Datenschutzerklärung

Name: PlanMahl
Author: MOLOTOW Web Development GmbH

Stand: 29. März 2026

1. Verantwortlicher

MOLOTOW Web Development GmbH
Willy-Brandt-Str. 9/2
77933 Lahr

Telefon: +49 7821 5094500
E-Mail: mail@molotow-web.com
Geschäftsführer: Thorsten Heß

(Im Folgenden „wir“ oder „Betreiber“.)

2. Überblick über die Datenverarbeitung

PlanMahl ist eine webbasierte Kochplan-Anwendung, mit der Nutzer wöchentliche Mahlzeiten planen, Rezepte verwalten und Einkaufslisten erstellen können. In dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten wir erheben, zu welchem Zweck und auf welcher Rechtsgrundlage.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für den Export Ihrer Einkaufsliste an den Drittanbieter Bring!.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung, die zur Erfüllung des Nutzungsvertrags (Bereitstellung der App-Funktionen) erforderlich ist, insbesondere Registrierung, Authentifizierung und die Kernfunktionen der App.
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Verarbeitung zur Wahrung unserer berechtigten Interessen, z. B. Sicherstellung des technischen Betriebs, Schutz vor Missbrauch und Verbesserung unseres Dienstes.

4. Erhobene Daten

4.1 Registrierungs- und Kontodaten

Bei der Registrierung erheben und speichern wir:

Name
E-Mail-Adresse
Passwort (ausschließlich als kryptographischer Hash, bcrypt mit Kostenfaktor 12)
Zeitpunkt der Registrierung
Zeitpunkt der E-Mail-Verifizierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.2 Nutzungsdaten und technische Daten

Im Rahmen der Nutzung erfassen wir:

Zeitpunkt des letzten Logins
Zeitpunkt der letzten Aktivität
Kontostatus (Premium-Status, Premium-Ablaufdatum)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Dienstverwaltung).

4.3 Nutzergenerierte Inhalte

Folgende vom Nutzer erstellte Inhalte werden gespeichert:

Rezepte (Titel, Zubereitungszeit, Portionen, Kalorien, Zutaten, Zubereitungsschritte)
Rezeptbilder (hochgeladen und in verschiedenen Größen verarbeitet)
Wochenpläne und Tageseinträge
Wartelisten-Einträge mit Notizen
Einstellungen (z. B. bevorzugter Wochenstarttag)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.4 KI-Nutzungsdaten

Wenn Sie die KI-gestützte Rezepterkennung nutzen, protokollieren wir:

Verwendetes KI-Modell
Verwendungszweck (z. B. Rezepterkennung)
Token-Verbrauch (Eingabe/Ausgabe)
Anzahl der verarbeiteten Bilder
Verarbeitungsdauer

Diese Daten werden zur Kontingentsteuerung und Qualitätssicherung erhoben. Rezeptbilder werden zur Verarbeitung an Anthropic (Claude API) übermittelt (siehe Abschnitt 7.2).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5. Cookies und lokale Speicherung

5.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

Cookie	Zweck	Dauer	Typ
pm_session	Session-ID für die Authentifizierung	30 Min. (bzw. 30 Tage bei „Angemeldet bleiben“)	HttpOnly, Secure, SameSite=Lax
pm_remember	Merkt sich die „Angemeldet bleiben“-Wahl	Session	Nicht HttpOnly

5.2 Lokale Speicherung (LocalStorage)

Im Browser werden folgende Einstellungen gespeichert:

pm_theme — Bevorzugtes Farbschema (hell/dunkel/auto)
pm_recipes_view — Bevorzugte Rezeptansicht (Liste/Kacheln)

Diese Daten verlassen Ihr Gerät nicht und werden nicht an unsere Server übermittelt.

5.3 Keine Tracking-Cookies

Wir setzen keine Tracking-Cookies, Analyse-Tools (wie Google Analytics) oder Werbe-Cookies ein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb). Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist gemäß § 25 Abs. 2 Nr. 2 TDDDG keine gesonderte Einwilligung erforderlich.

6. Authentifizierung und Sitzungsverwaltung

6.1 OAuth2-Authentifizierung

PlanMahl verwendet OAuth2 mit PKCE (Proof Key for Code Exchange) für die sichere Authentifizierung. Dabei werden folgende Daten verarbeitet:

Access-Tokens und Refresh-Tokens (serverseitig gespeichert, nicht im Browser)
Token-Gültigkeitsdauer und Widerrufsstatus
CSRF-Tokens zum Schutz vor Cross-Site-Request-Forgery-Angriffen

Tokens werden serverseitig in einem verschlüsselten Key-Value-Store gespeichert und sind dem Nutzer nicht direkt zugänglich.

6.2 Passwort-Zurücksetzung

Bei einer Passwort-Zurücksetzung speichern wir vorübergehend einen kryptographischen Token (gehasht) zusammen mit Ihrer E-Mail-Adresse. Dieser Token verfällt nach 60 Minuten und kann nur einmal pro 60 Sekunden angefordert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Weitergabe an Dritte und Auftragsverarbeiter

7.1 Bring! (Einkaufslisten-Export)

Wenn Sie Ihre Einkaufsliste an die App Bring! exportieren, werden folgende Daten übermittelt:

Die aggregierten Zutaten Ihrer geplanten Mahlzeiten (Einkaufsliste)
Anzahl der Basisportionen
Eine öffentliche Export-URL (enthält keine direkt identifizierenden Nutzerdaten)

Der Export erfolgt auf Ihre ausdrückliche Veranlassung. Es werden keine Kontodaten (Name, E-Mail) an Bring! übermittelt.

Anbieter: Bring! Labs AG, Schweiz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Export-Funktion).

7.2 Anthropic (KI-Rezepterkennung)

Für die KI-gestützte Rezepterkennung werden Rezeptbilder an die API von Anthropic (Claude) übermittelt. Anthropic verarbeitet diese Daten im Rahmen der API-Nutzung und speichert sie nicht über die Verarbeitungsdauer hinaus.

Anbieter: Anthropic PBC, San Francisco, USA. Für die Datenübermittlung in die USA stützen wir uns auf die von Anthropic bereitgestellten Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.3 USDA FoodData Central

Für Nährwertinformationen werden Abfragen an die USDA FoodData Central API gesendet. Dabei werden ausschließlich Suchbegriffe zu Lebensmitteln übermittelt, keine personenbezogenen Daten.

Anbieter: U.S. Department of Agriculture, USA.

7.4 Hosting und Infrastruktur

Unsere Anwendung wird bei folgenden Anbietern gehostet:

Mittwald CM Service GmbH & Co. KG

Standort: Deutschland (Espelkamp)
Dienste: vServer (Webserver, Datenbank, Redis)
Mittwald verarbeitet Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO

7.5 E-Mail-Versand

Für den Versand transaktionaler E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzung, E-Mail-Verifizierung) nutzen wir einen SMTP-Dienst. Versendete E-Mails enthalten:

Ihre E-Mail-Adresse (Empfänger)
Ihren Namen (Anrede)
Verifizierungs- bzw. Zurücksetzungslinks

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

Verschlüsselte Übertragung aller Daten via HTTPS/TLS
Passwörter werden ausschließlich als bcrypt-Hashes (Kostenfaktor 12) gespeichert
OAuth2-Tokens werden serverseitig in einem verschlüsselten Speicher gehalten
CSRF-Schutz für alle datenändernden Operationen
Zugriffskontrolle über Scoped OAuth2-Tokens (Prinzip der minimalen Berechtigung)
HttpOnly- und Secure-Flags für sicherheitsrelevante Cookies
Verschlüsselte Speicherung sensibler Konfigurationsdaten (z. B. API-Schlüssel)

9. Speicherdauer und Löschung

9.1 Kontodaten

Ihre Kontodaten werden für die Dauer Ihres Nutzungsverhältnisses gespeichert. Nach Löschung Ihres Kontos werden alle personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. steuerrechtliche Aufbewahrungsfristen von bis zu 10 Jahren nach §§ 147 AO, 257 HGB).

9.2 Sitzungs- und Token-Daten

Sitzungen: 30 Minuten (Standard) bzw. 30 Tage („Angemeldet bleiben“)
Passwort-Zurücksetzungs-Tokens: 60 Minuten
Einkaufslisten-Exports: verfallen automatisch (standardmäßig nach 24 Stunden)

9.3 Nutzergenerierte Inhalte

Rezepte, Wochenpläne und andere nutzergenerierte Inhalte werden bei Kontolöschung vollständig entfernt.

9.4 KI-Nutzungsprotokolle

KI-Nutzungsdaten werden für Zwecke der Kontingentsteuerung und Abrechnung gespeichert und bei Kontolöschung anonymisiert oder gelöscht.

10. Ihre Rechte als betroffene Person

Gemäß der DSGVO haben Sie folgende Rechte:

10.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten. Wir stellen Ihnen auf Anfrage eine Kopie Ihrer Daten in einem gängigen, maschinenlesbaren Format zur Verfügung.

10.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen. Viele Daten können Sie direkt in Ihren Kontoeinstellungen ändern.

10.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen. Sie können Ihr Konto und alle damit verbundenen Daten direkt in den Kontoeinstellungen unter „Konto löschen“ unwiderruflich entfernen. Alternativ können Sie sich per E-Mail an uns wenden.

Bei der Kontolöschung werden folgende Daten unwiderruflich gelöscht:

Kontodaten (Name, E-Mail, Passwort-Hash)
Alle Rezepte einschließlich hochgeladener Bilder
Alle Wochenpläne und Tageseinträge
Alle Wartelisten-Einträge
Alle Einstellungen
Alle Sitzungen und Tokens
KI-Nutzungsprotokolle

10.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn Sie die Richtigkeit Ihrer Daten bestreiten.

10.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

10.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

10.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.

10.8 Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
Telefon: +49 711 6155410
E-Mail: poststelle@lfdi.bwl.de
Website: www.baden-württemberg.datenschutz.de

11. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt, die Ihnen gegenüber eine rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Die KI-gestützte Rezepterkennung (Abschnitt 4.4) dient ausschließlich der Unterstützung bei der Rezepteingabe und trifft keine Entscheidungen über Ihre Person.

12. Kontolöschung und Datenexport

12.1 Kontolöschung

Sie können Ihr Konto jederzeit in den Einstellungen der App unter „Konto löschen“ selbst löschen. Die Löschung erfolgt unwiderruflich und umfasst alle in Abschnitt 10.3 genannten Daten. Alternativ können Sie die Löschung per E-Mail an mail@molotow-web.com beantragen.

12.2 Datenexport

Auf Anfrage stellen wir Ihnen eine Kopie aller über Sie gespeicherten personenbezogenen Daten in einem maschinenlesbaren Format (JSON) zur Verfügung. Bitte senden Sie Ihre Anfrage an mail@molotow-web.com.

13. Minderjährige

PlanMahl richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir feststellen, dass wir Daten eines Kindes unter 16 Jahren erhoben haben, werden wir diese umgehend löschen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung ist in der App und auf unserer Website einsehbar. Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder durch einen Hinweis in der App.

15. Kontakt

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

MOLOTOW Web Development GmbH
Thorsten Heß
Willy-Brandt-Str. 9/2
77933 Lahr

E-Mail: mail@molotow-web.com
Telefon: +49 7821 5094500