Datenschutzerklärung

Stand: 02.01.2026

1. Einleitung und Überblick

Wir haben diese Datenschutzerklärung (Fassung 02.01.2026) verfasst, um Ihnen gemäß der Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 und anwendbaren nationalen Gesetzen zu erklären, welche personenbezogenen Daten wir als Verantwortliche verarbeiten.

Kurz gesagt: Der Schutz Ihrer Daten ist uns wichtig. Wir erheben nur die Daten, die wirklich notwendig sind, und gehen verantwortungsvoll damit um.

2. Verantwortlicher

Kevin Bollinger
Margarethenstraße 43
50181 Bedburg
Deutschland

E-Mail: datenschutz@kostly.de

3. Datenerfassung auf unserer Website

3.1 Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse (anonymisiert)

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung und Sicherheit der Website).

3.2 Cookies

Unsere Website verwendet Cookies. Dabei handelt es sich um kleine Textdateien, die Ihr Webbrowser auf Ihrem Endgerät speichert.

Wir unterscheiden zwischen:

  • Notwendige Cookies: Technisch erforderlich für die Funktion der Website (z.B. Session-Cookie)
  • Analyse-Cookies: Nur mit Ihrer ausdrücklichen Einwilligung (Opt-In)

Sie können Ihre Einwilligung jederzeit über unseren Cookie-Banner widerrufen oder in Ihren Browsereinstellungen Cookies blockieren.

4. Newsletter

Wenn Sie sich für unseren Newsletter anmelden, erheben wir folgende Daten:

  • E-Mail-Adresse (Pflichtangabe)
  • Postleitzahl (optional, nur anonyme regionale Auswertung)
  • Anmeldezeitpunkt
  • IP-Adresse bei Anmeldung (für Double-Opt-In Nachweis)
  • Bestätigung der Anmeldung (Zeitpunkt)
  • Bevorzugte Sprache

Double-Opt-In: Wir verwenden das Double-Opt-In-Verfahren. Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink werden Sie in unseren Newsletter aufgenommen.

Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen über den Abmelde-Link in jedem Newsletter oder per E-Mail an datenschutz@kostly.de.

5. App-Nutzung und Registrierung

Bei der Registrierung für unsere App (iOS, Android, Windows, macOS, Linux, Web) erheben wir:

  • E-Mail-Adresse (für Login und Kommunikation)
  • Name (für Personalisierung)
  • Passwort (verschlüsselt gespeichert mit bcrypt)
  • Optional: Postleitzahl, Haushaltsgröße, bevorzugte Sprache

Zusätzlich speichern wir bei der Nutzung:

  • Einkaufslisten und deren Inhalte
  • Rezepte und Zutaten
  • Wochenpläne für Mahlzeiten
  • Vorratsbestände (Pantry)
  • Budget- und Ausgaben-Daten
  • Preismeldungen (anonymisiert für andere Nutzer sichtbar)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Speicherdauer: Bis zur Kontolöschung. Nach Löschanfrage werden Ihre Daten nach einer 30-tägigen Wiederherstellungsfrist endgültig gelöscht.

6. Haushalt-Funktion

Sie können andere Nutzer in Ihren Haushalt einladen, um Einkaufslisten, Rezepte und andere Daten gemeinsam zu nutzen.

6.1 Geteilte Daten

Folgende Daten werden mit Haushaltsmitgliedern geteilt:

  • Einkaufslisten und deren Inhalte
  • Rezepte (als "Haushalt-Rezept" markierte)
  • Wochenpläne
  • Vorratsbestände
  • Budget-Informationen (falls freigegeben)

6.2 Einladungsverfahren

Bei einer Einladung erhält die eingeladene Person eine E-Mail mit einem einmaligen Token. Zur Verifikation muss die Postleitzahl des Haushalts bestätigt werden (Schutz vor versehentlichen Einladungen).

6.3 Datenzugriff

Alle Haushaltsmitglieder können geteilte Daten einsehen und bearbeiten. Private Daten (wie persönliche Rezeptsammlungen) bleiben privat. Beim Verlassen des Haushalts werden Ihre Beiträge nicht automatisch gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Annahme der Einladung)

7. Standortdaten (Food-Share Funktion)

Für die Food-Share Funktion (Lebensmittel-Tausch mit anderen Nutzern in Ihrer Nähe) können Sie freiwillig Ihren Standort teilen.

7.1 Erhobene Standortdaten

  • GPS-Koordinaten (nur bei aktiver Nutzung der Funktion)
  • Postleitzahl (für regionale Suche)
  • Ungefährer Entfernungsradius zu anderen Angeboten

7.2 Verwendung

Die Standortdaten werden ausschließlich zur Anzeige von Angeboten und Gesuchen in Ihrer Nähe verwendet. Ihr genauer Standort wird niemals anderen Nutzern angezeigt - nur die ungefähre Entfernung.

7.3 Widerruf

Sie können die Standortfreigabe jederzeit in Ihren Geräteeinstellungen widerrufen. Ohne Standortfreigabe ist die Food-Share Funktion eingeschränkt nutzbar (nur PLZ-basierte Suche).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

8. Zahlungsabwicklung

Für die Abwicklung von Abo-Zahlungen nutzen wir folgende Dienstleister:

8.1 Stripe

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irland

Bei Zahlung über Stripe werden Ihre Zahlungsdaten direkt an Stripe übermittelt. Wir speichern lediglich eine Kunden-ID zur Zuordnung.

Stripe Datenschutzerklärung

8.2 Apple App Store

Bei Käufen über den iOS App Store erfolgt die Zahlungsabwicklung durch Apple. Wir erhalten lediglich eine anonymisierte Transaktions-ID.

Apple Datenschutzerklärung

8.3 Google Play Store

Bei Käufen über Google Play erfolgt die Zahlungsabwicklung durch Google. Wir erhalten lediglich eine anonymisierte Transaktions-ID.

Google Datenschutzerklärung

Wichtig: Wir selbst speichern keine Kreditkartennummern, Bankverbindungen oder andere sensible Zahlungsdaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

9. Zwei-Faktor-Authentifizierung (2FA)

Zur erhöhten Sicherheit Ihres Kontos bieten wir optionale Zwei-Faktor-Authentifizierung per Authenticator-App an.

9.1 Gespeicherte Daten

  • Verschlüsselter 2FA-Geheimschlüssel
  • Verschlüsselte Wiederherstellungscodes
  • Zeitpunkt der Aktivierung

9.2 Sicherheit

Der 2FA-Geheimschlüssel wird verschlüsselt in unserer Datenbank gespeichert. Die Wiederherstellungscodes werden bei der Einrichtung einmalig angezeigt. Bewahren Sie diese sicher auf.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Kontosicherheit)

10. Push-Benachrichtigungen

Mit Ihrer Einwilligung senden wir Ihnen Push-Benachrichtigungen über:

  • Ablaufende Vorräte (MHD-Warnungen)
  • Neue Einkaufslisten-Einträge von Haushaltsmitgliedern
  • Preisalarme (wenn ein Produkt Ihren Wunschpreis erreicht)
  • Food-Share Anfragen und Nachrichten
  • Haushalt-Einladungen

10.1 Gespeicherte Daten

  • Push-Token Ihres Gerätes
  • Gerätetyp (iOS/Android)
  • Benachrichtigungs-Präferenzen

10.2 Widerruf

Sie können Push-Benachrichtigungen jederzeit in den App-Einstellungen oder in den Systemeinstellungen Ihres Gerätes deaktivieren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

11. Hosting

Wir hosten unsere Website bei 1blu (1blu AG, Römerweg 6, 72766 Reutlingen). Die Server stehen in Deutschland (Berlin), wodurch die Daten in der EU verbleiben und den hohen DSGVO-Standards entsprechen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Darstellung unserer Website).

12. Analyse-Tools

Derzeit verwenden wir keine Analyse-Tools wie Google Analytics. Sollten wir in Zukunft Analysen durchführen, werden wir Sie darüber informieren und nur mit Ihrer ausdrücklichen Einwilligung Daten erheben.

13. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre verarbeiteten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").
  • Einschränkung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in maschinenlesbarem Format erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen.
  • Widerruf (Art. 7 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.
  • Beschwerde (Art. 77 DSGVO): Sie können sich bei einer Aufsichtsbehörde beschweren.

Um Ihre Rechte auszuüben, kontaktieren Sie uns unter: datenschutz@kostly.de

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist:

  • Kontodaten: Bis zur Kontolöschung + 30 Tage Wiederherstellungsfrist
  • App-Nutzungsdaten: Bis zur Kontolöschung
  • Zahlungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht)
  • Newsletter-Daten: Bis zum Widerruf der Einwilligung (Abmeldung)
  • Server-Log-Dateien: Maximal 7 Tage
  • Cookie-Einstellungen: 1 Jahr
  • Push-Token: Bis zur Deaktivierung oder Kontolöschung
  • Standortdaten: Nur bei aktiver Nutzung, nicht dauerhaft gespeichert

15. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder unbefugten Zugriff zu schützen:

  • SSL/TLS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten (Passwörter, 2FA-Secrets)
  • Token-basierte API-Authentifizierung mit Ablaufzeit
  • Rate-Limiting zum Schutz vor Brute-Force-Angriffen
  • Regelmäßige Sicherheitsupdates
  • Server in Deutschland (EU-Datenschutzstandards)
  • Zugriffsbeschränkungen nach dem Need-to-know-Prinzip

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Die aktuelle Version finden Sie immer auf dieser Seite.