Datum des Inkrafttretens: 2026-03-28. Zuletzt aktualisiert: 2026-06-14.
1. Wer wir sind
Wellix („wir", „uns") stellt eine KI-gestützte mobile Anwendung zur Erfassung von Kalorien und Makronährstoffen (die „App") bereit. Verantwortliche ist Valeria Levitan, eingetragen als steuerbefreite Einzelunternehmerin (Osek Patur) in Israel unter der Steuernummer 341083038. Postanschrift: Anna Frank 34, Rishon LeZion, Israel. Kontakt: privacy@wellix.cc. Wir haben keinen Vertreter gemäß Art. 27 DSGVO benannt; betroffene Personen im EWR und im Vereinigten Königreich können ihre Rechte ausüben, indem sie uns direkt unter der oben genannten Anschrift kontaktieren.
2. Was wir erheben
- Konto: E-Mail-Adresse, gehashtes Passwort, Name, Geburtsdatum, Land, Sprache.
- Gesundheitsbezogenes Profil: Geschlecht, Größe, Gewicht, Aktivitätsniveau, optionale Körpermaße, Ernährungsziele, Ernährungsvorlieben. Wir behandeln diese als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO).
- App-Nutzung: Fotos von Lebensmitteln, die Sie zur KI-Analyse einreichen, erkannte Elemente, von Ihnen erfasste Mahlzeiten, Wasser- und Gewichtsverlauf, für Sie erstellte Ernährungsempfehlungen, Support-Nachrichten.
- Gerät: Gerätemodell, Betriebssystemversion, Sprache, Zeitzonenversatz, IP-Adresse und Absturzprotokolle. Wir schalten ausschließlich nicht personalisierte Werbung: Unter iOS verwenden wir nicht die Werbekennung (IDFA) oder App Tracking Transparency. Unter Android kann Google AdMob die Google Advertising ID (AAID) ausschließlich dazu verwenden, nicht personalisierte Werbung auszuliefern und die Anzeigehäufigkeit zu begrenzen; Sie können sie in den Einstellungen Ihres Geräts zurücksetzen oder einschränken.
- Abrechnung: eine RevenueCat-Abonnenten-ID und der Status Ihres Abonnements. Kartenzahlungen werden von Apple oder Google abgewickelt — wir sehen niemals Kartennummern.
3. Warum wir sie verarbeiten (Rechtsgrundlagen nach Art. 6 / Art. 9 DSGVO)
- Vertragserfüllung: Erstellung Ihres Kontos, KI-Lebensmittelerkennung, Erstellung von Empfehlungen, Abwicklung von Abonnements.
- Ausdrückliche Einwilligung (Art. 9(2)(a)): Verarbeitung von gesundheitsbezogenen Profildaten und Daten zur Nahrungsaufnahme — erhoben über ein Kontrollkästchen beim Onboarding; jederzeit durch Löschung des Kontos widerrufbar.
- Berechtigtes Interesse: Missbrauchsverhinderung, Ratenbegrenzung, Sicherheit, Produktanalysen, Abwehr von Rechtsansprüchen.
- Einwilligung (ePrivacy / Art. 6(1)(a) DSGVO): Schaltung von Werbung im EWR/Vereinigten Königreich (nicht personalisiert), optionale Push-Benachrichtigungen. Verwaltbar unter Einstellungen → Datenschutz.
- Rechtliche Verpflichtung: Steuerunterlagen, Meldung von Betrug, rechtmäßige Auskunftsersuchen zuständiger Behörden.
4. KI-Verarbeitung und Auftragsverarbeiter
Fotos von Lebensmitteln und kurze textliche Beschreibungen werden zur Inferenz an xAI (https://x.ai) mit Sitz in den Vereinigten Staaten übermittelt. Bilder werden vorübergehend verarbeitet und gemäß unserer Vereinbarung mit xAI nicht für das Modelltraining aufbewahrt. Wir speichern das Rohbild nach der Analyse nicht — nur das ausgewertete Nährwertergebnis in Ihrem Konto.
Weitere Auftragsverarbeiter:
- RevenueCat (USA) — Abonnementstatus.
- Google (Firebase, AdMob, Google Sign-In) (USA) — Push-Zustellung, Authentifizierung, Werbung.
- Apple (Sign in with Apple) (USA/IE) — Authentifizierung.
- Resend (USA) — Transaktions-E-Mails.
- VPS-Hosting in Frankfurt, Deutschland (EU) — Hosting von Anwendung und Datenbank.
Übermittlungen aus dem EWR/Vereinigten Königreich in die Vereinigten Staaten stützen sich auf das EU-US Data Privacy Framework, sofern der Anbieter zertifiziert ist, oder andernfalls auf die Standardvertragsklauseln der Europäischen Kommission mit ergänzenden Maßnahmen.
5. Aufbewahrung
- Konto- und Profildaten: bis Sie Ihr Konto löschen oder nach 3 Jahren Inaktivität.
- Lebensmittel-Scan-Aufträge (KI-Erkennung und Konversationsstatus, kein Rohbild): bis zu 24 Stunden.
- Mahlzeiten-, Gewichts- und Wasserverlauf: bis zur Löschung.
- KI-Nutzungsprotokolle (kein Eingabetext, nur Metadaten): 12 Monate zur Abrechnungsprüfung.
- Tägliche Datenbank-Backups: 7 Tage.
- Unterlagen, zu deren Aufbewahrung wir gesetzlich verpflichtet sind (z. B. Steuerrechnungen): die gesetzliche Aufbewahrungsfrist der jeweiligen Rechtsordnung.
6. Ihre Rechte
Sie haben das Recht, auf die Verarbeitung Ihrer personenbezogenen Daten zuzugreifen, sie berichtigen, löschen, einschränken, übertragen oder ihr widersprechen zu lassen, sowie Ihre Einwilligung jederzeit zu widerrufen. Um diese Rechte auszuüben, senden Sie eine E-Mail an privacy@wellix.cc oder nutzen Sie die In-App-Option „Konto löschen". Sie können eine Beschwerde bei Ihrer Datenschutzbehörde einreichen.
Kalifornien (CCPA / CPRA) — Meine personenbezogenen Daten nicht verkaufen oder weitergeben
Einwohner Kaliforniens haben das Recht zu erfahren, zu löschen, zu berichtigen und dem „Verkauf" oder der „Weitergabe" personenbezogener Daten zu widersprechen. Wellix schaltet ausschließlich nicht personalisierte Werbung über Google AdMob und „verkauft" oder „gibt" keine personenbezogenen Daten für kontextübergreifende verhaltensbasierte Werbung im Sinne des CPRA „weiter". Wir berücksichtigen dennoch Widerspruchsanfragen:
Sie können jederzeit widersprechen:
- In der App: Einstellungen → Datenschutz → Datenschutzeinstellungen verwalten → Meine personenbezogenen Daten nicht verkaufen oder weitergeben.
- Per E-Mail: privacy@wellix.cc mit dem Betreff „CCPA Do Not Sell or Share". Wir antworten innerhalb von 15 Werktagen.
- Über das Global-Privacy-Control-(GPC)-Signal Ihres Browsers — wenn unsere Web-Oberflächen
Sec-GPC: 1in einer eingehenden Anfrage erkennen, behandeln wir dies als gültigen Widerspruch für diesen Browser, ohne dass weitere Maßnahmen erforderlich sind. Die wie oben beschrieben festgelegte In-App-Einstellung wird über alle Oberflächen hinweg berücksichtigt.
Wir verkaufen wissentlich keine personenbezogenen Daten von Nutzern unter 16 Jahren.
Russland (152-ФЗ)
Wellix wird von Israel aus betrieben und richtet sich nicht gezielt an Nutzer in der Russischen Föderation. Alle personenbezogenen Daten werden auf Servern außerhalb Russlands gespeichert und verarbeitet. Wir sind nicht als Betreiber personenbezogener Daten bei Roskomnadzor registriert und sichern nicht zu, dass die App die Anforderung zur lokalen Speicherung des russischen Bundesgesetzes 152-ФЗ erfüllt. Russische Einwohner, die sich für die Nutzung der App entscheiden, tun dies auf eigene Initiative; wenn Sie damit nicht einverstanden sind, nutzen Sie die App bitte nicht.
Israel (Privacy Protection Law 5741-1981)
Wenn Sie in Israel ansässig sind, haben Sie im Wesentlichen dieselben Rechte wie oben für in der EU ansässige Personen dargelegt. Marketing-E-Mails erfordern eine Einwilligung (Opt-in) und enthalten in jeder Nachricht einen Abmeldelink.
7. Kinder
Wellix ist nicht für Kinder unter 13 Jahren bestimmt. Wir erheben wissentlich keine Daten von Kindern unter 13 Jahren irgendwo oder unter 16 Jahren in den EU-Mitgliedstaaten, deren nationales Recht diese Grenze festlegt. Sollten wir erfahren, dass wir solche Daten erhoben haben, werden wir sie unverzüglich löschen.
8. Cookies und Tracker
Die App verwendet keine Cookies. Wir schalten ausschließlich nicht personalisierte Werbung und verwenden unter iOS nicht die Apple IDFA oder App Tracking Transparency. Die App verwendet die folgenden auf dem Gerät gespeicherten Kennungen: Google Advertising ID (Android, wird ausschließlich dazu verwendet, nicht personalisierte Werbung auszuliefern und die Anzeigehäufigkeit zu begrenzen; über die Betriebssystemeinstellungen und das Einwilligungsbanner steuerbar), Firebase-Installations-ID, anonyme RevenueCat-ID. Beim ersten Start der App im EWR oder im Vereinigten Königreich erscheint ein Einwilligungsbanner, das nach Ihrer Einwilligung zur Werbeschaltung fragt.
9. Sicherheit
Daten werden während der Übertragung (TLS 1.2+) sowie im Ruhezustand auf Datenbank- und Backup-Ebene verschlüsselt. Passwörter werden mit bcrypt gehasht gespeichert. Der Zugriff auf Produktionssysteme ist nach dem Prinzip der geringsten Rechte auf autorisiertes Personal beschränkt.
10. Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Ihre Rechte zur Folge hat, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und informieren die betroffenen Nutzer unverzüglich.
11. Änderungen
Wir veröffentlichen wesentliche Änderungen dieser Erklärung und benachrichtigen Sie mindestens 30 Tage vor deren Inkrafttreten in der App. Die fortgesetzte Nutzung nach diesem Datum gilt als Annahme.
12. Kontakt
E-Mail: privacy@wellix.cc · Support: support@wellix.cc