# Datenschutzerklärung - Trayly > Privacy policy for Trayly, the iOS app, website, and API. Stand: 17. Juni 2026 ## 1. Verantwortlicher Burzinski & Jaenisch GbR, Burgunder Str. 1, 14197 Berlin, Deutschland, ist Verantwortlicher für die Verarbeitung personenbezogener Daten in der Trayly iOS-App, der Website und der zugehörigen API. Kontakt für Datenschutzanfragen: info@bejaniclabs.de. Ein Datenschutzbeauftragter ist nicht benannt, solange keine gesetzliche Benennungspflicht besteht. ## 2. Daten, die wir verarbeiten - Kontodaten und Authentifizierungsdaten, insbesondere Nutzer-ID, Login-Status, E-Mail-Adresse und technische Authentifizierungsmerkmale von Clerk. - Profil- und Gesundheitsziele, insbesondere Geschlecht, Geburtsdatum, Körpergröße, Gewicht, Aktivitätslevel, Ziel, Tempo und berechnete Kalorien- und Makroziele. - Mahlzeiten-, Zutaten-, Favoriten- und Gewichtsdaten, insbesondere Zeitpunkte, Mahlzeitentyp, Titel, Zusammenfassung, Nährwerte, Portionen, Barcodes, Produktdetails, Bilder und KI-Konfidenzwerte. - Chatdaten, insbesondere Chat-Sessions, Nachrichten, Anhangsnamen, ausgewähltes Datum, Bildanhänge, Sprache der App sowie Standort- und Aktivitätskontext, wenn du ihn im Chat verwendest. - Fotos, Etikettenbilder, Barcodes und Notizen, soweit du Analyse-, Scan-, Kamera- oder Chatfunktionen nutzt. - Restaurant- und Standortdaten, insbesondere Koordinaten, Suchradius, Region, Restaurant- und Menüauswahl, wenn du Standort- oder Restaurantfunktionen verwendest. - Apple-Health-Daten, sofern du die Berechtigung erteilst: Schritte, aktive Kalorien, Ruhekalorien und Körpergewicht; außerdem von Trayly geschriebene Körpergewichts- und Ernährungswerte wie Kalorien, Protein, Kohlenhydrate und Fett. Aktivitätsdaten werden dem Chat nur beigefügt, wenn deine Chatfrage auf Schritte, Bewegung oder verbrannte Kalorien Bezug nimmt. - Push- und Gerätedaten, insbesondere APNs-Token, Plattform, Umgebung, Zeitzone, Sprache, lokale Erinnerungseinstellungen und Benachrichtigungseinstellungen. - Kauf- und Abodaten, die für Trayly Pro über Apple und RevenueCat verarbeitet werden, insbesondere Kunden-ID, Entitlement-Status, Produkt-ID, Laufzeitinformationen und Wiederherstellungsstatus. - Technische Betriebsdaten wie IP-Adresse, Zeitpunkt, Request-ID, Pfad, Statuscode, User-Agent, Rate-Limit-Ereignisse, Audit-Logs und AI-Nutzungsmetriken. - Produktanalyse- und Telemetriedaten wie App-Version, Build, Plattform, Umgebung, anonyme oder kontobezogene Nutzer-ID, App-Lifecycle-Ereignisse, ausgewählte Hauptbereiche, ausgewählte Erfassungsmodi, Onboarding- und Paywall-Status, Berechtigungsstatus, Feature-Nutzung, Analyse-, Chat-, Restaurant- und Meal-Logging-Ereignisse sowie technische API-Nutzungsereignisse ohne absichtliche Übermittlung von Mahlzeiten-, Foto-, Chattext- oder Gesundheitsinhalten. ## 3. Zwecke und Rechtsgrundlagen - Bereitstellung von Konto, App, API, Synchronisierung, Mahlzeiten-Tracking, Gewichtsentwicklung und Restaurantfunktionen, Art. 6 Abs. 1 lit. b DSGVO. - Analyse von Texten, Fotos, Etiketten, Barcodes und Chat-Nachrichten zur Ermittlung von Nährwerten und Assistenzantworten, Art. 6 Abs. 1 lit. b DSGVO und, soweit Gesundheitsdaten betroffen sind, Art. 9 Abs. 2 lit. a DSGVO auf Grundlage deiner ausdrücklichen Einwilligung. - HealthKit-Import und -Export von Aktivität, Gewicht und Nährwerten, Art. 6 Abs. 1 lit. a DSGVO und Art. 9 Abs. 2 lit. a DSGVO. - Standortbasierte Restaurantsuche, Art. 6 Abs. 1 lit. a DSGVO, sofern du Standortzugriff erlaubst. - Push-Benachrichtigungen und Erinnerungen, Art. 6 Abs. 1 lit. a DSGVO. - Aboverwaltung, Zahlungsvorbereitung, Kaufwiederherstellung und Missbrauchsschutz, Art. 6 Abs. 1 lit. b und lit. f DSGVO. - Sicherheit, Fehleranalyse, Missbrauchsabwehr, Rate Limiting, Auditierung und Stabilität der Systeme, Art. 6 Abs. 1 lit. f DSGVO. - Produktanalyse, Funktionsverbesserung und technische Telemetrie der App und API, Art. 6 Abs. 1 lit. f DSGVO; wir verwenden diese Daten nicht für Werbung oder Datenhandel. - Erfüllung gesetzlicher Pflichten, insbesondere steuer-, handels- und verbraucherschutzrechtlicher Pflichten, Art. 6 Abs. 1 lit. c DSGVO. ## 4. Website Die Website stellt Informationen, rechtliche Seiten und statische App-Inhalte bereit. Wir setzen auf der Website derzeit keine eigenen Analyse- oder Marketing-Cookies ein. Beim Aufruf der Website können der Hosting-Anbieter und technische Schutzsysteme Zugriffsdaten wie IP-Adresse, Browser, Zeitpunkt und angeforderte URL verarbeiten, um die Website auszuliefern, abzusichern und Fehler zu untersuchen. ## 5. Gesundheitsdaten und Apple Health Trayly ist keine medizinische App. Angaben zu Kalorien, Makros, Gewicht, Aktivität und Score dienen Fitness- und Ernährungszwecken und ersetzen keine ärztliche, therapeutische oder ernährungsmedizinische Beratung. Apple-Health-Daten werden nur nach deiner Berechtigung gelesen oder geschrieben. Die App liest derzeit Schritte, aktive Kalorien, Ruhekalorien und Körpergewicht, um Fortschritt und Tageswerte darzustellen. Aktivitätsdaten werden dem Coach nur bei relevanten Chatfragen zu Schritten, Bewegung oder verbrannten Kalorien mitgesendet. Die App kann von dir erfasste Gewichtseinträge sowie Tageswerte für Kalorien, Protein, Kohlenhydrate und Fett in Apple Health schreiben. Von Trayly geschriebene HealthKit-Daten werden vor dem erneuten Schreiben desselben Tages bestmöglich bereinigt, damit keine Duplikate entstehen. HealthKit-Daten werden nicht für Werbung oder Datenhandel verwendet. Du kannst HealthKit-Berechtigungen jederzeit in den iOS-Einstellungen widerrufen. Ohne diese Berechtigung funktionieren App-Bereiche, die HealthKit-Daten benötigen, nur eingeschränkt. ## 6. KI-Analysen und Fotos Wenn du KI-Funktionen nutzt, werden deine Eingaben, Fotos, Etikettenbilder, Barcodes, Portionsangaben, Chat-Verlauf und relevante Kontextdaten an unsere API und an konfigurierte KI-Dienstleister übermittelt, um Nährwerte, Zutaten, Zusammenfassungen, Übersetzungen, Restaurantvorschläge und Chat-Antworten zu erzeugen. Für KI-Aufrufe nutzen wir einen AI Gateway und angeschlossene Modellanbieter. Betriebslogs der KI-Nutzung enthalten technische Metadaten wie Feature, Modell, Dauer, Tokenzahlen, Status und Fehler; Roh-Eingaben und Roh-Ausgaben werden in diesen KI-Nutzungslogs nicht absichtlich gespeichert. KI-Ergebnisse können unvollständig oder falsch sein. Bitte prüfe Ergebnisse, bevor du sie für Gesundheits-, Trainings- oder Ernährungsentscheidungen nutzt. ## 7. Empfänger und Dienstleister - Clerk: Authentifizierung, Sitzungsverwaltung, Nutzeridentitäten und Kontolöschung. - Vercel: Hosting und Auslieferung der Website sowie zugehörige technische Logs. - Cloudflare: Hosting der Worker API, D1-Datenbank, R2-Bildspeicher, KV-Cache, Rate Limiting, Routing, Security und technische Logs. - Vercel AI Gateway und angeschlossene Modellanbieter, derzeit insbesondere DeepSeek und OpenAI: Verarbeitung von Text-, Foto-, Label- und Chatdaten zur Analyse und Antwortgenerierung. - PostHog: Produktanalyse und technische Telemetrie für App- und API-Nutzungsereignisse. - Google Places oder OpenStreetMap/Overpass: Restaurant-, Orts-, Bewertungs-, Foto- und Karteninformationen in der Umgebung. - Open Food Facts: Barcode- und Produktdatenbank für Lebensmittelinformationen. - Apple, App Store, APNs und HealthKit: App-Vertrieb, In-App-Käufe, Kaufabwicklung, Push-Zustellung, Plattformdienste und HealthKit-Berechtigungen. - RevenueCat: Verwaltung von Abos, Entitlements, Angeboten, Kaufstatus und Wiederherstellung von Käufen. - Öffentliche Restaurant-, Karten-, Logo- und Bildquellen, z. B. Wikimedia oder Restaurant-CDNs, wenn solche Inhalte in App oder Website geladen werden. ## 8. Drittlandübermittlungen Einige Dienstleister können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten, insbesondere in den USA. Soweit erforderlich, verwenden wir geeignete Garantien wie EU-Standardvertragsklauseln, Angemessenheitsbeschlüsse, Auftragsverarbeitungsverträge und zusätzliche Schutzmaßnahmen. ## 9. Speicherdauer - Kontodaten, Profil, Mahlzeiten, Gewicht, Favoriten, Chat-Sessions, Analyseergebnisse und Uploads speichern wir grundsätzlich, solange dein Konto besteht oder die Daten für die gewählte Funktion benötigt werden. - Push-Tokens und Benachrichtigungseinstellungen speichern wir, solange Push-Funktionen aktiv sind oder das Token für Zustellung und Missbrauchsschutz benötigt wird. - Restaurant-, Barcode- und öffentliche Menüinformationen können unabhängig von deinem Konto als Produktdaten gespeichert bleiben. - Technische Logs, Audit-Logs, Rate-Limit-Daten, KI-Nutzungsmetriken und Sicherheitsereignisse speichern wir, solange sie für Betrieb, Nachvollziehbarkeit, Missbrauchsabwehr und gesetzliche Pflichten erforderlich sind. - Produktanalyse- und Telemetriedaten speichern wir nur, solange sie für Produktverbesserung, Fehleranalyse, Sicherheit und Missbrauchsabwehr erforderlich sind; Nutzerinnen und Nutzer können die Produktanalyse in den App-Einstellungen deaktivieren. - Gesetzliche Aufbewahrungspflichten bleiben unberührt. Nach Wegfall des Zwecks löschen oder anonymisieren wir Daten, soweit keine Pflicht oder kein berechtigtes Interesse an der weiteren Speicherung besteht. ## 10. Lokale Daten und Caches Die App speichert bestimmte Daten lokal auf deinem Gerät, etwa Einstellungen, gecachte Profil-, Mahlzeiten-, Gewichts-, Restaurant- und Chatdaten, Bilder, Ortsdaten, Favoriten, Push-Token-Zustände und temporäre Analyse- oder Offline-Queue-Zustände. Sensiblere App-Caches werden im geschützten App-Speicher mit iOS-Dateischutz abgelegt, soweit technisch möglich. Du kannst lokale Daten durch App-Löschung oder systemseitige Speicherbereinigung entfernen; serverseitige Kontodaten bleiben davon unberührt, bis du sie löschst oder Löschung verlangst. ## 11. Deine Rechte - Auskunft über deine personenbezogenen Daten, Art. 15 DSGVO. - Berichtigung unrichtiger Daten, Art. 16 DSGVO. - Löschung, Art. 17 DSGVO. - Einschränkung der Verarbeitung, Art. 18 DSGVO. - Datenübertragbarkeit, Art. 20 DSGVO. - Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen, Art. 21 DSGVO. - Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft, Art. 7 Abs. 3 DSGVO. - Beschwerde bei einer Datenschutzaufsichtsbehörde, Art. 77 DSGVO. ## 12. Pflicht zur Bereitstellung Du musst nur Daten bereitstellen, die für die jeweilige Funktion erforderlich sind. Ohne Konto können wir kontobezogene Funktionen nicht bereitstellen. Ohne Foto-, Standort-, HealthKit- oder Push-Berechtigungen funktionieren die jeweiligen optionalen Funktionen nicht oder nur eingeschränkt. ## 13. Automatisierte Entscheidungen Trayly trifft keine rechtlich erheblichen Entscheidungen ausschließlich automatisiert. Scores, Schätzungen, Rankings und Empfehlungen sind Assistenzfunktionen und können von dir ignoriert, korrigiert oder gelöscht werden. ## 14. Minderjährige Trayly richtet sich nicht an Kinder unter 16 Jahren. Wenn du unter 16 bist, darfst du Trayly nur nutzen, wenn deine gesetzlichen Vertreter zugestimmt haben. ## 15. Änderungen dieser Datenschutzerklärung Wir können diese Datenschutzerklärung anpassen, wenn sich Funktionen, Dienstleister, Rechtslage oder technische Abläufe ändern. Die jeweils aktuelle Fassung ist in der App und auf dieser Website abrufbar. ## Kontakt Fragen an info@bejaniclabs.de.