Datenschutzerklärung
Entwurf – diese Seite darf so nicht veröffentlicht werden. Es fehlen noch folgende Pflichtangaben: hostingProvider, mailProvider
Wir erklären hier, welche personenbezogenen Daten wir verarbeiten, wenn Sie unsere Website nutzen, online bestellen, am Tisch per QR-Code bestellen oder einen Tisch reservieren – und warum, wie lange und wer sie sonst noch zu sehen bekommt.
§ 1 Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Website im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
- Saba Jemenitisches Restaurant
- Schillerstraße 45, 34117 Kassel, Deutschland
- Telefon: 0561 20193251
- E-Mail: info@sabajemenitischesrestaurant.de
Die vollständigen Angaben zum Inhaber finden Sie im Impressum. Einen Datenschutzbeauftragten haben wir nicht bestellt; dazu sind wir nach Art. 37 DSGVO und § 38 BDSG nicht verpflichtet. Bei allen Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte Adresse.
§ 2 Überblick: Was wir verarbeiten und warum
Die folgende Tabelle fasst zusammen, was passiert. Die Einzelheiten stehen in den jeweiligen Abschnitten.
| Wenn Sie … | verarbeiten wir | auf welcher Grundlage |
|---|---|---|
| die Website nur ansehen | technische Zugriffsdaten (Server-Logfiles) | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| online bestellen | Name, E-Mail, Telefon, ggf. Lieferadresse, Bestellinhalt, IP-Adresse | Vertrag (Art. 6 Abs. 1 lit. b), Betrugsabwehr (lit. f), Steuerrecht (lit. c) |
| online bezahlen | Weitergabe von E-Mail, Betrag und Bestellnummer an unseren Zahlungsdienstleister | Vertrag (Art. 6 Abs. 1 lit. b) |
| am Tisch per QR-Code bestellen | Zufallskennung Ihres Geräts, Tischnummer, Bestellinhalt – kein Name nötig | Vertrag (Art. 6 Abs. 1 lit. b) |
| einen Tisch reservieren | Name, Telefon, ggf. E-Mail, Personenzahl, Zeitpunkt | Vertrag bzw. vorvertragliche Maßnahme (Art. 6 Abs. 1 lit. b) |
| die Karte auf der Startseite laden | Übermittlung Ihrer IP-Adresse an Google | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – siehe § 10 |
Wir setzen keine Analyse-, Tracking- oder Werbedienste ein. Es gibt kein Nutzerprofil, keine Weitergabe zu Werbezwecken und keine automatisierte Entscheidungsfindung oder Profilbildung im Sinne von Art. 22 DSGVO.
§ 3 Online-Bestellung (Lieferung und Abholung)
Um Ihre Bestellung annehmen, zubereiten, abrechnen und ausliefern zu können, brauchen wir bestimmte Angaben. Ohne sie können wir den Vertrag nicht erfüllen.
Bei jeder Bestellung
- Name, E-Mail-Adresse und Telefonnummer
- die bestellten Gerichte samt Optionen, Mengen und Preisen
- Ihre Anmerkung zur Bestellung, falls Sie eine eingeben
- Bestellart (Lieferung oder Abholung), Wunschzeit, Zahlungsart
- Bestellnummer, Zeitpunkt und – nach Abschluss – die Rechnungsnummer
Zusätzlich bei Lieferung
- Vor- und Nachname, Straße, Hausnummer, Postleitzahl und Ort
- freiwillig: Etage, Klingelname und ein Hinweis für den Fahrer
- die geografischen Koordinaten Ihrer Adresse (siehe § 9)
- auf Wunsch: der Hinweis, dass kontaktlos übergeben werden soll
Ihre Telefonnummer nutzen wir ausschließlich für Rückfragen zu dieser Bestellung, etwa wenn der Fahrer die Adresse nicht findet oder ein Gericht nicht verfügbar ist. Unser Fahrpersonal sieht nur die Daten, die für die jeweilige Tour nötig sind.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags). Für die anschließende Aufbewahrung von Rechnungen und Buchungsbelegen ist es Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den handels- und steuerrechtlichen Aufbewahrungspflichten (siehe § 14).
§ 4 IP-Adresse bei Bestellungen (Missbrauchs- und Betrugsabwehr)
Wenn Sie über die Website bestellen, speichern wir zusätzlich die IP-Adresse, von der die Bestellung abgeschickt wurde – unabhängig davon, ob Sie online oder bar bezahlen.
Warum wir das tun
- Zahlungsausfälle und Rückbuchungen: Bei Online-Zahlungen kommt es vor, dass eine Zahlung zurückgebucht wird. Die IP-Adresse hilft uns, zusammengehörige Vorgänge zu erkennen und uns gegen unberechtigte Rückbuchungen zu wehren.
- Falschbestellungen bei Barzahlung: Bei Barzahlung entsteht uns ein Schaden, wenn jemand Essen auf eine erfundene Adresse bestellt und nicht abnimmt. Die IP-Adresse hilft uns, wiederholte Falschbestellungen als zusammengehörig zu erkennen.
- Automatisierter Missbrauch: Wir erkennen, wenn in kurzer Zeit auffällig viele Bestellungen von derselben Quelle kommen.
Was wir damit nicht tun
Wir werten die IP-Adresse nicht aus, um Sie wiederzuerkennen, Ihr Verhalten zu analysieren oder ein Profil zu bilden. Sie wird nicht zu Werbezwecken genutzt und nicht an Dritte verkauft. Es findet keine automatisierte Ablehnung von Bestellungen statt – ein Mensch sieht sich einen Verdachtsfall an.
Wie lange
Die IP-Adresse wird nach 90 Tagen automatisch aus der Bestellung entfernt. Die Bestellung selbst bleibt danach erhalten – wir müssen sie steuerlich aufbewahren –, aber ohne die IP-Adresse. Das geschieht technisch automatisch und nicht auf Zuruf.
Die Frist von 90 Tagen orientiert sich daran, wie lange Rückbuchungen und Streitfälle üblicherweise auftreten. Danach überwiegt Ihr Interesse an der Löschung.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse ist die Abwehr von Betrug, Zahlungsausfällen und Missbrauch unseres Bestellsystems. Sie können dieser Verarbeitung nach Art. 21 DSGVO widersprechen; wir prüfen dann im Einzelfall, ob unsere Gründe im konkreten Fall überwiegen.
Bei Bestellungen am Tisch über den QR-Code speichern wir keine IP-Adresse an der Bestellung. Dort wäre es die Adresse unseres Gäste-WLANs und damit ohne Aussagekraft.
Unabhängig davon verwenden wir IP-Adressen kurzzeitig zur Begrenzung der Anfragen pro Zeitraum (Schutz vor Überlastung und automatisierten Angriffen). Diese Daten liegen nur im Arbeitsspeicher, werden nicht dauerhaft gespeichert und verfallen nach wenigen Minuten von selbst.
§ 5 Zahlungsabwicklung
Barzahlung
Bei Barzahlung bei Lieferung oder Abholung entstehen keine Zahlungsdaten bei uns. Es wird lediglich in der Bestellung vermerkt, dass bar gezahlt wird und ob der Betrag beglichen wurde.
Online-Zahlung über Stripe
Für Kartenzahlung, Apple Pay und Google Pay nutzen wir Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
Wenn Sie online bezahlen, übermitteln wir an Stripe: Ihre E-Mail-Adresse, den zu zahlenden Betrag, die Bezeichnung Ihrer Bestellung und unsere interne Bestellnummer. Ihre Zahlungsdaten – Kartennummer, Bankverbindung, Authentifizierung – geben Sie direkt bei Stripe ein. Diese Daten erreichen uns zu keinem Zeitpunkt und werden von uns nicht gespeichert.
Stripe erhebt bei der Zahlung eigene Daten über Sie, darunter Ihre IP-Adresse und Angaben zu Ihrem Gerät, und ist dafür eigenständig verantwortlich. Bitte lesen Sie dazu die Datenschutzerklärung von Stripe unter stripe.com/de/privacy.
Von Stripe erhalten wir zurück: ob die Zahlung erfolgreich war, eine Zahlungs-Referenznummer und den Zeitpunkt. Diese Rückmeldung speichern wir zusammen mit der Bestellung, um die Zahlung zuordnen und im Streitfall nachweisen zu können.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags). Stripe ist ein weltweit tätiges Unternehmen; eine Übermittlung in die USA ist möglich. Stripe stützt solche Übermittlungen auf die Standardvertragsklauseln der EU-Kommission.
§ 6 Bestellverfolgung
Nach der Bestellung erhalten Sie einen Link, über den Sie den Status Ihrer Bestellung verfolgen können. Der Link enthält eine lange, zufällig erzeugte Zeichenfolge und ist nicht erratbar. Ein Kundenkonto ist dafür nicht nötig.
Wer den Link kennt, sieht den Status dieser einen Bestellung. Geben Sie ihn deshalb nicht weiter. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
§ 7 Bestellung am Tisch per QR-Code
Wenn Sie den QR-Code an Ihrem Tisch scannen, öffnet sich die Speisekarte und Sie können direkt bestellen. Ein Konto und Ihr Name sind dafür nicht erforderlich.
Damit das System weiß, welche Bestellung zu welchem Tisch und zu welchem Gast gehört, setzen wir zwei Cookies:
- saba_device (Laufzeit 1 Jahr)
- Eine zufällig erzeugte Kennung für Ihr Gerät. Sie enthält keinen Namen und keine Angaben über Sie. Sie sorgt dafür, dass Ihr Handy bei einem erneuten Besuch wiedererkannt und nicht doppelt als neuer Gast gezählt wird.
- saba_tsession (Laufzeit 12 Stunden)
- Ordnet Ihr Gerät der aktuell geöffneten Tischrunde zu. Ohne dieses Cookie wüsste die Küche nicht, an welchen Tisch Ihr Essen gehört.
Beide Cookies sind für die Funktion notwendig und lassen sich nicht abwählen, ohne dass die Tischbestellung unbenutzbar wird. Sie sind vor dem Zugriff durch Skripte geschützt (HttpOnly) und werden nur an unseren eigenen Server gesendet. Rechtsgrundlage für das Speichern auf Ihrem Gerät ist § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich für den ausdrücklich gewünschten Dienst), für die anschließende Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.
Zusätzlich speichern wir, an welchem Tisch Sie sitzen, als wievielter Gast Sie erfasst wurden, was Sie ausgewählt haben und wann Ihr Gerät zuletzt aktiv war. Letzteres brauchen wir für die gemeinsame Bestellung mehrerer Gäste an einem Tisch: Das System wartet, bis alle fertig sind, bevor die Bestellung an die Küche geht.
Wenn Ihr Tisch abgerechnet wird, wird die Tischrunde geschlossen. Die Bestellungen bleiben als Umsatz erhalten, wie bei jeder Bestellung im Restaurant.
§ 8 Tischreservierung
Für eine Reservierung verarbeiten wir Ihren Namen, Ihre Telefonnummer, auf Wunsch Ihre E-Mail-Adresse für die Bestätigung, die Personenzahl, Datum und Uhrzeit, den gewünschten Tisch sowie einen optionalen Hinweis von Ihnen.
Die Telefonnummer brauchen wir, um Sie erreichen zu können, wenn es zu einer Reservierung eine Rückfrage gibt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme bzw. Vertragserfüllung).
§ 9 Adressprüfung und Liefergebiet
Bevor wir eine Lieferung annehmen, prüfen wir, ob Ihre Adresse in unserem Liefergebiet liegt und welche Liefergebühr anfällt. Dafür wandeln wir Ihre Adresse in geografische Koordinaten um (Geocoding).
Wir nutzen dafür den Dienst Nominatim der OpenStreetMap Foundation (St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich). Für das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission.
Wichtig: Diese Abfrage stellt unser Server, nicht Ihr Browser. Übermittelt wird ausschließlich die eingegebene Adresse. Ihre IP-Adresse und andere Angaben über Sie oder Ihr Gerät erfährt der Dienst dabei nicht.
Das Ergebnis speichern wir zwischen, damit dieselbe Adresse nicht wiederholt abgefragt werden muss. Dieser Zwischenspeicher enthält die Adresse und die zugehörigen Koordinaten, aber keine Angaben zu Ihrer Person und keine Verknüpfung zu Ihrer Bestellung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
§ 10 Google Maps (Karte auf Startseite und Kontaktseite)
Auf der Startseite und der Kontaktseite binden wir eine Karte von Google Maps ein, damit Sie uns finden. Anbieter ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.
Die Karte wird geladen, sobald Sie die Seite öffnen. Dabei erfährt Google Ihre IP-Adresse, welche unserer Seiten Sie aufgerufen haben, Angaben zu Ihrem Browser und Gerät sowie Datum und Uhrzeit. Google kann dabei Cookies setzen und die Daten mit einem bestehenden Google-Konto verknüpfen, falls Sie eingeloggt sind. Auf diese Verarbeitung durch Google haben wir keinen Einfluss.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, Ihnen die Anfahrt zu unserem Restaurant verständlich darzustellen.
Google verarbeitet Daten auch in den USA. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend stützt Google Übermittlungen auf die Standardvertragsklauseln der EU-Kommission. Einzelheiten zur Verarbeitung durch Google finden Sie unter policies.google.com/privacy.
Wenn Sie das nicht möchten, können Sie die Karte über einen Skript- oder Inhaltsblocker in Ihrem Browser unterbinden; die übrigen Seiten funktionieren dann weiterhin. Der Weg zu uns steht auf jeder Seite auch als reine Textadresse.
§ 11 E-Mails und Kassenbon
Wir senden Ihnen zu einer Bestellung folgende E-Mails: eine Bestätigung mit den Bestelldaten und dem Link zur Bestellverfolgung, bei Statusänderungen eine kurze Information sowie nach Abschluss eine E-Mail mit Ihrem Kassenbon als PDF im Anhang. Bei einer Reservierung erhalten Sie eine Bestätigung, sofern Sie eine E-Mail-Adresse angegeben haben.
Das sind keine Werbe-E-Mails, sondern Nachrichten zur Abwicklung Ihres Vertrags (Art. 6 Abs. 1 lit. b DSGVO). Einen Newsletter versenden wir derzeit nicht.
Für den Versand nutzen wir einen E-Mail-Dienstleister, der die Nachricht in unserem Auftrag zustellt. Mit ihm besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
§ 12 Zugänge für Mitarbeitende
Unser Personal – Küche, Fahrpersonal und Verwaltung – arbeitet mit einem eigenen, passwortgeschützten Zugang. Dieser Abschnitt betrifft Sie als Gast nicht unmittelbar; wir führen ihn der Vollständigkeit halber auf.
- Anmeldedaten: Benutzername, Passwort (nur als nicht rückrechenbarer Hashwert gespeichert) und optional ein Zwei-Faktor-Code.
- Anmeldeversuche: erfolgreiche und fehlgeschlagene Anmeldungen mit Zeitpunkt, IP-Adresse und Browserkennung. Sie dienen der Erkennung von Angriffen und werden nach 90 Tagen gelöscht.
- Sitzungen: eine Sitzungskennung im Cookie saba_session, dazu IP-Adresse und Browserkennung. Abgelaufene Sitzungen werden automatisch entfernt.
- Änderungsprotokoll: Wer welche Bestellung, welchen Preis oder welche Abrechnung geändert hat, wird protokolliert. Dieses Protokoll ist nachträglich nicht veränderbar.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und § 26 BDSG für das Beschäftigungsverhältnis, Art. 6 Abs. 1 lit. f DSGVO für die Sicherheit unserer Systeme sowie Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit den Grundsätzen ordnungsmäßiger Buchführung für das unveränderliche Änderungsprotokoll.
§ 13 Hosting und Server-Logfiles
Unsere Website wird bei einem Dienstleister betrieben, der die Daten in unserem Auftrag verarbeitet. Mit ihm besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Die Server stehen in der Europäischen Union.
Beim Aufruf jeder Seite fallen technisch bedingt Zugriffsdaten an: IP-Adresse, Zeitpunkt, aufgerufene Adresse, übertragene Datenmenge, Browsertyp und Betriebssystem. Diese Daten sind erforderlich, um die Seite überhaupt ausliefern zu können, und dienen darüber hinaus der Sicherheit und Fehlersuche.
Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (sicherer und störungsfreier Betrieb). Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.
Schriftarten binden wir von unserem eigenen Server ein. Es besteht dabei keine Verbindung zu Google Fonts oder einem anderen fremden Server.
§ 14 Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck nötig ist oder wie das Gesetz es von uns verlangt.
| Daten | Dauer | Grund |
|---|---|---|
| IP-Adresse an der Bestellung | 90 Tage, dann automatische Entfernung | Betrugs- und Missbrauchsabwehr (§ 4) |
| Bestellungen, Rechnungen, Kassenbons, Tagesabschlüsse | gesetzliche Aufbewahrungsfrist nach Handels- und Steuerrecht | Aufbewahrungspflicht (§ 147 AO, § 257 HGB) |
| Reservierungen | bis zum Termin und anschließend für Rückfragen; danach Löschung | Vertragsabwicklung |
| Tischrunden und Gerätekennungen | Tischrunde endet mit der Abrechnung; Gerätekennung 1 Jahr (Cookie) | Zuordnung der Bestellung zum Tisch |
| Anmeldeversuche des Personals | 90 Tage | Angriffserkennung |
| Änderungsprotokoll | gesetzliche Aufbewahrungsfrist | Ordnungsmäßige Buchführung |
| Server-Logfiles | kurzfristig; Löschung durch den Hoster | Betrieb und Sicherheit |
Wenn Sie die Löschung Ihrer Daten verlangen, wir sie aber steuerlich aufbewahren müssen, schränken wir die Verarbeitung stattdessen ein: Die Daten werden dann nur noch für den gesetzlichen Zweck vorgehalten und nicht mehr aktiv genutzt.
§ 15 Wer Ihre Daten sonst noch erhält
Wir geben Ihre Daten nur weiter, wenn es für die Abwicklung nötig ist oder wir gesetzlich dazu verpflichtet sind. Ein Verkauf von Daten findet nicht statt.
| Empfänger | Was | Wozu |
|---|---|---|
| Stripe Payments Europe, Ltd. (Irland) | E-Mail, Betrag, Bestellbezeichnung | Online-Zahlung |
| OpenStreetMap Foundation (UK) | nur die eingegebene Adresse | Prüfung des Liefergebiets |
| Google Ireland Limited | IP-Adresse und Gerätedaten beim Laden der Karte | Kartendarstellung |
| Hosting-Dienstleister | alle Daten technisch, im Auftrag | Betrieb der Website |
| E-Mail-Dienstleister | Empfänger und Inhalt der E-Mail | Versand |
| Steuerberatung und Finanzbehörden | Rechnungen und Buchungsbelege | gesetzliche Pflicht |
| Unser Fahrpersonal | nur die für die Tour nötigen Daten | Auslieferung |
§ 16 Ihre Rechte
Ihnen stehen gegenüber uns die folgenden Rechte zu:
- Auskunft (Art. 15 DSGVO)
- Sie können erfahren, ob und welche Daten wir über Sie verarbeiten, und eine Kopie davon erhalten.
- Berichtigung (Art. 16 DSGVO)
- Sie können verlangen, dass wir falsche Daten korrigieren oder unvollständige Daten ergänzen.
- Löschung (Art. 17 DSGVO)
- Sie können die Löschung verlangen, soweit wir die Daten nicht mehr benötigen und keine Aufbewahrungspflicht entgegensteht.
- Einschränkung (Art. 18 DSGVO)
- Sie können verlangen, dass wir Daten vorerst nur noch speichern und nicht weiter verwenden.
- Datenübertragbarkeit (Art. 20 DSGVO)
- Sie können die Daten, die Sie uns gegeben haben, in einem gängigen, maschinenlesbaren Format erhalten.
- Widerspruch (Art. 21 DSGVO)
- Soweit wir Daten auf Grundlage eines berechtigten Interesses verarbeiten – etwa die IP-Adresse nach § 4 oder die Karte nach § 10 –, können Sie dem aus Gründen widersprechen, die sich aus Ihrer besonderen Situation ergeben.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
- Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Wenden Sie sich dafür einfach an info@sabajemenitischesrestaurant.de oder an die in § 1 genannte Anschrift. Wir antworten Ihnen innerhalb der gesetzlichen Frist von einem Monat.
Beschwerderecht
Sie haben nach Art. 77 DSGVO das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit · Postfach 3163, 65021 Wiesbaden.
§ 17 Sicherheit
Die Übertragung zwischen Ihrem Browser und unserem Server ist durchgehend verschlüsselt (HTTPS). Passwörter unserer Mitarbeitenden speichern wir ausschließlich als nicht rückrechenbaren Hashwert. Der Zugriff auf Bestell- und Kundendaten ist auf die Personen beschränkt, die ihn für ihre Aufgabe brauchen.
Trotz aller Sorgfalt kann keine Übertragung im Internet absolut sicher sein. Wenn Sie den Verdacht haben, dass etwas nicht stimmt, melden Sie sich bitte unter der oben genannten Adresse.
§ 18 Änderungen dieser Erklärung
Wir passen diese Erklärung an, wenn wir unser Angebot ändern oder sich die Rechtslage ändert. Es gilt jeweils die hier veröffentlichte Fassung. Das Datum oben zeigt Ihnen, wann wir sie zuletzt überarbeitet haben.
