Datenschutzerklärung für die App gutts

1. Einleitung

Diese Datenschutzerklärung klärt Nutzerinnen und Nutzer der App gutts über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten im Rahmen der Nutzung dieser App auf. Die App verarbeitet sowohl allgemeine personenbezogene Daten als auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsangaben zum Befinden, Verdauungsverhalten, Symptome). Die Verarbeitung erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG), sowie einschlägiger Spezialgesetze.

Privacy policy for the gutts app

1. Introduction

This privacy policy informs users of the gutts app about the type, scope and purpose of the processing of personal data when using this app. The app processes both general personal data and special categories of personal data within the meaning of Art. 9 GDPR (e.g. health information on well-being, digestive behavior, symptoms). Processing is carried out on the basis of the General Data Protection Regulation (GDPR), the Federal Data Protection Act (BDSG) and relevant special laws.

2. Verantwortlicher

Name des Anbieters

gutts UG (haftungsbeschränkt)
Leppestr. 103, 51709 Marienheide

2. Person responsible

Name of the provider

gutts UG (haftungsbeschränkt)
Leppestr. 103, 51709 Marienheide

3. Verarbeitete Datenarten

3.1 Allgemeine personenbezogene Daten

  • E-Mail-Adresse (für Authentifizierung und Kommunikation)
  • Geburtsdatum, Geschlecht, Vorname, Postleitzahl (bei Registrierung)
  • Spracheinstellungen (Deutsch / Englisch)
  • Geräteinformationen (Betriebssystem, Modell, Device-ID, IP-Adresse – anonymisiert)

3.2 Gesundheits- und Verhaltensdaten (Art. 9 Abs. 1 DSGVO)

  • Angaben zu Symptomen, Essgewohnheiten, Nahrungsmittel, Aktivitäten
  • Stuhlfrequenz, Schlafzeiten, Verdauungsverhalten, subjektives Wohlbefinden
  • Angaben zum Energielevel, zur Stimmung und zu körperlicher Aktivität
  • selbst definierte Mahlzeiten, Markenpräferenzen Marken zur Abgrenzung von Erzeugnissen, Essenszeiten
    Diese Daten unterliegen einem besonderen Schutz und werden nur mit ausdrücklicher Einwilligung verarbeitet.

3.3 Metadaten und Nutzungsverhalten

  • Zeitpunkt von Einträgen und Änderungen
  • Nutzungsstatistiken der App
  • Firebase-spezifische Diagnosedaten (z. B. Crash Reports, Analytics – falls aktiviert)

3. Processed data types

3.1 General personal data

  • E-mail address (for authentication and communication)
  • Date of birth, gender, first name, postal code (when registering)
  • Language settings (German / English)
  • Device information (operating system, model, device ID, IP address - anonymized)

3.2 Health and behavioral data (Art. 9 para. 1 GDPR)

  • Information on symptoms, eating habits, food, activities
  • Stool frequency, sleep times, digestive behavior, subjective well-being
  • Information on energy levels, mood and physical activity
  • Self-defined meals, brand preferences Brands to differentiate products, meal times
    This data is subject to special protection and is only processed with express consent.

3.3 Metadata and usage behavior

  • Time of entries and changes
  • Usage statistics of the app
  • Firebase-specific diagnostic data (e.g. crash reports, analytics - if activated)

4. Zwecke der Verarbeitung

  • Personalisierte Darstellung von Informationen in der App (z. B. Nahrung vs. Befinden)
  • Erstellung von Zeitverläufen (Timelines) zur Symptomanalyse
  • Aufbereitung von Nährstoff- und Aktivitätsprofilen
  • Hinweisfunktion bei ungewöhnlichem Verhalten oder potenziellen Risikofaktoren
  • Feedback-Verarbeitung zur Verbesserung der App
  • Sicherheit und Stabilität der Anwendung (Logging, Fehleranalyse, Authentifizierung)

4. Purposes of the processing

  • Personalized display of information in the app (e.g. food vs. well-being)
  • Creation of timelines for symptom analysis
  • Preparation of nutrient and activity profiles
  • Indicator function for unusual behavior or potential risk factors
  • Feedback processing to improve the app
  • Security and stability of the application (logging, error analysis, authentication)

5. Rechtsgrundlagen der Verarbeitung

Datenart Rechtsgrundlage
Registrierungsdaten, Nutzerkonto Art. 6 Abs. 1 lit. b DSGVO
E-Mail-Benachrichtigungen Art. 6 Abs. 1 lit. f DSGVO
Gesundheitsdaten (z. B. Symptome) Art. 9 Abs. 2 lit. a DSGVO (Einwilligung)
Feedback, freiwillige Angaben Art. 6 Abs. 1 lit. a DSGVO
Firebase-Dienste (z. B. Crashlytics) Art. 6 Abs. 1 lit. f DSGVO

Einwilligungen können jederzeit in der App widerrufen werden.

5. Legal basis of the processing

Data type Legal basis
Registration data, user account Art. 6 para. 1 lit. b GDPR
E-mail notifications Art. 6 para. 1 lit. f GDPR
Health data (e.g. symptoms) Art. 9 para. 2 lit. a GDPR (consent)
Feedback, voluntary information Art. 6 para. 1 lit. a GDPR
Firebase services (e.g. Crashlytics) Art. 6 para. 1 lit. f GDPR

Consent can be revoked at any time in the app.

6. Einwilligung in besondere Datenverarbeitung

Die App verarbeitet Daten zu Ihrer Gesundheit nur mit Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO). Diese Einwilligung erfolgt im Rahmen der digitalen Unterschrift innerhalb der App und kann jederzeit in den Einstellungen widerrufen werden. Bei Widerruf wird der Zugriff auf betroffene App-Funktionen deaktiviert.

6. Consent to special data processing

The app only processes data relating to your health with your express consent (Art. 9 para. 2 lit. a GDPR). This consent is given as part of the digital signature within the app and can be revoked at any time in the settings. If you withdraw your consent, access to the app functions concerned will be deactivated.

7. Empfänger der Daten / Auftragsverarbeiter

7.1 Firebase (Google Ireland Ltd., Dublin)

Wir verwenden Firebase für folgende Funktionen:

  • Authentication (firebase_auth) – Nutzeranmeldung
  • Cloud Firestore (cloud_firestore) – Speicherung Ihrer Daten in verschiedenen Collections
  • Firebase Cloud Messaging – Push-Benachrichtigungen
  • Firebase Crashlytics – Fehleranalysen
  • Firebase Functions – Auswertung, Datenverarbeitung

Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit Google wurde abgeschlossen. Für den Drittstaatentransfer in die USA werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) verwendet. Weitere Infos:
https://firebase.google.com/support/privacy

7. Recipients of the data / processors

7.1 Firebase (Google Ireland Ltd., Dublin)

We use Firebase for the following functions:

  • Authentication (firebase_auth) - User login
  • Cloud Firestore (cloud_firestore) - Storage of your data in various collections
  • Firebase Cloud Messaging - Push notifications
  • Firebase Crashlytics - Error analysis
  • Firebase Functions - Evaluation, data processing

An order processing contract (Art. 28 GDPR) has been concluded with Google. Standard contractual clauses (Art. 46 para. 2 lit. c GDPR) are used for third country transfers to the USA. Further information:
https://firebase.google.com/support/privacy

7.2 RevenueCat (Abonnement-Management)
Wir nutzen den Dienst RevenueCat Inc., 1032 E Brandon Blvd #3003, Brandon, FL 33511, USA, um In-App-Käufe und Abonnements zu verwalten.

Verarbeitete Daten: Geräte- und Systeminformationen, Kauf-Belege/-Tokens von Apple App Store bzw. Google Play, Zeitpunkt der letzten App-Nutzung sowie – sofern Sie ein Kundenkonto in der App anlegen – Ihre interne Benutzer-ID und weitere von Ihnen hinterlegte Metadaten.

Zweck & Rechtsgrundlage: Abwicklung und Prüfung Ihrer In-App-Käufe, Verwaltung von Abonnement-Status sowie Missbrauchs-/Fehler-Analyse (Art. 6 Abs. 1 lit. b DS-GVO; ggf. lit. f für berechtigtes Interesse an Betrugsprävention).

Empfänger & Drittlandtransfer: Die Daten werden auf AWS-Servern in den USA verarbeitet. Zum Schutz Ihrer Daten haben wir mit RevenueCat ein Auftragsverarbeitungsvertrag sowie EU-Standardvertragsklauseln (bzw. Teilnahme am EU-US-Data-Privacy-Framework, sofern selbst-zertifiziert) abgeschlossen.

Speicherdauer: Bis zur Kündigung Ihres Abonnements und gesetzlicher Aufbewahrungspflichten; anschließend Anonymisierung bzw. Löschung.

Widerspruchs- & Betroffenenrechte: Sie können Ihre Rechte nach Art. 15 ff. DS-GVO jederzeit geltend machen; kontaktieren Sie uns hierzu unter der Impressum genannten Anschrift.

7.2 RevenueCat (Subscription Management)
We use the service RevenueCat Inc., 1032 E Brandon Blvd #3003, Brandon, FL 33511, USA, to manage in-app purchases and subscriptions.

Processed data: Device and system information, purchase receipts/tokens from Apple App Store or Google Play, timestamp of last app use and – if you create a user account in the app – your internal user ID and additional metadata you provide.

Purpose & legal basis: Processing and verification of in-app purchases, management of subscription status, and abuse/error analysis (Art. 6 para. 1 lit. b GDPR; if applicable, lit. f for legitimate interest in fraud prevention).

Recipient & third country transfer: Data is processed on AWS servers in the USA. To protect your data, we have concluded a data processing agreement with RevenueCat as well as EU standard contractual clauses (or participation in the EU-US Data Privacy Framework, if self-certified).

Retention period: Until your subscription is cancelled and legal retention obligations expire; thereafter anonymization or deletion.

Objection & data subject rights: You can exercise your rights under Art. 15 et seq. GDPR at any time; please contact us at the address listed in the imprint.

8. Speicherorte und Zugriffssteuerung

  • Daten werden ausschließlich in Firestore innerhalb einer GCP-Region gespeichert (EU, falls konfiguriert).
  • Zugriff auf sensible Collections (z. B. Symptome, Verdauung, Nährstoffe) ist nur dem jeweiligen Nutzer gestattet (per user_id gesteuert).
  • Keine externe API oder externer Zugriff außerhalb der Firebase Umgebung (siehe Dokument Categories of Collections).

8. Storage locations and access control

  • Data is stored exclusively in Firestore within a GCP region (EU, if configured).
  • Access to sensitive collections (e.g. symptoms, digestion, nutrients) is only permitted to the respective user (controlled by user_id).
  • No external API or external access outside the Firebase environment (see document Categories of Collections).

9. Speicherdauer und Datenlöschung

  • Nutzer können ihre Daten jederzeit über die App vollständig löschen.
  • Nach Löschanfrage erfolgt eine manuelle, rückverfolgbare Entfernung aller Daten zu user_id in Firestore (einschließlich Sub-Collections).
  • Eine vollständige Datenkopie kann optional (pseudonymisiert) zur Verfügung gestellt werden.
  • Nach 30 Tagen werden Sicherungen automatisch gelöscht, sofern nicht anderweitig rechtlich erforderlich.

9. Storage period and data deletion

  • Users can delete their data completely at any time via the app.
  • After a deletion request, a manual, traceable removal of all data for user_id in Firestore (including sub-collections) takes place.
  • A complete copy of the data can optionally be made available (pseudonymized).
  • Backups are automatically deleted after 30 days, unless otherwise required by law.

10. Ihre Rechte als betroffene Person

Als betroffene Person im Sinne der Datenschutz- Grundverordnung (DSGVO) haben Sie jederzeit das Recht, Auskunft über die bei uns zu Ihrer Person gespeicherten Daten zu erhalten. Darüber hinaus stehen Ihnen folgende Rechte zu:

Recht auf Auskunft (Art. 15 DSGVO):
Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten. Ist dies der Fall, können Sie Auskunft über diese Daten und weitere Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen von Betroffenenrechten, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde sowie die Herkunft Ihrer Daten (sofern diese nicht bei Ihnen erhoben wurden) verlangen.

Recht auf Berichtigung (Art. 16 DSGVO):
Sie haben das Recht, die unverzügliche Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ferner können Sie die Vervollständigung unvollständiger personenbezogener Daten verlangen – auch mittels ergänzender Erklärung.

Recht auf Löschung (Art. 17 DSGVO):
Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der folgenden Gründe vorliegt: – Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig. – Sie widerrufen Ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage. – Sie legen Widerspruch gegen die Verarbeitung ein (siehe unten). – Die Daten wurden unrechtmäßig verarbeitet. – Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich. Bitte beachten Sie, dass dieses Recht eingeschränkt sein kann, wenn gesetzliche Aufbewahrungspflichten bestehen oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO):
Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn: – Sie die Richtigkeit der Daten bestreiten (für die Dauer der Prüfung), – die Verarbeitung unrechtmäßig ist und Sie statt der Löschung die Einschränkung verlangen, – wir die Daten nicht länger benötigen, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder – Sie Widerspruch gegen die Verarbeitung eingelegt haben und noch nicht feststeht, ob unsere berechtigten Gründe überwiegen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO):
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Zudem haben Sie das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

Recht auf Widerspruch (Art. 21 DSGVO):
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, sofern die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e oder lit. f DSGVO erfolgt. Wir verarbeiten Ihre Daten in diesem Fall nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO):
Sie haben das Recht, eine uns erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO):
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes.

Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen
Kavalleriestraße2-4, 40213 Düsseldorf
Deutschland
Telefon: +49 211 38424-0
Fax: +49 211 38424-999
E-Mail:
https://www.ldi.nrw.de

10. Your rights as a data subject

As a data subject within the meaning of the General Data Protection Regulation (GDPR), you have the right to obtain information about your personal data stored by us at any time. You also have the following rights:

Right to information (Art. 15 GDPR):
You have the right to request confirmation as to whether we process personal data about you. If this is the case, you can request information about this data and further information about the purposes of the processing, the categories of data processed, the recipients or categories of recipients, the planned storage period, the existence of data subject rights, the existence of a right of appeal to a supervisory authority and the origin of your data (if it was not collected from you).

Right to rectification (Art. 16 GDPR):
You have the right to demand the immediate correction of incorrect personal data concerning you. You may also request the completion of incomplete personal data - also by means of a supplementary declaration.

Right to erasure (Art. 17 GDPR):
You have the right to request the deletion of your personal data if one of the following reasons applies: - The data are no longer necessary for the purposes for which they were collected. - You withdraw your consent and there is no other legal basis. - You object to the processing (see below). - The data was processed unlawfully. - The deletion is necessary to fulfill a legal obligation. Please note that this right may be restricted if there are statutory retention obligations or if the processing is necessary for the establishment, exercise or defense of legal claims.

Right to restriction of processing (Art. 18 GDPR):
You have the right to request the restriction of the processing of your data if: - you dispute the accuracy of the data (for the duration of the check), - the processing is unlawful and you request the restriction of processing instead of erasure, - we no longer need the data, but you need it to assert, exercise or defend legal claims, or - you have objected to the processing and it has not yet been established whether our legitimate grounds override yours.

Right to data portability (Art. 20 GDPR):
You have the right to receive the personal data concerning you, which you have provided to us, in a structured, commonly used and machine-readable format. You also have the right to transmit this data to another controller, provided that the processing is based on consent or a contract and is carried out by automated means.

Right to object (Art. 21 GDPR):
You have the right to object to the processing of your personal data at any time for reasons arising from your particular situation, provided that the processing is carried out on the basis of Art. 6 para. 1 lit. e or lit. f GDPR. In this case, we will no longer process your data unless we can demonstrate compelling legitimate grounds that outweigh your interests, rights and freedoms or the processing serves to assert, exercise or defend legal claims.

Right to withdraw consent (Art. 7 (3) GDPR):
You have the right to withdraw your consent at any time with effect for the future. The legality of the processing carried out on the basis of the consent until the revocation remains unaffected.

Right to lodge a complaint with a supervisory authority (Art. 77 GDPR):
If you believe that the processing of your personal data violates the GDPR, you have the right to lodge a complaint with a supervisory authority. In particular, the supervisory authority of your habitual residence, your place of work or the place of the alleged infringement is responsible.

The State Commissioner for Data Protection of North Rhine-Westphalia
Kavalleriestraße2-4, 40213 Düsseldorf
Germany
Phone: +49 211 38424-0
Fax: +49 211 38424-999
E-mail:
https://www.ldi.nrw.de

11. Widerruf der Einwilligung

Ein Widerruf Ihrer Einwilligung ist jederzeit mit Wirkung für die Zukunft möglich. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Der Widerruf führt zum Ausschluss der Nutzung gesundheitsbezogener Funktionen.

11. Revocation of consent

You can withdraw your consent at any time with effect for the future. The legality of the processing carried out until the revocation remains unaffected. The revocation leads to the exclusion of the use of health-related functions.

12. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren, z.B.:
Die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen
Kavalleriestraße2-4, 40213 Düsseldorf
Deutschland
Telefon: +49 211 38424-0
Fax: +49 211 38424-999
E-Mail:
https://www.ldi.nrw.de

12. Right to lodge a complaint with the supervisory authority

You have the right to lodge a complaint with a data protection supervisory authority, e.g.:
The State Commissioner for Data Protection of North Rhine-Westphalia
Kavalleriestraße2-4, 40213 Düsseldorf
Germany
Phone: +49 211 38424-0
Fax: +49 211 38424-999
E-mail:
https://www.ldi.nrw.de

13. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen ein (Art. 32 DSGVO):

  • HTTPS-Verschlüsselung
  • Quotenlimits (20 Einträge/h)
  • Zugriffskontrollen über Firebase Security Rules
  • Isolation des Backends vom Frontend um Manipulation der Datenbank auszuschließen
  • Trennung von Daten und Metadaten
  • Minimierung personenbezogener Identifikatoren
  • Logging kritischer Zugriffe und Aktivitäten

13. Data security

We use suitable technical and organizational measures (Art. 32 GDPR):

  • HTTPS encryption
  • Quota limits (20 entries/h)
  • Access controls via Firebase Security Rules
  • Isolation of the backend from the frontend to prevent manipulation of the database
  • Separation of data and metadata
  • Minimization of personal identifiers
  • Logging of critical accesses and activities

14. Automatisierte Entscheidungsfindung / Profiling

Ein automatisiertes Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Alle Empfehlungen beruhen auf rein analytischer Auswertung ohne Eingriff in Rechte der Nutzer.

14. Automated decision making / profiling

Automated profiling within the meaning of Art. 22 GDPR does not take place. All recommendations are based on purely analytical evaluation without interfering with users’ rights.

15. Änderungen der Datenschutzerklärung

Diese Datenschutzerklärung wird regelmäßig überprüft und an neue gesetzliche oder technische Entwicklungen angepasst. Die jeweils aktuelle Version ist in der App abrufbar.

16. Geltung der deutschen Version

Die Datenschutzerklärung wurde zweisprachig erstellt und im Falle von Zweifeln, Unklarheiten oder Widersprüchen gilt die deutsche Version.

Letzte Änderung: Mai 2025

15. Changes to the privacy policy

This privacy policy is regularly reviewed and adapted to new legal or technical developments. The latest version is always available in the app.

16. Prevalence of the German Version

This privacy policy has been drawn up in two languages and in the event of any doubts, ambiguities or contradictions, the German version shall apply.

Last update: May 2025