Datenschutzerklärung

Stand: Mai 2026 · Gemäß DSGVO und BDSG (neu)

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Patrick Leiderer
Von-Kolb-Straße 16
93109 Wiesent
Deutschland
E-Mail: info@pickomat.de
Telefon: +49 151 65520371

Hinweis: Bei Bestellungen auf Restaurant-Subdomains (z. B. viet-thai.pickomat.de) ist der dort aufgeführte Restaurant-Betreiber gemeinsam mit dem Plattform-Betreiber Verantwortlicher. Eine separate Datenschutzerklärung des Restaurants findest du im Footer der jeweiligen Subdomain.

2. Welche Daten erheben wir und warum

2.1 Bei Besuch der Webseite

Beim bloßen Aufruf der Seite werden automatisch durch unseren Hosting-Provider (Vercel) folgende Daten verarbeitet:

  • IP-Adresse (gekürzt nach 24 h)
  • Zeitstempel der Anfrage
  • Aufgerufene URL und HTTP-Statuscode
  • User-Agent und Referrer

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Missbrauchsabwehr). Speicherdauer: max. 30 Tage in Server-Logs.

2.2 Bei einer Bestellung

Zur Abwicklung deiner Abhol-Bestellung verarbeiten wir:

  • Name (Pflichtfeld)
  • Telefonnummer (Pflichtfeld – für Rückfragen vom Restaurant)
  • E-Mail-Adresse (optional – für die Bestellbestätigung)
  • Bestellinhalt, Abholzeitpunkt, gewählter Standort
  • Optionale Anmerkungen zur Bestellung
  • Bestellnummer und Status-Verlauf

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Bestellvertrags). Daten werden 6 Monate nach Abschluss der Bestellung anonymisiert; Rechnungsdaten gemäß den handels- und steuerrechtlichen Aufbewahrungsfristen bis zu 10 Jahre.

2.3 Bei Login als Restaurant-Mitarbeiter

Für den Zugang zum Restaurant-Dashboard verarbeiten wir E-Mail- Adresse, Name (optional), Rolle (Owner / Manager / Staff) sowie Login-Zeitstempel zur Auditierung. Authentifizierung erfolgt über Magic-Link (E-Mail-basiert, kein Passwort).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung der Nutzungsvereinbarung) und lit. f DSGVO (berechtigtes Interesse an Audit-Logs für IT-Sicherheit).

3. Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte externe Dienstleister ein, mit denen wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen haben:

Vercel Inc.

Zweck: Webhosting & CDN

Serverstandort: USA mit Edge-Standort Frankfurt/Main (eu-central-1)

Rechtsgrundlage: Standardvertragsklauseln (SCC)

Datenschutzinformation des Anbieters →

Supabase, Inc.

Zweck: Datenbank, Authentifizierung, Realtime

Serverstandort: EU-Region Frankfurt (eu-central-1)

Rechtsgrundlage: EU-Hosting + DPA

Datenschutzinformation des Anbieters →

Functional Software, Inc. (Sentry)

Zweck: Fehler- und Crash-Tracking

Serverstandort: EU-Region Frankfurt (de.sentry.io); Mutterkonzern USA

Rechtsgrundlage: EU-Hosting + Standardvertragsklauseln

Datenschutzinformation des Anbieters →

Upstash, Inc.

Zweck: Rate-Limiting (Schutz vor Brute-Force / Spam)

Serverstandort: EU-Region Frankfurt (eu-central-1)

Rechtsgrundlage: EU-Hosting + DPA

Datenschutzinformation des Anbieters →

ALL-INKL.COM – Neue Medien Münnich

Zweck: E-Mail-Postfächer (info@pickomat.de)

Serverstandort: Deutschland

Rechtsgrundlage: Vertrag mit DE-Provider

Datenschutzinformation des Anbieters →

4. Cookies und ähnliche Technologien

Wir verwenden ausschließlich technisch notwendige Cookies und vergleichbare Mechanismen, die für den Betrieb der Plattform unerlässlich sind:

  • Auth-Cookies (Supabase): merken den Login eines Restaurant-Mitarbeiters für die Dauer der Sitzung. HttpOnly + Secure + SameSite=Lax.
  • Cart-State im localStorage deines Browsers: hält den Warenkorb beim Stöbern auf der Speisekarte. Wird nie an unsere Server übertragen, sondern erst beim Klick auf "Verbindlich bestellen".

Diese Cookies sind nach § 25 Abs. 2 TTDSG einwilligungsfrei, da unbedingt erforderlich. Es findet kein Tracking und keine werbliche Analyse statt.

Sentry erfasst bei Fehlern (und nur dann) anonymisierte Replays deiner Aktionen auf der Seite, ohne sensible Eingaben wie Telefonnummern oder Adressen mitzuschneiden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Stabilität der Plattform).

5. Deine Rechte als betroffene Person

Du hast jederzeit das Recht auf:

  • Auskunft über deine bei uns gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO) – soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Bitte richte dein Anliegen an info@pickomat.de. Wir antworten innerhalb der gesetzlichen Frist (max. 1 Monat).

6. Beschwerderecht bei der Aufsichtsbehörde

Unabhängig davon hast du das Recht, dich bei der für dich zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de

7. Datensicherheit

Alle Verbindungen zu pickomat.de und sämtlichen Subdomains sind per TLS 1.2/1.3 verschlüsselt (HTTPS, Let's-Encrypt-Zertifikat). Die Datenbank liegt verschlüsselt im EU-Rechenzentrum Frankfurt; Zugriff erfolgt ausschließlich über authentifizierte Verbindungen mit Row-Level-Security (Mehrmandanten-Isolation).

8. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere Verarbeitungstätigkeiten ändern. Die aktuelle Version ist stets unter pickomat.de/datenschutz abrufbar.

Zurück zur Startseite