CarbCam – Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Geschäftsführer: Martin Schiftan · Handelsregister: Amtsgericht Freiburg i. Br., HRB724192 · USt-ID: DE343662047

Für datenschutzrechtliche Anfragen (Auskunft, Löschung, Berichtigung, Widerspruch) nutzen Sie bitte die oben genannten Kontaktdaten oder das Kontaktformular.

CarbCam ist eine Smartphone-App, mit der Nutzer Fotos von Mahlzeiten aufnehmen können. Die App sendet diese Fotos zur Analyse an das Server-Backend von ns.10be.de. Dort wird das Bild an eine vom Nutzer oder Server-Admin gewählte externe KI-Schnittstelle (derzeit unterstützt: Anthropic Claude API, Google Gemini API, OpenAI API, xAI Grok API, Mistral API, Zhipu GLM API, Microsoft Azure OpenAI) weitergereicht. Die zurückgegebenen Nährwertschätzungen (Kohlenhydrate, Fett, Protein, FPE, glykämischer Index) werden an die App ausgeliefert und dort angezeigt.

CarbCam benötigt keine Registrierung mit Name oder E-Mail-Adresse. Zur Verknüpfung von Gerät und Quota/Abo wird eine anonyme Installation-ID (24-stelliger Hex-String) verwendet, die beim ersten App-Start lokal generiert und bei jeder Anfrage mitgesendet wird.

3.1 Automatisch erhobene Daten bei jeder Anfrage

• Installation-ID: 24-stelliger Hex-String, beim ersten App-Start lokal generiert. Keine Rückverfolgbarkeit auf eine natürliche Person.
• IP-Adresse: vom Webserver in Standard-Logs erfasst (max. 7 Tage, dann anonymisiert).
• User-Agent/App-Version: zur Kompatibilitätsprüfung und Fehleranalyse.
• Zeitstempel und HTTP-Statuscode der Anfrage.

3.2 Inhalte, die durch Nutzung der App entstehen

• Foto der Mahlzeit (temporär): wird an den Server und von dort an die KI-Schnittstelle gesendet. Das Originalbild wird nach der Analyse nicht dauerhaft gespeichert.
• Foto-Hash & verkleinertes Vorschaubild: SHA-512 über das Bild sowie ein stark verkleinertes Thumbnail werden im Analyse-Cache gespeichert, damit identische oder ähnliche Fotos schneller und kostengünstiger beantwortet werden können (Perceptual-Hash-Matching).
• Analyseergebnis: die KI-Antwort (Lebensmittelnamen, Portionsgrößen, Nährwerte) wird zusammen mit dem Hash im Cache abgelegt.
• Analyse-Events: pro Anfrage (Food-Scan wie BG-Verlauf-Analyse) wird eine Zeile mit Installation-ID, Zeitstempel, Provider, Modell und Cache-Trefferart in einer Event-Tabelle gespeichert. Diese Tabelle dient der Quota-Zählung (die Anzahl der monatlich verfügbaren Analysen richtet sich nach dem gewählten Tarif; Scans und BG-Analysen zählen gemeinsam ins Monatslimit) und der Betrugsprävention.
• Foto-Verlauf (optional): verkleinerte Fotos können auf Wunsch des Nutzers über die Installation-ID einem persönlichen Foto-Verlauf zugeordnet werden, damit der Nutzer nach Neuinstallation der App seine Historie wieder abrufen kann.
• Standortbasierte Restaurant-Erinnerung (optional, Standard: aus): Wenn der Nutzer diese Funktion in den App-Einstellungen aktiviert und der App die Standortberechtigung „Immer“ (Android-Permission ACCESS_BACKGROUND_LOCATION bzw. iOS NSLocationAlwaysUsageDescription) gewährt, wertet die App den Geräte-Standort lokal aus (Prüf-Intervall ca. 15 Minuten, ausschließlich letzte bekannte Position – kein Continuous-Tracking), um zu erkennen, wenn der Nutzer länger als der eingestellte Schwellenwert (10–90 Minuten) im 25 Meter-Radius eines Restaurants verweilt. Vor der ersten Berechtigungsabfrage zeigt die App einen ausdrücklichen Hinweis-Dialog mit Zweck, Empfänger und Häufigkeit der Standortprüfung („Prominent Disclosure“). Für die Restaurant-Erkennung wird die Position bei Bedarf an die Apple-Maps-API (iOS, ohne API-Key) bzw. an die Google-Places-API (Android, mit unserem Maps-API-Key) gesendet, ausschließlich um den Namen des Restaurants im Umkreis zu ermitteln. Die Standortdaten verlassen das Gerät nicht in Richtung unserer Server – weder die Position noch der Name des Restaurants werden bei uns gespeichert oder verarbeitet. Die Funktion kann jederzeit im Einstellungs-Toggle abgeschaltet werden; die System-Berechtigung kann zusätzlich in den Geräte-Einstellungen widerrufen werden.
• Feedback: Bewertungen und Kommentare, die der Nutzer zu einer Analyse abgibt, werden mit der Installation-ID und dem betroffenen Cache-Eintrag verknüpft.

3.3 Daten im Rahmen von Bezahlvorgängen

• Store-Transaktions-IDs (Apple Original-Transaction-ID bzw. Google Purchase-Token) zur Verknüpfung der Installation mit dem Abonnement bzw. Bonus-Credit-Kauf.
• Tarif, Status, Laufzeit und Buchungszeiträume des Abonnements.
• Bezahl-relevante Stammdaten (Name, Adresse, Zahlungsmittel) werden ausschließlich bei Apple bzw. Google verarbeitet und liegen uns nicht vor.
• Rechnungen / Quittungen werden im jeweiligen Store-Konto (Apple-ID-Rechnungen bzw. Google-Play-Bestellverlauf) bereitgestellt.

3.4 Optional: Bring Your Own Key (BYOK)

• Eigener API-Key des Nutzers für Anthropic/Google wird auf dem Server nur zur Weiterleitung an die KI verwendet und nicht dauerhaft gespeichert (nur im RAM für die Dauer des Requests).
• Optional kann eine Kontakt-E-Mail-Adresse für BYOK-Supportanfragen hinterlegt werden.
• Bei BYOK-Anfragen (Bring-Your-Own-Key) werden Nutzungsdaten nicht auf das Kontingent des gewählten Pakets angerechnet.

• Erbringung der Kernfunktion (Foto-Analyse, Cache, Feedback): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).
• Caching und Qualitätsverbesserung (z. B. Perceptual-Hash-Matching, Admin-Korrekturen gegen wiederkehrende KI-Fehler): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter und kostengünstiger Bereitstellung des Dienstes; das Interesse der betroffenen Personen an einem geringeren Bildabdruck wird durch die Verwendung stark verkleinerter Vorschaubilder und die auto- matische 30-Tage-Löschung gewahrt).
• Abrechnung und Zahlungsabwicklung: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
• Betrugsprävention und Missbrauchsabwehr (Quota, Rate-Limits): Art. 6 Abs. 1 lit. f DSGVO.
• Server-Logs und Sicherheit: Art. 6 Abs. 1 lit. f DSGVO.

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung für die betroffenen Personen findet nicht statt. Die KI-gestützten Nährwert- schätzungen sind reine Informationsangaben und treffen keine Entscheidungen im rechtlichen Sinne.

Zur Erbringung des Dienstes werden Daten an folgende Auftragsverarbeiter und Dritte übermittelt:

5.1 Anthropic PBC (Claude API)

Sitz: San Francisco, CA, USA. Die Fotos und ein textueller Prompt werden zur Analyse an die Anthropic Claude API übermittelt. Anthropic ist vertraglich verpflichtet, die übermittelten Daten nicht zu Trainingszwecken zu verwenden (Zero-Retention-Policy für API-Kunden). Grundlage der Übermittlung: EU-Standardvertragsklauseln (SCC). Datenschutzerklärung: anthropic.com/privacy.

5.2 Google LLC (Gemini API, optional)

Sitz: Mountain View, CA, USA. Optional kann der Admin den Server so konfigurieren, dass Anfragen über die Google Gemini API beantwortet werden. In diesem Fall werden Fotos und Prompt an Google übermittelt. Grundlage: EU-Standardvertragsklauseln. Datenschutzerklärung: policies.google.com/privacy.

5.3 OpenAI, L.L.C.

Sitz: San Francisco, CA, USA. Optional kann der Nutzer (per Settings) oder der Admin Anfragen an die OpenAI-API senden. In diesem Fall werden Fotos und Prompt an OpenAI übermittelt. Grundlage: EU-Standardvertragsklauseln. Datenschutzerklärung: openai.com/policies.

5.4 Zhipu AI

Sitz: Peking, Volksrepublik China. Optional kann der Nutzer Anfragen an die Zhipu GLM API senden. Wichtig: Die Volksrepublik China gilt nach DSGVO als unsicheres Drittland ohne Angemessenheitsbeschluss. Die Nutzung dieses Providers erfolgt auf ausdrückliche Auswahl durch den Nutzer und auf eigenes Risiko; Standardvertragsklauseln sind mit dem Anbieter abgeschlossen. Datenschutzerklärung: bigmodel.cn/dev/api/security/privacy.

5.5 Microsoft Azure (OpenAI Service)

Sitz der Vertragspartei: Microsoft Ireland Operations Ltd., Dublin, Irland. Datenverarbeitung in Azure-EU-Regionen. Grundlage: Microsoft-Vertragswerk (DPA) und EU-Standardvertragsklauseln, sofern Daten in Drittländer übermittelt werden. Datenschutzerklärung: privacy.microsoft.com.

5.6 Apple Inc. / Google LLC (Zahlungsabwicklung)

Abos und Bonus-Credits werden ausschließlich über App Store (Apple Inc., Cupertino, USA) bzw. Google Play (Google LLC, Mountain View, USA) abgerechnet. Bei Bezahlvorgängen werden Name, Adresse, Zahlungsmittel und E-Mail-Adresse direkt an Apple bzw. Google übermittelt und nicht an uns weitergegeben. Datenschutzerklärungen: apple.com/legal/privacy, policies.google.com/privacy.

5.7 Open Food Facts & USDA FoodData Central

Für eine zusätzliche Qualitätsprüfung (Refine-Cross-Check) kann der Server nach einer KI-Analyse einen textbasierten Abgleich gegen die öffentlichen Datenbanken von Open Food Facts (Frankreich) und USDA FoodData Central (USA) durchführen. Dabei werden keine Fotos, sondern lediglich Lebensmittelnamen als Text-Query übermittelt.

5.8 Hosting und Server

Die ns.10be.de-Server stehen in Deutschland, Finnland und Frankreich. CarbCam-Daten werden auf den Servern in Deutschland verarbeitet und gespeichert.

• Analyse-Cache (Hash, Thumbnail, KI-Antwort): 90 Tage, dann automatische Löschung.
• Perceptual-Hash-Index (Precheck): 30 Tage, dann automatische Löschung.
• BG-Verlauf-Analyse-Cache: 30 Tage, dann automatische Löschung.
• Analyse-Events (Quota-Zählung): mindestens für die aktuelle Abrechnungs-/Quota-Periode, darüber hinaus aggregiert für Statistikzwecke.
• Foto-Verlauf (optional, an Installation-ID gebunden): bis zur Löschung durch den Nutzer oder bis der Dienst eingestellt wird.
• Feedback: bis zur Bearbeitung durch den Admin zuzüglich einer angemessenen Nachlaufzeit für Qualitätskontrolle.
• Abo-/Zahlungsdaten: für die Dauer der Vertragsbeziehung und darüber hinaus für die gesetzlichen Aufbewahrungsfristen (i. d. R. 10 Jahre nach Handels- und Steuerrecht).
• Webserver-Logs: max. 7 Tage, dann automatische Anonymisierung.
• BYOK-Key: nicht persistiert, nur im RAM für die Dauer der einzelnen Anfrage.

Nach der DSGVO haben Sie insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO) über die zu Ihrer Installation-ID gespeicherten Daten.
• Berichtigung unrichtiger Daten (Art. 16 DSGVO).
• Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung: CarbCam bietet keine granulare Einschränkung einzelner Verarbeitungszwecke. Sie können die Datenverarbeitung entweder in vollem Umfang akzeptieren oder Ihre Daten durch Löschung der App bzw. Zurücksetzen der Installation-ID beenden.
• Datenübertragbarkeit (Art. 20 DSGVO): Mahlzeiten-Daten (KH, Nährwerte, Zeitstempel) werden lokal auf dem Gerät in einer SQLite-Datenbank gespeichert und sind über die App-Funktion Settings → Daten → Export als CSV/JSON exportierbar. Sofern der Nutzer den optionalen Nightscout-Sync aktiviert hat und seine Nightscout-Instanz bei NS10BE (Managed Nightscout) gehostet ist, sind die synchronisierten Mahlzeiten-Notes zusätzlich Teil der dortigen Nightscout-Datenbank-Backups. Bei externen Nightscout-Instanzen oder ohne Nightscout-Sync existiert keine serverseitige Backup-Kopie der Mahlzeiten-Daten bei uns. Fotos werden nicht serverseitig archiviert – aktivieren Sie in den App-Einstellungen «Fotos in Galerie speichern», um lokale Kopien zu behalten.
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO).
• Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). Zuständig ist z. B. der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

Für die Ausübung Ihrer Rechte oder bei Fragen zum Datenschutz können Sie uns jederzeit unter support@carbcam.app oder über das Kontaktformular erreichen. Bei einer Löschungsanfrage ohne Login ist die 24-stellige Installation-ID anzugeben, damit die betroffenen Datensätze zugeordnet werden können.

• Die Datenübertragung zwischen App und Server erfolgt ausschließlich über HTTPS (TLS).
• Der Zugriff auf die Server ist auf den Anbieter beschränkt und erfolgt über SSH mit Public-Key-Authentifizierung.
• Datenbanken sind nach außen nicht direkt erreichbar.
• Backups werden verschlüsselt erstellt und nach maximal drei Tagen überschrieben, soweit nicht die Kern-Datenbank betroffen ist.
• BYOK-Keys werden ausschließlich im Arbeitsspeicher für die Dauer einer Anfrage gehalten und niemals auf Festplatte persistiert oder geloggt.

Da sich CarbCam in aktiver BETA-Entwicklung befindet, kann diese Datenschutzerklärung angepasst werden, wenn neue Funktionen hinzukommen, sich Auftragsverarbeiter ändern oder rechtliche Anforderungen dies erforderlich machen. Die jeweils aktuelle Fassung ist unter ns.10be.de/de/carbcam-privacy.html abrufbar. Wesentliche Änderungen werden in der App oder über den Newsletter kommuniziert.