Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten ist für unser Unternehmen gesetzlich nicht vorgeschrieben, da wir in der Regel weniger als 20 Personen staendig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigen (§ 38 Abs. 1 BDSG).

Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@gastrozen.de

3. Erhebung und Speicherung personenbezogener Daten

a) Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgeraet zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporaer in einem sogenannten Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Loeschung gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
• Name Ihres Access-Providers

Die genannten Daten werden zu folgenden Zwecken verarbeitet:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Website
• Gewährleistung einer komfortablen Nutzung unserer Website
• Auswertung der Systemsicherheit und -stabilitaet
• Weitere administrative Zwecke

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den oben aufgelisteten Zwecken zur Datenerhebung. In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rueckschluesse auf Ihre Person zu ziehen.

b) Bei Nutzung der Anwendung (SaaS)

Bei der Nutzung unserer cloudbasierten Gastronomie-Software (GastroZen) verarbeiten wir zusaetzlich folgende Daten, die Sie aktiv eingeben:

• Name, E-Mail-Adresse, Passwort (bei Registrierung)
• Betriebsdaten (Standort, Bereiche, Kategorien)
• Inventurdaten (Artikel, Bestaende, Zaehlungen)
• Kassenbuchdaten (Buchungen, Belege)
• HACCP-Protokolle (Temperatur, Hygiene, Reinigung)
• Rezepte und Kalkulationen
• Anlagevermoegen und Abschreibungen
• Team-Daten (Name, E-Mail, Rolle der Mitarbeiter)

Diese Daten werden zur Bereitstellung unserer vertraglichen Leistung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO).

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für den Newsletter-Versand.
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Soweit die Verarbeitung fuer die Erfuellung eines Vertrags mit Ihnen (Nutzung der GastroZen-Software) oder zur Durchfuehrung vorvertraglicher Massnahmen erforderlich ist.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit die Verarbeitung zur Erfuellung einer rechtlichen Verpflichtung erforderlich ist, z. B. steuer- und handelsrechtliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist, z. B. zur Gewährleistung der IT-Sicherheit.

5. Hosting und Infrastruktur

Vercel (Website-Hosting)

Unsere Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel verarbeitet dabei die oben genannten Zugriffsdaten. Wir haben mit Vercel einen Auftragsverarbeitungsvertrag (Data Processing Agreement) geschlossen. Die Datenuebermittlung in die USA wird durch EU-Standardvertragsklauseln abgesichert.

Weitere Informationen: Vercel Privacy Policy

Supabase (Datenbank und Authentifizierung)

Für die Datenhaltung und Benutzer-Authentifizierung nutzen wir Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Supabase stellt eine PostgreSQL-Datenbank, Authentifizierungsdienste und Dateispeicher bereit. Alle Nutzerdaten (Profil, Betriebsdaten, Dokumente) werden in der Supabase-Infrastruktur gespeichert. Wir haben mit Supabase einen Auftragsverarbeitungsvertrag geschlossen.

Weitere Informationen: Supabase Privacy Policy

6. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgruenden und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anmeldedaten oder Betriebsdaten, eine SSL- bzw. TLS-Verschluesselung. Eine verschluesselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschluesselung aktiviert ist, können die Daten, die Sie an uns uebermitteln, nicht von Dritten mitgelesen werden.

7. Cookies

Unsere Website verwendet ausschliesslich technisch notwendige Cookies. Diese sind erforderlich, um die grundlegenden Funktionen der Website sicherzustellen. Wir verwenden keine Tracking-Cookies, keine Analyse-Cookies (wie Google Analytics) und keine Werbe-Cookies.

Die von uns verwendeten technisch notwendigen Cookies dienen ausschliesslich:

• Der Authentifizierung und Sitzungsverwaltung (Session-Cookies via Supabase Auth)
• Der Speicherung Ihrer Anmeldesitzung, damit Sie nicht bei jedem Seitenaufruf erneut Ihre Zugangsdaten eingeben müssen

Die Rechtsgrundlage für die Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie § 25 Abs. 2 TDDDG.

Sie können Ihren Browser so einstellen, dass Sie ueber das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben. Bei der Deaktivierung von Cookies kann die Funktionalitaet unserer Website eingeschraenkt sein.

8. Nutzerkonto und Registrierung

Sie können auf unserer Plattform ein Nutzerkonto anlegen. Hierzu müssen Sie uns bestimmte personenbezogene Daten mitteilen. Pflichtangaben bei der Registrierung sind:

• E-Mail-Adresse
• Passwort (wird verschluesselt gespeichert, wir haben keinen Zugriff auf Ihr Klartext-Passwort)

Optional können Sie zusaetzlich angeben:

• Vollstaendiger Name
• Position/Funktion im Betrieb
• Telefonnummer
• Betriebsname und -adresse

Die Verarbeitung erfolgt zur Vertragserfuellung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind. Ihr Konto können Sie jederzeit löschen.

9. Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe (Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA / Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Bei der Zahlungsabwicklung werden folgende Daten an Stripe uebermittelt:

• E-Mail-Adresse
• Zahlungsinformationen (Kreditkarte, SEPA etc.)
• Rechnungsbetrag
• IP-Adresse

Ihre Zahlungsdaten (z. B. Kreditkartennummern) werden ausschliesslich von Stripe verarbeitet und gespeichert. Wir haben zu keinem Zeitpunkt Zugriff auf Ihre vollstaendigen Zahlungsdaten. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung).

Weitere Informationen: Stripe Datenschutzerklaerung

10. E-Mail-Kommunikation

Wir versenden E-Mails an Sie in folgenden Faellen:

• Bestaetigung der Registrierung und E-Mail-Verifizierung
• Passwort-Zurücksetzen
• Einladungen zur Teilnahme an einem Team
• Transaktionsbezogene E-Mails (Zahlungsbestaetigungen, Rechnungen)
• Wichtige Servicebenachrichtigungen (z. B. Änderungen der Nutzungsbedingungen)

Wir versenden keine Marketing-E-Mails ohne Ihre ausdrueckliche Einwilligung. Transaktionsbezogene E-Mails sind für die Vertragserfuellung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

Für den technischen Versand der E-Mails nutzen wir den Dienst Resend (Resend Inc., San Francisco, CA, USA). Dabei werden Ihre E-Mail-Adresse sowie der E-Mail-Inhalt an Resend uebermittelt. Wir haben mit Resend einen Auftragsverarbeitungsvertrag geschlossen. Die Datenuebermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln.

Weitere Informationen: Resend Privacy Policy

11. KI-gestützte Belegerkennung

Unser Kassenbuch-Modul bietet eine optionale Funktion zur automatischen Erkennung von Belegdaten (OCR). Wenn Sie ein Foto oder PDF eines Belegs hochladen, wird dieses an die KI-Plattform Groq (Groq Inc., Mountain View, CA, USA) uebermittelt, um Betraege, Datum, Belegtyp und weitere Informationen automatisch zu extrahieren.

Es werden dabei folgende Daten an Groq uebermittelt:

• Das hochgeladene Belegbild bzw. PDF
• Ein strukturierter Prompt zur Datenextraktion (keine personenbezogenen Daten)

Die Nutzung dieser Funktion ist freiwillig. Sie können Belegdaten auch manuell eingeben. Groq speichert die uebermittelten Daten nicht dauerhaft und verwendet sie nicht zum Training von KI-Modellen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Funktion).

Weitere Informationen: Groq Privacy Policy

12. Technische Sicherheitseinrichtung (TSE)

Unser Kassensystem (POS) nutzt eine Technische Sicherheitseinrichtung (TSE) gemaess der Kassensicherungsverordnung (KassenSichV). Die TSE-Signatur wird ueber den Dienst fiskaltrust (fiskaltrust gmbh, Lemboeckgasse 49/2/10, 1230 Wien, Oesterreich) bereitgestellt.

Bei jeder Kassier-Transaktion werden folgende Daten zur Signierung an fiskaltrust uebermittelt:

• Transaktionsbetrag und MwSt-Aufschlüsselung
• Zahlungsart (Bar, Karte, etc.)
• Zeitstempel der Transaktion
• Kassensystem-Identifikation (CashBox-ID)

Es werden keine personenbezogenen Kundendaten an fiskaltrust uebermittelt. Die Verarbeitung erfolgt zur Erfuellung einer gesetzlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 146a AO, KassenSichV).

Weitere Informationen: fiskaltrust Datenschutzerklaerung

12b. KI-Chat-Assistent

Auf Restaurant-Websites, die mit unserem System erstellt werden, kann ein KI-gestuetzter Chat-Assistent angeboten werden. Dieser beantwortet Fragen zu Speisekarte, Öffnungszeiten, Allergenen und Reservierungen.

Verarbeitung: Ihre Chat-Nachrichten werden an Anthropic (Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA) zur Verarbeitung gesendet. Es werden ausschliesslich die von Ihnen eingegebenen Nachrichten uebermittelt — keine personenbezogenen Daten des Restaurants, die nicht bereits oeffentlich auf der Website sichtbar sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines nutzerfreundlichen Informationsdienstes).

Speicherdauer: Chat-Verlaeufe werden maximal 30 Tage gespeichert und danach automatisch gelöscht. Aggregierte Nutzungsstatistiken (ohne Nachrichteninhalte) können laenger aufbewahrt werden.

Weitere Informationen: Anthropic Datenschutzerklaerung

13. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils Auftragsverarbeitungsvertraege gemaess Art. 28 DSGVO geschlossen wurden:

14. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA oder anderen Drittländern ausserhalb der Europaeischen Union. Die Datenuebermittlung in diese Laender erfolgt auf Grundlage folgender Garantien:

• EU-US Data Privacy Framework: Soweit der jeweilige Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist.
• EU-Standardvertragsklauseln (SCC): Wir haben mit allen relevanten Dienstleistern EU-Standardvertragsklauseln gemaess Art. 46 Abs. 2 lit. c DSGVO abgeschlossen, die ein angemessenes Datenschutzniveau sicherstellen.

15. Betroffenenrechte

Sie haben gegenueber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestaetigung darueber zu verlangen, ob wir personenbezogene Daten ueber Sie verarbeiten, und Auskunft ueber diese Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzueglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
• Recht auf Loeschung (Art. 17 DSGVO): Sie haben das Recht, die unverzuegliche Loeschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschraenkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
• Recht auf Datenuebertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten.
• Recht auf Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmaessigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht beruehrt.

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an: info@gastrozen.de

16. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehoerde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst (Art. 77 DSGVO).

Sie können sich an die Aufsichtsbehoerde Ihres gewoehnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes wenden. Eine Liste der Datenschutzaufsichtsbehoerden in Deutschland finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

17. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies verlangen.

• Kontodaten: Werden für die Dauer des Vertragsverhaeltnisses gespeichert und nach Kuendigung und Ablauf etwaiger Aufbewahrungsfristen gelöscht.
• Betriebsdaten (Jahresinventur, Kassenbuch, HACCP): Werden für die Dauer des Vertragsverhaeltnisses gespeichert. Kassenbuch-Daten unterliegen der handels- und steuerrechtlichen Aufbewahrungsfrist von 10 Jahren (§ 147 AO, § 257 HGB).
• Server-Logfiles: Werden nach maximal 30 Tagen automatisch gelöscht.
• Zahlungsdaten bei Stripe: Gemäß der Aufbewahrungsrichtlinien von Stripe und den geltenden gesetzlichen Vorgaben.

Nach Kuendigung Ihres Kontos werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

18. Automatisierte Entscheidungsfindung

Wir verzichten auf eine automatische Entscheidungsfindung oder ein Profiling im Sinne des Art. 22 DSGVO. Es werden keine Entscheidungen getroffen, die ausschliesslich auf einer automatisierten Verarbeitung beruhen und die Ihnen gegenueber rechtliche Wirkung entfalten oder Sie in aehnlicher Weise erheblich beeintraechtigen.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklaerung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklaerung umzusetzen, z. B. bei der Einfuehrung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklaerung.

Bei wesentlichen Änderungen werden wir registrierte Nutzer per E-Mail informieren.