Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Edgar Roth
ImbissEngine
E-Mail: design@edgar-roth.de

2. Erhebung und Speicherung personenbezogener Daten

Wir erheben und verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Dienste erforderlich ist.

2.1 Besuch unserer Website

Beim Aufrufen unserer Website (imbissengine.de, edgar-roth.de) werden automatisch Informationen übermittelt, die dein Browser an unseren Server sendet. Diese sind temporär in einem Server-Log gespeichert:

  • IP-Adresse (anonymisiert)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL
  • Browsertyp und -version
  • Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — Sicherheit und Stabilität des Systems). Die Daten werden nach 7 Tagen automatisch gelöscht.

2.2 Registrierung / Self-Onboarding (/start)

Wenn du über unser Self-Onboarding einen Account anlegst, erheben wir:

  • Betriebsname
  • Dein Name (Inhabername)
  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, bcrypt)
  • IP-Adresse (zur Missbrauchsprävention, Rate-Limiting)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Diese Daten sind notwendig, um deinen Account zu erstellen und den Dienst bereitzustellen.

2.3 Nutzung des Admin-Bereichs

Im laufenden Betrieb speichern wir:

  • Speisekarte (Produkte, Preise, Kategorien)
  • Öffnungszeiten und Betriebsprofil
  • Bestelldaten deiner Gäste (Name, Telefon, ggf. Lieferadresse)
  • Eingehende Bestellungen (Bestellzeit, Produkte, Gesamtbetrag)
  • Admin-Sessions (JWT-Token, verschlüsselt)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.4 Bestelldaten deiner Gäste (als Auftragsverarbeiter)

ImbissEngine verarbeitet Bestelldaten deiner Gäste ausschließlich in deinem Auftrag (Auftragsverarbeitung nach Art. 28 DSGVO). Als Betreiber bist du für die datenschutzkonforme Erhebung dieser Daten verantwortlich. Die Daten werden nicht für eigene Zwecke von ImbissEngine verarbeitet.

3. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und Session-Tokens ein:

  • Admin-Session-Token: Verschlüsselter HTTP-only Cookie zur Authentifizierung im Admin-Bereich. Läuft nach 7 Tagen ab.
  • Refresh-Token: Für automatische Session-Verlängerung. Läuft nach 30 Tagen ab.

Wir setzen keine Tracking-Cookies, keine Analyse-Cookies und keine Werbe-Cookies ein. Es werden keine Daten an Dritte zu Werbezwecken übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen — sicherer Betrieb des Dienstes).

4. Weitergabe von Daten an Dritte

Eine Weitergabe deiner Daten an Dritte findet nur statt, soweit:

  • du ausdrücklich eingewilligt hast,
  • dies zur Vertragserfüllung erforderlich ist (z. B. Hosting-Provider),
  • eine gesetzliche Verpflichtung besteht.

Eingesetzte Dienstleister (Auftragsverarbeiter)

  • Hosting: Eigener Server (dedizierter Root-Server, Deutschland)
  • Telegram: Optional — wenn du die Telegram-Benachrichtigung aktivierst, werden Bestelldaten über die Telegram Bot API übertragen. Datenschutzrichtlinie: telegram.org/privacy
  • Stripe: Optional — wenn du Online-Zahlung aktivierst. Datenschutzrichtlinie: stripe.com/privacy

5. Datenspeicherung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:

  • Account-Daten: Bis zur Kündigung des Accounts + 30 Tage
  • Bestelldaten: 3 Jahre (steuerrechtliche Aufbewahrungspflicht)
  • Server-Logs: 7 Tage
  • Rate-Limiting-Daten (IP): 24 Stunden

Bei Kündigung werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

6. Deine Rechte (DSGVO Art. 15–21)

Du hast das Recht auf:

  • Auskunft (Art. 15 DSGVO) — welche Daten wir über dich gespeichert haben
  • Berichtigung (Art. 16 DSGVO) — unrichtige Daten korrigieren zu lassen
  • Löschung (Art. 17 DSGVO) — „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)

Zur Ausübung deiner Rechte wende dich an: design@edgar-roth.de

Du hast außerdem das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig für Deutschland: Bundesbeauftragte für den Datenschutz (BfDI).

7. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

  • Verschlüsselte Übertragung (TLS/HTTPS)
  • Passwörter werden ausschließlich mit bcrypt (Kostenfaktor 12) gespeichert
  • Session-Tokens sind HTTP-only und nicht über JavaScript zugreifbar
  • Rate-Limiting zum Schutz vor Brute-Force-Angriffen
  • Regelmäßige Sicherheitsupdates

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie aktuellen rechtlichen Anforderungen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Version ist unter imbissengine.de/datenschutz abrufbar. Stand: Mai 2026.