Mehr

Datenschutz

Welche Daten gehen wohin · Stand 2026-05-03

Grund-Setup

FamilyHub läuft auf einem privaten Server der Familie Heidrich (hub.heidrich.me, Hetzner Frankfurt). Alle Anwendungs-Daten (PIN-Hash, Sessions, Familien-Inhalte) liegen ausschließlich dort — kein Cloud-Provider, kein Tracking, keine Werbung. Backups verschlüsselt via Restic off-site. SSL via Let’s Encrypt.

Bestimmte Features rufen externe Dienste auf — die folgende Liste ist vollständig und transparent. Wo es sensible Daten betrifft (medizinische Dokumente, Sprachaufnahmen), ist der Trigger im UI ein expliziter User-Tap, kein Hintergrund-Call.

Externe Dienste

Anthropic (Claude)

Policy ↗
Daten
Rezept-Texte, Bon-Fotos, Vertrags-PDFs, U-Heft-Scans, Loyalty-Karten-Fotos, Profil-Korpus für Ernährungs-Agent (inkl. medizinische Doks)
Sitz
USA (Standardvertragsklauseln · Anthropic ist Cloud-Anbieter, trainiert nicht auf API-Inputs)
Zweck
Vision-Extraktion (Foto → strukturierte Daten), Web-Suche, Kochvorschläge, Voice-Intent-Klassifikation
Wann
Wenn du ein Foto hochlädst, eine PDF importierst oder den Ernährungs-Agent nutzt.

OpenStreetMap (Overpass-API)

Policy ↗
Daten
Aktuelle GPS-Position (Breite/Länge, ~10m Genauigkeit)
Sitz
Deutschland · gemeinnützige OSM Foundation
Zweck
POI-Lookup für Wallet „In deiner Nähe“-Banner (welche Stores in 250m Umkreis matchen deinen Wallet-Karten)
Wann
Wenn du `/wallet` öffnest und Standort-Permission gegeben hast. Foreground-only, keine Hintergrund-Tracking.

OpenFoodFacts

Policy ↗
Daten
Barcode-Nummern (EAN-8/13, UPC-12)
Sitz
Frankreich · gemeinnützige OFF Association
Zweck
Produkt-Lookup für Vorrat (Name + Kategorie aus Barcode), Wein-Lookup (Etikett-Daten)
Wann
Wenn du einen Barcode scannst.

Open-Meteo

Policy ↗
Daten
GPS-Position
Sitz
Deutschland · privates Wetter-API ohne Tracking
Zweck
Wettervorhersage auf der Startseite
Wann
Beim Öffnen der Startseite, wenn Standort-Permission gegeben.

Chefkoch.de

Policy ↗
Daten
Such-Strings (z.B. „frau holle kuchen“), keine User-IDs
Sitz
Deutschland
Zweck
Rezept-Web-Suche im Import-Tab + JSON-LD-Scraping bei direktem URL-Import
Wann
Wenn du im Rezept-Import die Web-Suche oder einen Chefkoch-Link nutzt.

wger.de + ExerciseDB

Policy ↗
Daten
Übungs-IDs, Such-Strings
Sitz
Deutschland (wger), USA (ExerciseDB)
Zweck
Übungs-Bilder, GIFs und Videos für Workouts
Wann
Wenn du im Sport-Modul Workouts erstellst oder den Coach-Modus nutzt.

X-Wines Dataset

Policy ↗
Daten
Lokal in unserer DB (kein Server-Roundtrip)
Sitz
Brasilien (de Azambuja, Morais, Filipe — MDPI 2023)
Zweck
Wein-Profil-Lookup (Region/Rebsorte/Body/Säure/Pairing)
Wann
Lokal — kein externer Call. Daten wurden einmalig importiert.

MinIO (S3-Speicher)

Policy ↗
Daten
Hochgeladene Fotos (Profilbilder, Rezeptbilder)
Sitz
Selbst-gehostet auf eigenem Server (s3.heidrich.me)
Zweck
Bild-Speicher
Wann
Wenn du ein Foto in der App hochlädst.

OpenAI Whisper (optional, deaktiviert)

Policy ↗
Daten
Sprachaufnahmen (4-12 Sek)
Sitz
USA (OpenAI sagt: kein Training auf API-Inputs ab März 2023)
Zweck
Voice-Transkription wenn iOS-PWA-SpeechRecognition versagt
Wann
Aktuell im UI deaktiviert. Endpoint vorhanden für späteren Einsatz.

Wenn du etwas widerrufst

  • Standort-Permission entziehen → Wallet „In der Nähe“ + Wetter funktionieren nicht mehr (App läuft sonst weiter).
  • Mikrofon-Permission entziehen → Voice-Befehle gehen nicht. Tastatur-Diktat (iOS-Mikro auf der Tastatur) funktioniert weiterhin lokal.
  • Module einzeln ausschalten in Einstellungen → keine API-Calls mehr für das jeweilige Feature (z.B. Verträge-PDF-Import an Anthropic).
  • Account/Familie löschen → kompletter SQLite-Eintrag inkl. aller Threads, Bilder und Audit-Log wird entfernt.

Wenn die App jemals an externe Familien geteilt wird, wird zusätzlich eine vollständige DSGVO-Datenschutzerklärung mit AVV-Verträgen, Impressum und Einwilligungs-Dialog ergänzt.