nutriam

Rechtliches

Datenschutz

Diese Datenschutzhinweise erläutern, wie Nutriam personenbezogene Daten rund um Website, Supportanfragen, Login, Portal und Plattformbetrieb verarbeitet — auf Grundlage von DSGVO, BDSG (n.F.) und TDDDG.

Dokumenttyp
Informationen nach Art. 13/14 DSGVO
Stand
30. April 2026
Geltung
Öffentliche Website nutriam.app — Portal über separate Hinweise

Verantwortlicher und Datenschutzkontakt

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die hier beschriebene Datenverarbeitung ist der Betreiber von Nutriam.

Datenschutzanfragen, Auskunftsersuchen und Beschwerden richten Sie bitte an die unten genannte Kontaktadresse oder, soweit ein Datenschutzbeauftragter bestellt ist, an diesen.

  • Verantwortlicher: nutriam UG (i. Gr.), Dülkener Straße 160, 41747 Viersen
  • Es ist kein Datenschutzbeauftragter bestellt — die gesetzliche Pflicht nach § 38 BDSG besteht aktuell nicht.

Allgemeine Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage von Art. 6 DSGVO. Welche Rechtsgrundlage einschlägig ist, hängt vom jeweiligen Verarbeitungszweck ab — die nachfolgenden Sektionen weisen die jeweils konkrete Grundlage aus.

Soweit besondere Datenkategorien nach Art. 9 DSGVO (z.B. Gesundheitsdaten) verarbeitet werden, geschieht dies ausschließlich im geschützten Portalbereich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 9 Abs. 2 lit. f DSGVO).

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
  • Art. 6 Abs. 1 lit. b DSGVO — Vertrag oder vorvertragliche Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (mit Interessenabwägung)
  • § 25 TDDDG (vormals § 25 TTDSG) — Speichern von und Zugriff auf Informationen im Endgerät

Website-Besuch, Hosting und technische Protokolle

Beim Aufruf von nutriam.app werden technisch notwendige Zugriffsdaten verarbeitet: IP-Adresse (anonymisiert nach 14 Tagen), Zeitpunkt der Anfrage, angeforderte Inhalte, Referrer-URL, Browser-Typ und -Version, Betriebssystem, sicherheitsrelevante Serverprotokolle.

Diese Verarbeitung dient der Auslieferung der Website, der Stabilität des Betriebs und der Abwehr von Missbrauch. Eine Zusammenführung mit anderen Datenquellen findet nicht statt; eine Auswertung zu Werbezwecken erfolgt nicht.

  • Zwecke: Bereitstellung der Website, IT-Sicherheit, Fehleranalyse, Missbrauchsabwehr
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)
  • Speicherdauer: Server-Logs maximal 14 Tage, Sicherheits-Logs bis zu 90 Tage
  • Hosting: Microsoft Azure, Region germanywestcentral (Frankfurt) — siehe Abschnitt Empfänger

Support- und Website-Anfragen

Öffentliche Kontaktformulare und Support-Anfragen verarbeiten nur die Angaben, die zur Einordnung und Beantwortung des Anliegens erforderlich sind: Name, E-Mail-Adresse, Nachricht, Anfrageart und optional weitere freiwillige Angaben (z.B. Telefonnummer).

Über öffentliche Website-Formulare werden keine Gesundheitsdaten oder sonstige besondere Datenkategorien nach Art. 9 DSGVO erhoben — entsprechende Inhalte gehören ausschließlich in den geschützten Portal-Bereich.

  • Zwecke: Beantwortung von Support-, Login-, Portal- und Website-Anfragen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vorvertraglichen Anfragen, sonst Art. 6 Abs. 1 lit. f DSGVO
  • Speicherdauer: bis zur abschließenden Bearbeitung; bei vertragsbezogenen Anfragen ggf. länger nach §§ 147 AO, 257 HGB
  • Empfänger: Support-Mitarbeitende des Betreibers — kein Auftragsverarbeiter ohne separate AVV

Cookies und vergleichbare Technologien

Auf der öffentlichen Website (nutriam.app) wird ausschließlich ein einziges, technisch notwendiges First-Party-Cookie gesetzt. Es speichert die Cookie-Auswahl der Nutzer:in und ist nach § 25 Abs. 2 TDDDG einwilligungsfrei. Drittanbieter-Cookies (Google, Facebook, LinkedIn, Werbenetzwerke) werden nicht gesetzt.

Optionale Speicherungen oder Zugriffe auf Informationen im Endgerät — etwa für Reichweitenmessung, Heatmaps, A/B-Tests oder Marketing-Tags — werden ausschließlich nach ausdrücklicher Einwilligung aktiviert (§ 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung ist jederzeit über die Cookie-Einstellungen unter /cookie-einstellungen widerrufbar — der Widerruf wirkt für die Zukunft.

  • Cookie: nutriam-marketing-consent (First-Party, eigene Domain)
  • Inhalt: JSON-Struktur mit analytics-Einwilligung (boolean) + Zeitstempel + Schema-Version
  • Speicherdauer: 180 Tage (Max-Age) bzw. bis Widerruf
  • Schutzparameter: SameSite=Lax, Path=/, kein HttpOnly (muss client-seitig lesbar sein)
  • Rechtsgrundlage: § 25 Abs. 2 TDDDG — technisch notwendig, einwilligungsfrei
  • Optional analytics-Einwilligung: § 25 Abs. 1 TDDDG + Art. 6 Abs. 1 lit. a DSGVO
  • Spiegelung im localStorage zur Cross-Tab-Synchronisation

Die Marketing-Site (Azure Static Web App) lädt keine externen Tracker, keine Google-Fonts, keine Social-Media-Pixel und keine Werbe-SDKs. Bei aktiver analytics-Einwilligung wird ausschließlich eine eigene First-Party-Telemetrie (Pfad, Ereignisname, Zeitstempel) per sendBeacon an die eigene Origin gesendet — keine Übermittlung an Drittanbieter.

Schriftarten und statische Assets

Die öffentliche Website bindet alle Schriftarten — Inter, Fraunces, JetBrains Mono und Poppins — über next/font lokal ein. Die Font-Dateien werden bei der Build-Zeit in das Static Web App Asset-Bundle aufgenommen und vom selben Origin (Azure Static Web Apps CDN) ausgeliefert. Beim Seitenaufruf entsteht keine Verbindung zu Google-Fonts-Servern oder anderen Drittanbietern.

Bilder, Icons (inline-SVG) und sonstige statische Inhalte stammen ebenfalls aus dem eigenen Asset-Bundle. Externe Asset-Quellen werden konsequent vermieden, um Drittzugriffe zu minimieren.

  • Schriftarten lokal via next/font (Inter / Fraunces / JetBrains Mono / Poppins)
  • Auslieferung über Azure Static Web Apps Edge-Locations
  • Keine externen Font-, Icon- oder Asset-Anfragen im Standardaufruf
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (datensparsame Auslieferung)

Optionale Auswertung der Marketing-Seiten

Aktuell ist auf nutriam.app keine Reichweitenmessung aktiv. Auch wenn die Cookie-Auswahl auf 'Auswertung erlauben' steht, werden derzeit keine Telemetriedaten gesendet — der Mess-Endpunkt ist auf der Static Web App nicht konfiguriert. Solange das so bleibt, werten wir keine Klicks oder Seitenaufrufe aus.

Sobald wir Reichweitenmessung einschalten, geschieht das ausschließlich über eine eigene First-Party-Schnittstelle (Pfad, Ereignisname, Linkziel, Zeitpunkt, minimale Metaangaben) und nur, wenn die Einwilligung über das Cookie-Banner erteilt ist. Es werden keine Drittanbieter wie Google Analytics, Plausible, Matomo oder Hotjar eingebunden, kein Cross-Site-Tracking, kein Device-Fingerprinting, kein Profiling.

Eine Zusammenführung mit Coaching- oder Gesundheitsdaten aus dem Portal findet ausdrücklich nicht statt; IP-Adressen werden nicht persistent gespeichert.

  • Aktueller Stand: keine Telemetrie aktiv (Static Web App ohne Mess-Endpunkt)
  • Zukünftig geplant: Reichweitenverständnis, CTA-Auswertung, Optimierung öffentlicher Inhalte
  • Empfänger (sofern aktiviert): ausschließlich eigene First-Party-Schnittstelle, kein Drittland
  • Keine Drittanbieter — kein GA, kein Plausible, kein Matomo, kein Hotjar, keine Pixel
  • Keine Zusammenführung mit Betreuungs- oder Gesundheitsdaten aus dem Portal
  • Rechtsgrundlage (sofern aktiviert): Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG (Einwilligung)

Login, Identität und Portalnutzung

Für Anmeldung und Identitätsprüfung nutzt Nutriam Microsoft Entra External ID (CIAM). Innerhalb der Plattform werden Rollen, Tenant-Zuordnung und fachliche Berechtigungen verarbeitet.

Diese Verarbeitung ist von der öffentlichen Website strikt getrennt und dient dem Zugriffsschutz sowie dem sicheren Betrieb von portal.nutriam.app. Im Portalbereich werden besondere Datenkategorien nach Art. 9 DSGVO (z.B. Ernährungs- und Gesundheitsdaten) ausschließlich auf Grundlage einer ausdrücklichen Einwilligung verarbeitet.

  • Datenkategorien: Kontodaten, Login-Claims, Session- und Zugriffsdaten, Rollen- und Tenant-Zuordnungen
  • Zwecke: Anmeldung, Rechteprüfung, Teamzuordnung, Zugriffsschutz
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Sicherheit)
  • Bei besonderen Datenkategorien zusätzlich Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)

Rollenverteilung bei Kundendaten (Verantwortlicher / Auftragsverarbeiter)

Website-Anfragen, eigene Vertrags- und Rechnungsdaten sowie Plattform- und Sicherheitslogs verarbeitet Nutriam in eigener Verantwortung als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO.

Kundenakten, Check-ins, Verlaufs- und Gesundheitsdaten im geschützten Tenant verarbeitet Nutriam im Auftrag des jeweiligen Coach- oder Team-Unternehmens als Auftragsverarbeiter nach Art. 28 DSGVO. Details regelt der Auftragsverarbeitungsvertrag (siehe /auftragsverarbeitung).

  • Website-Anfragen und direkte Produktanfragen: Nutriam ist Verantwortlicher
  • Kunden-, Verlaufs- und Gesundheitsdaten im Tenant: Coach oder Team-Unternehmen ist Verantwortlicher; Nutriam ist Auftragsverarbeiter
  • Plattformbetrieb für diese Daten: Nutriam handelt nur auf dokumentierte Weisung

KI-gestützte Lebensmittelerkennung im Portal

Im geschützten Portalbereich kann das Ernährungstagebuch Mahlzeiten per Foto oder Textbeschreibung erfassen. Das hochgeladene Bild bzw. der eingegebene Text wird zur Erkennung an einen KI-Dienst übermittelt, der die enthaltenen Lebensmittel benennt und die Menge schätzt. Die Nährwerte selbst stammen anschließend aus unserer Lebensmitteldatenbank, nicht aus dem KI-Modell.

Die Funktion ist optional und wird erst nach einer ausdrücklichen Einwilligung genutzt; vor der ersten Nutzung wird im Portal über die Übermittlung an den KI-Dienst informiert. Im Tagebuch wird ausschließlich der von Ihnen bestätigte Eintrag gespeichert.

  • Zweck: Vereinfachte Erfassung von Mahlzeiten im Ernährungstagebuch
  • Verarbeiteter Inhalt: hochgeladenes Foto und/oder Textbeschreibung der Mahlzeit
  • Rechtsgrundlage: Art. 9 Abs. 2 lit. a i.V.m. Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung), da Ernährungsangaben Gesundheitsdaten sein können
  • KI-Dienst: Microsoft Azure OpenAI Service (Region Schweden, EU) als Auftragsverarbeiter nach Art. 28 DSGVO — siehe Abschnitt Empfänger
  • Eingaben werden nur zur Erkennung verarbeitet und nicht zum Training des Modells verwendet; Bilder werden nicht dauerhaft gespeichert
  • Widerruf: Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar; die Funktion ist keine Voraussetzung für die Portalnutzung

Empfänger, Auftragsverarbeiter und Drittlandtransfer

Für Hosting, Datenbank, Login, Monitoring, Zahlungsabwicklung, E-Mail-Versand und Support setzen wir Auftragsverarbeiter nach Art. 28 DSGVO ein. Die zentrale Liste wird in der AVV-Subprozessoren-Anlage geführt — die nachfolgende Übersicht entspricht dem aktuellen Produktivstand.

Soweit Daten in Drittländer (insb. USA) übermittelt werden, geschieht dies auf Grundlage des EU-US Data Privacy Frameworks (Angemessenheits­beschluss vom 10.7.2023) für DPF-zertifizierte Anbieter, ergänzend durch EU-Standardvertragsklauseln (SCC 2021/914) gem. Art. 46 Abs. 2 lit. c DSGVO sowie ergänzende technische Maßnahmen (Verschlüsselung, Pseudonymisierung). Microsoft und Stripe sind DPF-zertifiziert.

  • Microsoft Azure Container Apps (Region germanywestcentral / Frankfurt) — Portal- und Backend-Hosting
  • Azure Static Web Apps — Marketing-Site nutriam.app
  • Azure Database for PostgreSQL Flexible Server (Region northeurope / Dublin) — primäre Datenhaltung mit Geo-Redundanz im EU-Raum
  • Azure Storage (Blob, Files, eigenes Asset-CDN) — Dokumente, Anhänge, Bilder
  • Microsoft Entra External ID — Identität, Login, Einladungsflüsse (CIAM)
  • Azure Key Vault — Geheimnisse und Zertifikate
  • Azure Monitor / Application Insights / Log Analytics — Sicherheits- und Betriebs-Telemetrie
  • Microsoft Azure OpenAI Service (Region swedencentral / Schweden) — KI-gestützte Lebensmittelerkennung im Portal (optional, nur nach Einwilligung; keine Nutzung der Eingaben zum Modelltraining)
  • Stripe Payments Europe Ltd. (Irland) + Stripe Inc. (USA) — Zahlungsabwicklung, Abos, Rechnungsstellung
  • Optional: Azure Communication Services Email — transaktionale Produkt-E-Mails
  • Drittlandgarantien: EU-US DPF (Microsoft, Stripe), SCC 2021/914 ergänzend, Microsoft DPA als Vertragsrahmen

Zahlungsabwicklung (Stripe)

Für die Abwicklung von Abos, Rechnungen und Einmalzahlungen setzen wir Stripe ein. Vertragspartner für EU-Kunden ist Stripe Payments Europe Ltd. (Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland). Stripe verarbeitet Zahlungsdaten als eigenständig Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO.

Übermittelt werden insbesondere: Kontaktdaten des Kunden, Rechnungsadresse, USt-ID (sofern vorhanden), Buchungsbeträge, Zahlungsmittel-Identifier (z.B. Karten-Token, niemals vollständige Kartennummern). Sensible Zahlungsdaten (PAN, CVC) werden direkt im Browser des Kunden an Stripe übermittelt — Nutriam erhält und speichert sie nicht (PCI-DSS-Scope-Reduktion via Stripe Elements / Stripe Checkout).

  • Verantwortlicher für Zahlungsdaten: Stripe Payments Europe Ltd. (Irland)
  • Datenkategorien: Kontakt, Rechnungsadresse, Beträge, Token (keine PAN/CVC bei Nutriam)
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Drittlandtransfer in die USA: Stripe Inc. ist DPF-zertifiziert; ergänzend SCC und Stripe DPA
  • Datenschutzerklärung Stripe: https://stripe.com/de/privacy

Speicherdauer und Betroffenenrechte

Personenbezogene Daten werden nur so lange gespeichert, wie dies für den jeweiligen Zweck, für gesetzliche Pflichten (§§ 147 AO, 257 HGB: i.d.R. 6 bzw. 10 Jahre) oder für berechtigte Sicherheitsinteressen erforderlich ist.

Sie haben nach DSGVO Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3) — der Widerruf wirkt für die Zukunft.

  • Server- und Sicherheitslogs: maximal 14 bzw. 90 Tage
  • Vertrags- und Rechnungsdaten: 6 bzw. 10 Jahre nach §§ 147 AO, 257 HGB
  • Newsletter-Daten: bis Widerruf der Einwilligung
  • Cookie-Consent-Status: 12 Monate, dann erneute Abfrage
  • Beschwerderecht bei einer zuständigen Datenschutzaufsichtsbehörde (Art. 77 DSGVO)

Betroffenenrechte können über die im Verantwortlicher-Abschnitt genannten Kontaktwege geltend gemacht werden. Antwort innerhalb der Monatsfrist nach Art. 12 Abs. 3 DSGVO.

Keine automatisierten Einzelentscheidungen, kein Profiling

Auf der öffentlichen Website und im beschriebenen Portalbetrieb finden keine automatisierten Entscheidungen mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne von Art. 22 DSGVO statt.

Etwaige KI-gestützte Funktionen (z.B. automatische Vorschläge im Coach-Portal) sind unterstützender Natur — die finale Entscheidung über Pläne, Empfehlungen oder Maßnahmen trifft stets ein Mensch.

  • Kein Profiling für rechtlich erhebliche Einzelentscheidungen
  • Keine automatisierte Bonitätsprüfung, kein Scoring
  • KI-Tools werden nur unterstützend eingesetzt — der EU AI Act (VO 2024/1689) wird beachtet, derzeit nur Hochrisiko-Tools nach Anhang III sind ausgeschlossen

Technische und organisatorische Maßnahmen (TOMs)

Wir setzen nach Art. 32 DSGVO geeignete TOMs ein, um ein dem Risiko angemessenes Schutzniveau sicherzustellen. Konkrete TOMs werden in einer eigenen Anlage zum Auftragsverarbeitungsvertrag dokumentiert (siehe /auftragsverarbeitung).

Die nachfolgenden Punkte beschreiben den im aktuellen Produktivbetrieb umgesetzten Stand:

  • Verschlüsselung at rest: Azure-managed AES-256 für Datenbank (Transparent Data Encryption), Storage und Backups
  • Verschlüsselung in transit: TLS 1.2+ für alle Verbindungen, HSTS auf den Webseiten
  • Multi-Tenant-Isolation auf Datenbank-Ebene: tenant_id in jeder Tabelle, Row-Level Security
  • Identität & Zugriff: Microsoft Entra External ID mit MFA-Pflicht für administrative Rollen, RBAC mit minimalen Rechten (Least-Privilege)
  • Geheimnis-Management: Azure Key Vault — keine Secrets in Code, Umgebung oder Logs
  • Backups: Azure Postgres automatische Point-in-Time-Recovery (35 Tage), Geo-Redundanz im EU-Raum
  • Monitoring: Azure Monitor + Application Insights + Log Analytics; Sicherheitsereignisse werden zentral erfasst
  • Build & Deploy: Container-Images via GitHub Actions in GitHub Container Registry; OIDC-basierter Azure-Login ohne Long-lived-Credentials
  • Code-Reviews + automatisierte Tests vor jedem Production-Deploy (Two-Person-Rule)
  • Regelmäßige Schwachstellenscans (Dependabot, Microsoft Defender for Cloud)

Änderungen dieser Datenschutzhinweise

Wir behalten uns vor, diese Datenschutzhinweise anzupassen, um Änderungen in der Rechtslage oder im Funktionsumfang abzubilden. Wesentliche Änderungen werden im Portal angekündigt.

Es gilt jeweils die zuletzt veröffentlichte Fassung; das Datum oben am Dokument zeigt den Stand.