Datenschutzerklärung
Stand: April 2026
Verantwortlicher
Menüheld / Lionel Müller
Vor dem Moritztor 4, 99084 Erfurt, Deutschland
E-Mail: info@menuheld.de · Telefon: +49 155 63311777
Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO).
Welche Daten wir erheben
Beim Besuch von menuheld.de (Server-Logfiles)
Bei jedem Aufruf erhebt unser Hosting-Provider automatisiert folgende Daten in Server-Logfiles: IP-Adresse, Datum und Uhrzeit der Anfrage, abgerufene URL, Referrer-URL, User-Agent (Browser/Betriebssystem), HTTP-Statuscode, übertragene Datenmenge.
Zweck: Auslieferung der Inhalte, Stabilität und Sicherheit der Plattform, Abwehr von Angriffen, Analyse bei Störungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren Betrieb).
Speicherdauer: 14 Tage, danach automatische Löschung.
Registrierte Gastronomen
Vor- und Nachname, geschäftliche E-Mail, Telefonnummer, Restaurant-Name und -Adresse, USt-ID (sofern angegeben), Passwort (verschlüsselt mittels scrypt — niemals im Klartext), Konto-Identifikatoren der vom Gastronomen verbundenen Zahlungsdienstleister (z. B. Stripe-Connected-Account-ID, PayPal-Merchant-ID/-Email), gewählte Tarif-/Abrechnungsdaten, Login-Aktivität (Zeitpunkt, Anzahl).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Endkunden (im Auftrag des Restaurants)
Name, E-Mail, Telefon, Lieferadresse (sofern Lieferung), Bestellinhalt, Bestellzeitpunkt, gewählte Zahlungsmethode, Bestellverlauf, freiwillige Bemerkungen, Treuepunkte-Stand, eingelöste Gutscheine, optionale Marketing-Einwilligung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i.V.m. Art. 28 DSGVO (Auftragsverarbeitung für das Restaurant).
Zahlungsdaten
Kartendaten, Bankverbindung und PayPal-Login-Daten der Endkunden werden ausschließlich von den eingesetzten Zahlungsdienstleistern — insbesondere Stripe und PayPal — erhoben und verarbeitet. Menüheld speichert keine vollständigen Karten-, Konto- oder PayPal-Login-Daten. Wir erhalten nur eine anonymisierte Zahlungs-Referenz (z. B. Stripe-PaymentIntent-ID, PayPal-Order- und -Capture-ID) sowie den Zahlungsstatus (bezahlt / fehlgeschlagen / erstattet) zur Buchführung und Bestell-Zuordnung.
Die Zahlungsdienstleister können beim Bezahlvorgang eigenständig Geräte-Informationen, IP-Adresse und Browser-Fingerprint zur Betrugsabwehr erheben (insbesondere beim Laden des PayPal-JavaScript-SDKs auf der Checkout-Seite). Die Verarbeitung erfolgt jeweils in eigener Verantwortung des Anbieters auf Grundlage seiner Datenschutzerklärung.
Push-Benachrichtigungen (Restaurant-iPad-App)
Mit Zustimmung des Restaurant-Mitarbeiters speichern wir einen Geräte-Token (Apple Push Notification Service / Firebase), um neue Bestellungen sofort an das iPad zu pushen. Widerruf jederzeit in den Geräte-Einstellungen.
Rechtsgrundlagen im Überblick
- ▸Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Marketing-Mails, Push, optionale Cookies)
- ▸Art. 6 Abs. 1 lit. b DSGVO — Vertrag (Bestellabwicklung, Konto, Plattform-Nutzung)
- ▸Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflicht (Aufbewahrungsfristen, Steuerrecht)
- ▸Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Logfiles, Sicherheit, Direktwerbung an Bestandskunden im Rahmen § 7 Abs. 3 UWG)
- ▸Art. 28 DSGVO — Auftragsverarbeitung (Endkunden-Daten im Namen des Restaurants)
- ▸§ 25 TDDDG — Speicherung/Auslesen von Informationen auf Endgeräten (technisch notwendige Cookies ohne Einwilligung zulässig)
Drittanbieter & Subunternehmer
Wir setzen die folgenden Dienstleister ein. Soweit Datentransfer in Drittländer (insbesondere USA) erfolgt, geschieht dies auf Grundlage von EU-Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO und/oder im Rahmen des EU-US Data Privacy Framework (Adequacy Decision der EU-Kommission vom 10.07.2023).
Stripe und PayPal sind hinsichtlich der Zahlungsabwicklung jeweils eigenständig Verantwortliche, nicht Auftragsverarbeiter. Es gelten die jeweiligen Datenschutz- erklärungen dieser Anbieter; ein Auftragsverarbeitungsvertrag (AVV) wird mit ihnen nicht abgeschlossen, da sie nicht weisungs- gebunden tätig werden. Mit allen anderen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) bzw. — soweit anwendbar — gleichwertige Datenschutz-Vereinbarungen.
Auftragsverarbeitung
Endkunden-Daten verarbeitet Menüheld ausschließlich im Auftrag des jeweiligen Restaurants. Mit Nutzung der Plattform stellen wir dem Restaurant einen Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO zur Verfügung. Auf Anfrage senden wir den vollständigen AVV in Textform.
- ✓Verarbeitung ausschließlich zur Bestellabwicklung und Kommunikation mit dem Endkunden
- ✓Keine Weitergabe an unbefugte Dritte
- ✓Technische und organisatorische Maßnahmen (TLS, scrypt-Hashing, Hosting in Deutschland, Zugriffsbeschränkung)
- ✓Bei Vertragsende: Rückgabe oder Löschung aller Endkunden-Daten innerhalb von 30 Tagen — auf Wunsch des Restaurants
- ✓Unterstützung bei Betroffenenrechten (Auskunft, Löschung, Berichtigung, Datenübertragbarkeit)
- ✓Sub-Auftragsverarbeiter sind in § 6 dieser Erklärung aufgelistet
Marketing-Kommunikation & Newsletter
Marketing-E-Mails (Aktionen, Newsletter, Reaktivierungen) versenden wir bzw. das jeweilige Restaurant ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 UWG) oder im Rahmen einer bestehenden Kundenbeziehung an ähnliche eigene Produkte (§ 7 Abs. 3 UWG). Endkunden können jederzeit über den Abmelde-Link in jeder Marketing-Mail oder per Nachricht an das jeweilige Restaurant widersprechen — ohne dass hierdurch Übermittlungskosten anders als nach den Basistarifen entstehen.
Es findet kein Tracking-Pixel in unseren transaktionalen Mails statt (keine Open-/Click-Auswertung). Bestellbestätigungen und Betriebsmails werden ohne Einwilligung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO versendet.
KI-gestützte Verarbeitung
Für bestimmte Plattform-Funktionen setzen wir Sprachmodelle der Anthropic, PBC ein (insbesondere zur Generierung von Antworten auf Google-Bewertungen sowie zur Erstellung von Inhalts- Vorschlägen). Übermittelt werden hierbei der Bewertungstext sowie das Restaurant-Profil. Keine Endkunden- Stammdaten (E-Mail, Telefon, Adresse) werden an die KI übergeben.
Es findet keine automatisierte Entscheidung im Einzelfall mit Rechtswirkung gegenüber den Betroffenen statt (Art. 22 DSGVO). KI-generierte Texte werden — soweit vorgesehen — vor Veröffentlichung manuell durch das Restaurant freigegeben.
Internationaler Datentransfer
Soweit personenbezogene Daten an Empfänger in den USA oder anderen Drittländern übermittelt werden (insbesondere Stripe, PayPal, Resend, Twilio, Google, Cloudflare, Anthropic, Apple), erfolgt dies auf Grundlage:
- eines Angemessenheitsbeschlusses der EU-Kommission gem. Art. 45 DSGVO (insbesondere EU-US Data Privacy Framework vom 10.07.2023, soweit der jeweilige Anbieter zertifiziert ist), und/oder
- EU-Standardvertragsklauseln (SCCs, Modul 2 oder 3) gem. Art. 46 Abs. 2 lit. c DSGVO.
Die Auswahl der Anbieter erfolgt nach sorgfältiger Risiko- Abwägung. Trotzdem kann nicht ausgeschlossen werden, dass US-Behörden auf Grundlage US-amerikanischer Gesetze (z. B. FISA 702, CLOUD Act) auf Daten zugreifen.
Speicherdauer
| Bestelldaten (Buchhaltungs-relevant) | 10 Jahre (§§ 147 AO, 257 HGB) |
| Rechnungen / Belege | 10 Jahre (§ 14b UStG) |
| Gastronom-Konto-Stammdaten | Bis Kündigung + 30 Tage |
| Endkunden-Konto | Bis Löschung durch Kunden oder Restaurant |
| Server-Logfiles | 14 Tage |
| E-Mail-Versandprotokolle (Resend) | 90 Tage |
| Marketing-Einwilligungs-Nachweise | 3 Jahre nach Widerruf |
| Push-Tokens (iPad-App) | Bis Deinstallation oder Logout |
Deine Rechte (Art. 15–22 DSGVO)
Widerruf erteilter Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO) — die Rechtmäßigkeit bis zum Widerruf bleibt unberührt.
Widerspruchsrecht gegen Direktwerbung jederzeit ohne Angabe von Gründen (Art. 21 Abs. 2 DSGVO).
Kontakt für Anfragen: info@menuheld.de. Endkunden wenden sich für Daten ihrer Bestellungen direkt an das jeweilige Restaurant (Verantwortlicher).
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Thüringer Landesbeauftragter für den Datenschutz, Häßlerstraße 8, 99096 Erfurt · www.tlfdi.de. Du kannst dich auch an die Aufsichtsbehörde deines Wohnsitzes wenden.
Datensicherheit
Trotz aller Schutzmaßnahmen ist eine vollständige Sicherheit der Datenübertragung im Internet nicht möglich. Sicherheitsvorfälle mit voraussichtlichem Risiko für die Rechte und Freiheiten betroffener Personen melden wir gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde.