سياسة الخصوصية
Stand: März 2026
1. Verantwortlicher
Qlax GmbH
Castroper Hellweg 49
44805 Bochum
Deutschland
Telefon: +49 (0)234 / 601 48 59 - 0
E-Mail: [email protected]
Geschäftsführer: Pascal Kühne
Handelsregister: Amtsgericht Essen, HRB 26472
USt-IdNr.: DE300814461
2. Überblick
Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung der Website orderbros.de sowie der Orderbros Admin App („App“) für iOS und Android. Die App richtet sich an Geschäftskunden (Gastronomiebetriebe) und dient der Verwaltung von Bestellungen, Produkten, Kunden und Bluetooth-Druckern.
Rechtsgrundlagen sind Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtung) und lit. f (berechtigtes Interesse) DSGVO.
3. Erhobene Daten
3.1 Kontodaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Name, E-Mail-Adresse, Telefonnummer | Authentifizierung, Kontoverwaltung | Art. 6 Abs. 1 lit. b DSGVO |
| Passwort (gehasht) | Anmeldung | Art. 6 Abs. 1 lit. b DSGVO |
3.2 Geräte- und Nutzungsdaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Gerätemodell, Betriebssystem, App-Version | Fehlerdiagnose, Kompatibilität | Art. 6 Abs. 1 lit. f DSGVO |
| IP-Adresse | Serverkommunikation, Sicherheit | Art. 6 Abs. 1 lit. f DSGVO |
| Geräte-ID (IDFV) | Zuordnung von Push-Benachrichtigungen | Art. 6 Abs. 1 lit. f DSGVO |
| Nutzungsstatistiken | Produktverbesserung | Art. 6 Abs. 1 lit. f DSGVO |
3.3 Standortdaten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Ungefährer Standort (Bluetooth-Suche) | Erkennung von Bluetooth-Druckern in der Nähe | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
Die App erhebt Standortdaten ausschließlich zur Bluetooth-Druckersuche. Es erfolgt keine kontinuierliche Standortverfolgung und keine Speicherung von Standortverläufen.
3.4 Bluetooth-Daten
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Bluetooth-Gerätenamen und -IDs | Druckerverbindung, Geräteerkennung | Art. 6 Abs. 1 lit. b DSGVO |
3.5 Kamera und Mikrofon
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Fotos (Kamera) | Produktfotos für das Sortiment | Art. 6 Abs. 1 lit. a DSGVO |
| Sprachaufnahmen (Mikrofon) | Sprachnachrichten an Kunden | Art. 6 Abs. 1 lit. a DSGVO |
Fotos und Sprachaufnahmen werden erst nach aktiver Aufnahme durch den Nutzer erfasst. Es findet keine Hintergrundaufnahme statt.
3.6 Push-Benachrichtigungen
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Push-Token (Firebase/APNs) | Zustellung von Bestellbenachrichtigungen | Art. 6 Abs. 1 lit. a DSGVO |
Push-Benachrichtigungen können jederzeit in den Geräteeinstellungen deaktiviert werden.
3.7 KI-Assistent
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| Chat-Nachrichten, Geschäftsdaten im Kontext | KI-gestützte Beratung und Konfiguration | Art. 6 Abs. 1 lit. a DSGVO |
Nachrichten an den KI-Assistenten können an Drittanbieter-KI-Dienste übermittelt werden (siehe Abschnitt 5). Es werden keine personenbezogenen Kundendaten an KI-Dienste übermittelt, sofern der Nutzer diese nicht aktiv in eine Nachricht eingibt.
3.8 Cookies und Analysetools (Website)
a) PostHog
Unsere Website verwendet PostHog, ein Analyse-Tool, das uns hilft, das Nutzerverhalten auf unserer Website besser zu verstehen. Hierbei werden keine Daten an Dritte weitergegeben.
b) Google Ads
Wir nutzen Google Ads, um Werbeanzeigen in den Google-Werbe-Netzwerken zu schalten. Das Cookie von Google Ads dient dazu, die Besucher unserer Website auf Basis ihres Besuchsverhaltens auf anderen Websites im Google-Werbe-Netzwerk mit zielgerichteter Werbung anzusprechen.
c) Meta Pixel (ehemals Facebook Pixel)
Meta Pixel ist ein Tool von Meta Platforms Inc. Es ermöglicht uns, die Wirksamkeit unserer Werbeanzeigen zu messen und zielgerichtete Werbung anzuzeigen. Daten werden an Meta Platforms Inc. übermittelt.
4. Speicherdauer
| Datenart | Speicherdauer |
|---|---|
| Kontodaten | Bis zur Kontolöschung, danach 30 Tage |
| Geräte- und Nutzungsdaten | 90 Tage |
| Standortdaten | Werden nicht gespeichert (nur temporär während Bluetooth-Suche) |
| Bluetooth-Gerätedaten | Bis zur manuellen Entkopplung |
| Fotos | Bis zur Löschung durch den Nutzer |
| Sprachaufnahmen | Bis zur Zustellung der Nachricht, danach gemäß Konversationsspeicher |
| Push-Token | Bis zur Deaktivierung oder Kontolöschung |
| KI-Chat-Verläufe | 90 Tage |
| Steuerrelevante Daten (Rechnungen, Bestellungen) | 10 Jahre (gesetzliche Aufbewahrungspflicht gem. § 147 AO) |
5. Auftragsverarbeiter und Drittanbieter
Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:
Hosting & Infrastruktur
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbanken, Object Storage | Gunzenhausen, Deutschland | Verarbeitung in der EU |
| Cloudflare, Inc. | CDN, DDoS-Schutz, Object Storage (R2) | San Francisco, USA | EU-US Data Privacy Framework, SCCs |
| Vercel Inc. | Frontend-Hosting (Shop & Admin) | Walnut, CA, USA | EU-US Data Privacy Framework, SCCs |
Zahlungsabwicklung
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| Stripe Technology Europe, Ltd. | Kartenzahlungen | Dublin, Irland | Verarbeitung in der EU |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | PayPal-Zahlungen | Luxemburg, Luxemburg | Verarbeitung in der EU |
| Mollie B.V. | Europäische Zahlungsmethoden | Amsterdam, Niederlande | Verarbeitung in der EU |
Analyse & Fehlerverfolgung
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| PostHog, Inc. | Produktanalyse (EU-Instanz: eu.posthog.com) | San Francisco, USA | EU-Hosting (Frankfurt), EU-US DPF |
| Functional Software, Inc. (Sentry) | Fehlerüberwachung, Crash-Reports | San Francisco, USA | EU-US Data Privacy Framework, SCCs |
Push-Benachrichtigungen
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| Google Ireland Ltd. (Firebase Cloud Messaging) | Push-Benachrichtigungen (Android & iOS) | Dublin, Irland | Verarbeitung in der EU, EU-US DPF |
| Apple Inc. (APNs) | Push-Benachrichtigungen (iOS) | Cupertino, USA | EU-US Data Privacy Framework |
KI-Dienste
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| OpenAI OpCo, LLC | Textgenerierung, Sprache-zu-Text | San Francisco, USA | EU-US Data Privacy Framework, SCCs, Zero Data Retention (API) |
| Anthropic, PBC | Textgenerierung (Claude) | San Francisco, USA | SCCs, keine Trainingsdatennutzung (API) |
| Google Ireland Ltd. (Vertex AI) | Textgenerierung (Gemini), EU-Region | Dublin, Irland | Verarbeitung in der EU (Frankfurt/NL) |
Kommunikation
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| WhatsApp Ireland Ltd. | Kundenkommunikation, Bestellbenachrichtigungen | Dublin, Irland | Verarbeitung in der EU |
Kartendienste
| Dienstleister | Zweck | Sitz | Garantien |
|---|---|---|---|
| Google Ireland Ltd. (Google Maps) | Adressvalidierung, Liefergebiete | Dublin, Irland | EU-US Data Privacy Framework |
6. Datenübermittlung in Drittländer
Einige unserer Dienstleister haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss der EU-Kommission gem. Art. 45 DSGVO) und/oder Standardvertragsklauseln (SCCs) gem. Art. 46 Abs. 2 lit. c DSGVO.
Wo möglich, nutzen wir EU-basierte Instanzen unserer Dienstleister (z.B. PostHog EU, Google Vertex AI Frankfurt, Stripe Technology Europe).
7. Ihre Rechte
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie speichern
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten („Recht auf Vergessenwerden“)
- Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich an: [email protected]
8. Kontolöschung
Sie können Ihr Konto jederzeit in der App löschen. Nach der Löschung werden Ihre personenbezogenen Daten innerhalb von 30 Tagen entfernt, sofern keine gesetzlichen Aufbewahrungspflichten bestehen (z.B. steuerrelevante Daten: 10 Jahre gem. § 147 AO).
Alternativ können Sie die Löschung per E-Mail an [email protected] beantragen.
9. Berechtigungen der App
Die App fordert folgende Geräteberechtigungen an:
| Berechtigung | Zweck | Erforderlich? |
|---|---|---|
| Bluetooth | Verbindung mit Thermodruckern | Ja (Kernfunktion) |
| Standort | Bluetooth-Druckersuche (BLE erfordert Standortberechtigung) | Ja (für Bluetooth) |
| Kamera | Produktfotos aufnehmen | Nein (optional) |
| Mikrofon | Sprachnachrichten aufnehmen | Nein (optional) |
| Push-Benachrichtigungen | Bestellbenachrichtigungen in Echtzeit | Nein (optional) |
Alle optionalen Berechtigungen werden erst bei Nutzung der jeweiligen Funktion angefragt und können jederzeit in den Geräteeinstellungen widerrufen werden.
10. Kinder
Die App richtet sich an Geschäftskunden und ist nicht für Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine Daten von Minderjährigen.
11. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2–4
40213 Düsseldorf
https://www.ldi.nrw.de
12. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen der App anzupassen. Die aktuelle Version ist stets unter dem oben genannten Stand-Datum verfügbar.