Datenschutzerklärung
Stand: 1. Juni 2026
Der Schutz deiner personenbezogenen Daten ist uns wichtig. Diese Datenschutzerklärung informiert dich gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche Daten bei der Nutzung der Website getstashmate.com und der mobilen App StashMate verarbeitet werden.
Grundsatz: StashMate ist „local-first“ aufgebaut. Die App funktioniert ohne Benutzerkonto. Standardmäßig verbleiben alle von dir erfassten Daten ausschließlich auf deinem Gerät. Eine Übertragung an uns oder an Dritte findet nur in den nachfolgend ausdrücklich beschriebenen Fällen statt (Produktsuche, optionale Haushalt-Funktion, Kaufabwicklung).
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO:
Andre Sanders Software
Pattweg 7
49179 Ostercappeln
Deutschland
E-Mail:
andre.sanders.software@gmail.com
Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt, da die Voraussetzungen des Art. 37 DSGVO bzw. § 38 BDSG nicht vorliegen.
2. Überblick — welche Daten, wann
- Auf dem Gerät (App): deine Vorratsdaten und Einstellungen — verlassen das Gerät nicht.
- Produktsuche: nur die Barcode-Nummer (EAN) wird an Open Food Facts gesendet.
- Haushalt teilen (Pro, optional): Synchronisierung über Google Firebase in der EU.
- Kauf von Pro: Abwicklung über den App-Store und RevenueCat.
- Besuch der Website: technische Server-Logfiles unseres Hosters.
3. Besuch der Website (getstashmate.com)
3.1 Server-Logfiles
Beim Aufruf der Website erhebt unser Hosting-Anbieter automatisch Informationen in sogenannten Server-Logfiles: die IP-Adresse des anfragenden Geräts, Datum und Uhrzeit des Zugriffs, die abgerufene Datei, die übertragene Datenmenge, die zuvor besuchte Seite (Referrer) sowie Browser- und Betriebssystem-Informationen. Diese Daten sind technisch erforderlich, um die Website auszuliefern, ihre Stabilität und Sicherheit zu gewährleisten und Missbrauch abzuwehren. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und störungsfreien Betrieb). Die Logfiles werden nach 8 Wochen gelöscht. Mit dem Hosting-Anbieter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
Hosting-Anbieter: IONOS Deutschland, IONOS SE Elgendorfer Str. 57 56410 Montabaur.
3.2 Schriftarten
Die verwendeten Schriftarten werden lokal von unserem eigenen Server ausgeliefert. Es besteht dabei keine Verbindung zu Servern Dritter (insbesondere nicht zu Google Fonts), und es wird keine IP-Adresse an Dritte übertragen.
3.3 Spracheinstellung (lokale Speicherung)
Deine gewählte Sprache speichern wir im lokalen Speicher deines Browsers (localStorage, Schlüssel „sm_lang“), damit die Seite bei deinem nächsten Besuch in der richtigen Sprache erscheint. Es handelt sich um eine rein funktionale Speicherung; es findet kein Tracking statt und es werden keine Werbe- oder Analyse-Cookies gesetzt. Da die Speicherung für die von dir gewünschte Funktion unbedingt erforderlich ist, ist sie nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig. Du kannst sie jederzeit über die Einstellungen deines Browsers löschen.
3.4 Kontaktaufnahme
Wenn du uns per E-Mail kontaktierst, verarbeiten wir die von dir mitgeteilten Daten (z. B. E-Mail-Adresse, Name, Inhalt der Nachricht) ausschließlich zur Bearbeitung deines Anliegens. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (sofern dein Anliegen auf einen Vertrag gerichtet ist) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Die Daten werden gelöscht, sobald sie nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
4. Nutzung der App (StashMate)
4.1 Lokale Speicherung auf dem Gerät
Produktnamen, Notizen, Barcodes, das Öffnungsdatum, Erinnerungszeiten sowie deine Einstellungen (Benachrichtigungsfenster, übliche Mahlzeitenzeiten, Tarif) werden ausschließlich lokal in der app-internen Datenbank (SQLite bzw. Gerätespeicher) gespeichert. Solange du die App allein nutzt, verlassen diese Daten dein Gerät nicht und werden weder an uns noch an Dritte übertragen. Da keine Übermittlung an uns erfolgt und keine Konten bestehen, verarbeiten wir diese Inhalte nicht auf eigenen Systemen.
4.2 Produktsuche (Open Food Facts)
Beim Scannen eines Barcodes wird ausschließlich die Barcode-Nummer (EAN) verschlüsselt (HTTPS) an die Datenbank Open Food Facts gesendet, um den Produktnamen abzurufen. Es werden keine von dir erfassten Inhalte, keine Geräte-Identifikatoren und keine Standortdaten übertragen. Technisch bedingt wird bei jeder Verbindung deine IP-Adresse an den angefragten Server übermittelt. Empfänger ist der gemeinnützige Betreiber von Open Food Facts (Open Food Facts, Frankreich/EU). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung dieser Kernfunktion) bzw. Art. 6 Abs. 1 lit. f DSGVO. Es gilt zusätzlich die eigene Datenschutzerklärung von Open Food Facts.
4.3 Haushalt teilen (Pro-Funktion, optional)
Diese Verarbeitung findet nur statt, wenn du aktiv einen Haushalt erstellst oder über einen QR-Code einem Haushalt beitrittst. In diesem Fall erstellt die App eine anonyme Authentifizierung über Google Firebase (es werden weder Name noch E-Mail abgefragt) und synchronisiert die Produkte dieses Haushalts über Google Cloud Firestore, damit alle Mitglieder denselben Vorrat sehen. Die Speicherung erfolgt in der EU-Region (Frankfurt, europe-west3). Dabei können eine anonyme Nutzerkennung sowie Verbindungsdaten (u. a. IP-Adresse) verarbeitet werden. Empfänger bzw. Auftragsverarbeiter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (sowie ggf. Google LLC, USA). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der von dir angeforderten Funktion). Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Zu einer möglichen Übermittlung in die USA siehe Abschnitt 5. Nutzt du die Haushalt-Funktion nicht, findet keine dieser Verarbeitungen statt und die App kontaktiert keine Cloud.
4.4 Kauf von StashMate Pro (App-Store und RevenueCat)
Der Kauf von StashMate Pro wird über den jeweiligen App-Store (Google Play Store bzw. Apple App Store) abgewickelt. Die Zahlungsabwicklung erfolgt ausschließlich durch den Store-Betreiber; wir erhalten keine Zahlungs-, Kreditkarten- oder Kontodaten.
Zur Verwaltung und Wiederherstellung deiner Kaufberechtigung („Pro“) setzen wir den Dienst RevenueCat (RevenueCat, Inc., San Francisco, USA) ein. RevenueCat verarbeitet in unserem Auftrag eine anonyme App-Nutzer-ID, Kauf- und Transaktionsdaten (gekauftes Produkt, Kaufzeitpunkt, Status der Berechtigung), die App-Version sowie gerätebezogene technische Daten (z. B. Plattform, Land, ggf. IP-Adresse). Zweck ist die Bereitstellung und Wiederherstellung der gekauften Funktionen sowie die Vermeidung von Missbrauch. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Kaufverwaltung). Es besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Zur Übermittlung in die USA siehe Abschnitt 5. Hinweis: RevenueCat wird beim Start der App initialisiert, um deine aktuell gültige Berechtigung zu prüfen.
4.5 Kamera
Die Kamera wird ausschließlich zum Scannen von Produkt-Barcodes verwendet. Es werden keine Fotos aufgenommen, gespeichert oder übertragen. Der Zugriff erfolgt erst nach deiner Freigabe über das Betriebssystem und kann dort jederzeit widerrufen werden.
4.6 Benachrichtigungen
Erinnerungen werden ausschließlich lokal auf deinem Gerät geplant. Es werden keine Push-Tokens erzeugt und keine Benachrichtigungen über einen Server zugestellt. Die Erlaubnis für Benachrichtigungen fragt das Betriebssystem ab (Android 13+ bzw. iOS).
5. Empfänger und Übermittlung in Drittländer
Personenbezogene Daten geben wir nur in dem oben beschriebenen Umfang an die genannten Empfänger weiter: unseren Hosting-Anbieter (EU), Open Food Facts (EU/Frankreich), Google (Firebase, EU; ggf. USA), RevenueCat (USA) sowie den jeweiligen App-Store-Betreiber.
Soweit dabei Daten in die USA übermittelt werden (insbesondere Google und RevenueCat), erfolgt dies auf Grundlage von Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder, soweit der jeweilige Anbieter zertifiziert ist, auf Grundlage des Angemessenheitsbeschlusses zum EU-US Data Privacy Framework (Art. 45 DSGVO). Eine Kopie der jeweiligen Garantien stellen wir auf Anfrage zur Verfügung.
6. Speicherdauer
Lokale App-Daten bleiben gespeichert, bis du sie in der App löschst oder die App deinstallierst (dabei werden alle lokalen Daten entfernt). Server-Logfiles werden vom Hoster kurzfristig gelöscht (siehe 3.1). Kauf- und Berechtigungsdaten werden so lange verarbeitet, wie es zur Vertragsabwicklung erforderlich ist bzw. gesetzliche Aufbewahrungsfristen bestehen. Haushaltsdaten in Firebase werden gelöscht, sobald du den Haushalt verlässt oder löschst.
7. Deine Rechte
Dir stehen nach der DSGVO folgende Rechte zu: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f beruhen (Art. 21). Soweit eine Verarbeitung auf einer Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3).
Zur Ausübung deiner Rechte genügt eine E-Mail an andre.sanders.software@gmail.com.
Unabhängig davon hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen). Du kannst dich auch an die Aufsichtsbehörde deines üblichen Aufenthaltsorts wenden.
8. Keine automatisierte Entscheidungsfindung
Es findet keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO statt.
9. Kinder
Die App richtet sich nicht an Kinder. Wir erheben nicht wissentlich personenbezogene Daten von Personen, für die nach geltendem Recht eine elterliche Einwilligung erforderlich wäre.
10. Hinweise für Nutzer außerhalb der EU
10.1 Vereinigtes Königreich (UK GDPR)
Für Nutzer im Vereinigten Königreich gelten die vorstehenden Rechte entsprechend dem UK GDPR und dem Data Protection Act 2018. Beschwerden können an das Information Commissioner's Office (ICO) gerichtet werden.
10.2 Schweiz (revDSG)
Für Nutzer in der Schweiz gilt zusätzlich das revidierte Schweizer Datenschutzgesetz (revDSG). Du hast vergleichbare Rechte auf Auskunft und Berichtigung; zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
10.3 Kalifornien (CCPA/CPRA)
Wenn du in Kalifornien wohnst: Wir „verkaufen“ deine personenbezogenen Daten nicht und geben sie nicht für verhaltensbasierte Werbung weiter („share“ im Sinne des CCPA/CPRA). Dir stehen Rechte auf Auskunft, Löschung, Berichtigung sowie auf Nichtdiskriminierung bei deren Ausübung zu. Zur Ausübung kannst du die oben genannte Kontaktadresse nutzen.
11. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich die angebotenen Funktionen oder die rechtlichen Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar; das Datum oben weist den aktuellen Stand aus.
Privacy Policy
Last updated: 1 June 2026
Protecting your personal data matters to us. This privacy policy informs you, in accordance with Articles 13 and 14 of the General Data Protection Regulation (GDPR), about the data processed when you use the website getstashmate.com and the StashMate mobile app.
Core principle: StashMate is built “local-first”. The app works without a user account. By default, everything you enter stays exclusively on your device. Data is transmitted to us or to third parties only in the cases expressly described below (product lookup, optional Household feature, purchase processing).
1. Controller
The controller responsible for data processing within the meaning of Art. 4(7) GDPR is:
Andre Sanders Software
Pattweg 7
49179 Ostercappeln
Germany
Email:
andre.sanders.software@gmail.com
No data protection officer has been appointed, as the conditions of Art. 37 GDPR / § 38 BDSG are not met.
2. Overview — what data, and when
- On your device (app): your inventory data and settings — never leave the device.
- Product lookup: only the barcode number (EAN) is sent to Open Food Facts.
- Household sharing (Pro, optional): synchronisation via Google Firebase in the EU.
- Buying Pro: handled by the app store and RevenueCat.
- Visiting the website: technical server log files kept by our host.
3. Visiting the website (getstashmate.com)
3.1 Server log files
When you access the website, our hosting provider automatically collects information in server log files: the requesting device's IP address, the date and time of access, the file requested, the volume of data transferred, the referring page, and browser and operating-system information. This data is technically necessary to deliver the website, ensure its stability and security, and prevent misuse. The legal basis is Art. 6(1)(f) GDPR (legitimate interest in secure, uninterrupted operation). Log files are deleted after 8 weeks. A data processing agreement under Art. 28 GDPR is in place with the hosting provider.
Hosting provider: IONOS Germany, IONOS SE Elgendorfer Str. 57 56410 Montabaur.
3.2 Web fonts
The fonts used are served locally from our own server. No connection to third-party servers (in particular Google Fonts) is made, and no IP address is transmitted to any third party.
3.3 Language preference (local storage)
We store your chosen language in your browser's local storage (localStorage, key “sm_lang”) so the site appears in the right language on your next visit. This is purely functional storage; no tracking takes place and no advertising or analytics cookies are set. As this storage is strictly necessary for the function you requested, it is permitted without consent under § 25(2)(2) TDDDG. You can delete it at any time via your browser settings.
3.4 Contacting us
If you contact us by email, we process the data you provide (e.g. email address, name, message content) solely to handle your request. The legal basis is Art. 6(1)(b) GDPR (where your request relates to a contract) or Art. 6(1)(f) GDPR (legitimate interest in answering enquiries). The data is deleted once it is no longer required and no statutory retention obligations apply.
4. Using the app (StashMate)
4.1 Local storage on your device
Product names, notes, barcodes, the opened date, reminder times and your settings (notification window, usual meal times, plan) are stored exclusively in the app's local database (SQLite / device storage). As long as you use the app alone, this data never leaves your device and is transmitted neither to us nor to any third party. Because no transmission to us takes place and no accounts exist, we do not process this content on any of our own systems.
4.2 Product lookup (Open Food Facts)
When you scan a barcode, only the barcode number (EAN) is sent — encrypted via HTTPS — to the Open Food Facts database to look up the product name. None of the content you entered, no device identifiers and no location data are transmitted. For technical reasons, your IP address is transmitted to the requested server with every connection. The recipient is the non-profit operator of Open Food Facts (Open Food Facts, France/EU). The legal basis is Art. 6(1)(b) GDPR (providing this core function) or Art. 6(1)(f) GDPR. Open Food Facts' own privacy policy applies in addition.
4.3 Household sharing (Pro feature, optional)
This processing only takes place if you actively create a Household or join one via a QR code. In that case the app creates an anonymous authentication through Google Firebase (neither name nor email is requested) and synchronises that Household's items via Google Cloud Firestore so all members see the same inventory. Storage takes place in the EU region (Frankfurt, europe-west3). An anonymous user identifier and connection data (including IP address) may be processed. The recipient/processor is Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland (and possibly Google LLC, USA). The legal basis is Art. 6(1)(b) GDPR (providing the feature you requested). A data processing agreement under Art. 28 GDPR is in place. For any transfer to the USA, see section 5. If you do not use Household sharing, none of this processing occurs and the app contacts no cloud.
4.4 Buying StashMate Pro (app store and RevenueCat)
Purchasing StashMate Pro is handled by the respective app store (Google Play Store or Apple App Store). Payment is processed solely by the store operator; we receive no payment, credit card or bank details.
To manage and restore your purchase entitlement (“Pro”), we use the service RevenueCat (RevenueCat, Inc., San Francisco, USA). On our behalf, RevenueCat processes an anonymous app user ID, purchase and transaction data (product purchased, time of purchase, entitlement status), the app version and device-related technical data (e.g. platform, country, possibly IP address). The purpose is to provide and restore purchased features and to prevent misuse. The legal basis is Art. 6(1)(b) GDPR (performance of a contract) and Art. 6(1)(f) GDPR (legitimate interest in reliable purchase management). A data processing agreement under Art. 28 GDPR is in place. For transfer to the USA, see section 5. Note: RevenueCat is initialised on app start to check your currently valid entitlement.
4.5 Camera
The camera is used solely to scan product barcodes. No photos are taken, stored or transmitted. Access only occurs after you grant permission via the operating system, and can be revoked there at any time.
4.6 Notifications
Reminders are scheduled exclusively on your device. No push tokens are generated and no notifications are delivered through any server. Permission for notifications is requested by the operating system (Android 13+ or iOS).
5. Recipients and transfers to third countries
We disclose personal data only to the extent described above and only to the recipients named: our hosting provider (EU), Open Food Facts (EU/France), Google (Firebase, EU; possibly USA), RevenueCat (USA), and the respective app store operator.
Where data is transferred to the USA in the process (in particular Google and RevenueCat), this is done on the basis of the EU Commission's Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR and/or, where the provider is certified, on the basis of the adequacy decision for the EU-US Data Privacy Framework (Art. 45 GDPR). We will provide a copy of the relevant safeguards on request.
6. Retention period
Local app data remains stored until you delete it in the app or uninstall the app (which removes all local data). Server log files are deleted shortly by the host (see 3.1). Purchase and entitlement data is processed for as long as necessary to perform the contract or to comply with statutory retention periods. Household data in Firebase is deleted as soon as you leave or delete the Household.
7. Your rights
Under the GDPR you have the following rights: access (Art. 15), rectification (Art. 16), erasure (Art. 17), restriction of processing (Art. 18), data portability (Art. 20) and objection to processing based on Art. 6(1)(f) (Art. 21). Where processing is based on consent, you may withdraw it at any time with effect for the future (Art. 7(3)).
To exercise your rights, simply email andre.sanders.software@gmail.com.
You also have the right to lodge a complaint with a data protection supervisory authority (Art. 77 GDPR). The authority responsible for us is the State Commissioner for Data Protection of Lower Saxony (LfD Niedersachsen). You may also contact the authority of your habitual residence.
8. No automated decision-making
No solely automated decision-making, including profiling, within the meaning of Art. 22 GDPR takes place.
9. Children
The app is not directed at children. We do not knowingly collect personal data from individuals for whom parental consent would be required under applicable law.
10. Notes for users outside the EU
10.1 United Kingdom (UK GDPR)
For users in the United Kingdom, the rights above apply correspondingly under the UK GDPR and the Data Protection Act 2018. Complaints may be addressed to the Information Commissioner's Office (ICO).
10.2 Switzerland (revFADP)
For users in Switzerland, the revised Swiss Federal Act on Data Protection (revFADP/revDSG) additionally applies. You have comparable rights of access and rectification; the competent authority is the Federal Data Protection and Information Commissioner (FDPIC).
10.3 California (CCPA/CPRA)
If you reside in California: we do not “sell” your personal data and do not “share” it for behavioural advertising within the meaning of the CCPA/CPRA. You have the rights to know, delete, correct, and to non-discrimination for exercising them. To exercise these rights, use the contact address above.
11. Changes to this privacy policy
We will update this privacy policy when the features offered or the legal framework change. The current version is always available on this page; the date above indicates its current status.