Datenschutz­erklärung

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Jean Julien Lehmpfuhl
Wißmarer Weg 12
35396 Gießen
Telefon: 01805 009 671
E-Mail: hallo@flitzl.de

2.1 Beim Aufruf der Webseite

Bei jedem Aufruf werden technisch notwendige Daten automatisch erfasst (Server-Logfiles):

• ·IP-Adresse (gekürzt zur Anonymisierung nach 7 Tagen)
• ·Datum und Uhrzeit der Anfrage
• ·Aufgerufene URL und HTTP-Statuscode
• ·Browser-Typ und -Version, Betriebssystem
• ·Referrer-URL

Zweck: Bereitstellung der Webseite, Sicherheit, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

2.2 Bei Registrierung / Kontoanlage

• ·Name, E-Mail-Adresse
• ·Passwort (verschlüsselt mit bcrypt gespeichert)
• ·Telefonnummer (optional)
• ·Gespeicherte Lieferadressen (optional)

Zweck: Vertragserfüllung gemäß Nutzungsvertrag. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.3 Bei Bestellungen

• ·Name, Telefonnummer, E-Mail (auch bei Gast-Bestellungen)
• ·Lieferadresse oder Wahl der Abholung
• ·Bestellinhalt, Wunschzeit, Hinweise, Trinkgeld
• ·Zahlart und ggf. Zahlungsreferenz des Zahlungsdienstleisters Mollie (KEINE Karten-Daten — diese werden direkt von Mollie verarbeitet)

Zweck: Abwicklung der Bestellung mit dem Partner-Restaurant, Lieferung, Zahlung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

2.4 Standortdaten (optional)

Wenn du die Funktion „Aktueller Standort" nutzt, fragen wir über deinen Browser deine Geolocation ab. Die Koordinaten werden nur clientseitig in einem Cookie gespeichert (60 Tage gültig), um dir lieferbare Restaurants in deiner Nähe anzuzeigen. Du kannst diese Funktion jederzeit ablehnen oder den Standort zurücksetzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerruflich).

3.1 Partner-Restaurants

Sobald du eine Bestellung absendest, übermitteln wir folgende Daten an das jeweilige Partner-Restaurant: Name, Telefonnummer, E-Mail, Lieferadresse (bei Lieferung), Bestellinhalt, Wunschzeit, Hinweise. Das Partner-Restaurant verarbeitet diese Daten in eigener Verantwortung zur Vertragserfüllung.

3.2 Kurier:innen / Fahrer:innen

Bei Lieferung erhalten die vom Partner-Restaurant beauftragten Fahrer:innen die für die Lieferung notwendigen Daten (Lieferadresse, Telefonnummer, Bestellnummer).

3.3 Zahlungsdienstleister

Bei Online-Zahlung werden Zahlungsdaten direkt an den Zahlungsdienstleister Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Niederlande) übermittelt. Die Zahlung erfolgt auf das Konto des jeweiligen Partner-Restaurants (Zahlungsempfänger); Kreditkarten- oder Bankdaten sehen wir selbst nicht. Mollie verarbeitet die Daten auf Basis eigener Datenschutzrichtlinien: mollie.com/de/privacy.

3.4 E-Mail-Versand

Transaktionale E-Mails (Bestellbestätigungen, Statusupdates, Passwort-Reset) versenden wir über einen DSGVO-konformen SMTP-Dienstleister mit Auftragsverarbeitungsvertrag.

3.5 Geocoding

Zur Umrechnung von Adresseingaben oder GPS-Koordinaten in eine vollständige Adresse nutzen wir den Dienst Nominatim der OpenStreetMap-Stiftung. Übermittelt werden ausschließlich der Suchbegriff bzw. die Koordinaten — keine personen­bezogenen Daten.

3.6 Hosting

Unsere Server stehen in einem Rechenzentrum innerhalb der Europäischen Union. Eine Übermittlung personenbezogener Daten in Drittländer findet nur im Rahmen der gesondert genannten Dienste statt — insbesondere Google AdSense (siehe Abschnitt 4.2) sowie, sofern du unsere App-Push-Benachrichtigungen nutzt, Google Firebase Cloud Messaging. Soweit dabei Daten in die USA übermittelt werden, stützen wir uns auf den Angemessenheits­beschluss der EU-Kommission (EU-US Data Privacy Framework) und ergänzend auf die EU-Standardvertragsklauseln (Art. 46 DSGVO).

4.1 Technisch notwendige Speicher-Einträge

Für den Betrieb der Plattform setzen wir folgende technisch notwendige Cookies und Local-Storage-Einträge ein. Sie sind essentiell für die ausdrücklich gewünschte Funktion und nicht einwilligungspflichtig (§ 25 Abs. 2 Nr. 2 TTDSG):

• ·next-auth.session-token — Anmelde-Session (Lebensdauer: 30 Tage, HttpOnly, Secure)
• ·eb_loc — gewählter Lieferstandort (Lebensdauer: 60 Tage, clientseitig)
• ·cart:{restaurantId} — Warenkorb (Local-Storage, bis manuell geleert)
• ·fulfillment:{restaurantId} — Lieferung/Abholung-Vorauswahl (Local-Storage)
• ·cart:schedule:{restaurantId} — Vorbestell-Wunschzeit (Local-Storage)
• ·flitzl-consent — Speicherung deiner Cookie-Einwilligung (Lebensdauer: 12 Monate)

4.2 Google AdSense

Wir nutzen Google AdSense, einen Dienst zur Einbindung von Werbeanzeigen der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Google AdSense verwendet sogenannte „Cookies", also Textdateien, die auf deinem Gerät gespeichert werden und die eine Analyse der Benutzung der Website ermöglichen. Google AdSense verwendet auch sogenannte Web Beacons (unsichtbare Grafiken), durch die einfache Aktionen wie der Besucherverkehr auf diesen Seiten ausgewertet werden können.

Die durch Cookies und Web Beacons erzeugten Informationen über die Benutzung dieser Website (einschließlich deiner IP-Adresse) und die Auslieferung von Werbeformaten werden an einen Server von Google in den USA übertragen und dort gespeichert. Diese Informationen können von Google an Vertragspartner von Google weitergegeben werden. Google wird deine IP-Adresse jedoch nicht mit anderen von dir gespeicherten Daten zusammenführen.

Verarbeitete Daten: IP-Adresse (gekürzt im Rahmen der EU-Datenschutzgesetze), Datum und Uhrzeit, Browser-Typ, vorherige Webseite, ausgeliefertes Werbeformat, individuelle Cookie-Kennung, Geräte- und Standortinformationen (näherungsweise).

Zwecke: Auslieferung personalisierter und nicht personalisierter Werbung, Häufigkeitsbegrenzung, Aggregation von Reichweitenmessungen, Schutz vor Werbebetrug und Sicherstellung der ordnungsgemäßen Auslieferung.

Rechtsgrundlage: Deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG, die du jederzeit über das Cookie-Banner widerrufen kannst. Bei verweigerter Einwilligung werden ausschließlich nicht personalisierte Anzeigen ausgespielt; sind auch dafür Speicherzugriffe erforderlich, werden diese ohne deine Einwilligung nicht durchgeführt.

Drittland-Übermittlung (USA): Google ist nach dem EU-US Data Privacy Framework zertifiziert. Damit besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO. Ergänzend setzen wir auf die EU-Standardvertragsklauseln (SCC).

Widerruf / Opt-out:

• ·Einwilligung jederzeit über das Cookie-Banner widerrufbar.
• ·Personalisierte Werbung von Google deaktivieren: adssettings.google.com
• ·Cookies generell deaktivieren oder selektiv löschen über die Einstellungen deines Browsers.
• ·Datenschutzerklärung von Google: policies.google.com/privacy

4.3 Google Analytics 4 (GA4)

Wir nutzen Google Analytics 4 (GA4), einen Webanalyse-Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Die von uns verwendete Mess-ID lautet G-SHHH89EBFD. GA4 setzt Cookies bzw. vergleichbare Kennungen ein, um die Nutzung unserer Plattform statistisch auszuwerten. Dabei können Daten an einen Server von Google in den USA (Google LLC) übertragen und dort gespeichert werden.

Verarbeitete Daten: gekürzte (anonymisierte) IP-Adresse, Geräte- und Browser-Informationen, aufgerufene Seiten und Seitenaufrufe, Verweildauer, ungefährer Standort sowie pseudonyme Kennungen und Cookie-IDs. Die IP-Anonymisierung bzw. -Kürzung ist bei GA4 standardmäßig aktiv; eine vollständige IP-Adresse wird nicht dauerhaft gespeichert.

Zwecke: Reichweiten- und Nutzungsanalyse, statistische Auswertung des Besucherverhaltens sowie laufende Verbesserung unseres Angebots. Wir führen die so erhobenen Daten nicht mit anderen von dir bei uns gespeicherten Daten zusammen.

Rechtsgrundlage: Deine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDSG. GA4 wird erst geladen, nachdem du im Cookie-Banner eingewilligt hast; deine Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Drittland-Übermittlung (USA): Google ist nach dem EU-US Data Privacy Framework zertifiziert. Damit besteht ein Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO. Ergänzend setzen wir auf die EU-Standardvertragsklauseln (SCC) nach Art. 46 DSGVO.

Widerruf / Opt-out:

• ·Einwilligung jederzeit über die Cookie-Einstellungen bzw. das Cookie-Banner widerrufbar.
• ·Erfassung durch Google Analytics geräteübergreifend verhindern mit dem Browser-Add-on: tools.google.com/dlpage/gaoptout
• ·Cookies generell deaktivieren oder selektiv löschen über die Einstellungen deines Browsers.
• ·Datenschutzerklärung von Google: policies.google.com/privacy

Hinweis: Sowohl Google AdSense als auch Google Analytics 4 werden erst geladen, nachdem du über unser Cookie-Banner eingewilligt hast. Solange keine Einwilligung vorliegt, wird keine Verbindung zu Google aufgebaut und es werden hierfür keine Cookies gesetzt oder Daten an Google übertragen.

4.4 Verzicht auf weitere Tracking-Dienste

Außer Google AdSense und Google Analytics 4 setzen wir keine weiteren Analyse-, Tracking- oder Retargeting-Werkzeuge ein. Wir nutzen insbesondere kein Facebook-Pixel, kein TikTok-Pixel und keine vergleichbaren Dienste.

Wir speichern personenbezogene Daten nur so lange, wie es für die Erfüllung des Zwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

• ·Bestelldaten: 10 Jahre (§ 147 AO, § 257 HGB — handels- und steuerrechtliche Pflicht)
• ·Kontodaten: bis zur Kontolöschung durch den Nutzer
• ·Server-Logs: maximal 14 Tage, IP-Adressen nach 7 Tagen gekürzt
• ·Bewertungen: solange das Konto besteht; nach Kontolöschung anonymisiert
• ·Standort-Cookie: 60 Tage oder bis manueller Reset

Nach DSGVO stehen dir folgende Rechte zu:

• ·Auskunft (Art. 15 DSGVO) — welche Daten wir zu dir verarbeiten
• ·Berichtigung (Art. 16 DSGVO) — wenn Daten falsch oder unvollständig sind
• ·Löschung (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
• ·Einschränkung der Verarbeitung (Art. 18 DSGVO)
• ·Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt deiner Daten in strukturiertem Format
• ·Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
• ·Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft

Anfragen kannst du formlos per E-Mail an die im Impressum genannte Adresse richten. Du hast außerdem das Recht zur Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), in Deutschland in der Regel die für deinen Wohnsitz zuständige Landesdatenschutz­behörde.

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten vor unbefugtem Zugriff, Verlust oder Manipulation zu schützen:

• ·Verschlüsselte Übertragung per TLS 1.2+ (HTTPS)
• ·Passwörter ausschließlich als bcrypt-Hash gespeichert
• ·Zugang zu Produktionssystemen nur über Mehr-Faktor-Authentisierung
• ·Regelmäßige Datenbank-Backups in EU-Rechenzentren
• ·Trennung von Betreiber-, Restaurant- und Kundendaten

Eine automatisierte Entscheidungsfindung oder Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Restaurant-Empfehlungen basieren ausschließlich auf der von dir eingegebenen Lieferadresse — nicht auf Tracking oder verhaltens­basiertem Profiling.

Wir aktualisieren diese Datenschutzerklärung, wenn sich Funktionen oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite einsehbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.