Datenschutzerklärung

1. Verantwortlicher

Kevin Baur, BSc
Hochstraß 542
3033 Klausen-Leopoldsdorf
Österreich
E-Mail: pelican@kevin-baur.com

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) sowie – für Nutzerinnen und Nutzer aus der Schweiz – des revidierten Schweizer Datenschutzgesetzes (revDSG).

2. Überblick

Pelican ist eine App zur Bestellplanung für die professionelle Gastronomie. Wir verarbeiten personenbezogene Daten ausschließlich, um die App und die zugehörige Website bereitzustellen, den Vertrag mit dem Betrieb zu erfüllen und gesetzliche Pflichten einzuhalten. Nachfolgend ist aufgeführt, welche Daten wir verarbeiten, auf welcher Rechtsgrundlage und welche Dienstleister (Auftragsverarbeiter) dabei beteiligt sind.

3. Hosting der Website

Diese Website wird über Cloudflare Pages (Cloudflare, Inc., USA) ausgeliefert. Beim Aufruf werden technisch notwendige Server-Logdaten verarbeitet (u. a. IP-Adresse, Zeitpunkt, abgerufene Ressource, User-Agent), um die Auslieferung und Sicherheit zu gewährleisten. Rechtsgrundlage ist unser berechtigtes Interesse am sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Die Website setzt keine Tracking-Cookies und kein Web-Analyse-Tool ein.

4. Welche Daten wir in der App verarbeiten

• Konto- und Profildaten: Name, E-Mail-Adresse, Passwort (verschlüsselt gespeichert), zugewiesene Rolle (z. B. Küchenchef/Mitglied).
• Organisations- und Teamdaten: Betrieb/Küche, Abteilungen, Mitgliedschaften, Einladungen.
• Inhaltsdaten: Bestelllisten, Artikel, Mengen, Kategorien, Lieferanten/Vertreter, Bestellhistorie und optional erfasste Preise.
• Sprachaufnahmen: Audio aus der Spracheingabe zur Texterkennung (siehe Punkt 5).
• Push-Token: Geräte-Token für Push-Benachrichtigungen (siehe Punkt 8).
• Nutzungs- und Logdaten: technische Protokolle zur Bereitstellung, Fehleranalyse und Sicherheit.

5. Spracheingabe und KI-gestützte Erkennung (OpenAI)

Wenn du die Spracheingabe nutzt, wird deine Audioaufnahme zur Verarbeitung an OpenAI (OpenAI, L.L.C., USA) übermittelt. Dort wird die Aufnahme transkribiert (Spracherkennung) und anschließend ausgewertet, um daraus Artikel, Menge, Einheit und Kategorie zu extrahieren und gegen den Produktkatalog abzugleichen. Die erkannten Einträge werden in deine Bestellliste übernommen.

• Übermittlung in die USA: Die Verarbeitung findet auf Servern in den USA statt (siehe Punkt 10).
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die vor der erstmaligen Nutzung der Spracheingabe eingeholt wird, sowie Vertragserfüllung (lit. b). Die Einwilligung ist freiwillig und jederzeit widerrufbar.
• Alternative: Du kannst Artikel jederzeit auch manuell eintippen, ohne die Sprachfunktion zu nutzen.
• Hinweis: Bitte sprich keine besonderen Kategorien personenbezogener Daten oder vertrauliche Inhalte ein, die über die reine Bestellplanung hinausgehen.

6. Authentifizierung und Datenbank (Supabase)

Konten, Authentifizierung und die Datenbank werden über Supabase (Supabase, Inc.) betrieben. Hier werden die unter Punkt 4 genannten Konto-, Organisations- und Inhaltsdaten gespeichert. Der Zugriff ist über Zugriffsregeln auf Datenbankebene (Row Level Security) abgesichert, sodass jeder Betrieb nur seine eigenen Daten sieht. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die eingesetzte Hosting-Region wird auf einen Standort in der EU (Frankfurt) ausgerichtet; bei einer Verarbeitung außerhalb der EU gelten die Garantien aus Punkt 10.

7. Zahlungsabwicklung (Lemon Squeezy als Merchant of Record)

Die Bezahlung erfolgt ausschließlich über die externe Plattform Lemon Squeezy (Merchant of Record). Die Zahlungs- und Rechnungsdaten (z. B. Name, Rechnungsadresse, Zahlungsmittel) werden direkt bei Lemon Squeezy erhoben und verarbeitet; wir erhalten keine vollständigen Zahlungsdaten. Zur Freischaltung des Betriebs erhalten wir über eine signierte Rückmeldung (Webhook) lediglich die für die Zuordnung nötigen Informationen (z. B. Betriebskennung, Abo-/Zahlungsstatus, Zugriffsende). Lemon Squeezy führt als Merchant of Record auch die anfallende Umsatzsteuer ab. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

8. Push-Benachrichtigungen (Expo)

Bei Änderungen an Bestelllisten kann die App Push-Benachrichtigungen senden. Dafür wird ein Geräte-Token über den Dienst Expo verarbeitet. Du kannst Push-Benachrichtigungen jederzeit in der App oder in den Geräteeinstellungen deaktivieren (Opt-out). Rechtsgrundlage ist unser berechtigtes Interesse an einer funktionierenden Zusammenarbeit im Team (Art. 6 Abs. 1 lit. f DSGVO) bzw. deine Einwilligung über die Systemabfrage (lit. a).

9. Eingesetzte Auftragsverarbeiter

• Supabase, Inc. – Datenbank, Authentifizierung, Backend.
• OpenAI, L.L.C. – Transkription und Auswertung der Sprachaufnahmen.
• Lemon Squeezy – Zahlungsabwicklung als Merchant of Record.
• Expo – Versand von Push-Benachrichtigungen.
• Cloudflare, Inc. – Auslieferung dieser Website.

Mit diesen Anbietern werden, soweit erforderlich, Auftragsverarbeitungsverträge (AVV/DPA) gemäß Art. 28 DSGVO abgeschlossen.

10. Übermittlung in Drittländer (USA)

Einige der genannten Dienste verarbeiten Daten in den USA oder anderen Drittländern. Für diese Übermittlungen stützen wir uns auf geeignete Garantien gemäß Art. 44 ff. DSGVO – insbesondere die Standardvertragsklauseln (SCC) der EU-Kommission und, soweit die Anbieter zertifiziert sind, das EU-US Data Privacy Framework (DPF). Trotz dieser Garantien kann in Drittländern ein im Vergleich zur EU geringeres Datenschutzniveau bestehen.

11. Rechtsgrundlagen

Die Verarbeitung erfolgt zur Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO), auf Grundlage berechtigter Interessen (lit. f), aufgrund deiner Einwilligung (lit. a, insbesondere für die Sprachverarbeitung) sowie zur Erfüllung rechtlicher Pflichten (lit. c).

12. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke oder aufgrund gesetzlicher Aufbewahrungsfristen erforderlich ist. Konten und zugehörige Daten lassen sich über die in der App integrierte Funktion zur Kontolöschung entfernen. Nach Vertragsende bzw. Löschung werden die Daten innerhalb einer angemessenen Frist gelöscht oder anonymisiert. [Konkrete Fristen sind noch zu ergänzen, z. B. Löschung von Betriebsdaten X Tage nach Ende der Nutzung; gesetzliche Aufbewahrung von Rechnungsdaten.]

13. Deine Rechte

Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Erteilte Einwilligungen kannst du jederzeit mit Wirkung für die Zukunft widerrufen. Zur Ausübung genügt eine Nachricht an pelican@kevin-baur.com.

14. Beschwerderecht

Du hast das Recht, dich bei einer Aufsichtsbehörde zu beschweren:

• Österreich: Österreichische Datenschutzbehörde, dsb.gv.at
• Deutschland: die jeweils zuständige Landes- oder Bundesdatenschutzbehörde
• Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), edoeb.admin.ch

15. Hinweis für Nutzer aus der Schweiz

Für betroffene Personen in der Schweiz gilt ergänzend das revidierte Datenschutzgesetz (revDSG). Begriffe der DSGVO sind sinngemäß auf das revDSG zu übertragen; an die Stelle der DSGVO-Rechtsgrundlagen treten die entsprechenden Bestimmungen des revDSG.

16. Cookies und lokale Speicherung

Diese Website verwendet keine Marketing- oder Analyse-Cookies. Im Aktivierungs-Portal wird zur Anmeldung ein technisch notwendiges Authentifizierungs-Token lokal im Browser gespeichert (Local Storage). Dies dient ausschließlich dem Login und findet keine Weitergabe zu Werbe- oder Trackingzwecken statt.

17. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, eingesetzte Dienste oder Funktionen ändern. Es gilt jeweils die auf dieser Seite veröffentlichte Fassung.

Stand: Juni 2026

← Zurück zur Startseite