Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher

Elias Tausch
Straße der AWG 8
09600 Weißenborn
Deutschland
E-Mail: [email protected]

Sollten Sie Fragen zum Datenschutz haben, können Sie sich jederzeit per E-Mail an uns wenden.

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen gemäß § 38 BDSG hielfür nicht vorliegen.

2. Übersicht der Datenverarbeitung

Lucullioo ist eine webbasierte Rezeptverwaltungs-App, die es registrierten Nutzern ermöglicht, Rezepte zu speichern, in Ordnern zu organisieren, Einkaufslisten zu erstellen, einen Wochenplan zu führen und Rezepte mit der Community zu teilen. Die folgende Datenschutzerklärung informiert Sie darüber, welche personenbezogenen Daten wir erheben, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht.

3. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen der Datenschutz-Grundverordnung (DSGVO):

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Funktionale Cookies und localStorage-Speicherung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) – Bereitstellung des Benutzerkontos, der Rezeptverwaltung, Einkaufslisten und Community-Funktionen.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Gewährleistung der IT-Sicherheit, Schutz vor Missbrauch (Rate-Limiting), Bereitstellung der Website (Server-Logfiles).

4. Hosting

Unsere Website wird bei der Strato AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland, gehostet. Die Serververwaltung erfolgt über Plesk. Beim Aufruf unserer Website werden durch den Hosting-Anbieter automatisch Informationen in Server-Logfiles gespeichert, die Ihr Browser übermittelt. Dazu gehören:

IP-Adresse des anfragenden Geräts
Datum und Uhrzeit des Zugriffs
Name und URL der abgerufenen Seite
Verwendeter Browser und Betriebssystem
Referrer-URL (zuvor besuchte Seite)

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der Bereitstellung und Sicherheit der Website (Art. 6 Abs. 1 lit. f DSGVO). Die Logfiles werden nach 7 Tagen automatisch gelöscht, sofern sie nicht zur Aufklärung von Missbrauch benötigt werden.

Auftragsverarbeitungsvertrag: Wir haben mit der Strato AG einen Vertrag zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO geschlossen.

5. Content Delivery & Sicherheit (Cloudflare)

Wir nutzen Dienste der Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA, zum Schutz unserer Website und zur Verbesserung der Ladezeiten. Dabei werden alle Anfragen an unsere Website über Server von Cloudflare geleitet. Cloudflare kann dabei folgende Daten verarbeiten: IP-Adresse, Sicherheitscookies, Performance-Daten.

Cloudflare ist zertifiziert nach dem EU-U.S. Data Privacy Framework (DPF). Zusätzlich setzen wir auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als Grundlage für die Datenübermittlung in die USA.

Rechtsgrundlage: Berechtigtes Interesse an der sicheren und effizienten Bereitstellung unserer Website (Art. 6 Abs. 1 lit. f DSGVO).

6. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile Ihres Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

7. Cookies und lokale Speicherung

Wir setzen Cookies und vergleichbare Technologien (localStorage) ein. Beim ersten Besuch unserer Website werden Sie über ein Cookie-Banner über die eingesetzten Technologien informiert und können Ihre Einwilligung erteilen oder ablehnen. Essenzielle Cookies werden ohne Einwilligung gesetzt, da sie für den Betrieb der Website technisch notwendig sind (§ 25 Abs. 2 TDDDG).

Name	Typ	Zweck	Dauer
PHPSESSID	Essenziell	Sitzungsverwaltung und Authentifizierung	Sitzungsende (max. 4 Std.)
cookieConsent	Essenziell	Speicherung Ihrer Cookie-Einwilligung	Unbegrenzt (localStorage)
appState / currentSection	Funktional	Wiederherstellung des letzten Seitenzustands	Unbegrenzt (localStorage)
lastRecipeUser	Funktional	Automatische Vorbefüllung des E-Mail-Felds beim Login	Unbegrenzt (localStorage)
__cf_bm / cf_clearance	Essenziell	Cloudflare Bot-Schutz und Sicherheitsprüfung	30 Min. / Sitzungsende

Sie können Ihre Einwilligung zu funktionalen Cookies jederzeit über den Link „Cookie-Einstellungen“ im Fußbereich der Seite widerrufen. Darüber hinaus können Sie Cookies jederzeit in den Einstellungen Ihres Browsers löschen.

8. Registrierung und Benutzerkonto

Für die Nutzung der Rezeptverwaltung ist eine Registrierung erforderlich. Dabei werden folgende Daten erhoben:

E-Mail-Adresse – zur Identifikation und Kommunikation
Passwort – verschlüsselt gespeichert mittels bcrypt-Hashing
Nickname – als öffentlicher Anzeigename in der Community
Kontosprache – die bei der Registrierung gewählte Sprache der Benutzeroberfläche (Deutsch, Englisch, Polnisch oder Spanisch)

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Ihr Passwort wird zu keinem Zeitpunkt im Klartext gespeichert.

9. E-Mail-Verifizierung

Nach der Registrierung erhalten Sie eine E-Mail mit einem Verifizierungslink. Dieser Vorgang dient der Sicherstellung, dass die angegebene E-Mail-Adresse Ihnen gehört. Der Verifizierungstoken wird serverseitig generiert und nach erfolgreicher Verifizierung gelöscht.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. Rezeptverwaltung und Inhaltsdaten

Im Rahmen der Nutzung unserer App werden folgende Inhaltsdaten verarbeitet:

Rezepte (Titel, Zutaten, Zubereitungsschritte, Bilder, Kategorien, optionale Nährwertangaben)
Ordnerstrukturen und Zuordnungen
Einkaufslisten
Mahlzeitenpläne (geplante Rezepte je Tag und Mahlzeit)
Bewertungen und Kommentare
Rezept-Verknüpfungen (Pairings): welche Rezepte miteinander verknüpft wurden und von wem
Geteilte Zugriffe: Protokoll darüber, wer über einen Einladungscode auf einen geteilten Ordner oder ein geteiltes Rezept zugegriffen hat

Diese Daten werden ausschließlich zur Bereitstellung der vertraglich vereinbarten Dienste verarbeitet (Art. 6 Abs. 1 lit. b DSGVO) und in einer MySQL-Datenbank auf den Servern unseres Hosting-Anbieters gespeichert.

11. Community-Funktionen und soziale Interaktionen

Registrierte Nutzer können eigene Rezepte mit der Community teilen. Dabei werden der Rezeptinhalt, Ihr Nickname sowie der Zeitpunkt der Veröffentlichung öffentlich sichtbar angezeigt. Ihre E-Mail-Adresse wird nicht öffentlich angezeigt.

Rezept-Verknüpfungen (Pairings): Nutzer können eigene Rezepte mit Rezepten anderer Nutzer verknüpfen. Dabei wird dem Empfänger einer Verknüpfungsanfrage Ihr Nickname sowie der Titel des verknüpften Rezepts angezeigt. Der Empfänger kann die Anfrage annehmen oder ablehnen. Angenommene Verknüpfungen sind für beide Parteien in der Rezeptansicht sichtbar.

Teilen per Einladungscode: Nutzer können Rezepte und Ordner über einen persönlichen Einladungscode teilen. Beim Abruf über einen solchen Code wird der Zugriff protokolliert (Nutzer-ID, Rezept- bzw. Ordner-ID, Zeitpunkt).

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Bitte beachten Sie, dass veröffentlichte Inhalte von anderen Nutzern eingesehen werden können. Vermeiden Sie die Veröffentlichung personenbezogener Daten Dritter in Rezepten.

12. Google reCAPTCHA

Zum Schutz vor automatisierten Anfragen und Spam (insbesondere bei der Registrierung und beim Login) setzen wir Google reCAPTCHA v2 ein, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“).

reCAPTCHA v2 zeigt dem Nutzer ein interaktives Widget an, über das bestätigt wird, dass es sich um einen Menschen handelt. Dabei können folgende Daten an Google übermittelt werden:

IP-Adresse
Informationen über Browser und Betriebssystem
Interaktionen mit dem reCAPTCHA-Widget
Referrer-URL

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses am Schutz der Website vor missbräuchlichen automatisierten Zugriffen (Art. 6 Abs. 1 lit. f DSGVO). Ein Einsatz ohne Einwilligung ist nach § 25 Abs. 2 Nr. 2 TDDDG zulässig, da reCAPTCHA ausschließlich dem Schutz vor technischem Missbrauch dient.

Es kann nicht ausgeschlossen werden, dass Daten an Server von Google in den USA übermittelt werden. Google ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert; zusätzlich bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von Google sowie in den Nutzungsbedingungen für reCAPTCHA.

13. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten gemäß Art. 32 DSGVO. Dazu gehören insbesondere:

SSL-/TLS-Verschlüsselung der gesamten Kommunikation
Passwort-Hashing mit bcrypt (kein Klartext)
Session-Cookies mit HttpOnly- und SameSite-Flag
Rate-Limiting bei Anmeldeversuchen zum Schutz vor Brute-Force-Angriffen
Prepared Statements zum Schutz gegen SQL-Injection
Output-Escaping zum Schutz gegen Cross-Site-Scripting (XSS)

14. Weitergabe von Daten an Dritte

Wir geben Ihre personenbezogenen Daten grundsätzlich nicht an Dritte weiter, es sei denn:

Sie haben ausdrücklich eingewilligt (Art. 6 Abs. 1 lit. a DSGVO),
dies ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO),
eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), oder
ein berechtigtes Interesse besteht und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe haben (Art. 6 Abs. 1 lit. f DSGVO).

Folgende Auftragsverarbeiter werden eingesetzt:

Strato AG (Hosting, Deutschland)
Cloudflare Inc. (CDN & Sicherheit, USA)
Google Ireland Ltd. (reCAPTCHA, Irland/USA)

15. Übermittlung in Drittländer

Durch den Einsatz von Cloudflare und Google reCAPTCHA können Daten in die USA übermittelt werden. Beide Unternehmen sind unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Zusätzlich bestehen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO als ergänzende Schutzgarantie.

16. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist:

Kontodaten – bis zur Löschung Ihres Benutzerkontos
Rezepte und Inhaltsdaten – bis zur Löschung durch Sie oder bis zur Kontolöschung
Server-Logfiles – maximal 7 Tage
Verifizierungstokens – bis zur erfolgreichen Verifizierung oder nach Ablauf der Gültigkeitsdauer
Zugriffsprotokolle (geteilte Rezepte und Ordner) – 12 Monate ab letzter Nutzung (accessed_at); Einträge werden automatisch bei jedem Aufruf von share.php bereinigt

17. Ihre Rechte als betroffene Person

Ihnen stehen gemäß DSGVO folgende Rechte zu:

Auskunft (Art. 15 DSGVO) – Sie können Auskunft darüber verlangen, welche Daten wir über Sie gespeichert haben.
Berichtigung (Art. 16 DSGVO) – Sie können die Korrektur unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen. Bei Lucullioo können Sie Ihr Konto jederzeit über die „Konto löschen“-Funktion selbst entfernen.
Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, dass wir Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format an Sie oder einen anderen Verantwortlichen übermitteln.
Widerspruch (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigten Interessen beruht.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an die oben genannte Adresse.

18. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Sie können sich an die Aufsichtsbehörde Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes wenden.

19. Löschung des Benutzerkontos

Sie können Ihr Benutzerkonto jederzeit über die „Konto löschen“-Funktion in Ihrem Benutzermenü entfernen. Bei der Löschung werden sämtliche zugeordneten Daten (Rezepte, Ordner, Bewertungen, Einkaufslisten, Community-Beiträge) unwiderruflich gelöscht. Eine Wiederherstellung ist nach der Löschung nicht möglich.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen umzusetzen. Das Datum der letzten Aktualisierung finden Sie oben auf dieser Seite.