Datenschutzerklärung für Website und App „VerdiScan“
Stand: 6. April 2026
1. Verantwortlicher und Kontakt
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Eren Akcakoca
Rheingaustraße 109a
65719 Hofheim am Taunus
Deutschland
E-Mail: kontakt@verdiscan.de
Kontaktformular: verdiscan.de/kontakt
Die Benennung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
2. Überblick über die Datenverarbeitung
VerdiScan betreibt eine Website sowie eine Lebensmittel-Scanner-App für iOS und Android. Auf der Website informieren wir über das Angebot und stellen Kontaktmöglichkeiten bereit. Die App ermöglicht es, Lebensmittel per Barcode zu scannen, Produktinformationen und Bewertungen einzusehen, ein persönliches Allergen-Profil anzulegen und gesundheitsbewusste Kaufentscheidungen zu treffen.
Im Rahmen der Website- und App-Nutzung verarbeiten wir personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Funktionen erforderlich ist oder Sie uns Ihre Einwilligung erteilt haben. Diese Datenschutzerklärung informiert Sie darüber, welche Daten wir erheben, warum wir sie erheben und welche Rechte Sie haben.
3. Rechtsgrundlagen der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Wenn Sie uns Ihre ausdrückliche Einwilligung zur Verarbeitung erteilt haben (z. B. Push-Benachrichtigungen).
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Wenn die Verarbeitung zur Erfüllung des Nutzungsvertrags (App-Nutzung) erforderlich ist (z. B. Registrierung, Scan-History, Favoriten).
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Wenn die Verarbeitung auf unserem berechtigten Interesse beruht (z. B. Sicherheit, Fehleranalyse), sofern Ihre Interessen nicht überwiegen.
- Art. 9 Abs. 2 lit. a DSGVO (Ausdrückliche Einwilligung bei besonderen Kategorien): Für die Verarbeitung von Gesundheitsdaten (Allergen-Profil) holen wir eine separate, ausdrückliche Einwilligung ein.
4. Erhobene Daten im Detail
4.1 Stammdaten (Registrierung)
| Erhobene Daten | E-Mail-Adresse, Benutzername, Passwort (als bcrypt-Hash gespeichert) |
| Zweck | Erstellung und Verwaltung Ihres Nutzerkontos, Authentifizierung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Speicherort | PostgreSQL-Datenbank auf Server in der Europäischen Union (EU) |
| Speicherdauer | Bis zur Löschung Ihres Accounts durch Sie |
4.2 Gesundheitsdaten — Allergen-Profil (Besondere Kategorie personenbezogener Daten)
| Erhobene Daten | Allergen-Profil (z. B. Laktose, Gluten, Nüsse und weitere Allergene/Unverträglichkeiten) |
| Zweck | Abgleich mit Produktinhaltsstoffen, um Sie vor potenziell unverträglichen Produkten zu warnen |
| Rechtsgrundlage | Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung) |
| Speicherort | Verschlüsselt auf Ihrem Gerät (expo-secure-store mit AES-256/Keychain/Keystore) sowie in der PostgreSQL-Datenbank auf dem Server |
| Speicherdauer | Bis zum Widerruf Ihrer Einwilligung oder bis zur Löschung Ihres Accounts |
Wichtige Hinweise zu Gesundheitsdaten:
- Allergen-Daten sind besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO.
- Vor der ersten Eingabe von Allergenen werden Sie in der App über einen separaten Einwilligungsbildschirm (Allergen-Consent-Screen) um Ihre ausdrückliche Einwilligung gebeten.
- Ohne diese Einwilligung ist die Verarbeitung von Allergen-Daten nicht möglich. Die übrigen App-Funktionen können weiterhin genutzt werden.
- Sie können Ihre Einwilligung jederzeit widerrufen unter: Einstellungen → Meine Daten → Allergen-Einwilligung widerrufen. Bei Widerruf werden Ihre Allergen-Daten sofort und vollständig gelöscht — sowohl auf dem Server als auch auf Ihrem Gerät.
- Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
4.3 Nutzungsdaten
| Erhobene Daten | Scan-History (gescannte Produkte mit Zeitstempel), Favoriten, Shopping-Listen, Produkt-Bewertungen, Feedback-Nachrichten, Produkt-Reports |
| Zweck | Bereitstellung der App-Funktionen (Historie, Merklisten, Community-Bewertungen) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Speicherort | PostgreSQL-Datenbank auf dem Server |
| Speicherdauer | Bis zur Löschung Ihres Accounts |
4.4 Technische Daten
| Erhobene Daten | IP-Adresse (nur in Logs, nicht dauerhaft gespeichert), App-Version, Gerätetyp, Betriebssystem-Version |
| Zweck | Gewährleistung der Sicherheit, Fehleranalyse, Missbrauchsschutz |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der App) |
| Speicherort | Server-Logs |
| Speicherdauer | 30 Tage (automatische Log-Rotation) |
4.5 Zahlungsdaten
VerdiScan erhebt und verarbeitet keine Zahlungsdaten. Sämtliche Zahlungen für Premium-Abonnements werden ausschließlich über den Apple App Store bzw. Google Play Store abgewickelt. VerdiScan hat zu keinem Zeitpunkt Zugriff auf Kreditkarten-, Bank- oder sonstige Zahlungsdaten.
4.6 Speicherfristen (Übersicht)
| Stammdaten (E-Mail, Benutzername, Passwort-Hash) | Bis zur Löschung des Accounts durch den Nutzer |
| Allergen-Profil (Gesundheitsdaten) | Bis zum Widerruf der Einwilligung oder bis zur Löschung des Accounts |
| Nutzungsdaten (Scan-History, Favoriten, Shopping-Listen, Bewertungen) | Bis zur Löschung des Accounts |
| Technische Daten (Server-Logs) | 30 Tage (automatische Log-Rotation) |
| Sentry Crash-Reports | 30 Tage |
| PostHog Analyse-Daten | Gemäß PostHog-Datenrichtlinien |
| Resend E-Mail-Logs (Zustellstatus, Bounces) | 1 Tag |
4.7 Pflicht zur Bereitstellung personenbezogener Daten (Art. 13 Abs. 2 lit. e DSGVO)
Die Bereitstellung folgender Daten ist vertraglich erforderlich für die Nutzung der App:
- E-Mail-Adresse, Benutzername und Passwort: Ohne diese Daten kann kein Nutzerkonto erstellt werden; die App-Nutzung ist nicht möglich.
Die Bereitstellung folgender Daten ist freiwillig:
- Allergen-Profil: Die Eingabe von Allergen-Daten ist optional. Ohne Allergen-Profil steht die Allergen-Abgleich-Funktion nicht zur Verfügung; alle übrigen App-Funktionen können uneingeschränkt genutzt werden.
Es besteht keine gesetzliche Pflicht zur Bereitstellung personenbezogener Daten.
4.8 Automatisierte Entscheidungsfindung / Profiling (Art. 13 Abs. 2 lit. f DSGVO)
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.
5. Drittanbieter und Datenübermittlung in Drittländer
Wir setzen folgende Drittanbieter als Auftragsverarbeiter oder Dienstleister ein:
5.1 Sentry (Functional Software Inc., USA)
| Zweck | Crash-Reporting und Fehleranalyse zur Verbesserung der App-Stabilität |
| Übermittelte Daten | Anonymisierte Crash-Reports, Geräteinformationen, App-Version, Stack Traces. Es werden keine personenbezogenen Daten wie E-Mail-Adressen übermittelt. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Gewährleistung der App-Stabilität und zeitnahe Fehlerbehebung) |
| Garantien für USA-Transfer | EU-U.S. Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC) |
| Endgerätezugriff | Der Zugriff des Sentry SDK auf Ihr Endgerät erfolgt zur Fehlererkennung und ist gemäß § 25 Abs. 2 Nr. 2 TDDDG als technisch erforderlich einzustufen. |
5.2 PostHog (PostHog Inc., USA)
| Zweck | Produktanalytik zur Verbesserung von Website und App (z. B. welche Seiten, Buttons und Funktionen genutzt werden, wo Nutzer abbrechen) |
| Übermittelte Daten | Anonyme Nutzungsdaten: Event-Namen (z. B. „Seite besucht“, „Store-Button geklickt“, „Kontaktformular gesendet“), Zeitstempel und anonyme Kennung. Nach Login in der App: User-ID zur Zuordnung von Events. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung auf der Website über das Analytics-Banner bzw. in der App beim ersten Start) |
| Hosting | EU-Region (Frankfurt, Deutschland) — keine Drittland-Übermittlung |
| Speicherdauer | Gemäß PostHog-Datenrichtlinien |
| Endgerätezugriff | Wir speichern eine anonyme Kennung erst nach Ihrer Einwilligung: in der App lokal auf dem Gerät und auf der Website im Browser-Speicher. Der Zugriff erfolgt auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG. |
| Widerrufsrecht | Sie können Ihre Einwilligung jederzeit widerrufen: auf der Website über den Link „Analytics-Einstellungen“ im Footer oder in der App durch Löschen der App-Daten bzw. durch Kontakt an datenschutz@verdiscan.de. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. |
5.3 RevenueCat (RevenueCat Inc., USA)
| Zweck | Verwaltung von In-App-Abonnements (Premium-Funktionen) |
| Übermittelte Daten | Anonymisierte Kauf-IDs, Abonnement-Status, Plattform (iOS/Android). Es werden keine direkten personenbezogenen Daten übermittelt. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Bereitstellung des Abonnements) |
| Garantien für USA-Transfer | EU-Standardvertragsklauseln (SCC) |
5.4 Firebase Cloud Messaging (Google Ireland Limited / Google LLC)
| Zweck | Versand von Push-Benachrichtigungen an Ihr Gerät |
| Übermittelte Daten | FCM-Registration-Token (gerätespezifisch), Nachrichteninhalt |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Sie stimmen Push-Benachrichtigungen über den Betriebssystem-Dialog ausdrücklich zu) |
| Garantien für USA-Transfer | EU-U.S. Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC) |
| Auftragsverarbeitung | Es gelten die Firebase Data Processing and Security Terms |
| Endgerätezugriff | Der Zugriff des FCM SDK auf Ihr Endgerät erfolgt zur Zustellung von Push-Benachrichtigungen und ist gemäß § 25 Abs. 2 Nr. 2 TDDDG als technisch erforderlich einzustufen, sofern Sie Push-Benachrichtigungen aktiviert haben. |
5.5 Resend (Resend Inc., USA)
| Zweck | Versand transaktionaler E-Mails (Passwort-Zurücksetzen, E-Mail-Verifizierung, Account-Sperrung) |
| Übermittelte Daten | E-Mail-Adresse des Empfängers |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Garantien für USA-Transfer | EU-U.S. Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC), EU-Region konfiguriert |
5.6 Cloudflare (Cloudflare Inc., USA)
| Zweck | Content Delivery Network (CDN), DNS, DDoS-Schutz, SSL-Verschlüsselung |
| Übermittelte Daten | IP-Adresse (technisch notwendig für den Verbindungsaufbau), Request-Metadaten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Schutz vor DDoS-Angriffen, Gewährleistung der Erreichbarkeit und Integrität) |
| Garantien für USA-Transfer | EU-U.S. Data Privacy Framework (DPF) + EU-Standardvertragsklauseln (SCC) |
5.7 Hetzner Online GmbH (Deutschland)
| Zweck | Hosting der Backend-Infrastruktur (Server, PostgreSQL-Datenbank, Redis-Cache) |
| Übermittelte Daten | Alle in der App verarbeiteten Daten (siehe Abschnitt 4) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Standort | Deutschland (Falkenstein) — keine Drittland-Übermittlung |
| Auftragsverarbeitung | AVV gemäß Art. 28 DSGVO abgeschlossen |
Hinweis zur Datenübermittlung in die USA
Soweit personenbezogene Daten an Dienstleister in den USA übermittelt werden, erfolgt dies auf folgenden Grundlagen:
- Sentry, Cloudflare, Resend, Firebase Cloud Messaging (Google): EU-U.S. Data Privacy Framework (Art. 45 DSGVO) ergänzt durch EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
- RevenueCat: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Wir prüfen regelmäßig die Einhaltung der Datenschutzgarantien.
Auftragsverarbeitung (Art. 28 DSGVO)
Mit allen oben genannten Dienstleistern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen.
6. Cookies und Tracking
- Die Website verwendet keine Werbe-Cookies und keine Werbe-Tracker.
- Die Website verwendet für die Analyse kein automatisches Volltracking, keine Besuchsaufnahmen und keine Heatmaps.
- Wenn Sie auf der Website zustimmen, speichern wir eine anonyme Kennung im Browser, um wiederkehrende Nutzung zu erkennen. Ohne Einwilligung findet kein Analytics-Tracking statt.
- Auf der Website erfassen wir nur wenige, bewusst ausgewählte Nutzungsereignisse, zum Beispiel Seitenaufrufe, Klicks auf App-Store-Buttons, Kontaktformular-Start, Kontaktformular-Versand, ausgehende Link-Klicks und grobe Scrolltiefe.
- Die App verwendet keine Cookies. Eine Zustimmung über App Tracking Transparency (ATT) ist nicht erforderlich, weil keine Werbe- oder Drittanbieter-Tracking-Technologien für Werbung eingesetzt werden.
- PostHog (siehe Abschnitt 5.2) wird für Produktanalytik eingesetzt, um Website und App zu verbessern. Die Daten werden in der EU (Frankfurt) verarbeitet und nicht für Werbezwecke verwendet.
- Sentry (siehe Abschnitt 5.1) dient ausschließlich der technischen Fehleranalyse und stellt kein Marketing-Tracking dar.
7. Push-Benachrichtigungen
- Push-Benachrichtigungen werden nur versendet, wenn Sie dem Empfang ausdrücklich zugestimmt haben (über den Betriebssystem-Dialog Ihres Geräts).
- Sie können Push-Benachrichtigungen jederzeit deaktivieren — in den Einstellungen Ihres Geräts unter den Benachrichtigungseinstellungen für VerdiScan.
- Die Einwilligung kann jederzeit und ohne Angabe von Gründen widerrufen werden.
8. In-App-Käufe und Abonnements
- Sämtliche Käufe und Abonnements werden ausschließlich über den Apple App Store bzw. Google Play Store abgewickelt.
- VerdiScan hat keinen Zugriff auf Ihre Zahlungsdaten (Kreditkarte, Bankdaten o. Ä.).
- Die Verwaltung der Abonnements erfolgt technisch über RevenueCat (siehe Abschnitt 5.3) — dabei werden nur anonymisierte Kauf-IDs und der Abonnement-Status verarbeitet.
- Für die Zahlungsabwicklung gelten die Datenschutzbestimmungen von Apple bzw. Google.
9. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:
- Verschlüsselung bei der Übertragung: Sämtliche Verbindungen zwischen der App und dem Server sind mit TLS 1.2 oder höher (HTTPS) verschlüsselt.
- Verschlüsselung auf dem Gerät: Sensible Daten (Authentifizierungs-Tokens, Allergen-Daten) werden auf Ihrem Gerät in expo-secure-store gespeichert, das auf AES-256-Verschlüsselung, iOS Keychain bzw. Android Keystore zurückgreift.
- Passwort-Hashing: Passwörter werden mit bcrypt (inklusive Salt) gehasht gespeichert — das Klartext-Passwort wird niemals gespeichert.
- Authentifizierung: Verwendung von JSON Web Tokens (JWT) mit Access Token (15 Minuten gültig) und Refresh Token.
- Account-Sperre: Nach 5 fehlgeschlagenen Login-Versuchen wird der Account temporär gesperrt.
- Rate Limiting: Schutz gegen Brute-Force-Angriffe auf Anmelde- und API-Endpunkte.
- Regelmäßige Sicherheitsaudits: Der Code wird regelmäßig auf Sicherheitslücken geprüft.
10. Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte. Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: kontakt@verdiscan.de
10.1 Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten. Wir stellen Ihnen auf Anfrage eine Kopie Ihrer Daten zur Verfügung.
10.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Ihren Benutzernamen und Ihre E-Mail-Adresse können Sie direkt in der App ändern.
10.3 Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
In der App: Einstellungen → Meine Daten → Account löschen. Dabei werden alle Ihre Daten sofort und unwiderruflich gelöscht.
10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn Sie die Richtigkeit Ihrer Daten bestreiten oder die Verarbeitung unrechtmäßig ist.
10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
In der App: Einstellungen → Meine Daten → Daten exportieren (JSON-Format).
10.6 Recht auf Widerspruch (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
10.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit und ohne Angabe von Gründen widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
Dies betrifft insbesondere:
- Allergen-Einwilligung: Einstellungen → Meine Daten → Allergen-Einwilligung widerrufen. Bei Widerruf werden Ihre Allergen-Daten sofort gelöscht.
- Push-Benachrichtigungen: Deaktivierung in den Geräteeinstellungen.
10.8 Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.
Die für uns zuständige Aufsichtsbehörde ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
https://datenschutz.hessen.de
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der Website, der App oder der Datenverarbeitung aktuell zu halten.
- Bei wesentlichen Änderungen (z. B. neue Datenkategorien, zusätzliche Drittanbieter) informieren wir Sie durch eine Benachrichtigung in der App.
- Die jeweils aktuelle Fassung ist stets in der App unter Einstellungen → Rechtliches → Datenschutzerklärung sowie auf unserer Website abrufbar.
- Das Datum der letzten Aktualisierung finden Sie am Anfang dieses Dokuments.
12. Minderjährige
Die App VerdiScan richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass ein Kind unter 16 Jahren uns personenbezogene Daten übermittelt hat, werden wir diese Daten umgehend löschen. Wenn Sie als Erziehungsberechtigter Kenntnis davon haben, dass Ihr Kind uns Daten übermittelt hat, wenden Sie sich bitte an uns unter der oben genannten E-Mail-Adresse.
13. Kontakt
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte erreichen Sie uns unter:
E-Mail: kontakt@verdiscan.de
Kontaktformular: verdiscan.de/kontakt
Wir beantworten Ihre Anfragen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO).