Datenschutzerklärung
Letzte Aktualisierung: 30. Mai 2026
Die Übersetzung wird zur Erleichterung bereitgestellt. Bei Widersprüchen zur englischen Fassung ist der englische Text maßgebend.
1. Wer wir sind
OneScan ("wir", "uns", "unser") wird von OneScan betrieben, einem in Varna, Bulgarien registrierten Unternehmen (Handelsregister- / EIK-Nummer und Umsatzsteuer-ID auf Anfrage erhältlich). Wir sind Verantwortlicher für die personenbezogenen Daten der Kontoinhaber, die über die OneScan-Plattform unter onescan.menu (der "Dienst") verarbeitet werden.
Bei Fragen zu dieser Datenschutzerklärung oder zu Ihren personenbezogenen Daten kontaktieren Sie uns unter onescan.menu@outlook.com. Wir haben keinen Datenschutzbeauftragten bestellt, da wir hierzu nach Art. 37 DSGVO nicht verpflichtet sind (wir sind keine Behörde, unsere Kerntätigkeiten bestehen nicht in einer umfangreichen systematischen Überwachung, und wir verarbeiten keine besonderen Kategorien personenbezogener Daten in großem Umfang).
2. Unsere Rolle und Ihre Rolle
Für Kontoinhaber (Sie): Wir handeln als Verantwortlicher für die in Abschnitt 3 beschriebenen personenbezogenen Daten, da wir entscheiden, warum und wie wir sie verarbeiten (Betrieb Ihres Kontos, Abrechnung, Sicherheit, Kundenservice).
Für von Ihnen veröffentlichte Inhalte: Die Speisekarten, Artikelbeschreibungen, Bilder und Geschäftsangaben, die Sie hochladen, sind Ihre Inhalte. Wenn Sie personenbezogene Daten Dritter in diese Inhalte aufnehmen (z. B. die Nennung eines Mitarbeiters auf der Speisekarte oder das Hochladen eines Fotos einer identifizierbaren Person), sind Sie der Verantwortliche für diese personenbezogenen Daten, und wir handeln nur als Auftragsverarbeiter in Ihrem Auftrag, um sie weisungsgemäß zu speichern und anzuzeigen. Sie sind verantwortlich für das Vorliegen einer Rechtsgrundlage für deren Veröffentlichung. Geschäftskunden, die einen schriftlichen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO benötigen, können diesen unter onescan.menu@outlook.com anfordern.
Für Gäste, die einen QR-Code scannen: Wir erheben bewusst keine personenbezogenen Daten von Gästen. Seitenaufrufe werden ausschließlich als Zähler erfasst - ohne IP-Adresse, Geräte-Fingerprint, Cookies oder andere Kennungen.
3. Welche Daten wir erheben
Wir erheben folgende Kategorien personenbezogener Daten:
Kontodaten
- Name, E-Mail-Adresse und gehashtes Passwort (oder Google-OAuth-Profildaten)
- Status der E-Mail-Verifizierung
- Kontoeinstellungen (Sprache, Theme, Plan)
Geschäftsinhalte
- Geschäftsnamen, Beschreibungen und Adressen, die Sie eingeben
- Menünamen, Artikel, Preise, Kategorien und Beschreibungen
- Bilder, die Sie für Menüartikel hochladen (EXIF-Metadaten werden beim Upload entfernt)
- Übersetzungen, die Sie für Menüinhalte bereitstellen
Technische Daten
- IP-Adresse und User-Agent-Zeichenfolge (werden bei der Anmeldung automatisch erhoben, zum Zweck der Sitzungssicherheit und Missbrauchsvermeidung)
- Sitzungs-Tokens (gespeichert in einem httpOnly-, secure-Cookie)
- Serverprotokolle, die die obigen Daten für einen kurzen Aufbewahrungszeitraum enthalten
Zahlungsdaten
- Stripe-Kunden-ID und Abonnement-ID (auf unserem Server gespeichert)
- Zahlungskartendaten werden vollständig von Stripe erhoben und verarbeitet - wir sehen oder speichern Ihre Kartennummer nie
Nutzungsdaten
- Anonyme Seitenaufruf-Zähler für öffentliche Menüs (wir erfassen, dass ein Aufruf stattgefunden hat, nicht wer aufgerufen hat - keine IP-, Cookie- oder Gerätedaten werden für Aufrufe gespeichert)
4. Wie wir Ihre Daten verwenden
| Zweck | Rechtsgrundlage (Art. 6 DSGVO) |
|---|---|
| Bereitstellung und Betrieb des Dienstes (Kontoverwaltung, Menü-Hosting, QR-Codes) | Vertragserfüllung |
| Verarbeitung von Zahlungen und Verwaltung von Abonnements | Vertragserfüllung |
| Versand von Transaktions-E-Mails (Willkommen, Passwort-Reset, E-Mail-Verifizierung, Abrechnungshinweise) | Vertragserfüllung |
| Aufrechterhaltung der Sitzungssicherheit und Missbrauchsvermeidung (IP-Adresse, User-Agent, Rate-Limiting) | Berechtigtes Interesse (Sicherheit) |
| Anzeige anonymer Aufrufzähler im Dashboard | Berechtigtes Interesse (Analyse) |
| Verbesserung des Dienstes und Entwicklung neuer Funktionen anhand aggregierter und anonymisierter Daten, die nicht mehr Ihnen zugeordnet werden können | Berechtigtes Interesse (Produktentwicklung) |
| Verweis auf Ihren Geschäftsnamen oder öffentlich sichtbare Menüseite als Kundenbeispiel, sofern Sie nicht per E-Mail widersprechen | Berechtigtes Interesse (Marketing) |
| Einhaltung rechtlicher Verpflichtungen (Steuerunterlagen, Betrugsprävention, rechtmäßige Ersuchen) | Rechtliche Verpflichtung |
Wir nehmen keine automatisierte Entscheidungsfindung oder Profiling vor, die rechtliche oder ähnlich wesentliche Auswirkungen auf Sie im Sinne von Art. 22 DSGVO entfaltet.
5. Drittdienste (Unter-Auftragsverarbeiter)
Wir geben personenbezogene Daten ausschließlich zum Zweck der Diensterbringung an die folgenden Drittdienste weiter:
| Dienst | Zweck | Datenstandort |
|---|---|---|
| Hetzner Online GmbH | Serverhosting, Datenbank, Bildspeicher | Deutschland (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung, Abrechnung von Abonnements | EU / USA (mit EU-SCC) |
| Resend, Inc. | Versand von Transaktions-E-Mails | USA (mit EU-SCC) |
| Google LLC (OAuth, optional) | Anmeldung über Google, sofern Sie diese Methode wählen | USA (mit EU-SCC) |
Wir verkaufen, vermieten oder handeln nicht mit Ihren personenbezogenen Daten. Wir setzen keine Werbe- oder Analysedienste Dritter ein. Mit der Entwicklung des Dienstes können wir zusätzliche Unter-Auftragsverarbeiter einsetzen; eine aktuelle Liste ist auf Anfrage erhältlich, und wir setzen keine Unter-Auftragsverarbeiter ein, die keine gleichwertigen Datenschutzgarantien bieten. Wir geben Daten nicht an andere Parteien weiter, es sei denn, dies ist gesetzlich oder gerichtlich vorgeschrieben.
6. Internationale Datenübermittlungen
Ihre Daten werden primär auf Servern in Deutschland (EU) gespeichert. Bei Übermittlungen an Auftragsverarbeiter außerhalb der EU/des EWR (Stripe, Resend, Google) stützen wir uns auf die Standardvertragsklauseln (SCC, Beschluss 2021/914) der Europäischen Kommission als Übermittlungsmechanismus, zusammen mit den technischen und organisatorischen Schutzmaßnahmen, die diesen Auftragsverarbeitern auferlegt werden. Eine Kopie der jeweils geltenden SCC ist auf Anfrage erhältlich.
7. Cookies
OneScan verwendet ausschließlich unbedingt erforderliche Cookies:
- Ein Authentifizierungs-Sitzungs-Cookie (httpOnly, secure), das Sie bis zu 7 Tage angemeldet hält.
- Ein Theme-Präferenz-Cookie, das Ihre Hell/Dunkel-Modus-Auswahl bis zu 1 Jahr speichert.
Wir verwenden keine Tracking-, Werbe- oder Analyse-Cookies. Da alle unsere Cookies für die Funktionsfähigkeit des Dienstes unbedingt erforderlich sind, ist gemäß ePrivacy-Richtlinie (2002/58/EG, Art. 5.3) kein Cookie-Einwilligungsbanner erforderlich.
8. Datenaufbewahrung
- Kontodaten und Inhalte: werden gespeichert, solange Ihr Konto aktiv ist. Wir können inaktive kostenlose Konten und die zugehörigen Inhalte nach 12 Monaten Inaktivität nach E-Mail-Benachrichtigung löschen. Auf berechtigte Löschungsanfrage hin innerhalb von 30 Tagen gelöscht, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht.
- Sitzungsdaten (IP, User-Agent): werden für die Dauer der Sitzung gespeichert (bis zu 7 Tage). Server-Zugriffsprotokolle mit IP-Adressen werden zu Sicherheits- und Missbrauchsvermeidungszwecken bis zu 90 Tage aufbewahrt.
- Zahlungsunterlagen: Stripe-Kunden- und Abonnement-IDs, Rechnungen und zugehörige Abrechnungsunterlagen werden so lange aufbewahrt, wie steuer- und buchhaltungsrechtlich erforderlich (in der Regel 10 Jahre nach bulgarischem Recht).
- Anonyme Aufrufzähler und aggregierte Analysen: werden unbegrenzt aufbewahrt (es sind keine personenbezogenen Daten mit Aufrufen verbunden).
- Backups: Daten können in verschlüsselten Backups bis zu 30 Tage nach der Löschung aus dem Livesystem fortbestehen und werden dann durch Rotation gelöscht.
9. Ihre Rechte (DSGVO)
Als betroffene Person nach der Datenschutz-Grundverordnung (DSGVO) haben Sie folgende Rechte:
- Auskunftsrecht: eine Kopie der bei uns gespeicherten personenbezogenen Daten anzufordern.
- Recht auf Berichtigung: unrichtige Daten zu korrigieren (Name und E-Mail-Adresse können Sie direkt in der App aktualisieren).
- Recht auf Löschung: die Löschung Ihres Kontos und aller zugehörigen Daten zu verlangen, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Recht auf Datenübertragbarkeit: die Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.
- Recht auf Einschränkung der Verarbeitung: während einer Beschwerde oder Berichtigung die Nutzung Ihrer Daten einzuschränken.
- Widerspruchsrecht: gegen Verarbeitungen auf Grundlage berechtigten Interesses, einschließlich der Marketing-Verwendung Ihres Geschäftsnamens (siehe Abschnitt 4).
- Recht auf Widerruf der Einwilligung: wenn die Verarbeitung auf Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der vor dem Widerruf erfolgten Verarbeitung berührt wird.
- Beschwerderecht: Sie können Beschwerde bei der bulgarischen Kommission für den Schutz personenbezogener Daten (CPDP / Комисия за защита на личните данни, www.cpdp.bg) oder Ihrer lokalen EU-Aufsichtsbehörde einlegen.
Zur Ausübung dieser Rechte kontaktieren Sie uns unter onescan.menu@outlook.com. Wir antworten innerhalb eines Monats (verlängerbar um zwei weitere Monate bei komplexen Anfragen gemäß Art. 12(3) DSGVO). Wir können vor einer Bearbeitung Ihre Identitätsbestätigung verlangen und können bei offensichtlich unbegründeten oder exzessiven Anfragen ablehnen oder eine angemessene Gebühr erheben.
10. Datensicherheit und Meldung von Verletzungen
Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten ein, einschließlich: verschlüsselte Verbindungen (TLS/HTTPS) für alle Daten während der Übertragung; gehashte Passwörter (niemals im Klartext gespeichert); httpOnly-, secure-Sitzungs-Cookies; Datenbank in EU-Rechenzentren mit Zugriffskontrollen; Rate-Limiting und Missbrauchsüberwachung; sowie regelmäßige Sicherheitsupdates unserer Infrastruktur. Kein System ist zu 100 % sicher, aber wir treffen angemessene Vorkehrungen zum Schutz Ihrer Daten.
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für Ihre Rechte und Freiheiten führt, melden wir den Vorfall gemäß Art. 33 und 34 DSGVO der bulgarischen CPDP innerhalb von 72 Stunden nach Kenntnisnahme (soweit möglich) und informieren betroffene Nutzer unverzüglich, wenn die Verletzung voraussichtlich zu einem hohen Risiko führt.
11. Kinder
Der Dienst richtet sich nicht an Personen unter 18 Jahren und ist für die geschäftliche Nutzung bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern. Sollten Sie der Auffassung sein, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktieren Sie uns bitte, und wir werden diese unverzüglich löschen.
12. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wir werden Sie über wesentliche Änderungen per E-Mail oder durch einen auffälligen Hinweis im Dienst informieren. Das Datum "Letzte Aktualisierung" oben gibt die jüngste Überarbeitung wieder. Unwesentliche Änderungen (Klarstellungen, Formatierungen, Aktualisierungen der Liste der Unter-Auftragsverarbeiter) können ohne Vorankündigung erfolgen.