Datenschutz
Data protection practices and security measures at Fleksa GmbH (GDPR compliant)
Datenschutz
Fleksa GmbH Gültig ab: Dezember 2024 Zuletzt aktualisiert: Dezember 2024
1. Übersicht
Die Fleksa GmbH verpflichtet sich zum Schutz der Daten unserer Kunden. Dieses Dokument beschreibt unsere Datenschutzpraktiken, Sicherheitsmaßnahmen und Compliance-Rahmenwerke im Einklang mit der Datenschutz-Grundverordnung (DSGVO).
2. Datenkategorien
2.1 Geschäftsdaten des Kunden
- Restaurantinformationen (Name, Standort, Öffnungszeiten)
- Menüdaten und Preise
- Betriebseinstellungen und Präferenzen
2.2 Transaktionsdaten
- Bestellinformationen
- Zahlungstransaktionen
- Reservierungsdetails
2.3 Endkundendaten
- Kontaktdaten (für Reservierungen/Lieferungen)
- Bestellhistorie
- Zahlungsmittel-Kennungen (tokenisiert)
2.4 Mitarbeiterdaten
- Zugangsdaten der Mitarbeiter
- Zugriffsberechtigungen
- Aktivitätsprotokolle
3. Technische und Organisatorische Maßnahmen (TOMs)
Gemäß Art. 32 DSGVO setzen wir folgende Maßnahmen ein:
3.1 Vertraulichkeit
Zutrittskontrolle:
- Serverstandorte mit physischer Zugangskontrolle
- Zertifizierte Rechenzentren (ISO 27001)
Zugangskontrolle:
- Rollenbasierte Zugriffskontrolle (RBAC)
- Zwei-Faktor-Authentifizierung verfügbar
- Regelmäßige Zugriffsüberprüfungen
Zugriffskontrolle:
- Individuelle Benutzerkonten
- Protokollierung aller Zugriffe
- Automatische Sitzungszeitüberschreitung
Trennungskontrolle:
- Mandantenfähige Architektur
- Logische Trennung der Kundendaten
- Separate Entwicklungs- und Produktionsumgebungen
3.2 Integrität
Weitergabekontrolle:
- Verschlüsselung bei Übertragung (TLS 1.2+)
- Verschlüsselung bei Speicherung (AES-256)
- VPN für administrative Zugriffe
Eingabekontrolle:
- Vollständige Protokollierung von Änderungen
- Audit-Trails für kritische Operationen
- Nachvollziehbarkeit von Datenänderungen
3.3 Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle:
- Redundante Systeme
- Regelmäßige Backups
- Disaster-Recovery-Konzept
- Georedundante Datenspeicherung
Rasche Wiederherstellung:
- Dokumentierte Wiederherstellungsprozesse
- Regelmäßige Tests der Backup-Wiederherstellung
- Definierte Recovery Time Objectives (RTO)
3.4 Verfahren zur regelmäßigen Überprüfung
- Jährliche Sicherheitsaudits
- Penetrationstests
- Interne Datenschutz-Audits
- Schulungen der Mitarbeiter
4. Auftragsverarbeitung
4.1 Auftragsverarbeitungsvertrag (AVV)
Für die Verarbeitung personenbezogener Daten im Auftrag schließen wir mit unseren Kunden einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Der AVV enthält:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Pflichten des Auftragsverarbeiters
- Technische und organisatorische Maßnahmen
- Regelungen zur Unterauftragsverarbeitung
- Unterstützungspflichten
- Löschung und Rückgabe von Daten
- Kontrollrechte des Verantwortlichen
4.2 Unterauftragsverarbeiter
Wir setzen folgende Kategorien von Unterauftragsverarbeitern ein:
| Kategorie | Zweck | Standort |
|---|---|---|
| Cloud-Infrastruktur | Hosting und Rechenleistung | EU/EWR |
| Zahlungsabwicklung | Zahlungstransaktionen | EU/EWR |
| E-Mail-Dienste | Transaktions-E-Mails | EU/EWR |
| Analyse | Nutzungsanalysen | EU/EWR |
Eine aktuelle Liste der Unterauftragsverarbeiter erhalten Sie auf Anfrage: datenschutz@fleksa.com
5. Datenübermittlung in Drittländer
5.1 Grundsatz
Personenbezogene Daten werden bevorzugt innerhalb der EU/des EWR verarbeitet.
5.2 Schutzmaßnahmen bei Drittlandtransfers
Bei notwendigen Übermittlungen in Drittländer stellen wir sicher:
- Angemessenheitsbeschluss der EU-Kommission, oder
- Standardvertragsklauseln (SCCs), oder
- Verbindliche interne Datenschutzvorschriften
5.3 Zusätzliche Maßnahmen
- Transfer Impact Assessments
- Technische Schutzmaßnahmen (Verschlüsselung)
- Vertragliche Zusicherungen
6. Datenschutz-Folgenabschätzung
Für Verarbeitungen mit hohem Risiko führen wir Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO durch.
7. Meldung von Datenschutzverletzungen
7.1 Interne Meldung
- 24/7 Überwachung unserer Systeme
- Definierte Eskalationsprozesse
- Dokumentation aller Vorfälle
7.2 Meldung an Aufsichtsbehörden
Bei meldepflichtigen Verletzungen erfolgt die Meldung an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden.
7.3 Benachrichtigung Betroffener
Bei hohem Risiko für die Rechte Betroffener erfolgt unverzüglich eine Benachrichtigung.
8. Betroffenenrechte
Wir unterstützen Sie bei der Erfüllung Ihrer Pflichten gegenüber Betroffenen:
- Auskunft: Export von Betroffenendaten
- Berichtigung: Korrektur von Daten in der Plattform
- Löschung: Löschfunktion für personenbezogene Daten
- Einschränkung: Sperrung von Datensätzen
- Datenübertragbarkeit: Export in gängigen Formaten
9. Aufbewahrung und Löschung
| Datenart | Aufbewahrungsdauer | Rechtsgrundlage |
|---|---|---|
| Vertragsdaten | Vertragsdauer + 10 Jahre | § 257 HGB, § 147 AO |
| Transaktionsdaten | 10 Jahre | § 257 HGB, § 147 AO |
| Systemprotokolle | 12 Monate | Berechtigtes Interesse |
| Marketingdaten | Bis zum Widerruf | Einwilligung |
10. Kontakt
Datenschutzanfragen: E-Mail: datenschutz@fleksa.com Telefon: +49 69 96759490
Fleksa GmbH Friesstraße 20 60388 Frankfurt am Main Deutschland
11. Aufsichtsbehörde
Hessischer Beauftragter für Datenschutz und Informationsfreiheit Postfach 3163 65021 Wiesbaden https://datenschutz.hessen.de