← Zurück

Datenschutzerklärung

Version 1.3 — Stand: März 2026

Datenschutzerklärung gemäß Art. 13, 14 DSGVO für den Dienst „VitalStack".

1. Verantwortlicher

Tilo von Drathen
Otto-Hahn-Straße 11
22880 Wedel
E-Mail: tilo@vital-stack.com

2. Übersicht der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der Bereitstellung unseres Dienstes. Im Folgenden informieren wir über Art, Umfang und Zweck der Datenverarbeitung.

3. Verarbeitete Datenkategorien

Datenkategorie	Beispiele	Rechtsgrundlage	Speicherdauer
Kontaktdaten	E-Mail-Adresse	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)	Bis zur Kontolöschung
Profildaten	Alter, Geschlecht, Gewicht, Aktivitätslevel	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)	Bis zur Kontolöschung
Gesundheitsdaten (Art. 9 DSGVO)	Supplement-Einnahme, Gesundheitsziele, Schlafqualität, Stresslevel, Trainingsdaten	Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung)	Bis zur Kontolöschung oder Einwilligungswiderruf
Nutzungsdaten	Einwilligungen, Zeitstempel, IP-Adresse bei Registrierung	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nachweis)	3 Jahre nach Kontolöschung (Nachweispflicht)
Authentifizierungsdaten	OAuth-Sitzungen, Tokens	Art. 6 Abs. 1 lit. b DSGVO (Vertrag)	Bis zum Sitzungsende / Token-Ablauf

4. Gesundheitsdaten (Art. 9 DSGVO)

(1) Supplement-Einnahmedaten, Gesundheitsziele und Tageskontext-Daten (Schlafqualität, Stresslevel, Trainingsdaten) sind Gesundheitsdaten im Sinne von Art. 9 DSGVO. Ihre Supplement-Liste kann Rückschlüsse auf Ernährungsdefizite, Präventionsinteressen oder mögliche Erkrankungen zulassen.

(2) Die Verarbeitung erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung wird bei der Registrierung separat und granular eingeholt. Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. VitalStack dokumentiert das Einwilligungsdatum.

(3) Die Einwilligung ist jederzeit mit Wirkung für die Zukunft widerrufbar (Art. 7 Abs. 3 DSGVO). Der Widerruf kann über den KI-Assistenten, per E-Mail oder über die REST-API erfolgen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Der Widerruf hat keine Nachteile für die Nutzung von VitalStack.

5. KI-Assistenten und MCP-Schnittstelle

5.1 Wie die KI-Integration funktioniert

VitalStack betreibt eine MCP-Schnittstelle (Model Context Protocol). Wenn Sie Ihren KI-Assistenten (z. B. Claude, ChatGPT) mit VitalStack verbinden, kann Ihr Assistent über diese Schnittstelle Ihre Supplement-Daten abrufen, um Ihnen personalisierte Antworten zu geben.

Wichtig: VitalStack sendet Ihre Daten nicht proaktiv an KI-Anbieter. Der Datenfluss entsteht ausschließlich, wenn Ihr KI-Assistent auf Ihre Anfrage hin eine Abfrage an VitalStack stellt. Sie steuern diese Verbindung vollständig.

5.2 Verantwortlichkeit

VitalStack ist Verantwortlicher für Ihre bei uns gespeicherten Daten. Ihr KI-Anbieter (z. B. Anthropic, OpenAI) ist für die Verarbeitung der von ihm abgerufenen Daten eigenverantwortlich und unterliegt seinen eigenen Datenschutzbestimmungen. VitalStack hat kein Auftragsverarbeitungsverhältnis mit diesen Anbietern.

• Anthropic (Claude) — Datenschutz
• OpenAI (ChatGPT) — Datenschutz

5.3 Zugängliche Datenkategorien

Über die MCP-Schnittstelle kann Ihr KI-Assistent je nach Anfrage zugreifen auf:

• Supplement-Liste (Namen, Dosierungen, Häufigkeit)
• Tages-Logs (Aktivität, Schlafqualität, Notizen)
• Gesundheitsziele und Profildaten

Nicht zugänglich via MCP: Passwort, Zahlungsdaten, E-Mail-Adresse.

VitalStack gibt nur die für die jeweilige Anfrage relevanten Daten zurück (Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO).

5.4 Rechtsgrundlage

Die Bereitstellung der Daten über die MCP-Schnittstelle basiert auf:

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (die MCP-Schnittstelle ist Kernbestandteil des Dienstes)
• Art. 9 Abs. 2 lit. a DSGVO: Ihre ausdrückliche Einwilligung für Gesundheitsdaten

Die Einwilligung erteilen Sie bei der Aktivierung der MCP-Verbindung.

5.5 Widerruf

Sie können die MCP-Verbindung jederzeit in Ihrem KI-Assistenten trennen. VitalStack stellt dann keine Daten mehr bereit. Bereits von Ihrem KI-Anbieter abgerufene Daten können nur direkt bei diesem Anbieter gelöscht werden.

6. Hosting, Auftragsverarbeitung und Drittlandübermittlung

6.1 Datenbank

Ihre Daten werden bei Supabase Inc. in der EU-Region Frankfurt (AWS eu-central-1) gespeichert. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt vor.

6.2 Anwendungs-Hosting

Die Serveranwendung wird über Vercel Inc. (USA) als Serverless-Runtime betrieben (Region Frankfurt, fra1). Vercel dient ausschließlich als Ausführungsumgebung für die Anwendungslogik. Es werden keine personenbezogenen Daten bei Vercel persistent gespeichert; alle Daten werden ausschließlich in der Supabase-Datenbank abgelegt. Vercel verarbeitet Anfragedaten (IP-Adresse, Request-Header) nur transient im Arbeitsspeicher. Es gelten die Vercel Privacy Policy sowie die Garantien des EU-US Data Privacy Frameworks.

6.3 E-Mail-Versand

Magic-Link-E-Mails werden über den integrierten E-Mail-Dienst von Supabase versendet.

6.4 Drittlandübermittlung

(a) Eigene Auftragsverarbeiter: Vercel Inc. ist in den USA ansässig und verarbeitet Anfragedaten transient in der Region Frankfurt. Die Übermittlung erfolgt auf Basis des EU-US Data Privacy Frameworks sowie eines Auftragsverarbeitungsvertrags. Supabase speichert Ihre Daten ausschließlich in der EU (Frankfurt).

(b) KI-Anbieter: VitalStack hat kein Auftragsverarbeitungsverhältnis und keine Standardvertragsklauseln (SCC) mit KI-Anbietern wie Anthropic oder OpenAI. Der Datenabruf erfolgt ausschließlich durch Ihren KI-Assistenten auf Ihre Veranlassung. Anthropic und OpenAI sind in den USA ansässig und als eigenverantwortliche Verantwortliche für die von ihnen abgerufenen Daten zuständig. Es gelten deren eigene Datenschutzbestimmungen.

Hinweis zu Risiken: US-Behörden könnten unter bestimmten Umständen auf Daten bei US-Anbietern zugreifen (z. B. FISA). Wenn Sie dieses Risiko nicht akzeptieren möchten, trennen Sie die MCP-Verbindung in Ihrem KI-Assistenten.

7. Cookies und lokale Speicherung

(1) Der Dienst verwendet keine Tracking-Cookies und keine Analyse-Tools.

(2) Bei der Registrierung wird die Browser-Session-Storage (sessionStorage) temporär genutzt, um Einwilligungen zwischen Login-Seite und Callback-Seite zu übertragen. Diese Daten werden nach der Registrierung automatisch gelöscht und überleben keinen Browser-Neustart.

8. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten korrigieren lassen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer VitalStack-Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht. Wichtiger Hinweis: Die Löschung bei VitalStack ist vollständig. Daten, die Ihr KI-Assistent zuvor über die MCP-Schnittstelle abgerufen hat, können nur direkt beim jeweiligen KI-Anbieter gelöscht werden.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
• Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigten Interessen beruht.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen. Nach dem Widerruf stellt VitalStack keine Daten mehr über die MCP-Schnittstelle bereit. Bereits abgerufene Daten verbleiben beim KI-Anbieter gemäß dessen Richtlinien.

Das Ausüben dieser Rechte hat keine negativen Folgen für die Nutzung von VitalStack.

Zur Ausübung Ihrer Rechte wenden Sie sich an: privacy@vital-stack.com. Wir antworten innerhalb von 30 Tagen.

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für den Anbieter zuständige Aufsichtsbehörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98, 24103 Kiel
Telefon: +49 431 988-1200
E-Mail: mail@datenschutzzentrum.de
Website: www.datenschutzzentrum.de

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die jeweils aktuelle Version ist unter /legal/privacy abrufbar.

Stand: März 2026