Datenschutzerklärung
Diese Erklärung informiert gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten bei der Nutzung von Festl (Website und Web-App) verarbeitet werden, zu welchen Zwecken und welche Rechte Ihnen zustehen.
1. Verantwortlicher
Martin Beneder, Florianiring 3, 2440 Moosbrunn, Österreich
E-Mail: kontakt@digitalkreativ.at
2. Grundsätze
Für den Betrieb der Bestell-App selbst setzt Festl ausschließlich technisch notwendige Cookies ein. Auf der öffentlichen Website (Startseite, Preise, Kontakt) verwenden wir zusätzlich – aber nur mit Ihrer ausdrücklichen Einwilligung – Reichweiten- und Werbe-Messung (Google Analytics 4, Meta-Pixel; siehe Punkt 4). Ohne Einwilligung werden diese Dienste nicht geladen. Daten werden nicht verkauft und nur an die genannten Dienstleister weitergegeben.
3. Hosting und Infrastruktur
Die Anwendung wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet; die Anwendungsdaten liegen in einer PostgreSQL-Datenbank von Neon Inc. Beide Anbieter sind als Auftragsverarbeiter nach Art. 28 DSGVO eingebunden. Für Übermittlungen in die USA stützen wir uns auf das EU-US Data Privacy Framework bzw. die EU-Standardvertragsklauseln.
Beim Aufruf der Website verarbeitet der Hoster automatisch Server-Logdaten (IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Browser-Kennung). Rechtsgrundlage ist unser berechtigtes Interesse am sicheren und stabilen Betrieb (Art. 6 Abs. 1 lit. f DSGVO); die Logs werden nur kurzfristig aufbewahrt.
4. Cookies, Einwilligung und Reichweiten-/Werbe-Messung
4.1 Technisch notwendige Cookies
Für den Betrieb erforderliche Cookies dürfen wir nach § 165 Abs. 3 TKG 2021 ohne Einwilligung setzen:
- Organisator-Session (Login im Dashboard): hält Sie nach der Anmeldung eingeloggt, Laufzeit 7 Tage. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Kellner-Session (»waiter_session«, httpOnly): merkt sich den Kellner-Login für einen Festtag, Laufzeit 24 Stunden. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
- Einwilligungs-Cookie (»festl_consent«): speichert Ihre Cookie-Auswahl (Version, Zeitpunkt, Kategorien) für 6 Monate, damit wir das Banner nicht bei jedem Besuch erneut zeigen. Rechtsgrundlage: rechtliche Verpflichtung zum Nachweis der Einwilligung (Art. 6 Abs. 1 lit. c DSGVO).
4.2 Consent-Banner und Kategorien
Für alle nicht notwendigen Dienste holen wir Ihre Einwilligung über ein Cookie-Banner ein (Art. 6 Abs. 1 lit. a DSGVO, § 165 Abs. 3 TKG 2021). Die Kategorien sind Notwendig (immer aktiv), Statistik und Marketing. Vor Ihrer Zustimmung wird kein Statistik- oder Werbe-Skript geladen; entscheiden Sie sich für »Nur notwendige«, unterbleibt das Laden ebenfalls vollständig. Sie können Ihre Auswahl jederzeit über den Link »Cookie-Einstellungen« im Footer mit Wirkung für die Zukunft ändern oder widerrufen (Art. 7 Abs. 3 DSGVO).
Mit Einwilligung in Statistik oder Marketing speichern wir außerdem einmalig die Herkunft Ihres Besuchs (Kampagnen-/UTM-Parameter und verweisende Seite) in einem First-Party-Cookie (»festl_attribution«, Laufzeit 90 Tage), um den Erfolg unserer Kanäle zu verstehen. Ohne diese Einwilligung wird das Cookie nicht gesetzt.
4.3 Google Analytics 4 (Statistik/Marketing)
Mit Ihrer Einwilligung nutzen wir Google Analytics 4 (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) zur Reichweitenmessung. Google verarbeitet dabei gekürzte IP-Adressen, Geräte-/Browser-Daten und Ihr Nutzungsverhalten über Cookies. Wir setzen den Google Consent Mode v2 ein: Ohne Einwilligung werden keine Cookies gesetzt und keine personenbezogenen Signale gesendet. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Daten werden auch in die USA übermittelt (siehe Punkt 4.5).
4.4 Meta-Pixel und Conversions API (Marketing)
Mit Einwilligung in die Kategorie Marketing setzen wir das Meta-Pixel sowie die serverseitige Conversions API von Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland) ein, um den Erfolg unserer Werbung auf Facebook und Instagram zu messen und zu optimieren. Dabei werden Nutzungs- und Ereignisdaten (z. B. Seitenaufruf, Kontaktanfrage, Registrierung) an Meta übermittelt. Bei bestimmten Ereignissen übermitteln wir serverseitig zusätzlich Ihre E-Mail-Adresse – ausschließlich in kryptografisch gehashter Form (SHA-256), niemals im Klartext – zur Zuordnung; die Client- und Server-Ereignisse werden über eine gemeinsame Kennung dedupliziert. Meta ist für diese Verarbeitung gemeinsam mit uns verantwortlich (Art. 26 DSGVO). Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); es erfolgt eine Übermittlung in die USA (siehe Punkt 4.5).
4.5 Datenübermittlung in Drittländer (USA)
Google und Meta verarbeiten Daten auch in den USA. Für diese Übermittlung stützen wir uns auf das EU-US Data Privacy Framework (beide Anbieter sind zertifiziert) sowie ergänzend auf die EU-Standardvertragsklauseln. Trotz dieser Garantien kann bei Übermittlungen in die USA nicht vollständig ausgeschlossen werden, dass US-Behörden auf die Daten zugreifen. Sie erteilen Ihre Einwilligung in Kenntnis dieser Risiken (Art. 49 Abs. 1 lit. a DSGVO).
4.6 Speicherdauer und Widerruf
Die von Google und Meta gesetzten Cookies haben je nach Dienst unterschiedliche Laufzeiten (in der Regel bis zu 24 Monate). Details finden Sie in den Datenschutzhinweisen der Anbieter. Ihre Einwilligung können Sie jederzeit über den Link »Cookie-Einstellungen« im Footer widerrufen; danach werden keine weiteren Daten an diese Dienste gesendet.
5. Organisator-Konto
Bei der Registrierung als Organisator verarbeiten wir Name, E-Mail-Adresse und Passwort (nur als kryptografischer Hash gespeichert). Zur Verifikation der E-Mail-Adresse senden wir nach der Registrierung eine Bestätigungs-E-Mail mit einem zeitlich begrenzt gültigen Link (siehe Punkt 6). Zu aktiven Sessions werden aus Sicherheitsgründen IP-Adresse und Browser-Kennung gespeichert. Zweck ist die Bereitstellung Ihres Kontos; Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Daten bleiben gespeichert, bis Sie die Löschung Ihres Kontos verlangen (formlos per E-Mail an kontakt@digitalkreativ.at).
Alternativ können Sie sich mit Ihrem Google-Konto anmelden (»Mit Google anmelden«). Dabei werden Sie zur Anmeldung an Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) weitergeleitet; nach erfolgreicher Anmeldung übermittelt Google uns Ihren Namen, Ihre E-Mail-Adresse und Ihre Google-Konto-Kennung, um Ihr festl.-Konto anzulegen bzw. Sie einzuloggen. Ein Passwort speichern wir in diesem Fall nicht. Existiert bereits ein Konto mit derselben (von Google bestätigten) E-Mail-Adresse, wird der Google-Login mit diesem Konto verknüpft. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO); für die etwaige Übermittlung in die USA stützen wir uns auf die EU-Standardvertragsklauseln. Die Nutzung des Google-Logins ist freiwillig – die Registrierung ist ebenso mit E-Mail und Passwort möglich.
In der geführten Einrichtung können Sie freiwillig angeben, wie Sie auf festl. aufmerksam geworden sind (z. B. »Empfehlung« oder »Google-Suche«). Diese Angabe ist optional, jederzeit überspringbar und wird ausschließlich intern zu statistischen Zwecken ausgewertet, um zu verstehen, über welche Kanäle uns Vereine finden. Rechtsgrundlage ist unser berechtigtes Interesse an der Reichweitenanalyse (Art. 6 Abs. 1 lit. f DSGVO); die Angabe wird gemeinsam mit Ihrem Konto gelöscht.
Haben Sie zuvor in Statistik/Marketing eingewilligt (Punkt 4.2), ordnen wir Ihrem Konto einmalig die gespeicherte Kampagnen-Herkunft (UTM-Parameter, verweisende Seite) zu, um zu verstehen, über welche Kanäle Registrierungen zustande kommen. Ohne diese Einwilligung unterbleibt die Zuordnung. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); die Angabe wird mit Ihrem Konto gelöscht.
6. Transaktions-E-Mails (Resend)
System-E-Mails – die Bestätigungs-E-Mail bei der Registrierung sowie die Bestätigung einer Kontaktanfrage (Double-Opt-in, siehe Punkt 12) – versenden wir über Resend (Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA) als Auftragsverarbeiter nach Art. 28 DSGVO. Dabei werden Name, E-Mail-Adresse und der Inhalt der jeweiligen Nachricht an Resend übermittelt. Für die Übermittlung in die USA stützen wir uns auf die EU-Standardvertragsklauseln. Werbe-E-Mails oder Newsletter versenden wir nicht. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. bei Kontaktanfragen Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
7. Event-Daten: Rollenverteilung
Daten, die Organisatoren in ihren Events anlegen – insbesondere Kellner-Daten, Sortiment und Bestellungen – verarbeiten wir im Auftrag des jeweiligen Organisators (Art. 28 DSGVO). Datenschutzrechtlich Verantwortlicher für diese Daten ist der Organisator; er informiert seine Kellnerinnen und Kellner über die Verarbeitung. Einen Auftragsverarbeitungsvertrag stellen wir auf Anfrage bereit.
8. Kellner-Daten
Zu Kellnern speichert der Organisator Name bzw. Spitzname, eine Kellner-Nummer und optional eine Telefonnummer. Der Login erfolgt ohne Passwort über einen zufälligen, nicht erratbaren Link. Die optionale Telefonnummer dient ausschließlich dazu, Zugangsdaten per WhatsApp-Link zu übermitteln (siehe Punkt 11).
9. Bestellungen und Belege
Gäste benötigen kein Konto; Bestellungen werden ohne Personenbezug des Gastes erfasst (Produkte, Beträge, Zahlungsart, Zeitpunkt, boniert durch welchen Kellner). Belege sind über einen zufälligen, nicht erratbaren Link (QR-Code) abrufbar. Optional kann für den Belegversand eine E-Mail-Adresse angegeben werden; sie wird ausschließlich für die Zustellung des Belegs verwendet und nicht dauerhaft gespeichert.
10. Kartenzahlung mit SumUp
Für Kartenzahlungen nutzen Events optional SumUp Limited (Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland). Die Zahlungsabwicklung (Karten- und Transaktionsdaten) erfolgt direkt bei SumUp; dafür ist SumUp eigenständig datenschutzrechtlich verantwortlich – Details in den Datenschutzhinweisen auf sumup.at. Wir erhalten von SumUp nur den Status der Zahlung (z. B. erfolgreich/fehlgeschlagen) samt Transaktionsreferenz. OAuth-Zugangstokens der SumUp-Anbindung speichern wir AES-verschlüsselt. Legt ein Organisator für Kellner SumUp-App-Zugänge an, werden Name und eine Alias-E-Mail-Adresse des Kellners an SumUp übermittelt.
11. WhatsApp-Weitergabe (Click-to-Chat)
Organisatoren können Kellner-Zugangsdaten über einen WhatsApp-Click-to-Chat-Link (wa.me) versenden. Dabei öffnet sich lediglich die WhatsApp-Anwendung des Organisators mit einer vorbereiteten Nachricht – Daten fließen erst beim aktiven Absenden durch den Organisator an WhatsApp Ireland Ltd. Die Nutzung ist freiwillig; es gelten die Datenschutzbestimmungen von WhatsApp.
12. Kontaktanfragen über das Kontaktformular
Wenn Sie über unser Kontaktformular (mehrstufiger Funnel unter /kontakt) eine Anfrage stellen, verarbeiten wir die von Ihnen angegebenen Daten, um mit Ihnen in Kontakt zu treten und Ihr Anliegen zu bearbeiten. Verarbeitet werden:
- Kontaktdaten: Vor- und Nachname, E-Mail-Adresse und – sofern angegeben – Verein bzw. Organisation.
- Ihre Nachricht und Angaben zu Ihrem Fest: eine etwaige Freitext-Nachricht an uns sowie Ihre Antworten auf die freiwilligen Fragen (z. B. Art und Größe des Fests, bisherige Abrechnung, Herausforderungen, geplanter Termin). Alle Angaben sind optional und können übersprungen werden.
- Einwilligungs-Zeitstempel: Zeitpunkt Ihrer Einwilligung in die Kontaktaufnahme sowie – separat – einer etwaigen Einwilligung in die statistische Auswertung.
- Kampagnen-Herkunft: technische Parameter aus dem Aufruf-Link (z. B. UTM-Parameter, verweisende Seite), um zu verstehen, über welchen Weg Interessenten zu uns finden.
Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie mit dem Absenden des ersten Schritts erteilen und jederzeit mit Wirkung für die Zukunft widerrufen können. Die Einwilligung in eine statistische bzw. der Produktverbesserung dienende Auswertung ist davon getrennt, ausdrücklich freiwillig und für die Kontaktaufnahme nicht erforderlich. Zur Bestätigung, dass die Anfrage tatsächlich von Ihnen stammt, senden wir eine Bestätigungs-E-Mail (Double-Opt-in). Bereits teilweise ausgefüllte Anfragen speichern wir, um Ihr Anliegen auch dann bearbeiten zu können, wenn Sie den Vorgang nicht abschließen. Aus Gründen der Datenminimierung speichern wir dabei keine IP-Adresse; ein Missbrauchsschutz (Begrenzung der Absendehäufigkeit) erfolgt nur vorübergehend im Arbeitsspeicher. Die Daten werden gelöscht, sobald Ihre Anfrage erledigt ist und keine Zusammenarbeit zustande kommt, spätestens jedoch nach 24 Monaten – es sei denn, aus einer Kontaktanfrage wird ein Vertragsverhältnis. Sie können die Löschung jederzeit selbst im Kontaktformular auslösen oder formlos per E-Mail an kontakt@digitalkreativ.at verlangen.
13. AI-Speisekarten-Import (OpenAI)
Als optionale Komfortfunktion können Organisatoren eine bestehende Speisekarte, Preisliste, ein Foto, einen Flyer oder ein Plakat hochladen, um daraus automatisch Kategorien und Produkte zu erkennen (»Speisekarte importieren«). Zu diesem Zweck übermitteln wir das hochgeladene Dokument an unseren Auftragsverarbeiter OpenAI (OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA), der es analysiert und die strukturierten Daten (Kategorien, Produktnamen, Preise) zurückliefert.
- Datenkategorien: der Inhalt des von Ihnen hochgeladenen Dokuments (Text und Bild). Bitte laden Sie keine personenbezogenen oder vertraulichen Dokumente hoch – die Funktion ist ausschließlich für Speise- und Getränkekarten gedacht.
- Zweck: automatische Extraktion des Sortiments, um Ihnen das manuelle Abtippen zu ersparen.
- Einwilligung: Die Übertragung erfolgt erst, nachdem Sie vor dem Upload aktiv zugestimmt haben. Ohne Zustimmung wird nichts übertragen; die Funktion ist freiwillig, und Sie können Ihr Sortiment jederzeit stattdessen manuell anlegen.
- Keine dauerhafte Speicherung: Wir verarbeiten das Dokument nur im Arbeitsspeicher zur Analyse und speichern es nicht dauerhaft auf unseren Systemen. Nach Angaben von OpenAI werden über die API übermittelte Inhalte nicht zum Training der Modelle verwendet und nur kurzzeitig (in der Regel bis zu 30 Tage) zu Missbrauchs-/Sicherheits- zwecken vorgehalten und anschließend gelöscht.
Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Es erfolgt eine Übermittlung in die USA; hierfür stützen wir uns auf die EU-Standardvertragsklauseln. Trotz dieser Garantien kann bei Übermittlungen in die USA nicht vollständig ausgeschlossen werden, dass US-Behörden auf die Daten zugreifen; Sie erteilen Ihre Einwilligung in Kenntnis dieser Risiken (Art. 49 Abs. 1 lit. a DSGVO).
14. Speicherdauer
Event-Daten (Sortiment, Kellner, Bestellungen) bleiben gespeichert, solange das Event bzw. das Organisator-Konto besteht, damit Feste wiederverwendet und ausgewertet werden können. Organisatoren können ihre Events selbst löschen; die vollständige Kontolöschung erfolgt auf Anfrage. Gesetzliche Aufbewahrungspflichten (z. B. steuerliche Aufzeichnungen des Organisators) bleiben davon unberührt.
15. Datensicherheit
Die Übertragung erfolgt durchgehend TLS-verschlüsselt (HTTPS). Passwörter werden ausschließlich gehasht gespeichert, SumUp-Zugangstokens verschlüsselt, Session-Cookies sind httpOnly. Login-Links und Beleg-Links verwenden zufällige, nicht erratbare Tokens.
16. Ihre Rechte
Ihnen stehen die Rechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) zu. Soweit wir Daten auf Grundlage Ihrer Einwilligung verarbeiten (z. B. bei Kontaktanfragen), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Wenden Sie sich dazu formlos an kontakt@digitalkreativ.at.
Außerdem haben Sie das Recht auf Beschwerde bei der österreichischen Datenschutzbehörde: Barichgasse 40–42, 1030 Wien, www.dsb.gv.at.
17. Änderungen
Diese Erklärung wird angepasst, sobald sich die Datenverarbeitung ändert (z. B. durch neue Funktionen). Es gilt die jeweils hier veröffentlichte Fassung.
Stand: 17. Juli 2026