Hinweis für den Betreiber:Die […]-Platzhalter (Verantwortlicher: Name und Anschrift) müssen vor dem Go-Live ausgefüllt sein — eine Datenschutzerklärung ohne ladungsfähigen Verantwortlichen verletzt Art. 13 Abs. 1 lit. a DSGVO und ist abmahnfähig. Vor produktivem Betrieb mit echten Kundendaten anwaltlich gegenprüfen lassen, insbesondere wenn später weitere Drittanbieter (Analytics, Werbe-Pixel, etc.) hinzukommen.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
[VOR- UND NACHNAME]
[Straße und Hausnummer]
70173 Stuttgart
Deutschland
E-Mail: support@easedash.app
Ein:e Datenschutzbeauftragte:r ist gemäß § 38 Abs. 1 BDSG nicht zu benennen (Schwellenwert nicht erreicht). Anfragen zum Datenschutz werden direkt von der verantwortlichen Person bearbeitet.
2. Welche Daten wir verarbeiten
2.1 Beim Besuch unserer Website
Beim Aufruf von easedash.app und seiner Subdomains werden technisch notwendige Daten durch unseren Hosting-Provider Cloudflare verarbeitet:
- IP-Adresse (gekürzt nach 14 Tagen)
- Datum und Uhrzeit des Zugriffs
- verwendeter Browser, Betriebssystem, Referrer
- aufgerufene URL und HTTP-Statuscode
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb der Website und am Schutz vor Missbrauch). Speicherdauer: 14 Tage in den Edge-Logs, danach automatische Löschung durch Cloudflare.
2.2 Bei Registrierung und Vertragsschluss
Wenn du dich als Kunde registrierst, verarbeiten wir folgende Daten:
- E-Mail-Adresse und Passwort-Hash (Pflichtangaben für den Account)
- Name deines Betriebs, Branche, optional Telefonnummer
- Rechnungsanschrift und Zahlungsdaten (über Stripe — siehe § 3.3)
- Beim Login: IP-Adresse zur Sicherung gegen Brute-Force-Angriffe (gespeichert in einer In-Memory-Liste, max. 1 Stunde)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten nach § 147 AO und § 257 HGB für Rechnungsdaten).
2.3 Bei der Nutzung des Dienstes
Während der Nutzung verarbeitet EaseDash die von dir eingegebenen Geschäfts- und Mitarbeiterdaten:
- Mitarbeiterstammdaten (Name, Rolle, Stundenlohn)
- Schicht- und Arbeitszeitdaten
- Reservierungsdaten (Name, E-Mail, Telefonnummer des Gastes — soweit angegeben)
- Belege und Rechnungen (Foto + von KI extrahierte Felder)
- Umsatz- und Ausgabendaten
- Chat-Verläufe mit dem KI-Assistenten (Kira)
Rolle: Insoweit personenbezogene Daten Dritter (Mitarbeiter, Reservierungsgäste) verarbeitet werden, agieren wir als Auftragsverarbeiter iSd Art. 28 DSGVO im Auftrag des Kunden. Der Kunde bleibt für die Rechtsgrundlage und die Erfüllung der Informationspflichten gegenüber diesen Betroffenen verantwortlich. Ein Auftragsverarbeitungs-Vertrag ist auf Anfrage erhältlich.
3. Eingesetzte Dienstleister (Unter-Auftragsverarbeiter)
3.1 Cloudflare — Hosting, CDN, DDoS-Schutz, Bot-Erkennung
Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA, sowie Cloudflare Germany GmbH (für EU-Vertretung). Verarbeitete Daten: alle technischen Zugriffsdaten (siehe 2.1). Funktion: Auslieferung der Website (Cloudflare Pages), Ausführung der serverseitigen Anwendungslogik (Cloudflare Workers), Sitzungs-Speicher (Cloudflare KV — Speicherung von Rate-Limits und einmaligen Einladungs-Tokens), Bot-Abwehr (Cloudflare Turnstile, siehe 3.6).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Drittlandsübermittlung: EU-Datenzentren werden bevorzugt; bei US-Verarbeitung greifen Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO und die Zertifizierung von Cloudflare unter dem EU-US Data Privacy Framework (DPF).
3.2 Supabase — Datenbank und Authentifizierung
Anbieter: Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992. Verarbeitete Daten: alle Account- und Geschäftsdaten (siehe 2.2, 2.3). Funktion: persistente Speicherung in einer PostgreSQL-Datenbank und Verwaltung der Login-Sessions.
Standort: AWS-Region eu-central-1 (Frankfurt am Main, Deutschland). Es findet keine Drittlandsübermittlung der gespeicherten Anwendungsdaten statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. AVV gemäß Art. 28 DSGVO liegt vor.
3.3 Stripe — Zahlungsabwicklung
Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Verarbeitete Daten: Rechnungsanschrift, Zahlungsmethode (Kreditkarten- oder Bankkontodaten — diese erhebt Stripe direkt und übermittelt sie nicht an uns), Transaktionsdaten.
Kreditkarten- und SEPA-Daten werden ausschließlich in der von Stripe gehosteten Eingabemaske erfasst und gelangen nicht in unsere Systeme. Wir erhalten von Stripe lediglich Status-Informationen zu Zahlungen sowie die Rechnungs-PDF.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandsübermittlung: Stripe verarbeitet Daten teilweise in den USA; abgesichert über SCC nach Art. 46 Abs. 2 lit. c DSGVO und die DPF-Zertifizierung der US-Muttergesellschaft (Stripe Inc.).
Datenschutzerklärung von Stripe: https://stripe.com/de/privacy
3.4 Resend — Transaktionale E-Mails
Anbieter: Resend (Mailbox One LLC), 2261 Market Street #4677, San Francisco, CA 94114, USA. Verarbeitete Daten: E-Mail-Adresse, Empfängername, Inhalt der transaktionalen E-Mails (Account-Bestätigung, Passwort-Reset, Zahlungsbestätigung, Reservierungs-Benachrichtigungen).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Drittlandsübermittlung: SCC nach Art. 46 Abs. 2 lit. c DSGVO. AVV mit Resend ist abgeschlossen.
3.5 Google — Gemini API für KI-Funktionen
Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (mit Verarbeitung über Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Wir setzen die Gemini API von Google ein, um folgende KI-Funktionen bereitzustellen:
- Kira-Assistent (Chat-KI im Dashboard) — beantwortet Fragen zu deinem Betrieb und kann auf Anfrage Schichten, Reservierungen, Belege und Umsätze einsehen sowie Änderungen vorschlagen.
- KI-Belegerkennung — extrahiert Lieferant, Betrag, Datum und Positionen aus hochgeladenen Belegfotos / PDFs.
- Kira-Import-Klassifikator — analysiert beliebige hochgeladene Dateien (Excel, CSV, PDF, Word, Bilder), um den Inhaltstyp zu erkennen und einen Import-Vorschlag zu machen.
- Text-Generator und Text-Editor — erstellt oder überarbeitet z. B. Werbe-Briefe, Stellenanzeigen, Arbeitszeugnisse, Geburtstags-Glückwünsche.
- Semantische Rechnungs-Suche — beantwortet Freitext-Suchen über deine Belege.
Welche Daten konkret an Google übertragen werden:
- Bei Kira-Chat: deine konkrete Frage im Klartext, die letzten bis zu 8 Nachrichten des Chat-Verlaufs (auf 300 Zeichen pro Nachricht gekürzt), ein optionaler von dir gepflegter Wissens-Block über deinen Betrieb sowie — sofern für die Frage notwendig — Ergebnisse aus deiner Datenbank (z. B. Mitarbeiter-Namen + Rollen + Stundenlohn, Schicht-Zeiten, Reservierungsdetails inkl. Gast-Name und Notiz, Lieferanten-Namen + Rechnungsbeträge, Tages-Umsätze, Termin-Titel). Datenbank-IDs deines Betriebs, deine E-Mail-Adresse und Konto-Identifikatoren werden nichtmitgesendet.
- Bei KI-Belegerkennung und Kira-Import: die vollständige hochgeladene Datei (Foto, PDF, Word, Excel) als Anfragebestandteil.
- Bei Text-Generator / -Editor: alle von dir ausgefüllten Formularfelder (z. B. Empfängername, Firma, Anlass) bzw. der vorhandene Original-Text plus Änderungswunsch.
- Bei Semantischer Rechnungs-Suche: deine Suchanfrage plus ein Auszug aus deinen letzten bis zu 120 Rechnungen (Lieferant, Betrag, Datum, Kategorie, Status, ggf. Notiz).
Wichtig zu Mitarbeiter- und Gastdaten: Sobald du Kira nach Mitarbeiter-Themen (Schichten, Stunden, Abwesenheiten), Reservierungen oder Rechnungen fragst, werden die relevanten Datensätze inkl. Klarnamen Dritter (Mitarbeiter, Reservierungsgäste, Lieferanten) an Google Gemini übermittelt. Das ist die Voraussetzung dafür, dass Kira eine inhaltlich sinnvolle Antwort geben kann. Wenn du diese Übermittlung vermeiden möchtest, nutze Kira einfach nicht für diese Themen — alle Funktionen sind ohne KI über die normalen Dashboard-Ansichten verfügbar.
Laut Google-Nutzungsbedingungen werden Anfragen über die kostenpflichtige Gemini API nicht zum Training von Google-KI-Modellen verwendet und maximal 24 Stunden zu Missbrauchs-Erkennungszwecken vorgehalten (Quelle: ai.google.dev/gemini-api/terms).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für die KI-Funktionalität) bzw. — soweit es um Daten Dritter geht, die in deinem Auftrag verarbeitet werden — Art. 6 Abs. 1 lit. b iVm Art. 28 DSGVO (Auftragsverarbeitung).
Drittlandsübermittlung: abgesichert über Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO sowie die Zertifizierung von Google LLC unter dem EU-US Data Privacy Framework. Mit Google besteht ein Auftragsverarbeitungs- Zusatz (Google Cloud Data Processing Addendum), der die Anforderungen aus Art. 28 DSGVO erfüllt.
Du kannst sämtliche KI-Funktionen jederzeit ungenutzt lassen — alle manuellen Eingabewege bleiben verfügbar.
Hinweis an unsere Kunden (Auftraggeber): Soweit du als EaseDash-Kunde Daten deiner Mitarbeiter, Lieferanten oder Reservierungsgäste in deine Workflows einbeziehst und Kira / die KI-Funktionen nutzt, bist du nach Art. 13 / 14 DSGVO verpflichtet, diese Personen über die Übermittlung an einen US-amerikanischen KI-Dienstleister zu informieren. Für die Beschäftigten-Information empfiehlt sich ein Zusatz in der internen Datenschutzinformation (§ 26 BDSG). Eine Musterklausel stellen wir auf Anfrage zur Verfügung.
3.6 Cloudflare Turnstile — Bot- und Spam-Abwehr
Auf der öffentlichen Reservierungs-Buchungsseite (easereserve.app / reservenow.online) sowie bei Login/Registrierung wird Cloudflare Turnstile zur Abwehr automatisierter Anfragen eingesetzt. Im Gegensatz zu klassischen CAPTCHA-Diensten findet kein Fingerprinting und keine Profilbildung statt; die Prüfung ist für legitime Nutzer in der Regel unsichtbar.
Verarbeitete Daten: IP-Adresse, Browser-Header, kurzer Verhaltens-Signature beim Seitenaufruf. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Spam und Bot-Anmeldungen).
4. Cookies und ähnliche Technologien
Wir setzen ausschließlich technisch notwendige Cookies ein. Eine Einwilligung ist daher gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht erforderlich:
- sb-* (Supabase Auth) — speichert deine Login-Session, damit du beim Surfen eingeloggt bleibst. HttpOnly, SameSite=Lax, Secure. Lebensdauer: 7 Tage.
- easedash_team — Session-Cookie für Mitarbeiter-Logins (JWT, 7 Tage gültig). HttpOnly, SameSite=Lax, Secure.
- easedash_admin_session — Session-Cookie für die Admin-Konsole (nur intern, nicht für Endkunden relevant). HttpOnly, Strict, 12 Stunden gültig.
- easedash_welcome_seen — verhindert, dass die „Willkommen"-Seite nach Abschluss eines Abos mehrfach angezeigt wird. SameSite=Lax. Lebensdauer: 30 Tage.
- __cf_bm / cf_clearance — von Cloudflare gesetzte Sicherheits-Cookies (Bot-Management, DDoS-Schutz). Lebensdauer: 30 Minuten bzw. 1 Jahr.
Wir setzen keine Tracking-, Analyse- oder Werbe-Cookies. Es findet kein Profiling oder behavioral targeting statt. Auf eine externe Webanalyse (Google Analytics, Plausible, etc.) verzichten wir bewusst.
5. Deine Rechte als Betroffene:r
Dir stehen folgende Rechte nach Art. 15 ff. DSGVO zu:
- Auskunftsrecht (Art. 15) — welche Daten über dich gespeichert sind
- Recht auf Berichtigung (Art. 16) — unrichtige Daten korrigieren lassen
- Recht auf Löschung (Art. 17) — "Recht auf Vergessenwerden", sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Recht auf Einschränkung (Art. 18) — Verarbeitung pausieren
- Recht auf Datenübertragbarkeit (Art. 20) — Export in einem strukturierten, gängigen Format (CSV/JSON in der App verfügbar)
- Widerspruchsrecht (Art. 21) — bei Verarbeitungen auf Basis berechtigter Interessen
- Widerruf von Einwilligungen (Art. 7 Abs. 3) — soweit eine Einwilligung Grundlage der Verarbeitung war, mit Wirkung für die Zukunft
Zur Ausübung deiner Rechte genügt eine formlose E-Mail an support@easedash.app. Zur Sicherheit prüfen wir die Identität des Anfragenden vor Beantwortung.
5.1 Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht dir das Recht auf Beschwerde bei einer Aufsichtsbehörde zu (Art. 77 DSGVO). Zuständig für den Anbieter ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Postfach 10 29 32, 70025 Stuttgart
Königstraße 10a, 70173 Stuttgart
Telefon: 0711 / 615541-0
E-Mail: poststelle@lfdi.bwl.de
Web: baden-wuerttemberg.datenschutz.de
Du kannst dich auch an die Aufsichtsbehörde deines üblichen Aufenthaltsorts oder Arbeitsplatzes wenden.
6. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für den Verarbeitungszweck erforderlich oder gesetzlich vorgeschrieben ist:
- Account-Daten: für die Dauer deines aktiven Vertrags. Nach Kündigung: 30-Tage-Export-Frist, danach Löschung — vorbehaltlich gesetzlicher Aufbewahrungspflichten.
- Rechnungs- und Buchführungsdaten: 10 Jahre nach Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde (§ 147 AO, § 257 HGB).
- Server-Logs (Cloudflare): 14 Tage.
- Login-Sicherheits-Logs: max. 1 Stunde (rein flüchtig, KV-basiert).
- Audit-Logs der Admin-Konsole: 12 Monate, dann automatische Löschung.
7. Datensicherheit
Alle Datenübertragungen zwischen deinem Browser und unseren Servern erfolgen ausschließlich TLS-verschlüsselt (HTTPS, Mindest-Version TLS 1.2). Passwörter werden mit PBKDF2-HMAC-SHA-256 (100.000 Iterationen) gehasht; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert. Die Admin-Konsole ist verpflichtend mit Zwei-Faktor-Authentifizierung (TOTP) abgesichert.
Brute-Force-Angriffe auf Login-Endpunkte werden durch IP-basiertes Rate-Limiting (KV-gestützt) unterbunden. Cross-Site-Request-Forgery wird durch SameSite=Lax-Cookies in Kombination mit serverseitiger Origin-Prüfung verhindert.
8. Keine automatisierte Entscheidung im Einzelfall
Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Die KI-Vorschläge (z. B. KI-Belegerkennung) sind ausdrücklich Vorschläge — der Kunde prüft jedes Ergebnis vor weiterer Verwendung manuell.
9. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung an geänderte Rechtslagen oder bei der Einführung neuer Funktionen anzupassen. Die jeweils aktuelle Version findest du immer auf dieser Seite. Im Falle wesentlicher Änderungen informieren wir aktive Kunden zusätzlich per E-Mail.