Datenschutzerklärung
Informationen nach Art. 13 DSGVO · Stand: 17. Juli 2026
1. Verantwortlicher
cloud.hake
Rathausstraße 59
69126 Heidelberg, Deutschland
E-Mail: kontakt@gastroagent.ai
2. Das Wichtigste in Kürze
Alle Verbindungen sind TLS-verschlüsselt. Wir setzen keine Werbe- oder Tracking-Cookies und keine Analyse-Tools ein — es gibt deshalb auch kein Cookie-Banner. Verarbeitet wird nur, was für den Betrieb der Plattform nötig ist. Zahlungskartendaten werden zu keinem Zeitpunkt bei uns gespeichert.
3. Zwei Rollen: Plattform und Restaurants
GastroAgent ist eine Software-Plattform für Gastronomiebetriebe. Für Daten, die im Kassen-, Reservierungs-, Bestell- oder Gutschein-Betrieb eines Restaurants anfallen (z. B. Ihre Reservierung oder Bestellung als Gast), ist der jeweilige Restaurantbetrieb der Verantwortliche; wir verarbeiten diese Daten in seinem Auftrag nach Art. 28 DSGVO. Bitte wenden Sie sich mit Anliegen zu diesen Daten an das Restaurant. Steuer- und kassenrechtliche Aufbewahrungsfristen (Abgabenordnung/GoBD, bis zu zehn Jahre) liegen in der Verantwortung des Betriebs. Die folgenden Abschnitte betreffen die Plattform-Website und die Konten unserer Kunden.
4. Hosting und Server-Protokolle (Vercel)
Die Website wird bei Vercel Inc. (USA) betrieben. Beim Aufruf werden technisch notwendige Daten verarbeitet (IP-Adresse, Zeitpunkt, aufgerufene Seite, Browser- Kennung) — Rechtsgrundlage ist unser berechtigtes Interesse an einem sicheren, stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Vercel ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen Standardvertragsklauseln.
5. Netzwerk und E-Mail-Zustellung (Cloudflare)
Die Domain und die Zustellung von E-Mails an uns laufen über Cloudflare, Inc. (USA; EU-US Data Privacy Framework). Dabei werden Verbindungs- und E-Mail-Metadaten verarbeitet (Art. 6 Abs. 1 lit. f DSGVO).
6. Datenbank (Supabase, Frankfurt)
Anwendungsdaten liegen bei Supabase, Inc. in der Region Frankfurt am Main (eu-central-1, AWS). Mit Supabase besteht ein Auftragsverarbeitungsvertrag.
7. Cookies und lokale Speicherung
Wir verwenden ausschließlich technisch notwendige Sitzungs-Cookies (Anmeldung von Personal- und Verwalterkonten, aktiver Betrieb; Lebensdauer maximal 12 Stunden bzw. Sitzungsende) sowie lokale Speicherung im Browser für Einstellungen und die Offline-Funktion der Kasse. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 lit. b DSGVO. Eine Einwilligung ist hierfür nicht erforderlich.
8. Konten und Anmeldung
Für Kundenkonten (Restaurants, Personal, Verwalter) verarbeiten wir Name bzw. Anmeldename, E-Mail-Adresse und Anmeldedaten. Passwörter und PINs werden ausschließlich als kryptografische Hashes gespeichert; für Verwalterkonten ist eine Zwei-Faktor-Authentifizierung vorgesehen. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Zugriffe von Plattform-Konten auf Betriebe werden protokolliert (Audit-Log, Art. 6 Abs. 1 lit. f DSGVO).
9. Bezahlung des Software-Abos (Stripe)
Abo-Zahlungen unserer Kunden wickelt Stripe Payments Europe, Ltd. (Irland; für US-Übermittlungen: EU-US Data Privacy Framework) ab. Kartendaten werden direkt bei Stripe eingegeben und niemals auf unseren Systemen gespeichert. Wir erhalten nur Kunden-/Abo-Kennungen und den Zahlungsstatus (Art. 6 Abs. 1 lit. b DSGVO).
10. E-Mail-Versand und Demo-Anfragen (Resend)
System-E-Mails (z. B. Reservierungsbestätigungen, Gutschein-Zustellung) versendet unser Dienstleister Resend, Inc. (USA; Standardvertragsklauseln) im Auftrag. Newsletter versenden Restaurants nur an Empfänger, die eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO); jede Ausgabe enthält einen Abmeldelink.
Über das Demo-Formular auf der Startseite übermittelte Angaben (Name, Restaurant, Ort, Kontaktdaten, Nachricht) verwenden wir ausschließlich, um die angefragte Demo zu vereinbaren (Art. 6 Abs. 1 lit. b DSGVO — vorvertragliche Anfrage). Die Anfrage erreicht uns als E-Mail; kommt keine Zusammenarbeit zustande, löschen wir sie spätestens nach sechs Monaten.
11. KI-Funktionen (Anthropic)
Einzelne Funktionen nutzen die Claude-API von Anthropic, PBC (USA; EU-US Data Privacy Framework) — etwa das Einlesen von Speisekarten und Belegen, Übersetzungen, das Verstehen von Reservierungsanfragen in Freitext und Empfehlungen. Dabei werden die jeweils eingegebenen Inhalte an Anthropic übermittelt und dort nicht zum Training der KI-Modelle verwendet. Rechtsgrundlage: Vertragserfüllung gegenüber unseren Kunden (Art. 6 Abs. 1 lit. b DSGVO) bzw. berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
Fragen und Antworten aus dem KI-Support-Chat des Hilfe-Centers speichern wir für 90 Tage zur Qualitätssicherung der Support-Antworten (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO); danach werden sie automatisch gelöscht. Bitte im Chat keine sensiblen personenbezogenen Daten eingeben — für Kontoanliegen ist die Übergabe an einen Menschen vorgesehen.
12. Benachrichtigungen (Web-Push)
Push-Benachrichtigungen (z. B. Betriebs-Warnmeldungen) erhalten nur Nutzer, die dies im Browser ausdrücklich erlauben (Art. 6 Abs. 1 lit. a DSGVO). Die Erlaubnis lässt sich jederzeit in den Browser-Einstellungen widerrufen.
13. Bilder auf der Startseite (Unsplash)
Auf der Startseite werden Fotos vom Bilderdienst Unsplash, Inc. (USA) geladen. Dabei wird Ihre IP-Adresse an Unsplash übermittelt (Art. 6 Abs. 1 lit. f DSGVO — Interesse an einer ansprechenden Darstellung).
14. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Sitzungsdaten enden mit der Abmeldung bzw. nach Ablauf; Vertrags- und Abrechnungsdaten unterliegen den handels- und steuerrechtlichen Fristen.
15. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO). Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Wenden Sie sich dazu an kontakt@gastroagent.ai. Zudem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde — für uns zuständig: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
16. Änderungen
Wir passen diese Erklärung an, wenn sich die Plattform oder die eingesetzten Dienste ändern. Es gilt die jeweils hier veröffentlichte Fassung.