Datenschutzerklärung

Stand: Juni 2026

Gemäß Art. 13 und 14 DSGVO

Diese Plattform richtet sich an zwei Nutzergruppen: Restaurantbetreiber (die einen Account anlegen und Reservierungen verwalten) sowie Gäste (die über die Plattform einen Tisch reservieren). Je nach Nutzergruppe gelten unterschiedliche Verarbeitungssituationen, die nachfolgend getrennt erläutert werden.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung der Daten von Restaurantbetreibern (Accountinhaber, Abonnenten) ist:

[VOLLSTÄNDIGER NAME / FIRMENNAME]

[STRASSE UND HAUSNUMMER]

[PLZ ORT], Deutschland

E-Mail: [E-MAIL]

Für die Verarbeitung personenbezogener Daten von Gästen im Rahmen einer Tischreservierung ist der jeweilige Restaurantbetreiber der Verantwortliche im Sinne der DSGVO. Die Plattform Tischreservierung agiert insoweit als Auftragsverarbeiter gemäß Art. 28 DSGVO.

Bei Fragen zum Datenschutz wenden Sie sich bitte an: [DATENSCHUTZ-EMAIL]

2. Verarbeitung von Daten der Restaurantbetreiber (B2B)

2.1 Welche Daten verarbeiten wir?

Bei der Registrierung und Nutzung des Dashboards erheben wir folgende Daten:

E-Mail-Adresse und Passwort (gespeichert als bcrypt-Hash)
Restaurantdaten: Name, Adresse, Telefonnummer, Website, Beschreibung, Küche, Preiskategorie
Zahlungsdaten (verarbeitet über Stripe, s. Abschnitt 8)
Technische Daten: IP-Adresse, Browser/Gerät (User-Agent), Datum und Uhrzeit des Zugriffs
TOTP-Secret bei Aktivierung der Zwei-Faktor-Authentifizierung
Einwilligungsdatum und -IP bei Registrierung (DSGVO-Compliance)
Nutzungsprotokolle: Reservierungsaktionen, Statusänderungen (Aktivitätslog)

2.2 Zwecke und Rechtsgrundlagen

Zweck	Rechtsgrundlage
Bereitstellung des SaaS-Dashboards und Accountverwaltung	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Abrechnung und Zahlungsabwicklung (Stripe)	Art. 6 Abs. 1 lit. b DSGVO
Sicherheit: Login-Schutz, Sitzungsverwaltung, Accountsperrung	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Protokollierung von Änderungen im Aktivitätslog	Art. 6 Abs. 1 lit. f DSGVO (Nachvollziehbarkeit, Missbrauchsprävention)
Erfüllung gesetzlicher Aufbewahrungspflichten	Art. 6 Abs. 1 lit. c DSGVO
Transaktionale E-Mails (Bestätigung, Passwort-Reset, Einladungen)	Art. 6 Abs. 1 lit. b DSGVO

2.3 Speicherdauer

Account-Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Kündigung und Ablauf gesetzlicher Aufbewahrungsfristen (in der Regel 10 Jahre für steuerrelevante Daten gemäß § 147 AO) werden alle Daten unwiderruflich gelöscht. IP-Adressen in Sitzungsprotokollen werden nach 30 Tagen gelöscht.

3. Verarbeitung von Daten der Gäste (Reservierungen)

Bei einer Tischreservierung über die Plattform ist der jeweilige Restaurantbetreiber der datenschutzrechtlich Verantwortliche. Die Plattform verarbeitet diese Daten ausschließlich im Auftrag des Restaurants gemäß Art. 28 DSGVO. Für Auskunft, Löschung oder Widerspruch wenden Sie sich bitte direkt an das Restaurant.

3.1 Welche Daten werden erhoben?

Vor- und Nachname
E-Mail-Adresse
Telefonnummer (optional, sofern vom Restaurant aktiviert)
Reservierungsdetails: Datum, Uhrzeit, Personenanzahl, Dauer
Anlass (optional, z. B. Geburtstag)
Ernährungshinweise und Anmerkungen (optional)
Reservierungsstatus und Verlauf (Bestätigt, Erschienen, Storniert, No-Show)

3.2 Zwecke

Entgegennahme, Bestätigung und Verwaltung der Tischreservierung
Versand transaktionaler E-Mails (Bestätigung, Erinnerung 24h und 2h vor der Reservierung, Stornierung, Feedback)
Verwaltung von Wartelisten bei ausgebuchten Zeiten
Prävention von Missbrauch durch die Sperrliste (Blacklist)

3.3 Speicherdauer

Reservierungsdaten werden für die Dauer der Vertragsbeziehung zwischen Gast und Restaurant gespeichert, mindestens jedoch bis zur vollständigen Abwicklung der Reservierung. Gesetzliche Aufbewahrungsfristen bleiben unberührt. Nicht bestätigte (ausstehende) Reservierungen verfallen automatisch nach 2 Stunden und werden storniert.

4. Hosting und Infrastruktur

Die Plattform wird technisch auf den Servern von Vercel Inc. betrieben. Vercel setzt Server in verschiedenen Regionen ein, unter anderem in den USA und in der EU. Beim Aufruf unserer Website werden automatisch technische Daten (IP-Adresse, Zeitstempel, aufgerufene URL) in Server-Logs erfasst.

Vercel Inc.

340 Pine Street, Suite 701, San Francisco, CA 94104, USA

https://vercel.com/legal/privacy-policy

Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Ein Data Processing Agreement (DPA) mit Vercel liegt vor.

Datenbankhosting

Die Datenbank wird über einen europäischen PostgreSQL-Dienst betrieben. Alle Daten werden verschlüsselt im Ruhezustand (Encryption at Rest) und während der Übertragung (TLS/SSL) gespeichert.

5. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und lokale Speichermechanismen ein. Es werden keine Tracking-, Werbe- oder Analyse-Cookies verwendet.

Name	Typ	Zweck	Laufzeit
refresh_token	HttpOnly Cookie	Sitzungsverlängerung (Anmeldung erhalten)	30 Tage
_at	localStorage	Zugriffstoken für API-Authentifizierung	Sitzung / 1 Tag
loggedIn	localStorage	Anmeldestatus-Indikator (kein Token)	Sitzung
emailVerified	localStorage	E-Mail-Verifizierungsstatus	Sitzung

Da es sich ausschließlich um technisch notwendige Speichermechanismen handelt, ist keine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung des Dienstes).

6. E-Mail-Versand

Für den Versand transaktionaler E-Mails (Reservierungsbestätigungen, Erinnerungen, Stornierungen, Passwort-Reset, Team-Einladungen) nutzen wir den Dienst Resend. Resend verarbeitet dabei E-Mail-Adressen und Inhalte der gesendeten Nachrichten.

Resend (Functional Software, Inc.)

2261 Market Street #5039, San Francisco, CA 94114, USA

https://resend.com/privacy

Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (SCC). Ein Data Processing Agreement liegt vor. Resend speichert E-Mail-Logs standardmäßig für 30 Tage.

7. Zahlungsabwicklung

7.1 Stripe — Abonnements für Restaurantbetreiber

Für die Abwicklung von Abonnements (Starter- und Pro-Plan) nutzen wir Stripe. Stripe verarbeitet Kreditkarten- und Zahlungsdaten direkt. Wir selbst speichern keine vollständigen Zahlungsdaten. Stripe teilt uns lediglich eine Kunden-ID und den Abonnementstatus mit.

Stripe, Inc.

510 Townsend Street, San Francisco, CA 94103, USA

https://stripe.com/de/privacy

7.2 PayPal — Anzahlungen bei Buchungen

Wenn ein Restaurant die Anzahlungs-Funktion aktiviert, können Gäste beim Buchen eine Anzahlung über PayPal leisten. Die Zahlungsabwicklung erfolgt ausschließlich durch PayPal. Wir erhalten lediglich eine Zahlungsbestätigung.

PayPal S.à r.l. et Cie, S.C.A.

22-24 Boulevard Royal, 2449 Luxemburg

https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Rechtsgrundlage für die Zahlungsverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

8. Fehlerprotokollierung (Sentry)

Zur Erkennung und Behebung technischer Fehler nutzen wir Sentry. Im Fehlerfall werden automatisch technische Informationen (Fehlertyp, Stack-Trace, betroffene Seite, ggf. Browser-Typ) übermittelt. Es werden keine personenbezogenen Inhalte (z. B. E-Mail-Adressen, Passwörter, Reservierungsdaten) an Sentry weitergegeben. IP-Adressen werden vor Übermittlung anonymisiert.

Functional Software, Inc. (Sentry)

45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA

https://sentry.io/privacy/

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Stabilität der Plattform).

9. Google Places API

Restaurantbetreiber können ihr Restaurantprofil mit Google Business Profile-Daten synchronisieren (Name, Adresse, Bewertungen, Fotos, Öffnungszeiten). Diese Synchronisierung erfolgt täglich automatisiert über die Google Places API. Dabei werden keine personenbezogenen Daten von Nutzern der Plattform an Google übermittelt — es handelt sich ausschließlich um öffentlich zugängliche Geschäftsdaten.

Google LLC

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

https://policies.google.com/privacy

10. Datenübermittlungen in Drittländer

Folgende Dienstleister verarbeiten Daten in den USA oder anderen Drittländern außerhalb der EU/EWR:

Anbieter	Zweck	Schutzmaßnahme
Vercel Inc. (USA)	Hosting der Webanwendung und API	Standardvertragsklauseln (SCC), DPA
Resend Inc. (USA)	E-Mail-Versand	Standardvertragsklauseln (SCC), DPA
Stripe, Inc. (USA)	Zahlungsabwicklung Abonnements	Standardvertragsklauseln (SCC), DPA
Sentry / Functional Software (USA)	Fehlerprotokollierung	Standardvertragsklauseln (SCC), DPA
Google LLC (USA)	Google Places API (Restaurantdaten)	Standardvertragsklauseln (SCC)

Die Standardvertragsklauseln (SCC) wurden von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO beschlossen und gewährleisten ein angemessenes Datenschutzniveau. Kopien der SCC sind auf Anfrage erhältlich.

11. Aufbewahrungsfristen

Datenkategorie	Frist	Grundlage
Reservierungsdaten	3 Jahre nach Reservierungsdatum	HGB § 238, DSGVO Art. 5
Rechnungs- und Zahlungsdaten	10 Jahre	AO § 147, UStG
IP-Adressen (Sitzungsprotokolle)	30 Tage	Berechtigtes Interesse, Sicherheit
E-Mail-Logs (Resend)	30 Tage	Resend Standardeinstellung
Account-Daten nach Kündigung	Bis Ablauf der gesetzlichen Fristen	AO, HGB
Gelöschte Accounts	Unverzüglich nach Löschantrag, außer gesetzl. Aufbewahrung	Art. 17 DSGVO

12. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Art. 15 DSGVO

Auskunftsrecht

Sie können Auskunft über Ihre gespeicherten Daten verlangen.

Art. 16 DSGVO

Berichtigungsrecht

Sie können die Berichtigung unrichtiger Daten verlangen.

Art. 17 DSGVO

Recht auf Löschung

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Art. 18 DSGVO

Einschränkung

Sie können die Einschränkung der Verarbeitung verlangen.

Art. 20 DSGVO

Datenübertragbarkeit

Sie können Ihre Daten in einem gängigen Format herausverlangen.

Art. 21 DSGVO

Widerspruchsrecht

Sie können der Verarbeitung aufgrund berechtigter Interessen widersprechen.

Art. 7 Abs. 3 DSGVO

Widerruf der Einwilligung

Erteilte Einwilligungen können jederzeit widerrufen werden.

Art. 77 DSGVO

Beschwerderecht

Sie können sich bei einer Aufsichtsbehörde beschweren.

Zur Ausübung Ihrer Rechte wenden Sie sich an: [DATENSCHUTZ-EMAIL]

Zuständige Aufsichtsbehörde (exemplarisch): Datenschutzaufsichtsbehörde Ihres Bundeslandes

13. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen (TOMs) ein, um Ihre Daten zu schützen:

Verschlüsselte Übertragung aller Daten via TLS/HTTPS mit HSTS
Passwörter werden ausschließlich als bcrypt-Hash mit Salt gespeichert — nie im Klartext
Zugriffstoken (JWT) mit kurzer Laufzeit und automatischer Erneuerung
Optionale Zwei-Faktor-Authentifizierung (TOTP) für Restaurantbetreiber
Automatische Kontosperrung nach mehrfach fehlgeschlagenen Anmeldeversuchen
Strikte Zugriffskontrolle: jeder API-Aufruf ist auf das eigene Restaurant beschränkt
Regelmäßige Sicherheitsupdates aller Abhängigkeiten
Verschlüsselung der Datenbank im Ruhezustand (Encryption at Rest)

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version ist unter tischreservierung.salweb.de/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Restaurantbetreiber per E-Mail.

Stand: Juni 2026

Impressum AGB ← Startseite