Datenschutzerklärung
Stand: Juni 2026
Verantwortlicher
Verantwortlich für die Datenverarbeitung in dieser Anwendung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Karsten Köster
Henriettenweg 13
44227 Dortmund
E-Mail: koester.karsten+kasalla-rezepte@googlemail.com
Allgemeines
Diese Anwendung ist eine private, nur auf Einladung zugängliche Rezeptverwaltung für mehrere voneinander getrennte Haushalte. Es werden so wenige personenbezogene Daten wie möglich verarbeitet — nur das, was für den Betrieb der Anwendung erforderlich ist. Es findet keine Werbung, kein Tracking, keine Profilbildung und kein Verkauf von Daten statt.
Welche Daten wir verarbeiten
Im Rahmen der Nutzung werden folgende Daten verarbeitet:
- Kontodaten: Benutzername, ein kryptographischer Hash des Passworts (scrypt), optional ein selbst hochgeladenes Profilbild sowie Zeitstempel zu Kontoerstellung, letzter Anmeldung und ggf. Deaktivierung. Eine E-Mail-Adresse wird für das Konto nicht erhoben.
- Inhalte: von Ihnen erstellte Rezepte (Zutaten, Zubereitungsschritte, Bilder), Kommentare, „gekocht“-Markierungen, Favoriten, Kategorien/Labels, Wochenpläne und Vorratslisten.
- Freigabe- und Haushaltsbeziehungen: Angaben darüber, welchem Haushalt Sie angehören und mit welchen Personen Sie Inhalte teilen.
- Sitzungsdaten: ein Sitzungsschlüssel, der Sie nach der Anmeldung angemeldet hält (siehe „Cookies“).
- Picnic-Verbindung (optional): Wenn Sie Ihr eigenes Picnic-Konto verbinden, speichern wir ausschließlich ein verschlüsseltes Zugangs-Token (nicht Ihr Picnic-Passwort) sowie Ihre bestätigten Zuordnungen von Zutaten zu Picnic-Produkten.
Benutzerkonto & Anmeldung
Für die Nutzung ist ein persönliches Konto erforderlich. Das Passwort wird ausschließlich als kryptographischer Hash gespeichert und nie im Klartext. Zur Bereitstellung des Dienstes verarbeiten wir den Zeitpunkt Ihrer letzten Anmeldung und verwalten Ihre Sitzungen; dies dient auch der Sicherheit des Kontos. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung des angeforderten Dienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit der Anwendung).
Profilbild
Sie können freiwillig ein Profilbild hochladen. Es wird auf dem Server gespeichert und anderen Nutzerinnen und Nutzern im Rahmen der Anwendung angezeigt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO; das Bild lässt sich jederzeit wieder entfernen.
Haushalte & Freigaben
Die Anwendung ist in getrennte Haushalte unterteilt. Inhalte eines Haushalts sind für andere Haushalte nicht sichtbar. Sie können einzelne Rezepte oder Ihre gesamte Sammlung gezielt mit anderen registrierten Personen teilen; diese sehen dann die freigegebenen Inhalte. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Ihre eigene Entscheidung zum Teilen.
Über besondere Links können Inhalte auch ohne Anmeldung zugänglich gemacht werden: ein öffentlicher Lese-Link für ein einzelnes Rezept (/teilen/…), Einladungs-Links zum Teilen von Rezepten, zu einem Haushalt oder für ein neues Konto (/einladung/…, /haushalt-einladung/…, /konto-einladung/…) und ein Link zur Einkaufsliste eines Wochenplans (/einkauf/…). Diese Links enthalten eine lange, zufällige Zeichenfolge und sind von Suchmaschinen ausgenommen, aber für jede Person erreichbar, die den Link besitzt. Geben Sie solche Links daher nur an Personen weiter, die die Inhalte sehen sollen.
Administration der Anwendung
Zur Verwaltung der Anwendung steht Administratoren (derzeit dem oben genannten Verantwortlichen) ein Verwaltungsbereich zur Verfügung. Dort werden ausschließlich Metadaten der Konten angezeigt — Benutzername, Kontostatus, Zeitpunkt der letzten Anmeldung, Haushaltszugehörigkeit sowie die Anzahl von Rezepten, Kommentaren, „gekocht“-Markierungen und Freigaben. Inhalte von Rezepten werden dabei nicht eingesehen (keine Rezeptinhalte). Administratoren können Konten einladen, deaktivieren, das Passwort zurücksetzen, löschen sowie Administratorrechte vergeben oder entziehen. Diese Verarbeitung ist erforderlich, um die Anwendung zu betreiben, abzusichern und zu verwalten. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am ordnungsgemäßen Betrieb und an der Sicherheit der Anwendung) sowie Art. 6 Abs. 1 lit. b DSGVO.
Cookies
Diese Anwendung verwendet ein einziges, technisch notwendiges Cookie: ein Sitzungs-Cookie, das erst nach Ihrer Anmeldung gesetzt wird und Sie für die Dauer der Sitzung angemeldet hält. Es ist als httpOnly und SameSite=Strict ausgelegt und wird beim Abmelden oder bei Ablauf der Sitzung gelöscht. Da dieses Cookie unbedingt erforderlich ist, um den von Ihnen ausdrücklich angeforderten Dienst (die Anmeldung) bereitzustellen, ist hierfür gemäß § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich. Es werden keine Analyse-, Tracking- oder Werbe-Cookies verwendet. Aus diesem Grund ist auch kein Cookie-Banner erforderlich, und es wird bewusst keines angezeigt.
Rezept-Import über OpenAI
Wenn Sie die optionale Funktion zum automatischen Erfassen eines Rezepts aus einem Link, einem Text oder einem Foto nutzen, werden die betreffenden Inhalte zur Auswertung an die OpenAI-API (OpenAI, L.L.C., USA) übermittelt. Dabei können Daten in ein Drittland (USA) übertragen werden, für das kein Angemessenheitsbeschluss der EU-Kommission besteht. Die Nutzung dieser Funktion ist freiwillig; Rezepte lassen sich auch vollständig manuell erfassen, ohne dass Daten an OpenAI übermittelt werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Ihre auf der Nutzung der Funktion beruhende Entscheidung.
Einkaufslisten-Export an Bring!
Sie können die Einkaufsliste eines Wochenplans optional an die App Bring! übergeben. Dabei ruft der Dienst der Bring! Labs AG (Räffelstrasse 26, 8045 Zürich, Schweiz) die öffentliche Einkaufslisten-Seite (/einkauf/…) ab und liest die darin enthaltenen Artikel aus, um sie in Ihre Bring!-Liste zu übernehmen. Die Schweiz gilt datenschutzrechtlich als sicheres Drittland (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO). Die weitere Verarbeitung innerhalb von Bring! richtet sich nach der Datenschutzerklärung von Bring!; Bring! finanziert sich unter anderem über Werbung. Die Nutzung dieser Funktion ist freiwillig. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Ihre Entscheidung zur Nutzung.
Einkaufslisten-Export an Picnic
Alternativ können Sie die Einkaufsliste eines Wochenplans an Ihr eigenes Konto beim Lieferdienst Picnic übergeben. Dazu verbinden Sie einmalig Ihr Picnic-Konto; dabei speichern wir ausschließlich ein verschlüsseltes Zugangs-Token, niemals Ihr Picnic-Passwort. Beim Export werden die Artikel Ihrer Einkaufsliste (als Suchbegriffe) an Picnic übermittelt und die von Ihnen bestätigten Produkte in Ihren Picnic-Warenkorb gelegt; den Kauf schließen Sie selbst in der Picnic-App ab. Picnic wird innerhalb der EU betrieben, sodass keine Übertragung in ein Drittland stattfindet; die weitere Verarbeitung richtet sich nach der Datenschutzerklärung von Picnic. Die Nutzung dieser Funktion ist freiwillig. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bzw. Ihre Entscheidung zur Nutzung.
Hosting
Die Anwendung wird auf einem eigenen, privat betriebenen Server gehostet. Es ist kein externer Hosting-Dienstleister eingebunden, an den Daten weitergegeben werden.
Empfänger der Daten
Eine Übermittlung an Dritte findet nur statt, wenn Sie die oben genannten optionalen Funktionen nutzen (OpenAI beim KI-Import, Bring! oder Picnic beim Einkaufslisten-Export). Darüber hinaus werden keine Daten an Dritte weitergegeben.
Speicherdauer
Konto- und Inhaltsdaten werden gespeichert, solange Ihr Konto besteht. Auf Anfrage oder durch einen Administrator werden Ihr Konto und die zugehörigen Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21). Zur Ausübung dieser Rechte — insbesondere zur Löschung Ihres Kontos und Ihrer Daten — genügt eine formlose Nachricht an die oben genannte E-Mail-Adresse.
Ihnen steht zudem ein Beschwerderecht bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), www.ldi.nrw.de.