Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie ausführlich über den Umgang mit Ihren Daten bei der Nutzung unserer Website.

Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.

Prinzip der Datensparsamkeit: Wir erheben nur die Daten, die für die Bereitstellung unserer Dienste erforderlich sind. Die Nutzung der Website ohne Benutzerkonto ist ohne Angabe personenbezogener Daten möglich.

Sie können auf unserer Website ein Benutzerkonto erstellen. Bei der Registrierung werden folgende Daten erhoben:

• E-Mail-Adresse (Pflichtfeld): Zur Identifikation, Anmeldung und Kommunikation
• Benutzername (Pflichtfeld): Öffentlich sichtbar bei Bewertungen und zur eindeutigen Identifikation
• Passwort (Pflichtfeld): Zur Absicherung Ihres Kontos

Passwort-Sicherheit: Ihr Passwort wird mit dem Argon2id-Algorithmus verschlüsselt gespeichert. Dieser gilt nach OWASP-Empfehlungen als sicherster Algorithmus für die Passwortspeicherung. Wir haben keinen Zugriff auf Ihr Klartext-Passwort.

Benutzername-Eindeutigkeit: Benutzernamen sind eindeutig und werden anderen Nutzern bei Ihren Bewertungen angezeigt. Bei der Registrierung prüfen wir in Echtzeit, ob der gewünschte Benutzername verfügbar ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Zustimmung zur Datenschutzerklärung bei Registrierung).

Nach der Registrierung senden wir Ihnen eine E-Mail mit einem Bestätigungslink. Dieser Link ist 24 Stunden gültig. Der Versand erfolgt über Amazon Web Services Simple Email Service (AWS SES) mit Servern in der EU (Region Frankfurt).

Zweck: Sicherstellung, dass die angegebene E-Mail-Adresse Ihnen gehört und zur Vermeidung von Missbrauch.

Vertragsverarbeiter: Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor.

Bei jeder Anmeldung werden folgende Daten verarbeitet:

• Zeitpunkt der Anmeldung: Zur Sicherheitsüberwachung
• IP-Adresse: Für Sicherheitszwecke und zur Missbrauchsprävention
• Sitzungstoken: Verschlüsselter Token zur Authentifizierung (JWT)

Sitzungsdauer: Ihre Sitzung bleibt standardmäßig 30 Tage aktiv. Nach Ablauf müssen Sie sich erneut anmelden.

Optional können Sie die Zwei-Faktor-Authentifizierung aktivieren. Dabei werden zusätzliche Daten verarbeitet:

• TOTP-Geheimschlüssel: Verschlüsselt gespeicherter Schlüssel für zeitbasierte Einmalpasswörter
• Backup-Codes: Einmalig verwendbare Notfall-Codes, SHA-256-gehasht gespeichert
• Aktivierungszeitpunkt: Wann 2FA aktiviert wurde

Zweck: Erhöhte Sicherheit Ihres Kontos durch einen zweiten Authentifizierungsfaktor.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (freiwillige Einwilligung durch Aktivierung).

Bei Anforderung eines Passwort-Resets wird ein temporärer Token erstellt und per E-Mail versendet. Dieser Token ist 1 Stunde gültig.

Datenschutz: Aus Datenschutzgründen bestätigen wir nicht, ob eine E-Mail-Adresse registriert ist. Sie erhalten immer die gleiche Meldung, unabhängig davon, ob ein Konto existiert.

Folgende Daten werden in Ihrem Benutzerprofil gespeichert:

• Benutzer-ID: Eindeutige, zufällig generierte UUID
• E-Mail-Adresse: Für Anmeldung und Kommunikation
• Benutzername: Öffentlich sichtbarer Name
• Profilbild-URL (optional): Falls Sie ein Profilbild hochladen
• E-Mail-Verifizierungsstatus: Ob Ihre E-Mail bestätigt wurde
• Registrierungsdatum: Wann Ihr Konto erstellt wurde
• Letzte Anmeldung: Zeitpunkt Ihrer letzten Anmeldung
• Datenschutz-Einwilligung: Wann und welcher Version der Datenschutzerklärung Sie zugestimmt haben

Wenn Sie angemeldet sind, können Sie Produkte als Favoriten speichern und Vergleiche erstellen. Diese werden serverseitig gespeichert:

• Favoriten: Produkt-IDs Ihrer favorisierten Produkte mit Zeitstempel
• Vergleiche: Gespeicherte Produktvergleiche mit optionalem Namen

Synchronisierung: Sie können in Ihren Kontoeinstellungen wählen, ob Favoriten und Vergleiche geräteübergreifend synchronisiert werden sollen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Dienstfunktionen).

Sie können Produktbewertungen abgeben. Folgende Daten werden dabei erfasst:

• Bewertungen (1-5 Sterne): Geschmack, Textur, Mischbarkeit, Preis-Leistung
• Bewertungstitel und -text (optional): Ihre schriftliche Bewertung
• Produktbezug: Welches Produkt/Variante bewertet wurde
• Zeitstempel: Erstellungs- und Änderungsdatum
• Moderationsstatus: Ob die Bewertung veröffentlicht, ausstehend oder verborgen ist

Öffentliche Sichtbarkeit: Veröffentlichte Bewertungen sind mit Ihrem Benutzernamen für alle Besucher sichtbar. Der Bewertungstext unterliegt einer Moderation.

Abstimmungen: Andere Nutzer können Ihre Bewertungen als hilfreich oder nicht hilfreich markieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Veröffentlichung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an nutzergenerierten Inhalten).

Aus Sicherheitsgründen protokollieren wir bestimmte Kontoaktivitäten:

• Registrierung, Anmeldung, Abmeldung
• Passwortänderungen
• 2FA-Aktivierung/-Deaktivierung
• Datenexport
• Kontolöschung
• Bewertungsaktivitäten

Gespeicherte Daten: Aktion, Zeitstempel, anonymisierte IP-Adresse.

Zweck: Sicherheitsüberwachung, Missbrauchsprävention und Nachvollziehbarkeit bei Sicherheitsvorfällen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit).

Diese Website verwendet Cookies und den lokalen Speicher (Local Storage) Ihres Browsers. Folgende sind technisch notwendig:

• Sitzungs-Cookie (authjs.session-token): Für die Authentifizierung angemeldeter Nutzer (Laufzeit: 30 Tage)
• CSRF-Token (authjs.csrf-token): Schutz vor Cross-Site-Request-Forgery-Angriffen
• Cookie-Einwilligung (pdb_cookie_consent): Speichert Ihre Entscheidung bezüglich Cookies (Laufzeit: 1 Jahr)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Bereitstellung) und § 25 Abs. 2 TTDSG.

Mit Ihrer Einwilligung speichern wir im lokalen Speicher:

• Spracheinstellung: Ihre bevorzugte Sprache (Deutsch/English)
• Theme-Präferenz: Helles oder dunkles Design
• Favoriten (nicht angemeldet): Als Gast gespeicherte Favoriten
• Vergleichsliste (nicht angemeldet): Als Gast gespeicherte Vergleiche
• Ernährungspräferenzen: Ihre Filter-Einstellungen (vegan, whey, etc.)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Sie können diese Daten jederzeit über Ihre Browsereinstellungen löschen.

Unsere Website wird bei Hetzner Online GmbH gehostet:

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Deutschland

Die Server befinden sich ausschließlich in Deutschland. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor.

Bei jedem Zugriff auf unsere Website werden automatisch folgende Daten erfasst:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL (zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse (anonymisiert nach 7 Tagen)

Zweck: Technisch fehlerfreie Bereitstellung der Website und Sicherheit.

Speicherdauer: Log-Dateien werden nach 30 Tagen automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Alle Benutzerdaten werden in einer PostgreSQL-Datenbank auf Servern in Deutschland gespeichert. Die Datenbank ist:

• Verschlüsselt im Ruhezustand (at-rest encryption)
• Nur über verschlüsselte Verbindungen erreichbar
• Täglich gesichert mit 30-tägiger Aufbewahrung der Backups
• Nicht öffentlich aus dem Internet erreichbar

Für den Versand von E-Mails (Verifizierung, Passwort-Reset, Willkommensnachrichten) nutzen wir Amazon Web Services Simple Email Service (AWS SES):

Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy
L-1855 Luxembourg

Server-Standort: EU (Frankfurt, eu-central-1)

Verarbeitete Daten: E-Mail-Adresse des Empfängers, E-Mail-Inhalt, Versandzeitpunkt, Zustellstatus.

Speicherdauer bei AWS: Zustellungslogs werden nach 30 Tagen gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für transaktionale E-Mails.

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor. AWS ist unter dem EU-US Data Privacy Framework zertifiziert.

Diese Website nutzt Google Analytics 4 (GA4). Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Google Consent Mode v2:

Wir verwenden den Google Consent Mode v2. Vollständiges Tracking mit Cookies erfolgt erst nach Ihrer ausdrücklichen Einwilligung. Ohne Einwilligung werden keine Tracking-Cookies gesetzt.

Cookielose Messung (ohne Einwilligung):

Auch ohne Ihre Einwilligung sendet Google Analytics grundlegende, nicht personenbezogene Informationen (sogenannte “Pings”), die keine Rückschlüsse auf einzelne Nutzer zulassen:

• Aufgerufene Seiten-URL (ohne Identifikation)
• Zeitstempel des Seitenaufrufs
• Allgemeine Browserinformationen (ohne Fingerprinting)

Diese Daten enthalten keine Cookies, keine IP-Adresse und keine Nutzer-IDs. Sie dienen ausschließlich der aggregierten, statistischen Auswertung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Reichweitenmessung).

Erfasste Daten (nur mit Einwilligung):

• Anonymisierte IP-Adresse (IP-Anonymisierung ist aktiviert)
• Besuchte Seiten und Verweildauer
• Herkunft (Referrer)
• Geräte- und Browserinformationen
• Geografische Daten (Land, Stadt)
• Interaktionen (Klicks, Scrollverhalten)

Google Signals:

Wir haben Google Signals aktiviert. Wenn Sie in Ihrem Google-Konto angemeldet sind und personalisierte Werbung aktiviert haben, kann Google Ihre Nutzung unserer Website mit Daten aus anderen Google-Diensten verknüpfen, um geräteübergreifende Berichte zu erstellen. Diese Funktion ist nur aktiv, wenn Sie sowohl auf unserer Website als auch in Ihrem Google-Konto entsprechende Einwilligungen erteilt haben.

Verhaltensmodellierung:

Google Analytics nutzt maschinelles Lernen, um basierend auf den Daten einwilligender Nutzer statistische Modelle zu erstellen. Diese Modelle schätzen aggregierte Trends und Verhaltensweisen, ohne dabei personenbezogene Daten nicht einwilligender Nutzer zu verarbeiten. Es werden keine individuellen Profile erstellt.

Speicherdauer:

Daten werden nach 14 Monaten automatisch gelöscht.

Rechtsgrundlage:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für vollständiges Tracking und § 25 Abs. 1 TTDSG.

Widerruf:

Sie können Ihre Einwilligung jederzeit über unseren Cookie-Banner widerrufen oder das Browser-Add-on zur Deaktivierung installieren: https://tools.google.com/dlpage/gaoptout

Zur Deaktivierung von Google Signals können Sie in Ihrem Google-Konto unter Daten & Datenschutz die personalisierte Werbung deaktivieren.

Wir geben Ihre Daten nur in folgenden Fällen an Dritte weiter:

• Auftragsverarbeiter: Hetzner (Hosting), AWS (E-Mail-Versand) - jeweils mit AVV
• Google Analytics: Nur mit Ihrer ausdrücklichen Einwilligung
• Gesetzliche Verpflichtung: Wenn wir rechtlich dazu verpflichtet sind

Kein Verkauf von Daten: Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte.

Öffentliche Bewertungen: Ihre veröffentlichten Bewertungen mit Benutzernamen sind für alle Besucher sichtbar. Dies ist für die Funktion der Bewertungsplattform erforderlich.

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Korrektur unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen (“Recht auf Vergessenwerden”).
• Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerruf (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.
• Beschwerde (Art. 77 DSGVO): Sie können sich bei einer Aufsichtsbehörde beschweren.

11.1 Umsetzung in Ihrem Konto

Viele Rechte können Sie direkt in Ihrem Benutzerkonto ausüben:

• Datenexport: Unter “Mein Konto” → “Datenschutz” können Sie alle Ihre Daten als JSON-Datei herunterladen.
• Kontolöschung: Unter “Mein Konto” → “Datenschutz” können Sie Ihr Konto vollständig löschen.
• Profilbearbeitung: Unter “Mein Konto” → “Profil” können Sie Ihre Daten bearbeiten.
• Bewertungen löschen: Unter “Meine Bewertungen” können Sie einzelne Bewertungen löschen.

11.2 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen Ihrer besonderen Situation jederzeit gegen die Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen.

Kontakt für Datenschutzanfragen: [email protected]

Zuständige Aufsichtsbehörde:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
https://datenschutz.hessen.de

Bei Löschung Ihres Kontos werden folgende Daten entfernt:

• Ihre Profildaten (E-Mail, Benutzername, Passwort-Hash)
• Ihre 2FA-Einstellungen und Backup-Codes
• Ihre Favoriten und gespeicherten Vergleiche
• Ihre Bewertungen (werden anonymisiert oder gelöscht, je nach Ihrer Wahl)
• Ihre Abstimmungen zu Bewertungen anderer
• Alle Sitzungsdaten

Soft-Delete: Ihr Konto wird zunächst als gelöscht markiert und nach 30 Tagen endgültig entfernt. In dieser Zeit können Sie die Löschung noch rückgängig machen, indem Sie uns kontaktieren.

Aktivitätsprotokoll: Das Audit-Log wird für Sicherheitszwecke aufbewahrt, enthält nach der Löschung aber keine Verknüpfung mehr zu personenbezogenen Daten.

Diese Website nutzt HTTPS mit TLS 1.3 für alle Datenübertragungen. Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in Ihrer Browserzeile und der Adresse “https://”.

Alle Daten, die Sie an uns übermitteln (Anmeldedaten, Bewertungen, etc.), können nicht von Dritten mitgelesen werden.

Diese Website enthält Links zu externen Websites (Online-Shops, Händler). Beim Klick auf externe Links verlassen Sie unsere Website und es gelten die Datenschutzbestimmungen der jeweiligen Website.

Affiliate-Links: Einige Links sind Affiliate-Links. Bei Käufen über diese Links erhalten wir eine Provision ohne zusätzliche Kosten für Sie.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Finanzierung der Website).

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie aktuellen rechtlichen Anforderungen oder Änderungen unserer Dienste anzupassen.

Versionierung: Bei wesentlichen Änderungen erhöhen wir die Versionsnummer und informieren registrierte Nutzer per E-Mail. Die aktuelle Version ist 2.1 (Dezember 2024).

Bei Änderungen, die Ihre Einwilligung erfordern, werden wir Sie um erneute Zustimmung bitten.

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter:

[email protected]

Wir bemühen uns, Ihre Anfrage innerhalb von 30 Tagen zu beantworten.