Datenschutzerklärung
Stand: Mai 2026. Diese Erklärung beschreibt, welche personenbezogenen Daten wir erheben, zu welchem Zweck wir sie verarbeiten und an welche Auftragsverarbeiter wir sie weitergeben.
1. Verantwortlicher
Ristorante Pizzeria Da Lori, Aschaffenburger Straße 22, 64832 Babenhausen, Telefon 06073 7448073, E-Mail ristorante@da-lori.de. Vollständige Inhaberangaben siehe Impressum.
2. Server-Logs beim Besuch
Beim Aufruf der Webseite werden durch unseren Hosting-Provider Vercel Inc. (Auslieferung über die EU-Region Frankfurt, Unternehmenssitz USA) und unseren Datenbank-Anbieter Hostinger Operations UAB (Server-Standort Deutschland) technisch notwendige Server-Logs erfasst: IP-Adresse, Datum und Uhrzeit, abgerufene Seite, User-Agent und Referrer. Verarbeitung zur Sicherstellung des Betriebs und zur Fehleranalyse auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb). Die Logs werden spätestens nach 14 Tagen automatisch gelöscht.
Zur Drittland-Übermittlung an Vercel siehe Punkt 11 und die Auftragsverarbeiter-Übersicht in Punkt 12.
3. Cookies und lokale Speicher (§ 25 TDDDG)
Diese Webseite setzt keine Tracking- oder Werbe-Cookies. Wir verwenden ausschließlich Browser-Speicher, die für die von dir angefragten Funktionen erforderlich sind. Rechtsgrundlage für den Zugriff auf dein Endgerät ist § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich, um den vom Nutzer ausdrücklich gewünschten Telemediendienst bereitzustellen) bzw. — beim verlängerten Login-Cookie — § 25 Abs. 1 TDDDG i.V.m. der durch die Login-Aktion erteilten Einwilligung.
- LocalStorage-Eintrag „da-lori-cart" für deinen Warenkorb — bleibt nur in deinem Browser, wird nicht an uns übertragen.
- Sitzungs-Cookie für Mitarbeiter im Admin-Bereich (nicht öffentlich zugänglich), Lebensdauer bis zu 60 Tage. Erforderlich für den Tagesbetrieb (z.B. dauerhaft eingeloggtes Tablet in der Pizzeria).
- Sitzungs-Cookie für angemeldete Kunden, Lebensdauer bis zu 60 Tage, damit du beim nächsten Besuch nicht erneut Email und Passwort eingeben musst. Du kannst dich jederzeit unter „Mein Konto" abmelden — der Cookie wird dann sofort gelöscht.
4. Online-Bestellung
Wenn du online bestellst, erheben wir Vor- und Nachname, Telefonnummer, E-Mail-Adresse und — bei Lieferung — die Lieferadresse zur Auftragsabwicklung (Art. 6 Abs. 1 lit. b DSGVO, Vertragserfüllung). Die Lieferadresse wird zur Liefergebiets-Prüfung an OpenStreetMap Nominatim übermittelt (siehe Punkt 9).
Eine Bestellbestätigung sowie die Pizzeria-interne Benachrichtigung senden wir per E-Mail über IONOS SE (Standort Deutschland).
Aufbewahrung: Bestelldaten, die als Buchungsbeleg oder Handelsbrief gelten (insb. Rechnungs- und Zahlungsdaten), werden nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht — § 257 HGB (6 Jahre für Handelsbriefe) und § 147 AO (bis zu 10 Jahre für Buchungsbelege). Nicht aufbewahrungspflichtige Bestellinhalte (z.B. Sonderwünsche im Freitextfeld) werden 90 Tage nach Auslieferung gelöscht.
5. Tisch-Reservierung
Wenn du über das Reservierungs-Formular einen Tisch reservierst, erheben wir Vor- und Nachname, Datum und Uhrzeit, Personenzahl, E-Mail-Adresse und Telefonnummer sowie — falls von dir eingegeben — einen Anlass (z.B. „Geburtstag") und Bemerkungen. Verarbeitung zur Vorbereitung und Bestätigung der Reservierung (Art. 6 Abs. 1 lit. b DSGVO). Du erhältst per E-Mail eine Bestätigung und kannst die Reservierung selbst absagen oder verschieben. Reservierungsdaten werden 90 Tage nach dem Termin gelöscht; gehören sie zu einem zugleich bezahlten Vor-Ort-Verzehr, gelten zusätzlich die in Punkt 4 genannten Aufbewahrungsfristen.
6. Kundenkonto und Treuepunkte
Du kannst optional ein Kundenkonto anlegen. Verarbeitet werden: E-Mail-Adresse, Vor- und Nachname, Telefonnummer, Lieferadresse, gespeicherte Allergien und Diät-Wünsche (siehe Punkt 7), dein Treuepunktestand und deine Bestellhistorie. Rechtsgrundlage ist die Vertragserfüllung im Rahmen des Kundenkonto-Vertrags (Art. 6 Abs. 1 lit. b DSGVO). Das Passwort speichern wir nur als Hash-Wert, niemals im Klartext.
Du kannst dein Konto jederzeit unter „Mein Konto" → „Daten exportieren" herunterladen oder unter „Konto löschen" vollständig entfernen lassen. Die Löschung wirkt sofort; aufbewahrungspflichtige Bestelldaten (siehe Punkt 4) bleiben für die gesetzliche Frist anonymisiert in der Buchhaltung erhalten.
7. Allergien und Diät-Wünsche (Gesundheitsdaten)
Im Kundenkonto kannst du freiwillig Allergien (z.B. Gluten, Laktose, Nüsse) und Ernährungsweisen (z.B. vegetarisch, vegan) hinterlegen, damit unser Konfigurator dich automatisch warnt, wenn ein Gericht eine deiner Allergien enthält.
Diese Angaben sind besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (Gesundheitsdaten). Rechtsgrundlage der Verarbeitung ist deine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO. Diese Einwilligung erteilst du durch Setzen der dafür vorgesehenen Einwilligungs-Checkbox im Profil-Formular oder bei der Registrierung. Den Zeitpunkt der Einwilligung speichern wir als Nachweis (Art. 7 Abs. 1 DSGVO). Die Einwilligung ist freiwillig — ohne sie verarbeiten wir keine Gesundheitsdaten und die automatische Allergie-Warnung steht dann nicht zur Verfügung.
Du kannst die Angaben jederzeit unter „Mein Konto" → „Profil bearbeiten" ändern oder vollständig entfernen. Den Widerruf der Einwilligung erklärst du, indem du den Haken an der Einwilligungs-Checkbox entfernst und deine Allergie-/Diät-Eintragungen leerst — oder dein Konto vollständig löschst (Art. 7 Abs. 3 DSGVO, Wirkung für die Zukunft). Eine Übermittlung an Dritte oder eine Auswertung über die Konflikt-Prüfung im Bestellvorgang hinaus findet nicht statt.
8. Anfahrts-Karte (OpenStreetMap)
Auf der Kontakt-Seite binden wir eine Karte von OpenStreetMap (OpenStreetMap Foundation, Vereinigtes Königreich) ein. Beim Aufruf dieser Seite wird deine IP-Adresse an OpenStreetMap übertragen. Wir haben keinen Einfluss auf diese Datenverarbeitung. Datenschutzerklärung von OpenStreetMap: osmfoundation.org/wiki/Privacy_Policy.
9. Geocoding für Lieferadressen
Beim Bestell-Vorgang wird die eingegebene Lieferadresse an OpenStreetMap Nominatim übermittelt, um Koordinaten zu ermitteln und zu prüfen, ob die Adresse im Liefergebiet liegt. Die Anfrage erfolgt server-seitig — deine IP-Adresse wird dabei nicht an OpenStreetMap weitergegeben. Datenschutzerklärung: siehe Punkt 8.
10. Bot-Schutz beim Bestellen und Anmelden (Cloudflare Turnstile)
Beim Absenden einer Bestellung sowie bei der Konto-Anlage, Anmeldung und Passwort-Zurücksetzung setzen wir Cloudflare Turnstile (Cloudflare Inc., USA) zum Schutz vor automatisierten Anfragen ein. Dabei werden technische Daten wie deine IP-Adresse, Informationen über deinen Browser und ein verschlüsselter Token an Cloudflare übermittelt, um zu prüfen, ob die Anfrage von einem Menschen stammt. In der von uns gewählten Konfiguration setzt Turnstile keine Cookies. Rechtsgrundlage ist unser berechtigtes Interesse am Schutz unserer Webseite vor Spam und Missbrauch (Art. 6 Abs. 1 lit. f DSGVO). Zur Drittland-Übermittlung in die USA siehe Punkt 11. Datenschutzerklärung von Cloudflare: cloudflare.com/privacypolicy.
11. Übermittlung in Drittländer (USA)
Bei Vercel und Cloudflare erfolgt eine Übermittlung personenbezogener Daten in die USA. Wir haben mit beiden Anbietern Auftragsverarbeitungsverträge mit den EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO geschlossen. Vercel und Cloudflare sind zusätzlich nach dem EU-US Data Privacy Framework zertifiziert; insoweit besteht ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO. Wir möchten dich auf folgendes Risiko hinweisen: US-Behörden können nach US-Recht (insbesondere FISA Section 702 und Executive Order 12333) auch ohne Anordnung eines deutschen Gerichts auf Daten zugreifen, die bei US-Anbietern verarbeitet werden („Schrems II"- Kontext). Wir verarbeiten bei diesen Anbietern bewusst nur die zur Bot-Abwehr und zum Hosting unbedingt erforderlichen Datenfelder.
12. Auftragsverarbeiter im Überblick
| Dienst | Anbieter / Sitz | Daten / Zweck | Schutzmechanismus |
|---|---|---|---|
| Hosting Web | Vercel Inc., USA (Auslieferung Region Frankfurt) | IP, Logs, ausgelieferte Inhalte | SCCs + DPF |
| Hosting Datenbank | Hostinger Operations UAB, Litauen (Server Deutschland) | Konto-, Bestell-, Reservierungsdaten | EU-intern, AVV |
| Mail-Versand | IONOS SE, Deutschland | E-Mail-Adresse, Bestell-/Reservierungsbestätigung | EU-intern, AVV |
| Bot-Schutz | Cloudflare Inc., USA | IP, Browser-Info, Token | SCCs + DPF |
| Geocoding / Karte | OpenStreetMap Foundation, UK | Adresse / Koordinaten; auf Karte: IP des Besuchers | UK-Adäquanzbeschluss (Art. 45 DSGVO) |
13. Deine Rechte
Du hast nach DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Eine erteilte Einwilligung — insbesondere zu Allergie-Daten (Punkt 7) — kannst du jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Anfragen bitte formlos per E-Mail an ristorante@da-lori.de.
Du kannst dich außerdem bei der zuständigen Aufsichtsbehörde beschweren (Art. 77 DSGVO):
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
Telefon: 0611 1408-0
datenschutz.hessen.de