Datenschutzerklärung
This privacy policy is published in German only. Please request the English version by contacting us at the contact information provided below.
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
red root GmbH
Max-Schnös-Weg 17
96148 Baunach
Geschäftsführer: Julian von Westberg
E-Mail: julian@toordr.com
Telefon: +49 163 920 64 69
2. Allgemeines zur Datenverarbeitung
Die red root GmbH betreibt unter der Marke „toOrdr" eine Online-Plattform und mobile Applikation (nachfolgend zusammen „Plattform") für die Vorbestellung und Vermittlung von Speisen und Getränken. Die Plattform wird in zwei Nutzungsmodellen eingesetzt:
- Click & Collect: Kunden bestellen und bezahlen online bei teilnehmenden Betrieben (z. B. Bäckereien, Metzgereien, Gastronomen) und holen die Waren vor Ort ab.
- Betriebliche Verpflegung: Unternehmen ohne eigene Kantine ermöglichen ihren Mitarbeitenden über die Plattform die Bestellung von Mahlzeiten bei angebundenen Gastronomiepartnern. In diesem Modell kann die Abrechnung über die Lohnbuchhaltung des Arbeitgebers erfolgen.
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung der Plattform und unserer Leistungen erforderlich ist oder Sie eingewilligt haben. Eine automatisierte Entscheidungsfindung oder Profilerstellung findet nicht statt.
3. Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten auf folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, optionale Angaben)
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (z. B. Registrierung, Bestellabwicklung)
- Art. 6 Abs. 1 lit. c DSGVO – Erfüllung rechtlicher Verpflichtungen (z. B. steuerliche Aufbewahrungspflichten)
- Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen (z. B. Plattformsicherheit, Analyse)
4. Daten, die Sie uns zur Verfügung stellen
4.1 Registrierung und Account
Für die Nutzung der Plattform ist eine Registrierung mit folgenden Pflichtangaben erforderlich:
- Name, Vorname
- E-Mail-Adresse
- Mobiltelefonnummer (für die Zwei-Faktor-Authentifizierung via SMS)
Optional können weitere Angaben hinterlegt werden (z. B. Wohnort, Geburtsdatum). Diese optionalen Daten werden nicht für die Bestellabwicklung verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.2 Nutzung im Rahmen der betrieblichen Verpflegung (Firmenbestellung)
Sofern Ihr Arbeitgeber die Plattform für die betriebliche Verpflegung nutzt, kann Ihnen ein Firmencode zur Registrierung bereitgestellt werden. In diesem Fall können zusätzlich folgende Daten verarbeitet werden:
- Personalnummer (zur Zuordnung in der Lohnbuchhaltung des Arbeitgebers)
- Firmencode / Unternehmenszugehörigkeit
- Bestellhistorie und Bestellwerte (zur Erstellung der monatlichen Abrechnungsübersicht)
Diese Daten werden ausschließlich zur Abwicklung der betrieblichen Verpflegung und zur Erstellung der Abrechnungsdaten (z. B. DATEV-Austauschdatei) für den jeweiligen Arbeitgeber verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie ggf. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers an der ordnungsgemäßen Abrechnung der Verpflegungsleistungen).
4.3 Bestell- und Bezahlfunktion
Für die Abwicklung einer Bestellung verarbeiten wir:
- Bestellte Waren und gewünschter Abholzeitpunkt
- Zahlungsdaten (soweit eine Online-Bezahlung über die Plattform erfolgt)
- Bestellhistorie
Soweit die Bezahlung über die Plattform erfolgt, werden Ihre Zahlungsdaten an unseren Zahlungsdienstleister Stripe Payments Europe Ltd. (Block 4, Harcourt Centre, Harcourt Road, Dublin 2, Irland) übermittelt. Stripe verarbeitet Ihre Daten als eigenständiger Verantwortlicher nach eigener Datenschutzerklärung (https://stripe.com/de/privacy). Die red root GmbH speichert selbst keine vollständigen Zahlungsdaten.
Sofern die Abrechnung über den Arbeitgeber erfolgt (betriebliche Verpflegung ohne Online-Bezahlung), findet keine Übermittlung von Zahlungsdaten an Stripe statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
4.4 Kontaktaufnahme
Wenn Sie uns per E-Mail oder über ein Kontaktformular kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Bearbeitung Ihrer Anfrage.
Die Daten werden nach Abschluss der Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
5. Daten, die bei der Nutzung der Plattform automatisch erhoben werden
Bei der Nutzung der Plattform werden folgende technische Daten automatisch erhoben:
- IP-Adresse (gekürzt gespeichert)
- Datum und Uhrzeit der Anfrage
- Inhalt der Anforderung (aufgerufene Seite/Funktion)
- Zugriffsstatus / HTTP-Statuscode
- Übertragene Datenmenge
- Browserbezeichnung und -version
- Betriebssystem und dessen Version
- Gerätetyp
Diese Daten sind technisch erforderlich, um die Plattform bereitzustellen und deren Sicherheit und Stabilität zu gewährleisten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
6. Cookies
Die Plattform verwendet Cookies, um die Nutzung zu ermöglichen und zu verbessern.
Technisch notwendige Cookies (z. B. Session-Cookies für den Login) werden ohne Einwilligung gesetzt, da sie für den Betrieb der Plattform erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Analyse-Cookies (z. B. Google Analytics) werden nur mit Ihrer Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
Sie können Ihre Cookie-Einstellungen jederzeit in Ihrem Browser ändern. Das Blockieren von Cookies kann die Funktionalität der Plattform einschränken.
7. Drittanbieter und Auftragsverarbeiter
Wir setzen folgende Drittanbieter ein:
7.1 Hosting – Vodafone GmbH
Die Plattform wird auf Servern der Vodafone GmbH in Deutschland gehostet. Vodafone verarbeitet Ihre Daten in unserem Auftrag ausschließlich innerhalb der EU.
7.2 Zahlungsabwicklung – Stripe Payments Europe Ltd.
Stripe wird für die Abwicklung von Online-Zahlungen eingesetzt (nur bei Click & Collect und bei Firmenbestellungen mit Eigenanteil). Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher. Weitere Informationen: https://stripe.com/de/privacy
7.3 SMS-Versand – Twilio Inc.
Für die Zwei-Faktor-Authentifizierung bei der Registrierung nutzen wir Twilio (Twilio Inc., 101 Spear Street, San Francisco, CA 94105, USA). Twilio erhält Ihre Mobiltelefonnummer zum Versand der Verifizierungs-SMS.
Twilio verarbeitet Daten in den USA. Die Datenübermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF). Weitere Informationen: https://www.twilio.com/legal/privacy
7.4 Webanalyse – Google Analytics / Firebase Analytics
Wir nutzen Google Analytics und Google Firebase Analytics (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland), um die Nutzung der Plattform zu analysieren und zu verbessern.
Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Plattform ermöglichen. Die durch das Cookie erzeugten Informationen werden an einen Server von Google übertragen. Wir nutzen die IP-Anonymisierung, sodass Ihre IP-Adresse innerhalb der EU/EWR vor der Übermittlung gekürzt wird.
Soweit eine Übermittlung personenbezogener Daten in die USA erfolgt, geschieht dies auf Grundlage des EU-US Data Privacy Framework (DPF).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Datenerfassung durch Google Analytics verhindern, indem Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren: https://tools.google.com/dlpage/gaoptout?hl=de
Weitere Informationen: https://policies.google.com/privacy
8. Datenweitergabe an Dritte
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur:
- an den jeweiligen Betrieb/Gastronomiepartner, soweit dies zur Bestellabwicklung erforderlich ist (Name, Bestellung, Abholzeitpunkt)
- an den Arbeitgeber, soweit Sie die Plattform im Rahmen der betrieblichen Verpflegung nutzen (Personalnummer, Bestellübersicht, Bestellwerte zur Lohnabrechnung)
- an die unter Ziffer 7 genannten Drittanbieter
- sofern wir gesetzlich dazu verpflichtet sind (Art. 6 Abs. 1 lit. c DSGVO)
- sofern Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO)
Eine Verarbeitung für eigene werbliche Zwecke durch die red root GmbH erfolgt nicht. Wir behalten uns vor, anonymisierte und aggregierte Nutzungsdaten (z. B. Anzahl aktiver Nutzer, Bestellungen pro Woche) intern auszuwerten.
9. Speicherdauer
- Account-Daten: Bis zur Löschung Ihres Accounts durch Sie oder durch uns.
- Bestelldaten: Aufgrund handels- und steuerrechtlicher Vorgaben bis zu zehn Jahre. Nach Ablauf von zwei Jahren wird die Verarbeitung eingeschränkt.
- Abrechnungsdaten (betriebliche Verpflegung): Für die Dauer der Zusammenarbeit mit dem jeweiligen Arbeitgeber, danach Löschung nach Ablauf gesetzlicher Aufbewahrungsfristen.
- Technische Logdaten: Maximal 30 Tage.
- Kontaktanfragen: Nach Abschluss der Bearbeitung, sofern keine Aufbewahrungspflichten bestehen.
10. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte:
- Auskunft (Art. 15 DSGVO) – über die zu Ihrer Person gespeicherten Daten
- Berichtigung (Art. 16 DSGVO) – unrichtiger oder unvollständiger Daten
- Löschung (Art. 17 DSGVO) – Ihrer Daten, sofern keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) – Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format
- Widerspruch (Art. 21 DSGVO) – gegen die Verarbeitung Ihrer Daten, soweit diese auf berechtigten Interessen beruht
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: julian@toordr.com
11. Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
Telefon: +49 981 180093-0
E-Mail: poststelle@lda.bayern.de
Web: https://www.lda.bayern.de
12. Datensicherheit
Wir schützen Ihre personenbezogenen Daten durch angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Die Datenübertragung erfolgt verschlüsselt (TLS/SSL). Der Zugriff auf personenbezogene Daten ist auf autorisierte Personen beschränkt.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen der Plattform oder der Datenverarbeitung anzupassen. Die aktuelle Fassung ist stets unter https://www.toordr.tech/privacy-policy abrufbar.