Stand: 16. Juni 2026
Diese Datenschutzerklärung beschreibt, welche Daten nope (die iOS-App zum Erfassen von Mahlzeiten und Gewicht) verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage. Sie ergänzt die allgemeine Datenschutzerklärung für davedinapoli.de.
Dave Di Napoli
(Anschrift siehe Impressum)
E-Mail: info@davedinapoli.de
nope ist ein Kalorien- und Gewichts-Tracker. Du setzt ein Zielgewicht; nope erfasst deine Mahlzeiten — per Spracheingabe oder Foto — und zeigt dir, ob du auf Kurs für dein Ziel bist. Die Kerndaten entstehen durch deine eigenen Eingaben.
nope erhebt keine Werbe-IDs, keine Analytics, keine Crash-Reporter und bindet keine Tracking-SDKs ein. Deine Daten werden owner-isoliert (Row Level Security) in einem EU-Rechenzentrum gespeichert.
Die Anmeldung erfolgt über Sign in with Apple. Apple übergibt dabei einen anonymisierten Identifier; eine reale E-Mail-Adresse oder ein Name werden nur übermittelt, wenn du dem beim Login ausdrücklich zustimmst.
Zum Kern der App gehören dein Start- und Zielgewicht, deine Gewichtsverläufe sowie deine erfassten Mahlzeiten mit geschätzten Nährwerten (Kalorien, Eiweiß, Fett, Kohlenhydrate) und Zeitstempeln. Es handelt sich teils um Gesundheitsdaten im Sinne von Art. 9 DSGVO; sie werden ausschließlich zur Berechnung deines Budgets und deines Fortschritts verarbeitet. Alle Zeilen sind über Row Level Security strikt deinem Konto zugeordnet — niemand außer dir kann sie lesen oder schreiben.
Wenn du es erlaubst, liest nope dein Körpergewicht und deine aktive Energie aus Apple Health, um Verlauf und Tagesbudget zu berechnen, und kann erfasstes Gewicht zurückschreiben. Diese Daten werden gemäß Apples Health-Richtlinien nicht für Werbung verwendet und nicht an Dritte weitergegeben. Du kannst die Freigabe jederzeit in den iOS-Einstellungen widerrufen.
Nutzt du die Spracheingabe, wird dein Gesprochenes auf dem Gerät (Apples on-device Spracherkennung) in Text gewandelt. Es werden dabei keine Audiodaten an Dritte übertragen; nur der fertige Text wird zur Mahlzeit-Erkennung weiterverarbeitet. Auf älteren iPhones ohne on-device-KI wird dieser Text (niemals Audio) zur Auswertung an den KI-Dienst übermittelt (siehe Abschnitt 5). Diese Cloud-Erkennung ist optional und erfolgt nur nach deiner Einwilligung.
Fotografierst du eine Mahlzeit, wird das Bild zur Erkennung an eine von mir betriebene Edge-Function gesendet, die ein KI-Modell zur Bilderkennung anspricht (siehe Abschnitt 5). Das Foto wird ausschließlich zur Erkennung des Essens verarbeitet, nicht für Werbung genutzt und nicht dauerhaft gespeichert.
Die kostenpflichtigen Cloud-Funktionen (Foto-Erkennung sowie die Cloud-Erkennung auf Geräten ohne on-device-KI) sind im optionalen Abo nope Plus zusammengefasst. Den Kauf wickelt Apple über den In-App-Kauf ab; Zahlungsdaten (z. B. Kreditkarte) sieht nope nie — sie liegen ausschließlich bei Apple. Zur Freischaltung speichert nope serverseitig deinen Berechtigungsstatus (aktiv/abgelaufen, Produkt, Ablaufdatum sowie eine von Apple vergebene Transaktions-Kennung), deinem Konto zugeordnet, in der in Abschnitt 5 genannten Supabase-Instanz (EU). Ohne diese Speicherung lässt sich nicht prüfen, ob ein Abo aktiv ist.
Für die Anmeldung wird Sign in with Apple verwendet; HealthKit-Daten stammen aus Apple Health. Apple ist insoweit unabhängiger Verantwortlicher. Das optionale Abo nope Plus wird über Apples In-App-Kauf abgewickelt; Apple tritt dabei als Verkäufer (Merchant of Record) auf, führt insbesondere die Mehrwertsteuer ab und verarbeitet die Zahlungsdaten eigenverantwortlich.
Konto, Mahlzeiten, Gewichte und Verläufe werden zu einer von mir betriebenen Supabase-Instanz synchronisiert. Supabase ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO; die Daten liegen in einem EU-Rechenzentrum.
Für die Foto-Erkennung wird das aufgenommene Bild an einen KI-Dienst von OpenAI übermittelt, der das Essen erkennt und die Nährwerte schätzt. Auf älteren iPhones ohne on-device-KI wird zur Erkennung auch der Text deiner Eingabe (z. B. aus der Spracheingabe) an denselben Dienst übermittelt. Dabei kann jeweils eine Übermittlung in die USA stattfinden; OpenAI ist insoweit Auftragsverarbeiter. Es werden nur das Foto bzw. der Text und der zur Erkennung nötige Kontext übertragen — keine Kontodaten und keine direkten Identifikatoren. Diese Cloud-Erkennung ist optional und erfolgt erst nach deiner ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO), die du jederzeit widerrufen kannst; ohne sie verlässt weder Bild noch Text dein Gerät zur Erkennung.
Darüber hinaus findet keine Übermittlung an weitere Dritte statt — keine Werbe-Netzwerke, keine Analytics-Anbieter.
Du hast nach DSGVO insbesondere das Recht auf:
Anfragen bitte an info@davedinapoli.de.
Diese Erklärung kann angepasst werden, wenn sich die Funktionalität ändert oder sich die Rechtslage entwickelt. Die jeweils aktuelle Fassung ist unter dieser URL abrufbar; das Datum oben gibt den Stand an.