Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

2. Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten ist für unser Unternehmen gesetzlich nicht vorgeschrieben, da wir in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG).

Bei Fragen zum Datenschutz wenden Sie sich bitte an: info@gastrozen.de

3. Erhebung und Speicherung personenbezogener Daten

a) Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den auf Ihrem Endgerät zum Einsatz kommenden Browser automatisch Informationen an den Server unserer Website gesendet. Diese Informationen werden temporär in einem sogenannten Logfile gespeichert. Folgende Informationen werden dabei ohne Ihr Zutun erfasst und bis zur automatisierten Löschung gespeichert:

• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. das Betriebssystem Ihres Rechners
• Name Ihres Access-Providers

Die genannten Daten werden zu folgenden Zwecken verarbeitet:

• Gewährleistung eines reibungslosen Verbindungsaufbaus der Website
• Gewährleistung einer komfortablen Nutzung unserer Website
• Auswertung der Systemsicherheit und -stabilität
• Weitere administrative Zwecke

Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse folgt aus den oben aufgelisteten Zwecken zur Datenerhebung. In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rückschlüsse auf Ihre Person zu ziehen.

b) Bei Nutzung der Anwendung (SaaS)

Bei der Nutzung unserer cloudbasierten Gastronomie-Software (GastroZen) verarbeiten wir zusätzlich folgende Daten, die Sie aktiv eingeben:

• Name, E-Mail-Adresse, Passwort (bei Registrierung)
• Betriebsdaten (Standort, Bereiche, Kategorien)
• Inventurdaten (Artikel, Bestände, Zählungen)
• Kassenbuchdaten (Buchungen, Belege)
• HACCP-Protokolle (Temperatur, Hygiene, Reinigung)
• Rezepte und Kalkulationen
• Anlagevermögen und Abschreibungen
• Team-Daten (Name, E-Mail, Rolle der Mitarbeiter)

Diese Daten werden zur Bereitstellung unserer vertraglichen Leistung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO).

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung erteilt haben, z. B. für den Newsletter-Versand.
• Art. 6 Abs. 1 lit. b DSGVO (Vertrag): Soweit die Verarbeitung für die Erfüllung eines Vertrags mit Ihnen (Nutzung der GastroZen-Software) oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, z. B. steuer- und handelsrechtliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist, z. B. zur Gewährleistung der IT-Sicherheit.

5. Hosting und Infrastruktur

Vercel (Website-Hosting)

Unsere Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel verarbeitet dabei die oben genannten Zugriffsdaten. Wir haben mit Vercel einen Auftragsverarbeitungsvertrag (Data Processing Agreement) geschlossen. Die Datenübermittlung in die USA wird durch EU-Standardvertragsklauseln abgesichert.

Weitere Informationen: Vercel Privacy Policy

Supabase (Datenbank und Authentifizierung)

Für die Datenhaltung und Benutzer-Authentifizierung nutzen wir Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Supabase stellt eine PostgreSQL-Datenbank, Authentifizierungsdienste und Dateispeicher bereit. Alle Nutzerdaten (Profil, Betriebsdaten, Dokumente) werden in der Supabase-Infrastruktur gespeichert. Wir haben mit Supabase einen Auftragsverarbeitungsvertrag geschlossen.

Weitere Informationen: Supabase Privacy Policy

6. SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Anmeldedaten oder Betriebsdaten, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

7. Cookies

Unsere Website verwendet ausschließlich technisch notwendige Cookies. Diese sind erforderlich, um die grundlegenden Funktionen der Website sicherzustellen. Wir verwenden keine Tracking-Cookies, keine Analyse-Cookies (wie Google Analytics) und keine Werbe-Cookies.

Die von uns verwendeten technisch notwendigen Cookies dienen ausschließlich:

• Der Authentifizierung und Sitzungsverwaltung (Session-Cookies via Supabase Auth)
• Der Speicherung Ihrer Anmeldesitzung, damit Sie nicht bei jedem Seitenaufruf erneut Ihre Zugangsdaten eingeben müssen

Die Rechtsgrundlage für die Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) sowie § 25 Abs. 2 TDDDG.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben. Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

8. Nutzerkonto und Registrierung

Sie können auf unserer Plattform ein Nutzerkonto anlegen. Hierzu müssen Sie uns bestimmte personenbezogene Daten mitteilen. Pflichtangaben bei der Registrierung sind:

• E-Mail-Adresse
• Passwort (wird verschlüsselt gespeichert, wir haben keinen Zugriff auf Ihr Klartext-Passwort)

Optional können Sie zusätzlich angeben:

• Vollständiger Name
• Position/Funktion im Betrieb
• Telefonnummer
• Betriebsname und -adresse

Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind. Ihr Konto können Sie jederzeit löschen.

9. Zahlungsabwicklung

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe (Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA / Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland).

Bei der Zahlungsabwicklung werden folgende Daten an Stripe übermittelt:

• E-Mail-Adresse
• Zahlungsinformationen (Kreditkarte, SEPA etc.)
• Rechnungsbetrag
• IP-Adresse

Ihre Zahlungsdaten (z. B. Kreditkartennummern) werden ausschließlich von Stripe verarbeitet und gespeichert. Wir haben zu keinem Zeitpunkt Zugriff auf Ihre vollständigen Zahlungsdaten. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Weitere Informationen: Stripe Datenschutzerklärung

10. E-Mail-Kommunikation

Wir versenden E-Mails an Sie in folgenden Fällen:

• Bestätigung der Registrierung und E-Mail-Verifizierung
• Passwort-Zurücksetzen
• Einladungen zur Teilnahme an einem Team
• Transaktionsbezogene E-Mails (Zahlungsbestätigungen, Rechnungen)
• Wichtige Servicebenachrichtigungen (z. B. Änderungen der Nutzungsbedingungen)

Wir versenden keine Marketing-E-Mails ohne Ihre ausdrückliche Einwilligung. Transaktionsbezogene E-Mails sind für die Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

Für den technischen Versand der E-Mails nutzen wir den Dienst Resend (Resend Inc., San Francisco, CA, USA). Dabei werden Ihre E-Mail-Adresse sowie der E-Mail-Inhalt an Resend übermittelt. Wir haben mit Resend einen Auftragsverarbeitungsvertrag geschlossen. Die Datenübermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln.

Weitere Informationen: Resend Privacy Policy

11. KI-gestützte Belegerkennung

Unser Kassenbuch-Modul bietet eine optionale Funktion zur automatischen Erkennung von Belegdaten (OCR). Wenn Sie ein Foto oder PDF eines Belegs hochladen, wird dieses an die KI-Plattform Groq (Groq Inc., Mountain View, CA, USA) übermittelt, um Beträge, Datum, Belegtyp und weitere Informationen automatisch zu extrahieren.

Es werden dabei folgende Daten an Groq übermittelt:

• Das hochgeladene Belegbild bzw. PDF
• Ein strukturierter Prompt zur Datenextraktion (keine personenbezogenen Daten)

Die Nutzung dieser Funktion ist freiwillig. Sie können Belegdaten auch manuell eingeben. Groq speichert die übermittelten Daten nicht dauerhaft und verwendet sie nicht zum Training von KI-Modellen. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung der Funktion).

Weitere Informationen: Groq Privacy Policy

12. Technische Sicherheitseinrichtung (TSE)

Unser Kassensystem (POS) nutzt eine Technische Sicherheitseinrichtung (TSE) gemäß der Kassensicherungsverordnung (KassenSichV). Die TSE-Signatur wird über den Dienst fiskaltrust (fiskaltrust gmbh, Lemböckgasse 49/2/10, 1230 Wien, Österreich) bereitgestellt.

Bei jeder Kassier-Transaktion werden folgende Daten zur Signierung an fiskaltrust übermittelt:

• Transaktionsbetrag und MwSt-Aufschlüsselung
• Zahlungsart (Bar, Karte, etc.)
• Zeitstempel der Transaktion
• Kassensystem-Identifikation (CashBox-ID)

Es werden keine personenbezogenen Kundendaten an fiskaltrust übermittelt. Die Verarbeitung erfolgt zur Erfüllung einer gesetzlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 146a AO, KassenSichV).

Weitere Informationen: fiskaltrust Datenschutzerklärung

12b. KI-Chat-Assistent

Auf Restaurant-Websites, die mit unserem System erstellt werden, kann ein KI-gestützter Chat-Assistent angeboten werden. Dieser beantwortet Fragen zu Speisekarte, Öffnungszeiten, Allergenen und Reservierungen.

Verarbeitung: Ihre Chat-Nachrichten werden an Anthropic (Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA) zur Verarbeitung gesendet. Es werden ausschließlich die von Ihnen eingegebenen Nachrichten übermittelt — keine personenbezogenen Daten des Restaurants, die nicht bereits öffentlich auf der Website sichtbar sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines nutzerfreundlichen Informationsdienstes).

Speicherdauer: Chat-Verläufe werden maximal 30 Tage gespeichert und danach automatisch gelöscht. Aggregierte Nutzungsstatistiken (ohne Nachrichteninhalte) können länger aufbewahrt werden.

Weitere Informationen: Anthropic Datenschutzerklärung

13. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein, mit denen jeweils Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen wurden:

14. Datenübermittlung in Drittländer

Einige der von uns eingesetzten Dienstleister haben ihren Sitz in den USA oder anderen Drittländern außerhalb der Europäischen Union. Die Datenübermittlung in diese Länder erfolgt auf Grundlage folgender Garantien:

• EU-US Data Privacy Framework: Soweit der jeweilige Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist.
• EU-Standardvertragsklauseln (SCC): Wir haben mit allen relevanten Dienstleistern EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen, die ein angemessenes Datenschutzniveau sicherstellen.

15. Betroffenenrechte

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten über Sie verarbeiten, und Auskunft über diese Daten zu erhalten.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, die unverzügliche Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Recht auf Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@gastrozen.de

16. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Sie können sich an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes wenden. Eine Liste der Datenschutzaufsichtsbehörden in Deutschland finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

17. Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen dies verlangen.

• Kontodaten: Werden für die Dauer des Vertragsverhältnisses gespeichert und nach Kündigung und Ablauf etwaiger Aufbewahrungsfristen gelöscht.
• Betriebsdaten (Jahresinventur, Kassenbuch, HACCP): Werden für die Dauer des Vertragsverhältnisses gespeichert. Kassenbuch-Daten unterliegen der handels- und steuerrechtlichen Aufbewahrungsfrist von 10 Jahren (§ 147 AO, § 257 HGB).
• Server-Logfiles: Werden nach maximal 30 Tagen automatisch gelöscht.
• Zahlungsdaten bei Stripe: Gemäß der Aufbewahrungsrichtlinien von Stripe und den geltenden gesetzlichen Vorgaben.

Nach Kündigung Ihres Kontos werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

18. Automatisierte Entscheidungsfindung

Wir verzichten auf eine automatische Entscheidungsfindung oder ein Profiling im Sinne des Art. 22 DSGVO. Es werden keine Entscheidungen getroffen, die ausschließlich auf einer automatisierten Verarbeitung beruhen und die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Bei wesentlichen Änderungen werden wir registrierte Nutzer per E-Mail informieren.