AI Restaurants ← Zurück zur Startseite
Rechtliches

Datenschutzerklärung

Wie AI Restaurants Ihre personenbezogenen Daten erhebt, verarbeitet und schützt — klar und vollständig erläutert.

Gültig ab: 20. April 2026 Zuletzt aktualisiert: 20. April 2026 Version 1.0
Diese Richtlinie gilt für alle Nutzer der AI Restaurants-Plattform — Restaurantbesitzer, Administratoren und deren Gäste, die mit QR-Landingpages unseres Dienstes interagieren.

01Wer wir sind

AI Restaurants („wir", „uns", „unser") betreibt eine Loyalty- und Gästeverwaltungsplattform für Gastronomiebetriebe. Wir bieten Restaurantbesitzern Werkzeuge wie gebrandete QR-Landingpages, automatisiertes Messaging, Besuchserfassung und Kampagnenmanagement.

Im Sinne des europäischen Datenschutzrechts (DSGVO) handelt AI Restaurants als Verantwortlicher in Bezug auf Daten, die von Plattformnutzern und Restaurantgästen erhoben werden. Hinsichtlich der im Auftrag von Restaurantbesitzern verarbeiteten Daten handelt AI Restaurants als Auftragsverarbeiter.

Datenschutzkontakt: privacy@airestaurants.com

02Daten, die wir erheben

Von Restaurantbesitzern und Administratoren

  • Kontodaten: vollständiger Name, E-Mail-Adresse, Unternehmensname, Telefonnummer
  • Restaurantprofil: Logo, Markenfarben, Standortadresse, Öffnungszeiten
  • Abrechnungs- und Abonnementdaten (verarbeitet von unserem Zahlungsdienstleister; wir speichern keine Kartennummern)
  • Nutzungsdaten: Anmeldezeitstempel, Dashboard-Interaktionen, Nachrichtenversandverlauf
  • Support-Kommunikation: Nachrichten und Anhänge, die Sie an unser Team senden

Von Restaurantgästen (über QR-Landingpages)

  • Name und E-Mail-Adresse (erforderlich für das Loyalty-Programm)
  • Telefonnummer (optional, nur erhoben, wenn WhatsApp- oder SMS-Messaging aktiviert ist)
  • Besuchsverlauf: Zeitstempel von QR-Scans und Formulareinreichungen
  • Gutschein-/Angebots-Einlösungsnachweise
  • Einwilligungsnachweise: Zeitstempel, Version des Einwilligungstexts und IP-basierte Geolokalisierung (Länderebene)

Automatisch erhobene technische Daten

  • IP-Adresse (nach 30 Tagen anonymisiert)
  • Browsertyp und Betriebssystem
  • Verweisende URL und Seitenaufruf-Zeitstempel
  • Sitzungstoken (zur Authentifizierung; httpOnly, Secure, SameSite=Strict Cookies)

03Wie wir Ihre Daten nutzen

Wir nutzen die erhobenen Daten, um:

  • Die AI Restaurants-Plattform und alle ihre Funktionen bereitzustellen und zu betreiben
  • Transaktionskommunikation zu versenden: Willkommens-E-Mails, Passwort-Zurücksetzungen, Abrechnungsbelege
  • Restaurantbesitzern zu ermöglichen, Marketing- und Loyalty-Nachrichten an ihre Gäste zu senden (nur mit gültiger Einwilligung)
  • Die Plattformnutzung zu analysieren, um Fehler zu beheben und Funktionen zu verbessern
  • Betrug, Missbrauch und Sicherheitsvorfälle zu erkennen und zu verhindern
  • Unsere gesetzlichen und regulatorischen Pflichten zu erfüllen
  • Support-Anfragen und Anfragen zu beantworten

Wir verkaufen Ihre personenbezogenen Daten nicht an Dritte. Wir verwenden Gastdaten nicht für unser eigenes Marketing ohne die separate Einwilligung des Gastes.

04Rechtsgrundlage der Verarbeitung

Gemäß der Datenschutz-Grundverordnung (DSGVO) stützen wir uns auf folgende Rechtsgrundlagen:

  • Vertragserfüllung — Verarbeitung, die zur Erbringung des von Ihnen gebuchten Dienstes erforderlich ist (Kontoverwaltung, Nachrichtenübermittlung, Dashboard-Funktionalität)
  • Berechtigte Interessen — Betrugsprävention, Plattformsicherheit und aggregierte Analysen zur Serviceverbesserung, sofern diese Interessen nicht durch Ihre Rechte überwiegen
  • Einwilligung — Restaurantgäste erteilen eine ausdrückliche, freiwillige Einwilligung, bevor ihre Daten über QR-Landingpages erhoben werden; Marketingnachrichten werden nur auf dieser Grundlage versandt
  • Rechtliche Verpflichtung — Einhaltung geltender Gesetze, einschließlich Steuer-, Finanzregulierungs- und Strafverfolgungsanfragen

05Datenweitergabe und Dritte

Wir geben Daten nur an Auftragsverarbeiter weiter, die für den Betrieb der Plattform erforderlich sind. Alle Auftragsverarbeiter sind durch Datenverarbeitungsverträge gebunden, die DSGVO Artikel 28 entsprechen.

Aktuelle Auftragsverarbeiter

  • Supabase / PostgreSQL — Datenbank-Hosting (EU-Region)
  • SMTP-Anbieter — Transaktions-E-Mail-Zustellung
  • Twilio / 360dialog — WhatsApp- und SMS-Zustellung (sofern aktiviert)
  • Render / Railway / Fly.io — Anwendungshosting-Infrastruktur

Wir können Daten offenlegen, wenn dies gesetzlich vorgeschrieben ist, durch Gerichtsbeschluss oder zum Schutz der Sicherheit von Personen oder der Plattform, jedoch nur im absolut notwendigen Umfang.

Wir geben Restaurantgastdaten niemals an andere Restaurants, Drittanbieter-Werbetreibende oder Datenhändler weiter.

06Cookies und Tracking

Wir verwenden einen minimalen Satz von Cookies und ähnlichen Technologien:

  • Sitzungscookies (unbedingt erforderlich) — halten Sie im Dashboard angemeldet; diese sind httpOnly, Secure und SameSite=Strict
  • CSRF-Token (unbedingt erforderlich) — schützen Formularübermittlungen vor Cross-Site-Request-Forgery-Angriffen
  • Präferenz-Cookies — merken sich Ihre gewählte Sprache auf der Landingpage (gespeichert in localStorage; keine Serverübertragung)

Wir verwenden keine Werbe-Cookies, seitenübergreifende Tracking-Pixel oder Analysedienste, die Daten an Dritte senden (z. B. Google Analytics ist nicht installiert).

Sie können Sitzungscookies jederzeit löschen, indem Sie sich abmelden oder Ihren Browser-Speicher leeren. Präferenz-Cookies können durch Löschen des lokalen Browser-Speichers entfernt werden.

07Datenspeicherung

  • Gastkontaktdaten — gespeichert, solange das Restaurantkonto aktiv ist oder bis der Gast die Löschung beantragt, je nachdem, was zuerst eintritt
  • Besuchs- und Einlösungsprotokolle — 24 Monate ab der letzten Aktivität gespeichert, danach automatisch gelöscht
  • Kontodaten (Besitzer) — für die Dauer des Abonnements plus 90 Tage nach Kündigung für Abrechnungsstreitigkeiten gespeichert
  • Audit-Protokolle — 12 Monate zur Unterstützung von Sicherheitsvorfalluntersuchungen gespeichert
  • IP-Adressen — nach 30 Tagen anonymisiert
  • Backup-Snapshots — im 30-Tage-Zyklus rotiert; gelöschte Daten werden innerhalb von 30 Tagen aus Backups entfernt

08Datensicherheit

Wir wenden folgende technische und organisatorische Sicherheitsmaßnahmen an:

  • Passwörter werden mit bcrypt mit einem Mindest-Kostenfaktor von 12 gehasht; Klartextpasswörter werden niemals gespeichert oder protokolliert
  • Alle Daten bei der Übertragung werden mit TLS 1.2 oder höher verschlüsselt
  • Datenbankverbindungen verwenden TLS; ruhende Daten werden vom Hosting-Anbieter verschlüsselt
  • Die Authentifizierung verwendet httpOnly, Secure, SameSite=Strict Cookies; Token werden JavaScript nicht zugänglich gemacht
  • CSRF-Schutz wird auf alle zustandsändernden HTTP-Endpunkte angewendet
  • Eingabevalidierung wird auf alle API-Endpunkte angewendet, um Injection-Angriffe zu mindern (OWASP Top 10)
  • Eine Dead-Letter-Queue und ein Wiederholungsmechanismus isolieren fehlgeschlagene Nachrichtenzustellungen ohne Datenoffenlegung
  • Alle sicherheitsrelevanten Aktionen werden in einem manipulationssicheren Audit-Protokoll aufgezeichnet
  • Der Zugang zur Produktionsinfrastruktur ist auf autorisiertes Personal beschränkt, mit erzwungener MFA

Im Falle einer Verletzung personenbezogener Daten, die voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten darstellt, werden wir betroffene Personen unverzüglich benachrichtigen und die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren, wie von DSGVO Artikel 33 vorgeschrieben.

09Ihre Rechte

Gemäß der DSGVO (und gleichwertigen Gesetzen im Vereinigten Königreich und anderen Ländern) haben Sie folgende Rechte:

  • Auskunftsrecht — Anforderung einer Kopie der personenbezogenen Daten, die wir über Sie gespeichert haben
  • Recht auf Berichtigung — Aufforderung zur Korrektur unrichtiger Daten
  • Recht auf Löschung („Recht auf Vergessenwerden") — Anforderung der Löschung Ihrer Daten, vorbehaltlich unserer gesetzlichen Aufbewahrungspflichten
  • Recht auf Einschränkung — Aufforderung, die Verarbeitung während einer Streitbeilegung auszusetzen
  • Recht auf Datenübertragbarkeit — Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
  • Widerspruchsrecht — Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen oder für Direktmarketing
  • Rechte in Bezug auf automatisierte Entscheidungsfindung — wir treffen keine ausschließlich automatisierten Entscheidungen mit rechtlichen oder erheblichen Auswirkungen
  • Recht auf Widerruf der Einwilligung — sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne die Rechtmäßigkeit der vorherigen Verarbeitung zu beeinträchtigen

Um eines dieser Rechte auszuüben, kontaktieren Sie uns unter privacy@airestaurants.com. Wir werden innerhalb von 30 Tagen antworten. Sie haben auch das Recht, eine Beschwerde bei Ihrer lokalen Datenschutzaufsichtsbehörde einzureichen.

10Internationale Übermittlungen

Wir speichern und verarbeiten Daten in erster Linie im Europäischen Wirtschaftsraum (EWR). Wenn ein Auftragsverarbeiter außerhalb des EWR ansässig ist, stellen wir sicher, dass geeignete Schutzmaßnahmen vorhanden sind, wie z. B.:

  • Standardvertragsklauseln (SCCs), die von der Europäischen Kommission genehmigt wurden
  • Angemessenheitsbeschlüsse der Europäischen Kommission

Sie können Details zu den spezifischen Übermittlungsmechanismen für jeden Auftragsverarbeiter anfordern, indem Sie privacy@airestaurants.com kontaktieren.

11Datenschutz für Kinder

Die AI Restaurants-Plattform richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Wenn Sie glauben, dass wir versehentlich Daten von einem Kind unter 16 Jahren erhoben haben, kontaktieren Sie uns bitte umgehend unter privacy@airestaurants.com, und wir werden die Daten unverzüglich löschen.

12Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen in unseren Praktiken, Technologien oder geltendem Recht widerzuspiegeln. Bei wesentlichen Änderungen werden wir:

  • Das Datum „Zuletzt aktualisiert" oben auf dieser Seite aktualisieren
  • Restaurantbesitzer mindestens 14 Tage vor Inkrafttreten wesentlicher Änderungen per E-Mail benachrichtigen
  • Für Änderungen, die eine neue Einwilligung von Gästen erfordern, die betreffenden Restaurantbesitzer benachrichtigen, damit sie ihren Landingpage-Einwilligungstext aktualisieren können

Ihre fortgesetzte Nutzung der Plattform nach dem Inkrafttreten einer Änderung gilt als Zustimmung zur überarbeiteten Richtlinie.

13Kontakt

Für alle datenschutzbezogenen Anfragen, Rechtsanfragen oder Datenschutzverletzungsmeldungen wenden Sie sich bitte an unser Datenschutzteam:

Datenschutzkontakt

E-Mail: privacy@airestaurants.com

Betreff: Bitte geben Sie „DATENSCHUTZANFRAGE" für eine schnellere Weiterleitung an.

Antwortzeit: Wir bemühen uns, innerhalb von 5 Werktagen zu antworten und werden stets innerhalb der gesetzlichen 30-Tage-Frist antworten.

Wenn Sie ein Restaurantgast sind und Ihre Rechte ausüben möchten, kontaktieren Sie uns bitte unter der oben genannten E-Mail-Adresse und geben Sie den Namen des besuchten Restaurants an, damit wir Ihren Datensatz finden können.