Stand: 1. Juli 2026
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten wir bei der Nutzung der mobilen Anwendung FrameZest (im Folgenden: „App") verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und welche Rechte Ihnen zustehen.
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Samuel Feindt
daabrainz studio – FrameZest
Emilienstraße 17A, 86153 Augsburg
E-Mail: hi@framezest.com
Wir haben keinen Datenschutzbeauftragten benannt, da die gesetzlichen Voraussetzungen hierfür nicht vorliegen. Bei allen datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.
2. Geltungsbereich
Diese Datenschutzerklärung gilt für die Nutzung der iOS-App FrameZest. Sie gilt nicht für externe Webseiten oder Dienste, auf die in der App lediglich verlinkt wird (z. B. Apple App Store, Drittanbieter-Webseiten beim URL-Import). Für diese gelten die jeweils eigenen Datenschutzerklärungen der Anbieter.
3. Grundsätzliches zur Verarbeitung
Soweit wir personenbezogene Daten verarbeiten, geschieht dies ausschließlich auf einer der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO – Ihre Einwilligung (insbesondere für Produktanalyse und Sitzungsaufzeichnung / PostHog).
- Art. 6 Abs. 1 lit. b DSGVO – Erforderlichkeit zur Erfüllung des Nutzungsvertrags der App (Kernfunktionen wie Konto, Rezeptverwaltung, Scan, Abonnement).
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Pflichten (z. B. steuerliche Aufbewahrungsfristen für Abrechnungsdaten).
- Art. 6 Abs. 1 lit. f DSGVO – Wahrung berechtigter Interessen (z. B. IT-Sicherheit, Missbrauchserkennung).
4. Verarbeitung beim App-Betrieb
4.1 Konto-Registrierung und Login (Firebase Authentication)
Zur Nutzung der App ist ein Nutzerkonto erforderlich. Die Authentifizierung erfolgt über Firebase Authentication, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Sie können sich auf zwei Wegen registrieren bzw. anmelden:
- E-Mail und Passwort: Verarbeitet werden Ihre E-Mail-Adresse und ein als Hash gespeichertes Passwort.
- Sign in with Google: Bei Auswahl dieses Login-Verfahrens authentifiziert Google Sie und übermittelt uns Ihre E-Mail-Adresse, Ihren angezeigten Namen sowie eine Google-Konto-Kennung. Google verarbeitet darüber hinaus eigene Daten gemäß policies.google.com/privacy.
Zusätzlich verarbeitet Firebase Authentication die IP-Adresse und den User-Agent Ihres Geräts zum Zweck der Missbrauchsabwehr.
Die Datenverarbeitung durch Firebase Authentication erfolgt nach Angaben des Anbieters ausschließlich in Rechenzentren in den USA und lässt sich technisch nicht auf eine EU-Region beschränken. Zu den Sicherungsmaßnahmen für den Drittlandtransfer siehe Ziffer 5.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.2 Speicherung von Rezepten und Bildern (Firestore / Cloud Storage)
Die in der App angelegten Inhalte (Rezepte, Notizen, hochgeladene oder per Scan erzeugte Bilder, Tags, Sammlungen) speichern wir in den Google-Cloud-Diensten Cloud Firestore und Cloud Storage for Firebase. Die Daten werden in einer Region innerhalb der Europäischen Union (Standard: europe-west) gespeichert.
Verarbeitet werden insbesondere: die von Ihnen eingegebenen Rezeptdaten, hochgeladene Bilder, mit Ihrer Nutzer-ID verknüpfte Metadaten (Erstellungszeitpunkt, Sortierungen) sowie die zur Anfrage erforderliche IP-Adresse.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.3 Rezept-Scan über die Kamera (Vertex AI / Gemini)
Sie können in der App ein Rezept fotografieren bzw. ein Foto aus Ihrer Mediathek auswählen, um den Inhalt automatisch zu erfassen. Hierzu benötigt die App Ihre Erlaubnis für den Zugriff auf die Kamera bzw. die Fotos (Sie werden vom Betriebssystem dazu aufgefordert).
Das Bild wird in Cloud Storage geladen und anschließend an Google Vertex AI mit dem Modell Gemini übergeben, um die enthaltenen Texte zu erkennen, zu strukturieren und in ein Rezeptformat zu überführen. Die hierfür eingesetzte Texterkennung wird in einer EU-Region (europe-west) betrieben. Für die separate KI-Bilderzeugung gilt abweichend Ziffer 4.8.
Google sichert für Vertex AI vertraglich zu: „Google won't use your data to train or fine-tune any AI/ML models without your prior permission or instruction." Eingaben und Ausgaben werden standardmäßig nicht dauerhaft gespeichert; ein kurzzeitiges Missbrauchs-Monitoring kann nach den Google-Cloud-Bedingungen stattfinden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung einer Kernfunktion der App).
4.4 Rezept-Import per URL
Sie können in der App eine URL zu einer Rezeptseite eingeben oder einfügen. Die App ruft über eine Cloud Function die öffentlich zugängliche Webseite ab und extrahiert mit Hilfe von Vertex AI / Gemini den Rezeptinhalt.
Hierbei verarbeitet werden: die von Ihnen eingegebene URL, die öffentlich zugänglichen Inhalte der Zielseite sowie die IP-Adresse Ihres Geräts beim Aufruf der Cloud Function. Eine Verknüpfung mit Ihrem Konto bei dem Betreiber der Quellseite findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.5 Import über das iOS Share Sheet (Instagram, TikTok, YouTube u. a.)
Wenn Sie in einer anderen App (z. B. Instagram, TikTok, YouTube, Safari) den Teilen-Dialog von iOS verwenden und FrameZest auswählen, übergibt iOS einen Link bzw. einen Inhalt an unsere App. Dieser Vorgang wird ausschließlich durch Ihre aktive Auswahl ausgelöst.
FrameZest verarbeitet anschließend lediglich die übergebene URL bzw. den übergebenen öffentlichen Inhalt analog zum Vorgang in Ziffer 4.4. Eine Anmeldung an Ihrem Instagram-, TikTok- oder YouTube-Konto, ein OAuth-Zugriff oder ein Auslesen Ihrer privaten Daten findet zu keinem Zeitpunkt statt.
Für die jeweilige Quell-Plattform gelten ausschließlich deren eigene Datenschutzbestimmungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.6 Abonnement und In-App-Käufe (RevenueCat und Apple)
Kostenpflichtige Funktionen werden über das Apple-In-App-Purchase-System abgewickelt. Apple verarbeitet hierbei Ihre Zahlungs- und Apple-ID-Daten in eigener Verantwortung; auf diese Daten haben wir keinen Zugriff. Es gilt die Datenschutzerklärung der Apple Distribution International Ltd.
Zur Verwaltung von Abonnement-Status, Berechtigungen und Wiederherstellungen nutzen wir RevenueCat, Inc., 700 El Camino Real Suite 120 #1046, Menlo Park, CA 94025, USA. RevenueCat erhält dabei insbesondere:
- eine anonyme App-User-ID (verknüpft mit Ihrem FrameZest-Konto),
- Gerätetyp und Betriebssystem,
- den Apple-Kaufbeleg (Receipt) bzw. Token zur Verifikation des Kaufs,
- Status und Verlauf Ihres Abonnements.
RevenueCat verarbeitet diese Daten auf Servern in den USA (AWS). Der Drittlandtransfer wird durch Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO abgesichert (siehe Ziffer 5). Ein gültiger Auftragsverarbeitungsvertrag ist Bestandteil des RevenueCat-DPA (revenuecat.com/dpa).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Abwicklung des Abonnementvertrags); für Aufbewahrung steuerlich relevanter Belege zusätzlich Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 147 AO.
4.7 Produktanalyse und Sitzungsaufzeichnung (PostHog)
Sofern Sie eingewilligt haben, setzen wir PostHog (PostHog Inc., 2261 Market Street #4008, San Francisco, CA 94114, USA) auf der EU-Cloud-Instanz ein. Die Daten werden ausschließlich in einem Rechenzentrum in Frankfurt am Main, Deutschland gespeichert und verarbeitet.
Wir nutzen PostHog, um zu verstehen, welche Funktionen wie häufig verwendet werden und wo es Abbruchstellen, Bedienprobleme oder Fehler gibt. Verarbeitet werden insbesondere:
- Ereignisse (z. B. Aufruf bestimmter Bildschirme, Klicks auf Funktionen),
- technische Eigenschaften des Geräts (Modell, Betriebssystem-Version, App-Version, Sprache),
- eine pseudonyme PostHog-Distinct-ID, die wir nach erfolgter Anmeldung mit Ihrer FrameZest-User-ID verknüpfen, um die Nutzung auf Webseite und App konsistent auswerten zu können,
- die IP-Adresse Ihres Geräts,
- Sitzungsaufzeichnungen (Session Replays): eine bildschirmbasierte Aufzeichnung Ihrer Interaktionen mit der App (angezeigte Bildschirme, Tap- und Scroll-Bewegungen), um Bedienprobleme und Fehler nachvollziehen zu können.
Schutz Ihrer Inhalte: Bei den Sitzungsaufzeichnungen werden Texte und Bilder standardmäßig unkenntlich (verdeckt) dargestellt; erkennbar bleiben Bildschirmstruktur und Ihre Interaktionen (z. B. wohin Sie tippen oder scrollen). Besonders sicherheits- und identitätsrelevante Eingabefelder – insbesondere E-Mail-Adresse und Passwort bei der Anmeldung, die Eingaben beim Ändern des Passworts und bei der Konto-Löschung sowie die Angaben in Ihrem Profil – sind zusätzlich gesondert geschützt. Zahlungsdaten werden zu keinem Zeitpunkt erfasst.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) sowie – soweit anwendbar – § 25 Abs. 1 TDDDG. Die Produktanalyse und die Sitzungsaufzeichnung finden ausschließlich nach Ihrer aktiven Einwilligung statt und werden ohne diese nicht aktiviert. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft in den App-Einstellungen widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
4.8 KI-gestützte Bilderzeugung (Vertex AI / Gemini)
Auf Ihre Veranlassung kann die App zu einem Rezept ein illustrierendes Bild erzeugen. Hierzu werden die jeweiligen Rezeptdaten bzw. ein daraus abgeleiteter Text-Prompt über eine Cloud Function an Google Vertex AI (Modell der Gemini-Image-Familie) übergeben. Es werden keine personenbezogenen Stammdaten, sondern ausschließlich rezeptbezogene Inhalte übermittelt.
Anders als die übrige Verarbeitung wird das eingesetzte Bildmodell von Google derzeit ausschließlich über einen globalen Endpunkt bereitgestellt; eine Beschränkung auf eine EU-Region ist technisch nicht verfügbar. Eine Verarbeitung außerhalb der Europäischen Union (insbesondere in den USA) kann daher nicht ausgeschlossen werden. Zu den Schutzmaßnahmen für diesen Drittlandtransfer siehe Ziffer 5. Auch hier gilt die vertragliche Zusicherung von Google, Ihre Daten nicht ohne Ihre Erlaubnis zum Training von KI-Modellen zu verwenden; Eingaben und Ausgaben werden standardmäßig nicht dauerhaft gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung einer von Ihnen ausgelösten Funktion der App).
4.9 Sprachsteuerung im Kochmodus (Mikrofon)
Im Kochmodus können Sie die App optional per Sprache steuern (z. B. zum nächsten Schritt wechseln). Hierzu benötigt die App Ihre Erlaubnis für den Zugriff auf das Mikrofon und die Spracherkennung (Sie werden vom Betriebssystem dazu aufgefordert). Die Funktion ist freiwillig und nur aktiv, solange Sie sie nutzen.
Die Spracherkennung erfolgt über die Spracherkennung von Apple (Apple Speech Framework). FrameZest fordert dabei nach Möglichkeit eine geräteinterne (on-device) Verarbeitung an, sodass Audiodaten Ihr Gerät nicht verlassen. Steht die geräteinterne Erkennung für Ihre Sprache oder Ihr Gerät nicht zur Verfügung, kann Apple die Audiodaten zur Erkennung an seine Server übermitteln; in diesem Fall gilt die Datenschutzerklärung der Apple Distribution International Ltd. Wir selbst speichern weder die Audioaufnahme noch das Transkript dauerhaft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung einer von Ihnen ausgelösten Funktion der App).
5. Datenübermittlung in Drittländer
Einige der eingesetzten Dienste verarbeiten Daten in den USA oder ermöglichen Zugriffe aus den USA. Eine Datenübermittlung in ein Drittland im Sinne der DSGVO findet konkret statt bei:
| Dienst | Empfänger / Land | Schutzmechanismus |
|---|---|---|
| Firebase Authentication | Google LLC, USA | EU-US Data Privacy Framework (Google ist zertifiziert) sowie Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO |
| Firestore / Cloud Storage / Cloud Functions / Vertex AI (Texterkennung) | Verarbeitung in EU-Region; Verwaltungs- und Supportzugriff aus USA möglich | EU-US Data Privacy Framework und Standardvertragsklauseln (Cloud Data Processing Addendum) |
| Vertex AI – KI-Bilderzeugung (Ziffer 4.8) | Google LLC, globaler Endpunkt; Verarbeitung außerhalb der EU (u. a. USA) möglich | EU-US Data Privacy Framework und Standardvertragsklauseln (Cloud Data Processing Addendum) |
| Apple-Spracherkennung (Fallback, Ziffer 4.9) | Apple Inc., USA – nur wenn keine geräteinterne Erkennung verfügbar ist | EU-US Data Privacy Framework und Standardvertragsklauseln |
| RevenueCat | RevenueCat Inc., USA (Hosting auf AWS USA) | Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (RevenueCat DPA) |
| PostHog | Hauptverarbeitung in Deutschland (EU-Cloud); ergänzende Verwaltungs- und Support-Tätigkeiten ggf. aus den USA | Standardvertragsklauseln und – soweit einschlägig – EU-US Data Privacy Framework für Unterauftragsverarbeiter |
Wir weisen darauf hin, dass trotz dieser Garantien in den USA und anderen Drittländern ein Datenschutzniveau bestehen kann, das nicht in jedem Punkt dem der EU entspricht. Insbesondere kann ein Zugriff staatlicher Stellen nicht vollständig ausgeschlossen werden. Wir bemühen uns, datensparsam zu arbeiten und – wo immer möglich – europäische Regionen zu verwenden.
6. Speicherdauer
- Konto- und Inhaltsdaten (Firebase Authentication, Firestore, Cloud Storage) speichern wir solange Ihr Nutzerkonto besteht. Nach Löschung Ihres Kontos werden diese Daten innerhalb von 30 Tagen aus den aktiven Systemen entfernt; technische Backups werden im Rahmen ihres Rotationszyklus überschrieben.
- Eingaben an Vertex AI / Gemini werden standardmäßig nicht dauerhaft gespeichert. Ein kurzzeitiges Missbrauchs-Logging durch Google kann maximal wenige Tage andauern.
- Abrechnungs- und Abonnementdaten (RevenueCat / Apple) werden so lange aufbewahrt, wie es zur Vertragsabwicklung erforderlich ist, sowie darüber hinaus gemäß handels- und steuerrechtlichen Aufbewahrungspflichten (in der Regel bis zu 10 Jahre). RevenueCat selbst speichert Daten gemäß eigener Datenschutzerklärung bis zu 6 Jahre nach Vertragsende.
- Analyse-Daten und Sitzungsaufzeichnungen (PostHog) werden für maximal 12 Monate ab dem jeweiligen Ereignis vorgehalten und danach gelöscht oder anonymisiert.
- Server- und Sicherheitslogs (z. B. IP-Adressen in Cloud-Functions-Logs) werden in der Regel nach 30 Tagen gelöscht.
7. Empfänger und Auftragsverarbeiter
Wir setzen die folgenden Dienstleister als Auftragsverarbeiter nach Art. 28 DSGVO ein:
| Dienstleister | Zweck | Sitz / Verarbeitungsort |
|---|---|---|
| Google Ireland Ltd. / Google LLC (Firebase, Google Cloud, Vertex AI) | Authentifizierung, Datenbank, Dateispeicher, Cloud Functions, KI-Verarbeitung | Irland / USA; Daten weitgehend in EU-Region, Firebase Auth in USA, KI-Bilderzeugung über globalen Endpunkt |
| RevenueCat, Inc. | Verwaltung von Abonnements und In-App-Käufen | USA (AWS USA) |
| PostHog Inc. (EU-Cloud) | Produktanalyse, Nutzungsstatistik, Sitzungsaufzeichnung | Frankfurt am Main, Deutschland |
| Apple Distribution International Ltd. / Apple Inc. | App-Bereitstellung, Zahlungsabwicklung In-App-Kauf, Spracherkennung im Kochmodus (Fallback) | Irland / USA (eigene Verantwortlichkeit) |
Mit den genannten Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Weitere Empfänger erhalten Ihre Daten nur dann, wenn wir hierzu gesetzlich verpflichtet sind (z. B. Strafverfolgungsbehörden auf Grundlage eines wirksamen Auskunftsersuchens).
8. Ihre Rechte als betroffene Person
Sie haben uns gegenüber die folgenden Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen Verarbeitungen, die wir auf Art. 6 Abs. 1 lit. f DSGVO stützen (Art. 21 DSGVO),
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an hi@framezest.com.
Daneben haben Sie das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere bei der Aufsichtsbehörde des Mitgliedstaates Ihres Aufenthaltsorts oder des Orts des mutmaßlichen Verstoßes.
9. Automatisierte Entscheidungsfindung
Eine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO mit rechtlicher Wirkung Ihnen gegenüber findet nicht statt. Die in der App eingesetzten KI-Funktionen dienen ausschließlich der inhaltlichen Erfassung und Strukturierung von Rezepten und entfalten keine rechtliche Wirkung gegenüber Ihrer Person.
10. Mindestalter
FrameZest richtet sich an Personen, die das 16. Lebensjahr vollendet haben. Wir verarbeiten wissentlich keine Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass dennoch Daten einer Person unter 16 Jahren verarbeitet wurden, löschen wir diese unverzüglich.
11. Datensicherheit
Die Kommunikation zwischen der App und unseren Backend-Diensten erfolgt ausschließlich über TLS-verschlüsselte Verbindungen (HTTPS). Wir treffen darüber hinaus angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten gegen Verlust, Veränderung, Zerstörung sowie unbefugten Zugriff zu schützen. Diese Maßnahmen werden laufend an den aktuellen Stand der Technik angepasst.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Verarbeitung Ihrer Daten ändert oder rechtliche Vorgaben dies erforderlich machen. Die jeweils aktuelle Fassung ist stets unter framezest.com/datenschutz-app abrufbar. Über wesentliche Änderungen informieren wir Sie zusätzlich innerhalb der App.
13. Kontakt
Bei Fragen oder Anliegen zum Datenschutz erreichen Sie uns unter:
Samuel Feindt – daabrainz studio
Emilienstraße 17A, 86153 Augsburg
E-Mail: hi@framezest.com