Wir stellen Dir mit glucura (im Folgenden die „App“) eine mobile App zur Verfügung, die Du auf Dein mobiles Endgerät herunterladen kannst und informieren Dich nachfolgend über die Erhebung und Verarbeitung personenbezogener Daten bei Nutzung dieser mobilen App.
Anbieter der App ist die Perfood GmbH, Am Spargelhof 2, 23554 Lübeck, help@mail.perfood.com. Die Perfood GmbH ist auch der datenschutzrechtlich Verantwortliche gemäß Art. 4 Abs. 7 EU- Datenschutz-Grundverordnung (DS-GVO) für die Verarbeitung von personenbezogenen Daten der App-Nutzer.
Für die technische Entwicklung, Bereitstellung, den Betrieb und die Wartung dieser App setzt die Perfood GmbH die Perfood Laboratories GmbH als IT-Dienstleisterin ein. Die Perfood Laboratories GmbH verarbeitet personenbezogene Daten der App-Nutzer ausschließlich im Auftrag und nach Weisung der Perfood GmbH auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Die Perfood Laboratories GmbH erbringt insbesondere Leistungen in den Bereichen Softwareentwicklung, Betrieb der Server- und Cloud-Infrastruktur, Wartung, Fehleranalyse sowie technische Unterstützung. Eine Verarbeitung personenbezogener Daten zu eigenen Zwecken der Perfood Laboratories GmbH findet nicht statt. Die Perfood GmbH bleibt auch bei Einsatz der Perfood Laboratories GmbH datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.
Externer Datenschutzbeauftragter:
Rechtsanwälte Klostermann Schmidt Monstadt Eisbrecher Rechtsanwalt Mehmet Yildirim Kortumstr. 100, 44787 Bochum E-Mail: Yildirim@klostermann.eu
Solltest Du Fragen zu unseren Datenschutzmaßnahmen, zur Verarbeitung Deiner Daten oder bezüglich der Wahrung Deiner Betroffenenrechte haben, erreichst Du uns unter folgenden Kontaktdaten:
E-Mail: security@perfood.de
glucura ist eine Digitale Gesundheitsanwendung (DiGA) gem. §33 a SGB V zur Unterstützung in der Therapie von Diabetes Mellitus Typ 2. Zielsetzung ist die Reduktion der postprandialen Blutzuckervariabilität durch personalisierte Ernährungsempfehlungen. Zudem können über glucura weitere Lebensstilfaktoren, bspw. sportliche Aktivitäten, Medikation, Schlaf und Befinden von Patient*innen erfasst werden. Die erfassten Informationen werden für Patient*innen aufbereitet, um selbstständig Lebensstilanpassungen durchführen zu können, die der Reduktion des Langzeitblutzucker, dem HbA1c-Wert, dienen. Die Ergebnisse können exportiert werden, um sie mit behandelnden Ärzt*innen zu teilen. Durch den Hersteller wird ein umfassender, kostenfreier Support für Ärzt*innen und Patient*innen angeboten.
Die im Rahmen der Nutzung der DiGA verarbeiteten Datenkategorien umfassen personenbezogene Daten und Gesundheitsdaten, welche nur zu den folgenden Zwecken verarbeitet werden dürfen:
Die unter Ziffer 5 und 6 dieser Datenschutzerklärung beschriebenen personenbezogenen Daten, die Du uns im Rahmen der Nutzung von der App zur Verfügung stellst, sind erforderlich, um die beschriebenen Ziele von glucura zu erreichen und dienen damit dem bestimmungsgemäßen Gebrauch der DiGA.
Die Nachweisführung bei Vereinbarungen gem. § 134 Absatz 1 Satz 3 SGB V dient vor allem dem Zweck der Abrechnung mit deiner Krankenkasse.
Die dauerhafte Gewährleistung der technischen Funktionsfähigkeit, der Nutzungsfreundlichkeit und der Weiterentwicklung der DiGA beinhaltet die Verarbeitung deiner personenbezogenen Daten zur Weiterentwicklung und der Verbesserung von glucura. Voraussetzung dafür ist deine Einwilligung gem. Art. 6 Abs. 1 lit. a) DS-GVO in unsere seperate und optionale Datenverarbeitungserklärung.
Die Benutzung der App basiert ausschließlich auf Freiwilligkeit. Es ist daher allein Deine Entscheidung, ob und wie Du die App nutzt.
Die Verarbeitung von personenbezogenen Gesundheitsdaten erfolgt ausschließlich auf der Grundlage Deiner Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a), Art. 9 Abs. 2 lit. a) DS-GVO. Beachte bitte, dass Deine Gesundheitsdaten oder Kopien dieser Daten im Rahmen der Nutzung der Anwendung auch außerhalb Deines mobilen Endgeräts auf Systemen unter der Kontrolle des Verantwortlichen (s. 1. Verantwortliche Stelle und Datenschutzbeauftragter) gespeichert werden. Die Einwilligung kannst Du jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Speicherung wird dadurch aber nicht berührt. Deinen Widerruf kannst Du jederzeit in der App unter „Einstellungen“ vornehmen, oder per E-Mail an help@mail.perfood.com richten. Beachte, dass Du dann Teile der App-Funktionen nicht mehr nutzen kannst.
Ist im Übrigen die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich, so beruht die Verarbeitung auf Art. 6 Abs. 1 lit. b) DS-GVO. Gleiches gilt für solche Verarbeitungsvorgänge die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind, etwa in Fällen von Anfragen zu unseren Produkten oder Leistungen. Unterliegt unser Unternehmen einer rechtlichen Verpflichtung, durch welche eine Verarbeitung von personenbezogenen Daten erforderlich wird, wie beispielsweise zur Erfüllung steuerlicher Pflichten, so basiert die Verarbeitung auf Art. 6 Abs. 1 lit. c) DS-GVO. In seltenen Fällen könnte die Verarbeitung von personenbezogenen Daten erforderlich werden, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; dann würde die Verarbeitung auf Art. 6 Abs. 1 lit. d) DS-GVO beruhen. Letztlich könnten Verarbeitungsvorgänge auf Art. 6 Abs. 1 lit. f) DS-GVO beruhen. Auf dieser Rechtsgrundlage basieren Verarbeitungsvorgänge, die von keiner der vorgenannten Rechtsgrundlagen erfasst werden, wenn die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich ist, sofern die Interessen, Grundrechte und Grundfreiheiten des Betroffenen nicht überwiegen.
Um glucura nutzen zu können, muss die App zunächst aus einem App Store wie z. B. Google Play Store und Apple App Store heruntergeladen werden. Dabei werden die dort erforderlichen Informationen durch den jeweiligen Anbieter übertragen. Dies sind Dein Nutzername, E-Mail-Adresse und Kennung Deines Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennziffer.
Auf die Nutzung zusätzlicher Dienste wie Apple KeyChain, Android KeyStore, hat die Perfood Laboratories GmbH keinen Einfluss. Die Anwendung von glucura ist auch ohne diese zusätzlichen Dienste uneingeschränkt möglich.
Je nach verwendetem Endgerät, hast du die Möglichkeit biometrische Merkmale für den Login in den Einstellungen zu aktivierien (z.B. “Touch-ID”/”Fingerabdruck-ID”, oder Gesichtserkennung (“Face-ID”). DIe biometrische Kennung erfolgt über dein mobiles Endgerät und die Daten werden nur lokal gespeichert.
Die Verarbeitung personenbezogener biometrischer Daten bei Nutzung dieser Funktion erfolgt auf Grundlage deiner Einwilligung gem. Art 9 Abs. lit. a) DS-GVO. Die Einwilligung erfolgt gegenüber dem Anbieter des Betriebssystems deines mobilen Endgeräts. Die Daten werden nicht an uns übermittelt. Der biometrische Login kann jederzeit in den Einstellungen der App wieder deaktiviert werden.
Bei Nutzung der App erheben wir die nachfolgend beschriebenen personenbezogenen Daten, um die komfortable Nutzung der Funktionen zu ermöglichen. Wenn Du unsere App nutzen möchtest, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Dir die Funktionen unserer mobilen App anzubieten und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f) DS-GVO):
Sensible Sitzungsdaten werden in einem verschlüsselten Bereich (Apple Keychain, Android KeyStore) abgelegt. Die Nutzung der App ist bestimmt für die ausschließliche Nutzung auf privaten IT-Systemen, da auf öffentlichen IT-Systemen und nicht privaten Systemen durch die Betreiber der Systeme eine Aufzeichnung des Datenverkehrs und von personenbezogenen Daten erfolgen kann.
Für das Hosting und den technischen Betrieb dieser DiGA nutzen wir eine von der Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn („Telekom“), bereitgestellte Cloud-Plattform auf Basis der Google Cloud Platform (GCP). Die Telekom verarbeitet personenbezogene Daten – einschließlich Gesundheitsdaten im Sinne von Art. 9 DSGVO, soweit diese im Rahmen der Nutzung der DiGA anfallen – ausschließlich in unserem Auftrag und auf Grundlage der „Ergänzenden Bedingungen Auftragsverarbeitung (ErgB-AV) für Google Cloud Platform Services“ gemäß Art. 28 DSGVO. In diesem Vertrag sind insbesondere Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien personenbezogener Daten und betroffener Personen sowie die von der Telekom umzusetzenden technischen und organisatorischen Maßnahmen geregelt. Die Telekom setzt für die Erbringung der Cloud-Leistungen u. a. die Google Cloud EMEA Limited, Clanwilliam Place, Dublin 2, Irland, als Unterauftragsverarbeiter ein. Die Beziehung zwischen Telekom und Google richtet sich nach dem „Cloud Data Processing Addendum“ (DPA) von Google, das insbesondere die Datenverarbeitung in der GCP und den Einsatz weiterer Unterauftragsverarbeiter regelt. Die Verarbeitung der DiGA-Daten erfolgt überwiegend in Rechenzentren innerhalb der EU/des EWR. Zur weiteren Erhöhung des Schutzniveaus werden die in der Cloud gespeicherten Daten durchgängig verschlüsselt. Die für die Entschlüsselung erforderlichen kryptografischen Schlüssel werden nicht von Google, sondern von der Telekom bzw. einem von ihr betriebenen Key-Management-System verwaltet. Google erhält keinen Zugriff auf diese Schlüssel im Klartext und kann die von uns gespeicherten Daten daher nicht im Klartext einsehen, sondern stellt ausschließlich die zugrunde liegende Infrastruktur zur Verfügung. Eine Verarbeitung der personenbezogenen Daten zu eigenen Zwecken von Telekom oder Google findet nicht statt; beide Unternehmen handeln ausschließlich auf unsere Weisung hin und sind vertraglich an die Vorgaben der DSGVO gebunden.
Zu den in der Cloud gespeicherten Daten zählen insbesondere personenbezogene Daten und Gesundheitsdaten, die für den bestimmungsgemäßen Gebrauch der DiGA erforderlich sind (siehe Abschnitt 2):
Um in der App einfach nach alltäglichen Lebensmitteln zu suchen und diese in das Tagebuch einzutragen, verwenden wir die FatSecret Food Database der Secret Industries Pty Ltd. Es werden keine personenbezogenen Daten an FatSecret übermittelt. Die Suchanfragen in der Datenbank laufen über einen Proxyserver, wodurch die IP-Adressen herausgefiltert werden.
Wir verwenden zur Verarbeitung von Benutzeranfragen den Service der Zammad GmbH, sowie Heinlein Support GmbH (mailbox.org). Die erhobenen Daten werden auf deutschen oder europäischen Servern gespeichert.
Wir verwenden zur Verwaltung von Terminanfragen für Kundendiensttelefonate das Produkt Timify der Firma TerminApp GmbH, sowie Typeform S.L. Die Daten werden auf europäischen Servern gespeichert.
Im Rahmen von Studien erfolgt eine Auswertung der Daten durch Universitäten, beispielsweise der Universität zu Lübeck, Ratzeburger Allee 160, 23562 Lübeck. Sofern eine solche Verarbeitung erfolgt, ist dieser Sachverhalt im Rahmen der Teilnahme an der Studie ausdrücklich gekennzeichnet.
Während der Nutzung unseres Produktes glucura in der App werden parallel zur Nutzung kontinuierliche Gewebeglukosedaten erfasst. Diese werden mittels Software des jeweiligen Sensorherstellers eingelesen und an Perfood übermittelt.
Für den Versand von E-Mail-Benachrichtigungen, die bei der Nutzung von glucura unterstützen und über wichtige Ereignisse im Laufe des Programms informieren, nutzen wir Brevo, einen Service der Sendinblue GmbH. Die Daten werden auf deutschen Servern gespeichert.
Während der Nutzung unserer App glucura können optional bereits bestehende anthropometrische Daten (Größe, Gewicht) und Daten zu körperlichen Aktivitäten aus verschiedenen Wearables über Thryve, sowie den Diensten Apple Health oder Health Connect importiert werden statt diese per Hand einzugeben. Wir nutzen hierfür die Dienste Thryve, Google und Apple.
Thryve ist ein Service der mHealth Pioneers GmbH, Health Connect ist ein Dienst der Google LLC, Apple Health ist ein Dienst der Apple Inc.
Mit Deiner Zustimmung kann glucura auf bestehende Gesundheitsdaten von dem Konto des jeweiligen Dienstleisters zugreifen und weiterverarbeiten. Im Rahmen des Import dieser Daten werden keine personenbezogenen Daten an den Dienstleister übertragen. Es besteht auch keine Auftragsverarbeitung oder sonstige Verarbeitungsvereinbarung zwischen der Perfood und den genannten Dienstleistern.
Die Einbindung dieser Dienste und der Import bestehender Gesundheitsdaten ist freiwillig und optional. Die Anwendung von glucura ist auch ohne diese Dienste uneingeschränkt möglich.
Für die optionale Anbindung der beschriebenen Dienste benötigt glucura Zugriff auf Thryve, Health Connect oder Apple Health. Weiterhin muss die Zustimmung zur Anbindung auch mit dem jeweiligen persönlichen Google oder Apple Konto erfolgen. Die importierten Daten werden auf Servern innerhalb Deutschlands gespeichert (s. Abschnitt 6. Speicherung der in der App erhobenen Daten auf deutschen Servern) und zum genannten Zweck verarbeitet (s. Abschnitt 2. Zweck der Anwendung und verarbeitete Datenkategorien).
Ein erteilter Zugriff kann jederzeit über die Einstellungen des Mobilgeräts oder in den Einstellungen der glucura-App widerrufen werden, ohne die Funktion und Nutzung von glucura einzuschränken.
Zur Erhöhung der App- und Benutzersicherheit wird freeRASP, ein Dienst der Sicherheitsfirma Talsec eingesetzt. freeRASP ist ein mobiles In-App-Schutz- und Sicherheitsüberwachungs-SDK (Software development Kit), welches in glucura integriert ist, um Angriffszenarien wie Reverse Engineering, Manipulation oder Neupaketierung der Anwendung, oder Installation der Anwendung über nicht vertrauenswürdige Methoden zu verhindern.
Dabei werden anonymisierte Sicherheitsdiagnosedaten durch die Anwendung verarbeitet. Dies betrifft technische Informationen über die Integrität der App, welche anonym sind und somit keinen Personenbezug enthalten.
Um das Eintragen von Mahlzeiten zu erleichtern, bietet die App eine optionale Funktion an, die automatisch erkannte Lebensmitteln und Zutaten in hochgeladenen Mahlzeitenbildern vorschlagen kann. Zur technischen Umsetzung dieser Funktion nutzen wir einen KI-basierten Bildanalysedienst der OpenAI Ireland Limited, 1st Floor, The Tower, Trinity Enterprise Campus, Grand Canal Quay, Dublin 2, Irland. Die Verarbeitung erfolgt ausschließlich, wenn Du ein Mahlzeitenbild aktiv zur Analyse freigibst.
Für diese Funktion wird das von Dir ausgewählte Bild an OpenAI übermittelt, um die darauf erkennbaren Lebensmittel und Zutaten zu analysieren. Dabei können folgende Daten verarbeitet werden:
OpenAI speichert das übermittelte Bild nicht dauerhaft.
Mit OpenAI wurde ein Auftragsverarbeitungsvertrag gemäß Art. 28 DS-GVO abgeschlossen. OpenAI verarbeitet die Daten ausschließlich nach unserer Weisung und nutzt sie nicht zu eigenen Zwecken, insbesondere nicht zum Training von KI-Modellen.
Die Verarbeitung erfolgt ausschließlich über Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR). OpenAI löscht die übermittelten Inhalte nach einer kurzzeitigen technischen Zwischenspeicherung automatisch.
Die Verarbeitung dient ausschließlich dazu, Vorschläge für die Eintragung von Mahlzeiten vorzubereiten und die Nutzung der App komfortabler zu gestalten. Die Funktion ist freiwillig und nicht erforderlich, um glucura bestimmungsgemäß zu nutzen.
Die App benötigt Zugriff auf verschiedene Funktionen und Schnittstellen Deines Endgeräts. Dazu ist es erforderlich, dass Du der App bestimmte Berechtigungen erteilst. Bitte beachte, dass Du im Falle der Ablehnung eines Zugriffs durch die App keine oder nur wenige Funktionen der App nutzen kannst.
Wird genutzt, um Barcodes von Lebensmitteln einzuscannen und diese im Ernährungstagebuch einzutragen. Weiterhin kann das Ernährungstagebuch auch mit Fotos der Gerichte geführt bzw. ergänzt werden.
Wird genutzt, um temporär erzeugte Bilder/Dateien zu speichern und zu nutzen (PDF-Export, Excel-Export, QR-Codes)
Wird genutzt, um lokale Benachrichtigungen im dafür vorgesehenen Benachrichtigungsbereich des Smartphones anzuzeigen. So können wichtige Ereignisse angekündigt werden.
Wir verwenden den Dienst BunnyStream, einen Video-Streaming-Service der BunnyWay d.o.o, um in unserer App Video-Anleitungen zur Nutzung von glucura bereitzustellen und damit den Ablauf zu vereinfachen.
Zur zusätzlichen Wahrung Deiner Privatsphäre werden Anfragen an BunnyStream über einen von uns betriebenen datenschutzfreundlichen Proxy-Server geleitet. Dadurch erhält BunnyStream keinen direkten Zugriff auf Deine IP-Adresse oder sonstige Geräte- oder Browserinformationen. Insbesondere wird verhindert, dass BunnyStream Rückschlüsse auf einzelne Nutzerinnen und Nutzer ziehen kann.
Für die technische Überwachung und Fehleranalyse nutzen wir den Dienst Sentry. Dabei werden ausschließlich technische Daten wie Gerätetyp, Betriebssystem, Zeitpunkte und anonymisierte Fehlerinformationen verarbeitet; gesundheitsbezogene Inhalte oder personenbezogene App-Daten werden nicht übermittelt. Die Übermittlung erfolgt auf Basis des EU-US Data Privacy Frameworks und der EU-Standardvertragsklauseln.
Bei Deiner Kontaktaufnahme mit uns per E-Mail oder über ein Kontaktformular wird Deine E-Mail-Adresse und, falls von Dir angegeben, Dein Name und Deine Telefonnummer von uns gespeichert, um Deine Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder – im Falle von gesetzlichen Aufbewahrungspflichten – schränken die Verarbeitung ein.
Eine Übermittlung Deiner persönlichen Daten an Dritte zu anderen als den in dieser Datenschutzerklärung aufgeführten Empfängern findet nicht statt.
Wir geben Deine persönlichen Daten im Übrigen nur an Dritte weiter, wenn:
Du hast die Möglichkeit Deine in der glucura-App verarbeiteten Gesundheitsdaten in die elektronische Patientenakte (ePA) zu übertragen. Voraussetzung dafür ist Deine Einwilligung gemäß Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a) DS-GVO, indem du Dein glucura-Konto mit der Gesundheits-ID Deiner Krankenkasse verbindest und glucura dort die entsprechende Schreibberechtigung in Deine ePA erteilst. Im Anschluss hast du die Möglichkeit eine tägliche automatische Synchronisation zu aktivieren, oder deine Daten jederzeit manuell zu übertragen.
Es werden folgende Daten an die ePA übertragen:
Deine Daten werden grundsätzlich nur so lange gespeichert, wie dies für die Erfüllung des definierten Zwecks erforderlich ist. Mit dem Ende des Verordnungszeitraums (90 Tage) gilt der Zweck (s. 2. Zweck der Anwendung und verarbeitete Datenkategorien) als erfüllt und Deine Daten werden im Anschluss gelöscht. Sofern Du uns eine optionale Einwilligung zur Weiterentwicklung und Nutzerfreundlichkeit (§ 4 Abs. 2 S. 1 Nr. 4 DiGAV) erteilst, speichern wir Deine Daten für weitere 30 Tage, um die Fortsetzung der Therapie mit einer Folgeverordnung zu ermöglichen.
Darüber hinaus können gesetzliche Aufbewahrungspflichten (z.B. nach dem Handelsgesetzbuch oder der Abgabenordnung) bestehen, wodurch betroffene Daten für die Dauer dieses gesetzlich definierten Zeitraums gespeichert werden.
Mit der Löschung des Benutzerkontos entfällt der Zugang zu sämtlichen Daten, die über die App erfasst wurden. Eine Nutzung des Produktes ist dann nicht mehr möglich.
Die Löschung der Daten kann über die Anwendung unter der Navigation „Einstellungen“ > „Mein Konto“ > „Daten & Konto Löschen“ > „Daten unwiderruflich löschen“, angefordert werden und wird unverzüglich automatisiert ausgeführt.
Du hast das Recht:
Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein Holstenstraße 98 24103 Kiel Tel: 0431 – 988 – 1200 Fax: 0431 – 988 – 1223 E-Mail: mail@datenschutzzentrum.de
Sofern Deine personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO verarbeitet werden, hast Du das Recht, gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung Deiner personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Deiner besonderen Situation ergeben.
Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Deine Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand 21.11.2025
Company
Informationen zur DiGA
Kontakt
Perfood Laboratories GmbH im Auftrag von Perfood GmbH
Dankwartsgrube 72
23552 Lübeck
Erfahre, wie viel Gewicht du mit der glucura App realistisch verlieren kannst.
Kostenlos. Ohne Diät. Ohne Verzicht.
Von Ärzten empfohlen
Mach unseren Test und erfahre, wie viel Gewicht du mit glucura realistisch verlieren kannst.
