Datenschutzerklärung
Privacy Policy for Fleksa GmbH - GDPR compliant privacy information
Datenschutzerklärung
Fleksa GmbH Gültig ab: Dezember 2024 Zuletzt aktualisiert: Dezember 2024
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung ist:
Fleksa GmbH Friesstraße 20 60388 Frankfurt am Main Deutschland
E-Mail: datenschutz@fleksa.com Telefon: +49 69 96759490
2. Datenschutzbeauftragter
Bei Fragen zum Datenschutz erreichen Sie unseren Datenschutzbeauftragten unter: E-Mail: datenschutz@fleksa.com
Sofern wir gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind (§ 38 BDSG), wird die Kontaktperson hier namentlich benannt: [wird bei Erreichen der Schwelle ergänzt].
2a. Rolle von Fleksa (Verantwortlicher vs. Auftragsverarbeiter)
Fleksa nimmt zwei datenschutzrechtliche Rollen ein:
- Verantwortlicher (Art. 4 Nr. 7 DSGVO) für Daten, die wir im Rahmen unseres SaaS-Vertragsverhältnisses zu Geschäftskunden verarbeiten (Kontodaten, Abrechnung, Support-Kommunikation, Website-Besuche, Marketing).
- Auftragsverarbeiter (Art. 28 DSGVO) für personenbezogene Daten, die Sie als Restaurantbetreiber über unsere Plattform verarbeiten (Bestelldaten, Reservierungen, Gäste-Kommunikation, Loyalty). Hierfür schließen wir mit Ihnen einen Auftragsverarbeitungsvertrag (AVV).
3. Erhobene Daten
3.1 Bei der Registrierung
- Unternehmensdaten (Name, Adresse, Rechtsform)
- Kontaktdaten (Name, E-Mail, Telefon)
- Zahlungsinformationen
3.2 Bei der Nutzung
- Bestelldaten und Transaktionen
- Reservierungsdaten
- Nutzungsstatistiken
- Log-Dateien (IP-Adresse, Browser, Zugriffszeit)
3.3 Cookies
- Notwendige Cookies für die Funktion
- Analyse-Cookies (mit Einwilligung)
- Marketing-Cookies (mit Einwilligung)
4. Rechtsgrundlagen
Wir verarbeiten Ihre Daten auf folgenden Rechtsgrundlagen:
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Vertragserfüllung | Art. 6 Abs. 1 lit. b DSGVO |
| Rechtliche Verpflichtungen | Art. 6 Abs. 1 lit. c DSGVO |
| Berechtigte Interessen | Art. 6 Abs. 1 lit. f DSGVO |
| Einwilligung | Art. 6 Abs. 1 lit. a DSGVO |
5. Zwecke der Verarbeitung
Wir verarbeiten Ihre Daten zu folgenden Zwecken:
- Bereitstellung unserer Dienste
- Abwicklung von Zahlungen
- Kundensupport
- Verbesserung unserer Produkte
- Erfüllung gesetzlicher Pflichten
- Marketing (mit Einwilligung)
6. Empfänger der Daten
6.1 Auftragsverarbeiter (namentliche Übersicht)
Wir setzen folgende Dienstleister ein. Mit allen Auftragsverarbeitern haben wir einen AVV nach Art. 28 DSGVO geschlossen. Eine stets aktuelle Liste finden Sie unter /de/legal/de/subprocessors.
| Dienstleister | Zweck | Sitz / Region | Transfergrundlage |
|---|---|---|---|
| Vercel Inc. | Hosting der Landing- und Web-Apps, CDN, Edge-Network | USA (Frankfurt-Region für EU-Traffic) | SCC Modul 2 + DPF |
| Supabase Inc. | Datenbank (Postgres), Auth, Storage | EU/USA | SCC Modul 2 |
| Cloudflare Inc. | DNS, DDoS-Schutz, WAF, CDN | Global / USA | SCC Modul 2 + DPF |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) | Art. 6 (1) b DSGVO |
| Resend Inc. | Transaktions- und Marketing-E-Mails | USA | SCC Modul 2 + DPF |
| PostHog Inc. | Produkt-Analyse, Feature-Flags | EU (Frankfurt-Region) | Art. 6 (1) f DSGVO |
| Vercel AI Gateway (Vercel Inc.) | Routing zu LLM-Anbietern | USA | SCC Modul 3 + DPF |
| Anthropic PBC | Large-Language-Model (über Gateway, Zero-Retention) | USA | SCC Modul 3 + DPF |
| OpenAI, LLC | Large-Language-Model (über Gateway, Zero-Retention) | USA | SCC Modul 3 + DPF |
| Google LLC (Gemini, Maps, GBP, Firebase Auth) | LLM, Karten, Listing-Daten, Authentifizierung | USA | SCC Modul 2 + DPF |
| Langfuse GmbH | LLM-Tracing & Observability | Deutschland | Art. 28 DSGVO |
| DataForSEO LLC | SEO-Rohdaten (für SEO-Scan) | EU/USA | SCC Modul 2 |
| Serper.dev | Suchergebnis-Schnipsel (für SEO-Scan) | USA | SCC Modul 2 |
| Sentry (Functional Software, Inc.) | Fehler-Monitoring | EU-Region | Art. 28 DSGVO |
Sub-Auftragsverarbeiter dieser Anbieter (z. B. AWS, GCP) ergeben sich aus deren öffentlichen Listen.
6.2 Drittländer
Bei Übermittlungen in Drittländer ohne Angemessenheitsbeschluss verwenden wir die EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) — Modul 2 (Controller → Processor) bzw. Modul 3 (Processor → Processor) — ergänzt um technische Schutzmaßnahmen (Verschlüsselung in Transit und at Rest). Für US-Empfänger, die unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind, dient der DPF-Angemessenheitsbeschluss als Grundlage. Vor jedem Drittlandtransfer führen wir eine Transfer Impact Assessment (TIA) durch.
7. Speicherdauer
| Datenart | Speicherdauer |
|---|---|
| Vertragsdaten | Dauer des Vertrags + 10 Jahre |
| Buchhaltungsdaten | 10 Jahre (HGB, AO) |
| Log-Dateien | 12 Monate |
| Marketing-Daten | Bis zum Widerruf |
8. Ihre Rechte
Sie haben folgende Rechte:
8.1 Auskunftsrecht (Art. 15 DSGVO)
Sie können Auskunft über Ihre gespeicherten Daten verlangen.
8.2 Berichtigungsrecht (Art. 16 DSGVO)
Sie können die Berichtigung unrichtiger Daten verlangen.
8.3 Löschungsrecht (Art. 17 DSGVO)
Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
8.4 Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung verlangen.
8.5 Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem gängigen Format erhalten.
8.6 Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
8.7 Widerruf der Einwilligung
Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
8.8 Beschwerderecht
Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen:
Hessischer Beauftragter für Datenschutz und Informationsfreiheit Postfach 3163 65021 Wiesbaden https://datenschutz.hessen.de
9. KI-gestützte Funktionen und automatisierte Entscheidungsfindung
Teile der Plattform (Nuxa AI Employees, automatische Bewertungs-Antwortentwürfe, Content- und Social-Media-Vorschläge, SEO-Analysen) nutzen Large-Language-Models über Vercel AI Gateway als Routing-Schicht zu Anthropic, OpenAI und Google.
- Mensch-in-der-Schleife: Alle generierten Inhalte sind Vorschläge und werden erst nach Freigabe durch den Restaurantbetreiber veröffentlicht, sofern nicht ausdrücklich anders konfiguriert.
- Keine Art. 22 DSGVO-Entscheidungen: Es findet keine automatisierte Entscheidung im Einzelfall mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung gegenüber Betroffenen statt.
- Kein Training: Eingaben und Ausgaben werden vertraglich nicht zum Training der Basis-Modelle der LLM-Anbieter verwendet (Zero Data Retention).
- Opt-out: KI-gestützte Funktionen können auf Anfrage (datenschutz@fleksa.com) deaktiviert werden.
10. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein:
- Verschlüsselung (TLS, AES-256)
- Zugriffskontrollen
- Regelmäßige Sicherheitsaudits
- Mitarbeiterschulungen
Details finden Sie unter Datenschutz.
11. Cookies und Tracking
Eine vollständige, jederzeit aktuelle Auflistung der eingesetzten Cookies finden Sie in unserer Cookie-Richtlinie.
11.1 Consent Management Platform
Die Einwilligung in nicht notwendige Cookies erfolgt über unser Consent-Management-System. Sie können Ihre Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer ändern.
11.2 Notwendige Cookies
Erforderlich für Login, Session, Sicherheit (CSRF). Rechtsgrundlage: Art. 6 (1) f DSGVO bzw. § 25 (2) Nr. 2 TTDSG.
11.3 Analyse-Cookies (PostHog)
Mit Ihrer Einwilligung erheben wir pseudonymisierte Nutzungsstatistiken über PostHog (EU-Region). Rechtsgrundlage: Einwilligung (Art. 6 (1) a DSGVO, § 25 (1) TTDSG).
11.4 Marketing-Cookies
Werden nur nach ausdrücklicher Einwilligung gesetzt; Anbieter und Zwecke siehe Cookie-Richtlinie.
12. Newsletter und Marketing
12.1 Anmeldung
Der Newsletter-Versand erfolgt nur mit Ihrer ausdrücklichen Einwilligung im Double-Opt-In-Verfahren.
12.2 Abmeldung
Sie können sich jederzeit vom Newsletter abmelden über den Link in jeder E-Mail oder per E-Mail an datenschutz@fleksa.com.
13. Social Media (Gemeinsame Verantwortlichkeit)
Wir unterhalten Auftritte auf folgenden Plattformen:
- Instagram: @fleksaofficial
- Facebook: /fleksaofficial
- X (Twitter): @fleksaofficial
- LinkedIn: /company/fleksa
Für die Verarbeitung von Insights- und Interaktionsdaten auf diesen Seiten sind wir gemäß Urteil des EuGH (Rs. C-210/16 — „Wirtschaftsakademie") und EuGH C-40/17 („Fashion ID") gemeinsam Verantwortliche mit dem jeweiligen Plattformbetreiber (Meta Platforms Ireland Ltd., LinkedIn Ireland Unlimited Company, X Internet Unlimited Company). Die jeweilige Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO ist auf den Seiten der Anbieter abrufbar (z. B. Meta „Page Insights — Joint Controller Addendum").
Für die Erfüllung der Informationspflichten und Betroffenenrechte hinsichtlich des Plattform-Trackings sind primär die Plattformbetreiber verantwortlich.
14. Änderungen
Diese Datenschutzerklärung kann aktualisiert werden. Die aktuelle Version finden Sie stets auf dieser Seite.
15. Kontakt
Bei Fragen zum Datenschutz:
Fleksa GmbH Friesstraße 20 60388 Frankfurt am Main Deutschland
E-Mail: datenschutz@fleksa.com Telefon: +49 69 96759490