Datenschutzerklärung

Information gemäß Art. 13 DSGVO über die Verarbeitung personenbezogener Daten bei Culino. Stand: [Datum vor Live-Gang einsetzen].

⚠️ Entwurf — vor Live-Gang prüfen: Adresse + Datum + Hosting-Standort einsetzen, Liste der Dienstleister gegen den tatsächlichen Stand abgleichen, dann diesen Hinweisblock entfernen und mit einem Anwalt durchgehen.

Inhalt

Verantwortlicher
Welche Daten wir verarbeiten
Zwecke und Rechtsgrundlagen
Eingesetzte Dienstleister
Datenübermittlung in Drittländer
Speicherdauer
Cookies & lokaler Speicher
Deine Rechte
Datensicherheit
Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

Dominik Wolfinger
[Straße und Hausnummer]
[PLZ] [Ort], Österreich
E-Mail: dominik.wolfinger@techwolf.at

2. Welche Daten wir verarbeiten

2.1 Kontodaten

Bei E-Mail-Registrierung: E-Mail-Adresse, Anzeigename, Passwort (nur als PBKDF2-Hash gespeichert, niemals im Klartext).
Bei Telegram-Login: Telegram-User-ID, Vorname, Benutzername (sofern öffentlich), zur Verifikation übermittelter Hash.

2.2 Inhaltsdaten

Rezepte, Zutatenlisten, Zubereitungsschritte, Tags, Notizen, hochgeladene Bilder.
Geteilte Kochbücher, Einkaufslisten, Wochenpläne, Swipe-Bewertungen.
Sammler-Karten von Restaurants (Verknüpfung Nutzer ↔ gesammeltes Signature-Rezept).
Restaurant-Konto-Daten (Restaurantname, Logo-URL, ggf. UID — sofern als Restaurant-Account angelegt).

2.3 Verbindungs- und Nutzungsdaten

Standard-Server-Logs: IP-Adresse, Zeitstempel, abgerufene URL, User-Agent, Referrer. Dienen der Betriebssicherheit (Fehleranalyse, Missbrauchsabwehr).
Tageskontingente (Anzahl extrahierter Rezepte, Sprachnachrichten, Transkriptionen) zur Durchsetzung tarifabhängiger Nutzungslimits.

2.4 Zahlungsdaten

Zahlungen werden vollständig über Stripe Payments Europe Ltd. abgewickelt. Kartendaten, Kontodaten oder ähnliche sensible Zahlungsinformationen werden niemals an Culino übermittelt oder von uns gespeichert. Wir erhalten von Stripe nur: Customer-ID, Subscription-ID, Status und Laufzeit-Daten deines Abonnements.

3. Zwecke und Rechtsgrundlagen

Zweck	Rechtsgrundlage
Bereitstellung von Konto, Rezeptspeicherung, Kochbuch-Sharing, Sammlerstücken	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Abwicklung von Abonnement-Zahlungen	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Versand transaktionaler E-Mails (Passwort-Reset, Abo-Bestätigungen)	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Server-Logs, Missbrauchsabwehr, Sicherheit	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Rate-Limiting / Kontingente	Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
KI-gestützte Rezeptextraktion auf deine Anforderung	Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

4. Eingesetzte Dienstleister

Folgende Auftragsverarbeiter werden eingesetzt. Mit allen besteht (oder wird vor Live-Gang geschlossen) ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO:

Dienst	Zweck	Sitz
Stripe Payments Europe Ltd.	Zahlungsabwicklung	Irland (mit US-Übermittlung)
Resend, Inc.	Transaktionale E-Mails	USA
Groq, Inc.	LLM-API für Rezeptextraktion und Kochfragen	USA
Apify s.r.o.	Scraping öffentlicher Instagram-Reels auf Nutzeranforderung	Tschechien (EU)
Telegram FZ-LLC	Bot-Plattform und Login-Widget	UAE / UK (vgl. Telegram-Datenschutz)
[Hosting-Provider, z.B. Hetzner Online GmbH]	Server-Hosting, Datenbank	[Standort, z.B. Falkenstein, Deutschland]

Beim Hochladen einer URL (z.B. Instagram-Reel) wird diese URL an den jeweiligen Scraper weitergegeben, um den dort öffentlich verfügbaren Rezeptinhalt abzurufen. Die extrahierten Texte werden zur strukturierten Aufbereitung an die LLM-API übermittelt; die LLM-Antwort wird als Rezept in deinem Konto gespeichert. Es findet keine dauerhafte Speicherung beim LLM-Provider statt (kein Modell-Training mit deinen Daten gemäß den jeweiligen Geschäftsbedingungen der Anbieter).

5. Datenübermittlung in Drittländer

Einige der oben genannten Dienstleister sitzen außerhalb des Europäischen Wirtschaftsraums. Übermittlungen erfolgen auf folgender Grundlage:

USA: Übermittlung erfolgt unter Berufung auf das EU-US Data Privacy Framework (sofern der jeweilige Anbieter zertifiziert ist) sowie auf Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914.
UAE / UK: Für Telegram werden Standardvertragsklauseln verwendet bzw. angemessenheitsbeschlussähnliche Übermittlungen gemäß DSGVO.

Trotz dieser Schutzmechanismen kann nicht ausgeschlossen werden, dass Behörden in Drittländern Zugriff auf Daten verlangen. Mit Nutzung des Dienstes nimmst du diese Restrisiken in Kauf.

6. Speicherdauer

Konto- und Inhaltsdaten: bis zur Löschung deines Kontos durch dich oder bis 24 Monate nach Inaktivität.
Server-Logs: typischerweise 14 Tage, danach anonymisiert/gelöscht.
Abrechnungs- und Buchhaltungsdaten: 7 Jahre gemäß § 132 BAO (gesetzliche Aufbewahrungspflicht — auch nach Kontolöschung).
Passwort-Reset-Tokens: 1 Stunde Gültigkeit, danach automatisch invalidiert.

7. Cookies & lokaler Speicher

Culino verwendet ausschließlich technisch notwendige Cookies und localStorage-Einträge:

app_session — verschlüsseltes JWT-Cookie zur Anmeldungs-Authentifizierung (30 Tage).
localStorage-Einträge zur Speicherung von UI-Präferenzen (z.B. ausgeblendete Hinweis-Karten, lokale Kochmodus-Einstellungen). Keine Identifikation, kein Tracking.

Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt. Eine Cookie-Banner-Pflicht (§ 165 Abs. 3 TKG 2021) besteht daher nicht.

8. Deine Rechte

Du hast nach DSGVO folgende Rechte:

Auskunft (Art. 15) über deine gespeicherten Daten
Berichtigung (Art. 16) unrichtiger Daten
Löschung (Art. 17) — über die Kontoeinstellungen ist Kontolöschung jederzeit möglich
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20) — auf Anfrage per E-Mail
Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen
Widerruf einer Einwilligung (Art. 7 Abs. 3), sofern eine solche erteilt wurde

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an dominik.wolfinger@techwolf.at.

Beschwerderecht

Du kannst dich jederzeit bei der Datenschutzbehörde Österreich beschweren:
Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien
Web: www.dsb.gv.at · E-Mail: dsb@dsb.gv.at

9. Datensicherheit

TLS-Verschlüsselung (HTTPS) für alle Verbindungen.
Passwörter werden ausschließlich als PBKDF2-SHA256-Hash mit Salt gespeichert.
Session-Tokens werden als signierte JWTs in HttpOnly-Cookies übertragen.
Datenbank-Zugriff nur über das interne Docker-Netzwerk, kein öffentlicher Port.
Tägliche Backups [Backup-Strategie ergaenzen sobald implementiert].

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Verarbeitungen oder die Rechtslage ändern. Die jeweils aktuelle Version ist unter Culino/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.