Privacy Policy - Sweet Meal Companion

Privacy Policy / Datenschutzerklärung

Created by someone personally affected by diabetes — private, non-commercial project. No medical advice.

Below you’ll find our privacy information in English and German (same structure).

Privacy Policy (EN)

1) Controller & Contact

Controller: Bertil Cochlovius (sole proprietor)
Address: Am Triller 15, 66119 Saarbrücken, Germany
Email: hello@caramella.life

2) What we collect

Account data: email, optional name/avatar.
Profile preferences: units, bread-units, ICR/ISF, targets, reminders, daily meds list.
Health data you enter: meal photos, nutrition estimates, bolus info, diary (sleep/stress/activity, hypos, illness, device changes, weight), notes.
Technical data: device/browser info, IP (short-term), error logs.
Integrations: none currently. No health platform is connected unless you enable it later.

3) Why we process (purposes)

Provide core app features (capture, diary, exports, sync).
Security, fraud prevention, and service stability.
Service messages (e.g., account/security notices).
Quality improvement using aggregated/anonymous statistics.
Legal obligations.

4) Legal bases (GDPR)

Art. 6(1)(b) GDPR – to provide the app at your request.
Art. 6(1)(f) GDPR – legitimate interests in security & stability.
Art. 6(1)(c) GDPR – legal obligations.
Art. 6(1)(a) GDPR – your consent for optional features (e.g., analytics, certain notifications).
Art. 9(2)(a) GDPR – explicit consent for any health data you choose to enter/connect.

5) Retention

Account & app data: kept while your account is active; deleted upon request.
Logs: kept up to 30 days (security/debug), then deleted/anonymized.
Backups: retained up to 30 days before automatic purge.

6) Sharing & processors

Hosting: Hetzner (EU).
Backend/Auth/Storage: Supabase (EU region).
AI processing (meals/voice): OpenAI (may process outside the EEA; SCCs apply).
Email: Hetzner mail services.
Analytics (only with consent): Google Analytics.

7) International transfers

Where data is processed outside the EEA (e.g., by OpenAI or Google), we rely on EU Standard Contractual Clauses (SCCs) and appropriate safeguards.

8) Cookies & local storage

We use essential cookies/local storage for login/session and preferences. Analytics cookies (Google) are used only after your consent via a cookie/consent banner.

9) Your rights

Access, rectification, erasure, restriction, portability (Arts. 15–20 GDPR).
Object to processing based on legitimate interests (Art. 21 GDPR).
Withdraw consent at any time (does not affect past processing).
Complain to your data protection authority.

10) Security

Encryption in transit (TLS), strict access control, least-privilege, and database row-level security. Please keep your login safe.

11) Children

Caramella is not intended for children under 16 without parental consent.

12) Changes

We may update this policy and will indicate the date below.

Last updated: September 23, 2025

Datenschutzerklärung (DE)

1) Verantwortlicher & Kontakt

Verantwortlicher: Bertil Cochlovius (Einzelunternehmen)
Anschrift: Am Triller 15, 66119 Saarbrücken, Deutschland
E-Mail: hello@caramella.life

2) Welche Daten wir verarbeiten

Kontodaten: E-Mail, optional Name/Avatar.
Profileinstellungen: Einheiten, Broteinheiten, ICR/ISF, Zielwerte, Erinnerungen, Medikamentenliste.
Gesundheitsdaten (von Ihnen eingegeben): Essensfotos, Nährwert-Schätzungen, Bolus-Infos, Tagebuch (Schlaf/Stress/Aktivität, Hypos, Krankheit, Gerätemanagement, Gewicht), Notizen.
Technische Daten: Geräte/Browser-Infos, IP (kurzzeitig), Fehlerprotokolle.
Integrationen: derzeit keine. Es werden keine Gesundheitsplattformen verbunden, außer Sie aktivieren dies später.

3) Zwecke der Verarbeitung

Bereitstellung der App-Funktionen (Capture, Tagebuch, Exporte, Sync).
Sicherheit, Missbrauchs- und Betrugsprävention, Stabilität.
Service-Nachrichten (z. B. Konto/Sicherheit).
Qualitätsverbesserung mittels aggregierter/anonymisierter Statistiken.
Erfüllung rechtlicher Pflichten.

4) Rechtsgrundlagen (DSGVO)

Art. 6 Abs. 1 lit. b DSGVO – Bereitstellung der App auf Ihre Anfrage.
Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (Sicherheit & Stabilität).
Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtungen.
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung für optionale Funktionen (z. B. Analytics, bestimmte Benachrichtigungen).
Art. 9 Abs. 2 lit. a DSGVO – ausdrückliche Einwilligung für von Ihnen eingegebene/verbundene Gesundheitsdaten.

5) Speicherdauer

Konto-/App-Daten: solange Ihr Konto aktiv ist; Löschung auf Anfrage.
Protokolle: bis zu 30 Tage (Sicherheit/Debug), danach Löschung/Anonymisierung.
Backups: bis zu 30 Tage, anschließend automatische Löschung.

6) Weitergabe & Auftragsverarbeiter

Hosting: Hetzner (EU).
Backend/Auth/Storage: Supabase (EU-Region).
KI-Verarbeitung (Essen/Stimme): OpenAI (ggf. außerhalb des EWR; SCCs).
E-Mail: Hetzner Mail-Dienste.
Analytics (nur mit Einwilligung): Google Analytics.

7) Drittlandübermittlungen

Bei Verarbeitung außerhalb des EWR (z. B. durch OpenAI oder Google) nutzen wir EU-Standardvertragsklauseln (SCC) und geeignete Schutzmaßnahmen.

8) Cookies & Local Storage

Essenzielle Cookies/Local Storage für Login/Session und Einstellungen. Analytics-Cookies (Google) werden nur nach Ihrer Einwilligung über ein Cookie/Consent-Banner eingesetzt.

9) Ihre Rechte

Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit (Art. 15–20 DSGVO).
Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO).
Widerruf von Einwilligungen jederzeit (ohne Rückwirkung).
Beschwerderecht bei Ihrer Datenschutzaufsichtsbehörde (Saarland).

10) Sicherheit

Verschlüsselung bei Übertragung (TLS), strikte Zugriffskontrollen, Least-Privilege, Row-Level-Security in der Datenbank. Bitte schützen Sie Ihre Zugangsdaten.

11) Kinder

Nicht vorgesehen für Kinder unter 16 Jahren ohne Zustimmung der Sorgeberechtigten.

12) Änderungen

Wir können diese Erklärung anpassen und zeigen das Datum unten an.

Zuletzt aktualisiert: 23.09.2025