Datenschutzerklärung

Stand: 02.05.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

KMPC Innovations GmbH
Fliederweg 2
74388 Talheim
Deutschland
E-Mail: info@kmpc.de

2. Überblick

MunchMenu ist eine mobile Anwendung, mit der du Speisekarten fotografierst und automatisiert übersetzen, erklären und in deinen Kontext einordnen lassen kannst. Diese Erklärung beschreibt, welche Daten wir bei der Nutzung der App und unserer Backend-Dienste verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage.

3. Verarbeitete Daten

3.1 Geräte-Registrierung

Beim ersten Start der App generieren wir eine zufällige Geräte-ID und einen API-Schlüssel, damit deine Anfragen authentifiziert werden können. Wir speichern:

• Geräte-ID (zufällige UUID, kein Personenbezug)
• Geräte-Name (z. B. „Peter's iPhone", optional)
• Erstellungszeitpunkt und Anzahl der durchgeführten Scans im aktuellen Monat

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.2 Speisekarten-Fotos

Wenn du eine Speisekarte scannst, übermittelst du das Foto an unser Backend. Dort wird das Bild zur Texterkennung an Google Cloud Vision sowie zur strukturierten Auswertung an einen Sprachmodell-Anbieter (Anthropic Claude oder OpenRouter) gesendet. Das Originalbild wird nach der Verarbeitung nicht dauerhaft gespeichert. Der erkannte Text und die strukturierte Speisekarte werden in unserem Cache (Redis, max. 30 Tage) und in unserer Datenbank zur Anzeige in deiner Scan-Historie gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.3 Standortdaten (optional)

Wenn du der App den Zugriff auf deinen Standort erlaubst, übermittelst du die ungefähre GPS-Position beim Scan. Wir nutzen sie ausschließlich zur Einordnung der regionalen Küche und speichern sie zusammen mit dem Scan-Datensatz. Du kannst die Berechtigung jederzeit in den Geräteeinstellungen widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.4 Konto-Anmeldung über Google oder Apple

Wenn du dich mit Google oder Apple anmeldest, erhalten wir die folgenden Daten von dem jeweiligen Anbieter:

• Eindeutige Anbieter-ID (z. B. Google-„sub", Apple-„sub")
• E-Mail-Adresse
• Name (sofern bereitgestellt)
• Profilbild-URL (sofern bereitgestellt)

Diese Daten werden zur Erstellung und Verwaltung deines Nutzerkontos sowie zur Verknüpfung mit deinen Geräten und deinem Abo-Status verwendet. Eine Einbindung des Google- bzw. Apple-Login-Buttons in der App führt erst dann zu einem Datentransfer, wenn du diesen aktiv nutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3.5 Server-Logs

Bei jedem Aufruf unseres Backends speichern wir technische Logdaten:

• Anfrage-Pfad und -Methode
• HTTP-Statuscode
• Verarbeitungsdauer
• IP-Adresse (zur Rate-Limit-Durchsetzung, in Redis gespeichert; nach 1 Stunde gelöscht)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Missbrauchsabwehr).

3.6 Cookies (nur Admin-Bereich)

Auf den öffentlichen Seiten dieser Domain (Datenschutz, Impressum, AGB) werden keine Cookies gesetzt und kein Tracking durchgeführt. Im internen Admin-Bereich (/admin) wird ein technisch notwendiger Session-Cookie (mm_admin) gesetzt. Dieser Bereich ist nur Mitarbeitenden zugänglich.

4. Auftragsverarbeiter und Empfänger

Wir nutzen folgende Dienstleister, mit denen entsprechende Auftragsverarbeitungsverträge bestehen:

• Railway Corp., USA — Hosting des Backends und der Datenbank. Daten werden in EU-Rechenzentren verarbeitet (europe-west4). Datentransfers in die USA erfolgen auf Basis der EU-Standardvertragsklauseln.
• Anthropic, PBC, USA — Verarbeitung von Speisekarten-Texten durch das Sprachmodell „Claude". Anthropic speichert API-Inhalte standardmäßig nicht zu Trainingszwecken. Datentransfers erfolgen auf Basis der EU-Standardvertragsklauseln.
• Google LLC (Google Cloud Vision), USA — Texterkennung (OCR) auf Speisekarten-Fotos. Datentransfers erfolgen auf Basis der EU-Standardvertragsklauseln.
• Google LLC (Google Sign-In), USA — sofern du dich mit Google anmeldest.
• Apple Inc., USA — sofern du dich mit Apple anmeldest.

5. Speicherdauer

• Geräte-Datensätze: bis zur aktiven Löschung durch dich oder Deinstallation der App.
• Scan-Historie: 90 Tage bzw. bis zur aktiven Löschung durch dich.
• OCR/Cache-Einträge: maximal 30 Tage.
• Server-Logs: 7 Tage.
• Rate-Limit-Daten (IP-Adressen in Redis): maximal 1 Stunde.
• Nutzerkonto: bis zur aktiven Löschung durch dich.

6. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Anfragen richtest du bitte an info@kmpc.de.

7. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner Daten zu beschweren. Zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg.

8. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich rechtliche oder technische Gegebenheiten ändern. Die jeweils aktuelle Fassung findest du unter https://api.munchmenu.de/datenschutz.