Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf GastroScan.at ist:

Edgar Oganisjan, Einzelunternehmer
Lazarettgasse 18
8020 Graz
Österreich

E-Mail:
office@gastroscan.at

Datenschutzkontakt:
datenschutz@gastroscan.at

Telefon:
+43 676 9195233

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da nach aktueller Einschätzung keine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht.

Für Datenschutzanfragen kannst du dich jederzeit an folgende Adresse wenden: datenschutz@gastroscan.at

3. Was ist GastroScan.at?

GastroScan.at ist eine Software-as-a-Service-Plattform für Gastronomiebetriebe. Restaurants können sich registrieren und über die Plattform unter anderem folgende Funktionen nutzen:

• digitale Speisekarten mit QR-Code
• Restaurantprofil mit Öffnungszeiten, Adresse, Logo, Bildern und Kontaktmöglichkeiten
• mehrsprachige Darstellung der Speisekarte
• Angaben zu Allergenen und Zusatzstoffen
• Online-Reservierungen
• Newsletter-Funktionen
• News und Aktionen
• Verlinkungen zu Google Maps, Google Bewertungen, WhatsApp, Telefon und eigener Website
• Einbindung von Speisekarten oder Reservierungsformularen in eigene Websites

4. Unsere Rolle nach der DSGVO

Je nach Datenverarbeitung haben wir unterschiedliche Rollen.

4.1 GastroScan als Verantwortlicher

Wir sind Verantwortlicher, wenn wir Daten für unsere eigenen Zwecke verarbeiten. Das betrifft insbesondere:

• Besucher der Website gastroscan.at
• Restaurant-Inhaber
• Mitarbeiter-Accounts
• Plattform-Newsletter
• Support-Anfragen
• technische Sicherheit der Plattform
• Rechnungslegung und Vertragsverwaltung

4.2 GastroScan als Auftragsverarbeiter

Bei Daten, die Restaurants über GastroScan von ihren Gästen verarbeiten, handeln wir grundsätzlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Das betrifft insbesondere:

• Reservierungsdaten
• Restaurant-eigene Newsletter
• Gäste-Feedback
• Daten, die direkt einem bestimmten Restaurant zugeordnet sind

Verantwortlich ist in diesen Fällen das jeweilige Restaurant. GastroScan stellt die technische Plattform bereit.

5. Welche Daten wir verarbeiten

5.1 Besucher der Marketing-Website

Wenn du unsere Website besuchst, verarbeiten wir technisch notwendige Zugriffsdaten:

• IP-Adresse
• User-Agent / Browserinformationen
• Zeitpunkt des Zugriffs
• Referrer-URL
• Spracheinstellung deines Browsers
• Server-Logs und App-Logs

Diese Daten brauchen wir, damit die Website technisch funktioniert, sicher bleibt und Fehler analysiert werden können.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am sicheren und stabilen Betrieb der Website.

Speicherdauer:
Server-Logs werden grundsätzlich 14 Tage gespeichert und danach automatisch gelöscht, sofern keine längere Speicherung wegen Sicherheitsvorfällen erforderlich ist.

5.2 Kontaktformular

Wenn du uns über ein Kontaktformular kontaktierst, verarbeiten wir:

• Name
• E-Mail-Adresse
• Nachricht
• IP-Adresse zum Spam-Schutz
• Zeitpunkt der Anfrage

Wir verwenden diese Daten nur, um deine Anfrage zu bearbeiten und Missbrauch zu verhindern.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO, wenn deine Anfrage mit einem Vertrag oder einer vorvertraglichen Anfrage zusammenhängt.
Art. 6 Abs. 1 lit. f DSGVO, wenn es um allgemeine Anfragen oder Spam-Schutz geht.

Speicherdauer:
Anfragen speichern wir nur so lange, wie es für die Bearbeitung notwendig ist. Geschäftlich relevante Kommunikation kann entsprechend gesetzlicher Aufbewahrungspflichten länger gespeichert werden.

5.3 Restaurant-Inhaber und Account-Inhaber

Wenn du dich als Restaurant bei GastroScan registrierst, verarbeiten wir folgende Daten:

• Vorname
• Nachname
• E-Mail-Adresse
• Passwort, ausschließlich gehasht mit bcrypt
• Restaurant-Name
• Restaurant-URL-Slug
• Verifizierungsstatus
• Login-Zeitpunkte
• Login-IP-Adresse
• Passwort-Reset-Token, gehasht und zeitlich begrenzt
• Session-ID

Zusätzlich kannst du im Restaurantprofil weitere Daten hinterlegen:

• Telefonnummer
• WhatsApp-Link oder WhatsApp-Nummer
• Adresse
• Geo-Daten
• Spracheinstellungen
• Logo
• Cover-Bild
• Öffnungszeiten
• Besonderheiten
• Social-Media-Links
• Google-Maps-URL
• Google-Review-URL
• eigene Website

Wichtig:
Derzeit ist kein Online-Payment integriert. Zahlungsdaten oder Bankdaten werden in der Plattform aktuell nicht verarbeitet. Das Premium-Abo wird offline bzw. per Rechnung abgerechnet.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung.
Art. 6 Abs. 1 lit. f DSGVO — Sicherheit der Plattform, Login-Schutz und Missbrauchsprävention.
Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Aufbewahrungspflichten bei Rechnungsdaten.

Speicherdauer:
Account-Daten speichern wir während der Vertragsdauer. Nach Löschung des Accounts werden die Daten grundsätzlich nach 30 Tagen endgültig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Rechnungsrelevante Daten werden aufgrund steuerlicher Pflichten bis zu 7 Jahre aufbewahrt.

5.4 Mitarbeiter eines Restaurants

Restaurant-Inhaber können Mitarbeiter-Accounts anlegen. Dabei können folgende Daten verarbeitet werden:

• Vorname
• Nachname
• E-Mail-Adresse
• Passwort, gehasht
• Rolle und Berechtigungen
• Verknüpfung zum Restaurant
• Aktiv/Inaktiv-Status
• Login-Zeitpunkte
• Login-IP-Adresse

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung gegenüber dem Restaurant.
Art. 6 Abs. 1 lit. f DSGVO — sichere Verwaltung von Benutzerrechten.

Speicherdauer:
Mitarbeiterdaten werden gespeichert, solange der Account aktiv ist oder das Restaurant die Daten benötigt. Das Restaurant kann Mitarbeiter deaktivieren oder löschen.

5.5 Restaurantgäste beim Besuch einer digitalen Speisekarte

Wenn du als Gast eine digitale Speisekarte über GastroScan öffnest, können folgende technische Daten verarbeitet werden:

• IP-Adresse
• User-Agent
• Zeitstempel
• Sprachpräferenz
• Restaurant-Slug
• bei Tisch-QR-Codes: Tisch-Code
• technische Zugriffsdaten für Scan-Statistiken

Die IP-Adresse kann zur Deduplizierung von Scan-Statistiken und zum Schutz vor Missbrauch verwendet werden.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am technischen Betrieb, an Sicherheit und an anonymisierten Statistiken.

Speicherdauer:
Technische Logs werden grundsätzlich 14 Tage gespeichert. Anonymisierte oder aggregierte Statistiken können länger gespeichert werden, enthalten dann aber keinen direkten Personenbezug mehr.

5.6 Newsletter

GastroScan bietet Newsletter-Funktionen an. Zusätzlich können Restaurants eigene Newsletter über die Plattform verwalten.

Für Newsletter verarbeiten wir:

• E-Mail-Adresse
• Vorname, falls angegeben
• Double-Opt-In-Token
• Bestätigungszeitpunkt
• Zustimmungs-IP
• Zustimmungszeitpunkt
• Abmelde-Token
• Status aktiv / abgemeldet

Du erhältst Newsletter nur, wenn du dich dafür anmeldest und deine Anmeldung über Double-Opt-In bestätigst.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung.
Art. 7 DSGVO — Nachweis der Einwilligung.

Abmeldung:
Du kannst dich jederzeit über den Abmelde-Link in jeder Newsletter-E-Mail abmelden.

Speicherdauer:
Newsletterdaten speichern wir bis zur Abmeldung. Nach der Abmeldung speichern wir die notwendigen Nachweisdaten, soweit dies zur Dokumentation der Einwilligung oder Abmeldung erforderlich ist.

5.7 Support-Tickets

Wenn du als Restaurant-Kunde den Support nutzt, verarbeiten wir:

• Verknüpfung zu deinem User-Account
• Betreff
• Nachrichtenverlauf
• Anhänge
• Priorität
• Status
• technische Informationen, falls du sie mitschickst

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und Supportleistung.
Art. 6 Abs. 1 lit. f DSGVO — Dokumentation und Verbesserung des Supports.

Speicherdauer:
Support-Tickets speichern wir bis zur Schließung des Tickets und danach bis zu 24 Monate, sofern keine längere Speicherung wegen rechtlicher Ansprüche notwendig ist.

5.8 Zwei-Faktor-Authentifizierung

Wenn du Zwei-Faktor-Authentifizierung aktivierst, verarbeiten wir:

• TOTP-Secret
• bcrypt-gehashte Recovery-Codes
• Aktivierungsstatus
• Login-Versuche
• Sicherheitszeitstempel

Die Authenticator-App auf deinem Gerät erzeugt Codes lokal. Der TOTP-Schlüssel wird durch Scannen des QR-Codes eingerichtet. Nach der Einrichtung ist keine laufende Datenübertragung an Google, Microsoft oder andere App-Anbieter erforderlich.

Rechtsgrundlage:
Art. 6 Abs. 1 lit. f DSGVO — Sicherheit der Verarbeitung gemäß Art. 32 DSGVO.

Speicherdauer:
Recovery-Codes werden bis zur Nutzung oder bis zur Deaktivierung der Zwei-Faktor-Authentifizierung gespeichert. TOTP-Daten werden gespeichert, solange die Funktion aktiv ist.

5.9 Passwort-Reset

Wenn du dein Passwort zurücksetzt, verarbeiten wir:

• E-Mail-Adresse
• gehashten Passwort-Reset-Token
• Ablaufzeitpunkt
• IP-Adresse und Zeitstempel zur Sicherheit

Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO — Account-Verwaltung.
Art. 6 Abs. 1 lit. f DSGVO — Missbrauchsschutz.

Speicherdauer:
Passwort-Reset-Tokens sind 2 Stunden gültig und werden danach ungültig.

6. Cookies und Local Storage

GastroScan setzt technisch notwendige Cookies und verwendet Local Storage für Cookie-Einstellungen. Details dazu findest du in unserer separaten Cookie-Richtlinie.

7. Google Ads / AdSense bei Free-Plan-Restaurants

Restaurants im Free-Plan können dezente Google-Werbung im Gäste-Menü anzeigen. Diese Werbung wird nur aktiviert, wenn du der Kategorie „Marketing“ im Cookie-Banner zustimmst.

Dabei kann Google eigene Cookies setzen und personenbezogene Daten verarbeiten.

Anbieter:
Google Ireland Limited
Gordon House
Barrow Street
Dublin 4
Irland

Datenschutz von Google:
https://policies.google.com/privacy

Cookie-Informationen von Google:
https://policies.google.com/technologies/cookies

Rechtsgrundlage:
Art. 6 Abs. 1 lit. a DSGVO — Einwilligung.

Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

8. Verlinkungen zu externen Diensten

Restaurants können Links zu externen Diensten einfügen, zum Beispiel:

• Google Maps
• Google Bewertungen
• WhatsApp
• Telefonlink
• eigene Website
• Social Media

Diese Links werden grundsätzlich als reine Hyperlinks ausgegeben. Es findet keine automatische Einbettung, kein iframe und kein Tracking durch diese Dienste statt, bevor du den Link anklickst.

Wenn du auf einen externen Link klickst, verlässt du GastroScan.at. Danach gelten die Datenschutzbestimmungen des jeweiligen Anbieters.

9. Eingebettete Inhalte und Widgets

Restaurants können Speisekarten oder Reservierungsformulare von GastroScan per iframe oder JS-Widget in eigene Webseiten einbinden.

Wenn du ein solches Embed auf einer Restaurant-Website öffnest, wird technisch eine Anfrage an GastroScan.at gesendet. Die Datenverarbeitung entspricht dann grundsätzlich der Nutzung der GastroScan-Seite selbst.

Je nach Einbindung kann zusätzlich die Website des Restaurants eigene Daten verarbeiten. Dafür ist das jeweilige Restaurant verantwortlich.

10. Hosting und technische Dienstleister

10.1 Hosting

Unsere Plattform wird gehostet bei:

ALL-INKL.com - Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68
02742 Friedersdorf
Deutschland

Website:
https://all-inkl.com

Datenschutzinformationen:
https://all-inkl.com/datenschutzinformationen/

Server-Standort:
Deutschland

Über den Hosting-Anbieter werden insbesondere verarbeitet:

• Website-Daten
• Datenbankinhalte
• E-Mail-Konten
• Server-Logs
• technische Backups

Mit dem Hosting-Anbieter wird ein Auftragsverarbeitungsvertrag abgeschlossen bzw. über das KAS-Panel bereitgestellt.

10.2 E-Mail-Versand

Der E-Mail-Versand erfolgt über denselben Anbieter, ALL-INKL / kasserver.com, per TLS-verschlüsseltem SMTP.

Verwendet wird insbesondere:
no-reply@gastroscan.at

E-Mails können versendet werden für:

• Account-Verifizierung
• TAN-Verifizierung
• Reservierungsbestätigungen
• Passwort-Reset
• Newsletter
• Systembenachrichtigungen

11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen. Dazu gehören insbesondere:

• HTTPS / TLS 1.2 oder höher
• erzwungene HTTPS-Weiterleitung
• optional HSTS-fähiges Setup
• bcrypt für Passwörter
• CSRF-Schutz auf Formularen
• Session-Cookies mit HttpOnly, Secure und SameSite=Lax
• Rate-Limiting bei Login und Formularen
• Schutz gegen SQL-Injection durch vorbereitete Statements mit PDO
• tägliche Datenbank-Backups über den Hosting-Anbieter
• restriktive Datei-Berechtigungen
• Schutz sensibler Dateien wie .env
• Server-Standort Deutschland
• Zwei-Faktor-Authentifizierung für Restaurant-Inhaber empfohlen

12. Drittlandübermittlung

Für die Kernfunktionen von GastroScan findet keine routinemäßige Übermittlung personenbezogener Daten in Drittländer statt.

Mögliche Ausnahmen:

Google Ads / AdSense
Nur bei Free-Plan-Restaurants und nur nach Einwilligung. Google kann Daten auch außerhalb der EU verarbeiten. Google nimmt am EU-US Data Privacy Framework teil.

WhatsApp und externe Links
Wenn du selbst auf einen WhatsApp-Link oder einen anderen externen Link klickst, verlässt du GastroScan.at. Die weitere Verarbeitung erfolgt durch den jeweiligen Anbieter.

13. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck notwendig ist oder gesetzliche Pflichten bestehen.

14. Deine Rechte

Du hast nach der DSGVO folgende Rechte:

• Auskunft gemäß Art. 15 DSGVO
• Berichtigung gemäß Art. 16 DSGVO
• Löschung gemäß Art. 17 DSGVO
• Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
• Datenübertragbarkeit gemäß Art. 20 DSGVO
• Widerspruch gemäß Art. 21 DSGVO
• Widerruf von Einwilligungen gemäß Art. 7 Abs. 3 DSGVO

Wenn du eine Einwilligung widerrufst, bleibt die Verarbeitung bis zum Widerruf rechtmäßig.

15. Wie du deine Rechte ausüben kannst

Für allgemeine Datenschutzanfragen zu GastroScan.at erreichst du uns unter: datenschutz@gastroscan.at

Restaurant-Inhaber können viele Daten direkt im Dashboard bearbeiten oder ihren Account löschen.

Mitarbeiter eines Restaurants wenden sich grundsätzlich an den jeweiligen Restaurant-Inhaber.

Newsletter-Abonnenten können sich jederzeit über den Abmelde-Link in jeder E-Mail abmelden.

Wenn es um Reservierungen geht, ist grundsätzlich das jeweilige Restaurant dein direkter Ansprechpartner. Die Kontaktdaten des Restaurants findest du in der Reservierungsbestätigung.

16. Beschwerderecht bei der Datenschutzbehörde

Du hast das Recht, dich bei der österreichischen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

17. Automatisierte Entscheidungen / Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling findet nicht statt.