Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist: Mambil UG (haftungsbeschränkt) Zwinglistr. 6 30171 Hannover Deutschland Vertreten durch: Mohammadali Karimi (Geschäftsführer) E-Mail: datenschutz@mambil.app Telefon: [+49 XXX XXXXXXX] Website: https://magicmenu.de Die Benennung eines Datenschutzbeauftragten ist derzeit gesetzlich nicht erforderlich.

Sollten Sie Fragen zum Datenschutz haben, können Sie sich jederzeit an uns unter der oben genannten E-Mail-Adresse wenden.

2. Geltungsbereich und Begriffsbestimmungen

Diese Datenschutzerklärung gilt für die Website magicmenu.de, die SaaS-Plattform Mambil sowie alle damit verbundenen Funktionen und Dienste.

2.1 Nutzergruppen

Unsere Plattform unterscheidet zwischen zwei Nutzergruppen:

• Restaurantbetreiber (B2B-Kunden): Natürliche oder juristische Personen, die sich bei Mambil registrieren, digitale Speisekarten erstellen, Online-Bestellungen entgegennehmen und Reservierungen verwalten.
• Endkunden (B2C-Nutzer): Gäste, die über QR-Codes oder die Website eines Restaurants Speisekarten einsehen, Bestellungen aufgeben, Reservierungen vornehmen oder Zahlungen tätigen.

2.2 Verantwortlichkeiten

Mambil UG (haftungsbeschränkt) ist Verantwortlicher für die Datenverarbeitung im Zusammenhang mit dem Betrieb der Plattform, der Registrierung von Restaurantbetreibern, der Abrechnung von Abonnements sowie der Bereitstellung der technischen Infrastruktur. Für die Verarbeitung personenbezogener Daten von Endkunden im Rahmen der Kundenbeziehung (z. B. Bestellungen, Reservierungen) ist grundsätzlich der jeweilige Restaurantbetreiber als eigenständiger Verantwortlicher anzusehen. Mambil UG stellt die technische Plattform bereit und verarbeitet dabei Endkundendaten als Auftragsverarbeiter im Auftrag des Restaurantbetreibers gemäß Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag (AVV) wird mit jedem Restaurantbetreiber geschlossen. Soweit Mambil UG Endkundendaten für eigene Zwecke verarbeitet (z. B. Betrugsprävention, Plattformverbesserung, aggregierte Statistiken), ist Mambil UG hierfür eigenständiger Verantwortlicher.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der in der DSGVO vorgesehenen Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, z. B. für den Empfang von Newslettern oder die Verwendung optionaler Cookies.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, z. B. Registrierung, Abonnementverwaltung, Bestellabwicklung.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, z. B. steuerliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung zur Wahrung berechtigter Interessen von uns oder eines Dritten erforderlich ist, sofern nicht Ihre Interessen überwiegen, z. B. IT-Sicherheit, Betrugsprävention, Plattformverbesserung.

4. Websitebesuch und Server-Logfiles

Bei jedem Aufruf unserer Website erhebt und speichert unser Hosting-Anbieter automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Folgende Daten werden erfasst:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• URL der aufgerufenen Seite
• HTTP-Statuscode
• Übertragene Datenmenge
• Website, von der die Anforderung kommt (Referrer-URL)
• Browsertyp und -version
• Betriebssystem des Nutzers

Diese Daten werden zur Gewährleistung eines störungsfreien Betriebs der Website, zur Sicherstellung der Netzwerksicherheit und zur Fehleranalyse verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unseres Webangebots). Die Logfiles werden nach 14 Tagen automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

5. Registrierung und Kontodaten (Restaurantbetreiber)

Wenn Sie sich als Restaurantbetreiber bei Mambil registrieren, erheben und verarbeiten wir folgende personenbezogene Daten:

• Vor- und Nachname bzw. Firmenname
• E-Mail-Adresse
• Telefonnummer (optional)
• Name und Anschrift des Restaurants
• Passwort (verschlüsselt gespeichert)
• Gewählter Tarif (Free, Pro, Premium, Enterprise)
• Zahlungsinformationen (bei kostenpflichtigen Tarifen, verarbeitet über Stripe)

5.1 Zweck der Verarbeitung

Die Daten werden verarbeitet zur Einrichtung und Verwaltung Ihres Benutzerkontos, zur Bereitstellung der vertraglich vereinbarten Plattformfunktionen, zur Abrechnung und Verwaltung von Abonnements, zur Kommunikation bezüglich Ihres Kontos (z. B. Servicebenachrichtigungen, Sicherheitshinweise) und zur Erfüllung steuerlicher und handelsrechtlicher Aufbewahrungspflichten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für steuerrelevante Daten.

5.2 Mitarbeiter-Accounts

Restaurantbetreiber können Mitarbeiter-Accounts mit verschiedenen Rollen und Berechtigungen anlegen. Hierbei werden Name und E-Mail-Adresse der Mitarbeiter erfasst. Der Restaurantbetreiber ist als Arbeitgeber verantwortlich für die datenschutzrechtliche Information seiner Mitarbeiter.

6. Bestelldaten (Endkunden)

Wenn Endkunden über Mambil eine Bestellung aufgeben, werden folgende Daten erhoben:

• Bestellte Speisen und Getränke (Warenkorbinhalt)
• Bestellzeitpunkt
• Bestellart (Dine-in, Takeaway, Vorbestellung)
• Tischnummer (bei Dine-in)
• Name des Endkunden (sofern angegeben)
• Telefonnummer oder E-Mail-Adresse (sofern für die Bestellabwicklung erforderlich)
• Lieferadresse (bei Takeaway-Bestellungen, sofern zutreffend)
• Besondere Hinweise (z. B. Allergien, Sonderwünsche)

6.1 Verantwortlichkeit

Der jeweilige Restaurantbetreiber ist für die Verarbeitung der Bestelldaten seiner Endkunden als eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen. Er entscheidet über die Zwecke und Mittel der Verarbeitung im Rahmen seiner Kundenbeziehung. Mambil UG verarbeitet diese Daten als Auftragsverarbeiter im Auftrag des Restaurantbetreibers und stellt die technische Infrastruktur bereit.

Rechtsgrundlage für die Verarbeitung durch den Restaurantbetreiber ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Bewirtungsvertrags zwischen Restaurant und Endkunde).

6.2 Eigene Verarbeitung durch Mambil UG

Mambil UG verarbeitet Bestelldaten in aggregierter und anonymisierter Form für Plattformstatistiken und Serviceoptimierung. Soweit eine Verarbeitung personenbezogener Bestelldaten durch Mambil UG für eigene Zwecke erfolgt (z. B. Betrugsprävention, Missbrauchserkennung), ist Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

7. Reservierungsdaten (Endkunden)

Wenn Endkunden über Mambil eine Tischreservierung vornehmen, werden folgende Daten erhoben:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• Gewünschtes Datum und Uhrzeit
• Anzahl der Personen
• Besondere Wünsche oder Anmerkungen

7.1 Verantwortlichkeit und Zweck

Wie bei den Bestelldaten ist der jeweilige Restaurantbetreiber Verantwortlicher für die Reservierungsdaten seiner Gäste. Mambil UG verarbeitet die Daten als Auftragsverarbeiter. Die Daten werden zur Durchführung und Verwaltung der Reservierung, zum Versand von Bestätigungs- und Erinnerungsnachrichten sowie zur No-Show-Prävention verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen bzw. Vertragserfüllung).

8. Zahlungsdaten und Stripe Connect

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe. Es bestehen zwei getrennte Zahlungsströme:

8.1 Abonnementzahlungen (Restaurantbetreiber)

Die monatlichen bzw. jährlichen Abonnementgebühren (Pro: 19 EUR/Monat, Premium: 79 EUR/Monat, Enterprise: individuell) werden über Stripe abgewickelt. Hierbei werden Zahlungsdaten (z. B. Kreditkartendaten, IBAN bei SEPA-Lastschrift) direkt von Stripe erhoben und verarbeitet. Mambil UG hat keinen Zugriff auf vollständige Kreditkartennummern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8.2 Bestellzahlungen (Endkunden)

Bei Online-Bestellungen zahlen Endkunden über Stripe Connect. Die Zahlung wird direkt auf das Stripe-Connect-Konto des jeweiligen Restaurantbetreibers geleitet. Mambil UG erhält lediglich die vereinbarte Plattformgebühr. Folgende Zahlungsdaten werden durch Stripe verarbeitet:

• Name des Karteninhabers
• E-Mail-Adresse
• Kreditkartennummer (von Stripe tokenisiert, nicht durch Mambil UG einsehbar)
• Gültigkeitsdauer der Kreditkarte
• Prüfnummer (CVC)
• IBAN (bei SEPA-Lastschrift)
• Transaktionsbetrag, Datum und Uhrzeit
• Bestellnummer

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Zahlungsabwicklung).

8.3 Stripe als Empfänger

Anbieter des Zahlungsdienstes ist Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend "Stripe"). Stripe ist nach dem Payment Card Industry Data Security Standard (PCI DSS) zertifiziert und verarbeitet Zahlungsdaten nach eigenen Datenschutzbestimmungen. Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/privacy Stripe agiert bei der Zahlungsabwicklung sowohl als eigenständiger Verantwortlicher (für regulatorische Pflichten und Betrugsprävention) als auch als Auftragsverarbeiter (für die Abwicklung der Transaktion gemäß unseren Weisungen). Stripe hat Compliance-Maßnahmen für internationale Datenübermittlungen implementiert, die auf den EU-Standardvertragsklauseln (SCCs) basieren. Darüber hinaus ist Stripe unter dem EU-US Data Privacy Framework (DPF) zertifiziert (siehe Abschnitt 13).

9. Kontaktformular und E-Mail-Kontakt

Wenn Sie uns über das Kontaktformular auf unserer Website oder per E-Mail kontaktieren, erheben wir folgende Daten:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (optional)
• Restaurantname (optional)
• Betreff und Inhalt Ihrer Nachricht

Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet und nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

10. Newsletter

Wenn Sie sich für unseren Newsletter anmelden, erheben wir Ihre E-Mail-Adresse. Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungsmail mit einem Link zur Verifizierung Ihrer E-Mail-Adresse. Wir verwenden den Newsletter-Dienst, um Sie über Produktneuigkeiten, Tipps für die Gastronomie und relevante Angebote zu informieren. Im Rahmen des Newsletter-Versands wird das Öffnungs- und Klickverhalten statistisch ausgewertet.

• Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
• Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie sich über den Abmeldelink in jeder E-Mail oder per E-Mail an datenschutz@mambil.app abmelden.

11. Cookies und ähnliche Technologien

Unsere Website und Plattform verwenden ausschließlich technisch notwendige Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

11.1 Technisch notwendige Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein, die für den ordnungsgemäßen Betrieb der Website und Plattform zwingend erforderlich sind. Diese ermöglichen grundlegende Funktionen wie die Seitennavigation, den Zugang zu geschützten Bereichen (Login) und die Speicherung Ihrer Sitzungsinformationen. Ohne diese Cookies kann die Website nicht ordnungsgemäß funktionieren. Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies ein.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Website) bzw. § 25 Abs. 2 TDDDG. Da wir ausschließlich technisch notwendige Cookies verwenden, ist keine Einwilligung erforderlich.

11.2 Cookies von Drittanbietern

Im Rahmen der Zahlungsabwicklung kann Stripe technisch notwendige Cookies setzen, die für die sichere Durchführung von Zahlungstransaktionen erforderlich sind. Diese Cookies werden von Stripe als eigenständigem Verantwortlichen gesetzt. Nähere Informationen finden Sie in der Datenschutzerklärung von Stripe unter: https://stripe.com/privacy

12. Auftragsverarbeitung (Art. 28 DSGVO)

Wir setzen externe Dienstleister (Auftragsverarbeiter) ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen Auftragsverarbeitern haben wir Verträge gemäß Art. 28 DSGVO geschlossen, die die datenschutzkonforme Verarbeitung sicherstellen.

• Stripe Payments Europe, Ltd. (Dublin, Irland / Stripe, Inc., San Francisco, USA): Zahlungsabwicklung für Abonnements und Bestellzahlungen über Stripe Connect.
• Hetzner Online GmbH (Gunzenhausen, Deutschland): Hosting der Plattform und Website. Server befinden sich in Deutschland.
• Mailgun Technologies, Inc. (San Antonio, USA): Versand transaktionaler E-Mails (z. B. Registrierungsbestätigungen, Bestellbestätigungen, Passwort-Zurücksetzungen).

Mambil UG stellt sicher, dass alle Auftragsverarbeiter ein angemessenes Datenschutzniveau gewährleisten. Dienstleister mit Sitz außerhalb der EU/des EWR werden nur eingesetzt, wenn ein angemessenes Datenschutzniveau durch geeignete Garantien sichergestellt ist (siehe Abschnitt 13).

13. Internationale Datenübermittlung

Einige unserer Dienstleister haben ihren Sitz oder Unterauftragsverarbeiter in den USA. Die Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage folgender Garantien:

13.1 EU-US Data Privacy Framework (DPF)

Die Europäische Kommission hat am 10. Juli 2023 einen Angemessenheitsbeschluss für das EU-US Data Privacy Framework erlassen (Durchführungsbeschluss (EU) 2023/1795). Soweit unsere US-amerikanischen Dienstleister unter dem DPF zertifiziert sind, ist die Datenübermittlung auf dieser Grundlage zulässig. Stripe, Inc. ist unter dem EU-US Data Privacy Framework zertifiziert.

13.2 Standardvertragsklauseln (SCCs)

Ergänzend bzw. für den Fall, dass das DPF seine Gültigkeit verlieren sollte, haben wir mit unseren US-amerikanischen Dienstleistern die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO geschlossen. Diese stellen sicher, dass Ihre Daten auch bei einer Übermittlung in die USA ein der EU vergleichbares Schutzniveau genießen.

13.3 Datenübermittlung innerhalb der EU

Unser Hosting-Anbieter Hetzner betreibt seine Rechenzentren in Deutschland. Die Speicherung und Verarbeitung Ihrer Daten erfolgt primär auf Servern in Deutschland. Die Zahlungsabwicklung durch Stripe erfolgt über Stripe Payments Europe, Ltd. mit Sitz in Irland (EU).

14. Datensicherheit

Wir treffen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen:

• SSL/TLS-Verschlüsselung: Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt über HTTPS.
• Verschlüsselte Speicherung: Passwörter werden ausschließlich als kryptografische Hashwerte gespeichert. Sensible Daten werden verschlüsselt abgelegt.
• Zugriffskontrollen: Der Zugriff auf personenbezogene Daten ist auf berechtigte Mitarbeiter beschränkt und durch Authentifizierungsverfahren geschützt.
• Regelmäßige Backups: Automatisierte, verschlüsselte Datensicherungen gewährleisten die Verfügbarkeit und Wiederherstellbarkeit Ihrer Daten.
• Serverstandort Deutschland: Unsere Server befinden sich in zertifizierten Rechenzentren in Deutschland und erfüllen höchste Sicherheitsstandards (ISO 27001).
• PCI-DSS-Konformität: Die Verarbeitung von Zahlungsdaten erfolgt ausschließlich über den PCI-DSS-zertifizierten Zahlungsdienstleister Stripe. Mambil UG speichert zu keinem Zeitpunkt vollständige Kreditkarten- oder Kontodaten.
• Regelmäßige Sicherheitsüberprüfungen: Wir führen regelmäßige Sicherheitsaudits und Updates durch, um unsere Systeme auf dem aktuellen Stand der Technik zu halten.

15. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

15.1 Kontodaten (Restaurantbetreiber)

Ihre Kontodaten werden für die Dauer der Vertragsbeziehung gespeichert. Nach Kündigung und Ablauf des Abrechnungszeitraums werden Ihre Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

15.2 Bestell- und Reservierungsdaten

Bestell- und Reservierungsdaten werden für die Dauer der Geschäftsbeziehung des Restaurantbetreibers gespeichert und nach Kündigung seines Kontos innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

15.3 Gesetzliche Aufbewahrungsfristen

Bestimmte Daten unterliegen gesetzlichen Aufbewahrungspflichten:

• Steuerrechtliche Aufbewahrungspflicht (§ 147 AO): 10 Jahre für Buchungsbelege, Rechnungen, Kontoauszüge und buchungsrelevante Unterlagen.
• Handelsrechtliche Aufbewahrungspflicht (§ 257 HGB): 6 Jahre für empfangene und versendete Handelsbriefe sowie sonstige Geschäftsunterlagen.
• Widerspruchs- und Klagefristen: Bis zu 3 Jahre nach Ende des Kalenderjahres, in dem die Vertragsbeziehung beendet wurde (allgemeine zivilrechtliche Verjährungsfrist gemäß §§ 195, 199 BGB).

Nach Ablauf der jeweiligen Fristen werden die Daten routinemäßig gelöscht.

15.4 Server-Logfiles

Server-Logfiles werden nach 14 Tagen automatisch gelöscht.

15.5 Kontaktanfragen

Daten aus Kontaktanfragen werden nach Abschluss der Bearbeitung gelöscht, sofern die Anfrage nicht zu einem Vertragsverhältnis führt. Im Falle einer vorvertraglichen Anfrage werden die Daten spätestens 6 Monate nach der letzten Kommunikation gelöscht.

16. Rechte der betroffenen Personen

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten. Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an datenschutz@mambil.app. Wir werden Ihren Antrag unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO). In besonders komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie rechtzeitig informieren.

16.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO.

16.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen.

16.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft, z. B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

16.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.

16.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

16.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.

16.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

17. Beschwerderecht bei einer Aufsichtsbehörde

Gemäß Art. 77 DSGVO haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Sie können sich insbesondere an die Aufsichtsbehörde Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden. Die für uns zuständige Aufsichtsbehörde ist: Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5, 30159 Hannover https://www.lfd.niedersachsen.de Eine Liste aller Datenschutzaufsichtsbehörden in Deutschland finden Sie unter: https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschriften_links-node.html

18. Keine automatisierte Entscheidungsfindung / Profiling

Wir setzen keine rein automatisierte Entscheidungsfindung gemäß Art. 22 Abs. 1 DSGVO ein, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Wir nutzen KI-gestützte Übersetzungsdienste zur automatischen Übersetzung von Speisekartentexten (siehe Abschnitt 19). Hierbei handelt es sich um die Verarbeitung öffentlich zugänglicher Restaurantinhalte, nicht um die Verarbeitung personenbezogener Daten.

19. KI-gestützte Übersetzungen

Unsere Plattform bietet eine KI-gestützte Übersetzungsfunktion, mit der Restaurantbetreiber ihre Speisekarten automatisch in mehrere Sprachen übersetzen lassen können. Dabei werden ausschließlich die vom Restaurantbetreiber eingestellten Inhalte (Bezeichnungen von Speisen und Getränken, Beschreibungen, Kategorienamen) an den Übersetzungsdienst übermittelt. Es handelt sich hierbei um öffentlich zugängliche Restaurantinhalte, nicht um personenbezogene Daten. Der Restaurantbetreiber ist verpflichtet, alle KI-generierten Übersetzungen vor Veröffentlichung zu prüfen, insbesondere hinsichtlich der korrekten Übersetzung von Allergenkennzeichnungen und Inhaltsstoffen.

20. Weitergabe von Daten an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in den in dieser Datenschutzerklärung beschriebenen Fällen oder wenn wir gesetzlich dazu verpflichtet sind. Ein Verkauf Ihrer personenbezogenen Daten an Dritte findet nicht statt. Im Rahmen von Stripe Connect werden Bestelldaten zwischen dem Endkunden, dem Restaurantbetreiber und Stripe ausgetauscht, soweit dies für die Zahlungsabwicklung erforderlich ist. Bei einer behördlichen Anfrage sind wir unter Umständen gesetzlich verpflichtet, Daten an Strafverfolgungsbehörden oder Aufsichtsbehörden herauszugeben.

21. Hinweise für Endkunden

Wenn Sie als Endkunde über Mambil eine Speisekarte ansehen, eine Bestellung aufgeben, eine Reservierung vornehmen oder eine Zahlung tätigen, beachten Sie bitte Folgendes:

• Verantwortlicher für Ihre Bestell- und Reservierungsdaten ist der jeweilige Restaurantbetreiber. Bitte wenden Sie sich für Auskunfts-, Berichtigungs- oder Löschungsanfragen bezüglich Ihrer Bestell- und Reservierungsdaten an das jeweilige Restaurant.
• Mambil UG stellt als Plattformbetreiber die technische Infrastruktur bereit und verarbeitet Ihre Daten im Auftrag des Restaurantbetreibers.
• Für die Zahlungsabwicklung wird Stripe Connect eingesetzt. Ihre Zahlungsdaten werden direkt von Stripe verarbeitet. Mambil UG und der Restaurantbetreiber haben keinen Zugriff auf Ihre vollständigen Zahlungsdaten (z. B. Kreditkartennummer).
• Die bloße Ansicht einer digitalen Speisekarte (Scannen eines QR-Codes) erfordert keine Registrierung und es werden keine personenbezogenen Daten erhoben, die über die in Abschnitt 4 beschriebenen Server-Logfiles hinausgehen.
• Für Fragen zum Datenschutz bei der Nutzung der Plattform können Sie sich an datenschutz@mambil.app wenden.
• Der Restaurantbetreiber stellt für seine Endkunden eine eigene Datenschutzerklärung unter https://menu.mambil.com/privacy bereit.

22. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, neue technische Entwicklungen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir registrierte Nutzer per E-Mail informieren.

Stand: März 2026