Datenschutzerklärung

Waiterr ist ein Betriebssystem für die Gastronomie. Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir verarbeiten, warum, mit wem wir sie teilen und welche Rechte Sie ausüben können — egal ob Sie unsere Marketing-Website besuchen, Ihren Betrieb mit unserer Software führen oder in einem Waiterr-Lokal eine Bestellung aufgeben.

Zuletzt aktualisiert 1. Juni 2026Gültig ab 1. Juni 2026

Impressum

One Solution

Belgium

BE 0763.648.435 privacy@waiterr.app

1.Wer wir sind und wie Sie uns erreichen

One Solution BV (handelnd unter dem Namen Waiterr), eine belgische Gesellschaft mit beschränkter Haftung mit Sitz in Belgien, eingetragen unter der Unternehmensnummer BE 0763.648.435, ist die für die nachstehend beschriebenen Verarbeitungen Verantwortliche.

Wir haben einen internen Ansprechpartner für Datenschutz benannt. Sie erreichen unser Team per E-Mail unter privacy@waiterr.app für jede Frage, jeden Antrag oder jede Beschwerde zu dieser Erklärung.

Im Sinne der DSGVO können wir entweder als Verantwortlicher auftreten (wenn wir entscheiden, warum und wie Daten verarbeitet werden — z. B. auf der Marketing-Website, für unsere eigenen Kunden, für die Abrechnung) oder als Auftragsverarbeiter (wenn wir Daten im Auftrag eines Waiterr-Lokals hosten — typischerweise Bestelldaten von Endkunden). Die jeweilige Rolle wird in jedem Abschnitt unten ausgewiesen.

2.Geltungsbereich

Diese Erklärung deckt personenbezogene Daten ab, die in drei unterschiedlichen Kontexten verarbeitet werden:

  • Marketing-Website (waiterr.app, unser Blog, unsere öffentlichen Formulare): Besucher, die auf unserer Website surfen, eine Demo anfragen oder über den Onboarding-Wizard ein Konto starten.
  • Manager-App (manager.waiterr.app): die Anwendung, mit der Gastronomieprofis ihren Betrieb führen (Kasse, Küchenmonitor, Reservierungen, Speisekartenverwaltung, Auswertungen, Personal). Daten, die diese Profis über ihre Mitarbeiter oder eigene Kunden anlegen, werden in deren Auftrag verarbeitet.
  • Endkunden-Apps (QR-Bestellung, Click & Collect, Online-Bestellung, Bestellverfolgung, digitaler Beleg): Apps, mit denen Endkunden eines Waiterr-Lokals interagieren, um zu bestellen, zu bezahlen, eine Bewertung abzugeben oder einem Treueprogramm beizutreten.

Wenn Sie in einem Lokal mit Waiterr bestellen, ist das Lokal Verantwortlicher für Ihre Bestell- und Kontaktdaten; wir handeln als sein Auftragsverarbeiter auf Grundlage eines Auftragsverarbeitungsvertrags.

3.Welche personenbezogenen Daten wir erheben

Wir erheben nur Daten, die für die Erbringung und Verbesserung des Dienstes unbedingt erforderlich sind. Die folgenden Kategorien entsprechen den drei oben beschriebenen Kontexten.

3.1.Besucher der Marketing-Website und Interessenten

  • Identifikation & Kontakt: Vorname, Name, geschäftliche E-Mail-Adresse, Telefon, Land, bevorzugte Sprache.
  • Lokalinformationen über venue search: Firmenbezeichnung, Adresse, öffentliche Telefonnummer, Fotos, Website-URL, Öffnungszeiten, durchschnittliche Preisspanne, öffentliche Bewertung.
  • Angereicherte Lokaldaten (sofern zutreffend): Beschreibung, Küchenstil, Social-Media-Profile, automatisch aus Ihrer öffentlichen Website über unseren Anreicherungs-Workflow extrahiert.
  • Demo-Anfragen: Firmenname, Funktion, Anzahl Standorte, Nachricht, Terminpräferenzen.
  • Browsing- und technische Daten: IP-Adresse, User-Agent, besuchte Seiten, Referrer, Sprache, anonyme Events für Sicherheit und Missbrauchsabwehr.
  • Anti-Missbrauchssignale: CAPTCHA-Score, Status eines versteckten Honeypot-Felds, Verweildauer im Formular — niemals zur Profilbildung, ausschließlich zur Filterung automatisierter Einsendungen.

3.2.Gastronomieprofis, die die Manager-App nutzen

  • Account-Daten: E-Mail, Name, gehashtes Passwort (oder OAuth-Identifier bei Anmeldung mit external identity provider), bevorzugte Sprache, Profilbild.
  • Lokal- und Geschäftsdaten: Rechtsträger, Adressen, Steuer-/USt.-Nummern, Öffnungszeiten, Speisekarten, Preise, Fotos, Personalliste, Auszahlungsmethode, Bankdaten für die Rechnungsstellung.
  • Abonnementdaten: gewählter Tarif, Abrechnungszyklus und begrenzte Zahlungsmethoden-Metadaten. Vollständige Kartendaten werden direkt von zertifizierten Zahlungsanbietern verarbeitet - wir speichern nur nicht sensible Referenzen, soweit sie für Support erforderlich sind.
  • Operative Daten: Bestellungen, Reservierungen, Tischpläne, Küchen-Tickets, Bestandsanpassungen, Tagesabschlussberichte, Auswertungen.
  • Support-Interaktionen: Konversationen mit unserem Support, Screenshots und Diagnosedaten, die Sie freiwillig teilen.
  • Authentifizierung & Sicherheit: Sitzungstoken, Login-Ereignisse, 2FA-Backup-Codes bei Aktivierung.

3.3.Endkunden von Waiterr-Lokalen

Wenn Sie in einem Waiterr-Lokal bestellen, bezahlen oder interagieren, ist das Lokal Verantwortlicher. Wir verarbeiten in seinem Auftrag:

  • Bestelldaten: bestellte Artikel, Optionen, Tisch oder Abholpunkt, Bestellzeit, Sonderwünsche.
  • Kontaktdaten (nur, wenn für den Dienst erforderlich): Vorname, Telefonnummer, E-Mail, Lieferadresse, Allergene / Ernährungsvorlieben.
  • Zahlungsdaten: Betrag, Zahlungsmethode und Zahlungsreferenz. Vollständige Kartendaten werden direkt von zertifizierten Zahlungsanbietern nach PCI-DSS verarbeitet - wir sehen sie nie.
  • Treue- / CRM-Daten (nur wenn das Lokal ein Treueprogramm anbietet und Sie zustimmen): Bestellhistorie, Punktestand, Marketingpräferenzen.
  • Bewertungen und Rezensionen: Bewertungen und Freitext, die Sie freiwillig abgeben.
  • Technische Daten: Gerätetyp, IP-Adresse, Locale, anonyme Analyseereignisse.

4.Warum wir Ihre Daten verarbeiten — Zwecke und Rechtsgrundlagen

Nach Artikel 6 DSGVO muss jede Verarbeitung auf einer Rechtsgrundlage beruhen. Die folgende Liste nennt jeden Zweck und die jeweils herangezogene Grundlage.

  • Den Dienst bereitstellen (Lokaldaten hosten, Bestellungen verarbeiten, Geräte synchronisieren, Website-Erlebnis bereitstellen): Erfüllung eines Vertrags oder vorvertragliche Maßnahmen (Art. 6(1)(b)).
  • Sie abrechnen und Auszahlungen abwickeln (Abrechnung der Abos, Auszahlungsabgleich, Buchhaltung): Vertragserfüllung + rechtliche Verpflichtung (Art. 6(1)(b) + 6(1)(c)).
  • Buchhaltungs-, USt.-, Geldwäsche- und Verbraucherschutzpflichten erfüllen (in Belgien sind Rechnungen bis zu 10 Jahre aufzubewahren): rechtliche Verpflichtung (Art. 6(1)(c)).
  • Die Plattform absichern (Rate-Limiting, Betrugserkennung, Anti-Missbrauchssignale, Audit-Logs): berechtigtes Interesse (Art. 6(1)(f)).
  • Produkt-Support leisten (Tickets bearbeiten, Vorfälle analysieren, Korrekturen vorschlagen): Vertragserfüllung (Art. 6(1)(b)).
  • Onboarding-Anreicherung (Lokalprofil aus Ihrer öffentlichen Website automatisch befüllen): berechtigtes Interesse an reibungsarmem Onboarding (Art. 6(1)(f)). Sie können die Löschung der angereicherten Daten jederzeit verlangen.
  • Transaktionale E-Mails versenden (Bestätigungen, Passwort-Reset, Belege, Rechnungen, Sicherheitshinweise): Vertragserfüllung (Art. 6(1)(b)).
  • Werbliche E-Mails zu Waiterr-Produkten versenden (Newsletter, Produktupdates, Angebote): Einwilligung (Art. 6(1)(a)) wo erforderlich, Soft-Opt-in für Bestandskunden nach EU/Belgischen Regeln. Sie können sich jederzeit abmelden.
  • Das Produkt verbessern (anonyme Nutzungsanalysen, A/B-Tests, Fehlerüberwachung): berechtigtes Interesse an Produktverbesserung (Art. 6(1)(f)). Wir setzen so weit wie möglich auf Aggregation und Pseudonymisierung.
  • Unsere Rechte verteidigen (Streitbeilegung, Durchsetzung der AGB, gerichtliche Anordnungen): berechtigtes Interesse + rechtliche Verpflichtung (Art. 6(1)(f) + 6(1)(c)).

5.Mit wem wir Daten teilen - Kategorien von Empfängern

Wir verkaufen Ihre Daten nicht. Wir teilen sie nur mit sorgfältig ausgewählten Anbietern und professionellen Beratern, soweit dies erforderlich ist, um den Dienst bereitzustellen, abzusichern, zu unterstützen, abzurechnen und zu verbessern. Jeder Anbieter ist vertraglich zu Vertraulichkeit und Datenschutz verpflichtet und darf die Daten nicht sekundär nutzen.

  • Infrastruktur- und Hosting-Anbieter: Hosting, Speicher, CDN, Backups, Netzwerkschutz und Betriebsprotokolle.
  • Zahlungs- und Abrechnungsanbieter: Abonnements, Kartenverarbeitung, QR-/Mobile-Zahlungen, Rechnungen und Abgleich.
  • Kommunikationsanbieter: transaktionale E-Mails, Belege, Konto-Benachrichtigungen und Support-Nachrichten.
  • Sicherheits- und Anti-Missbrauchsanbieter: Bot-Schutz, Rate Limiting, Authentifizierung, Betrugsprävention und Missbrauchserkennung.
  • Produkt- und Zuverlässigkeitsanbieter: Crash Reports, Performance Monitoring, Diagnostik und aggregierte Produktanalyse.
  • Karten-, Such- und Anreicherungsanbieter: Lokalsuche, Geocoding, Anreicherung öffentlicher Geschäftsdaten und Onboarding-Unterstützung.
  • Berater und Behörden: Buchhalter, Anwälte, Auditoren, Versicherer, Gerichte oder Aufsichtsbehörden, sofern gesetzlich erforderlich.

Kunden, die die genaue Anbieterliste für Einkauf, DSFA oder Art.-28-DSGVO-Unterlagen benötigen, erhalten sie über den DPA oder auf verifizierte Anfrage an privacy@waiterr.app.

6.Internationale Datenübermittlungen

Übermittelt ein Auftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR), treffen wir geeignete Garantien gemäß den Artikeln 44–49 DSGVO. In der Praxis bedeutet das Standardvertragsklauseln (SCC) mit dem Anbieter, ergänzt um eine Transfer Impact Assessment und zusätzliche technische Maßnahmen (Verschlüsselung in Transit und At Rest, Schlüsselverwaltung) wo erforderlich.

Anbieter in den USA, die dem EU-US Data Privacy Framework beigetreten sind, sind in der Tabelle entsprechend gekennzeichnet. Sie können eine Kopie der Garantien für eine bestimmte Übermittlung anfordern unter privacy@waiterr.app.

7.Wie lange wir Ihre Daten speichern

  • Marketing-Leads: 24 Monate ab Ihrer letzten Interaktion. Nicht konvertierte Interessenten werden danach automatisch gelöscht.
  • Kundenkonten: für die Vertragsdauer, danach 13 Monate nach Beendigung zur Support-Kontinuität, anschließend anonymisiert — sofern keine längere gesetzliche Aufbewahrungsfrist gilt (in Belgien sind Rechnungen bis zu 10 Jahre aufzubewahren).
  • Endkundenbestellungen, die im Auftrag eines Lokals verarbeitet werden: 13 Monate für aktive Vorgänge, danach bis zu 10 Jahre in aggregierter Form für Buchhaltungspflichten. Identifizierende Angaben werden nach 13 Monaten pseudonymisiert, sofern das Lokal nichts anderes anweist.
  • Technische / Server-Logs: 30 Tage, länger bei in Untersuchung befindlichen Sicherheitsvorfällen.
  • Crash- und Performance-Berichte: 90 Tage.
  • Backups: verschlüsselt, Rotation innerhalb von 35 Tagen. Restores folgen den oben genannten Fristen.

Beim Löschen verwenden wir sichere Löschverfahren und kryptographisches Shredding für Backup-Bänder.

8.Wie wir Ihre Daten schützen

Wir behandeln Ihre Daten mit der Sorgfalt, die Sie von einem ernsthaften Anbieter erwarten dürfen. Wesentliche Maßnahmen:

  • Verschlüsselung in Transit mit TLS 1.2+ an jedem Endpunkt, einschließlich API und Webhooks.
  • Verschlüsselung At Rest für die Produktivdatenbank, Dateispeicher und Backups.
  • Least Privilege: nur ein kleiner, namentlich bekannter Engineering-Kreis erreicht die Produktion, mit Audit-Logging und 2FA.
  • Netzwerkisolierung der Datenbank, ausschließlich aus der Anwendungs-VPC erreichbar.
  • Kontinuierliches Monitoring mit Intrusion Detection, Rate-Limiting auf öffentlichen Endpunkten und interne Sicherheitswarnungen.
  • Reduzierung des PCI-DSS-Geltungsbereichs: vollständige Kartendaten erreichen unsere Server nicht - sie werden direkt von zertifizierten Zahlungsanbietern erhoben.
  • Regelmäßige Penetrationstests und Abhängigkeitsscans bei jedem Deployment.
  • Incident-Response-Plan mit 72-Stunden-Meldeverpflichtung an Betroffene und an die belgische Datenschutzbehörde, wo anwendbar.

9.Ihre Rechte nach der DSGVO

Sie haben in Bezug auf Ihre personenbezogenen Daten folgende Rechte:

  • Auskunftsrecht — Erhalt einer Kopie der über Sie gespeicherten Daten.
  • Recht auf Berichtigung — Korrektur unrichtiger oder unvollständiger Daten.
  • Recht auf Löschung ("Recht auf Vergessenwerden") — Löschung verlangen, wenn keine überwiegenden Gründe für eine weitere Speicherung bestehen.
  • Recht auf Einschränkung der Verarbeitung in bestimmten Fällen (z. B. solange Sie die Richtigkeit bestreiten).
  • Recht auf Datenübertragbarkeit — Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format und Übermittlung an einen anderen Verantwortlichen, soweit technisch möglich.
  • Widerspruchsrecht gegen Verarbeitungen auf Grundlage unserer berechtigten Interessen, einschließlich Profiling, und uneingeschränkt gegen Direktmarketing.
  • Recht auf Widerruf der Einwilligung jederzeit, wenn die Einwilligung Rechtsgrundlage ist (der Widerruf berührt nicht die Rechtmäßigkeit vorheriger Verarbeitungen).
  • Recht, nicht ausschließlich automatisierten Entscheidungen einschließlich Profiling unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkung entfalten.

Zur Ausübung dieser Rechte schreiben Sie an privacy@waiterr.app. Wir antworten innerhalb von 30 Tagen. Gegebenenfalls müssen wir Ihre Identität verifizieren.

Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Federführend ist die belgische Datenschutzbehörde (APD/GBA), Rue de la Presse 35, 1000 Brüssel, Belgien — dataprotectionauthority.be. Sie können sich auch an die Aufsichtsbehörde Ihres EU-Wohnsitzlands wenden.

10.Cookies und ähnliche Technologien

Wir verwenden eine geringe Zahl von Cookies und ähnlichen Technologien, damit unsere Websites und Apps funktionieren, Präferenzen gespeichert, Formulare gegen Bots geschützt werden und wir die Nutzung des Dienstes verstehen.

Details zu jedem Cookie, zur Verwaltung im Browser und zum Widerruf der Einwilligung finden Sie in unserer eigenen Cookie-Richtlinie.

11.Kinder

Waiterr ist ein B2B-Tool für Gastronomieprofis. Die Endkunden-Apps (QR-Bestellung etc.) richten sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren.

Sollten Sie der Auffassung sein, dass uns ein Minderjähriger Daten übermittelt hat, kontaktieren Sie privacy@waiterr.app; wir löschen sie unverzüglich.

13.Wenn wir als Auftragsverarbeiter handeln (B2B-Kunden)

Wenn Sie Waiterr abonnieren, um Ihren Betrieb zu führen, bleiben Sie Verantwortlicher für die personenbezogenen Daten, die Sie hochladen oder die Ihre Endkunden über die Plattform erzeugen. Wir handeln als Ihr Auftragsverarbeiter und schließen einen Auftragsverarbeitungsvertrag (DPA) ab, der Bestandteil des Vertrages ist und auf Anfrage zur Verfügung steht.

In dieser Eigenschaft:

  • verarbeiten wir Daten ausschließlich gemäß Ihren dokumentierten Weisungen;
  • legen wir unserem Personal und unseren Auftragsverarbeitern strikte Vertraulichkeitspflichten auf;
  • unterstützen wir Sie (in zumutbarem Umfang) bei Anfragen betroffener Personen;
  • unterstützen wir Sie bei Ihren Pflichten zu Sicherheit, Meldung von Datenpannen, DSFA und Vorabkonsultation;
  • löschen oder geben wir alle Daten am Ende des Vertrages zurück, vorbehaltlich gesetzlicher Aufbewahrungspflichten;
  • stellen wir alle Informationen bereit, die zum Nachweis der Einhaltung von Artikel 28 DSGVO erforderlich sind.

14.Änderungen dieser Erklärung

Wir können diese Datenschutzerklärung anpassen, um Änderungen unserer Dienste, unserer Infrastruktur oder geltender Gesetze widerzuspiegeln. Das Datum "Zuletzt aktualisiert" am Anfang der Seite gibt jeweils die aktuelle Fassung an.

Bei wesentlichen Änderungen informieren wir Sie per E-Mail und/oder durch ein gut sichtbares Banner in der Manager-App mindestens 30 Tage vor Inkrafttreten, damit Sie ausreichend Zeit haben, Ihre Rechte wahrzunehmen.

15.Kontakt

Bei Fragen, Anliegen oder Beschwerden zu Ihren personenbezogenen Daten:

Für allgemeine Anfragen kontaktieren Sie uns unter contact@waiterr.app.

Kontakt

One Solution

Belgium

privacy@waiterr.app · contact@waiterr.app