CaterSmart

Datenschutzerklärung — CaterSmart-Software

für die Nutzung der Anwendung unter caterer.catersmart.de etablir – CaterSmart · Version 1.0 · Juni 2026

Diese Datenschutzerklärung informiert Sie nach Art. 13 und 14 DSGVO darüber, wie wir personenbezogene Daten bei der Bereitstellung und dem Betrieb der CaterSmart-Software verarbeiten. CaterSmart ist eine integrierte Software für Catering-Unternehmen und bündelt Kundenverwaltung (CRM inkl. E-Mail-Postfach), Vertrieb (Sales-Pipeline), Onlineshop, Warenwirtschaft, Auftrags- und Rechnungsabwicklung, Terminplanung (Kalender) und ein Endkundenportal in einer Anwendung.

Kurzüberblick

  • Hosting ausschließlich in Deutschland (Hetzner); die Datenbank betreiben wir selbst auf dieser Infrastruktur.
  • Personenbezogene Daten werden ausschließlich innerhalb der EU/des EWR verarbeitet — mit zwei eng begrenzten, klar benannten Ausnahmen mit USA-Bezug (einmalige Bestätigungs-SMS bei der Registrierung; Adressvervollständigung), die durch geeignete Garantien abgesichert sind (Abschnitt 9).
  • KI mit Personenbezug läuft nur über einen Anbieter in der EU (Mistral, Frankreich). An KI-Anbieter außerhalb der EU werden keine personenbezogenen Daten übermittelt.
  • Keine Webanalyse- oder Tracking-Dienste Dritter in der Anwendung.

1. Geltungsbereich und Abgrenzung

Diese Erklärung gilt für die Software/Anwendung („Plattform", „Dienst") unter caterer.catersmart.de.

Für unsere Marketing-Website catersmart.de (z. B. Cookies, Webanalyse, Kontaktformular, Newsletter) gilt eine eigene, gesonderte Datenschutzerklärung. Die Trennung beider Erklärungen entspricht der üblichen Praxis etablierter Software-Anbieter und sorgt dafür, dass Sie genau die Informationen erhalten, die für Ihre jeweilige Nutzung relevant sind.

2. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO für die in dieser Erklärung beschriebenen eigenen Verarbeitungen ist:

etablir (Einzelunternehmen) Inhaber: Alexander Dünchem Mons-Tabor-Str. 42 56410 Montabaur Deutschland

E-Mail: info@catersmart.de Telefon: +49 (0)2602 9553955

Datenschutzanfragen richten Sie bitte an info@catersmart.de.

Datenschutzbeauftragter: Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht derzeit nicht (weniger als 20 ständig mit der automatisierten Verarbeitung beschäftigte Personen; keine Verarbeitung im Sinne von Art. 37 Abs. 1 lit. b/c DSGVO). Sie erreichen uns in Datenschutzangelegenheiten über die vorstehenden Kontaktdaten.

3. Die wichtigsten Begriffe in Kürze

  • Verantwortlicher: wer über Zweck und Mittel der Datenverarbeitung entscheidet.
  • Auftragsverarbeiter: wer Daten nur im Auftrag und nach Weisung eines Verantwortlichen verarbeitet.
  • Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).
  • Betroffene Person: die Person, um deren Daten es geht.

4. Unsere zwei Rollen — und wer für welche Daten zuständig ist

Bei der Nutzung von CaterSmart treffen zwei unterschiedliche Verarbeitungssituationen aufeinander. Diese Unterscheidung ist wichtig dafür, an wen Sie sich mit Anliegen wenden.

Daten Verantwortlich Unsere Rolle Erläuterung
Nutzerkonto, Anmeldung, Abrechnung, Betriebs- und Protokolldaten, Support etablir / CaterSmart Verantwortlicher Wir entscheiden über diese Verarbeitung. → Abschnitt 5
Inhalte des Catering-Unternehmens (dessen Kunden- und Lieferantendaten, Angebote, Aufträge, Rechnungen, E-Mails, Termine, Shop-Bestellungen) das jeweilige Catering-Unternehmen (unser Kunde) Auftragsverarbeiter Wir verarbeiten ausschließlich im Auftrag, geregelt im AVV. → Abschnitt 6
Daten von Endkunden des Catering-Unternehmens (z. B. wer im Onlineshop bestellt) das jeweilige Catering-Unternehmen Auftragsverarbeiter Für diese Personen ist das Catering-Unternehmen Ansprechpartner und stellt eigene Datenschutzinformationen bereit.

Hinweis für Endkunden eines Caterers: Wenn Sie über den Onlineshop oder das Kundenportal eines Catering-Unternehmens bestellen, ist dieses Unternehmen für Ihre Daten verantwortlich, nicht CaterSmart. Bitte wenden Sie sich für Auskunft, Berichtigung, Löschung usw. an das jeweilige Unternehmen; dessen Datenschutzerklärung gilt. CaterSmart stellt insoweit nur die technische Plattform bereit und handelt als Auftragsverarbeiter.

5. Verarbeitungen, für die wir (CaterSmart) Verantwortlicher sind

Dieser Abschnitt betrifft vor allem die Catering-Unternehmen als unsere Vertragspartner sowie die Personen, die sich in der Software anmelden (Inhaber, Mitarbeitende, Administratoren).

5.1 Registrierung, Vertragsabschluss und Kontoverwaltung

  • Daten: Firmenname, Anschrift, Ansprechpartner (Name, E-Mail-Adresse, Telefonnummer), Benutzername, ggf. Umsatzsteuer-Identifikationsnummer, Vertrags- und Tarifdaten sowie die im Konto akzeptierten Vereinbarungen (z. B. Auftragsverarbeitungsvertrag, mit Zeitstempel der elektronischen Annahme).
  • Zweck: Bereitstellung des Kontos und der individuellen Subdomain, Verwaltung der Geschäftsbeziehung, Erfüllung des Nutzungsvertrags.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für die Erfüllung gesetzlicher Pflichten Art. 6 Abs. 1 lit. c DSGVO.

5.2 Anmeldung und Authentifizierung

  • Anmeldeverfahren: Anmeldung mit E-Mail-Adresse und Passwort oder Registrierung/Anmeldung über Google (Single Sign-On). Bei der Anmeldung über Google werden die zur Identifizierung erforderlichen Profildaten (z. B. Name, E-Mail-Adresse) von Google an uns übermittelt. Selbst vergebene Passwörter werden ausschließlich als kryptografischer Hash (nicht im Klartext) gespeichert.
  • Bestätigung per Einmalcode bei der Registrierung: Bei der Registrierung eines Catering-Unternehmens versenden wir einmalig einen Verifizierungscode (OTP) per SMS an die angegebene Telefonnummer, um die Registrierung abzusichern. Dieser einmalige Versand ist der einzige Vorgang, bei dem der SMS-Dienst Twilio zum Einsatz kommt (siehe Abschnitte 8 und 9); danach wird er nicht mehr verwendet. Passwörter werden niemals per SMS versendet.
  • Sitzungsverwaltung: Nach der Anmeldung wird Ihre Sitzung über ein technisch notwendiges Authentifizierungs-Token gehalten, damit Sie angemeldet bleiben (siehe Abschnitt 5.6).
  • Zweck: sichere Anmeldung und Schutz vor unbefugtem Zugriff auf das Konto.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kontosicherheit).

5.3 Betrieb, Protokoll-, Aktivitäts- und Sicherheitsdaten

  • Daten: IP-Adresse, Datum und Uhrzeit von Anmeldungen und Aktionen, Zeitpunkt der letzten Anmeldung („last login"), zuletzt aufgerufener Bereich bzw. letzte Aktivität in der Anwendung, in der Anwendung durchgeführte Aktionen mit Benutzerkennung und Zeitstempel (Audit-Log), Geräte- und Browserinformationen sowie technische Fehler- und Betriebsprotokolle.
  • Zweck: sicherer und stabiler Betrieb, Erkennung und Abwehr von Missbrauch und Angriffen, Nachvollziehbarkeit von Änderungen (wer hat wann was eingegeben, geändert oder gelöscht), Anzeige der letzten Aktivität bzw. Anmeldung, Unterstützung bei Support-Anfragen sowie Fehleranalyse.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, einem stabilen Betrieb und der Nachweisbarkeit); soweit gesetzlich gefordert Art. 6 Abs. 1 lit. c DSGVO.
  • Hinweis: Bei den Aktivitätsdaten (z. B. letzter Login, letzte Aktivität) wird grundsätzlich nur der jeweils aktuelle Stand vorgehalten und fortlaufend aktualisiert; es wird kein langfristiges Bewegungsprofil gebildet.

5.4 Abrechnung des CaterSmart-Abonnements

  • Daten: Tarif- und Buchungsdaten (z. B. gebuchte Module, Mitarbeiterplätze, monatliche oder jährliche Zahlweise), Rechnungsdaten, Zahlungsstatus und Rechnungsbelege.
  • Zahlungsabwicklung: Die Bezahlung des CaterSmart-Abonnements erfolgt über den Zahlungsdienstleister Mollie B.V. (Niederlande). Die eigentlichen Zahlungsmittel-Daten (z. B. Kreditkarten- oder Kontodaten) werden direkt von Mollie verarbeitet; wir erhalten lediglich den Zahlungsstatus und Referenzdaten. Mollie handelt insoweit als eigener Verantwortlicher (Zahlungsdienstleister).
  • Zweck: Abrechnung, Buchhaltung und Erfüllung steuer- und handelsrechtlicher Pflichten.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungs- und Buchführungspflichten, insbesondere § 147 AO, § 257 HGB).

5.5 Support und Kommunikation

  • Daten: Inhalt Ihrer Anfragen (per E-Mail, Telefon oder In-App-Chat), Ihre Kontaktdaten und das betroffene Konto.
  • Support-Chat: Für den Support innerhalb der Anwendung setzen wir die Software Chatwoot ein. Chatwoot betreiben wir selbst auf unserer Infrastruktur in Deutschland (self-hosted); die Chat-Inhalte werden daher nicht an einen externen Chat-Anbieter weitergegeben.
  • Zweck: Bearbeitung von Support-Anfragen, Fehlerbehebung und Verbesserung des Dienstes.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden Support).

5.6 Cookies und lokale Speicherung in der Anwendung

In der eingeloggten Anwendung verwenden wir ausschließlich technisch notwendige Cookies bzw. lokale Speichermechanismen, insbesondere:

  • ein Anmelde-/Sitzungs-Token, damit Sie angemeldet bleiben, und
  • die Speicherung von Oberflächeneinstellungen (z. B. gesetzte Filter und Ansichtseinstellungen) im lokalen Speicher Ihres Browsers.

Diese sind für den Betrieb der Software erforderlich; eine Einwilligung ist hierfür nicht notwendig (§ 25 Abs. 2 Nr. 2 TDDDG). Rechtsgrundlage für die damit verbundene Datenverarbeitung ist Art. 6 Abs. 1 lit. f bzw. lit. b DSGVO.

In der Anwendung setzen wir keine Webanalyse-, Marketing- oder Tracking-Dienste Dritter ein — insbesondere kein Google Analytics, kein Session-Recording und keine Werbe- oder Marketing-Cookies. Davon zu unterscheiden ist die in Abschnitt 5.3 beschriebene betriebliche Erfassung von Nutzungsdaten (z. B. letzter Login, letzte Aktivität); dabei handelt es sich nicht um Tracking durch Dritte. Etwaige Webanalyse-Werkzeuge kommen ausschließlich auf der Marketing-Website catersmart.de zum Einsatz und werden in deren eigener Datenschutzerklärung behandelt.

5.7 Keine automatisierte Entscheidung im Einzelfall

Es findet keine ausschließlich automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne von Art. 22 DSGVO statt. KI-Funktionen (Abschnitt 7.3) erzeugen Vorschläge, die von Menschen geprüft und freigegeben werden.

6. Verarbeitung im Auftrag unserer Kunden (Inhaltsdaten) — wir als Auftragsverarbeiter

Die eigentlichen Arbeitsinhalte, die ein Catering-Unternehmen in CaterSmart eingibt, hochlädt oder erzeugt, verarbeiten wir ausschließlich im Auftrag und nach Weisung des jeweiligen Unternehmens. Verantwortlicher im datenschutzrechtlichen Sinne ist insoweit das Catering-Unternehmen.

  • Datenkategorien (durch den Kunden eingebracht): Stammdaten (Name, E-Mail-Adresse, Telefonnummer, Anschrift), CRM- und Kontaktdaten sowie Kommunikationsverlauf, Angebots-, Auftrags- und Rechnungsdaten, Onlineshop-Bestellungen, Zahlungs- und Bankdaten (z. B. IBAN für SEPA-Mandate), Steuernummern, Termin- und Kalenderdaten sowie Lieferanten- und Geschäftspartnerdaten.
  • Kategorien betroffener Personen: Mitarbeitende des Kunden, dessen Endkunden sowie dessen Lieferanten und Geschäftspartner.
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): sind nicht vorgesehen und sollen nicht in den Dienst eingegeben werden.
  • Zweck: ausschließlich die Erbringung der vertraglich vereinbarten Funktionen.
  • Rechtsgrundlage gegenüber den betroffenen Personen: liegt beim Catering-Unternehmen als Verantwortlichem; unsere Verarbeitung beruht auf Art. 28 DSGVO (Auftragsverarbeitung).
  • Vertragliche Grundlage: der zwischen uns und dem Kunden geschlossene Auftragsverarbeitungsvertrag (AVV) nebst Anlage Technische und organisatorische Maßnahmen (TOM). Beide Dokumente sind im Kundenkonto abrufbar und beschreiben unter anderem die genehmigten Unterauftragsverarbeiter, die Datensicherheit und den Umgang mit Betroffenenrechten.

Soweit ein Catering-Unternehmen über die Software Exporte oder Schnittstellen nutzt (etwa einen Buchhaltungs-Export an seinen Steuerberater oder eine externe Software), erfolgt dies auf seine Veranlassung und in seiner Verantwortung als Verantwortlicher.

7. Funktionen und Integrationen, die der Kunde aktiviert

Einige Funktionen verbinden CaterSmart mit Diensten Dritter. Diese werden vom Kunden bewusst eingerichtet. Soweit dabei personenbezogene Daten verarbeitet werden, geschieht dies im Rahmen der Auftragsverarbeitung (Abschnitt 6).

7.1 Anbindung des E-Mail-Postfachs (Google / Microsoft / IMAP)

  • Funktionsweise: Ein Catering-Unternehmen kann sein eigenes E-Mail-Postfach (z. B. Google/Gmail, Microsoft 365/Outlook oder ein eigenes IMAP-/SMTP-Postfach) mit CaterSmart verbinden, um E-Mails direkt im CRM zu sehen und zu versenden. Die Verbindung zu Google bzw. Microsoft erfolgt über das sichere OAuth-Verfahren; ein Zugriff auf Ihr E-Mail-Passwort findet dabei nicht statt.
  • Welche Daten gespeichert werden: Die E-Mail-Inhalte verbleiben beim jeweiligen E-Mail-Anbieter und werden von CaterSmart live abgerufen, nicht dauerhaft gespiegelt. In CaterSmart gespeichert werden lediglich Metadaten (z. B. Absender und Empfänger, Betreff, Zeitpunkt und die Zuordnung zum Kontakt) sowie gegebenenfalls das Ergebnis einer KI-Klassifikation (siehe 7.3).
  • Beschränkte Verwendung: Es werden nur die für die Funktion erforderlichen Zugriffsrechte angefordert. Daten aus Google- und Microsoft-Postfächern werden ausschließlich zur Bereitstellung der vom Nutzer gewünschten Funktionen verwendet — nicht zu Werbezwecken, nicht zum Verkauf an Dritte und nicht zum Training allgemeiner KI-Modelle. Dies entspricht den Vorgaben für die eingeschränkte Nutzung von Google-Nutzerdaten („Limited Use") sowie den entsprechenden Microsoft-Vorgaben.
  • Rechtsgrundlage: Auftragsverarbeitung (Art. 28 DSGVO) im Rahmen des Vertrags mit dem Kunden.

7.2 Kalender-Synchronisation (Google / Outlook)

  • Funktionsweise: Ein Catering-Unternehmen kann seinen Google- oder Outlook-/Microsoft-Kalender per OAuth verbinden. Termine werden zwischen CaterSmart und dem externen Kalender synchronisiert, damit Events, Liefertermine und Aufgaben überall aktuell sind.
  • Daten: Termindaten (Titel, Zeit, Ort, Beschreibung, Teilnehmer).
  • Rechtsgrundlage: Auftragsverarbeitung (Art. 28 DSGVO) im Rahmen des Vertrags mit dem Kunden.

7.3 KI-gestützte Funktionen

CaterSmart bietet KI-Funktionen, zum Beispiel Texterstellung für Produkte und Angebote, Bildgenerierung für Produkte, Texterkennung (OCR) aus hochgeladenen Dokumenten sowie die Auswertung und Klassifikation eingehender E-Mails zur Unterstützung von Arbeitsabläufen.

Wir unterscheiden bewusst danach, ob personenbezogene Daten betroffen sind:

KI-Einsatz Anbieter Sitz Personenbezug
OCR/Texterkennung sowie Analyse und Klassifikation von E-Mails und Nutzereingaben Mistral AI Frankreich (EU) Ja — Verarbeitung ausschließlich innerhalb der EU
Erstellung nicht personenbezogener Inhalte (z. B. Produkt- und Rezepttexte) OpenAI Nein — nur nicht personenbezogene Inhalte
KI-Bildgenerierung für Produkte Google Nein — reine Bildgenerierung ohne personenbezogene Daten
  • Kernaussage: Sämtliche KI-Verarbeitung mit Personenbezug findet ausschließlich über Mistral AI in der EU statt. An Anbieter außerhalb der EU (OpenAI, Google) werden keine personenbezogenen Daten übermittelt; diese erhalten ausschließlich nicht personenbezogene Inhalte.
  • Kein KI-Training mit Ihren Daten: Eingaben werden nicht zum Training allgemeiner KI-Modelle der Anbieter verwendet.
  • Rechtsgrundlage: für die Verarbeitung mit Personenbezug Auftragsverarbeitung (Art. 28 DSGVO) im Auftrag des Kunden.

7.4 Zahlungen im Onlineshop des Caterers

  • Funktionsweise: Bestellt ein Endkunde im Onlineshop eines Caterers, erfolgt die Zahlung über Mollie B.V. (Keizersgracht 313, 1016 EE Amsterdam, Niederlande). Bei Kauf auf Rechnung bzw. Lastschrift können SEPA-Mandatsdaten (z. B. IBAN) verarbeitet und gespeichert werden.
  • Rollen: Mollie handelt als eigener Verantwortlicher (Zahlungsdienstleister). Die Verarbeitung der Bestelldaten in CaterSmart erfolgt im Auftrag des Caterers.
  • Kartendaten: Vollständige Zahlungsmittel-Daten (z. B. Kreditkartennummern) werden von Mollie verarbeitet und nicht bei CaterSmart gespeichert.

7.5 Adressvervollständigung (Google Maps)

Zur komfortablen Eingabe von Adressen wird eine Adressvervollständigung über Google Maps/Places eingesetzt. Dabei werden bei der Adresseingabe mindestens die IP-Adresse der Nutzerinnen und Nutzer sowie die eingegebene Adresse an Google (USA) übermittelt. Einzelheiten zur damit verbundenen Übermittlung in ein Drittland und zu den Schutzmaßnahmen finden Sie in Abschnitt 9.

8. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur weiter, soweit dies zur Leistungserbringung erforderlich ist oder eine Rechtsgrundlage besteht. Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

Eingesetzte Dienstleister (mit Verarbeitung personenbezogener Daten):

Dienstleister Sitz Leistung Land / Grundlage
Hetzner Online GmbH Gunzenhausen, Deutschland (Rechenzentren Nürnberg/Falkenstein) Hosting / Server-Infrastruktur; die Datenbank betreiben wir selbst auf dieser Infrastruktur EU — kein Drittland
Sendinblue GmbH (Brevo) Berlin, Deutschland Versand transaktionaler E-Mails (System-E-Mails) und SMS (z. B. E-Sign-Bestätigung an Endkunden) EU
Mistral AI Paris, Frankreich KI-gestützte OCR/Texterkennung sowie Analyse von E-Mails und Nutzereingaben EU
Mollie B.V. Amsterdam, Niederlande Zahlungsabwicklung (eigener Verantwortlicher) EU
Twilio USA Einmaliger SMS-Versand des Registrierungscodes (OTP) bei der Registrierung (siehe 5.2) Drittland — Art. 46 DSGVO (SCC / Data Privacy Framework)
Google (Maps / Places) USA Adressvervollständigung bei der Adresseingabe (IP-Adresse und eingegebene Adresse) Drittland — Art. 46 DSGVO (SCC / Data Privacy Framework)

Dienste ohne Verarbeitung personenbezogener Daten (zur Transparenz): OpenAI (KI-Texte ohne Personenbezug), Google (KI-Bilderstellung ohne Personenbezug).

Selbst betriebene Komponenten (keine Weitergabe an Dritte): Die Datenbank sowie der Support-Chat (Chatwoot) werden von uns selbst auf der Hetzner-Infrastruktur in Deutschland betrieben; insoweit findet keine Übermittlung an einen externen Anbieter statt.

9. Übermittlung in Drittländer

Grundsatz: Die Verarbeitung personenbezogener Daten findet ganz überwiegend innerhalb der EU bzw. des EWR statt — Hosting in Deutschland (Hetzner, einschließlich der von uns selbst betriebenen Datenbank), KI mit Personenbezug über Mistral in Frankreich, E-Mail- und SMS-Versand (E-Sign) über Brevo in Deutschland sowie Zahlungen über Mollie in den Niederlanden. Im Rahmen der KI-Funktionen werden an Anbieter außerhalb der EU nur nicht personenbezogene Inhalte übermittelt (Abschnitt 7.3).

Zwei eng begrenzte Ausnahmen mit USA-Bezug:

  1. Registrierungscode per SMS (Twilio). Bei der Registrierung eines Catering-Unternehmens wird die Telefonnummer einmalig zur Zustellung des Verifizierungscodes an Twilio (USA) übermittelt.
  2. Adressvervollständigung (Google Maps). Bei der Adresseingabe werden die IP-Adresse und die eingegebene Adresse an Google (USA) übermittelt.

Diese Übermittlungen werden durch geeignete Garantien nach Art. 46 DSGVO abgesichert — insbesondere EU-Standardvertragsklauseln und, soweit der jeweilige Anbieter zertifiziert ist, den EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom Juli 2023) — jeweils mit den erforderlichen ergänzenden Maßnahmen.

10. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorsehen.

  • Konto- und Stammdaten: für die Dauer der Geschäftsbeziehung; nach Beendigung des Vertrags Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Rechnungs- und Buchhaltungsdaten: entsprechend den gesetzlichen Aufbewahrungsfristen (in der Regel sechs bis zehn Jahre, §§ 147 AO, 257 HGB).
  • Protokoll- und Logdaten: grundsätzlich Löschung innerhalb von 30 bis 90 Tagen; eine längere Aufbewahrung erfolgt nur, soweit dies zur Aufklärung eines konkreten Sicherheitsvorfalls erforderlich ist.
  • Aktivitätsdaten (z. B. letzter Login, letzte Aktivität): es wird im Wesentlichen nur der jeweils aktuelle Stand vorgehalten und fortlaufend aktualisiert.
  • Support-Kommunikation: Löschung, sobald sie für die Bearbeitung nicht mehr erforderlich ist, vorbehaltlich etwaiger gesetzlicher Aufbewahrungsfristen.
  • Inhaltsdaten der Kunden (Auftragsverarbeitung): nach Beendigung des Vertrags Rückgabe oder Löschung gemäß AVV, soweit keine gesetzliche Aufbewahrungspflicht besteht.

11. Rechtsgrundlagen im Überblick

Verarbeitung Rechtsgrundlage
Registrierung, Konto, Vertragsabwicklung, Anmeldung Art. 6 Abs. 1 lit. b DSGVO (Vertrag)
Kontosicherheit, Betrieb, Protokoll-/Aktivitätsdaten, Missbrauchsabwehr Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Buchhaltung, Rechnungen, gesetzliche Aufbewahrung Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
Technisch notwendige Cookies § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f / b DSGVO
Verarbeitung von Kundeninhalten (E-Mail, Kalender, KI mit Personenbezug, Shop) Art. 28 DSGVO (Auftragsverarbeitung); Rechtsgrundlage beim Kunden
Übermittlung in die USA (Twilio, Google Maps) Art. 46 DSGVO (Standardvertragsklauseln / Data Privacy Framework)

12. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO das Recht auf:

  • Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15),
  • Berichtigung unrichtiger Daten (Art. 16),
  • Löschung (Art. 17) und Einschränkung der Verarbeitung (Art. 18),
  • Datenübertragbarkeit (Art. 20),
  • Widerspruch gegen Verarbeitungen, die auf einem berechtigten Interesse beruhen (Art. 21), und
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3).

Zur Ausübung Ihrer Rechte genügt eine Nachricht an info@catersmart.de.

Wichtig: Betreffen Ihre Daten Inhalte, die ein Catering-Unternehmen verarbeitet (Abschnitt 6), ist dieses Unternehmen Ihr richtiger Ansprechpartner. Erreicht uns eine solche Anfrage direkt, leiten wir sie an das betreffende Unternehmen weiter.

Beschwerderecht: Unbeschadet anderer Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Hintere Bleiche 34, 55116 Mainz poststelle@datenschutz.rlp.de

13. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten zu schützen — unter anderem Transportverschlüsselung (TLS), Verschlüsselung gespeicherter Daten, rollenbasierte Zugriffsbeschränkung nach dem Need-to-know-Prinzip, Zwei-Faktor-Authentifizierung für kritische Zugänge, strikte Mandantentrennung, regelmäßige verschlüsselte Backups, Audit-Protokollierung sowie ein definiertes Verfahren zur Meldung von Datenschutzverletzungen. Einzelheiten enthält unser gesondertes TOM-Dokument.

14. Pflicht zur Bereitstellung

Die Bereitstellung der für Vertragsabschluss und Anmeldung erforderlichen Daten ist notwendig, um die Software nutzen zu können. Ohne diese Daten ist eine Bereitstellung des Dienstes nicht möglich.

15. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Software, die eingesetzten Dienste oder die Rechtslage ändern. Es gilt die jeweils in der Anwendung veröffentlichte aktuelle Fassung. Über wesentliche Änderungen informieren wir in geeigneter Weise.

etablir – CaterSmart · Datenschutzerklärung (Software) · Version 1.0 · Juni 2026