Datenschutzerklärung
1. Datenschutz auf einen Blick
Allgemeine Hinweise
Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie SupStaq nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.
Verantwortliche Stelle
KIkeriKI UG (haftungsbeschränkt) Töpfergasse 41 74343 Sachsenheim Deutschland E-Mail: datenschutz@supstaq.com
2. Hosting und technische Infrastruktur
Server-Hosting
Diese Website wird auf einem Virtual Private Server (VPS) bei Hostinger International Ltd., Kaunas, Litauen gehostet. Die Server befinden sich in der Europäischen Union.
Beim Besuch der Website werden automatisch technische Informationen in Server-Log-Dateien gespeichert, die Ihr Browser automatisch übermittelt:
- IP-Adresse (anonymisiert)
- Browsertyp und -version
- Verwendetes Betriebssystem
- Referrer-URL
- Uhrzeit der Serveranfrage
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung der Website).
Datenbank und Authentifizierung (Supabase)
Für die Benutzerverwaltung, Authentifizierung und Datenspeicherung nutzen wir Supabase. Die Daten werden auf Servern in Frankfurt am Main (EU, aws-eu-central-1) gespeichert.
Supabase verarbeitet in unserem Auftrag:
- E-Mail-Adresse (für Login und Registrierung)
- Passwort (verschlüsselt gespeichert, bcrypt-Hash)
- Session-Tokens
- Profilangaben die Sie freiwillig machen
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Weitere Informationen: Supabase Privacy Policy
SSL-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen eine SSL-Verschlüsselung (Let's Encrypt). Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://" auf „https://" wechselt.
3. Welche Daten wir erheben
3.1 Account-Daten (bei Registrierung)
Bei der Erstellung eines Kontos erheben wir:
- E-Mail-Adresse (Pflicht, für Login und Kommunikation)
- Anzeigename (optional, frei wählbar)
- Bevorzugte Sprache (Deutsch oder Englisch)
- Maßeinheiten-Präferenz (metrisch oder imperial)
3.2 Profildaten (freiwillige Angaben)
Sie können freiwillig folgende Daten in Ihrem Profil hinterlegen:
- Geburtsjahr
- Geschlecht
- Körpergröße und Gewicht
- Geschätzter Körperfettanteil
- Hauttyp (Fitzpatrick-Skala)
- Trainingserfahrung
- Gesundheitsziele (z.B. Muskelaufbau, Schlafoptimierung)
- Ernährungsbesonderheiten
- Vorerkrankungen und Medikamente
Wichtiger Hinweis: Bei Gesundheitsdaten (Vorerkrankungen, Medikamente, Blutwerte) handelt es sich um besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen.
3.3 Blutwerte
Sie können Laborwerte manuell in Ihrem Profil erfassen. Diese Daten werden:
- Ausschließlich in Ihrem persönlichen Account gespeichert
- Durch Row-Level-Security (RLS) vor dem Zugriff anderer Nutzer geschützt
- Niemals an Dritte weitergegeben
- Nicht für Werbezwecke verwendet
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).
3.4 Stack-Daten
Ihre persönliche Supplement-Zusammenstellung (Stack) wird in Ihrem Account gespeichert. Diese Daten sind ausschließlich für Sie sichtbar.
3.5 Nutzungsdaten
Wir erheben keine Nutzungsdaten über Tracking-Tools wie Google Analytics. Wir setzen keine Tracking-Cookies ein.
4. Einsatz von Künstlicher Intelligenz
SupStaq setzt Künstliche Intelligenz (KI) in mehreren Bereichen ein. Die folgenden Abschnitte erläutern transparent, welche KI-Systeme genutzt werden, welche Daten verarbeitet werden und welche Rechtsgrundlagen gelten.
4.1 KI-gestützte Wissensdatenbank
Die Substanzprofile in der Wissensdatenbank werden teilweise unter Einsatz von KI-Systemen erstellt und gepflegt:
- Eingesetzte KI-Systeme: Claude (Anthropic, USA), Gemini (Google, USA)
- Zweck: Recherche, Strukturierung und Zusammenfassung wissenschaftlicher Publikationen und Community-Erfahrungsberichte zu Nahrungsergänzungsmitteln und Peptiden
- Verarbeitete Daten: Ausschließlich öffentlich zugängliche wissenschaftliche Literatur und Community-Beiträge. Es werden keine personenbezogenen Nutzerdaten für die Wissensdatenbank-Erstellung an KI-Systeme übermittelt.
- Qualitätssicherung: Alle KI-generierten Substanzprofile durchlaufen eine automatisierte Schema-Validierung, Quellen-Prüfung und Review-Pipeline. Die Ergebnisse werden menschlich überprüft.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung hochwertiger Informationen).
4.2 KI-gestützte Empfehlungen und Analysen
SupStaq nutzt KI-Modelle, um auf Basis der von Ihnen eingegebenen Daten personalisierte Empfehlungen und Analysen zu erstellen:
Aktuell verfügbare KI-Funktionen:
- Zielbasierte Blutwerte-Empfehlungen: Basierend auf Ihren Gesundheitszielen empfiehlt das System, welche Laborwerte Sie testen lassen sollten. Diese Empfehlung wird derzeit deterministisch (regelbasiert) berechnet und nicht an externe KI-Dienste übermittelt.
- Wechselwirkungs-Analyse: Die Prüfung von Wechselwirkungen zwischen Substanzen in Ihrem Stack erfolgt derzeit deterministisch auf Basis der Wissensdatenbank.
Geplante KI-Funktionen (Premium):
- KI-Stack-Analyse: Analyse Ihres Stacks auf Lücken, Redundanzen und fehlende Cofaktoren
- KI-Blutwerte-Auswertung: Personalisierte Substanz-Empfehlungen basierend auf Ihren Laborwerten
- Personalisierte Dosisanpassung: Dosierungsempfehlungen unter Berücksichtigung Ihres Profils
Welche Daten werden für geplante KI-Funktionen verarbeitet?
Bei Aktivierung von Premium KI-Funktionen werden folgende Daten an KI-Systeme (Anthropic Claude) übermittelt:
- Ihre Gesundheitsziele
- Ihre Blutwerte (sofern erfasst)
- Ihre Stack-Zusammenstellung und Dosierungen
- Ihr Profil (Alter, Geschlecht, Gewicht — anonymisiert, ohne E-Mail oder Name)
Es werden dabei ausdrücklich NICHT übermittelt:
- Ihr Name oder Ihre E-Mail-Adresse
- Ihre IP-Adresse
- Sonstige direkt identifizierende Merkmale
Die Übermittlung erfolgt verschlüsselt (TLS) an Server von Anthropic (USA). Anthropic verarbeitet API-Anfragen ohne dauerhafte Speicherung der Inhalte und nutzt die Daten nicht zum Training ihrer Modelle. Weitere Informationen: Anthropic Privacy Policy
Rechtsgrundlage: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.3 Drittlandübermittlung (USA)
Die KI-Systeme von Anthropic und Google haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO), dem beide Unternehmen beigetreten sind, sowie ergänzend auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
4.4 Automatisierte Entscheidungsfindung
Die KI-generierten Empfehlungen stellen keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO dar. Alle Empfehlungen sind unverbindliche Informationsangebote. Der Nutzer trifft sämtliche Entscheidungen (z.B. über die Einnahme von Substanzen) eigenständig und in eigener Verantwortung.
4.5 Widerspruchsrecht bei KI-Verarbeitung
Sie können der Verarbeitung Ihrer Daten durch KI-Systeme jederzeit widersprechen:
- Premium KI-Funktionen können jederzeit deaktiviert werden
- Ohne Premium werden keine personenbezogenen Daten an KI-Dienste übermittelt
- Die deterministische Blutwerte-Empfehlung und Wechselwirkungsprüfung funktioniert ohne externe KI
5. Cookies
Technisch notwendige Cookies
SupStaq verwendet ausschließlich technisch notwendige Cookies:
| Cookie | Zweck | Dauer |
|---|---|---|
supstaq.locale-pref | Speichert Ihre Sprachpräferenz (de/en) | 1 Jahr |
sb-* (Supabase) | Authentifizierungs-Session | Sitzungsdauer |
Diese Cookies sind für den Betrieb der Website erforderlich. Sie können Ihren Browser so einstellen, dass er Sie über das Setzen von Cookies informiert. Die Deaktivierung technisch notwendiger Cookies kann die Funktion der Website einschränken.
Wir setzen keine Marketing-, Analyse- oder Werbe-Cookies ein.
6. E-Mail-Kommunikation
Transaktionale E-Mails
Wir versenden ausschließlich transaktionale E-Mails (Registrierung, Passwort-Reset, Magic Link). Der Versand erfolgt über den integrierten E-Mail-Dienst von Supabase.
Marketing-E-Mails
Marketing-E-Mails werden nur versandt, wenn Sie dem ausdrücklich im Profil zugestimmt haben. Sie können diese Einwilligung jederzeit in Ihren Profileinstellungen widerrufen.
7. Datenweitergabe an Dritte
Wir geben Ihre personenbezogenen Daten nicht an Dritte weiter, es sei denn:
- Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO)
- Die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO)
- Es besteht eine gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Auftragsverarbeiter
Folgende Dienstleister verarbeiten Daten in unserem Auftrag:
| Dienstleister | Zweck | Standort | Datenschutz-Framework |
|---|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung | EU (Frankfurt) | DSGVO, DPA |
| Hostinger International Ltd. | Server-Hosting | EU (Litauen) | DSGVO |
| Anthropic PBC | KI-Analyse & Empfehlungen (Premium) | USA | EU-US DPF, SCCs |
| Google LLC | KI-Recherche (Wissensdatenbank) | USA | EU-US DPF, SCCs |
Mit allen Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
8. Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein:
- SSL/TLS-Verschlüsselung aller Datenübertragungen
- Verschlüsselte Passwortspeicherung (bcrypt)
- Row-Level-Security (RLS) auf Datenbankebene
- Anonymisierung personenbezogener Daten vor KI-Verarbeitung
- Keine dauerhafte Speicherung von Nutzerdaten bei KI-Anbietern
- Regelmäßige Sicherheits-Updates
- Zugriffskontrolle auf Serverebene
9. Ihre Rechte (DSGVO)
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
9.1 Recht auf Auskunft (Art. 15 DSGVO)
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden, und Auskunft über diese Daten zu erhalten. Dies umfasst auch Informationen darüber, ob und welche Ihrer Daten durch KI-Systeme verarbeitet werden.
9.2 Recht auf Berichtigung (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger Daten verlangen. Sie können Ihre Profildaten jederzeit selbst in den Profileinstellungen bearbeiten.
9.3 Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen. In SupStaq können Sie:
- Ihren Account selbst löschen (Dashboard → Sicherheit → Account löschen)
- Dies löscht unwiderruflich alle Ihre Daten (Profil, Blutwerte, Stack)
- Bei KI-Anbietern werden keine dauerhaften Nutzerdaten gespeichert, daher entfällt eine separate Löschung dort
9.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem maschinenlesbaren Format (JSON) exportieren. Diese Funktion ist unter Dashboard → Sicherheit → Datenexport verfügbar.
9.5 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, einschließlich der Verarbeitung durch KI-Systeme.
9.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, gegen die Verarbeitung Ihrer Daten Widerspruch einzulegen, soweit die Verarbeitung auf berechtigtem Interesse beruht. Dies schließt die Verarbeitung durch KI-Systeme ein.
9.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Sie können eine erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
9.8 Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist die Aufsichtsbehörde Ihres Bundeslandes oder die des Sitzes unseres Unternehmens.
10. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt:
- Account-Daten: bis zur Löschung des Accounts durch den Nutzer
- Profildaten: bis zur Änderung oder Löschung durch den Nutzer
- Blutwerte: bis zur Löschung durch den Nutzer oder Account-Löschung
- KI-Verarbeitungsdaten: keine dauerhafte Speicherung bei KI-Anbietern (nur für die Dauer der Anfrageverarbeitung)
- Server-Logs: maximal 30 Tage
- Session-Daten: bis zum Logout oder Sitzungsablauf
11. Minderjährige
SupStaq richtet sich nicht an Personen unter 18 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Bei wesentlichen Änderungen, insbesondere bezüglich der KI-Verarbeitung, werden registrierte Nutzer per E-Mail informiert. Die aktuelle Version finden Sie stets auf dieser Seite.
Stand: Mai 2026