Datenschutzerklärung
Stand: März 2026 · Gilt für das Bestellportal und das Bonusprogramm von NUR Gemüse Kebap
1 Verantwortlicher
Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Sinne der DSGVO ist:
NUR Gemüse Kebap
Inhaber: [Vor- und Nachname eintragen]
Adresse: [Straße, Hausnummer, PLZ, Berlin]
E-Mail: info@nurgemuse.com
Telefon: [+49 ...]
2 Welche personenbezogenen Daten wir verarbeiten
2.1 Bei der Registrierung
Wenn Sie ein Kundenkonto erstellen, erheben wir folgende Daten:
- Vor- und Nachname
- E-Mail-Adresse
- Benutzername (frei wählbar)
- Passwort (verschlüsselt übertragen)
2.2 Bei der Bestellung
- Bestellte Produkte, Mengen, Preise
- Bestelldatum und -uhrzeit
- Bestellstatus und Verlauf
- Verdiente und eingelöste Bonuspunkte
- QR-Code der jeweiligen Bestellung
2.3 Bei der Passwort-Wiederherstellung
- E-Mail-Adresse (zur Versendung des Reset-Links)
- Einmaliger Reset-Token (zeitlich begrenzt, nach Nutzung ungültig)
2.4 Technische Daten (automatisch)
- Session-Token (JWT) im Browser-Cookie gespeichert — enthält nur Kunden-ID und Benutzername
- Temporär: Browsertyp und IP-Adresse (Serverprotokoll) — nicht dauerhaft gespeichert
3 Rechtsgrundlagen der Verarbeitung
| Zweck | Rechtsgrundlage |
|---|---|
| Kontoerstellung und Bestellabwicklung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Bonusprogramm | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Passwort-Wiederherstellung per E-Mail | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Session-Cookie (Login-Authentifizierung) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Authentifizierung) |
| Speicherung im Browser (localStorage) | Art. 6 Abs. 1 lit. f DSGVO (technisch erforderlich für Funktionalität) |
4 Cookies und Browser-Speicher
4.1 Technisch notwendige Cookies
Wir setzen ausschließlich technisch notwendige Cookies ein, die für den sicheren Betrieb des Bestellportals unerlässlich sind. Diese Cookies erfordern nach § 25 TTDSG keine Einwilligung.
| Cookie / Speicher | Inhalt | Zweck | Gültigkeitsdauer |
|---|---|---|---|
token (Cookie) |
Verschlüsseltes Sitzungs-Token (JWT) mit Kunden-ID und Benutzername | Login-Authentifizierung, Sitzungsverwaltung | 2 Stunden (Sitzung) |
| localStorage | Benutzername, Kundenname, Kunden-ID, Spracheinstellung, Kategorie-Cache | Komfort-Funktionen (Angemeldet bleiben, schnelleres Laden) | Bis zum Abmelden oder Browser-Cache-Leerung |
4.2 Externe Schriftarten und Bibliotheken
Unsere Website lädt folgende externe Ressourcen, bei denen Ihre IP-Adresse technisch bedingt übermittelt wird:
- Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — Darstellung der Schriftart „Inter". Anbieter: Google LLC, USA. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Datenschutz: policies.google.com/privacy
- Cloudflare CDN (cdnjs.cloudflare.com) — Lottie-Animationsbibliothek. Anbieter: Cloudflare Inc., USA. Datenschutz: cloudflare.com/privacypolicy
- Carto Maps (basemaps.cartocdn.com) — Kartendarstellung. Anbieter: CARTO B.V., Niederlande (EU). Datenschutz: carto.com/privacy
Für diese Dienste besteht ein berechtigtes Interesse am fehlerfreien Betrieb der Anwendung (Art. 6 Abs. 1 lit. f DSGVO). Im Rahmen der Übermittlung in Drittländer (USA) stützen wir uns auf Standardvertragsklauseln (SCC) bzw. den EU-US Data Privacy Framework.
5 Hosting und Datenverarbeitung im Auftrag
Ihre Daten werden auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert:
| Dienst | Anbieter | Standort | Zweck |
|---|---|---|---|
| Datenbankspeicherung | Microsoft Azure | Europäische Union | Speicherung von Kunden- und Bestelldaten |
| Produktbilder | Microsoft Azure Blob Storage | Europäische Union | Speicherung von Produktfotos |
| E-Mail-Versand (Passwort-Reset) | Amazon Web Services (AWS WorkMail) | Stockholm, Schweden (EU — eu-north-1) | Transaktionsmails |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO. Alle genannten Dienste befinden sich innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums. Eine Übermittlung in Drittländer findet im Rahmen dieser Dienste nicht statt.
6 Speicherdauer
| Datenkategorie | Speicherdauer | Begründung |
|---|---|---|
| Kundenkonto (Name, E-Mail, Benutzername) | Bis zur Kontolöschung durch den Kunden oder auf Anfrage | Vertragserfüllung |
| Bestellhistorie | 10 Jahre | Steuerrechtliche Aufbewahrungspflicht (§ 147 AO) |
| Bonuspunkte und Transaktionen | Bis zur Kontolöschung | Vertragserfüllung |
| Passwort-Reset-Token | 1 Stunde (automatisch verfallen) | Sicherheitsmechanismus |
| Session-Cookie (JWT) | 2 Stunden oder bis zur Abmeldung | Technisch notwendig |
7 Ihre Rechte als betroffene Person
Sie haben nach der DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:
Auskunftsrecht (Art. 15 DSGVO)
Sie können jederzeit eine Auskunft über die von uns gespeicherten Daten anfordern.
Recht auf Berichtigung (Art. 16 DSGVO)
Unrichtige Daten können Sie direkt in Ihrem Profil unter „Mein Konto" korrigieren oder eine Berichtigung per E-Mail beantragen.
Recht auf Löschung (Art. 17 DSGVO)
Sie können die Löschung Ihres Kontos jederzeit in Ihrem Profil beantragen oder uns per E-Mail kontaktieren. Daten, die gesetzlichen Aufbewahrungspflichten unterliegen (z. B. Bestellhistorie), werden nach Ablauf der Pflichtfrist gelöscht.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Sie können die Einschränkung der Verarbeitung Ihrer Daten beantragen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie können Ihre Daten in einem maschinenlesbaren Format erhalten.
Widerspruchsrecht (Art. 21 DSGVO)
Sie können der Verarbeitung Ihrer Daten widersprechen, soweit diese auf berechtigtem Interesse basiert.
Beschwerderecht
Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:
Alt-Moabit 59–61, 10555 Berlin
Telefon: +49 30 13889-0
E-Mail: mailbox@datenschutz-berlin.de
Web: www.datenschutz-berlin.de
Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an: info@nurgemuse.com
8 Datensicherheit
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen:
- Verschlüsselte Datenübertragung (HTTPS/TLS)
- Session-Tokens sind httpOnly gesetzt (nicht per JavaScript zugänglich)
- Zeitlich begrenzte Authentifizierungstoken (2 Stunden)
- Einmalige Passwort-Reset-Links (laufen nach 1 Stunde ab und können nur einmal verwendet werden)
- Speicherung aller Daten ausschließlich in der EU
- Zugriff auf Kundendaten nur durch autorisiertes Personal
9 Minderjährige
Unser Bestellportal richtet sich an Personen ab 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten Sie als Erziehungsberechtigter feststellen, dass Ihr Kind Daten übermittelt hat, bitten wir Sie, uns umgehend zu kontaktieren.
10 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, um sie an geänderte gesetzliche Anforderungen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version ist stets unter dieser Adresse abrufbar. Das Datum der letzten Aktualisierung ist oben angegeben.