Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ist:

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die Website phils.at und die damit verbundene Next.js-Webanwendung von Phil's American Diner GmbH (nachfolgend „wir“), einschließlich des Online-Bereichs unter „/bestellen“.

Maßgeblich sind der jeweils gültige Stand dieser Erklärung und—soweit Auftragsverarbeiter eingesetzt werden—deren vertragliche und datenschutzrechtliche Informationen.

3. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, soweit dies für den Betrieb der Website, die Abwicklung von Bestellungen und die Erfüllung gesetzlicher Pflichten erforderlich ist.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Wenn Sie über unsere Website bestellen, verarbeiten wir die von Ihnen angegebenen Daten (z. B. Name, Abhol- oder Lieferadresse, Telefonnummer, E-Mail-Adresse, Bestellinhalt sowie Zahlungsinformationen nur in dem Umfang, der für die Abwicklung der Zahlung erforderlich ist und von unserem Zahlungsdienstleister verarbeitet wird), um den mit Ihnen geschlossenen Vertrag durchzuführen und abzuwickeln.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung von technisch notwendigen Cookies bzw. vergleichbaren Technologien sowie von Server-Logdateien dient dem sicheren und stabilen Betrieb unseres Onlineangebots, der Gewährleistung der IT-Sicherheit und der Erkennung von Missbrauch. Unser berechtigtes Interesse liegt in der Verfügbarkeit und Integrität unseres Angebots.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir zur Aufbewahrung und Dokumentation gesetzlich verpflichtet sind—insbesondere nach dem Unternehmensgesetzbuch (UGB) und der Bundesabgabenordnung (BAO)—verarbeiten wir Daten in dem dafür erforderlichen Umfang.

4. Hosting und Auslieferung

Die Website wird bei Vercel Inc., Covina, CA, USA („Vercel“), gehostet und ausgeliefert. Dabei können personenbezogene Daten wie IP-Adresse und Zeitpunkt des Zugriffs verarbeitet werden; dies kann eine Datenübermittlung in die USA beinhalten. Vercel stellt—soweit erforderlich—Geeignetheitsbeschlüsse und/oder geeignete Garantien im Sinne der Art. 44 ff. DSGVO bereit (u. a. EU-Standardvertragsklauseln).

Weitere Einzelheiten entnehmen Sie der Datenschutzerklärung von Vercel.

vercel.com/legal/privacy-policy

5. Datenbank und Authentifizierung (Supabase)

Wir nutzen Supabase Inc., mit Hauptsitz in Singapur („Supabase“), für verwaltete Datenbank- und Authentifizierungsfunktionen. Die von uns für die Speicherung genutzte Region ist die EU-Region Frankfurt am Main; die technische Bereitstellung erfolgt durch Supabase gemäß deren Produktkonfiguration.

Verarbeitet werden je nach Nutzung insbesondere Daten im Zusammenhang mit Bestellungen und Kundenkonten. Rechtsgrundlage für die Verarbeitung im Bestellprozess ist Art. 6 Abs. 1 lit. b DSGVO; für Betriebs- und Sicherheitsprotokolle kann Art. 6 Abs. 1 lit. f DSGVO einschlägig sein.

supabase.com/privacy

6. Online-Bestellungen

Im Bereich „/bestellen“ erheben wir die zur Vertragserfüllung erforderlichen personenbezogenen Daten. Die Übermittlung erfolgt verschlüsselt mittels TLS/SSL.

Ohne die erforderlichen Pflichtangaben ist eine Bestellung in der Regel nicht möglich.

7. Zahlungsabwicklung

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd., mit Sitz in Dublin, Irland („Stripe“). Wir speichern keine vollständigen Kartendaten; die Verarbeitung der Zahlungsdaten liegt bei Stripe entsprechend deren Datenschutzinformationen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie—soweit einschlägig—Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungs- und Nachweispflichten.

stripe.com/privacy

8. E-Mail-Kommunikation und Bestellbestätigungen

Bei jeder erfolgreichen Online-Bestellung über unsere Website (Lieferung oder Abholung) senden wir dir eine Bestellbestätigung per E-Mail. Transaktionale Nachrichten dieser Art versenden wir über Brevo (Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich). Verarbeitet werden insbesondere Empfängeradresse, Namensanrede, Bestellinhalt (Positionen und Beträge sowie von dir angegebene Liefer- bzw. Kontaktdaten innerhalb der Bestellung), Zahlungsart und technische Versandmetadaten.

Rechtsgrundlage für Bestellbestätigungen ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für technische Systemmails (z. B. Kontobestätigung) gelten die jeweils gesondert beschriebenen Auftragsverarbeiter.

Datenschutzerklärung Brevo

9. Newsletter (Brevo)

Für unseren Newsletter nutzen wir Brevo (Sendinblue SAS, 7 rue de Madrid, 75008 Paris, Frankreich).

Bei der Anmeldung verarbeiten wir folgende Daten:

• E-Mail-Adresse
• Sprachpräferenz (DE/EN)
• IP-Adresse und Zeitstempel der Anmeldung sowie der Bestätigung (zur Nachweisbarkeit der Einwilligung)

Wir nutzen das Double-Opt-In-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Bestätigungslink. Erst nach Klick auf diesen Link werden Sie tatsächlich für den Newsletter registriert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, entweder über den Abmeldelink in jeder Newsletter-E-Mail oder durch eine Nachricht an office@phils.at.

Brevo verarbeitet Daten innerhalb der Europäischen Union. Mit Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datenschutzerklärung Brevo

10. Cookies und Tracking

Diese Website verwendet zwei Kategorien von Cookies:

Notwendige Cookies: Erforderlich für den Betrieb der Seite, insbesondere für Bestellungen (Stripe), Sprache und Sicherheit. Diese werden ohne Einwilligung gesetzt (Art. 6 Abs. 1 lit. f DSGVO, TKG §165 Abs. 3 Z 5).

Marketing-Cookies (Meta-Pixel): Wir verwenden den Meta-Pixel (Facebook/Instagram), um die Wirksamkeit unserer Werbung zu messen und dir relevante Anzeigen auszuspielen. Das Tracking erfolgt nur mit deiner ausdrücklichen Einwilligung. Du kannst deine Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Footer widerrufen.

Datenempfänger: Meta Platforms Ireland Ltd. (Irland) — Datenübertragung in die USA möglich (Art. 49 Abs. 1 lit. a DSGVO).

11. Analyse und Tracking

Ohne Einwilligung setzen wir kein Reichweiten- oder Werbe-Tracking über den Meta-Pixel ein. Sobald du Marketing-Cookies akzeptiert, kann Meta Ireland personenbezogene Daten verarbeiten; Details stehen unter „Cookies und Tracking“.

Du kannst deine Cookie-Auswahl jederzeit im Footer unter „Cookie-Einstellungen“ ändern.

12. Schriftarten

Schriftarten werden über Next.js bereitgestellt; wo möglich, erfolgt die Einbindung lokal (self-hosted), sodass in der Regel keine separate Datenübermittlung an Schriftanbieter zu diesem Zweck stattfindet.

13. Kontakt zum Datenschutz

Fragen zum Datenschutz und zur Geltendmachung Ihrer Betroffenenrechte richten Sie bitte an:

office@phils.at

14. Auftragsverarbeiter

Wir setzen im beschriebenen Umfang folgende Kategorien von Auftragsverarbeitern ein (Art. 28 DSGVO), soweit eine Auftragsverarbeitung vorliegt:

• Vercel Inc. (Covina, CA, USA) — Hosting und Auslieferung der Next.js-Anwendung
• Supabase Inc. (Hauptsitz Singapur) — Datenbank und Authentifizierung; von uns genutzte EU-Region Frankfurt am Main
• Stripe Payments Europe Ltd. (Dublin, Irland) — Zahlungsabwicklung
• Brevo (Sendinblue SAS, Frankreich) — transaktionale E-Mails insbesondere Bestellbestätigungen sowie Newsletter inkl. Double-Opt-In gemäß entsprechender Abschnitte dieser Erklärung
• Meta Platforms Ireland Ltd. (Irland) — siehe „Cookies und Tracking“ / „Analyse und Tracking“

15. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Fristen dies erfordern; anschließend werden Daten gelöscht oder anonymisiert, sofern keine Aufbewahrungspflicht entgegensteht.

Bestelldaten und zugehörige Belege können wir bis zu sieben Jahre aufbewahren, soweit dies nach dem UGB und der BAO erforderlich ist.

Server-Logdateien werden in der Regel nach 14 Tagen gelöscht, sofern keine längere Speicherung aus berechtigten sicherheits- oder nachweisrechtlichen Gründen erforderlich ist.

16. Ihre Rechte

Sie haben—vorbehaltlich der gesetzlichen Voraussetzungen—insbesondere folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
• Widerruf einer Einwilligung mit Wirkung für die Zukunft, soweit die Verarbeitung auf Einwilligung beruht (Art. 7 Abs. 3 DSGVO)

17. Beschwerde bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In Österreich ist dies insbesondere die Österreichische Datenschutzbehörde:

dsb.gv.at — Mitglieder und Anlaufstellen des European Data Protection Board

18. Sicherheit

Wir setzen TLS/SSL-Verschlüsselung für die verschlüsselte Übertragung von Daten zwischen Ihrem Browser und unseren Systemen ein.

Passwörter werden nicht im Klartext, sondern als Hash gespeichert.