Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf der Plattform Get-a-Spot (auch unter dem Markennamen „EmptySeat“ auftretend) ist:

Mentis.ai KI- und IT-Dienstleistungen UG (haftungsbeschränkt)
Rheinstraße 66
12159 Berlin
Deutschland

E-Mail: contact@mentis.one
Telefon: +49 176 641 425 29

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die folgenden Angebote von Get-a-Spot:

  • Website unter get-a-spot.de: öffentlich zugänglicher Internetauftritt mit Informationen zur Plattform sowie Zugangs- und Anmeldefunktion zur Web-Anwendung.
  • Web-Anwendung unter app.get-a-spot.de: browserbasierte Anwendung zur Nutzung der Plattformfunktionen nach Registrierung und Anmeldung.
  • Mobile Anwendung „GetaSpot“ für iOS und Android (Bundle-ID de.getaspot.app): native Anwendung, vertrieben über den Apple App Store und den Google Play Store.

Soweit sich die Verarbeitung zwischen diesen Angeboten unterscheidet, ist dies in den jeweiligen Abschnitten kenntlich gemacht.

3. Allgemeines zur Datenverarbeitung

(1) Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist.

(2) Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung des Betroffenen
  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen, sofern nicht die Interessen oder Grundrechte des Betroffenen überwiegen

5. Welche Daten wir erheben

5.1 Aufruf der Website (get-a-spot.de)

Beim Aufruf unserer Website werden folgende Daten verarbeitet:

  • Standard-Server-Logfiles durch den Hosting-Anbieter (siehe Abschnitt 5.10)
  • IP-Adresse beim Laden externer Schriften (siehe Abschnitt 8.4)
  • Bei Eingabe in das Newsletter- bzw. Vorab-Anmeldungs-Formular (sobald aktiv): die freiwillig angegebene E-Mail-Adresse zur Aufnahme in eine Vorab-Liste oder zur einmaligen Kontaktaufnahme
  • Bei Anmeldung über die Login-Seite: Authentifizierungs-Vorgang gemäß Abschnitt 5.2

Die Website setzt derzeit kein Cookie-Banner, da außer technisch notwendigen Cookies keine weiteren Cookies verarbeitet werden, und enthält keine Analyse- oder Marketing-Tracking-Skripte. Mit Aktivierung der Login-Funktion werden zusätzlich die in Abschnitt 7.1 beschriebenen Authentifizierungs-Cookies des Identitätsdienstleisters Supabase gesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Website) bzw. Art. 6 Abs. 1 lit. a DSGVO (Newsletter, sobald aktiv — Double-Opt-in) bzw. Art. 6 Abs. 1 lit. b DSGVO (Login).

5.2 Registrierung und Nutzerkonto

Bei der Registrierung in der Web-Anwendung oder nativen App erheben wir:

  • E-Mail-Adresse
  • Passwort (wird ausschließlich als kryptografischer Hash mittels bcrypt gespeichert; das Klartext-Passwort verlässt zu keinem Zeitpunkt unsere Infrastruktur unverschlüsselt)
  • Anzeigename (display_name, optional)
  • Profilbild-URL (optional)
  • Rolle (Nutzer/Gast oder Anbieter/Gastro-Inhaber)
  • Zeitpunkt der Registrierung und letzte Aktualisierung

Die Authentifizierung wird technisch über den Dienstleister Supabase abgewickelt (siehe Abschnitt 8.2). Eine Anmeldung über externe Identitätsanbieter (Apple, Google, Facebook etc.) wird derzeit nicht angeboten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.3 Café-Profil (Anbieter)

Bei Erstellung eines Café-Profils erheben wir:

  • Name und Beschreibung des Cafés
  • Adresse und Standortdaten (Geokoordinaten zur Kartenanzeige)
  • Kontaktdaten (Telefon, E-Mail des Cafés)
  • Fotos der Räumlichkeiten (hochgeladene Bilddateien — siehe Hinweis zu Metadaten unten)
  • Angaben zur Ausstattung (WLAN, Steckdosen, Beamer etc.)
  • Zonen-Definitionen (Name, Kapazität, Beschreibung)
  • Zeitfenster und Preise
  • Menü-Einträge (Name, Preis, Beschreibung, Kategorie)

Hinweis zu Foto-Metadaten:

  • Beim Upload über die native App (iOS/Android) werden EXIF-Metadaten (insbesondere GPS-Koordinaten der Aufnahmegeräte) automatisch entfernt, bevor das Bild übertragen wird.
  • Beim Upload über die Web-Anwendung kann das Bild in Einzelfällen noch EXIF-Metadaten enthalten. Wir empfehlen Anbietern, in solchen Fällen Fotos vorher selbst zu bereinigen, oder den Upload über die native App durchzuführen.

Hinweis zu KI-Erkennung von Speisekarten: Wenn Anbieter ein Foto ihrer Speisekarte zur automatischen Erkennung hochladen, wird dieses Bild zur Verarbeitung an einen externen KI-Dienstleister (Google Gemini) übermittelt — siehe Abschnitt 8.6.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.4 Buchungen

Bei einer Buchung verarbeiten wir:

  • Buchungsnummer (Format: ES-YYYY-#####)
  • Buchungsdatum, Start-/Endzeit
  • Gewählte Zone und Personenzahl (Gruppengröße)
  • Verwendungszweck/Notiz (optional, freiwillige Angabe)
  • Nachricht an den Anbieter (optional, freiwillige Angabe)
  • Vorbestellungen (Speisen/Getränke, Mengen, Preise)
  • Buchungsstatus (ausstehend, bestätigt, abgelehnt, storniert, abgelaufen, abgeschlossen)
  • Gesamtpreis und unsere Provision
  • Zeitstempel aller Statusänderungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.5 Buchungsteilnehmer / Payment-Split

Wenn ein Nutzer weitere Personen zu einer Buchung einlädt und die Kosten geteilt werden („Payment-Split“), verarbeiten wir zu diesen eingeladenen Personen:

  • E-Mail-Adresse (vom einladenden Nutzer angegeben)
  • Einladungs-Token (anonymisierter Schlüssel)
  • Anteilsbetrag in Euro
  • Status (eingeladen, angenommen, bezahlt, abgelehnt)
  • Zeitpunkt der Annahme / Zahlung

Wichtiger Hinweis an einladende Nutzer: Sie sind verpflichtet, die Personen, deren E-Mail-Adressen Sie bei uns eingeben, vorab über die Verarbeitung zu informieren und sicherzustellen, dass diese mit der Übermittlung einverstanden sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Funktion „Kostenteilung“ sowie an der reibungslosen Abwicklung von Gruppenbuchungen).

5.6 Zahlungsdaten — Zahler-Seite

Zur Abwicklung von Zahlungen werden Zahlungsdaten über den externen Zahlungsdienstleister Stripe verarbeitet (siehe Abschnitt 8.5). Stripe erhält dabei:

  • Name des Zahlungspflichtigen
  • E-Mail-Adresse
  • Zahlungsinstrument (Kreditkarte, IBAN/SEPA-Lastschrift, Apple Pay, Google Pay, PayPal)
  • Rechnungsbetrag
  • IP-Adresse und Geräteinformationen (zur Betrugsprävention durch Stripe)

Wir selbst speichern keine vollständigen Zahlungsdaten. Lediglich eine Transaktionsreferenz, der Zahlungsstatus und die Zuordnung zur Buchung werden bei uns gespeichert.

In der nativen App stehen zusätzlich Apple Pay (iOS) bzw. Google Pay (Android) als Zahlungsmethode zur Verfügung; in diesem Fall wird die Transaktion über die geräteinterne Wallet-Funktion abgewickelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.7 Zahlungsdaten — Anbieter-Seite (Stripe Connect)

Gastro-Inhaber, die über die Plattform Einnahmen erzielen, müssen ein Stripe-Connect-Konto einrichten. Dazu übermittelt Stripe folgende Daten direkt an den Anbieter (Stripe Payments Europe, Ltd.):

  • Identifikationsdaten (vollständiger Name, Geburtsdatum, ggf. Ausweisdokument zur Identitätsprüfung)
  • Geschäftsadresse
  • Bankverbindung (IBAN) für Auszahlungen
  • Steuer-ID / USt-IdNr. (sofern relevant)

Diese Daten werden ausschließlich zwischen Anbieter und Stripe ausgetauscht. Wir erhalten und speichern lediglich:

  • Stripe-Connect-Konto-ID
  • Status der Onboarding- und Verifikationsprüfung
  • Auszahlungs-Status

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten zur Identifikation gemäß Geldwäschegesetz, Know-Your-Customer).

5.8 Bewertungen

Nach abgeschlossenen Buchungen können Café-Inhaber den buchenden Gast bewerten. Folgende Daten werden dabei verarbeitet und auf Anbieter-Seite einsehbar gemacht:

  • Pünktlichkeit (Skala 1–5)
  • Sauberkeit / Verhalten (Skala 1–5)
  • Mindestverzehr eingehalten (ja/nein)
  • Hausregeln befolgt (ja/nein)
  • Freitext-Kommentar (max. 500 Zeichen)
  • Bewertungsdatum
  • Anzeigename (display_name) des Bewertenden

Aus den Einzelbewertungen wird ein Gesamtmittelwert je Gast berechnet und Anbietern angezeigt, um eine informierte Entscheidung über Buchungsanfragen zu ermöglichen. Dies stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar — die Entscheidung über Annahme/Ablehnung trifft stets der Anbieter persönlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Vertrauen und Sicherheit auf der Plattform).

5.9 Push-Notifications (native App)

Wenn Sie unsere native App nutzen und Benachrichtigungen erlauben, speichern wir:

  • Push-Token Ihres Endgeräts (Expo-Token)
  • Plattform (iOS oder Android)
  • Aktivitätsstatus
  • Versandprotokoll (Titel, Inhalt, Sendezeitpunkt, Ticket-ID des Versanddienstleisters) — für maximal 90 Tage zur Fehlersuche und Zustellungs-Verifikation

Wir senden zwei Kategorien von Push-Notifications:

  • Transaktional (auf Grundlage der Vertragserfüllung): Buchungsbestätigungen, Statusänderungen, Erinnerungen an bevorstehende Buchungen, Stornierungs-Hinweise, Hinweise auf Buchungsverfall.
  • Marketing (nur nach gesonderter, ausdrücklicher Einwilligung): Hinweise auf neue Cafés in der Umgebung, Sonderaktionen, Empfehlungen. Diese sind frequenzbegrenzt (max. 1 pro Tag, 3 pro Woche) und können in den App-Einstellungen jederzeit deaktiviert werden.

Der technische Versand erfolgt über den Dienstleister Expo (siehe Abschnitt 8.7).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktional) bzw. Art. 6 Abs. 1 lit. a DSGVO (Marketing-Pushes).

5.10 Server-Logfiles

Beim Aufruf der Website oder Web-Anwendung werden durch unseren Hosting-Anbieter (Vercel, siehe Abschnitt 8.1) automatisch Standard-Webserver-Logfiles erfasst, die typischerweise enthalten:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • HTTP-Methode und URL der abgerufenen Ressource
  • Übertragene Datenmenge
  • HTTP-Statuscode
  • Browsertyp, -version, Betriebssystem (User-Agent)
  • Referrer-URL

Diese Daten werden im Rahmen der Auftragsverarbeitung durch unseren Hosting-Anbieter gespeichert (Standard-Aufbewahrung bei Vercel: 30 Tage) und dienen ausschließlich der Sicherstellung eines störungsfreien Betriebs sowie der Erkennung und Abwehr von Angriffen. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität).

5.11 Standortdaten / Geolokalisierung

Zur Anzeige von Cafés oder anderen Gastrobetrieben in Ihrer Nähe kann die Plattform Ihren Standort abfragen. Dies geschieht:

  • In der Web-Anwendung über die Geolokalisierungsfunktion des Browsers
  • In der nativen App über die Standortfreigabe des Betriebssystems (iOS/Android, ausschließlich „Bei Nutzung der App“ / „While Using the App“; kein Hintergrund-Tracking)

Folgendes gilt:

  • Die Standortabfrage erfolgt erst nach ausdrücklicher Freigabe durch den Nutzer.
  • Der Standort wird ausschließlich zur Berechnung der Entfernung zu den Cafés verwendet.
  • Der Standort wird nicht auf unseren Servern gespeichert. Die Berechnung erfolgt clientseitig oder als einmaliger Suchparameter ohne Persistenz.
  • Ohne Standortfreigabe können beide Angebote weiterhin genutzt werden (manuelle Eingabe von Ort oder PLZ).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.12 Geräte-Berechtigungen der nativen App

Die native App fragt — abhängig von der genutzten Funktion — folgende Geräte-Berechtigungen an. Eine Verweigerung ist möglich; in diesem Fall steht die jeweilige Funktion nicht zur Verfügung. Eine spätere Änderung ist jederzeit über die System-Einstellungen Ihres Geräts möglich.

BerechtigungZweckErforderlich für
Standort (bei Nutzung)Anzeige von Cafés in der Nähe, Karten-ZentrierungKarten- und Such-Funktion
KameraAufnahme von Café- und Speisekarten-FotosAnbieter beim Hochladen von Fotos
Foto-BibliothekAuswahl bestehender Fotos zum HochladenAnbieter beim Hochladen von Fotos
Push-BenachrichtigungenVersand transaktionaler und ggf. werblicher MitteilungenBuchungs-Benachrichtigungen

Die App fordert keine weiteren Berechtigungen wie Mikrofon, Kontakte, Kalender, Bluetooth oder Hintergrund-Standort an.

6. E-Mail-Benachrichtigungen

Wir versenden E-Mails im Rahmen der Plattformnutzung über den Dienstleister Resend (siehe Abschnitt 8.8). Folgende Kategorien sind vorgesehen bzw. werden bereits versendet:

  • Aktuell aktiv: Bestätigungen zur Konto-Löschung, Registrierungs-Bestätigungen (Magic-Link von Supabase), Passwort-Zurücksetzen
  • In Vorbereitung / je nach Funktionsverfügbarkeit: Buchungsbestätigungen und -erinnerungen, Benachrichtigungen über Buchungsanfragen (an Anbieter), Statusänderungen, Stornierungsbestätigungen, Mitteilungen über Änderungen der AGB/Datenschutzerklärung

Diese E-Mails sind für die Vertragserfüllung erforderlich und stellen keine Werbung dar. Ein vollständiges Abbestellen dieser E-Mails ist nicht möglich, solange ein aktives Nutzerkonto besteht; einzelne Erinnerungs-Kategorien können bei Verfügbarkeit in den Konto-Einstellungen deaktiviert werden.

Werbliche Newsletter werden nur nach gesonderter, ausdrücklicher Einwilligung im Double-Opt-in-Verfahren versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Newsletter, sobald aktiv).

7. Cookies und ähnliche Technologien

7.1 Technisch notwendige Cookies (Website und Web-Anwendung)

Folgende technisch notwendige Cookies werden gesetzt:

CookieZweckSpeicherdauer
sb-<projektkennung>-auth-tokenAuthentifizierungs-Cookie unseres Identitätsdienstleisters Supabase (Login-Sitzung)Bis zum Logout, max. 30 Tage
sb-<projektkennung>-auth-token-code-verifierSchutz des OAuth-AuthentifizierungsflussesWährend der Anmeldung

Diese Cookies sind für den sicheren Betrieb unerlässlich und können nicht deaktiviert werden, ohne den Login-Vorgang zu unterbrechen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 Nr. 2 TTDSG (unbedingt erforderlich).

7.2 Lokaler Speicher in der nativen App

Die native App verwendet keine Cookies, sondern den geräteinternen sicheren Speicher (Apple Keychain bzw. Android EncryptedSharedPreferences via expo-secure-store) zur Aufbewahrung von Authentifizierungs-Tokens. Diese Speicherung erfolgt ausschließlich auf Ihrem Gerät und ist verschlüsselt. Beim Logout werden die Tokens entfernt.

7.3 Analyse-Tools

Derzeit setzen wir keine Analyse-Tools ein. Sollten wir zukünftig ein Analyse-Tool (z. B. Plausible, Matomo, Google Analytics) einführen, erfolgt dies in der Web-Anwendung ausschließlich nach vorheriger Einwilligung über ein Cookie-Banner. Diese Erklärung wird entsprechend aktualisiert.

7.4 Marketing- und Tracking-Pixel

Derzeit setzen wir keine Marketing-Pixel oder Tracking-Tools ein. Sollten wir zukünftig solche Dienste (z. B. Meta-Pixel, TikTok-Pixel, Google-Ads-Conversion-Tracking) einsetzen, erfolgt dies ausschließlich nach vorheriger Einwilligung über ein Cookie-Banner (Web-Anwendung) bzw. einen Tracking-Transparency-Hinweis (iOS-App). Die jeweils erfassten Daten und Empfänger werden zu diesem Zeitpunkt in dieser Datenschutzerklärung ergänzt. Bis dahin findet keine entsprechende Datenverarbeitung statt.

Rechtsgrundlage (zukünftig): Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

8. Eingesetzte Drittdienste und Auftragsverarbeiter

8.1 Hosting

Anbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA

Vercel betreibt unsere Server-Infrastruktur und das Edge-Netzwerk zur Auslieferung der Website und der Web-Anwendung. Im Rahmen des Hostings verarbeitet Vercel als Auftragsverarbeiter sämtliche dort anfallenden personenbezogenen Daten. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Vercel ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8.2 Datenbank- und Authentifizierungsdienst

Anbieter: Supabase, Inc., 970 Toa Payoh North #07-04, Singapur 318992 (Datenverarbeitung in EU-Rechenzentrum, Frankfurt am Main)

Supabase stellt unsere PostgreSQL-Datenbank, den Authentifizierungsdienst (inkl. Passwort-Hashing mit bcrypt) sowie den Object-Storage für Bild-Uploads bereit. Supabase verarbeitet als Auftragsverarbeiter sämtliche Profil-, Buchungs-, Bewertungs- und Foto-Daten. Es besteht ein Data Processing Addendum gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8.3 Kartendarstellung

Wir setzen — abhängig vom genutzten Angebot — unterschiedliche Kartendienste ein:

8.3.1 Web-Anwendung — OpenStreetMap

Anbieter: OpenStreetMap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, Vereinigtes Königreich

Zur Anzeige der Café-Standorte auf der Karte in der Web-Anwendung nutzen wir die freie Kartensoftware Leaflet zusammen mit den Karten-Kacheln von OpenStreetMap. Beim Laden der Karte wird Ihre IP-Adresse an die OpenStreetMap-Tile-Server in Europa übertragen. Es werden keine personalisierten Tracking-Daten verarbeitet. Datenschutzerklärung: https://wiki.osmfoundation.org/wiki/Privacy_Policy

8.3.2 Native App auf iOS — Apple Maps

Anbieter: Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA

Auf iOS-Geräten wird die Karte über das systemeigene Apple-Maps-Framework dargestellt. Beim Laden der Karte werden Karten-Anfragen an Apple übertragen. Es gilt die Datenschutzerklärung von Apple: https://www.apple.com/legal/privacy/

8.3.3 Native App auf Android — Google Maps

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Verarbeitung teils in den USA)

Auf Android-Geräten wird die Karte über das Google-Maps-SDK dargestellt. Beim Laden der Karte werden Anfragen an die Google-Server übertragen. Übertragen werden insbesondere die IP-Adresse, ggf. der Standort (sofern Sie diesen freigegeben haben) sowie technische Informationen zum Endgerät. Es gilt die Datenschutzerklärung von Google: https://policies.google.com/privacy

Rechtsgrundlage (alle): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Standortanzeige) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Standortfreigabe).

8.4 Schriften (Website)

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland

Auf unserer Website laden wir die Schriften „Inter“ und „Playfair Display“ über Google Fonts. Beim Aufruf einer Seite wird die IP-Adresse Ihres Geräts an Google übertragen, damit Ihr Browser die Schriften herunterladen kann. Wir prüfen aktiv, die Schriften zukünftig lokal zu hosten, um diese Übermittlung zu vermeiden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung).

8.5 Zahlungsdienstleister

Anbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland

Stripe wickelt sowohl Zahlungen von Gästen (siehe Abschnitt 5.6) als auch Auszahlungen an Café-Inhaber über Stripe Connect (siehe Abschnitt 5.7) ab. Stripe verarbeitet die genannten Daten teilweise eigenverantwortlich (insb. zur Betrugsprävention und Erfüllung gesetzlicher Identifikationspflichten), teilweise als Auftragsverarbeiter. In der nativen App kommen zusätzlich die geräteinternen Wallet-Funktionen Apple Pay (iOS) und Google Pay (Android) zum Einsatz, die Stripe als Zahlungsabwickler nutzen. Datenschutzerklärung: https://stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO.

8.6 KI-Dienst zur Speisekarten-Erkennung

Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (Google Generative AI / Gemini, Verarbeitung teils USA)

Wenn Café-Inhaber ein Foto ihrer Speisekarte zur automatischen Erkennung hochladen, wird dieses Bild an Google Generative AI übermittelt, um daraus strukturierte Menü-Einträge zu extrahieren. Es werden keine Nutzer- oder Buchungsdaten an Google übermittelt. Google verwendet die übermittelten Daten gemäß den Geschäftsbedingungen für API-Kunden nicht zum Training öffentlich zugänglicher KI-Modelle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Menü-Pflege).

8.7 Push-Versand-Dienstleister

Anbieter: Expo Inc., 650 Castro St Suite 120-219, Mountain View, CA 94041, USA

Expo betreibt den technischen Vermittlungsdienst zwischen unserem Server und den Push-Diensten von Apple (APNs) bzw. Google (FCM). An Expo werden ausschließlich der Push-Token, der Inhalt der Benachrichtigung sowie eine Ticket-ID übermittelt — keine Buchungs- oder Profildaten.

Über Expo erfolgen zudem Over-the-Air-Updates der nativen App: technische Aktualisierungen des App-Codes können ohne erneuten Store-Download eingespielt werden. Dabei wird Ihre Geräte-Sprache, Plattform und App-Version übertragen, um die passende Update-Variante auszuliefern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und sicherer App-Betrieb).

8.8 E-Mail-Versand

Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Resend versendet transaktionale E-Mails von der Domain noreply@get-a-spot.de. Resend erhält dabei E-Mail-Adresse und Inhalt der jeweiligen Nachricht. Standard-Aufbewahrung der Versandprotokolle bei Resend: 90 Tage. Es besteht ein Data Processing Addendum gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

8.9 App-Stores

Sofern Sie unsere App über den Apple App Store (Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA) oder den Google Play Store (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) beziehen, erheben die jeweiligen Plattformbetreiber eigenverantwortlich personenbezogene Daten — etwa Geräte-Kennungen, Download- und Nutzungsstatistiken sowie automatische Absturzberichte (Crash-Logs).

Diese Datenverarbeitung liegt außerhalb unseres Verantwortungsbereichs. Es gelten ausschließlich die Datenschutzbestimmungen des jeweiligen Plattformbetreibers (Apple Privacy Policy bzw. Google Privacy Policy).

9. Datenübermittlung in Drittländer

Folgende von uns eingesetzte Dienstleister verarbeiten Daten ganz oder teilweise außerhalb der EU/EWR:

DienstleisterSitz / VerarbeitungGrundlage des Transfers
VercelUSAEU-U.S. Data Privacy Framework + Standardvertragsklauseln
ResendUSAEU-U.S. Data Privacy Framework + Standardvertragsklauseln
ExpoUSAStandardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
OpenStreetMapVereinigtes KönigreichAngemessenheitsbeschluss der EU-Kommission (UK)
Google (Maps / Gemini / Fonts)Vertragspartner Irland — Verarbeitung teils USAEU-U.S. Data Privacy Framework + Standardvertragsklauseln
Apple (Apple Maps / App Store)USAEU-U.S. Data Privacy Framework + Standardvertragsklauseln

Stripe und Supabase werden mit Datenverarbeitung im EU/EWR-Raum betrieben (Stripe Payments Europe Ltd., Irland; Supabase EU-Region Frankfurt).

10. Speicherdauer und Löschung

10.1 Übersicht

DatenkategorieSpeicherdauer
NutzerkontodatenBis zur Konto-Löschung durch den Nutzer
Café-ProfildatenBis zur Löschung des Anbieterprofils
Buchungsdaten (anonymisiert)10 Jahre nach Vertragsabschluss (§§ 147 AO, 257 HGB)
Zahlungs-Transaktionsreferenzen10 Jahre (steuerliche Aufbewahrungspflicht)
BewertungenBis zur Löschung des Reviewer- oder Reviewed-Kontos
Push-TokensBis zur Konto-Löschung, Logout oder Deaktivierung der Benachrichtigungen
Push-VersandprotokollMaximal 90 Tage
Server-Logfiles (Vercel)Bis zu 30 Tage
E-Mail-Versandprotokolle (Resend)Bis zu 90 Tage
Cookie-Einwilligung (sobald Banner aktiv)12 Monate

10.2 Verfahren bei Konto-Löschung

Eine Konto-Löschung können Sie jederzeit selbst über die Web-Anwendung oder die native App im Bereich Profil → Konto löschen durchführen.

Bei Löschung Ihres Nutzerkontos werden alle direkt personenbezogenen Daten unverzüglich entfernt — insbesondere E-Mail, Anzeigename, Profilbild, persönliche Notizen und Nachrichten in Buchungen, Bewertungstexte mit Personenbezug, Push-Tokens, Benachrichtigungs-Einstellungen.

Anonymisierung statt Löschung bei Buchungsdaten: Buchungsdatensätze, die wir aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten (§§ 147 AO, 257 HGB) länger vorhalten müssen, werden anonymisiert: Die Verknüpfung zu Ihrem Nutzerkonto wird gelöst, persönliche Freitexte und Notizen werden entfernt. Erhalten bleiben ausschließlich nicht-identifizierende Geschäftsdaten (Datum, Betrag, Provision, Café-Bezug, Buchungsnummer). Eine Wiederherstellung des Personenbezugs ist nach der Anonymisierung nicht mehr möglich.

Nach Ablauf der gesetzlichen Aufbewahrungsfrist werden auch die anonymisierten Buchungsdaten endgültig gelöscht.

11. Ihre Rechte als Betroffener

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Berichtigungsrecht (Art. 16 DSGVO)
  • Löschungsrecht (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten direkt in der App bzw. Web-Anwendung über Profil → Daten exportieren in einem strukturierten, maschinenlesbaren Format (JSON) herunterladen
  • Widerspruchsrecht (Art. 21 DSGVO) gegen die Verarbeitung auf Grundlage berechtigter Interessen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden

Konto-Löschung und Datenexport stehen direkt im Bereich Profil zur Verfügung. Für sonstige Anfragen wenden Sie sich an: dev@mentis.one. Wir werden Ihre Anfrage spätestens innerhalb eines Monats nach Eingang beantworten.

12. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
E-Mail: mailbox@datenschutz-berlin.de
Telefon: +49 30 13889-0

13. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Sicherheitsmaßnahmen ein:

  • Verschlüsselte Datenübertragung (TLS 1.3)
  • Verschlüsselte Speicherung von Passwörtern (bcrypt-Hashing über Supabase Auth)
  • Verschlüsselte Speicherung von Authentifizierungs-Tokens auf Endgeräten (iOS Keychain / Android EncryptedSharedPreferences)
  • Row-Level-Security in der Datenbank (Datenisolation auf Zeilenebene)
  • Zugriffskontrolle und Berechtigungsmanagement mit Pseudonymisierung in Logs
  • Regelmäßige Sicherheitsupdates der Plattform-Abhängigkeiten
  • Regelmäßige Datensicherungen (Backups durch Supabase)

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. Kommunikation per E-Mail) Sicherheitslücken aufweisen kann; ein lückenloser Schutz vor Zugriff durch Dritte ist nicht möglich.

14. Minderjährigenschutz

Die Plattform Get-a-Spot richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass personenbezogene Daten von Personen unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten erhoben wurden, werden wir diese Daten unverzüglich löschen.

15. Automatisierte Entscheidungsfindung / Profiling

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Einzelne automatisierte Vorgänge (z. B. die Berechnung eines Gast-Bewertungs-Mittelwerts oder das automatische Ablaufen unbestätigter Buchungsanfragen) dienen lediglich der Entscheidungs-Unterstützung; finale Entscheidungen über Buchungsannahme oder -ablehnung treffen die Anbieter persönlich.

16. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder Änderungen der Plattform und der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets auf der Plattform abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.