DSGVO-Compliance

01Geltungsbereich und Rollen

Die Datenschutz-Grundverordnung (DSGVO — Verordnung EU 2016/679) gilt für die Verarbeitung personenbezogener Daten von Personen im Europäischen Wirtschaftsraum. AI Restaurants unterliegt vollständig der DSGVO.

AI Restaurants als Verantwortlicher

AI Restaurants handelt als Verantwortlicher für:

• Personenbezogene Daten von Kontoinhaber-Restaurantbesitzern (Name, E-Mail, Unternehmensdaten, Nutzungsdaten)
• Technische Daten, die für Plattformsicherheit, Betrugsprävention und Infrastrukturbetrieb erhoben werden
• Durch unsere eigenen Analysen zur Plattformverbesserung generierte Daten

AI Restaurants als Auftragsverarbeiter

AI Restaurants handelt als Auftragsverarbeiter für:

• Über QR-Landingpages erhobene Restaurantgastdaten im Auftrag des Restaurantbesitzers (des Verantwortlichen)
• Nachrichtenübermittlungsnachweise (E-Mail, WhatsApp, SMS), die auf Anweisung des Besitzers an Gäste gesendet werden
• Loyalty-, Besuchs- und Gutscheinnachweise, die an eine bestimmte Gast-Restaurant-Beziehung gebunden sind

Als Auftragsverarbeiter handelt AI Restaurants ausschließlich auf dokumentierte Anweisungen des Verantwortlichen (des Restaurantbesitzers) und verwendet Gastdaten nicht für einen anderen Zweck als die Erbringung des vertraglich vereinbarten Dienstes.

02Rechtsgrundlagen der Verarbeitung

Gemäß DSGVO Artikel 6 muss jede Verarbeitungstätigkeit eine Rechtsgrundlage haben. Hier ist unsere Zuordnung:

Verarbeitung durch AI Restaurants (als Verantwortlicher)

• Art. 6(1)(b) — Vertragserfüllung: Kontoverwaltung, Diensterbringung, Abrechnung und Kundensupport
• Art. 6(1)(f) — Berechtigte Interessen: Plattformsicherheit, Betrugserkennung, aggregierte Analysen zur Dienstverbesserung
• Art. 6(1)(c) — Rechtliche Verpflichtung: Steueraufzeichnungen, Beantwortung gültiger Strafverfolgungsanfragen, Audit-Trail-Pflichten

Verarbeitung durch Restaurantbesitzer (als Verantwortliche), mit AI Restaurants als Auftragsverarbeiter

• Art. 6(1)(a) — Einwilligung: Erhebung von Gastkontaktdaten und Versand von Marketingnachrichten; Gäste erteilen eine ausdrückliche, freiwillige Einwilligung auf der QR-Landingpage
• Art. 6(1)(f) — Berechtigte Interessen: Aggregierte Besuchsanalysen, die von Besitzern zur Optimierung ihrer Angebote genutzt werden (kein Profiling einzelner Gäste ohne Einwilligung)

Für besondere Kategorien personenbezogener Daten (Art. 9): Die Plattform erhebt absichtlich keine besonderen Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, ethnische Herkunft). Wenn solche Daten versehentlich übermittelt werden, werden sie als nicht-besondere Kategorien behandelt oder auf Anfrage unverzüglich gelöscht.

03Rechte der betroffenen Personen

Die DSGVO gewährt Einzelpersonen (betroffenen Personen) folgende Rechte, die AI Restaurants sowohl technisch als auch operativ unterstützt:

So üben Sie Ihre Rechte aus

Senden Sie eine E-Mail an privacy@airestaurants.com mit dem Betreff „DATENSCHUTZRECHTE ANFRAGE". Geben Sie den Namen des besuchten Restaurants an (wenn Sie ein Gast sind), damit wir Ihren Datensatz finden können. Wir werden innerhalb von 72 Stunden bestätigen und die Anfrage innerhalb von 30 Tagen erfüllen (verlängerbar um 2 Monate für komplexe Fälle, mit Mitteilung).

Wir erheben keine Gebühr für die Bearbeitung von Rechtsanfragen, außer wenn diese offensichtlich unbegründet oder übermäßig sind. Zur Identitätsverifizierung kann bei Auskunfts- und Übertragbarkeitsanfragen aufgefordert werden.

04Einwilligungsmanagement

Die Einwilligung ist die primäre Rechtsgrundlage für die Erhebung von Restaurantgastdaten. Unsere Plattform setzt den DSGVO-Standard für gültige Einwilligung durch (Art. 4(11) und Erwägungsgrund 32):

• Freiwillig — das Einwilligungsformular macht den Zugang zu einem Loyalty-Vorteil nicht von der Annahme optionaler Marketingeinwilligungen abhängig (getrennte Kontrollkästchen)
• Spezifisch — separate Einwilligung wird für E-Mail-, WhatsApp- und SMS-Marketing angefordert, sofern der jeweilige Kanal aktiviert ist
• Informiert — die Landingpage zeigt den Restaurantnamen, den Zweck der Datenerhebung und einen Link zur relevanten Datenschutzerklärung an, bevor ein Kontrollkästchen angezeigt wird
• Eindeutig — die Einwilligung wird durch ein aktives Opt-in-Kontrollkästchen eingeholt; keine vorausgefüllten Kästchen oder Einwilligung-durch-Scrollen-Muster werden verwendet

Einwilligungs-Audit-Trail

Für jedes Einwilligungsereignis zeichnet die Plattform auf:

• Zeitstempel (UTC)
• Version des dem Gast angezeigten Einwilligungstexts
• IP-Adresse auf Länderebene Geolokalisierung (vollständige IP nach 30 Tagen anonymisiert)
• Eingewilligte Kanäle (E-Mail / WhatsApp / SMS)

Dieser Audit-Trail wird für die Dauer der aktiven Einwilligung plus 12 Monate danach aufbewahrt, um die Compliance gemäß Art. 7(1) nachzuweisen.

Widerruf der Einwilligung

Jede über die Plattform gesendete Marketingnachricht enthält einen Ein-Klick-Abmeldelink. Der Widerruf wird sofort verarbeitet; die Opt-out-Präferenz des Gastes wird aufgezeichnet und keine weiteren Marketingnachrichten werden an diesen Kanal gesendet.

05Privacy by Design

DSGVO Artikel 25 verlangt, dass Datenschutz von Grund auf in Systeme eingebaut wird. AI Restaurants implementiert folgende Privacy-by-Design-Maßnahmen:

• Datenminimierung: Landingpages fordern nur Datenfelder an, die für den Loyalty-Zweck relevant sind; Restaurants können keine Datenfelder über das Notwendige hinaus aktivieren
• Zweckbindung: Über QR-Seiten erhobene Gastdaten werden nur für den bei der Erhebung angegebenen Loyalty-/Marketingzweck verwendet; sie werden nie an andere Restaurants oder Drittanbieter-Werbetreibende weitergegeben
• Speicherbegrenzung: Automatisierte Löschjobs bereinigen inaktive Gastdatensätze nach 24 Monaten; IP-Adressen werden nach 30 Tagen anonymisiert
• Pseudonymisierung: Interne Gast-IDs (UUIDs) werden anstelle von E-Mail-Adressen in Protokolldateien und Analyse-Pipelines verwendet
• Standardmäßige Datenschutzeinstellungen: Alle optionalen Datenerhebungsfunktionen (SMS, WhatsApp) sind Opt-in für Restaurants und ihre Gäste
• Zugriffskontrollen: Restaurantbesitzer können nur auf Daten ihrer eigenen Restaurants zugreifen; Superadmin-Zugang ist durch MFA und vollständige Audit-Protokollierung geschützt
• Soft-Delete-Muster: Datensätze werden soft-gelöscht (mit deleted_at markiert) und nach 30 Tagen dauerhaft bereinigt, was die Wiederherstellung versehentlicher Löschungen ermöglicht und gleichzeitig Löschfristen einhält

06Auftragsverarbeiter

Gemäß DSGVO Artikel 28 sind wir verpflichtet, alle Auftragsverarbeiter offenzulegen und sicherzustellen, dass sie durch gleichwertige Datenschutzpflichten gebunden sind. Nachfolgend ist unsere aktuelle Auftragsverarbeiterliste:

Wir werden Restaurantbesitzer mindestens 14 Tage vor dem Hinzufügen oder Ersetzen eines Auftragsverarbeiters benachrichtigen und ihnen die Möglichkeit geben, Einspruch zu erheben. Benachrichtigungen werden per E-Mail an Kontoinhaber gesendet.

07Datenübermittlungen außerhalb des EWR

Wenn personenbezogene Daten in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt werden (z. B. für die Zustellung über Twilios US-Infrastruktur), stellt AI Restaurants sicher, dass gemäß DSGVO Kapitel V geeignete Schutzmaßnahmen vorhanden sind:

• Standardvertragsklauseln (SCCs) — die SCCs der Europäischen Kommission von 2021 werden für alle Übermittlungen in Länder ohne Angemessenheitsbeschluss verwendet
• Angemessenheitsbeschlüsse — wenn die Europäische Kommission festgestellt hat, dass ein Drittland ein angemessenes Schutzniveau bietet, stützen wir uns auf diesen Beschluss
• Ergänzende Maßnahmen — für Übermittlungen im Zusammenhang mit Messaging (WhatsApp/SMS) sind die Daten bei der Übertragung Ende-zu-Ende mit TLS 1.2+ verschlüsselt; Nachrichteninhalte werden über die Zustellungsbestätigung hinaus nicht gespeichert

Für jede Drittlandübermittlung wird eine Transferfolgenabschätzung (TFA) erstellt und jährlich überprüft. Wenden Sie sich an privacy@airestaurants.com, um eine Kopie anzufordern.

08Datenspeicherung und -löschung

Aufbewahrungsfristen werden je Datenkategorie in Übereinstimmung mit dem Grundsatz der Speicherbegrenzung der DSGVO (Art. 5(1)(e)) festgelegt:

• Gastkontaktdatensätze: Aktiv während der Lebensdauer des Restaurants oder bis zur Abmeldung/Löschanfrage; automatisch gelöscht 24 Monate nach dem letzten Aktivitätsereignis
• Besuchs- und Einlösungsprotokolle: 24 Monate ab letzter Aktivität
• Marketing-Einwilligungsnachweise: Dauer der Einwilligung + 12 Monate (für Compliance-Prüfung)
• Eigentümer-Kontodaten: Aktive Abonnementlaufzeit + 90 Tage nach Kündigung
• Sicherheits- und Audit-Protokolle: 12 Monate
• IP-Adressen: Anonymisiert nach 30 Tagen
• Datenbank-Backups: 30-Tage-Rotation; gelöschte Daten werden innerhalb von 30 Tagen aus Backups entfernt

Löschanfragen werden innerhalb von 30 Tagen erfüllt. Der Soft-Delete-Mechanismus (24-Stunden-Wiederherstellungsfenster) wird für DSGVO-Löschanfragen außer Kraft gesetzt — Daten werden sofort dauerhaft gelöscht.

09Sicherheitsmaßnahmen (Art. 32)

DSGVO Artikel 32 verlangt geeignete technische und organisatorische Sicherheitsmaßnahmen. AI Restaurants implementiert:

Technische Maßnahmen

• TLS 1.2+-Verschlüsselung für alle Daten bei der Übertragung
• Verschlüsselung der Datenbank im Ruhezustand durch die Hosting-Infrastruktur
• bcrypt-Passwort-Hashing (Kostenfaktor ≥ 12); keine Klartextpasswörter in Protokollen oder Speicher
• httpOnly, Secure, SameSite=Strict-Session-Cookies; Token niemals für JavaScript zugänglich
• CSRF-Schutz auf allen zustandsändernden API-Endpunkten
• Eingabevalidierung und parametrisierte Abfragen durchgehend zur Verhinderung von SQL-Injection und XSS
• Dead-Letter-Queue zur Isolierung fehlgeschlagener Nachrichtenzustellungsversuche
• Automatisierte Datenbank-Backups mit Point-in-Time-Recovery

Organisatorische Maßnahmen

• Rollenbasierte Zugriffskontrolle (RBAC) mit dem Prinzip der minimalen Rechte
• Multi-Faktor-Authentifizierung (MFA) für alle Produktionssystemzugriffe erforderlich
• Manipulationssicheres Audit-Protokoll für alle sicherheitsrelevanten Aktionen
• Jährliche interne Sicherheitsüberprüfung und OWASP-Top-10-Bewertung
• Auftragsverarbeitungsverträge mit allen Auftragsverarbeitern
• Datenschutz-Sensibilisierungsschulung für Mitarbeiter

10Meldung von Datenpannen (Art. 33–34)

AI Restaurants verfügt über ein internes Incident-Response-Verfahren, das mit den DSGVO-Artikeln 33 und 34 übereinstimmt:

• Erkennung: Sicherheitsvorfälle werden über Audit-Log-Benachrichtigungen, Infrastrukturüberwachung und Berichte von Mitarbeitern oder externen Forschern erkannt
• Bewertung: Bereitschaftsingenieure bewerten den Schweregrad des Vorfalls und stellen innerhalb von 24 Stunden nach der Erkennung fest, ob personenbezogene Daten betroffen sind
• Benachrichtigung der Aufsichtsbehörde: Wenn eine Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt, benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden, wie von Art. 33 gefordert
• Individuelle Benachrichtigung: Wenn eine Verletzung wahrscheinlich zu einem hohen Risiko für betroffene Personen führt, benachrichtigen wir die betroffenen Personen unverzüglich und beschreiben die Art der Verletzung und die ergriffenen Maßnahmen (Art. 34)
• Dokumentation: Alle Vorfälle — ob sie zu einer Verletzung führen oder nicht — werden in unserem Sicherheitsvorfall-Register dokumentiert, das den Aufsichtsbehörden auf Anfrage zur Verfügung steht

Um eine Sicherheitslücke zu melden, wenden Sie sich an security@airestaurants.com. Wir folgen einer Responsible-Disclosure-Richtlinie.

11Auftragsverarbeitungsvertrag

Restaurantbesitzer, die AI Restaurants zur Erhebung und Verarbeitung von Gastdaten nutzen, sind gemäß DSGVO Artikel 28 verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) mit uns als ihrem Auftragsverarbeiter zu schließen.

Durch Annahme unserer Nutzungsbedingungen schließen Sie unseren Standard-AVV, der per Verweis einbezogen wird. Der AVV umfasst:

• Gegenstand, Art und Dauer der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Unsere Pflichten als Auftragsverarbeiter (Art. 28(3) a–h)
• Unterauftragsverarbeiter-Benachrichtigung und Genehmigungsverfahren
• Zusammenarbeit mit Aufsichtsbehörden und Ausübung von Rechten betroffener Personen
• Rückgabe oder Löschung von Daten bei Vertragsbeendigung

Wenn Sie ein separat unterzeichnetes AVV-Dokument benötigen (z. B. für Enterprise-Beschaffung oder regulatorische Prüfungszwecke), wenden Sie sich an legal@airestaurants.com.

12Für Restaurantgäste

Wenn Sie ein Restaurant besucht haben, das die AI-Restaurants-Plattform nutzt, und Fragen zu Ihren Daten haben:

• Sie haben alle in Abschnitt 3 aufgeführten Rechte
• Um Ihre Rechte auszulüben, senden Sie eine E-Mail an privacy@airestaurants.com und geben Sie den Namen des besuchten Restaurants an
• Sie können Marketing-Nachrichten jederzeit abbestellen, indem Sie auf den Abmelde-Link in einer Nachricht klicken, die Sie erhalten haben
• Das Restaurant, das Ihre Daten erhoben hat, ist der Verantwortliche; AI Restaurants ist der Auftragsverarbeiter. Sie können sich an beide Parteien wenden, um Ihre Rechte auszulüben
• Wenn Sie mit unserer Antwort nicht zufrieden sind, haben Sie das Recht, bei Ihrer lokalen Datenschutz-Aufsichtsbehörde eine Beschwerde einzureichen (z. B. beim deutschen BfDI, französischen CNIL, irischen DPC oder dem ICO im Vereinigten Königreich)

Eine Liste der EU-Aufsichtsbehörden ist auf edpb.europa.eu verfügbar.

13Unseren Datenschutzbeauftragten kontaktieren

AI Restaurants ist bei seinem aktuellen Umfang nicht formal verpflichtet, gemäß Art. 37 einen Datenschutzbeauftragten (DSB) zu benennen, unterhält jedoch einen dedizierten Datenschutzkontakt, der eine gleichwertige Rolle erfüllt.