Thermify
Zurück zu Thermify

Datenschutzerklärung

Wir nehmen den Schutz deiner personenbezogenen Daten ernst und behandeln deine Daten vertraulich sowie entsprechend der gesetzlichen Datenschutzvorschriften, insbesondere der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vormals TTDSG).

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Markus Springer
c/o Postflex #12345
Emsdettener Straße 10
48268 Greven
Deutschland
Telefon: +49 123 4567890
E-Mail: info@thermify.ai

Ein Datenschutzbeauftragter ist gemäß § 38 BDSG nicht zu benennen, da die Voraussetzungen (insbesondere die Mindest-Mitarbeitendenzahl) nicht erfüllt sind. Bei Fragen zum Datenschutz wende dich bitte direkt an die oben genannte E-Mail-Adresse.

2. Überblick über die Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung des Dienstes erforderlich ist oder eine andere Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO besteht. Im Folgenden findest du eine detaillierte Übersicht über alle Verarbeitungsvorgänge.

3. Bereitstellung der Website (Server-Logs)

Beim Aufruf unserer Website werden durch den Browser deines Endgeräts automatisch Informationen übertragen, die in einem Logfile zwischengespeichert werden:

  • IP-Adresse (gekürzt vor Speicherung)
  • Datum und Uhrzeit des Zugriffs
  • Inhalt der Anforderung (konkrete Seite/Endpunkt)
  • HTTP-Status-Code
  • jeweils übertragene Datenmenge
  • Referrer-URL
  • Browser-Typ und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit des Dienstes).
Speicherdauer: Maximal 14 Tage, sofern nicht für Sicherheitsanalysen nach Vorfall länger erforderlich.
Empfänger: Hosting-Dienstleister (s. Abschnitt 13).

4. Anmeldung und Konto

Für die Nutzung des Dienstes ist eine Anmeldung erforderlich. Sie erfolgt wahlweise über Google-, Apple- oder per E-Mail-Magic-Link via Firebase Authentication. Verarbeitet werden:

  • E-Mail-Adresse
  • Anzeigename und ggf. Profilbild (sofern vom IdP bereitgestellt)
  • Firebase-User-ID (UID)
  • Anmelde-Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Für die Dauer des Vertrags zzgl. handelsrechtlicher Aufbewahrungsfristen (i. d. R. 6 Jahre).
Empfänger: Google Ireland Limited (Firebase Authentication).

5. Rezeptverarbeitung

Wenn du ein Rezeptfoto, einen Rezepttext oder eine URL hochlädst, werden diese Inhalte an unseren Server übermittelt und dort von einem KI-Modell (Google Gemini, vermittelt über OpenRouter) analysiert. Das hochgeladene Bild wird ausschließlich für die Dauer der Verarbeitung gespeichert und im Anschluss gelöscht. Das daraus erzeugte Rezept wird in unserer Datenbank (Firebase Firestore, Google Cloud Region europe-west) zur dauerhaften Bereitstellung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Bis zur Löschung durch dich oder bis zur Löschung deines Kontos. Hochgeladene Originalbilder werden nach erfolgreicher Verarbeitung sofort gelöscht; die generierte Repräsentation bleibt erhalten.
Empfänger: Google Ireland Limited (Firestore, Cloud Run), OpenRouter Inc. (USA), Google LLC (Gemini API, USA).

6. Bezahlvorgänge (Stripe)

Zahlungen für Plus-Abonnement und Top-up werden ausschließlich über die Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland („Stripe") abgewickelt. Stripe ist eigenverantwortlicher Verantwortlicher für die Verarbeitung der Zahlungsdaten; wir erhalten von Stripe folgende Informationen:

  • Stripe-Customer-ID
  • Stripe-Subscription-ID und Status (active, past_due, cancelled)
  • letzte vier Ziffern der Karte und Kartenmarke (für Anzeige im Kundenbereich)
  • Abrechnungs-Zeitstempel und -Beträge

Vollständige Zahlungsdaten (Kartennummer, CVV, Bankdaten) werden niemals an uns übermittelt. Datenschutzhinweise von Stripe: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (Erfüllung rechtlicher Pflichten, insb. handelsrechtliche Buchführungspflichten).
Speicherdauer: 10 Jahre (handelsrechtliche Aufbewahrungspflichten, § 257 HGB, § 147 AO).
Empfänger: Stripe Payments Europe Ltd. (Irland) und nachgelagerte Kreditkarten-Netzwerke (Visa, Mastercard, American Express).

7. E-Mails und Lifecycle-Kommunikation (Resend)

Transaktionale E-Mails (Bestätigung der Rezeptumwandlung, VIP-Einladung, Zahlungs- bestätigungen) und vereinzelte produktbezogene Lifecycle-Mails werden über die Resend Inc. (2261 Market Street, San Francisco, CA 94114, USA) versendet. Übermittelt werden: E-Mail-Adresse, Name (falls hinterlegt), Inhalts-Token (z. B. Rezept-ID) sowie Sende- und Zustellungs-Status (Delivered, Bounce, Open).

Newsletter- und Lifecycle-E-Mails versenden wir an bestehende Kunden auf Grundlage des § 7 Abs. 3 UWG (Bestandskundenwerbung für eigene, ähnliche Dienstleistungen). Du kannst der Verwendung deiner E-Mail-Adresse zu Werbezwecken jederzeit und unentgeltlich widersprechen — entweder über den One-Click-Unsubscribe-Link in jeder E-Mail (RFC 8058) oder per E-Mail an info@thermify.ai.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Transaktionsmails), Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG (Bestandskundenwerbung), bzw. Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung, sofern erteilt).
Speicherdauer: Bis zum Widerspruch bzw. zur Beendigung des Vertrags; Versand-Logs maximal 90 Tage.
Empfänger: Resend Inc. (USA).

8. KI-Verarbeitung (OpenRouter / Google Gemini)

Zur Rezeptumwandlung werden Bild- und Textinhalte an die OpenRouter Inc. (San Francisco, USA) übermittelt, die die Anfrage an Google Gemini (Google LLC, USA) weiterleitet. Wir übermitteln dabei ausschließlich den Rezeptinhalt sowie eine intern generierte Verarbeitungs-ID. Personenbezogene Daten (E-Mail, Name) werden nicht mit übermittelt. Die Modellbetreiber dürfen die Inhalte vertraglich nicht zu Trainingszwecken verwenden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer beim Empfänger: Gemäß deren API-Bedingungen maximal 30 Tage für Abuse-Detection, danach Löschung.
Empfänger: OpenRouter Inc. (USA), Google LLC (USA).

9. Cookidoo-Integration (Vorwerk)

Das umgewandelte Rezept wird als „Meine Kreation" über die offizielle Cookidoo-API der Vorwerk International AG (Verenastrasse 39, 8832 Wollerau, Schweiz) angelegt und in deinem Cookidoo-Konto gespeichert. Hierfür übermitteln wir den Rezeptinhalt sowie die von dir bereitgestellten Cookidoo-Zugangsdaten an Vorwerk. Wir speichern deine Cookidoo-Zugangsdaten ausschließlich verschlüsselt für die Dauer des Vorgangs und nicht dauerhaft. Die anschließende Datenverarbeitung obliegt allein der Vorwerk-Gruppe nach deren Datenschutzbestimmungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer Zugangsdaten: Nur transient während der Verarbeitung.
Empfänger: Vorwerk International AG (Schweiz, Adäquanzbeschluss der EU-Kommission).

10. Cookies, lokale Speicherung und Tracking

Wir verwenden auf unserer Webseite die folgenden Speicher- und Tracking-Technologien. Die Einwilligung zur Verwendung nicht-notwendiger Technologien holen wir gemäß § 25 TDDDG vor deren Aktivierung ein. Du kannst deine Einwilligung jederzeit über die widerrufen.

10.1 Notwendige Speicherzugriffe (keine Einwilligung erforderlich)

  • Firebase Auth-Token (localStorage): Anmelde-Sitzung, bleibt bis zum Logout aktiv.
  • Cookidoo-Sitzung: Verschlüsseltes Sitzungstoken zur Verbindung mit Vorwerk.
  • Consent-Status (`thermify.consent.v2`): Speichert deine Einwilligung pro Kategorie. Ohne diesen Eintrag könnten wir den Cookie-Banner nicht ausblenden.
  • Rezeptverlauf (localStorage): Speichert lokal die letzten 50 Rezept-IDs zur schnellen Anzeige.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch erforderlich) i. V. m. Art. 6 Abs. 1 lit. b DSGVO.

10.2 Statistik (nur mit Einwilligung)

  • Google Analytics 4 (GA4): Reichweiten- und Nutzungsmessung. IP-Anonymisierung ist aktiv; Cookies (`_ga`, `_ga_*`) werden für 14 Monate gespeichert. Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: 14 Monate; bis zum Widerruf der Einwilligung.
Drittlandtransfer: ja, USA — abgesichert durch EU-US Data Privacy Framework (Adäquanzbeschluss EU 2023/1795) und Standardvertragsklauseln.

10.3 Marketing (nur mit Einwilligung)

  • Meta Pixel: Conversion-Messung und Zielgruppenbildung für Kampagnen auf Facebook/Instagram. Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland.
  • Server-seitiges Mirroring: Wir spiegeln bestimmte Conversions (z. B. Kaufabschlüsse) zusätzlich serverseitig über die Meta Conversion API (CAPI) und das Google Measurement Protocol. Hierfür werden Hash-Werte (SHA-256) von E-Mail und Stripe-Customer-ID übermittelt. Diese Verarbeitung erfolgt nur, wenn Marketing-Einwilligung vorliegt.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: Cookies bis 90 Tage; serverseitige Mirror-Events 25 Monate beim Empfänger.
Drittlandtransfer: ja, USA — abgesichert wie unter 10.2.

11. Newsletter und Bestandskundenwerbung

Wir verwenden deine E-Mail-Adresse zur Versendung von Informationen über eigene, ähnliche Dienstleistungen, sofern du dieser Verwendung nicht widersprochen hast (§ 7 Abs. 3 UWG). Der Widerspruch ist jederzeit ohne entstehende Kosten möglich. Eine darüber hinausgehende werbliche Ansprache erfolgt nur mit deiner ausdrücklichen Einwilligung im Double-Opt-In-Verfahren.

12. Empfänger und Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein. Mit allen wurde ein Auftragsverarbeitungs- vertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

DienstleisterZweckSitz / Drittland
Google Ireland LimitedFirebase Authentication, Firestore, Cloud Run, Cloud StorageIrland (EU); Backups USA — EU-US DPF
Netlify Inc.Web-Hosting (CDN, Edge)USA — EU-US DPF + SCCs
Stripe Payments Europe Ltd.Bezahlabwicklung, RechnungserstellungIrland (EU)
Resend Inc.Versand transaktionaler und Lifecycle-E-MailsUSA — EU-US DPF + SCCs
OpenRouter Inc.API-Gateway für KI-ModelleUSA — SCCs
Google LLCGemini-API (KI-Modell)USA — EU-US DPF
Vorwerk International AGCookidoo-Integration (eigener Verantwortlicher)Schweiz — Adäquanzbeschluss
Apple Distribution International Ltd.Sign in with Apple (eigener Verantwortlicher)Irland (EU)
Postflex GmbHPostanschrift und Telefon-ServiceDeutschland

13. Datenübermittlung in Drittländer

Einige der oben genannten Empfänger (Resend, OpenRouter, Google LLC, Netlify) haben ihren Sitz in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, Az. 2023/1795) und ergänzend auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Trotz dieser Schutzmaßnahmen kann nicht ausgeschlossen werden, dass US-Behörden im Rahmen ihrer nationalen Zugriffsrechte (z. B. FISA 702) auf die Daten zugreifen.

14. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist. Nach Beendigung des Vertrags werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten (insbesondere § 257 HGB und § 147 AO) bestehen. Rechnungsbelege und Buchungsdaten werden zehn Jahre aufbewahrt.

15. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft über die zu deiner Person verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten („Recht auf Vergessenwerden", Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) — insbesondere gegen Direktwerbung
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Zur Ausübung deiner Rechte wende dich formlos an info@thermify.ai. Wir antworten innerhalb der gesetzlichen Fristen (i. d. R. innerhalb eines Monats).

16. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns örtlich zuständig ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
Web: https://www.lda.bayern.de

17. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung dir gegenüber findet nicht statt.

18. Datensicherheit

Unsere Webseite und API verwenden ausschließlich TLS 1.2 oder höher (HTTPS). Daten in Ruhe (at rest) werden auf Google-Cloud- und Stripe-Infrastruktur verschlüsselt. Der Zugriff auf Produktionsdaten ist auf den Anbieter beschränkt und wird durch Mehr-Faktor-Authentifizierung abgesichert.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, der eingesetzte Technologie-Stack oder die Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.

Stand: 2026-05-25