Datenschutz
Diese Datenschutzerklärung informiert gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten durch CODLAB (Francesco Cucinotta) beim Besuch dieser Website sowie bei der Nutzung unserer Produkte und Dienste, insbesondere der Plattform Riservati.
1. Verantwortlicher
Francesco Cucinotta
Bischof-von-Henle-Straße, 93051 Regensburg, Deutschland
E-Mail: [email protected]
Die Benennung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich (§ 38 BDSG). Für datenschutzrechtliche Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.
2. Hosting und Zugriffsdaten (Server-Logs)
Diese Website wird auf einem Server der Ionos SE (Elgendorfer Str. 57, 56410 Montabaur, Deutschland) gehostet. Beim Aufruf der Seiten verarbeitet der Server automatisch technische Zugriffsdaten in sogenannten Server-Logfiles:
- IP-Adresse des anfragenden Geräts
- Datum und Uhrzeit der Anfrage
- Referrer-URL (zuvor besuchte Seite)
- Browser-Typ und Betriebssystem (User-Agent)
- Aufgerufene Seite und übertragene Datenmenge
Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und nach 30 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und stabilen Bereitstellung der Website).
3. Kontaktaufnahme
Bei Kontakt per E-Mail verarbeiten wir die von Ihnen mitgeteilten Angaben (Name, E-Mail-Adresse, Inhalt der Nachricht) ausschließlich zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme oder Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Die Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet ist, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
4. Riservati – Reservierungsmanagement-Plattform
Riservati ist eine SaaS-Plattform zur Verwaltung von Restaurantreservierungen. Im Rahmen der Plattform verarbeiten wir folgende personenbezogene Daten:
a) Restaurantbetreiber (Kunden von CODLAB)
Bei der Registrierung und Nutzung von Riservati werden folgende Daten erhoben:
- E-Mail-Adresse, Telefonnummer
- Restaurantname, Adresse, Website
- Öffnungszeiten, Kapazitäten, Tischkonfigurationen
- Zahlungsinformationen (über Stripe, siehe Abschnitt 12)
Die Bereitstellung dieser Daten ist zur Nutzung der Plattform erforderlich; ohne diese Daten kann der Dienst nicht erbracht werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
b) Gäste / Endkunden der Restaurants
Bei einer Reservierung über Riservati (Widget, App oder WhatsApp) werden folgende Daten erhoben:
- Name, E-Mail-Adresse, Telefonnummer
- Datum, Uhrzeit, Personenzahl der Reservierung
- Sonderwünsche, Allergien und diätetische Präferenzen
- Reservierungsstatus (bestätigt, storniert, erschienen, nicht erschienen)
Die Bereitstellung von Name und Telefonnummer ist zur Durchführung der Reservierung erforderlich. Ohne diese Angaben kann die Reservierung nicht entgegengenommen werden.
Diese Daten werden im Auftrag des jeweiligen Restaurants verarbeitet. Das Restaurant ist Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO; CODLAB fungiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag ist Bestandteil der Nutzungsbedingungen der Plattform.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Reservierung).
c) Kundenhistorie, Profilbildung und automatisierte Bewertung
Zur Verbesserung des Service und zum Schutz der Restaurants werden auf Basis der Reservierungshistorie folgende Daten pro Restaurant automatisch berechnet und gespeichert:
- Gesamtanzahl der Reservierungen, abgeschlossene Reservierungen, Stornierungen, Nichterscheinen
- Durchschnittliche Gruppengröße, bevorzugte Uhrzeiten
- Treuepunktzahl (Loyalty Score, 0–100): berechnet aus der Abschlussquote der Reservierungen und der Besuchshäufigkeit
- Risikobewertung (Risk Score, 0–100): berechnet aus der Quote von Nichterscheinen und Stornierungen
- Kundensegment (z. B. Neukunde, Stammgast, VIP) basierend auf der Treuepunktzahl
Automatisierte Einzelfallentscheidungen (Art. 22 DSGVO): Die oben genannten Bewertungen (Loyalty Score, Risk Score) dienen als Entscheidungshilfe für das Restaurantpersonal. Es werden keine Reservierungen ausschließlich auf Grundlage einer automatisierten Verarbeitung abgelehnt oder angenommen, die rechtliche Wirkung entfaltet oder in ähnlicher Weise erheblich beeinträchtigt. Die endgültige Entscheidung über die Annahme oder Ablehnung einer Reservierung liegt stets beim Restaurantpersonal.
Sperrliste (Blacklist): Restaurants können einzelne Telefonnummern auf eine Sperrliste setzen. Bei einer Reservierungsanfrage über den KI-Assistenten wird die Telefonnummer mit dieser Liste abgeglichen. Der KI-Assistent weist in diesem Fall darauf hin, dass eine Reservierung über das Restaurant direkt erfolgen sollte. Die Entscheidung, eine Nummer auf die Sperrliste zu setzen, wird ausschließlich vom Restaurantpersonal getroffen (keine automatisierte Entscheidung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Restaurants an der Kundenpflege und am Schutz vor wiederholtem Nichterscheinen). Sie können der Profilbildung jederzeit widersprechen (Art. 21 DSGVO) und eine Überprüfung der automatisierten Bewertung durch eine zuständige Person verlangen.
5. KI-gestützter Buchungsassistent
Riservati bietet einen KI-gestützten Chat-Assistenten für Reservierungen an. Dabei werden folgende Daten verarbeitet:
- Gesprächsverlauf (eingegebene Nachrichten und Antworten)
- Aus dem Gespräch extrahierte Buchungsdaten (Name, Datum, Uhrzeit, Personenzahl, Sonderwünsche)
- Erkannte Absicht (Buchung, Änderung, Stornierung)
- Erkannte Sprache des Gesprächs
Funktionsweise der KI-Verarbeitung (Art. 13 Abs. 2 lit. f DSGVO): Der KI-Assistent analysiert die eingegebenen Nachrichten, um Reservierungsabsichten zu erkennen und die relevanten Buchungsdaten (Datum, Uhrzeit, Personenzahl, Name) zu extrahieren. Der Assistent prüft automatisch die Verfügbarkeit anhand der Öffnungszeiten und Kapazitäten des Restaurants. Es findet keine automatisierte Kreditwürdigkeitsprüfung oder sonstige automatisierte Entscheidung mit rechtlicher Wirkung statt.
Die Verarbeitung erfolgt über KI-Dienste von Drittanbietern:
- Anthropic PBC (Claude API) – Sitz: San Francisco, USA
- OpenAI Inc. (GPT API) – Sitz: San Francisco, USA
An die KI-Dienste werden ausschließlich der Gesprächsverlauf und die Restaurantkonfiguration (Öffnungszeiten, Kapazitäten) übermittelt – keine darüber hinausgehenden personenbezogenen Daten. Beide Anbieter verarbeiten API-Daten gemäß ihren Datenverarbeitungsverträgen nicht zu eigenen Zwecken und setzen die Daten nicht zum Training ihrer KI-Modelle ein. Gesprächsprotokolle werden zur Qualitätssicherung für maximal 12 Monate gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Reservierung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung).
6. SMS- und E-Mail-Benachrichtigungen
Im Rahmen der Reservierungsverwaltung versenden wir im Auftrag der Restaurants folgende Benachrichtigungen:
- Reservierungsbestätigungen (SMS und/oder E-Mail)
- Erinnerungen vor dem Reservierungstermin
- Stornierungsbestätigungen
Hierfür werden Name, Telefonnummer und/oder E-Mail-Adresse des Gastes verarbeitet.
SMS-/E-Mail-Marketing: Restaurants können über Riservati Marketing-Nachrichten (z. B. Geburtstagsgrüße, Aktionen) an ihre Gäste versenden. Dies erfolgt ausschließlich mit vorheriger ausdrücklicher Einwilligung des Gastes (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG). Jede Marketing-Nachricht enthält einen Hinweis auf die Widerrufsmöglichkeit. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Dienstleister:
- SMSHosting.it (Beit srl) – SMS-Versand (Sitz: Italien)
- Ionos SE – E-Mail-Versand über SMTP (Sitz: Deutschland)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionsbezogene Bestätigungen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Marketing mit Einwilligung).
7. Push-Benachrichtigungen
Die Riservati-Apps nutzen Push-Benachrichtigungen, um Restaurantbetreiber und Mitarbeiter über neue Reservierungen und Statusänderungen zu informieren. Dafür werden Geräte-Token über den Expo Push Notification Service (650 Industries Inc., USA) verarbeitet.
Push-Benachrichtigungen werden nur nach ausdrücklicher Erlaubnis auf dem Endgerät aktiviert. Sie können jederzeit in den Geräteeinstellungen deaktiviert werden. Die Geräte-Token werden bei Abmeldung aus der App automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung auf dem Endgerät) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
8. Riservati Staff App – Personalverwaltung
Die Riservati Staff App ermöglicht Restaurants die Verwaltung ihrer Mitarbeiter und die Zeiterfassung. Das Restaurant ist als Arbeitgeber Verantwortlicher für die Verarbeitung der Beschäftigtendaten; CODLAB fungiert als Auftragsverarbeiter.
a) Mitarbeiterdaten
- Vorname, Nachname, E-Mail-Adresse, Telefonnummer
- Foto/Avatar, PIN-Code (zur Identifikation am Gerät)
- Rolle, Beschäftigungsstatus, Eintrittsdatum
- Sollarbeitszeit, Urlaubstage
Personenbezogene Felder (Name, E-Mail, Telefonnummer, PIN) werden verschlüsselt in der Datenbank gespeichert (Fernet-Verschlüsselung, siehe Abschnitt 14).
Rechtsgrundlage: § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Beschäftigungsverhältnisses). Die Bereitstellung dieser Daten ist für die Begründung und Durchführung des Beschäftigungsverhältnisses erforderlich.
b) Zeiterfassung und Standortdaten
Beim Ein- und Ausstempeln über die Staff App werden folgende Daten erfasst:
- Zeitstempel des Ein- und Ausstempelns
- GPS-Koordinaten (Breitengrad/Längengrad) zur Standortvalidierung
- Geräteinformationen (Plattform, Gerätename)
- Berechnete Arbeitszeit und eventuelle Verspätung
Die GPS-Standorterfassung dient ausschließlich der Überprüfung, ob das Ein-/Ausstempeln am vereinbarten Arbeitsort erfolgt. Die GPS-Daten werden nur zum Zeitpunkt des Stempelvorgangs punktuell erhoben – es findet keine kontinuierliche Standortverfolgung statt. Die Daten werden maximal 24 Monate aufbewahrt.
Rechtsgrundlage für die Zeiterfassung: § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Beschäftigungsverhältnisses). Rechtsgrundlage für die GPS-Standorterfassung: § 26 Abs. 1 BDSG i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an der Überprüfung der korrekten Arbeitszeiterfassung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Erteilung der Standortberechtigung auf dem Endgerät). Die Standortberechtigung kann jederzeit in den Geräteeinstellungen widerrufen werden; das Ein-/Ausstempeln ist auch ohne GPS-Freigabe möglich.
9. Riservati Online-Shop
Restaurants können über Riservati einen Online-Shop für Bestellungen (Abholung, Lieferung, Vor-Ort) betreiben. Dabei werden folgende Daten verarbeitet:
- Kundenname, Telefonnummer, E-Mail-Adresse
- Lieferadresse (bei Lieferbestellungen)
- Bestelldetails (Artikel, Menge, Gesamtbetrag)
- Zahlungsinformationen (über Stripe Connect, siehe Abschnitt 12)
Die Bereitstellung von Name und Kontaktdaten ist für die Abwicklung der Bestellung erforderlich.
Das jeweilige Restaurant ist Verantwortlicher; CODLAB fungiert als Auftragsverarbeiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Kaufvertrag).
10. WhatsApp Business Integration
Riservati kann mit der WhatsApp Business API verbunden werden, um Reservierungen und Kommunikation über WhatsApp zu ermöglichen. Dabei werden verarbeitet:
- Telefonnummer des Gastes
- Name (soweit im WhatsApp-Profil hinterlegt)
- Nachrichtenverlauf innerhalb des 24-Stunden-Sitzungsfensters
- Medieninhalte (Bilder, Dokumente), soweit vom Gast gesendet
Dienstleister: Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin 2, Irland). Meta verarbeitet die Daten als eigenständiger Verantwortlicher gemäß den eigenen Nutzungsbedingungen der WhatsApp Business Platform. Informationen zur Datenverarbeitung durch Meta: WhatsApp Business Data Processing Terms.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Reservierung auf Initiative des Gastes).
Hinweis: Die Nutzung von WhatsApp ist freiwillig. Alternativ können Reservierungen über das Widget oder telefonisch vorgenommen werden.
11. Riservati Desktop App
Die Riservati Desktop App für Windows und macOS kommuniziert mit denselben Servern und verarbeitet dieselben Daten wie in den Abschnitten 4–10 beschrieben. Zusätzlich wird die App-Version zur Bereitstellung automatischer Updates verarbeitet.
12. Zahlungsabwicklung (Stripe)
Für die Abwicklung von Zahlungen (Abonnements und Shop-Bestellungen) nutzen wir den Zahlungsdienstleister Stripe:
- Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Dublin 2, Irland) – für die Zahlungsabwicklung in Europa
- Stripe Inc. (354 Oyster Point Blvd, South San Francisco, USA) – als Muttergesellschaft
Bei der Zahlung werden folgende Daten direkt über das Stripe-Zahlungsformular (Stripe Elements) an Stripe übermittelt – die vollständigen Zahlungsdaten gelangen zu keinem Zeitpunkt auf unsere Server:
- Name, E-Mail-Adresse
- Kreditkarten- oder Zahlungsdaten
- Rechnungsadresse
Wir speichern ausschließlich die letzten vier Ziffern der Kartennummer, die Kartenmarke und das Ablaufdatum zur Anzeige im Kundenkonto sowie die Stripe Customer ID und Subscription ID zur Zuordnung.
Stripe ist PCI DSS Level 1 zertifiziert. Stripe ist als eigenständiger Verantwortlicher bzw. Auftragsverarbeiter tätig. Datenschutzerklärung von Stripe: stripe.com/de/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
13. Cookies und Webanalyse
Diese Website und die eingebetteten Widgets verwenden Cookies und vergleichbare Technologien (localStorage). Die Rechtsgrundlage für den Zugriff auf Endgeräte richtet sich nach § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz).
a) Technisch notwendige Cookies
Diese Cookies sind für den Betrieb der Website zwingend erforderlich und werden ohne Einwilligung gesetzt (§ 25 Abs. 2 Nr. 2 TDDDG).
| Cookie | Zweck | Dauer |
|---|---|---|
codlab_cookie_consent | Speicherung der Cookie-Einwilligung | 365 Tage |
sessionid | Sitzungsverwaltung (Django) | Sitzungsende |
csrftoken | Schutz vor Cross-Site-Request-Forgery | Sitzungsende |
b) Google Analytics 4
Wir nutzen Google Analytics 4 (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) zur statistischen Analyse der Websitenutzung. Die Aktivierung erfolgt ausschließlich nach Ihrer ausdrücklichen Einwilligung über unseren Cookie-Banner (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO).
Dabei werden unter anderem verarbeitet: Seitenaufrufe, Verweildauer, Geräteinformationen, ungefährer Standort (Land/Region). Die IP-Adresse wird anonymisiert übermittelt.
Google ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über den Cookie-Banner widerrufen.
c) Lokale Speicherung (Widget)
Das Buchungs-Widget nutzt den lokalen Speicher des Browsers (localStorage), um den Gesprächsverlauf vorübergehend zwischenzuspeichern. Diese Daten werden nach 20 Minuten automatisch gelöscht und nicht an Dritte übermittelt. Es handelt sich um technisch notwendige Speicherung (§ 25 Abs. 2 Nr. 2 TDDDG).
14. Datenverschlüsselung und technische Sicherheit
Wir setzen umfangreiche technische Maßnahmen zum Schutz personenbezogener Daten ein (Art. 32 DSGVO):
- Verschlüsselung in der Datenbank: Personenbezogene Felder (Name, E-Mail, Telefonnummer, Sonderwünsche, Mitarbeiterdaten, PIN-Codes) werden mit Fernet-Verschlüsselung (symmetrisch, basierend auf AES-128-CBC mit HMAC-Authentifizierung) verschlüsselt gespeichert.
- Transportverschlüsselung: Alle Verbindungen zwischen Client und Server nutzen HTTPS/TLS. HTTP Strict Transport Security (HSTS) ist mit einer Gültigkeit von einem Jahr aktiviert.
- Authentifizierung: JWT-Token (JSON Web Token) mit begrenzter Gültigkeit und automatischer Rotation. Access-Token: 1 Stunde, Refresh-Token: 30 Tage.
- Mobile Sicherheit: Zugangsdaten werden in verschlüsseltem Gerätespeicher (Expo SecureStore / iOS Keychain / Android Keystore) abgelegt.
- API-Schutz: Ratenbegrenzung (Rate Limiting) gegen Missbrauch, CORS-Richtlinien, CSRF-Schutz.
15. Auftragsverarbeiter und internationale Datenübermittlung
Zur Erbringung unserer Dienste setzen wir folgende Drittanbieter ein:
| Anbieter | Zweck | Sitz | Transfergarantie |
|---|---|---|---|
| Ionos SE | Hosting, E-Mail (SMTP) | Deutsch | EU – kein Drittlandtransfer |
| SMSHosting.it (Beit srl) | SMS-Versand | Italien | EU – kein Drittlandtransfer |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland | EU / DPF-zertifiziert (Stripe Inc.) |
| Meta Platforms Ireland Ltd. | WhatsApp Business API | Irland | EU / DPF-zertifiziert (Meta Inc.) |
| Google Ireland Ltd. | Google Analytics 4 | Irland | EU / DPF-zertifiziert (Google LLC) |
| Anthropic PBC | KI-Assistent (Claude API) | USA | SCC + DPA |
| OpenAI Inc. | KI-Assistent (GPT API) | USA | DPF-zertifiziert + DPA |
| Expo / 650 Industries Inc. | Push-Benachrichtigungen | USA | SCC + DPA |
Datenübermittlung in Drittländer: Soweit personenbezogene Daten an Anbieter in den USA übermittelt werden, erfolgt dies auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-U.S. Data Privacy Framework (DPF), sofern der jeweilige Anbieter DPF-zertifiziert ist. Ergänzend oder alternativ wurden mit allen US-Anbietern Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie Datenverarbeitungsverträge (DPA) abgeschlossen.
Mit allen Auftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO geschlossen, bzw. entsprechende Datenschutzbestimmungen sind verbindlicher Bestandteil der jeweiligen Nutzungsbedingungen.
16. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
| Datenkategorie | Speicherdauer |
|---|---|
| Restaurantkonto | Dauer der Vertragsbeziehung + gesetzl. Aufbewahrungsfrist (bis zu 10 Jahre gem. HGB/AO) |
| Reservierungsdaten | 2 Jahre nach Reservierungsdatum |
| KI-Gesprächsprotokolle | 12 Monate |
| Kundenhistorie | Dauer der Geschäftsbeziehung mit dem Restaurant |
| Mitarbeiterdaten | Dauer des Beschäftigungsverhältnisses + gesetzl. Aufbewahrungsfrist |
| Zeiterfassungsdaten / GPS | 24 Monate |
| Bestelldaten (Shop) | Gesetzl. Aufbewahrungsfrist (bis zu 10 Jahre gem. HGB/AO) |
| SMS-/E-Mail-Versandprotokolle | 12 Monate |
| Zahlungsdaten (Stripe-Referenzen) | Gesetzl. Aufbewahrungsfrist (bis zu 10 Jahre gem. HGB/AO) |
| Widget-Cache (localStorage) | 20 Minuten (automatisch) |
| Server-Logfiles | 30 Tage |
| Cookie-Einwilligung | 365 Tage |
Nach Ablauf der Speicherdauer werden die Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
17. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten, soweit keine Aufbewahrungspflicht besteht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit – Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen, einschließlich Profilbildung (Art. 21 DSGVO). Bei Widerspruch prüfen wir, ob zwingende schutzwürdige Gründe vorliegen.
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
- Automatisierte Entscheidungen – Sofern automatisierte Bewertungen (Loyalty Score, Risk Score) Auswirkungen auf Sie haben, können Sie eine Überprüfung durch eine zuständige Person verlangen, Ihren Standpunkt darlegen und die Entscheidung anfechten (Art. 22 DSGVO).
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: [email protected]. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats bearbeiten (Art. 12 Abs. 3 DSGVO). Zur Identitätsprüfung kann eine Verifizierung Ihrer Identität erforderlich sein.
Hinweis für Gäste: Da CODLAB für Gästedaten als Auftragsverarbeiter fungiert, richten Sie Anfragen zu Ihren Reservierungsdaten bitte vorrangig an das jeweilige Restaurant. Wir unterstützen Sie gerne bei der Weiterleitung.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach (www.lda.bayern.de).
18. Datenschutz-Folgenabschätzung
Für Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen (insbesondere KI-gestützte Datenverarbeitung und Profilbildung), wurde eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt. Die Ergebnisse fließen in die laufende Verbesserung unserer technischen und organisatorischen Maßnahmen ein.
19. Sicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören unter anderem die unter Abschnitt 14 genannten Maßnahmen sowie Zugriffsbeschränkungen nach dem Prinzip der minimalen Berechtigung, regelmäßige Sicherheitsupdates und die Protokollierung von Zugriffen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten informieren wir die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO und – bei voraussichtlich hohem Risiko – die betroffenen Personen gemäß Art. 34 DSGVO.
20. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, unsere Dienste oder die Art der Datenverarbeitung ändert. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Die aktuelle Version ist stets unter dieser URL abrufbar.
Stand: Februar 2026 | Verantwortlicher: Francesco Cucinotta (nachfolgend „CODLAB"). Kontakt [email protected]