Ayvaz Automations

Datenschutzerklärung

Plattform-Betreiber · Stand: 11.6.2026

Hinweis: Diese Erklärung ist ein Vorlage-Text. Vor produktivem Live-Gang sollte sie anwaltlich geprüft und mit konkreten Angaben (AVV-Verträge, Drittland-SCCs, Sub-Auftragsverarbeiter) ergänzt werden.

1. Rolle von Ayvaz Automations

Ayvaz Automations betreibt die technische Plattform für digitale Speisekarten, Tisch-Bestellungen, Reservierungen und Statistiken. Verantwortlich für die Verarbeitung personenbezogener Daten ist in der Regel das jeweilige Restaurant (Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO). Wir agieren als Auftragsverarbeiter (Art. 28 DSGVO) — mit jedem Restaurant besteht ein Auftragsverarbeitungsvertrag (AVV).

2. Welche Daten wir verarbeiten

Im Rahmen des Plattform-Betriebs verarbeiten wir folgende Daten-Kategorien:

  • Bestelldaten: Tischnummer, Speisen, Mengen, Preise, Notizen, Zeitpunkt.
  • Reservierungsdaten: Name, E-Mail, Telefon, Personenzahl, Datum, Notiz.
  • Service-Rufe: Tisch, Grund, Zeitpunkt.
  • Restaurant-Inhalte: Menü-Items, Bilder, Preise, Allergene, Öffnungszeiten (gepflegt vom Wirt).
  • Wirt-Kontaktdaten: E-Mail-Adresse für Login, ggf. Telefon.
  • Technisch: IP-Adresse (kurzfristig in Server-Logs), Browser- Sitzungs-IDs (anonym, nur im Browser).

3. Sub-Auftragsverarbeiter

Wir nutzen folgende geprüfte Sub-Auftragsverarbeiter mit EU/Schweiz-Datenhaltung soweit verfügbar:

  • Vercel Inc. (Frankfurt, DE / EU-Edge): Hosting + Function-Execution.
  • Supabase Inc. (Frankfurt, DE / Irland, IE): Datenbank (PostgreSQL) + Authentifizierung + File-Storage.
  • Anthropic PBC (USA, SCCs): KI-Übersetzungen, Voice-Commands. Nur Menü-Texte werden übertragen, keine Personendaten.
  • Google LLC (EU/USA, SCCs): Gemini-Image-AI für Foto-Verfeinerung. Nur Restaurant-Bilder, keine Personendaten.
  • Twilio Inc. (Irland / USA, SCCs): Nur falls SMS-Benachrichtigung aktiviert ist. Optional.
  • Resend Inc. (USA, SCCs): Transaktionale E-Mails (Bestätigung Reservierung).

4. Cookies + Local Storage

Wir setzen ausschließlich technisch notwendige Cookies und Local-Storage-Einträge (Sitzung, Warenkorb, gewählte Sprache, View-Mode). Kein Cross-Site-Tracking, keine Werbung, kein Consent-Banner gem. § 165 TKG / § 25 TTDSG.

Performance-Telemetrie (Vercel Speed Insights): Vercel erfasst anonymisierte Performance-Metriken (Ladezeit, Browser, Gerätetyp) ohne IP-Speicherung, ohne Cookies, ohne User-Identifikation. Zweck: Performance-Monitoring. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5. Speicherdauer

Operative Daten (Bestellungen, Reservierungen) für die Dauer der steuer- und abgabenrechtlichen Aufbewahrungsfristen (i.d.R. 7 Jahre nach § 132 BAO bzw. § 147 AO). Technische Logs werden nach 90 Tagen automatisch gelöscht. Account-Daten werden bei Kündigung innerhalb von 30 Tagen anonymisiert oder gelöscht.

6. Deine Rechte

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21). Anfragen am besten direkt an das jeweilige Restaurant (Verantwortlicher). Falls technische Unterstützung nötig ist, wende dich an info@ayvaz.at.

Aufsichtsbehörde in Österreich: Datenschutzbehörde, dsb.gv.at.

7. Sicherheit

Alle Datenübertragungen sind TLS-verschlüsselt. Datenbankzugriffe erfolgen über Row-Level-Security (Postgres RLS) + Mandantentrennung. Service-Role-Tokens werden ausschließlich server-seitig verwendet.