Datenschutzrichtlinie

1. Einführung

Foodfy („Unternehmen“, „wir“, „unser“, „uns“) verpflichtet sich, die Privatsphäre und Sicherheit Ihrer persönlichen Daten zu schützen. In dieser Datenschutzrichtlinie wird erläutert, wie wir Ihre Daten erfassen, verwenden, offenlegen, speichern und schützen, wenn Sie mit der Foodfy-Plattform interagieren, einschließlich unserer Website unter foodfy.ai, mobilen Anwendungen, APIs, Händler-Dashboards, KI-Diensten, Drohnen-Liefernetzwerk und allen damit verbundenen Diensten und Funktionen (zusammen die „Plattform“).

Diese Datenschutzrichtlinie gilt für alle Nutzer der Plattform weltweit. Durch den Zugriff auf die Plattform stimmen Sie den beschriebenen Praktiken zu.

Foodfy ist in über 250 Ländern tätig. Die für Sie geltenden spezifischen Datenschutzgesetze können je nach Standort variieren. Wo örtliches Recht einen größeren Schutz als diese Datenschutzrichtlinie bietet, hat das örtliche Recht Vorrang. Ergänzende regionale Bestimmungen sind in Abschnitt 16 aufgeführt.

2. Datenverantwortlicher

Sofern nicht anders angegeben, ist Foodfy der Datenverantwortliche für Ihre über die Plattform verarbeiteten personenbezogenen Daten. Bei Foodfy for Work (Unternehmenskonten) fungiert die anmeldende Organisation als Datenverantwortlicher für die personenbezogenen Daten der Mitarbeiter und Foodfy fungiert in ihrem Namen als Datenverarbeiter.

Bei datenschutzrechtlichen Fragen erreichen Sie unseren Datenschutzbeauftragten unter:

E-Mail: [email protected]
Postanschrift: Foodfy, Datenschutzbeauftragter, auf Anfrage verfügbar über [email protected]

3. Informationen, die wir sammeln

Wir erfassen verschiedene Kategorien personenbezogener Daten, je nachdem, wie Sie mit der Plattform interagieren und welche Dienste Sie nutzen.

3.1 Alle Benutzer

Kontoinformationen: Vollständiger Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum, Profilfoto und verschlüsseltes Passwort.
Authentifizierungsdaten: Anmeldeinformationen, Zwei-Faktor-Authentifizierungsgeheimnisse und Wiederherstellungscodes, API-Tokens und Sitzungskennungen.
Geräte- und technische Daten: Gerätetyp, Betriebssystem und -version, Browsertyp und -version, Bildschirmauflösung, eindeutige Gerätekennungen, Informationen zum Mobilfunknetz, IP-Adresse und Push-Benachrichtigungstoken (Expo-Token).
Nutzungsdaten: Besuchte Seiten, genutzte Funktionen, Suchanfragen, Klickmuster, Navigationspfade, Sitzungsdauer, Zeitstempel, verweisende URLs und Interaktionsereignisse.
Standortdaten: Ungefährer Standort, abgeleitet aus der IP-Adresse. Mit Ihrer ausdrücklichen Zustimmung, präzisem GPS-Standort für die Lieferung, Erkennung von Geschäften in der Nähe und standortbasierten Funktionen.
Kommunikationsdaten: Über die Plattform gesendete Nachrichten, Interaktionen mit dem Kundensupport, Feedback und Umfrageantworten.

3.2 Kunden

Bestelldaten: Bestellte Artikel, Bestellhistorie, Lieferadressen (einschließlich Gebäudename, Straße, Wohnung, Etage, Zugangscode und Lieferanweisungen), Bestellpräferenzen, spezielle Ernährungsbedürfnisse und Bestellquelle (Web, App, Kiosk, QR, WhatsApp, Speiseplan).
Zahlungsdaten: Zahlungsmethode, Rechnungsadresse, Transaktionsbeträge und Transaktionshistorie. Vollständige Kartennummern werden von unserem PCI-DSS-konformen Zahlungsabwickler (Stripe) verarbeitet und niemals auf Foodfy-Servern gespeichert.
Adressbuch: Gespeicherte Lieferadressen einschließlich strukturierter Adresskomponenten, GPS-Koordinaten, Google Place IDs und formatierter Adressen.
Präferenzen: Lieblingsgeschäfte, gespeicherte Artikel, Ernährungspräferenzen, Sprach- und Währungseinstellungen.
Bewertungen und Ratings: Produktbewertungen, Unternehmensbewertungen, Lieferbewertungen, Fotos und Kommentare.

3.3 Geschäftspartner

Geschäftsinformationen: Firmenname, Handelsname, Subdomain, öffentliche Ladenkennung, Geschäftstyp (Restaurant, Lebensmittelgeschäft, Apotheke, Blumen, Einzelhandel, Lieferant, Marke), physische Adresse, Telefonnummer, E-Mail und Website-URL.
Rechtliche und finanzielle Daten: Steueridentifikationsname und -nummer, Rechtsformtyp, Bankdaten und Gewerbeanmeldungsdokumente.
Betriebsdaten: Menüpunkte, Produktkatalog, Preise, Lagerbestände, Betriebszeiten, Zubereitungszeiten, Lieferzonen und Servicekonfigurationen.
Kundenbeziehungsdaten: CRM-Profile, einschließlich Kundenbestellungshäufigkeit, Gesamtausgaben, RFM-Scores (Recency, Frequency, Monetary), Lebenszyklusphase, Treuestufe, Marketing-Opt-in-Status, bevorzugte Sprache, Tags und Notizen.
Mitarbeiterdaten: Mitarbeiternamen, Rollen, Mitarbeiternummern, Abteilungen, Bezeichnungen, Beschäftigungsart, Kontaktinformationen, Notfallkontakte, Bankdaten, Ausweisdokumente und HR-Unterlagen bei Nutzung der Personal- und HR-Funktion.
Drittanbieter-Integrationen: Google Place ID, Google-Bewertung, Social-Media-Profile (WhatsApp, Facebook) und Daten, die mit integrierten Diensten (Buchhaltungssoftware, Lieferplattformen) ausgetauscht werden.
Franchise-Daten: Franchise-Markenzuordnung, Outlet-Codes, Konfigurationen mit mehreren Standorten und Analysen auf Markenebene.

3.4 Lieferpartner

Identitätsprüfung: Von der Regierung ausgestellter Ausweis, Führerschein, Fahrzeugschein und Versicherungsnachweis.
Echtzeit-Standort: GPS-Koordinaten werden während aktiver Lieferungen zur Auftragsverfolgung, Routenoptimierung und Sicherheitszwecken aktualisiert.
Leistungsdaten: Anzahl der abgeschlossenen Bestellungen, abgelehnten Bestellungen, Lieferzeiten, erhaltenen Bewertungen und Einnahmenhistorie.
Daten zur Drohnenlieferung: Für drohnenfähige Lieferpartner: Drohnenfähigkeitsstatus, Läufertyp, Lieferstatistiken, DronePort-Zuweisung und Drohnen-Betriebsprotokolle.

3.5 Gebietspartner

Verwaltete Gebiete: Zugewiesene Gebietsebene (Region, Land, Bundesland, Stadt, Gebiet), Gebietskennungen und geografischer Geltungsbereich.
Leistungskennzahlen: Geschäfts-Onboarding-Raten, generierte Umsätze, Partnerzufriedenheitswerte und Gebietswachstumskennzahlen.
Anwendungsdaten: Profilinformationen von Gebietsbewerbern aus dem Bewerbungsprozess.

3.6 Benutzer von Firmenkonten (Foodfy for Work)

Organisationsdaten: Firmenname, Art der juristischen Person, Gewerbescheinnummer, Steuernummer, registrierte Adresse, Rechnungskontaktinformationen und Logo.
Mitarbeiterdaten: Name des Mitarbeiters, E-Mail, Rolle (Administrator/Manager/Mitarbeiter), Abteilung, Kostenstelle, Mitarbeiterreferenznummer, Wallet-Kontostand, Wallet-Transaktionsverlauf und Beschäftigungsstatus.

3.7 Investoren

Anlegerprofil: Akkreditierungsstatus, Investitionspräferenzen, Dokumente zur Identitätsprüfung und Kommunikationsverlauf.
Investitionstätigkeit: Investitionsinteressen, Geschäftsbeteiligung, Investitionsbeträge und zugehörige Korrespondenz.

3.8 NutriLife-Benutzer

NutriLife erfasst sensible Gesundheits- und biometrische Daten. Weitere Informationen finden Sie in Abschnitt 9.

3.9 Informationen von Dritten

Social-Media-Plattformen, wenn Sie sich über Social Login anmelden (Google, Facebook, Apple).
Zahlungsabwickler und Finanzinstitute für Transaktionsverifizierung und Betrugsprävention.
Öffentliche Unternehmensverzeichnisse und Handelsregister für Unternehmensverifizierung und Verzeichnisaufbau.
Open Food Facts und andere Nährwertdatenbanken für Produktnährwertdaten.
Drittanbieter-Lieferplattformen (Uber Eats, Deliveroo, Talabat, Keeta, Careem) für integriertes Bestellmanagement.
Google Maps and Places API für Standort-, Karten- und Adressdaten.
Analyse- und Werbepartner für Website-Traffic-Analyse und Kampagnenmessung.

4. Rechtsgrundlage für die Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten auf den folgenden Rechtsgrundlagen gemäß der Datenschutz-Grundverordnung (DSGVO) und ähnlichen Rahmenwerken:

Vertragserfüllung: Verarbeitung, die zur Erfüllung unserer vertraglichen Verpflichtungen Ihnen gegenüber erforderlich ist, einschließlich Kontoerstellung, Bestellabwicklung, Zahlungsabwicklung, Lieferkoordination und Bereitstellung der von Ihnen abonnierten oder angeforderten Plattformfunktionen.
Zustimmung: Verarbeitung basierend auf Ihrer freiwillig erteilten, spezifischen, informierten und eindeutigen Einwilligung. Dies gilt für: präzise GPS-Standortverfolgung, Erfassung von NutriLife-Gesundheits- und biometrischen Daten, Marketing-Kommunikation und Werbe-E-Mails, nicht wesentliche Cookies und Tracking-Technologien sowie KI-gestützte Fotoanalyse von Mahlzeiten.
Berechtigtes Interesse: Verarbeitung, die für unsere berechtigten Geschäftsinteressen erforderlich ist, sofern diese Interessen nicht durch Ihre Grundrechte und -freiheiten überwiegen. Dies umfasst: Plattformsicherheit und Betrugsprävention, Analysen und Serviceverbesserung, personalisierte Suchergebnisse und Empfehlungen, Kundensupport und Kommunikation sowie Durchsetzung unserer Nutzungsbedingungen.
Gesetzliche Verpflichtung: Verarbeitung, die zur Einhaltung geltender gesetzlicher Anforderungen erforderlich ist, einschließlich Steuer- und Buchhaltungsvorschriften, Anti-Geldwäsche- (AML) und Know-Your-Customer- (KYC) Anforderungen, Lebensmittelsicherheitsvorschriften, gesetzlich vorgeschriebene Datenaufbewahrung und Antworten auf rechtmäßige behördliche Anfragen.
Lebenswichtiges Interesse: In Ausnahmefällen ist die Verarbeitung zum Schutz lebenswichtiger Interessen einer Person erforderlich, beispielsweise in Notsituationen im Zusammenhang mit Lebensmittelallergien, Sicherheitsvorfällen oder Notfällen im Bereich der öffentlichen Gesundheit.

5. Wie wir Ihre Daten verwenden

Wir verwenden die von uns erfassten personenbezogenen Daten für folgende Zwecke:

5.1 Kernplattformbetrieb

Die Plattform und alle ihre Funktionen und Dienste bereitstellen, warten, betreiben und verbessern.
Bestellungen, Zahlungen, Rückerstattungen und Lieferungen verarbeiten und ausführen.
Erstellen, authentifizieren und verwalten Sie Benutzerkonten für alle Benutzertypen.
Ermöglichen Sie die Auftragsverfolgung in Echtzeit, die Lieferkoordination und den Versand von Fahrern/Drohnen.
Auszahlungen an Geschäftspartner und Finanzabstimmung verarbeiten.
Verwalten Sie Foodfy Gold-Abonnements, Vorteile und Abrechnung.
Foodfy for Work Unternehmens-Wallets, Zuweisungen und Ausgabenverfolgung betreiben.

5.2 Kommunikation

Transaktionsbezogene Mitteilungen senden, einschließlich Bestellbestätigungen, Lieferaktualisierungen, Zahlungsbelege und Kontobenachrichtigungen.
Kundensupport bereitstellen und Anfragen über alle Kanäle beantworten (E-Mail, In-App, WhatsApp, SMS).
Mit Ihrer Einwilligung Werbemitteilungen, Marketingangebote und personalisierte Empfehlungen senden.

5.3 Personalisierung und KI

Personalisieren Sie Ihr Erlebnis durch KI-gestützte Suchergebnisse, Unternehmensempfehlungen und Produktvorschläge.
Geschäftspartnern KI-gestützte Tools bereitstellen, einschließlich Menüoptimierung, Nachfrageprognose, automatisierte Marketinginhalte und Kundenanalysen.
NutriLife-Funktionen betreiben, einschließlich KI-Essensbildanalyse, Nährwertberechnung und personalisierter Ernährungsberatung.
Aktivieren Sie KI-Chatbots und automatisierten Kundensupport.

5.4 Sicherheit und Compliance

Erkennen, untersuchen und verhindern Sie Betrug, Missbrauch, unbefugten Zugriff und andere illegale oder schädliche Aktivitäten.
Die Identität von Geschäftspartnern, Lieferpartnern, Gebietspartnern und Investoren überprüfen.
Halten Sie die geltenden gesetzlichen Verpflichtungen, Steueranforderungen und behördlichen Vorschriften ein.
Durchsetzung unserer Nutzungsbedingungen und anderer Vereinbarungen.

5.5 Analyse und Verbesserung

Führen Sie aggregierte und anonymisierte Analysen durch, um Nutzungsmuster zu verstehen und Plattformfunktionen zu verbessern.
A/B-Tests und Benutzererfahrungsforschung durchführen.
KI-Modelle mit anonymisierten und aggregierten Daten trainieren und verbessern.
Erstellen Sie Business-Intelligence-Berichte und Markteinblicke.

6. Wie wir Ihre Informationen weitergeben

Wir geben Ihre personenbezogenen Daten nur soweit notwendig weiter, um die Plattform zu betreiben. Wir verkaufen Ihre Daten nicht an Dritte.

6.1 Mit anderen Plattformbenutzern

Geschäftspartner: Wenn Sie bestellen, teilen wir Ihren Namen, Lieferadresse, Telefonnummer und Bestelldetails mit dem relevanten Geschäftspartner. Geschäftspartner auf Foodfy behalten das volle Eigentum an ihren Kundendaten.
Lieferpartner: Wir teilen Ihre Lieferadresse und notwendige Kontaktinformationen mit Lieferpartnern, um Lieferungen abzuschließen. Der Zugang der Lieferpartner zu Ihren Daten ist auf das für die aktuelle Lieferung Notwendige beschränkt.
Kunden: Informationen zu Geschäftspartnern (Name, Adresse, Bewertungen, Menü, Öffnungszeiten) werden öffentlich auf der Plattform angezeigt, um das Auffinden und Bestellen zu ermöglichen.

6.2 Mit Dienstleistern

Wir beauftragen vertrauenswürdige Drittanbieter, die Daten in unserem Auftrag unter strengen Auftragsverarbeitungsverträgen verarbeiten:

Stripe: Zahlungsabwicklung, Abonnementabrechnung und Betrugserkennung.
Wolkenflare: Inhaltsbereitstellung, DDoS-Schutz und Webanwendungs-Firewall.
Anthropic und OpenAI: KI- und Machine-Learning-Modellinferenz für Plattform-KI-Funktionen. An KI-Anbieter gesendete Daten werden gemäß den Datenverarbeitungsbedingungen ihres Unternehmens verarbeitet und nicht zum Trainieren ihrer allgemeinen Modelle verwendet.
Deepgram: Sprache-zu-Text-Verarbeitung für sprachgesteuerte Funktionen.
Twilio: SMS-Zustellung und Sprachkommunikationsdienste.
Google: Karten, Places API, Analyse- und Werbedienste.
Meta: Verwaltung von Werbekampagnen und Conversion-Tracking.
Cloud-Infrastrukturanbieter: Server-Hosting, Datenspeicherung und Computing-Dienste.

6.3 Mit Lieferplattformen von Drittanbietern

Wenn Geschäftspartner Lieferplattform-Integrationen (Uber Eats, Deliveroo, Talabat, Keeta, Careem u.a.) nutzen, werden Bestelldaten und notwendige Betriebsinformationen ausgetauscht. Diese Datenweitergabe wird vom Geschäftspartner initiiert.

6.4 Mit Buchhaltungsintegrationen

Wenn Geschäftspartner Buchhaltungssoftware (Xero, QuickBooks) verbinden, werden Finanztransaktionsdaten, Rechnungen und Geschäftsunterlagen wie vom Geschäftspartner konfiguriert synchronisiert.

6.5 Für rechtliche und regulatorische Zwecke

Wenn dies nach geltendem Recht, Verordnung, gerichtlicher Verfügung oder vollstreckbarer behördlicher Anforderung erforderlich ist.
Zur Durchsetzung unserer Nutzungsbedingungen und anderer Vereinbarungen.
Zum Schutz der Rechte, des Eigentums und der Sicherheit von Foodfy, unseren Nutzern oder der Öffentlichkeit.
Zur Erkennung, Verhinderung oder Behebung von Betrug oder technischen Problemen.

6.6 Geschäftsübertragungen

Im Zusammenhang mit einer Fusion, Übernahme, Umstrukturierung, Insolvenz, einem Verkauf von Vermögenswerten oder einer ähnlichen Unternehmenstransaktion können Ihre personenbezogenen Daten an das übernehmende Unternehmen übermittelt werden. Wir werden Sie benachrichtigen, bevor Ihre personenbezogenen Daten einer anderen Datenschutzrichtlinie unterliegen.

6.7 Mit Ihrer Zustimmung

Wir geben Ihre Daten nur mit Ihrer ausdrücklichen Einwilligung für nicht in dieser Datenschutzrichtlinie beschriebene Zwecke weiter.

7. Datenaufbewahrung

Wir bewahren Ihre personenbezogenen Daten so lange auf, wie es für die Erfüllungszwecke erforderlich ist. Spezifische Aufbewahrungsfristen umfassen:

Aktive Kontodaten: Für die Dauer Ihres Kontos plus 30 Tage nach der Kontolöschungsanfrage aufbewahrt, um eine Wiederherstellung zu ermöglichen.
Bestell- und Transaktionsaufzeichnungen: Mindestens 7 Jahre aufbewahrt, um Steuer-, Buchhaltungs- und Finanzvorschriften in den jeweiligen Rechtsgebieten zu entsprechen.
Zahlungsaufzeichnungen: Aufbewahrt gemäß PCI-DSS-Standards und Finanzvorschriften, typischerweise 7 Jahre.
Geschäftspartnerdaten: Für die Dauer der Geschäftsbeziehung plus die gesetzlich vorgeschriebene Aufbewahrungsfrist für Geschäftsunterlagen aufbewahrt.
NutriLife Gesundheitsdaten: Aufbewahrt, solange Ihr NutriLife-Profil aktiv ist. Bei einem Löschungsantrag werden Gesundheitsdaten innerhalb von 30 Tagen dauerhaft gelöscht, außer wenn die Aufbewahrung gesetzlich vorgeschrieben ist.
Foodfy Gold-Abonnementdaten: Für die Dauer des Abonnements plus 3 Jahre für die Beilegung von Abrechnungsstreitigkeiten aufbewahrt.
Mitarbeiterdaten für Unternehmenskonten: Für die Dauer der Mitarbeiterregistrierung plus 1 Jahr nach Entfernung aus dem Firmenkonto aufbewahrt.
Kommunikationsprotokolle: Kundensupport-Interaktionen werden zur Qualitätssicherung und Streitbeilegung 3 Jahre lang aufbewahrt.
Analysedaten: Aggregierte und anonymisierte Analysedaten können auf unbestimmte Zeit aufbewahrt werden, da sie keine Rückschlüsse auf Einzelpersonen ermöglichen.

Wenn personenbezogene Daten nicht mehr benötigt werden und keine gesetzliche Aufbewahrungspflicht besteht, löschen oder anonymisieren wir die Daten sicher und unwiderruflich.

8. KI und automatisierte Entscheidungsfindung

Foodfy nutzt künstliche Intelligenz und automatisierte Verarbeitung über mehrere Plattformfunktionen hinweg. Wir verpflichten uns zu Transparenz darüber, wie diese Technologien Ihre Daten verarbeiten.

8.1 Wie KI Ihre Daten verarbeitet

Personalisierte Empfehlungen: KI-Modelle analysieren Ihren Bestellverlauf, Ihr Surfverhalten, Ihren Standort und Ihre Präferenzen, um Unternehmen, Produkte und Angebote zu empfehlen. Diese Verarbeitung basiert auf einem berechtigten Interesse.
Suchranking: Suchergebnisse werden mithilfe von Algorithmen eingestuft, die Relevanz, Entfernung, Beliebtheit, Bewertungen und Personalisierungssignale berücksichtigen.
Nachfrageprognose: Für Geschäftspartner analysiert KI historische Bestelldaten, saisonale Muster, lokale Ereignisse und Wetterdaten, um die Nachfrage vorherzusagen. Hierbei werden aggregierte Geschäftsdaten verwendet.
Menüoptimierung: KI schlägt Preisanpassungen und Menüänderungen auf der Grundlage von Verkaufsdaten, Konkurrenzanalysen und Kundenpräferenzen vor. Endgültige Entscheidungen werden immer vom Geschäftspartner getroffen.
Betrugserkennung: Automatisierte Systeme analysieren Transaktionsmuster, Geräteinformationen und Verhaltenssignale, um potenziell betrügerische Aktivitäten zu identifizieren. Gekennzeichnete Transaktionen können von menschlichen Analysten überprüft werden.
NutriLife AI: KI analysiert Mahlzeitenfotos, um den Nährstoffgehalt abzuschätzen und generiert personalisierte Ernährungsempfehlungen basierend auf Ihrem Gesundheitsprofil. Einzelheiten finden Sie in Abschnitt 9.
Automatisiertes Marketing: KI generiert Marketinginhalte, E-Mail-Kampagnen und Werbeangebote für Geschäftspartner auf der Grundlage von Kundensegmentierung und Verhaltensdaten.

8.2 Ihre Rechte in Bezug auf automatisierte Entscheidungen

Nach geltendem Recht (einschließlich DSGVO Artikel 22) haben Sie das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden. Bei solchen automatisierten Entscheidungen:

Sie haben das Recht auf menschliches Eingreifen und Überprüfung der Entscheidung.
Sie haben das Recht, Ihren Standpunkt darzulegen und die Entscheidung anzufechten.
Sie können eine Erklärung der Logik der automatisierten Entscheidung anfordern.

Um diese Rechte auszuüben, kontaktieren Sie uns unter [email protected].

8.3 KI-Datenschutz

An externe KI-Anbieter (Anthropic, OpenAI) gesendete Daten werden im Rahmen von Unternehmensdatenverarbeitungsvereinbarungen verarbeitet. Ihre Daten werden nicht zum Trainieren ihrer allgemeinen KI-Modelle verwendet.
Das KI-Modelltraining von Foodfy verwendet anonymisierte und aggregierte Daten, die keine einzelnen Benutzer identifizieren.
KI-Ausgaben sind probabilistisch und werden als Vorschläge oder Schätzungen dargestellt, nicht als endgültige Feststellungen.

9. Gesundheits- und biometrische Daten (NutriLife)

NutriLife verarbeitet sensible gesundheitsbezogene und biometrische Daten, die nach geltendem Datenschutzrecht besonderen Schutz erfordern. Dieser Abschnitt enthält detaillierte Informationen darüber, wie wir diese Daten handhaben.

9.1 Kategorien der erfassten Gesundheitsdaten

Mit Ihrer ausdrücklichen Einwilligung kann NutriLife folgende Kategorien von Gesundheitsdaten erfassen und verarbeiten:

Körpermaße: Körpergewicht, Körpergröße, Körperfettanteil, Taillenumfang, Hüftumfang und Body-Mass-Index (BMI).
Vitalzeichen: Blutzuckerspiegel, Blutdruckwerte und Herzfrequenz.
Lebensstilindikatoren: Schlafdauer, Flüssigkeitszufuhr, tägliche Schrittzahl, Energieniveau, Stressniveau, Stimmung und Verdauungsgesundheitsindikatoren.
Ernährungsinformationen: Ernährungstagebucheinträge, Mahlzeitenfotos, Kalorien- und Makronährstoffaufnahme (Protein, Kohlenhydrate, Fett, Ballaststoffe, Zucker, Natrium), Mikronährstoffaufnahme (Vitamine A bis B12, Kalzium, Eisen, Kalium und andere), Ernährungstyp und Nahrungsmittelallergien.
Gesundheitsprofil: Geburtsdatum, Geschlecht, Aktivitätsniveau, Gesundheitsziele (Gewichtsabnahme, -zunahme, -erhaltung), Zielgewicht, Erkrankungen, Einnahme von Nahrungsergänzungsmitteln, Schwangerschafts- oder Stillstatus.
KI-Analysedaten: Mit KI analysierte Mahlzeitenfotos, Konfidenzwerte und KI-generierte Nährwertschätzungen.

9.2 Rechtsgrundlage und Einwilligung

Gesundheits- und biometrische Daten werden gemäß DSGVO (Artikel 9) und gleichwertigen Gesetzen weltweit als Daten einer besonderen Kategorie eingestuft. Wir verarbeiten diese Daten ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung, die Sie im Rahmen des NutriLife-Onboardings erteilen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie NutriLife in Ihren Kontoeinstellungen deaktivieren, was zur Löschung Ihrer Gesundheitsdaten innerhalb von 30 Tagen führt.

9.3 Zweckbindung

Ihre NutriLife-Gesundheitsdaten werden ausschließlich für folgende Zwecke verwendet:

Berechnen Sie Ihren Grundumsatz (BMR), Ihren gesamten täglichen Energieverbrauch (TDEE) und personalisierte Kalorien- und Makronährstoffziele.
Ihre Ernährungstagebuch-Einträge und Nährstoffaufnahme über die Zeit verfolgen.
Bereitstellung KI-gestützter Ernährungsvorschläge und Essensplanempfehlungen.
Anzeige von Gesundheitstrends und Fortschritten bei der Erreichung Ihrer erklärten Ziele.

9.4 Strenger Datenschutz

NutriLife-Gesundheitsdaten werden im Ruhezustand und bei der Übertragung mit AES-256- und TLS-1.3-Verschlüsselung verschlüsselt.
Gesundheitsdaten werden getrennt von allgemeinen Plattformdaten mit zusätzlichen Zugriffskontrollen gespeichert.
NutriLife-Gesundheitsdaten werden NIEMALS mit Versicherungsunternehmen, Arbeitgebern, Werbetreibenden oder Dritten für Zwecke geteilt, die nicht mit der Bereitstellung des NutriLife-Dienstes zusammenhängen.
Gesundheitsdaten werden NIEMALS für zielgerichtete Werbung verwendet oder an Dritte verkauft.
Der Zugriff auf Gesundheitsdaten innerhalb von Foodfy ist auf das strikte Need-to-know-Prinzip auf wichtige Mitarbeiter und Systeme beschränkt.

10. Foodfy Gold-Abonnementdaten

Wenn Sie Foodfy Gold abonnieren, verarbeiten wir zusätzliche mitgliedschaftsbezogene Daten:

Abonnementdaten: Tariftyp, Abonnementstatus (aktiv, Testphase, pausiert, gekündigt, abgelaufen), Start- und Enddaten, Testphasendaten und Verlängerungsdaten.
Zahlungsdaten: Stripe-Kunden-ID, Stripe-Abonnement-ID, Zahlungsmethode (nur die letzten vier Ziffern und Kartentyp) und Abrechnungshistorie. Vollständige Kartendaten werden ausschließlich von Stripe gespeichert.
Vorteilsnutzung: Gesamtbestellungen mit Gold-Vorteilen, Lieferersparnisse, Rabattersparnisse und Protokolle der Vorteilseinlösung.

Diese Daten werden verarbeitet, um Ihr Abonnement zu verwalten und Vorteile auf berechtigte Bestellungen anzuwenden. Rechtsgrundlage: Vertragserfüllung.

11. Firmenkonto- und Mitarbeiterdaten

Für Foodfy for Work (Unternehmenskonten) sind die Verantwortlichkeiten für die Datenverarbeitung geteilt:

11.1 Beziehung zum Datenverantwortlichen

Die einschreibende Organisation (Arbeitgeber) fungiert als Verantwortlicher für die Mitarbeiterdaten. Foodfy fungiert als Auftragsverarbeiter gemäß dem Foodfy for Work Auftragsverarbeitungsvertrag.

11.2 Erfasste Daten

Name des Mitarbeiters, E-Mail-Adresse und Rolle innerhalb des Unternehmenskontos (Administrator, Manager, Mitarbeiter).
Vom Arbeitgeber bereitgestellte Abteilung, Kostenstelle und Mitarbeiterreferenznummer.
Wallet-Guthaben, Kreditverlauf, Ausgabenverlauf und Rückerstattungsaufzeichnungen.
Bestellhistorie über das Unternehmens-Wallet, einschließlich bestellter Artikel und Beträge.

11.3 Pflichten des Arbeitgebers

Arbeitgeber sind dafür verantwortlich: (a) eine rechtmäßige Grundlage für die Weitergabe von Mitarbeiterdaten an Foodfy zu haben; (b) Information der Mitarbeiter über die Datenverarbeitung über die Plattform; (c) Beantwortung von Anfragen zu Arbeitnehmerdatenrechten im Zusammenhang mit vom Arbeitgeber kontrollierten Daten; und (d) Sicherstellung der Einhaltung der geltenden Arbeits- und Datenschutzgesetze.

12. Betriebsdaten zur Drohnenlieferung

Wenn Drohnenlieferdienste genutzt werden, werden folgende zusätzliche Daten verarbeitet:

Routen- und GPS-Daten: Drohnenflugrouten, Relaispunkte über DronePort-Standorte, GPS-Lieferkoordinaten und geschätzte Ankunftszeiten.
Daten des Lieferpartners: Für drohnenfähige Lieferpartner: Echtzeit-Standort während aktiver Lieferungen, Lieferstatistiken und Betriebsprotokolle.
DronePort-Daten: DronePort-Nutzungsmetriken, Wartungspläne und Betriebsstatus.
Kundenlieferdaten: Genaue Lieferkoordinaten erforderlich für sichere und präzise Drohnenlandung, die präziser sein können als standardmäßige adressbasierte Lieferung.

Die Verarbeitung der Drohnen-Lieferdaten erfolgt auf der Rechtsgrundlage der Vertragserfüllung und gegebenenfalls des berechtigten Interesses an der Aufrechterhaltung eines sicheren und effizienten Lieferbetriebs. Echtzeit-Standortdaten von Lieferpartnern werden nur während aktiver Lieferungen verarbeitet.

13. Datensicherheit

Foodfy ergreift umfassende, branchenführende technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten:

13.1 Technische Sicherheitsmaßnahmen

Verschlüsselung aller Daten während der Übertragung mit TLS 1.2+ (HTTPS wird auf allen Plattform-Endpunkten durchgesetzt).
Verschlüsselung sensibler Daten im Ruhezustand mithilfe der AES-256-Verschlüsselung.
Web Application Firewall (WAF) und DDoS-Schutz über Cloudflare.
Content Delivery Network (CDN) mit Edge-Caching für Leistung und Sicherheit.
PCI-DSS-konforme Zahlungsabwicklung über Stripe, ohne Speicherung vollständiger Kartennummern auf Foodfy-Servern.
Zwei-Faktor-Authentifizierung (2FA) für alle Konten verfügbar und für privilegierte Konten obligatorisch.
API-Authentifizierung mithilfe sicherer Token mit Ratenbegrenzung und Missbrauchserkennung.
Regelmäßige automatisierte Schwachstellenscans und Penetrationstests.

13.2 Organisatorische Maßnahmen

Rollenbasierte Zugriffskontrollen, die sicherstellen, dass Mitarbeiter nur auf die für ihre Funktion erforderlichen Daten zugreifen können.
Multi-Tenant-Datenarchitektur mit länderspezifischem Datenbank-Sharding, die sicherstellt, dass Daten aus verschiedenen Rechtsgebieten logisch getrennt sind.
Datenverarbeitungsvereinbarungen mit allen Drittanbietern.
Regelmäßige Sicherheitsschulungen für alle Mitarbeiter mit Zugang zu personenbezogenen Daten.
Verfahren zur Reaktion auf Vorfälle und ein engagiertes Sicherheitsteam.
Maßnahmen zur Datenminimierung: Wir erfassen nur die Daten, die für den angegebenen Zweck erforderlich sind.

Trotz robuster Sicherheitsmaßnahmen ist keine Methode der Internetübertragung zu 100 % sicher. Wir empfehlen allen Nutzern, ihre Konten zu schützen, einschließlich der Verwendung starker Passwörter und Zwei-Faktor-Authentifizierung.

14. Internationale Datenübertragungen

Foodfy ist über seine globale Infrastruktur und sein Territory-Partnernetzwerk in über 250 Ländern tätig. Ihre personenbezogenen Daten können in andere Länder als Ihr Wohnsitzland übertragen und dort verarbeitet werden. Wenn wir personenbezogene Daten international übertragen, ergreifen wir geeignete Sicherheitsvorkehrungen, um sicherzustellen, dass Ihre Daten geschützt bleiben:

Standardvertragsklauseln (SCCs): Für Überweisungen aus dem EWR/Großbritannien in Länder ohne Angemessenheitsbeschluss verwenden wir von der Europäischen Kommission genehmigte Standardvertragsklauseln.
Datenverarbeitungsvereinbarungen: Alle Drittanbieter, die in unserem Auftrag personenbezogene Daten verarbeiten, sind an umfassende Datenverarbeitungsvereinbarungen gebunden, die Datenschutzverpflichtungen, Sicherheitsanforderungen und Schutzmaßnahmen für die grenzüberschreitende Übertragung umfassen.
Länderspezifisches Daten-Sharding: Unsere Multi-Tenant-Architektur verwendet länderspezifische Datenbank-Shards, was bedeutet, dass Betriebsdaten innerhalb oder in der Nähe der geografischen Region des jeweiligen Gebiets gespeichert und verarbeitet werden, wodurch grenzüberschreitende Übertragungen im Tagesgeschäft minimiert werden.
Angemessenheitsentscheidungen: Wo verfügbar, stützen wir uns auf Angemessenheitsbeschlüsse der zuständigen Aufsichtsbehörden.
Transfer-Folgenabschätzungen: Wir führen Transfer-Folgenabschätzungen für Datenübertragungen in Länder ohne angemessene Datenschutzrahmen durch.

15. Ihre Datenschutzrechte

Abhängig von Ihrem Standort haben Sie unterschiedliche Rechte bezüglich Ihrer personenbezogenen Daten. Foodfy verpflichtet sich, diese Rechte für alle Benutzer weltweit zu respektieren:

15.1 Universelle Rechte

Unabhängig von Ihrem Standort können alle Foodfy-Benutzer:

Zugang: Eine Kopie der von uns über Sie gespeicherten personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format anfordern.
Korrektur: Berichtigung unrichtiger, unvollständiger oder veralteter personenbezogener Daten beantragen. Sie können die meisten Informationen direkt über Ihre Kontoeinstellungen aktualisieren.
Streichung: Löschung Ihrer personenbezogenen Daten beantragen, vorbehaltlich berechtigter Aufbewahrungsanforderungen (gesetzliche Pflichten, Streitbeilegung, Betrugsprävention).
Einschränkung: Beantragen, dass wir die Verarbeitung Ihrer personenbezogenen Daten unter bestimmten Umständen einschränken.
Widerspruch: Der Verarbeitung Ihrer personenbezogenen Daten zu Direktmarketingzwecken widersprechen. Wir werden alle Widersprüche umgehend berücksichtigen.
Widerruf der Einwilligung: Wenn die Verarbeitung auf Einwilligung basiert, können Sie Ihre Einwilligung jederzeit widerrufen, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu beeinträchtigen.
Kontolöschung: Die vollständige Löschung Ihres Kontos und der zugehörigen personenbezogenen Daten beantragen. Kontolöschungsanfragen werden innerhalb von 30 Tagen bearbeitet.

15.2 So üben Sie Ihre Rechte aus

Sie können Ihre Rechte ausüben durch:

Zugriff auf Ihre Kontoeinstellungen für Self-Service-Datenverwaltung, Präferenzänderungen und Kontolöschung.
Senden Sie Ihre Anfrage per E-Mail an unseren Datenschutzbeauftragten unter [email protected].
Für allgemeine Datenschutzanfragen senden Sie eine E-Mail an [email protected].

Wir überprüfen Ihre Identität vor der Bearbeitung und antworten innerhalb der gesetzlich vorgeschriebenen Frist (typischerweise 30 Tage, verlängerbar um weitere 60 Tage bei komplexen Anfragen mit vorheriger Benachrichtigung).

16. Regionale Datenschutzrechte

Die folgenden ergänzenden Bestimmungen gelten je nach Ihrem Standort und dem geltenden Datenschutzrecht:

16.1 Europäischer Wirtschaftsraum und Vereinigtes Königreich (DSGVO / UK DSGVO)

Wenn Sie im EWR oder im Vereinigten Königreich ansässig sind, haben Sie gemäß der Datenschutz-Grundverordnung die folgenden zusätzlichen Rechte:

Datenportabilität: Ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln.
Recht auf Beschwerde: Sie haben das Recht, eine Beschwerde bei Ihrer lokalen Datenschutzaufsichtsbehörde einzureichen. Eine Liste der EWR-Aufsichtsbehörden finden Sie unter ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm.
Automatisierte Entscheidungsfindung: Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung beruht und die rechtliche oder ähnlich erhebliche Auswirkungen hat (DSGVO Artikel 22). Siehe Abschnitt 8.2.
Datenschutzbeauftragter: Unser DSB ist unter [email protected] für alle DSGVO-bezogenen Anfragen erreichbar.

16.2 Kalifornien, Vereinigte Staaten (CCPA / CPRA)

Wenn Sie in Kalifornien ansässig sind, haben Sie gemäß dem California Consumer Privacy Act (in der durch den California Privacy Rights Act geänderten Fassung) die folgenden Rechte:

Recht auf Auskunft: Offenlegung der Kategorien und spezifischen personenbezogenen Daten, die wir erhoben haben, der Erhebungsquellen, des geschäftlichen Zwecks der Erhebung und der Kategorien von Dritten, mit denen wir sie teilen, beantragen.
Recht auf Löschung: Löschung Ihrer personenbezogenen Daten beantragen, vorbehaltlich gesetzlicher Ausnahmen.
Recht auf Berichtigung: Berichtigung unrichtiger personenbezogener Daten beantragen.
Recht auf Widerspruch gegen Verkauf oder Weitergabe: Foodfy verkauft Ihre persönlichen Daten nicht. Ohne Ihre Einwilligung geben wir keine personenbezogenen Daten für kontextübergreifende Verhaltenswerbung weiter.
Recht auf Beschränkung der Nutzung sensibler personenbezogener Daten: Beschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten auf das für die angegebenen Zwecke Erforderliche beantragen.
Nichtdiskriminierung: Wir werden Sie nicht wegen der Ausübung Ihrer CCPA/CPRA-Rechte diskriminieren.

In den letzten 12 Monaten haben wir keine personenbezogenen Daten im Sinne des CCPA/CPRA verkauft.

16.3 Brasilien (LGPD)

Wenn Sie in Brasilien ansässig sind, haben Sie Rechte gemäß dem Lei Geral de Protecao de Dados (LGPD), einschließlich des Rechts auf: Bestätigung der Verarbeitung, Zugang, Berichtigung, Anonymisierung, Übertragbarkeit, Löschung der mit Einwilligung verarbeiteten Daten, Informationen über die Weitergabe und das Recht, eine Petition an die Autoridade Nacional de Protecao de Dados (ANPD) zu richten.

16.4 Asien-Pazifik (PDPA und gleichwertige Gesetze)

Wenn Sie sich in Gerichtsbarkeiten mit Gesetzen zum Schutz personenbezogener Daten oder gleichwertigen Gesetzen befinden (einschließlich Singapur, Thailand und anderen Ländern im asiatisch-pazifischen Raum), haben Sie das Recht auf Zugriff, Korrektur, Löschung, Einschränkung und Übertragbarkeit Ihrer personenbezogenen Daten gemäß den geltenden lokalen Gesetzen. Wir verarbeiten Ihre Daten in Übereinstimmung mit den geltenden PDPA-Anforderungen, einschließlich der Einholung der erforderlichen Einwilligung und der transparenten Benachrichtigung über Datenverarbeitungsaktivitäten.

16.5 Naher Osten und Nordafrika

Für Benutzer in den Vereinigten Arabischen Emiraten, Saudi-Arabien und anderen MENA-Gerichtsbarkeiten halten wir uns an die geltenden Datenschutzbestimmungen, einschließlich des Bundesgesetzes der Vereinigten Arabischen Emirate zum Schutz personenbezogener Daten, des Gesetzes zum Schutz personenbezogener Daten in Saudi-Arabien und gleichwertiger regionaler Regelungen. Hierzu zählen ggf. auch Datenlokalisierungsanforderungen.

16.6 Andere Gerichtsbarkeiten

Foodfy verpflichtet sich zur Einhaltung der Datenschutzgesetze in allen Gerichtsbarkeiten, in denen wir tätig sind. Wenn in Ihrer Gerichtsbarkeit spezifische Datenschutzanforderungen gelten, die oben nicht aufgeführt sind, wenden Sie sich bitte an [email protected], um Informationen darüber zu erhalten, wie wir Ihre Rechte gemäß Ihrem lokalen Recht schützen.

17. Benachrichtigung über Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die ein Risiko für Ihre Rechte und Freiheiten darstellt, wird Foodfy:

Die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen, wie von DSGVO Artikel 33 und entsprechenden Bestimmungen in anderen Rechtsgebieten gefordert.
Betroffene Personen unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat, wie von DSGVO Artikel 34 und entsprechenden Bestimmungen gefordert.
Angaben zur Art der Verletzung, den Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze, den wahrscheinlichen Folgen und den Maßnahmen zur Behebung der Verletzung und Minderung ihrer Auswirkungen bereitstellen.
Dokumentieren Sie alle Verstöße gegen den Schutz personenbezogener Daten, einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen, gemäß unserem internen Verstoßregister.

Wenn Sie glauben, dass Ihre Daten kompromittiert wurden, wenden Sie sich bitte umgehend an [email protected].

18. Kinder und Minderjährige

Die Plattform ist nicht für Personen unter 18 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter der geltenden Altersgrenze.

Wenn uns bekannt wird, dass wir unbeabsichtigt personenbezogene Daten eines Kindes unterhalb der geltenden Altersgrenze ohne Zustimmung der Eltern oder Erziehungsberechtigten erfasst haben, werden wir unverzüglich Maßnahmen ergreifen, um diese Informationen aus unseren Systemen zu löschen. Wenn Sie glauben, dass wir Informationen von einem Kind gesammelt haben, kontaktieren Sie uns bitte umgehend unter [email protected].

19. Links und Dienste Dritter

Die Plattform kann Links zu Websites Dritter enthalten. Diese Datenschutzrichtlinie gilt nicht für Dienste Dritter, und Foodfy ist nicht für deren Datenschutzpraktiken verantwortlich.

Wir empfehlen Ihnen, die Datenschutzrichtlinie jedes Drittanbieterdienstes zu überprüfen, mit dem Sie interagieren.

20. Änderungen dieser Datenschutzrichtlinie

Wir können diese Datenschutzrichtlinie regelmäßig aktualisieren. Bei wesentlichen Änderungen:

Wir werden das Datum „Zuletzt aktualisiert" oben auf dieser Seite aktualisieren.
Wir werden eine auffällige Benachrichtigung auf der Plattform bereitstellen.
Bei wesentlichen Änderungen, die die Art und Weise, wie wir Ihre Daten verarbeiten, erheblich beeinflussen, werden wir Sie mindestens 30 Tage vor Inkrafttreten der Änderungen per E-Mail benachrichtigen.
Wo gesetzlich vorgeschrieben, holen wir Ihre Einwilligung zu wesentlichen Änderungen der Datenverarbeitungspraktiken ein.

Ihre fortgesetzte Nutzung der Plattform nach Inkrafttreten von Änderungen gilt als Annahme der aktualisierten Datenschutzrichtlinie.

21. Kontaktieren Sie uns

Wenn Sie Fragen, Bedenken oder Wünsche bezüglich dieser Datenschutzrichtlinie, Ihren persönlichen Daten oder unseren Datenschutzpraktiken haben, kontaktieren Sie uns bitte über die folgenden Kanäle:

Datenschutzbeauftragter: [email protected]
Datenschutzanfragen: [email protected]
Sicherheitsprobleme: [email protected]
Allgemeine Unterstützung: [email protected]
Webseite: foodfy.ai

Wir sind bestrebt, Beschwerden über unsere Datenerfassung zu lösen. Kontaktieren Sie uns bitte zuerst. Können wir Ihr Anliegen nicht lösen, haben Sie das Recht, eine Beschwerde bei Ihrer lokalen Datenschutzaufsichtsbehörde einzureichen.