Datenschutzerklärung

Stand: Juni 2026 — Verantwortlicher: Valentin Kolja Karlowski

1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO:
Valentin Kolja Karlowski
Hauptstraße 39, 40597 Düsseldorf
E-Mail: karlowskivalentin@gmail.com
2. Hosting (Strato AG)
Diese Website wird gehostet bei der Strato AG, Pascalstraße 10, 10587 Berlin. Bei jedem Seitenaufruf erhebt Strato automatisch Server-Log-Dateien, die dein Browser übermittelt. Dabei werden u. a. IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene URL, übermittelte Datenmenge und der anfragende Browser gespeichert. Diese Daten sind technisch notwendig zur Bereitstellung der Website und werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website).
3. Freiwilliges Nutzerkonto (Firebase Authentication)
KnowYourMeal bietet eine freiwillige Kontofunktion an. Eine Nutzung der Website ist vollständig ohne Konto möglich.

Anmeldung ist auf zwei Wegen möglich:
  • E-Mail + Passwort: Du legst selbst Zugangsdaten an; das Passwort wird ausschließlich bei Firebase als kryptografischer Hash gespeichert — nicht im Klartext.
  • Google-Login: Übernahme deines Namens, deiner E-Mail-Adresse und ggf. Profilbild-URL aus deinem Google-Konto.
Verantwortlich für den Authentifizierungs-Dienst und das Backend (Firestore-Datenbank) ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Daten können dabei in Rechenzentren der Google LLC in den USA verarbeitet werden. Google legitimiert die Übermittlung über die EU-Standardvertragsklauseln (SCC) sowie — sofern anwendbar — das EU-US Data Privacy Framework.

Folgende Daten werden über Firebase verarbeitet und in einer Firestore-Datenbank gespeichert:
  • E-Mail-Adresse und (bei Google-Login) Name + Profilbild-URL
  • Bei E-Mail-Login: kryptografischer Passwort-Hash
  • Dein Tageslog (von dir manuell hinzugefügte Gerichte)
  • Deine Restaurantbewertungen
  • Deine Lieblingsrestaurants (Favoriten)
  • Dein optionales Kalorienziel
  • Bei Gastronomen-Accounts zusätzlich: Zuordnung zu deinem Restaurant (UID-Verknüpfung)
Öffentliche Bewertungen: Wenn du ein Restaurant mit Sternen und/oder einem Text bewertest, wird diese Bewertung öffentlich auf der jeweiligen Restaurant-Seite angezeigt — sichtbar für alle Besucher. Dabei werden dein Anzeigename (bei Google-Login dein Google-Name, sonst der im Profil gesetzte Name) und dein Profilbild mitveröffentlicht. Deine E-Mail-Adresse wird niemals in einer Bewertung angezeigt. Eine Bewertung pro Restaurant ist möglich und jederzeit überschreibbar. Beim Löschen deines Kontos werden auch alle deine veröffentlichten Bewertungen automatisch von den Restaurant-Seiten entfernt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Anmeldung).
Speicherdauer: bis zur Löschung deines Kontos.
Löschung: jederzeit über den Profil-Button → „Konto löschen“ oder formlos per E-Mail an karlowskivalentin@gmail.com.

Firebase-Datenschutz: firebase.google.com/support/privacy
4. Lokale Speicherung ohne Konto (localStorage)
Wenn du kein Konto verwendest, speichert KnowYourMeal deinen Tageslog, deine Filtereinstellungen und Restaurantbewertungen ausschließlich lokal in deinem Browser (localStorage / sessionStorage). Diese Daten verlassen dein Gerät nicht und werden weder übertragen noch analysiert. Du kannst sie über den Browser-Einstellungen oder den jeweiligen Buttons in der App jederzeit löschen.
5. Kein Tracking & keine Werbung
KnowYourMeal verwendet kein Google Analytics, kein Facebook Pixel, keine Werbenetzwerke und keine sonstigen Tracking- oder Analyse-Tools. Es werden keine geräteübergreifenden Nutzungsprofile erstellt. Die im Firebase-Setup enthaltene Analytics-Kennung ist auf dieser Website nicht aktiv.
5b. Zahlungsabwicklung für Gastronomen (Stripe)
Für das kostenpflichtige Abonnement im Gastronomen-Bereich (B2B) nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (Stripe Ireland). Die Zahlungsabwicklung erfolgt auf Stripe-eigenen Seiten (Stripe Checkout / Customer Portal) — KnowYourMeal speichert keine Zahlungsdaten (keine Kreditkartennummern, keine IBANs).

Verarbeitet werden:
  • Stripe-Customer-ID und Stripe-Subscription-ID (zur Zuordnung deines Abos)
  • Abonnement-Status (aktiv, gekündigt, überfällig) und nächstes Abrechnungsdatum
  • Stripe-Webhook-Ereignisse (zur Synchronisation deines Abo-Status)
Die eigentlichen Zahlungsdaten (Karte, IBAN, Rechnungsadresse) verarbeitet ausschließlich Stripe. Daten können dabei in Rechenzentren der Stripe Inc. in den USA verarbeitet werden; Stripe legitimiert dies über die EU-Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. c (gesetzliche Aufbewahrungspflichten).
Speicherdauer: bis zur Beendigung des Abos zzgl. handels- und steuerrechtlicher Aufbewahrungsfristen (bis zu 10 Jahre).
Stripe-Datenschutz: stripe.com/de/privacy
5b-2. Bier-Benachrichtigungen der Brauerei-Bierliste (KYM Tap)
Auf den Live-Bierlisten unserer Partner-Brauereien (Seiten unter /tap.php) kannst du dich freiwillig mit deiner E-Mail-Adresse eintragen, um benachrichtigt zu werden, sobald ein neues Bier frisch am Hahn ist oder ein Bier zurückkehrt. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Erst wenn du den Bestätigungslink in der zugesandten E-Mail anklickst, wird deine Einwilligung wirksam und gespeichert.

Verarbeitet werden:
  • deine E-Mail-Adresse
  • der Zweck der Einwilligung (welche Brauerei) und der Bestätigungs-Zeitstempel
  • eine gehashte IP-Adresse als Einwilligungs-Nachweis (kein Klartext)
Die Bierliste selbst speichert darüber hinaus keine personenbezogenen Daten: Stempelpass-Fortschritt und „Heute getrunken“-Zähler liegen rein lokal in deinem Browser (localStorage) bzw. werden nur pseudonym (gehashte Geräte-Kennung, kein Klarname) verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Widerruf: jederzeit über den Abmelde-Link in jeder Mail oder formlos per E-Mail an karlowskivalentin@gmail.com.
Löschung: nach Widerruf bzw. wenn die Bestätigung nicht innerhalb von 30 Tagen erfolgt.
5c. KI-gestützte Speisekarten-Analyse (Anthropic Claude)
Wenn ein Gastronom im Self-Onboarding-Bereich (/mitmachen) eine Speisekarte als PDF hochlädt, wird der reine Text der Speisekarte zur Strukturierung (Gerichte, Zutaten, Preise, Allergene) an den KI-Dienst Claude der Anthropic PBC, 548 Market Street, PMB 90375, San Francisco, CA 94104, USA, übertragen.

Übertragen werden ausschließlich die in der Speisekarte enthaltenen Texte. Es werden keine personenbezogenen Daten des Gastronomen oder von Endnutzern an Anthropic übermittelt. Anthropic verarbeitet die Daten als Auftragsverarbeiter und nutzt sie laut eigener Datenschutzerklärung nicht zum Modelltraining, wenn die Verarbeitung über die API erfolgt (was hier der Fall ist).

Die Übermittlung erfolgt in die USA. Anthropic legitimiert dies über die EU-Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Onboarding-Vertrags mit dem Gastronomen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Speisekarten-Strukturierung).
Speicherdauer: Das hochgeladene PDF wird nach erfolgreicher Verarbeitung gelöscht; die strukturierten Gerichts-Daten verbleiben in unserer Datenbank, solange das Restaurant gelistet ist.
Anthropic-Datenschutz: anthropic.com/legal/privacy
5d. Technisch notwendige Cookies (Sessions, CSRF)
Wenn du Funktionen unseres Backends nutzt (Gastronomen-Login, Kontaktformular, Self-Onboarding, Admin-Bereich), setzen wir technisch notwendige Cookies:
  • PHP-Session-Cookie (PHPSESSID) — zur Aufrechterhaltung der Anmeldung; HttpOnly, Secure, SameSite=Strict
  • CSRF-Token — zum Schutz vor Cross-Site-Request-Forgery; gleiche Sicherheitsattribute
Diese Cookies sind zwingend erforderlich, um die Funktion der Login-/Formularbereiche zu gewährleisten. Für reine Lese-Nutzung (Restaurant-Seiten ohne Anmeldung) werden keine Cookies gesetzt.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich; keine Einwilligung nötig) sowie Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: bis zum Schließen des Browsers bzw. Logout.
5e. Progressive Web App & Service Worker
KnowYourMeal ist als Progressive Web App (PWA) ausgelegt. Dazu wird ein Service Worker in deinem Browser registriert, der statische Inhalte (HTML, CSS, JavaScript, Bilder) lokal zwischenspeichert, um die App auch offline und bei langsamer Verbindung schnell verfügbar zu machen. Es findet dabei keine Übermittlung deines Verhaltens an uns oder Dritte statt; der Service Worker arbeitet ausschließlich lokal in deinem Browser.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich für die App-Funktion).
Deaktivierung: in den Browser-Einstellungen unter „Speicher / Cookies löschen“ bzw. „Service Worker entfernen“.
6. Schriftarten (selbst gehostet)
Diese Website verwendet die Schriftart Inter, die direkt vom eigenen Server ausgeliefert wird. Es findet dabei keine Verbindung zu Google-Servern statt. Apple-Geräte nutzen die systemeigene Schrift SF Pro, die lokal installiert ist.
7. Google Maps (externe Links)
Die „Route planen“-Buttons führen zu Google Maps. Diese Website bettet Google Maps nicht ein — es handelt sich um einfache Links, die du aktiv anklicken musst. Sobald du Google Maps öffnest, gelten die Datenschutzbestimmungen von Google: policies.google.com/privacy.
8. Kontakt per E-Mail oder Formular
Wenn du uns per E-Mail oder über die Kontakt- bzw. Partner-Formulare erreichst, werden deine Angaben (Name, E-Mail, Nachricht) zur Bearbeitung deiner Anfrage verwendet und nicht an Dritte weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. lit. f (berechtigtes Interesse an Beantwortung von Anfragen). Die Daten werden nach abschließender Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
8b. Self-Onboarding für Gastronomen (/mitmachen)
Wenn ein Gastronom sein Restaurant über das Formular /mitmachen einträgt, werden folgende Daten verarbeitet:
  • Restaurant-Stammdaten (Name, Adresse, Telefon, Öffnungszeiten, Küchenart)
  • Ansprechpartner-Daten (Name, E-Mail, Telefon)
  • Speisekarte als PDF (siehe Punkt 5c zur KI-Verarbeitung)
  • IP-Adresse und Zeitstempel der Einreichung (Missbrauchsschutz, Rate-Limiting)
Die Daten werden in unserer MySQL-Datenbank (Strato, Hosting innerhalb der EU) gespeichert. Bei Freigabe durch unsere Redaktion wird die Restaurant-Detailseite veröffentlicht; die Verknüpfung zum Gastronomen-Konto erfolgt über die Firebase-UID (siehe Punkt 3).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung).
Speicherdauer: bis zur Löschung des Restaurant-Eintrags durch den Gastronomen oder durch uns; bei kostenpflichtigen Einträgen zusätzlich gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen.
9. Deine Rechte (Art. 15–22 DSGVO)
Du hast das Recht auf:
  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
  • Berichtigung unrichtiger Daten (Art. 16)
  • Löschung deiner Daten („Recht auf Vergessenwerden“, Art. 17) — über den Profil-Button oder per E-Mail
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20) — über den Button „Meine Daten exportieren“ im Profil erhältst du alle deine Daten als JSON-Datei
  • Widerspruch gegen die Verarbeitung (Art. 21)
  • Widerruf einer erteilten Einwilligung (jederzeit, ohne Angabe von Gründen)
Zur Ausübung deiner Rechte genügt eine E-Mail an karlowskivalentin@gmail.com.
10. Beschwerderecht bei der Aufsichtsbehörde
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für NRW ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW
Kavalleriestr. 2–4, 40213 Düsseldorf
www.ldi.nrw.de