Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Edgar Roth
Rosenweg 3
74858 Aglasterhausen
Telefon: 0160 7724916
E-Mail: info@imbiss-engine.de
Web: imbiss-engine.de
2. Datenerhebung beim Besuch unserer Website
Beim Aufrufen von imbiss-engine.de werden automatisch Informationen übermittelt, die dein Browser an unseren Server sendet:
- IP-Adresse (nach 7 Tagen gelöscht)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL, Referrer
- Browser, Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — Sicherheit und Stabilität). Löschung nach 7 Tagen.
3. Registrierung & Account (Betreiber-Kunden)
Wenn du über imbiss-engine.de/start einen Account anlegst, erheben wir:
- Betriebsname, Inhabername
- E-Mail-Adresse
- Passwort (ausschließlich bcrypt-verschlüsselt, nie im Klartext)
- IP-Adresse (Rate-Limiting, Missbrauchsprävention)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4. Nutzung des Admin-Bereichs (Betreiber)
Im laufenden Betrieb verarbeiten wir für Betreiber-Accounts:
- Speisekarte (Produkte, Preise, Kategorien, Bilder)
- Betriebsprofil (Adresse, Öffnungszeiten, Logo, Farben)
- Eingehende Bestellungen deiner Gäste (Bestellzeit, Produkte, Betrag, Name, Kontakt)
- Admin-Sessions (JWT, HTTP-only Cookie, 7 Tage Gültigkeit)
- Stripe-Verbindungsdaten (Account-ID, Onboarding-Status) — nur wenn Online-Zahlung aktiviert
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
4.1 Bestelldaten deiner Gäste (Auftragsverarbeitung)
Imbiss Engine verarbeitet die Bestelldaten deiner Gäste ausschließlich in deinem Auftrag (Art. 28 DSGVO). Als Betreiber bist du für die datenschutzkonforme Erhebung und Information deiner Gäste verantwortlich.
5. Demo-Strecken für Interessenten (Hermes-System)
5.1 Datenquellen
- Google Places API: Öffentlich sichtbare Unternehmensdaten aus Google Maps.
- Website des Unternehmens: Öffentlich zugängliche Inhalte werden automatisch ausgelesen.
5.2 Verarbeitung
Auf Basis der gesammelten Daten wird eine individuelle Demo-Bestellseite erstellt und per E-Mail an den Inhaber gesendet, sofern eine öffentliche E-Mail-Adresse vorliegt.
- KI-Verarbeitung (OpenAI GPT-4o-mini): Betriebsname, Stadt, Bewertungen werden an OpenAI (USA) übermittelt. Keine Personendaten. openai.com/privacy
- Öffnungs-Tracking: 1×1-Pixel in gesendeten E-Mails registriert Öffnungszeitpunkt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5.3 Rechtsgrundlage der Kontaktaufnahme
Gemäß § 7 Abs. 3 UWG und Art. 6 Abs. 1 lit. f DSGVO. Ausschließlich an Inhaber von Gastronomiebetrieben als Gewerbetreibende.
5.4 Widerspruch / Abmeldung
Formlos per Antwort auf die erhaltene E-Mail oder an: info@imbiss-engine.de
5.5 Demo-Tenant-Löschung
Automatisch erstellte Demo-Seiten laufen nach 14 Tagen ab und werden deaktiviert. Vollständige Löschung nach 30 Tagen oder auf Anfrage.
6. Cookies und lokale Speicherung
Wir setzen ausschließlich technisch notwendige Cookies ein:
- Admin-Session-Token: HTTP-only Cookie, läuft nach 7 Tagen ab.
- Refresh-Token: Automatische Session-Verlängerung, läuft nach 30 Tagen ab.
Keine Tracking-Cookies, keine Analyse-Cookies, keine Werbe-Cookies von Drittanbietern.
6.1 Lokale Speicherung (localStorage / sessionStorage)
- Einwilligungsstatus (
ebk_analytics_consent,ebk_consent_decided): Speichert deine Entscheidung zur anonymen Nutzungsanalyse. - Anonyme Sitzungs-ID (
ebk_funnel_sid): Zufällige UUID, erlischt beim Tab-Schließen. Nur bei erteilter Einwilligung. - Spracheinstellung (
eddybook_lang): Speichert deine Sprachpräferenz. Funktional notwendig, kein Personenbezug.
Rechtsgrundlage für die Nutzungsanalyse: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. TTDSG § 25 Abs. 1.
6a. Anonyme Nutzungsanalyse (nur mit Einwilligung)
Wenn du der Nutzungsanalyse zustimmst, erfassen wir auf der Bestell- und Demo-Seite anonyme Nutzungssignale. Es werden keine personenbezogenen Daten erhoben.
Erfasste Daten je Sitzung
- Anonyme Sitzungs-ID, Gerätekategorie, Browser-Typ, Betriebssystem
- Besuchsquelle (Referrer, UTM-Parameter), Landingpage, Scroll-Tiefe
- Sitzungsdauer, Interaktionssignale (anonym), Bestellstatus (boolesch)
Speicherdauer und Widerruf
- Sitzungsdaten: 90 Tage, danach automatische Löschung
- Einwilligung widerrufbar jederzeit über „Tracking aktiv / Tracking deaktiviert" im Seiten-Footer
7. Eingesetzte Dienstleister (Auftragsverarbeiter)
- Hosting-Server: Eigener Server, Deutschland.
- Google Places API: policies.google.com/privacy
- OpenAI (GPT-4o-mini): Nur Textpersonalisierung in Outreach-E-Mails. Keine Personendaten. openai.com/privacy
- Telegram: Interne Betriebsbenachrichtigungen. telegram.org/privacy
- Stripe: Optional bei aktivierter Online-Zahlung. stripe.com/de/privacy
- KAS (SMTP): E-Mail-Versand, kasserver.com (Deutschland).
- Lottie-Animationen (Google CDN): IP-Adresse wird an Google-Server übermittelt. policies.google.com/privacy
8. Datenspeicherung und Löschfristen
- Account-Daten (Betreiber): Bis zur Kündigung + 30 Tage
- Bestelldaten: 3 Jahre (steuerrechtliche Aufbewahrungspflicht)
- Hermes Lead-Daten: 90 Tage nach letztem Kontakt
- Demo-Tenants: Deaktivierung nach 14 Tagen, Löschung nach 30 Tagen
- Server-Logs: 7 Tage
- Rate-Limiting-Daten (IP): 24 Stunden
9. Deine Rechte (DSGVO Art. 15–21)
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).
Kontakt: info@imbiss-engine.de
Beschwerderecht: BfDI · LfDI Baden-Württemberg
10. Datensicherheit
- Verschlüsselte Übertragung (TLS 1.2+/HTTPS)
- Passwörter: bcrypt mit Kostenfaktor 12, nie im Klartext
- Session-Tokens: HTTP-only, SameSite
- Row-Level Security auf Datenbankebene (Mandantentrennung)
- Rate-Limiting gegen Brute-Force-Angriffe
- Regelmäßige Backups (verschlüsselt)
11. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird bei wesentlichen Änderungen aktualisiert. Aktuelle Version: imbiss-engine.de/datenschutz. Stand: Juni 2026.