Stand: 17. Mai 2026 · gültig für https://rezepte.digital

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten beim Besuch und bei der Nutzung von rezepte.digital erhoben, verarbeitet und gespeichert werden, zu welchem Zweck das geschieht und welche Rechte du als betroffene Person hast. Sie gilt für die Webseite, die mobilen Apps (iOS und Android) sowie alle damit verbundenen Funktionen.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

David Kahl
Thomas-Müntzer-Gasse 1
07987 Mohlsdorf-Teichwolframsdorf
E-Mail: info@familien-rezept.de

2. Deine Rechte als betroffene Person

Du hast nach der DSGVO insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO) — welche Daten wir über dich gespeichert haben
• Berichtigung (Art. 16 DSGVO) — falsche Daten zu korrigieren
• Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden")
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt deiner Daten in einem maschinenlesbaren Format
• Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Basis berechtigter Interessen
• Widerruf (Art. 7 Abs. 3 DSGVO) einer erteilten Einwilligung mit Wirkung für die Zukunft
• Beschwerde (Art. 77 DSGVO) bei einer Aufsichtsbehörde

Du kannst diese Rechte formlos per E-Mail an info@familien-rezept.de geltend machen. Eingeloggte Nutzer:innen können ihren kompletten Account inkl. aller eigenen Rezepte, Kommentare, Rezeptbücher und Newsletter-Daten direkt in den Profil-Einstellungen löschen (Recht auf Löschung nach Art. 17 DSGVO).

Zuständige Aufsichtsbehörde: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI), Häßlerstraße 8, 99096 Erfurt, www.tlfdi.de.

3. Allgemeine Hinweise

3.1 SSL/TLS-Verschlüsselung

Diese Webseite und die Schnittstellen zu den Apps nutzen ausschließlich verschlüsselte Verbindungen (HTTPS mit aktuellem TLS). Du erkennst das am Schloss-Symbol in deiner Browser-Adresszeile.

3.2 Server-Log-Dateien

Beim Aufruf der Webseite und der API werden technische Zugriffsdaten verarbeitet, die dein Browser bzw. die App automatisch übermittelt:

• aufgerufene URL / API-Route
• Datum und Uhrzeit der Anfrage
• Browsertyp und -version bzw. App-Version
• verwendetes Betriebssystem
• Referrer-URL
• IP-Adresse (in gekürzter Form, soweit technisch möglich)
• HTTP-Statuscode und übertragene Datenmenge

Diese Verarbeitung ist zur Bereitstellung und sicheren Funktion des Dienstes erforderlich (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an einem stabilen, missbrauchsfreien Betrieb). Eine Zusammenführung mit anderen Datenquellen findet nicht statt. Logs werden in der Regel nach 7 Tagen automatisch gelöscht, sofern sie nicht zur Aufklärung eines konkreten Vorfalls (z. B. Angriffsversuch) benötigt werden.

3.3 Hosting

Die Webseite und API werden auf eigener Infrastruktur in einem deutschen Rechenzentrum betrieben (Hosting-Partner: sync-storage.de). Es handelt sich um Auftragsverarbeitung im Sinne von Art. 28 DSGVO.

4. Registrierung und Nutzerkonto

Wenn du ein Konto bei rezepte.digital anlegst, erheben und speichern wir folgende Daten:

• Vorname und Nachname
• E-Mail-Adresse (dient zugleich als Login)
• Passwort (ausschließlich als kryptographischer Hash gespeichert — wir können dein Klartext-Passwort technisch nicht einsehen)
• IP-Adresse bei Registrierung und Aktivierung (zur Missbrauchsabwehr)
• Zeitpunkt der Registrierung und der letzten Anmeldung
• Bestätigungsstatus deiner E-Mail-Adresse
• Einwilligung zur Datenschutzerklärung (Zeitpunkt und Wortlaut)
• Optionale Einwilligung zum Newsletter-Empfang
• Optionales Profilbild (sofern hochgeladen)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) bzw. lit. a DSGVO (Einwilligung, soweit optionale Angaben betroffen sind). Die Daten werden gespeichert, solange dein Konto besteht. Bei Account-Löschung werden alle personenbezogenen Daten gelöscht, ebenso dein Eintrag im Authentifizierungs-System (Keycloak, siehe Abschnitt 6).

4.1 Inhalte: Rezepte, Kommentare, Bilder, Listen

Inhalte, die du selbst anlegst — Rezepte, Zutaten, Schritte, hochgeladene Bilder, Kommentare, Bewertungen, Essenspläne, Einkaufslisten — werden in unserer Datenbank bzw. auf dem Server gespeichert, solange du dein Konto nutzt. Sie sind nur den Personen sichtbar, denen du Zugriff auf dein Rezeptbuch gewährt hast. Beim Löschen deines Accounts werden alle von dir erstellten Inhalte ebenfalls gelöscht (Art. 17 DSGVO).

4.2 Bild-Uploads

Hochgeladene Bilder werden auf dem Server in einem geschützten Verzeichnis abgelegt und nur über authentifizierte API-Anfragen ausgeliefert. Bilder können Metadaten (z. B. EXIF-Daten mit Aufnahmeort/-zeit) enthalten — diese werden beim Verarbeiten durch die Bibliothek „sharp" entfernt.

5. Kontakt & E-Mail-Versand

5.1 Kontaktformular

Beim Absenden des Kontaktformulars verarbeiten wir die angegebenen Daten (Name, E-Mail, optional Telefonnummer, Nachricht), um deine Anfrage zu beantworten (Art. 6 Abs. 1 lit. b/f DSGVO). Nachrichten werden ausschließlich per E-Mail an info@familien-rezept.de zugestellt und nicht in unserer Datenbank gespeichert. Die E-Mails werden so lange aufbewahrt, wie es zur Beantwortung und Nachvollziehbarkeit nötig ist; sie werden danach gelöscht.

5.2 Transaktionale E-Mails (Aktivierung, Passwort-Reset, Einladungen)

Zur Funktion deines Kontos senden wir transaktionale E-Mails — etwa zur E-Mail-Bestätigung, zum Passwort-Reset oder bei Einladungen in ein Rezeptbuch. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).

5.3 Newsletter

Der Newsletter wird nur dann versendet, wenn du im Profil ausdrücklich eingewilligt hast (Art. 6 Abs. 1 lit. a DSGVO). Du kannst die Einwilligung jederzeit über dein Profil oder den Abmelde-Link in jeder Newsletter-E-Mail widerrufen.

Erfolgsmessung: Wir setzen in unseren Newslettern ein Tracking-Pixel ein, das die Öffnung der Mail registriert (Zeitpunkt der ersten Öffnung und eine zufällige Referenz-ID, die mit deinem Konto verknüpft ist). Diese Information hilft uns zu erkennen, ob unsere Mails ankommen und gelesen werden. Der Tracking-Pixel ist Teil der berechtigten Optimierung des Newsletter-Versands (Art. 6 Abs. 1 lit. f DSGVO). Du kannst das Tracking verhindern, indem du in deinem Mail-Client das automatische Laden externer Bilder deaktivierst, oder den Newsletter komplett deaktivierst.

5.4 E-Mail-Versand-Dienstleister

Für den Versand aller E-Mails nutzen wir den deutschen SMTP-Dienstleister united-domains AG / Host Europe (Server: smtp.udag.de). Dieser verarbeitet die übermittelten E-Mails (Empfängeradresse, Inhalt) ausschließlich in unserem Auftrag (Art. 28 DSGVO).

6. Authentifizierung (Keycloak)

Für die Anmeldung und Sitzungsverwaltung nutzen wir eine selbst betriebene Keycloak-Instanz (auth.sync-storage.de). Dort werden dein Nutzername, deine E-Mail-Adresse und das gehashte Passwort sowie aus Sicherheitsgründen die IP-Adresse der letzten Anmeldung gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Beim Löschen deines Kontos wird auch dein Keycloak-Eintrag gelöscht.

Beim Login werden in deinem Browser bzw. der App folgende Tokens gespeichert (siehe auch Abschnitt 9):

• access_token — kurzlebiger Zugriffstoken
• refresh_token — Token zur automatischen Sitzungsverlängerung
• id_token_claims_obj — Basisinformationen zu deinem Konto

7. Drittanbieter und externe Dienste

7.1 Sentry (Fehler- und Stabilitäts-Monitoring)

Zur Erkennung von Fehlern und Abstürzen nutzen wir Sentry. Wir betreiben eine eigene Sentry-Instanz auf einem deutschen Server (track.schulportal24.com) — es findet kein Datentransfer in die USA oder an Drittländer statt. Erfasst werden ausschließlich technische Informationen über Fehler und einen geringen Anteil anonymisierter Performance-Messungen: Stack-Traces, Browser-/App-Version, anonymisierte IP-Adresse, Ladezeiten und die HTTP-Anfrage, die den Fehler ausgelöst hat. Wir zeichnen keine Bildschirminhalte („Session-Replay") und keine Eingaben auf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Dienst). Diese Daten werden maximal 90 Tage gespeichert und danach automatisch gelöscht.

7.2 Google Tag Manager & Google Analytics

Auf der Webseite kommt der Google Tag Manager (Container-ID GTM-TTSF835) zum Einsatz, der seinerseits Google Analytics nachlädt. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Analytics verwendet Cookies bzw. ähnliche Technologien, um anonymisierte Nutzungsstatistiken über die Webseite zu erstellen (z. B. wie viele Personen welche Seiten besuchen). IP-Adressen werden über die GA4-Standardfunktion anonymisiert. Eine Übermittlung in die USA kann nicht ausgeschlossen werden; Google ist nach dem EU-US Data Privacy Framework zertifiziert.

Rechtsgrundlage ist deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG. Beim ersten Aufruf der Seite wirst du über unseren Cookie-Banner gefragt; vor deiner Einwilligung werden weder Cookies gesetzt noch Daten an Google übertragen. Du kannst deine Auswahl jederzeit ändern:

→ Cookie-Einstellungen erneut öffnen

Datenschutzhinweise von Google: https://policies.google.com/privacy

7.3 Google Fonts

Schriften werden von fonts.googleapis.com nachgeladen. Dabei erfährt Google deine IP-Adresse und die aufgerufene Seite. Anbieter ist die Google Ireland Limited. Wir setzen Google Fonts ein, um eine konsistente typografische Darstellung zu gewährleisten (Art. 6 Abs. 1 lit. f DSGVO). Datenschutz: siehe Link in 7.2.

7.4 Pixabay-Bilddienst

Beim Anlegen eigener Rezeptkategorien kannst du optional ein Hintergrundbild von Pixabay (Pixabay GmbH, Lehrer-Wirth-Str. 4, 80807 München) übernehmen. Hierfür wird dein Suchbegriff an die Pixabay-API übermittelt. Die Übermittlung erfolgt zur Erbringung der Funktion (Art. 6 Abs. 1 lit. b DSGVO). Pixabay-Datenschutz: https://pixabay.com/de/service/privacy/

7.5 Chefkoch-Import

Wenn du ein Rezept von chefkoch.de importierst, wird die Rezept-URL bzw. Rezept-ID an api.chefkoch.de übermittelt, um die Rezept-Daten abzurufen. In der mobilen App öffnet sich dafür ein eingebetteter Browser (WebView), in dem du direkt auf chefkoch.de surfst. Dabei erhebt chefkoch.de eigenständig Daten gemäß ihrer eigenen Datenschutzerklärung: chefkoch.de/info/Datenschutz .

7.6 jsDelivr (CSS-CDN)

Eine kleine CSS-Animation wird vom Content-Delivery-Network jsDelivr (Prospect One sp. z o.o.) nachgeladen. Dabei werden deine IP-Adresse und der User-Agent übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Mobile Apps (iOS & Android)

Die mobilen Apps verarbeiten dieselben personenbezogenen Daten wie die Webseite. Zusätzlich gilt:

• Sicherer Token-Speicher: Authentifizierungs-Tokens (auth_token, refresh_token) werden im betriebssystemverwalteten Schlüsselspeicher (iOS Keychain / Android Keystore) verschlüsselt abgelegt.
• Biometrische Anmeldung (optional): Falls du Face ID, Touch ID oder Fingerabdruck aktivierst, prüft das Betriebssystem deine biometrischen Merkmale lokal auf dem Gerät — sie verlassen dein Gerät nie und werden uns nicht übermittelt.
• Lokal gespeicherte Voreinstellungen: die Sortierreihenfolge der Einkaufsliste, abgehakte Einträge je Woche und ein Entwurf eines noch nicht gespeicherten Rezepts werden lokal auf deinem Gerät abgelegt (shared_preferences).
• App-Bezug: Die App beziehst du über den Apple App Store (Apple Inc.) bzw. Google Play (Google Ireland Limited). Diese Anbieter erheben eigenständig Daten beim Download — siehe deren jeweilige Datenschutzerklärungen.

9. Cookies und vergleichbare Technologien

Wir setzen ausschließlich folgende Cookies und Speichermechanismen ein:

9.1 Technisch notwendige Cookies (Art. 6 Abs. 1 lit. f DSGVO)

9.2 Cookies und Speicher mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Cookies und ähnliche Technologien von Google Tag Manager / Google Analytics (z. B. _ga, _gid) werden erst nach deiner Einwilligung gesetzt. Du kannst die Einwilligung in den Cookie-Einstellungen jederzeit widerrufen oder oben (Abschnitt 7.2) Google Analytics deaktivieren.

9.3 Lokaler Speicher (localStorage / sessionStorage)

Im Browser werden temporär folgende Daten gespeichert, ohne dass sie an uns oder Dritte übermittelt werden:

• sessionStorage: Entwürfe deines gerade erstellten Rezepts (step01, step02, step03, currentStep), bis du das Rezept speicherst oder den Browser schließt.
• sessionStorage: Liste deiner Rezeptbücher (userBooks), zur Verkürzung von Ladezeiten — wird bei Logout gelöscht.

10. Weitergabe an Dritte

Eine Weitergabe deiner Daten an Dritte erfolgt nicht — außer in den oben beschriebenen Fällen (Auftragsverarbeiter wie Hosting, SMTP, Google Tag Manager mit deiner Einwilligung, technisch notwendige CDNs). Wir verkaufen keine Daten, betreiben kein Profiling für Werbezwecke und versenden keine Werbung an Dritte.

11. Speicherdauer

Wir speichern deine personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist:

• Konto und Inhalte — bis zur Löschung deines Kontos durch dich
• IP bei Registrierung/Aktivierung — bis zur Löschung des Kontos (zusammen damit gelöscht)
• Server-Logs — in der Regel 7 Tage
• Sentry-Fehlerdaten — maximal 90 Tage
• Kontaktformular-Mails — bis zur abschließenden Bearbeitung deiner Anfrage
• Newsletter-Trackingdaten (ref_id, seen-at) — bis zur Abmeldung oder Konto-Löschung

Bestehen gesetzliche Aufbewahrungspflichten (z. B. handelsrechtlich), bleiben diese unberührt.

12. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um deine Daten zu schützen, insbesondere gegen unbefugten Zugriff, Verlust oder Manipulation:

• verschlüsselte Übertragung (TLS) auf allen Webseiten und API-Routen
• Passwort-Hashing nach aktuellem Stand der Technik (durch Keycloak)
• regelmäßige Aktualisierung der eingesetzten Software
• Zugriffskontrolle: Administrationszugang nur über Zwei-Faktor-Authentifizierung
• verschlüsselte Token-Speicher in den mobilen Apps (iOS Keychain / Android Keystore)

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei Änderungen unserer Dienste, bei neuen Funktionen oder bei geänderter Rechtslage. Die jeweils aktuelle Fassung ist auf https://rezepte.digital/datenschutz abrufbar.

Stand: 17. Mai 2026