichen archiviert. Eine Zero-Data-Retention-Vereinbarung mit Anthropic (Löschung der API-Daten unmittelbar nach Antwort) wird zusätzlich vereinbart.

§6 Speicherdauer

  • Kurs- und Gesundheitsdaten werden für die Dauer der Kurs-Teilnahme und darüber hinaus für den gesetzlich vorgeschriebenen Aufbewahrungszeitraum (derzeit 10 Jahre für Nachweise nach §20 SGB V) gespeichert.
  • Stammdaten und Authentifizierungsdaten werden nach Ablauf der gesetzlichen Aufbewahrungspflichten gelöscht.
  • Technische Server-Logs werden nach spätestens 30 Tagen gelöscht.
  • Einwilligungszeitstempel (consent_terms_at, consent_health_data_at) werden als Nachweis für die gesamte gesetzliche Aufbewahrungsfrist vorgehalten.

§7 Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte:

  • Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben.
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten.
  • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in maschinenlesbarem Format.
  • Widerspruch (Art. 21 DSGVO) — Gegen Verarbeitungen auf Basis berechtigter Interessen.

Für alle datenschutzrechtlichen Anfragen wenden Sie sich bitte per E-Mail an: stephanhaming@gmail.com

§8 Widerruf der Einwilligung

Soweit die Verarbeitung auf Ihrer Einwilligung beruht (insbesondere die Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 2 lit. a DSGVO), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Den Widerruf können Sie per E-Mail an stephanhaming@gmail.com erklären. Nach einem Widerruf stehen Ihnen die kursgebundenen Funktionen (Tagebuch, Foto-Analyse, Reflexionen) nicht mehr zur Verfügung.

§9 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für unseren Sitz in Nordrhein-Westfalen ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LfDI NRW)

Postfach 20 04 44

40102 Düsseldorf

Web: www.ldi.nrw.de

§10 Automatisierte Entscheidungsfindung

Wir setzen KI-Technologie (Claude von Anthropic) zur Analyse von Mahlzeiten-Fotos und zur Unterstützung von Wochenreflexionen ein. Dabei handelt es sich ausschließlich um Beobachtungen und Vorschläge zur Information der Teilnehmenden. Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO statt — d. h. keine Entscheidung, die allein auf automatisierter Verarbeitung beruht und der betroffenen Person gegenüber rechtliche oder ähnlich erhebliche Wirkung entfaltet. Alle Empfehlungen dienen ausschließlich der persönlichen Reflexion und ersetzen keine medizinische oder diätetische Beratung.

§11 Stand dieser Erklärung

Diese Datenschutzerklärung hat den Stand Mai 2026. Wir behalten uns vor, sie bei technischen oder rechtlichen Änderungen anzupassen. Die jeweils aktuelle Fassung ist unter vitanour.de/datenschutz abrufbar.