Datenschutz
Datenschutzerklärung für margheritaAI · Stand: 27. Mai 2026
1. Verantwortlicher und Datenschutzkontakt
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze der Mitgliedstaaten sowie weiterer datenschutzrechtlicher Bestimmungen ist:
Platform7 mediadesignInhaber: Samuel Schmidt
Postfach 20 01 10
34080 Kassel
Deutschland
Vertreten durch: Samuel Schmidt (Geschäftsführer)
E-Mail: dataprivacy@margheritaai.com
Finanzamt Marburg-Biedenkopf
StNr.: 031 866 03412
USt.-Ident.-Nr.: DE350097686
Datenschutzbeauftragte:r
Samuel Schmidt
dataprivacy@margheritaai.com
2. Überblick: Was diese Erklärung abdeckt
margheritaAI ist eine Web-Plattform, mit der Restaurants und Lieferdienste Designvorlagen (Flyer, Speisekarten, Gutscheine etc.) gestalten und exportieren können. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung unserer Website unter app.margheritaai.com (nachfolgend „die Plattform") sowie der zugehörigen Informationsseiten, insbesondere www.margheritaai.com.
Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, E-Mail-Adresse, IP-Adresse oder die von Ihnen erstellten Designs, soweit diese personenbezogene Inhalte enthalten.
3. Rechtsgrundlagen der Verarbeitung
Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage.
Bei der Verarbeitung zur Erfüllung eines Vertrags mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt insbesondere für die Bereitstellung Ihres Nutzerkontos und der kostenpflichtigen Pro-Funktionen.
Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (z. B. handels- und steuerrechtliche Aufbewahrung), dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
In Fällen, in denen berechtigte Interessen von uns oder eines Dritten die Verarbeitung erforderlich machen und Ihre Interessen, Grundrechte und Grundfreiheiten nicht überwiegen, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage (z. B. IT-Sicherheit, Betrugsprävention, Funktionsfähigkeit der Plattform).
4. Hosting und Server-Logfiles
4.1 Hosting-Dienstleister
Wir hosten die Plattform bei der Host Europe GmbH, Hansestraße 111, 51149 Köln, in einem Rechenzentrum am Standort Straßburg (Frankreich) – mithin innerhalb der EU. Mit dem Anbieter besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.
Zur Erbringung der Hosting- und Infrastrukturleistungen (u. a. Rechenzentrums-Betrieb, Netzwerk, Sicherheits- und DDoS-Abwehr) setzt der Anbieter seinerseits Unterauftragnehmer ein. Ein Teil dieser Unterauftragnehmer verarbeitet Daten – insbesondere Verbindungs- und Netzwerk-Metadaten wie IP-Adressen – auch in Drittländern außerhalb der EU/des EWR (insbesondere USA und Schweiz). Diese Übermittlungen sind durch geeignete Garantien im Sinne der Art. 44 ff. DSGVO (EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln, Art. 46 DSGVO) abgesichert. Die jeweils aktuelle Liste der Unterauftragnehmer stellt der Anbieter unter hosteurope.de/…/Subunternehmerliste__DE.pdf bereit (siehe auch Abschnitt 13).
4.2 Server-Logfiles
Beim Aufruf der Plattform werden durch den Webserver automatisch Informationen erfasst und in sogenannten Server-Logfiles gespeichert, die Ihr Browser automatisch übermittelt. Dies sind im Standardumfang von Apache insbesondere:
- die anonymisierte bzw. gekürzte oder vollständige IP-Adresse des zugreifenden Geräts,
- Datum und Uhrzeit des Zugriffs,
- Name und URL der abgerufenen Datei sowie übertragene Datenmenge,
- die Website, von der aus der Zugriff erfolgt (Referrer-URL),
- der verwendete Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers (User-Agent).
Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der Gewährleistung eines störungsfreien Betriebs, der Sicherheit unserer informationstechnischen Systeme sowie der Aufklärung und Abwehr von Angriffen und Missbrauch.
Die Logfiles werden für die Dauer von maximal 30 Tagen gespeichert und anschließend automatisch gelöscht. Eine Zusammenführung dieser Daten mit anderen Datenquellen zur Identifizierung Ihrer Person nehmen wir nicht vor; eine längere Speicherung erfolgt nur, sofern dies zur Beweissicherung bei einem konkreten sicherheitsrelevanten Vorfall erforderlich ist.
5. Nutzerkonto und Registrierung
Das Erstellen und Speichern von Designs erfordert ein Nutzerkonto. Nicht eingeloggte Besucher:innen können die Plattform ansehen, werden aber zum Erstellen eigener Designs zur Registrierung aufgefordert.
5.1 Verarbeitete Daten
Bei der Registrierung und Nutzung des Kontos verarbeiten wir:
- E-Mail-Adresse (Pflichtangabe, dient zugleich als Login),
- Passwort (wird ausschließlich als kryptografischer Hash gespeichert – das Klartext-Passwort ist uns zu keinem Zeitpunkt bekannt),
- ggf. Name / Anzeigename und Angaben zu Ihrem Betrieb (Restaurant, Lieferdienst), soweit Sie diese angeben,
- Kontostatus / Nutzer-Tier (Free bzw. Pro),
- Zeitstempel von Registrierung, letztem Login und Einwilligungen,
- Status der Zustimmung zu rechtlichen Dokumenten (siehe Abschnitt 11).
5.2 Zweck und Rechtsgrundlage
Die Verarbeitung erfolgt zur Bereitstellung des Nutzerkontos und zur Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO).
5.3 Speicherdauer
Wir speichern die Kontodaten, solange Ihr Konto besteht. Nach Löschung des Kontos werden die personenbezogenen Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere handels- und steuerrechtlich, siehe Abschnitt 7.3) entgegenstehen.
6. Erstellte Designs und Datei-Uploads
6.1 Inhalte
Im Editor erstellte Designs (Flyer, Speisekarten, Gutscheine etc.) sowie die dafür hochgeladenen Dateien (z. B. Bilder, Logos) werden auf unseren Servern gespeichert, um Ihnen die Bearbeitung, Speicherung und den Export zu ermöglichen.
Bitte beachten Sie: Wenn Sie personenbezogene Daten (z. B. Fotos von Personen, Kontaktdaten) in Ihre Designs einbinden, sind Sie für die Rechtmäßigkeit dieser Verarbeitung als eigenständig Verantwortliche:r zuständig.
6.2 Upload-Validierung und Zugriffsschutz
Hochgeladene Dateien werden serverseitig auf ihren tatsächlichen Dateityp geprüft (MIME-Validierung). Uploads sind zugriffsgeschützt und nur dem zugehörigen Konto zugänglich; ein Abruf ist nur nach Authentifizierung bzw. über speziell signierte, zeitlich begrenzte Freigabe-Links möglich.
6.3 Zweck und Rechtsgrundlage
Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Speicherung erfolgt, solange das jeweilige Design bzw. Konto besteht.
7. Zahlungsabwicklung (Pro-Abonnement)
Die kostenpflichtige Pro-Mitgliedschaft wird über den Zahlungsdienstleister Stripe abgewickelt.
7.1 Dienstleister
Stripe Payments Europe, Ltd.The One Building, 1 Grand Canal Street Lower
Dublin 2, Irland
Bei einer Zahlung werden die Zahlungsdaten (z. B. Kreditkarten- oder Bankdaten) direkt durch Stripe verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten (z. B. keine vollständigen Kreditkartennummern). Wir erhalten von Stripe lediglich die zur Vertragsabwicklung erforderlichen Informationen, etwa eine Kunden- und Transaktions-Kennung, den Abonnement-Status, Zahlungszeitpunkte sowie die ersten/letzten Ziffern und den Kartentyp zur Zuordnung.
7.2 Zweck, Rechtsgrundlage und Drittlandübermittlung
Die Verarbeitung der Zahlungsdaten erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Stripe kann personenbezogene Daten auch in Länder außerhalb der EU/des EWR (insbesondere USA) übermitteln. Stripe ist nach dem EU-U.S. Data Privacy Framework zertifiziert bzw. stützt Übermittlungen auf Standardvertragsklauseln gemäß Art. 46 DSGVO.
Weitere Informationen zur Datenverarbeitung durch Stripe: stripe.com/de/privacy
7.3 Aufbewahrung von Rechnungs- und Buchungsdaten
Rechnungs-, Buchungs- und Zahlungsbelege bewahren wir aufgrund handels- und steuerrechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO, §§ 147 AO, 257 HGB) für die gesetzlich vorgeschriebene Dauer von in der Regel 6 bzw. 10 Jahren auf.
8. eCaupo-Integration (Shop-Verknüpfung)
margheritaAI ist mit der SaaS-Shop-Lösung eCaupo (www.ecaupo.com) verbunden. Kund:innen von eCaupo kann die Pro-Mitgliedschaft über eine verbundene Shop-Connection bereitgestellt werden, ohne dass eine separate Stripe-Zahlung erfolgt.
8.1 Betreiber von eCaupo
eCaupo wird vom selben Verantwortlichen wie margheritaAI betrieben (siehe Abschnitt 1). Es handelt sich nicht um ein fremdes Unternehmen, sondern um einen weiteren Dienst desselben Anbieters. Eine Weitergabe Ihrer Daten an Dritte oder eine Auftragsverarbeitung durch ein anderes Unternehmen findet im Rahmen dieser Integration daher nicht statt.
8.2 Verarbeitete Daten und Zweck
Wenn Sie Ihr margheritaAI-Konto mit einer eCaupo-Shop-Connection verknüpfen, verarbeiten wir zur Prüfung Ihres Anspruchs auf die Pro-Funktionen die hierfür erforderlichen Daten aus beiden Diensten, insbesondere:
- eine eindeutige Kennung Ihres eCaupo-Shops bzw. -Kundenkontos,
- der Status der Geschäftsbeziehung / des Berechtigungsanspruchs,
- ggf. die zur Zuordnung erforderliche E-Mail-Adresse.
Da beide Dienste vom selben Verantwortlichen betrieben werden, handelt es sich um eine interne Zusammenführung von Daten zu dem genannten Zweck; die Daten verlassen den Verantwortlichen hierbei nicht.
Zweck ist die Bereitstellung der Pro-Funktionen aufgrund Ihrer bestehenden eCaupo-Geschäftsbeziehung. Rechtsgrundlage ist die Vertragserfüllung bzw. die Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der Verknüpfung beider Dienste und der Lead-Generierung (Art. 6 Abs. 1 lit. f DSGVO).
9. E-Mail-Versand
Wir versenden transaktionsbezogene E-Mails (z. B. Registrierungsbestätigung, Passwort-Zurücksetzen, Rechnungen, wichtige Hinweise zu Ihrem Konto). Der Versand erfolgt ausschließlich über einen authentifizierten SMTP-Server.
Mail-Versand über Host Europe SMTP Mailserver, Server-Standort EU.
Verarbeitet werden Ihre E-Mail-Adresse und der jeweilige Nachrichteninhalt. Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. unser berechtigtes Interesse an einer sicheren und zuverlässigen Kommunikation (Art. 6 Abs. 1 lit. f DSGVO).
10. Cookies, Sitzungen und lokale Speicherung
10.1 Technisch notwendige Cookies / Session
Zur Bereitstellung der Login-Funktion und zur Absicherung von Formularen (Schutz vor Cross-Site-Request-Forgery, CSRF) verwenden wir technisch notwendige Cookies bzw. Sitzungs-Kennungen. Diese sind erforderlich, damit Sie eingeloggt bleiben und Formulare sicher abgesendet werden können.
Rechtsgrundlage ist § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderliche Speicherung) i. V. m. Art. 6 Abs. 1 lit. b und lit. f DSGVO. Für technisch notwendige Cookies ist keine Einwilligung erforderlich.
Zur Beschleunigung und zur Verwaltung von Sitzungen kann serverseitig ein Redis-Zwischenspeicher eingesetzt werden. Dieser läuft auf unserer eigenen Infrastruktur (siehe Abschnitt 4) und gibt keine Daten an Dritte weiter.
10.2 Lokale Speicherung im Browser
Zur Funktion des Design-Editors können Daten temporär im lokalen Speicher Ihres Browsers (Local Storage) abgelegt werden, etwa Editor-Einstellungen oder Zwischenstände. Diese Daten verbleiben in Ihrem Browser und werden nicht an uns übertragen, soweit dies nicht zur Speicherung Ihres Designs ausdrücklich erforderlich ist.
10.3 Keine Tracking- oder Marketing-Cookies
Wir setzen nach aktuellem Stand keine Analyse-, Tracking- oder Marketing-Cookies und keine Dienste zur Reichweitenmessung (z. B. Google Analytics) ein.
11. Rechtliche Dokumente und Zustimmungsverwaltung
Bestimmte rechtliche Dokumente (z. B. AGB, diese Datenschutzerklärung in ihrer jeweils geltenden Fassung) werden versioniert verwaltet. Bei rechtlich relevanten Neufassungen werden Sie beim Login zur erneuten Kenntnisnahme bzw. Zustimmung aufgefordert. Wir speichern hierzu, welcher Version Sie wann zugestimmt haben (Art. 6 Abs. 1 lit. c und lit. b DSGVO, Nachweisbarkeit gemäß Art. 7 Abs. 1 DSGVO).
12. Empfänger und Auftragsverarbeiter
Eine Übermittlung Ihrer Daten an Dritte erfolgt nur in den in dieser Erklärung beschriebenen Fällen. Empfänger bzw. Auftragsverarbeiter sind insbesondere:
| Empfänger | Zweck | Standort | Grundlage |
|---|---|---|---|
| Host Europe GmbH | Server, Speicher, Logfiles, E-Mail-Versand | Frankreich (RZ Straßburg); Unterauftragnehmer auch in Drittländern | AVV, Art. 28 DSGVO; Art. 46 DSGVO für Drittland-Subunternehmer |
| Unterauftragnehmer von Host Europe (z. B. AWS, Cloudflare, Microsoft, Plesk, Acronis) | Infrastruktur, Netzwerk, Sicherheit | EU, USA, Schweiz u. a. | Art. 28 Abs. 4 / Art. 46 DSGVO |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung Pro | EU / ggf. USA | Art. 28 / Art. 46 DSGVO |
Mit unseren Auftragsverarbeitern bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Bei Stripe ist die Vereinbarung zur Auftragsverarbeitung Bestandteil der Stripe-Nutzungsbedingungen und gilt mit Vertragsschluss.
13. Datenübermittlung in Drittländer
Eine Übermittlung in Länder außerhalb der EU/des EWR findet in folgenden Fällen statt:
- im Rahmen der Zahlungsabwicklung über Stripe (siehe Abschnitt 7.2),
- durch Unterauftragnehmer unseres Hosting-Anbieters (Host Europe GmbH), die zur Erbringung der Infrastruktur- und Netzwerkleistungen teils in Drittländern – insbesondere den USA und der Schweiz – tätig sind (siehe Abschnitt 4.1).
Sämtliche dieser Übermittlungen sind durch geeignete Garantien im Sinne der Art. 44 ff. DSGVO abgesichert, namentlich durch eine Zertifizierung nach dem EU-U.S. Data Privacy Framework bzw. durch Standardvertragsklauseln gemäß Art. 46 DSGVO. Im Übrigen werden Ihre Daten innerhalb der EU/des EWR verarbeitet.
14. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten gegen Verlust, Zerstörung, Manipulation und unbefugten Zugriff zu schützen. Hierzu gehören insbesondere:
- Übertragungsverschlüsselung der Website per TLS/HTTPS,
- Speicherung von Passwörtern ausschließlich als Argon2id-Hash,
- Schutz von Formularen durch CSRF-Token und Eingabe-Validierung,
- Einsatz parametrisierter Datenbankabfragen (Schutz vor SQL-Injection),
- konsequentes Output-Escaping zum Schutz vor Cross-Site-Scripting,
- serverseitige MIME-Validierung hochgeladener Dateien,
- zugriffsbeschränkte, kontoscoped gespeicherte Uploads.
Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst.
15. Ihre Rechte als betroffene Person
Ihnen stehen nach der DSGVO insbesondere folgende Rechte zu:
- Auskunft (Art. 15 DSGVO) über die zu Ihnen gespeicherten Daten,
- Berichtigung (Art. 16 DSGVO) unrichtiger Daten,
- Löschung (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen,
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO),
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
Zur Ausübung dieser Rechte genügt eine formlose Nachricht an die in Abschnitt 1 genannten Kontaktdaten.
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Zuständig ist u. a. die Aufsichtsbehörde Ihres üblichen Aufenthaltsorts oder die für uns zuständige Behörde:
Zuständig für margheritaAI ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin.
16. Pflicht zur Bereitstellung der Daten
Die Bereitstellung bestimmter Daten (z. B. E-Mail-Adresse und Passwort bei der Registrierung, Zahlungsdaten beim Pro-Abo) ist für den Vertragsabschluss bzw. die Nutzung der jeweiligen Funktion erforderlich. Ohne diese Daten können wir die entsprechende Leistung nicht erbringen. Eine darüber hinausgehende Angabe von Daten ist freiwillig.
17. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.
18. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Maßgeblich ist die jeweils bei Ihrem Besuch abrufbare Fassung. Bei rechtlich wesentlichen Änderungen werden eingeloggte Nutzer:innen gesondert informiert (siehe Abschnitt 11).