Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie SupStaq nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Verantwortliche Stelle

Florian Gumpert Töpfergasse 41 74343 Sachsenheim Deutschland E-Mail: datenschutz@supstaq.com

2. Hosting und technische Infrastruktur

Server-Hosting

Diese Website wird auf einem Virtual Private Server (VPS) bei Hostinger International Ltd., Kaunas, Litauen gehostet. Die Server befinden sich in der Europäischen Union.

Beim Besuch der Website werden automatisch technische Informationen in Server-Log-Dateien gespeichert, die Ihr Browser automatisch übermittelt:

  • IP-Adresse (anonymisiert)
  • Browsertyp und -version
  • Verwendetes Betriebssystem
  • Referrer-URL
  • Uhrzeit der Serveranfrage

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Website).

Datenbank und Authentifizierung (Supabase)

Für die Benutzerverwaltung, Authentifizierung und Datenspeicherung nutzen wir Supabase. Die Daten werden auf Servern in Frankfurt am Main (EU, aws-eu-central-1) gespeichert.

Supabase verarbeitet in unserem Auftrag:

  • E-Mail-Adresse (für Login und Registrierung)
  • Passwort (verschlüsselt gespeichert, bcrypt-Hash)
  • Session-Tokens
  • Profilangaben die Sie freiwillig machen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: Supabase Privacy Policy

SSL-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen eine SSL-Verschlüsselung (Let's Encrypt). Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt.

3. Welche Daten wir erheben

3.1 Account-Daten (bei Registrierung)

Bei der Erstellung eines Kontos erheben wir:

  • E-Mail-Adresse (Pflicht, für Login und Kommunikation)
  • Anzeigename (optional, frei wählbar)
  • Bevorzugte Sprache (Deutsch oder Englisch)
  • Maßeinheiten-Präferenz (metrisch oder imperial)

3.2 Profildaten (freiwillige Angaben)

Sie können freiwillig folgende Daten in Ihrem Profil hinterlegen:

  • Geburtsjahr
  • Geschlecht
  • Körpergröße und Gewicht
  • Geschätzter Körperfettanteil
  • Hauttyp (Fitzpatrick-Skala)
  • Trainingserfahrung
  • Gesundheitsziele (z.B. Muskelaufbau, Schlafoptimierung)
  • Ernährungsbesonderheiten
  • Vorerkrankungen und Medikamente

Wichtiger Hinweis: Bei Gesundheitsdaten (Vorerkrankungen, Medikamente, Blutwerte) handelt es sich um besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen.

3.3 Blutwerte

Sie können Laborwerte manuell in Ihrem Profil erfassen. Diese Daten werden:

  • Ausschließlich in Ihrem persönlichen Account gespeichert
  • Durch Row-Level-Security (RLS) vor dem Zugriff anderer Nutzer geschützt
  • Niemals an Dritte weitergegeben
  • Nicht für Werbezwecke verwendet

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).

3.4 Stack-Daten

Ihre persönliche Supplement-Zusammenstellung (Stack) wird in Ihrem Account gespeichert. Diese Daten sind ausschließlich für Sie sichtbar.

3.5 Nutzungsdaten

Wir erheben keine Nutzungsdaten über Tracking-Tools wie Google Analytics. Wir setzen keine Tracking-Cookies ein.

4. Einsatz von Künstlicher Intelligenz

SupStaq setzt Künstliche Intelligenz (KI) in mehreren Bereichen ein. Die folgenden Abschnitte erläutern transparent, welche KI-Systeme genutzt werden, welche Daten verarbeitet werden und welche Rechtsgrundlagen gelten.

4.1 KI-gestützte Wissensdatenbank

Die Substanzprofile in der Wissensdatenbank werden teilweise unter Einsatz von KI-Systemen erstellt und gepflegt:

  • Eingesetzte KI-Systeme: Claude (Anthropic, USA), Gemini (Google, USA)
  • Zweck: Recherche, Strukturierung und Zusammenfassung wissenschaftlicher Publikationen und Community-Erfahrungsberichte zu Nahrungsergänzungsmitteln und Peptiden
  • Verarbeitete Daten: Ausschließlich öffentlich zugängliche wissenschaftliche Literatur und Community-Beiträge. Es werden keine personenbezogenen Nutzerdaten für die Wissensdatenbank-Erstellung an KI-Systeme übermittelt.
  • Qualitätssicherung: Alle KI-generierten Substanzprofile durchlaufen eine automatisierte Schema-Validierung, Quellen-Prüfung und Review-Pipeline. Die Ergebnisse werden menschlich überprüft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung hochwertiger Informationen).

4.2 KI-gestützte Empfehlungen und Analysen

SupStaq nutzt KI-Modelle, um auf Basis der von Ihnen eingegebenen Daten personalisierte Empfehlungen und Analysen zu erstellen:

Aktuell verfügbare KI-Funktionen:

  • Zielbasierte Blutwerte-Empfehlungen: Basierend auf Ihren Gesundheitszielen empfiehlt das System, welche Laborwerte Sie testen lassen sollten. Diese Empfehlung wird derzeit deterministisch (regelbasiert) berechnet und nicht an externe KI-Dienste übermittelt.
  • Wechselwirkungs-Analyse: Die Prüfung von Wechselwirkungen zwischen Substanzen in Ihrem Stack erfolgt derzeit deterministisch auf Basis der Wissensdatenbank.

Geplante KI-Funktionen (Premium):

  • KI-Stack-Analyse: Analyse Ihres Stacks auf Lücken, Redundanzen und fehlende Cofaktoren
  • KI-Blutwerte-Auswertung: Personalisierte Substanz-Empfehlungen basierend auf Ihren Laborwerten
  • Personalisierte Dosisanpassung: Dosierungsempfehlungen unter Berücksichtigung Ihres Profils

Webrecherche durch KI (Premium / Premium+ / Admin):

Bei einigen KI-Funktionen kann das KI-System bei Bedarf eine Webrecherche über Brave Search (Brave Software Inc., USA) durchführen, um aktuelle wissenschaftliche Quellen oder öffentliche Informationen zu ergänzen. Dabei wird ausschließlich die vom KI-Modell formulierte Suchanfrage an Brave übermittelt — keine Profildaten, keine Blutwerte, keine Stack-Daten und keine direkt identifizierenden Merkmale. Die Anzahl der Webrecherchen ist pro KI-Aufruf serverseitig begrenzt (3 für Endnutzer-Funktionen, 20 für den Admin-Chat).

Welche Daten werden für geplante KI-Funktionen verarbeitet?

Bei Aktivierung von Premium KI-Funktionen werden folgende Daten an KI-Systeme (Anthropic Claude) übermittelt:

  • Ihre Gesundheitsziele
  • Ihre Blutwerte (sofern erfasst)
  • Ihre Stack-Zusammenstellung und Dosierungen
  • Ihr Profil (Alter, Geschlecht, Gewicht — anonymisiert, ohne E-Mail oder Name)

Es werden dabei ausdrücklich NICHT übermittelt:

  • Ihr Name oder Ihre E-Mail-Adresse
  • Ihre IP-Adresse
  • Sonstige direkt identifizierende Merkmale

Die Übermittlung erfolgt verschlüsselt (TLS) an Server von Anthropic (USA). Anthropic verarbeitet API-Anfragen ohne dauerhafte Speicherung der Inhalte und nutzt die Daten nicht zum Training ihrer Modelle. Weitere Informationen: Anthropic Privacy Policy

Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

4.3 Drittlandübermittlung (USA)

Die KI-Systeme von Anthropic und Google haben ihren Sitz in den USA. Auch der Webrecherche-Dienst Brave Search (Brave Software Inc.) sitzt in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO), dem die genannten Unternehmen beigetreten sind, sowie ergänzend auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

4.4 Automatisierte Entscheidungsfindung

Die KI-generierten Empfehlungen stellen keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO dar. Alle Empfehlungen sind unverbindliche Informationsangebote. Der Nutzer trifft sämtliche Entscheidungen (z.B. über die Einnahme von Substanzen) eigenständig und in eigener Verantwortung.

4.5 Widerspruchsrecht bei KI-Verarbeitung

Sie können der Verarbeitung Ihrer Daten durch KI-Systeme jederzeit widersprechen:

  • Premium KI-Funktionen können jederzeit deaktiviert werden
  • Ohne Premium werden keine personenbezogenen Daten an KI-Dienste übermittelt
  • Die deterministische Blutwerte-Empfehlung und Wechselwirkungsprüfung funktioniert ohne externe KI

5. Cookies

Technisch notwendige Cookies

SupStaq verwendet ausschließlich technisch notwendige Cookies:

CookieZweckDauer
supstaq.locale-prefSpeichert Ihre Sprachpräferenz (de/en)1 Jahr
sb-* (Supabase)Authentifizierungs-SessionSitzungsdauer

Diese Cookies sind für den Betrieb der Website erforderlich. Sie können Ihren Browser so einstellen, dass er Sie über das Setzen von Cookies informiert. Die Deaktivierung technisch notwendiger Cookies kann die Funktion der Website einschränken.

Wir setzen keine Marketing-, Analyse- oder Werbe-Cookies ein.

6. E-Mail-Kommunikation

Transaktionale E-Mails

Wir versenden ausschließlich transaktionale E-Mails (Registrierung, Passwort-Reset, Magic Link). Der Versand erfolgt über den integrierten E-Mail-Dienst von Supabase.

Marketing-E-Mails

Marketing-E-Mails werden nur versandt, wenn Sie dem ausdrücklich im Profil zugestimmt haben. Sie können diese Einwilligung jederzeit in Ihren Profileinstellungen widerrufen.

7. Datenweitergabe an Dritte

Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn:

  • Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO)
  • Die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO)
  • Es besteht eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Auftragsverarbeiter

Folgende Dienstleister verarbeiten Daten in unserem Auftrag:

DienstleisterZweckStandortDatenschutz-Framework
Supabase Inc.Datenbank, AuthentifizierungEU (Frankfurt)DSGVO, DPA
Hostinger International Ltd.Server-HostingEU (Litauen)DSGVO
Anthropic PBCKI-Analyse & Empfehlungen (Premium)USAEU-US DPF, SCCs
Google LLCKI-Recherche (Wissensdatenbank)USAEU-US DPF, SCCs
Brave Software Inc.Webrecherche-Tool für KI-ModelleUSAEU-US DPF, SCCs

Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Affiliate-/Werbelinks

Wenn Sie in Ihrem Profil die Produktempfehlungen aktivieren (standardmäßig deaktiviert), zeigt SupStaq zu einzelnen Substanzen redaktionell ausgewählte Produktvorschläge an. Einige dieser Links sind Affiliate-/Werbelinks (z. B. Amazon-Partnerprogramm): Klicken Sie darauf und kaufen beim jeweiligen Anbieter, erhalten wir ggf. eine Provision. Für Sie entstehen dadurch keine Mehrkosten – der Preis bleibt unverändert. Die Empfehlung erfolgt unabhängig davon allein nach Qualität.

Klicks auf solche Links werden ausschließlich anonym und aggregiert gezählt (nur die ID des Produkts und der Zeitpunkt), um die Nützlichkeit der Empfehlungen zu bewerten. Dabei werden keine personenbezogenen Daten gespeichert und keine Cookies gesetzt. Rechtsgrundlage ist unser berechtigtes Interesse an der Reichweitenmessung (Art. 6 Abs. 1 lit. f DSGVO).

Nach dem Klick werden Sie zur Website des jeweiligen Anbieters weitergeleitet. Dort gelten dessen eigene Datenschutzbestimmungen; der Anbieter kann eigene Cookies setzen und Daten verarbeiten. Für diese externen Seiten übernehmen wir keine Verantwortung.

8. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein:

  • SSL/TLS-Verschlüsselung aller Datenübertragungen
  • Verschlüsselte Passwortspeicherung (bcrypt)
  • Row-Level-Security (RLS) auf Datenbankebene
  • Anonymisierung personenbezogener Daten vor KI-Verarbeitung
  • Keine dauerhafte Speicherung von Nutzerdaten bei KI-Anbietern
  • Regelmäßige Sicherheits-Updates
  • Zugriffskontrolle auf Serverebene

9. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

9.1 Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und Auskunft über diese Daten zu erhalten. Dies umfasst auch Informationen darüber, ob und welche Ihrer Daten durch KI-Systeme verarbeitet werden.

9.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger Daten verlangen. Sie können Ihre Profildaten jederzeit selbst in den Profileinstellungen bearbeiten.

9.3 Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten verlangen. In SupStaq können Sie:

  • Ihren Account selbst löschen (Dashboard → Sicherheit → Account löschen)
  • Dies löscht unwiderruflich alle Ihre Daten (Profil, Blutwerte, Stack)
  • Bei KI-Anbietern werden keine dauerhaften Nutzerdaten gespeichert, daher entfällt eine separate Löschung dort

9.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) exportieren. Diese Funktion ist unter Dashboard → Sicherheit → Datenexport verfügbar.

9.5 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, einschließlich der Verarbeitung durch KI-Systeme.

9.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, soweit die Verarbeitung auf berechtigtem Interesse beruht. Dies schließt die Verarbeitung durch KI-Systeme ein.

9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie können eine erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

9.8 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Bundeslandes oder die des Sitzes unseres Unternehmens.

10. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:

  • Account-Daten: bis zur Löschung des Accounts durch den Nutzer
  • Profildaten: bis zur Änderung oder Löschung durch den Nutzer
  • Blutwerte: bis zur Löschung durch den Nutzer oder Account-Löschung
  • KI-Verarbeitungsdaten: keine dauerhafte Speicherung bei KI-Anbietern (nur für die Dauer der Anfrageverarbeitung)
  • Server-Logs: maximal 30 Tage
  • Session-Daten: bis zum Logout oder Sitzungsablauf

11. Minderjährige

SupStaq richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Bei wesentlichen Änderungen, insbesondere bezüglich der KI-Verarbeitung, werden registrierte Nutzer per E-Mail informiert. Die aktuelle Version finden Sie stets auf dieser Seite.


Stand: Mai 2026