Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist: Mambil UG (haftungsbeschränkt) Zwinglistr. 6 30171 Hannover Deutschland Vertreten durch: Mohammadali Karimi (Geschäftsführer) E-Mail: privacy@dev.mambil.com Telefon: +4915567298324 Website: https://test-mambil.com Die Benennung eines Datenschutzbeauftragten ist nach Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG derzeit nicht verpflichtend, da (i) weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, (ii) keine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) als Kerntätigkeit erfolgt und (iii) keine systematische und umfangreiche Überwachung von Betroffenen im Sinne des Art. 37 Abs. 1 lit. b DSGVO als Kerntätigkeit stattfindet. Diese Einschätzung wird laufend überprüft. Für sämtliche Datenschutzanliegen erreichen Sie uns unter privacy@dev.mambil.com.

Sollten Sie Fragen zum Datenschutz haben, können Sie sich jederzeit an uns unter der oben genannten E-Mail-Adresse wenden.

2. Geltungsbereich und Begriffsbestimmungen

Diese Datenschutzerklärung gilt für die Website test-mambil.com, die SaaS-Plattform Mambil sowie alle damit verbundenen Funktionen und Dienste.

2.1 Nutzergruppen

Unsere Plattform unterscheidet zwischen zwei Nutzergruppen:

• Restaurantbetreiber (B2B-Kunden): Natürliche oder juristische Personen, die sich bei Mambil registrieren, digitale Speisekarten erstellen, Online-Bestellungen entgegennehmen und Reservierungen verwalten.
• Endkunden (B2C-Nutzer): Gäste, die über QR-Codes oder die Website eines Restaurants Speisekarten einsehen, Bestellungen aufgeben, Reservierungen vornehmen oder Zahlungen tätigen.

2.2 Verantwortlichkeiten

Die Datenverarbeitung auf der Plattform erfolgt in voneinander getrennten Rollen. Mambil und die jeweiligen Restaurantbetreiber sind nach unserer Einschätzung und in Übereinstimmung mit der DSK (Kurzpapier Nr. 16) grundsätzlich unabhängige (getrennte) Verantwortliche im Sinne der DSGVO; jede Stelle entscheidet eigenständig über Zwecke und Mittel der ihr zugewiesenen Verarbeitungen. Soweit im Einzelfall in Bezug auf einzelne Verarbeitungsschritte eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO im Sinne der Rechtsprechung des EuGH (insb. Rs. C-210/16 Wirtschaftsakademie, C-40/17 Fashion ID, C-604/22 IAB Europe) festgestellt werden sollte, gilt zwischen Mambil und dem jeweiligen Restaurantbetreiber ergänzend eine Vereinbarung nach Art. 26 Abs. 1 DSGVO als Anlage 2 zu unseren AGB; deren wesentlicher Inhalt wird Betroffenen gemäß Art. 26 Abs. 2 Satz 2 DSGVO unter privacy@dev.mambil.com kostenfrei zur Verfügung gestellt. Anlaufstelle für die Ausübung von Betroffenenrechten ist in jedem Fall der nachstehend zugewiesene Verantwortliche; ergänzend können sich Betroffene nach Art. 26 Abs. 3 DSGVO an jede der beteiligten Stellen wenden. (a) Mambil als eigenständiger Verantwortlicher (Art. 4 Nr. 7 DSGVO) für: den Betrieb der Plattform und Website, die Registrierung und Verwaltung von Restaurantbetreibern, die Abrechnung und Verwaltung von Abonnements, Plattform-Sicherheit und Betrugsprävention auf Plattformebene (auf Grundlage technischer Metadaten wie IP-Adresse, Geräte- und Sitzungssignale; nicht auf Grundlage personenbezogener Bestellinhalte einzelner Endkunden), technische Server-Logfiles, ausschließlich aggregierte und anonymisierte Plattformstatistiken, den Versand der plattformseitig ausgelösten transaktionalen E-Mail- und Push-Benachrichtigungen (Registrierungs-, Sicherheits-, Bestell-, Reservierungs- und Statusmitteilungen) sowie die Erfüllung gesetzlicher Pflichten (insbesondere PStTG/DAC7, steuer- und handelsrechtliche Aufbewahrung). (b) Restaurantbetreiber als eigenständige Verantwortliche für die Verarbeitung der Bestell-, Reservierungs- und Gästedaten ihrer eigenen Kundinnen und Kunden im Rahmen des zwischen Restaurant und Endkunde geschlossenen Bewirtungs- bzw. Reservierungsvertrags. Der Restaurantbetreiber entscheidet über Zwecke und Mittel dieser Verarbeitung und ist verantwortlich für: die Rechtmäßigkeit der Erhebung im Vor-Ort-Prozess (z. B. QR-Code, Tischzuordnung), die inhaltliche Richtigkeit der Bestell- und Reservierungsdaten, die Einhaltung lebensmittel-, allergen- und verbraucherschutzrechtlicher Informationspflichten, die Bearbeitung von Beschwerden und Reklamationen, die Beantwortung von Betroffenenrechten in Bezug auf diese Daten sowie für ggf. erforderliche Einwilligungen für eigenes Marketing oder Loyalty-Programme. (c) Mambil als Auftragsverarbeiter (Art. 28 DSGVO) handelt im Auftrag des Restaurantbetreibers, soweit Bestell-, Reservierungs- und Gästedaten ausschließlich zur Erbringung der vertraglich geschuldeten Plattformleistung sowie auf dokumentierte Weisung des Restaurantbetreibers verarbeitet werden (insbesondere Speicherung, Übermittlung an das Restaurant, technische Bereitstellung der Bestell- und Reservierungsfunktionen, Export von Gästelisten). Der entsprechende Auftragsverarbeitungsvertrag (AVV) ist als Anlage 1 Bestandteil unserer AGB; eine PDF-Ausfertigung kann jederzeit unter privacy@dev.mambil.com angefordert werden. Anlaufstelle für Betroffenenrechte: Anfragen in Bezug auf Bestell- und Reservierungsdaten richten Sie bitte an den jeweiligen Restaurantbetreiber als Verantwortlichen. Sie können solche Anfragen alternativ an privacy@dev.mambil.com richten; wir leiten sie nach Art. 28 Abs. 3 lit. e DSGVO unverzüglich an den zuständigen Restaurantbetreiber weiter und unterstützen bei der Beantwortung. Anfragen in Bezug auf die unter (a) genannten Verarbeitungen bearbeitet Mambil unmittelbar.

3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der in der DSGVO vorgesehenen Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, z. B. für die Verwendung optionaler Cookies.
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Soweit die Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, z. B. Registrierung, Abonnementverwaltung, Bestellabwicklung.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, z. B. steuerliche Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Soweit die Verarbeitung zur Wahrung berechtigter Interessen von uns oder eines Dritten erforderlich ist, sofern nicht Ihre Interessen überwiegen, z. B. IT-Sicherheit, Betrugsprävention, Plattformverbesserung.

4. Websitebesuch und Server-Logfiles

Bei jedem Aufruf unserer Website erhebt und speichert unser Hosting-Anbieter automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Folgende Daten werden erfasst:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Zeitzonendifferenz zur Greenwich Mean Time (GMT)
• URL der aufgerufenen Seite
• HTTP-Statuscode
• Übertragene Datenmenge
• Website, von der die Anforderung kommt (Referrer-URL)
• Browsertyp und -version
• Betriebssystem des Nutzers

Diese Daten werden zur Gewährleistung eines störungsfreien Betriebs der Website, zur Sicherstellung der Netzwerksicherheit und zur Fehleranalyse verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unseres Webangebots). Die Logfiles werden nach 14 Tagen automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

5. Registrierung und Kontodaten (Restaurantbetreiber)

Wenn Sie sich als Restaurantbetreiber bei Mambil registrieren, erheben und verarbeiten wir folgende personenbezogene Daten:

• Vor- und Nachname bzw. Firmenname
• E-Mail-Adresse
• Spracheinstellung (UI-Sprache), Ländercode sowie Inhalts- und Währungspräferenzen
• Name, Anschrift und öffentliche Kontaktdaten des Restaurants (öffentliche E-Mail, Telefonnummer, Social-Media-Links, Logo/Banner, rechtliche Angaben für das Impressum) – diese werden von Restaurantbetreibern selbst eingestellt und gegenüber Endkunden veröffentlicht
• Passwort (ausschließlich in verschlüsselter Form gespeichert; das Klartext-Passwort wird nicht gespeichert)
• Gewählter Tarif (Free, Pro, Premium, Enterprise)
• Stripe-Kundenreferenz (bei kostenpflichtigen Tarifen; die eigentlichen Zahlungsdaten werden ausschließlich von Stripe erhoben und gespeichert, nicht von uns)
• Push-Benachrichtigungs-Tokens Ihrer registrierten Geräte, sofern Sie Push-Benachrichtigungen für Bestellungen oder Reservierungen aktivieren

5.1 Zweck der Verarbeitung

Die Daten werden verarbeitet zur Einrichtung und Verwaltung Ihres Benutzerkontos, zur Bereitstellung der vertraglich vereinbarten Plattformfunktionen, zur Abrechnung und Verwaltung von Abonnements, zur Kommunikation bezüglich Ihres Kontos (z. B. Servicebenachrichtigungen, Sicherheitshinweise) und zur Erfüllung steuerlicher und handelsrechtlicher Aufbewahrungspflichten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für steuerrelevante Daten.

5.2 Mitarbeiter-Accounts

Restaurantbetreiber können Mitarbeiter-Accounts mit verschiedenen Rollen und Berechtigungen anlegen. Hierbei werden ausschließlich die E-Mail-Adresse, eine Spracheinstellung, ein verschlüsselt gespeichertes Passwort sowie die zugewiesenen Berechtigungen (Restaurant-, Menü- und Modifier-Group-Zugriffe) erfasst. Optional kann der Restaurantbetreiber eine interne Notiz zum Mitarbeiter hinterlegen. Der Restaurantbetreiber ist als Arbeitgeber verantwortlich für die datenschutzrechtliche Information seiner Mitarbeiter.

6. Bestelldaten (Endkunden)

Wenn Endkunden über Mambil eine Bestellung aufgeben, werden folgende Daten erhoben:

• Bestellte Speisen und Getränke (Warenkorbinhalt) inklusive Mengen, Modifier und Preisen
• Bestellzeitpunkt sowie ggf. gewünschte Abholzeit (bei Vorbestellungen)
• Bestellart (Vor-Ort, Takeaway, Lieferung, Vorbestellung)
• Tischnummer bzw. Tischkennung (bei Vor-Ort)
• Name bzw. Kennung des Endkunden (z. B. Vorname für die Abholung)
• E-Mail-Adresse des Endkunden (zur Übermittlung von Bestellbestätigungen, Annahme- bzw. Ablehnungsbenachrichtigungen und Stornierungs-/Rückerstattungsmitteilungen erforderlich)
• Lieferadresse (nur bei Takeaway-/Lieferbestellungen)
• Bestellnotiz / Sonderwunsch, sofern vom Endkunden selbst angegeben (Freitextfeld)
• Stripe-Zahlungsreferenzen (Payment Intent ID, Checkout Session ID) – die eigentlichen Karten-/Bankdaten verbleiben bei Stripe

6.1 Verantwortlichkeit

Der jeweilige Restaurantbetreiber ist für die Verarbeitung der Bestelldaten seiner Endkunden als eigenständiger Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO anzusehen. Er entscheidet über die Zwecke und Mittel der Verarbeitung im Rahmen seiner Kundenbeziehung. Mambil verarbeitet diese Daten als Auftragsverarbeiter im Auftrag des Restaurantbetreibers und stellt die technische Infrastruktur bereit.

Rechtsgrundlage für die Verarbeitung durch den Restaurantbetreiber ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung des Bewirtungsvertrags zwischen Restaurant und Endkunde).

6.2 Eigene Verarbeitung durch Mambil

Die unter Abschnitt 6 genannten personenbezogenen Bestelldaten verarbeiten wir grundsätzlich ausschließlich als Auftragsverarbeiter im Auftrag des Restaurantbetreibers. Eine Verarbeitung dieser personenbezogenen Bestelldaten für eigene Zwecke von Mambil (insbesondere Plattformstatistiken oder das Training interner Modelle) findet nicht statt; entsprechende Auswertungen erfolgen ausschließlich nach vorheriger Anonymisierung gemäß Erwägungsgrund 26 DSGVO. Anonymisierte Daten unterliegen nicht mehr der DSGVO. Für die Sicherheit und Integrität der Plattform (z. B. Erkennung von missbräuchlichen Bestellmustern, automatisierten Angriffen, Stornoketten zur Schadensverursachung) verarbeiten wir auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Plattformbetrieb) ausgewählte technische Metadaten (z. B. IP-Adresse, Geräte- und Sitzungskennungen, Bestellfrequenz, Stornoraten). Diese Verarbeitung stützt sich nicht auf den Inhalt einzelner Bestellungen oder die Identität der jeweiligen Endkunden gegenüber dem Restaurantbetreiber. Sie können dieser Verarbeitung gemäß Art. 21 DSGVO widersprechen (siehe Abschnitt 15.6); wir prüfen den Widerspruch im Einzelfall. Eine Übermittlung von Bestelldaten an den Restaurantbetreiber für eigene Zwecke des Restaurants außerhalb der Auftragsverarbeitung findet ohne entsprechende eigene Rechtsgrundlage des Restaurantbetreibers nicht statt.

7. Reservierungsdaten (Endkunden)

Wenn Endkunden über Mambil eine Tischreservierung vornehmen, werden folgende Daten erhoben:

• Name
• E-Mail-Adresse (erforderlich für den Versand von Bestätigungs- und Erinnerungs-E-Mails)
• Telefonnummer (optional)
• Gewünschtes Datum, Start- und Endzeit
• Anzahl der Personen (Party Size)
• Reservierungsart (Reservierung oder Walk-in)
• Besondere Wünsche oder Anmerkungen

7.1 Verantwortlichkeit und Zweck

Wie bei den Bestelldaten ist der jeweilige Restaurantbetreiber Verantwortlicher für die Reservierungsdaten seiner Gäste. Mambil verarbeitet die Daten als Auftragsverarbeiter. Die Daten werden zur Durchführung und Verwaltung der Reservierung, zum Versand von Bestätigungs- und Erinnerungsnachrichten sowie zur No-Show-Prävention verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen bzw. Vertragserfüllung).

8. Zahlungsdaten und Stripe Connect

Für die Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe. Es bestehen zwei getrennte Zahlungsströme:

8.1 Abonnementzahlungen (Restaurantbetreiber)

Die monatlichen bzw. jährlichen Abonnementgebühren werden über Stripe abgewickelt. Hierbei werden Zahlungsdaten (z. B. Kreditkartendaten, IBAN bei SEPA-Lastschrift) direkt von Stripe erhoben und verarbeitet. Mambil hat keinen Zugriff auf vollständige Kreditkartennummern.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8.2 Bestellzahlungen (Endkunden)

Bei Online-Bestellungen zahlen Endkunden über Stripe Connect. Die Zahlung wird direkt auf das Stripe-Connect-Konto des jeweiligen Restaurantbetreibers geleitet. Mambil erhält lediglich die vereinbarte Plattformgebühr. Folgende Zahlungsdaten werden durch Stripe verarbeitet:

• Name des Karteninhabers
• E-Mail-Adresse
• Kreditkartennummer (von Stripe tokenisiert, nicht durch Mambil einsehbar)
• Gültigkeitsdauer der Kreditkarte
• Prüfnummer (CVC)
• IBAN (bei SEPA-Lastschrift)
• Transaktionsbetrag, Datum und Uhrzeit
• Bestellnummer

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Zahlungsabwicklung).

8.3 Stripe als Empfänger

Anbieter des Zahlungsdienstes ist Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend "Stripe"). Stripe ist nach dem Payment Card Industry Data Security Standard (PCI DSS) zertifiziert und verarbeitet Zahlungsdaten nach eigenen Datenschutzbestimmungen. Die Datenschutzerklärung von Stripe finden Sie auf der Website von Stripe. Stripe agiert bei der Zahlungsabwicklung sowohl als eigenständiger Verantwortlicher (für regulatorische Pflichten, Betrugsprävention und KYC) als auch als Auftragsverarbeiter (für die Abwicklung der Transaktion gemäß unseren Weisungen). Vertragspartner ist Stripe Payments Europe, Ltd. mit Sitz in Dublin, Irland (EU). Einzelheiten zur automatisierten Betrugs- und Risikoprüfung (Stripe Radar) sowie zu den damit verbundenen Rechten nach Art. 22 Abs. 3 DSGVO finden sich in der Datenschutzerklärung von Stripe (siehe Abschnitt 17).

9. Kontaktformular und E-Mail-Kontakt

Wenn Sie uns über das Kontaktformular auf unserer Website oder per E-Mail kontaktieren, erheben wir folgende Daten:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (optional)
• Restaurantname (optional)
• Betreff und Inhalt Ihrer Nachricht

Diese Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet und nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen oder Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

9a. Transaktionale Kommunikation

Wir senden Restaurantbetreibern sowie – als plattformseitige transaktionale Nachrichten in unserer Rolle als Verantwortlicher gemäß Abschnitt 2.2(a) – Endkunden bestimmte E-Mail- und Push-Benachrichtigungen, die zur Vertragsdurchführung erforderlich sind. Hierzu zählen insbesondere: Registrierungsbestätigungen, Passwort-Zurücksetzungen, Sicherheitshinweise, Bestellbestätigungen, Annahme- und Ablehnungsmitteilungen, Stornierungs- und Rückerstattungsmitteilungen, Reservierungsbestätigungen sowie Erinnerungen zu bevorstehenden Reservierungen. Diese Nachrichten sind keine Werbung im Sinne des § 7 UWG. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information über den Status eines laufenden Vorgangs). Eine Abmeldung von rein transaktionalen Nachrichten ist aus rechtlichen Gründen nur mit Beendigung der zugrunde liegenden Geschäftsbeziehung möglich. Push-Benachrichtigungen können in den Geräteeinstellungen jederzeit deaktiviert werden. Werbliche E-Mails, Newsletter oder sonstige Direktmarketing-Nachrichten versenden wir derzeit nicht.

10. Cookies und ähnliche Technologien

Auf unserer Marketing-Website (test-mambil.com) sowie in der Plattformanwendung kommen Cookies und vergleichbare Speichertechnologien (z. B. localStorage, sessionStorage) zum Einsatz. Wir unterscheiden zwischen unbedingt erforderlichen Speichervorgängen und solchen, die nur mit Ihrer Einwilligung erfolgen.

10.1 Unbedingt erforderliche Speicherung (§ 25 Abs. 2 Nr. 2 TDDDG)

Bestimmte Speichervorgänge sind nach § 25 Abs. 2 Nr. 2 TDDDG unbedingt erforderlich, damit der von Ihnen ausdrücklich gewünschte Telemediendienst zur Verfügung gestellt werden kann. Eine Einwilligung ist hierfür weder nach § 25 TDDDG noch nach Art. 6 DSGVO erforderlich; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb des Dienstes) bzw., soweit zur Vertragserfüllung erforderlich, Art. 6 Abs. 1 lit. b DSGVO. Hierzu zählen insbesondere:

• Sitzungs- und Authentifizierungs-Cookies (Login, Sitzungssicherung)
• CSRF-Schutz und Sicherheits-Token
• Speicherung des Warenkorbs und der ausgewählten Sprache/Währung
• Lastverteilungs- und Stabilitäts-Cookies unseres CDN/WAF-Anbieters Cloudflare
• Vom Zahlungsdienstleister Stripe gesetzte technisch erforderliche Cookies, die für die sichere Durchführung einer von Ihnen ausgelösten Zahlung benötigt werden

10.2 Einwilligungspflichtige Speicherung (§ 25 Abs. 1 TDDDG)

Speichervorgänge, die über das unbedingt Erforderliche hinausgehen, setzen wir ausschließlich nach Ihrer vorherigen, ausdrücklichen Einwilligung im Sinne des § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO ein. Hierzu zählen insbesondere:

• Push-Benachrichtigungs-Token, die wir auf Ihrem Endgerät speichern, sofern Sie Push-Benachrichtigungen ausdrücklich aktivieren
• Etwaige Einbindungen Dritter (z. B. Karten, Videos, Schriftarten externer Anbieter), soweit eingesetzt

Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies für eigene Zwecke ein. Ein Cookie-Consent-Banner ist daher nicht erforderlich. Soweit Sie ausnahmsweise eine Einwilligung erteilt haben (insbesondere für Push-Benachrichtigungen), können Sie diese jederzeit mit Wirkung für die Zukunft durch Deaktivierung der Funktion in den Geräte- bzw. Browser-Einstellungen oder durch Mitteilung an privacy@dev.mambil.com widerrufen.

10.3 Cookies und Speicherung durch Stripe

Im Rahmen der von Ihnen initiierten Zahlungsabwicklung kann Stripe in eigener Verantwortlichkeit (siehe Abschnitt 8.3) Speicher- und Lesevorgänge auf Ihrem Endgerät auslösen, einschließlich solcher zur Betrugs- und Risikoanalyse (Stripe Radar). Soweit diese Vorgänge nach § 25 Abs. 2 Nr. 2 TDDDG für die Erbringung des von Ihnen ausdrücklich gewünschten Zahlungsdienstes unbedingt erforderlich sind, ist hierfür keine Einwilligung erforderlich; im Übrigen holt Stripe als eigener Verantwortlicher die nach § 25 Abs. 1 TDDDG ggf. erforderliche Einwilligung selbst ein. Mambil hat hierauf keinen unmittelbaren Einfluss. Nähere Informationen finden Sie in der Datenschutzerklärung von Stripe sowie in den Cookie-Hinweisen von Stripe.

11. Auftragsverarbeitung und sonstige Empfänger

Wir setzen externe Dienstleister ein, die personenbezogene Daten in unserem Auftrag oder als eigenständig Verantwortliche verarbeiten. Mit allen Auftragsverarbeitern haben wir Verträge gemäß Art. 28 DSGVO geschlossen.

11.1 Auftragsverarbeiter

• Hetzner Online GmbH (Gunzenhausen, Deutschland): Hosting der Plattform und Website. Server befinden sich in der EU.
• Amazon Web Services EMEA SARL (Luxemburg): Ergänzendes Hosting. Daten werden ausschließlich in Rechenzentren innerhalb der EU verarbeitet.
• Cloudflare Germany GmbH (Rosenheimer Straße 143 C, 81671 München; HRB 242623, Amtsgericht München) als lokaler Vertragspartner sowie zentral kontrahierte Cloudflare, Inc. (San Francisco, USA), mit aktivierter EU-Jurisdiktion bzw. EU Customer Data Boundary (Region „EU“): Speicherung hochgeladener Medien (z. B. Logos, Banner), Langzeitarchivierung abgeschlossener Bestellungen sowie Bereitstellung von Content-Delivery-, DDoS-Schutz- und WAF-Funktionen. Die inhaltliche Speicherung erfolgt ausschließlich in der EU-Jurisdiktion; transit- und kontrollebenenbedingt können IP-Adressen, Verbindungsmetadaten und Log-Daten kurzzeitig im global verteilten Edge-Netzwerk – einschließlich Servern in den USA – verarbeitet werden. Cloudflare, Inc. ist DPF-zertifiziert; ergänzend gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (siehe Abschnitt 11.3).
• Resend (Plus Five Five, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA): Versand transaktionaler E-Mails (z. B. Registrierungsbestätigungen, Bestellbestätigungen, Passwort-Zurücksetzungen). Übermittelt werden ausschließlich die Empfängeradresse, ein Anzeigename sowie der Inhalt der jeweiligen transaktionalen Nachricht; eine Verwendung für Marketing-, Tracking- oder Profilingzwecke findet nicht statt. Der Versand-Endpunkt wird in der EU-Region eu-west-1 (Irland) betrieben; Konto-, Log- und Metadaten der versendeten E-Mails werden durch Resend jedoch in den USA gespeichert. Die Übermittlung in die USA stützt sich auf den Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework (Resend ist DPF-zertifiziert) sowie ergänzend auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Mit Resend wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen (siehe Abschnitt 11.3).
• Google Ireland Ltd. (Dublin, Irland; Mutterunternehmen Google LLC, Mountain View, USA): Versand von Push-Benachrichtigungen über Firebase Cloud Messaging (FCM) an die Geräte registrierter Restaurantbetreiber und Mitarbeiter. Übermittelt werden ausschließlich ein Geräte-Token sowie ein kurzer, generischer Hinweistext (z. B. „Neue Bestellung eingegangen“ oder „Neue Reservierung“); die eigentlichen Bestell-, Reservierungs- oder Gästedaten (insbesondere Artikel, Preise, Namen, Adressen, Nachrichten) werden über FCM nicht übertragen und verbleiben auf unseren EU-Servern. Die FCM-Backend-Infrastruktur wird durch Google LLC in den USA betrieben; insoweit findet eine Übermittlung in die USA statt. Auf iOS-Geräten leitet Google die Benachrichtigung über den Apple Push Notification Service (APNs, betrieben durch Apple Distribution International Limited, Cork, Irland; Backend-Infrastruktur Apple Inc., Cupertino, USA) weiter, den Google hierfür als eigenen Unter-Auftragsverarbeiter einsetzt. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert; die Übermittlung an Google stützt sich auf den Angemessenheitsbeschluss vom 10. Juli 2023, ergänzend auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Die Weiterleitung über den Apple Push Notification Service sichert Google im Rahmen seines eigenen Vertrags mit Apple ab (siehe Abschnitt 11.3). Die Speicherung des Push-Tokens auf Ihrem Endgerät setzt Ihre Einwilligung gemäß § 25 Abs. 1 TDDDG voraus.
• DeepL SE (Köln, Deutschland): KI-gestützte Übersetzung von Speisekarteninhalten (siehe Abschnitt 18).

11.2 Eigenständig Verantwortliche / weitere Empfänger

Folgende Empfänger handeln im Rahmen ihrer Tätigkeit ganz oder überwiegend als eigenständig Verantwortliche und nicht als reine Auftragsverarbeiter:

• Stripe Payments Europe, Ltd. (Dublin, Irland): Zahlungsabwicklung für Abonnements und Bestellzahlungen über Stripe Connect. Stripe agiert für die regulatorische Zahlungsabwicklung, Betrugsprävention und KYC-Pflichten als eigenständig Verantwortlicher; soweit Stripe ergänzend Hilfsdienste in unserem Auftrag erbringt, geschieht dies als Auftragsverarbeiter (siehe Abschnitt 8.3).

11.3 Übermittlungen in Drittländer (Art. 44 ff. DSGVO)

Die Kernverarbeitung der personenbezogenen Daten (Hosting der Konto-, Bestell-, Reservierungs- und Mediendaten) erfolgt ausschließlich auf Servern innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (Hetzner Online GmbH in Deutschland, AWS EMEA SARL mit Region eu-central-1 in Frankfurt, Cloudflare-Speicher mit EU-Jurisdiktion). Im Rahmen einzelner unterstützender Dienste kommt es jedoch zu Übermittlungen in die USA, insbesondere:

• Resend (Plus Five Five, Inc.): Konto-, Log- und Metadaten der versendeten transaktionalen E-Mails werden in den USA gespeichert (siehe Abschnitt 11.1).
• Google LLC (Firebase Cloud Messaging): Geräte-Token und kurzer, generischer Hinweistext (kein Bestell- oder Reservierungsinhalt) werden zur Zustellung der Push-Benachrichtigungen über US-Backend-Infrastruktur geleitet. Auf iOS-Geräten erfolgt die Zustellung durch Weiterleitung über den Apple Push Notification Service (Apple Inc.), den Google als eigenen Unter-Auftragsverarbeiter einsetzt (siehe Abschnitt 11.1).
• Cloudflare, Inc.: Kontrollebenen-, Log- und Verbindungsmetadaten können kurzzeitig über das global verteilte Edge-Netzwerk – einschließlich Servern in den USA – verarbeitet werden (siehe Abschnitt 11.1).

Diese Übermittlungen stützen sich auf folgende Garantien: (i) den Angemessenheitsbeschluss EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023) – die genannten US-Empfänger sind jeweils DPF-zertifiziert (Liste abrufbar unter dataprivacyframework.gov/list); (ii) Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO in der Fassung des Durchführungsbeschlusses (EU) 2021/914; (iii) ergänzende technische und organisatorische Maßnahmen, insbesondere Transport- und Speicherverschlüsselung sowie Datenminimierung (z. B. kein Bestellinhalt in Push-Benachrichtigungen). Eine Kopie der jeweils geltenden Garantien stellen wir Ihnen auf Anfrage unter privacy@dev.mambil.com kostenfrei zur Verfügung.

13. Datensicherheit und Meldung von Datenschutzverletzungen

Wir setzen geeignete technische und organisatorische Maßnahmen ein, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten, und halten uns an die gesetzlichen Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten.

13.1 Technische und organisatorische Maßnahmen

Wir treffen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen:

• SSL/TLS-Verschlüsselung: Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern erfolgen verschlüsselt über HTTPS.
• Verschlüsselte Speicherung: Passwörter werden ausschließlich als kryptografische Hashwerte gespeichert. Sensible Daten werden verschlüsselt abgelegt.
• Zugriffskontrollen: Der Zugriff auf personenbezogene Daten ist auf berechtigte Mitarbeiter beschränkt und durch Authentifizierungsverfahren geschützt.
• Regelmäßige Backups: Automatisierte, verschlüsselte Datensicherungen gewährleisten die Verfügbarkeit und Wiederherstellbarkeit Ihrer Daten.
• Serverstandort EU: Unsere Kern-Hostingserver für Konto-, Bestell- und Reservierungsdaten befinden sich in Rechenzentren innerhalb der EU. Unsere Hosting-Anbieter (Hetzner Online GmbH, AWS EMEA SARL Luxemburg) sind nach ISO 27001 zertifiziert. Zu einzelnen Hilfsdiensten mit Übermittlung in die USA (Resend, FCM/APNs, Cloudflare) siehe Abschnitt 11.3.
• PCI-DSS-Konformität: Die Verarbeitung von Zahlungsdaten erfolgt ausschließlich über den PCI-DSS-zertifizierten Zahlungsdienstleister Stripe. Mambil speichert zu keinem Zeitpunkt vollständige Kreditkarten- oder Kontodaten.
• Regelmäßige Sicherheitsüberprüfungen: Wir führen regelmäßige Sicherheitsaudits und Updates durch, um unsere Systeme auf dem aktuellen Stand der Technik zu halten.

13.2 Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten (z. B. unbefugter Zugriff, Verlust oder Offenlegung) halten wir uns an die gesetzlichen Meldepflichten gemäß Art. 33 und Art. 34 DSGVO.

• Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): Wir melden Datenschutzverletzungen unverzüglich und nach Möglichkeit binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde, sofern nicht die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
• Benachrichtigung betroffener Personen (Art. 34 DSGVO): Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für Ihre Rechte und Freiheiten zur Folge, benachrichtigen wir Sie unverzüglich und in klarer, einfacher Sprache.
• Interne Dokumentation: Alle Datenschutzverletzungen einschließlich der damit verbundenen Fakten, Auswirkungen und getroffenen Abhilfemaßnahmen werden intern dokumentiert, um die Einhaltung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO gegenüber der Aufsichtsbehörde nachweisen zu können.

14. Speicherdauer und Löschung

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

14.1 Kontodaten (Restaurantbetreiber)

Ihre Kontodaten werden für die Dauer der aktiven Nutzung der Plattform gespeichert. Free-Konten ohne aktives kostenpflichtiges Abonnement, bei denen über einen Zeitraum von mehr als 6 Monaten keine Anmeldung erfolgt ist (Inaktivität), werden automatisch gelöscht; vor einer inaktivitätsbedingten Löschung informieren wir Sie mindestens 30 Tage zuvor per E-Mail an die hinterlegte Adresse, sodass Sie der Löschung durch eine Anmeldung widersprechen können. Sie können die Löschung Ihres Kontos darüber hinaus jederzeit selbst direkt über die Plattform anfordern; die endgültige Löschung erfolgt 45 Tage nach Antragseingang und kann innerhalb dieser Frist widerrufen werden. Konten mit aktivem kostenpflichtigem Abonnement unterliegen keiner inaktivitätsbedingten automatischen Löschung. In allen Fällen werden Ihre personenbezogenen Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (siehe Abschnitt 14.3).

14.2 Bestell- und Reservierungsdaten

Abgeschlossene Bestellungen werden archiviert; ältere Archivdatensätze werden zudem in einen verschlüsselten Langzeitspeicher ausgelagert. Wir unterscheiden zwischen tax- bzw. handelsrechtlich relevanten Datensätzen und sonstigen Bestell- und Reservierungsdaten: (a) Bezahlte Bestellungen als Buchungsbelege: Datensätze zu bezahlten Bestellungen stellen Buchungsbelege im Sinne des § 147 Abs. 1 Nr. 4 AO und des § 257 Abs. 1 Nr. 4 HGB (jeweils i. d. F. des BEG IV) dar und unterliegen einer Aufbewahrungspflicht von 8 Jahren ab Schluss des Kalenderjahres, in dem der Beleg entstanden ist. Während dieser Frist werden die Daten nach Art. 18 Abs. 1 lit. b DSGVO mit einer Verarbeitungsbeschränkung (Speichersperre) versehen, in einem getrennten, verschlüsselten Langzeitspeicher abgelegt und nicht für andere Zwecke genutzt. Nach Ablauf der Frist erfolgt die routinemäßige Löschung. (b) Sonstige Bestell- und Reservierungsdaten: Bestell- und Reservierungsdatenfelder, die nicht von der steuer- bzw. handelsrechtlichen Aufbewahrungspflicht erfasst sind (insbesondere reine Reservierungsstammdaten ohne Zahlungsbezug, freie Notizfelder, Telefonnummern, Sonderwünsche), werden für die Dauer der Geschäftsbeziehung des Restaurantbetreibers gespeichert und spätestens 45 Tage nach Kündigung des Kontos gelöscht, sofern keine sonstigen gesetzlichen Aufbewahrungspflichten oder Verjährungsfristen entgegenstehen (siehe Abschnitt 14.3). Konten ohne jegliche steuer-, handels- oder PStTG-relevanten Daten (insbesondere reine Free-Tarif-Konten ohne abgewickelte Bestellvorgänge und ohne Stripe-Connect-Aktivierung) werden bei einer Löschung vollständig und ohne Langzeitarchivierung gelöscht. (c) Reservierungsdaten ohne Zahlung: Reservierungsdaten ohne Zahlungsvorgang werden grundsätzlich spätestens 90 Tage nach dem Reservierungstermin gelöscht oder anonymisiert, soweit der Restaurantbetreiber keinen abweichenden Lösch- oder Verarbeitungszeitraum auf Grundlage einer eigenen Rechtsgrundlage festgelegt hat.

14.3 Gesetzliche Aufbewahrungsfristen

Bestimmte Daten unterliegen gesetzlichen Aufbewahrungspflichten. Die nachstehenden Fristen gelten nur für die jeweils ausdrücklich genannten Datenkategorien; eine pauschale Verlängerung der Speicherdauer für sonstige personenbezogene Daten ist damit nicht verbunden:

• Steuerrechtliche Aufbewahrungspflicht (§ 147 AO i. d. F. des Vierten Bürokratieentlastungsgesetzes – BEG IV): 10 Jahre für Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanzen sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (§ 147 Abs. 3 Satz 1 Nr. 1 AO); 8 Jahre für Buchungsbelege (§ 147 Abs. 3 Satz 1 Nr. 4 AO – verkürzt von zehn auf acht Jahre für Belege, deren Aufbewahrungsfrist am 31. Dezember 2024 noch nicht abgelaufen war); 6 Jahre für die übrigen in § 147 Abs. 1 AO genannten Unterlagen (insbesondere empfangene und Wiedergaben abgesandter Handels- und Geschäftsbriefe).
• Handelsrechtliche Aufbewahrungspflicht (§ 257 HGB i. d. F. des BEG IV): 10 Jahre für Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse und Konzernabschlüsse; 8 Jahre für Buchungsbelege; 6 Jahre für empfangene und Wiedergaben abgesandter Handelsbriefe.
• Aufbewahrung nach dem Plattformen-Steuertransparenzgesetz (§ 24 PStTG): 10 Jahre, beschränkt auf die nach §§ 13 ff. PStTG erhobenen Informationen über meldepflichtige Anbieter (Restaurantbetreiber) sowie die Aufzeichnungen über die durchgeführten Sorgfalts- und Meldepflichten; siehe Abschnitt 19a. Bestell- und Reservierungsdaten der Endkunden sind hiervon nicht erfasst.
• Widerspruchs- und Klagefristen: Bis zu 3 Jahre nach Ende des Kalenderjahres, in dem die Vertragsbeziehung beendet wurde (regelmäßige Verjährungsfrist gemäß §§ 195, 199 BGB); längere Fristen nur, soweit dies im konkreten Fall zur Rechtsverteidigung erforderlich und verhältnismäßig ist.

Während der Dauer einer gesetzlichen Aufbewahrungspflicht sind die betreffenden Daten nach Art. 18 DSGVO eingeschränkt verarbeitet (Speicherung mit Verarbeitungssperre); sie werden nicht für andere Zwecke genutzt. Nach Ablauf der jeweiligen Frist werden die Daten routinemäßig gelöscht.

14.4 Server-Logfiles

Server-Logfiles werden nach 14 Tagen automatisch gelöscht.

14.5 Kontaktanfragen

Daten aus Kontaktanfragen werden nach Abschluss der Bearbeitung gelöscht, sofern die Anfrage nicht zu einem Vertragsverhältnis führt. Im Falle einer vorvertraglichen Anfrage werden die Daten spätestens 6 Monate nach der letzten Kommunikation gelöscht.

15. Rechte der betroffenen Personen

Hinweis nach Art. 21 Abs. 4 DSGVO – Recht auf Widerspruch: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit ohne Angabe von Gründen Widerspruch gegen diese Verarbeitung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Ein Widerspruch genügt formlos und kann insbesondere per E-Mail an privacy@dev.mambil.com oder über den Abmeldelink in jeder werblichen Nachricht erklärt werden. Im Falle des Widerspruchs gegen Direktwerbung verarbeiten wir Ihre Daten nicht mehr für diese Zwecke. Darüber hinaus stehen Ihnen nach der DSGVO die nachstehenden weiteren Rechte zu. Zur Ausübung Ihrer Rechte genügt eine formlose Mitteilung an privacy@dev.mambil.com. Wir werden Ihren Antrag unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten (Art. 12 Abs. 3 DSGVO). In besonders komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie rechtzeitig informieren. Bei begründeten Zweifeln an Ihrer Identität können wir gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen anfordern, die zur Bestätigung Ihrer Identität erforderlich sind. Wir verwenden diese Informationen ausschließlich zu diesem Zweck.

15.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie Anspruch auf Auskunft über diese Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO.

15.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger Daten zu verlangen.

15.3 Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft, z. B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.

15.4 Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist.

15.5 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

15.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht. Wir verarbeiten Ihre Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen.

15.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

15.8 Mitteilungspflicht (Art. 19 DSGVO)

Soweit wir Ihre personenbezogenen Daten an Empfänger offengelegt haben, teilen wir diesen Empfängern jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Auf Verlangen unterrichten wir Sie über diese Empfänger.

15.9 Recht in Bezug auf automatisierte Entscheidungen (Art. 22 DSGVO)

Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Im Übrigen verweisen wir auf die Erläuterungen in Abschnitt 17 zu den von Stripe und uns eingesetzten automatisierten Vorgängen sowie auf die dort genannten Möglichkeiten zur Anfechtung der Entscheidung und zur Erlangung einer manuellen Überprüfung.

16. Beschwerderecht bei einer Aufsichtsbehörde

Gemäß Art. 77 DSGVO haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. Sie können sich insbesondere an die Aufsichtsbehörde Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes wenden. Die für uns zuständige Aufsichtsbehörde ist: Die Landesbeauftragte für den Datenschutz Niedersachsen Prinzenstraße 5, 30159 Hannover Website der Landesbeauftragten für den Datenschutz Niedersachsen Eine Liste aller Datenschutzaufsichtsbehörden in Deutschland stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bereit.

17. Automatisierte Entscheidungsfindung und Profiling

Wir treffen grundsätzlich keine ausschließlich automatisierten Entscheidungen im Sinne des Art. 22 Abs. 1 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Soweit nachfolgend automatisierte Vorgänge beschrieben werden, weisen wir Sie nach Art. 13 Abs. 2 lit. f, Art. 22 Abs. 3 DSGVO auf die jeweils involvierte Logik sowie auf die Tragweite und die angestrebten Auswirkungen hin und gewährleisten Ihr Recht auf Erwirkung des Eingreifens einer natürlichen Person, auf Darlegung Ihres Standpunkts und auf Anfechtung der Entscheidung.

17.1 Automatisierte Betrugs- und Risikoprüfung im Zahlungsprozess (Stripe Radar)

Wer entscheidet? Verantwortlicher der automatisierten Betrugs- und Risikoprüfung im Zahlungsprozess ist Stripe als eigenständig Verantwortliche (siehe Abschnitt 8.3). Die Entscheidung über die Annahme, Ablehnung oder zusätzliche Authentifizierung (3-D Secure) einer Zahlung wird durch Stripe getroffen; Mambil hat hierauf keinen unmittelbaren Einfluss. Eingesetzte Logik: Stripe wertet im Rahmen jedes Zahlungsvorgangs eine Vielzahl regelbasierter und durch maschinelles Lernen ermittelter Risikosignale aus. Hierzu zählen u. a. Geräte- und Browsersignale, IP-Adresse, Geschwindigkeit aufeinanderfolgender Zahlungsversuche, BIN-/Karteninformationen, geografische Übereinstimmung sowie Mustervergleiche mit dem globalen Stripe-Netzwerk. Daraus ergibt sich ein Risikoscore, der mit den von Stripe definierten und ggf. durch das Restaurant in Stripe Radar konfigurierten Regeln abgeglichen wird. Tragweite und angestrebte Auswirkungen: Mögliche Folgen sind (a) die Freigabe der Zahlung, (b) die Anforderung einer zusätzlichen Authentifizierung (Starke Kundenauthentifizierung gemäß PSD2 / 3-D Secure), oder (c) die Ablehnung der Zahlung. Eine Ablehnung führt dazu, dass die jeweilige Bestellung bzw. das jeweilige Abonnement nicht zustande kommt; Sie können in diesem Fall ein anderes Zahlungsmittel auswählen oder die Bestellung erneut versuchen. Es entstehen keine darüber hinausgehenden rechtlichen oder vertraglichen Nachteile. Ihre Rechte (Art. 22 Abs. 3 DSGVO): Sollten Sie der Auffassung sein, dass eine Zahlung zu Unrecht abgelehnt wurde, können Sie sich an privacy@dev.mambil.com wenden. Wir leiten Ihr Anliegen an Stripe weiter, übermitteln Stripe Ihren Standpunkt und ersuchen Stripe um manuelle Überprüfung der Entscheidung durch eine natürliche Person. Ergänzend können Sie sich unmittelbar an Stripe wenden; Einzelheiten zur Logik finden sich auch in der Datenschutzerklärung von Stripe sowie in den Stripe-Hinweisen zu Radar.

17.2 Automatisierte steuerliche Plausibilisierung (PStTG/DAC7)

Im Rahmen unserer Pflichten nach dem Plattformen-Steuertransparenzgesetz (PStTG) führen wir automatisierte Plausibilisierungen der vom Restaurantbetreiber bereitgestellten Steuer- und Identifikationsdaten durch, insbesondere die Validierung der Umsatzsteuer-Identifikationsnummer über das MIAS/VIES-System der Europäischen Kommission. Eine ausschließlich automatisierte Entscheidung mit erheblicher Beeinträchtigung ist hiermit nicht verbunden; festgestellte Auffälligkeiten werden manuell nachgeprüft.

17.3 Automatisierte Maßnahmen nach § 23 PStTG

Werden die nach §§ 13 ff. PStTG erforderlichen Mitwirkungspflichten trotz zweier Erinnerungen und einer Gesamtfrist von 60 Tagen nicht erfüllt, sind wir gesetzlich verpflichtet, die Tätigkeit des Restaurantbetreibers auf der Plattform zu unterbinden und/oder Auszahlungen zurückzuhalten (§ 23 PStTG). Diese Maßnahme erfolgt regelbasiert. Vor jeder solchen Maßnahme erhalten Sie eine ausdrückliche Aufforderung; Sie können jederzeit eine manuelle Einzelfallprüfung mit der Möglichkeit zur Stellungnahme verlangen, indem Sie sich an privacy@dev.mambil.com wenden.

17.4 KI-gestützte Übersetzung

Wir nutzen KI-gestützte Übersetzungsdienste zur automatischen Übersetzung von Speisekartentexten (siehe Abschnitt 18). Hierbei handelt es sich um die Verarbeitung öffentlich zugänglicher Restaurantinhalte; eine automatisierte Entscheidung im Sinne des Art. 22 DSGVO findet nicht statt.

18. KI-gestützte Übersetzungen

Unsere Plattform bietet eine maschinelle Übersetzungsfunktion, mit der Restaurantbetreiber ihre Speisekarten automatisch in mehrere Sprachen übersetzen lassen können. Als Übersetzungsdienst setzen wir DeepL (DeepL SE, Köln, Deutschland) ein. Dabei werden ausschließlich die vom Restaurantbetreiber eingestellten Inhalte (Bezeichnungen von Speisen und Getränken, Beschreibungen, Kategorienamen) an DeepL übermittelt. Regelmäßig handelt es sich hierbei um öffentlich zugängliche Restaurantinhalte und nicht um personenbezogene Daten. DeepL verarbeitet die übermittelten Texte ausschließlich zur Erbringung der Übersetzungsleistung und speichert sie nicht dauerhaft. Sollten Restaurantbetreiber in Speisekartentexten ausnahmsweise personenbezogene Daten erfassen (z. B. Namen von Inhabern, Köchen oder Mitarbeitern in Beschreibungen), so sind sie selbst dafür verantwortlich, eine geeignete Rechtsgrundlage hierfür zu schaffen und die betroffenen Personen entsprechend zu informieren. Verbindlich ist die vom Restaurantbetreiber in der Originalsprache hinterlegte Menüfassung; maschinelle Übersetzungen werden gegenüber Endkunden als solche gekennzeichnet angezeigt. Der Restaurantbetreiber kann die automatische Übersetzung für einzelne Zielsprachen jederzeit deaktivieren.

19. Weitergabe von Daten an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur in den in dieser Datenschutzerklärung beschriebenen Fällen oder wenn wir gesetzlich dazu verpflichtet sind. Ein Verkauf Ihrer personenbezogenen Daten an Dritte findet nicht statt. Im Rahmen von Stripe Connect werden Bestelldaten zwischen dem Endkunden, dem Restaurantbetreiber und Stripe ausgetauscht, soweit dies für die Zahlungsabwicklung erforderlich ist. Bei einer behördlichen Anfrage sind wir unter Umständen gesetzlich verpflichtet, Daten an Strafverfolgungsbehörden oder Aufsichtsbehörden herauszugeben.

19a. Datenübermittlung an das Bundeszentralamt für Steuern (PStTG / DAC7)

Soweit Mambil als meldepflichtiger Plattformbetreiber im Sinne des § 3 Plattformen-Steuertransparenzgesetz (PStTG) zur Umsetzung der Richtlinie (EU) 2021/514 (DAC7) einzustufen ist, sind wir gesetzlich verpflichtet, jährlich bestimmte Daten unserer Restaurantbetreiber an das Bundeszentralamt für Steuern (BZSt) zu übermitteln. Die Einordnung erfolgt anhand der konkreten Vertragsgestaltung mit dem jeweiligen Restaurantpartner und wird laufend rechtlich überprüft; bei Änderungen passen wir diese Hinweise an. Diese Pflicht betrifft ausschließlich die Restaurantbetreiber als Anbieter im Sinne des § 4 PStTG; Bestell- und Reservierungsdaten der Endkunden sind weder Gegenstand der Meldung noch der besonderen Aufbewahrungsfrist nach § 24 PStTG. Verarbeitete Datenkategorien (Anbieterdaten): Name bzw. Firma, Anschrift, Steueridentifikationsnummer bzw. Steuernummer, Umsatzsteuer-Identifikationsnummer, bei natürlichen Personen Geburtsdatum, bei juristischen Personen Handelsregisternummer, Mitgliedstaat der Ansässigkeit, Bankverbindung des Auszahlungskontos sowie quartalsweise die Höhe der über die Plattform an den Restaurantbetreiber ausgekehrten Vergütung, die einbehaltenen Plattformgebühren und die Anzahl der relevanten Tätigkeiten. Empfänger: Bundeszentralamt für Steuern (BZSt), An der Küppe 1, 53225 Bonn. Das BZSt tauscht die Daten im Rahmen des EU-weiten DAC7-Mechanismus mit den zuständigen Steuerbehörden anderer EU-Mitgliedstaaten aus, soweit der Restaurantbetreiber dort ansässig ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 13 ff. PStTG (Erfüllung einer rechtlichen Verpflichtung). Speicherdauer: 10 Jahre nach Ablauf des jeweiligen Meldezeitraums gemäß § 24 PStTG, beschränkt auf die zur Erfüllung der Sorgfalts- und Meldepflichten erhobenen und übermittelten Anbieterinformationen sowie die Aufzeichnungen über die durchgeführten Sorgfaltsmaßnahmen. Folgen einer Nichtbereitstellung: Werden die erforderlichen Daten nach zwei Erinnerungen und einer Gesamtfrist von 60 Tagen nicht vollständig bereitgestellt, sind wir nach § 23 PStTG gesetzlich verpflichtet, die Tätigkeit des Restaurantbetreibers auf der Plattform zu unterbinden und/oder Auszahlungen zurückzuhalten. Vor jeder Übermittlung an das BZSt informieren wir den betroffenen Restaurantbetreiber gemäß § 22 Abs. 4 PStTG in Textform über die zu übermittelnden Daten.

20. Hinweise für Endkunden

Wenn Sie als Endkunde über Mambil eine Speisekarte ansehen, eine Bestellung aufgeben, eine Reservierung vornehmen oder eine Zahlung tätigen, beachten Sie bitte Folgendes:

• Verantwortlicher für Ihre Bestell- und Reservierungsdaten ist der jeweilige Restaurantbetreiber. Bitte wenden Sie sich für Auskunfts-, Berichtigungs- oder Löschungsanfragen bezüglich Ihrer Bestell- und Reservierungsdaten an das jeweilige Restaurant. Sie können solche Anfragen alternativ auch an privacy@dev.mambil.com richten; wir leiten sie dann unverzüglich an den zuständigen Restaurantbetreiber weiter (Art. 28 Abs. 3 lit. e DSGVO).
• Mambil stellt als Plattformbetreiber die technische Infrastruktur bereit und verarbeitet Ihre Daten im Auftrag des Restaurantbetreibers.
• Unsere Dienste richten sich nicht an Kinder. Soweit für eine Verarbeitung eine Einwilligung Minderjähriger erforderlich wäre, gilt in Deutschland sowie in den meisten EU-Mitgliedstaaten eine Altersgrenze von 16 Jahren (Art. 8 Abs. 1 DSGVO; Deutschland hat von der Öffnungsklausel zur Absenkung der Altersgrenze keinen Gebrauch gemacht). Stellt ein Restaurantbetreiber fest, dass Bestellungen oder Reservierungen durch Minderjährige unterhalb dieser Altersgrenze erfolgt sind, ist er verpflichtet, die nach Art. 8 DSGVO erforderlichen Einwilligungen der Erziehungsberechtigten einzuholen.
• Für die Zahlungsabwicklung wird Stripe Connect eingesetzt. Ihre Zahlungsdaten werden direkt von Stripe verarbeitet. Mambil und der Restaurantbetreiber haben keinen Zugriff auf Ihre vollständigen Zahlungsdaten (z. B. Kreditkartennummer).
• Die bloße Ansicht einer digitalen Speisekarte (Scannen eines QR-Codes) erfordert keine Registrierung und es werden keine personenbezogenen Daten erhoben, die über die in Abschnitt 4 beschriebenen Server-Logfiles hinausgehen.
• Für Fragen zum Datenschutz bei der Nutzung der Plattform können Sie sich an privacy@dev.mambil.com wenden.
• Nach Abschluss einer Bestellung erhalten Sie automatisch eine Bestellbestätigung per E-Mail oder im Browser mit Angabe der bestellten Artikel und des Gesamtpreises. Diese Bestellbestätigung ist ausdrücklich keine Rechnung im Sinne des § 14 UStG und kein Kassenbon im Sinne des § 146a AO. Für einen steuerlichen Beleg mit ausgewiesener Umsatzsteuer wenden Sie sich bitte direkt an das jeweilige Restaurant – dieses ist als Verkäufer der Speisen und Getränke gesetzlich für die Ausstellung von Rechnungen und Kassenbons verantwortlich.

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, neue technische Entwicklungen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar. Bei wesentlichen Änderungen, die Ihre Rechte betreffen, werden wir registrierte Nutzer per E-Mail informieren.

Stand: Mai 2026