Gast

Nicht angemeldet
Startseite Anmelden Kunden-Registrierung
Deutsch Türkçe English Français
Partner werden Restaurant Login Bestellsystem
Datenschutz AGB Impressum

Datenschutzerklärung

Stand: 03.05.2026

§ 1 Vorbemerkung und Geltungsbereich

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Webseite owntheorder.com, dem dort betriebenen Partner-Portal sowie der unter der Marke OwnTheOrder bereitgestellten White-Label-Bestellsoftware (im Folgenden „der Dienst").

Die Erklärung gilt für alle Besucher der Webseite, alle gewerblichen Partner, die ein Konto im Dienst betreiben, sowie für die Verarbeitung von Endkunden-Daten, die im Rahmen des Partner-Shops anfallen. Für die einzelnen Endkunden-Shops, die die Partner unter ihrer eigenen Domain betreiben, ist der jeweilige Partner als Verantwortlicher zuständig; dort gilt die Datenschutzerklärung des jeweiligen Partners.

Maßgeblich sind die Vorgaben der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, „DSGVO") und des Bundesdatenschutzgesetzes (BDSG).

§ 2 Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

4unit SI GmbH
Jahnstraße 36
34582 Borken (Hessen)
Telefon: 05682 73 48 26
E-Mail: info@4unit.com

Eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO besteht für die 4unit SI GmbH zum Zeitpunkt dieser Erklärung nicht. Bei datenschutzrechtlichen Anfragen wenden Sie sich bitte an die oben angegebene E-Mail-Adresse.

§ 3 Begriffe

Die in dieser Erklärung verwendeten Begriffe „personenbezogene Daten", „Verantwortlicher", „Auftragsverarbeiter", „Verarbeitung", „Betroffener" und „Einwilligung" entsprechen den Definitionen in Art. 4 DSGVO. Spezifisch für diesen Dienst:

  • Partner: gewerblicher Kunde mit eigenem Account im Dienst, dessen Daten 4unit SI GmbH als Verantwortlicher verarbeitet.
  • Endkunde: natürliche Person, die über einen Partner-Shop eine Bestellung beim Partner aufgibt; deren Daten verarbeitet 4unit SI GmbH ausschließlich als Auftragsverarbeiter im Auftrag des jeweiligen Partners.

§ 4 Allgemeine Rechtsgrundlagen

Soweit nicht anders angegeben, beruht die Verarbeitung Ihrer Daten auf einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung;
  • Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen;
  • Art. 6 Abs. 1 lit. c DSGVO – Erfüllung gesetzlicher Pflichten (insbesondere handels- und steuerrechtliche Aufbewahrungspflichten);
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse, insbesondere am sicheren und stabilen Betrieb des Dienstes sowie am Schutz vor Missbrauch;
  • Art. 28 DSGVO – Auftragsverarbeitung (für Endkundendaten der Partner-Shops).

§ 5 Aufruf der Webseite und Logfiles

Bei jedem Aufruf der Webseite werden vom Server folgende Daten in einem Logfile erfasst und für maximal sieben Tage gespeichert: IP-Adresse des anfragenden Geräts, Datum und Uhrzeit, aufgerufene URL, HTTP-Statuscode, übertragene Datenmenge, Browser-Kennung (User-Agent) und Betriebssystem.

Diese Verarbeitung dient der technischen Bereitstellung der Webseite, der Fehleranalyse und der Abwehr von Angriffen (Rate-Limiting, Erkennung verdächtiger Muster). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; das berechtigte Interesse besteht im sicheren Betrieb des Dienstes. Eine Verknüpfung der Logdaten mit Ihrer Person erfolgt nicht; eine Auswertung zu Marketingzwecken findet ebenfalls nicht statt.

§ 6 Cookies und ähnliche Technologien

Der Dienst setzt ausschließlich technisch notwendige Cookies ein. Eine Einwilligung nach § 25 Abs. 1 TTDSG ist nicht erforderlich, weil die Cookies zur ordnungsgemäßen Funktion zwingend notwendig sind (§ 25 Abs. 2 Nr. 2 TTDSG). Es werden insbesondere folgende Cookies gesetzt:

  • JSESSIONID: Sitzungs-Cookie zur Identifizierung der Anmelde-Session. Eigenschaften: HttpOnly, Secure (nur über HTTPS), SameSite=Lax. Lebensdauer: bis zum Schließen des Browsers oder Ende der Sitzung (15 Minuten Inaktivität im Admin-Bereich).
  • XSRF-TOKEN: Schutz vor Cross-Site-Request-Forgery (Spring Security). Eigenschaften: HttpOnly, Secure, SameSite=Lax. Lebensdauer: Sitzungsdauer.
  • locale: Speichert die ausgewählte Sprache (DE/TR/EN/FR). Lebensdauer: 12 Monate.

Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt. Es findet kein Einsatz von Diensten wie Google Analytics, Meta Pixel, TikTok Pixel oder vergleichbaren Trackern statt. Weitere Details enthält unsere Cookies.

§ 7 Partner-Registrierung und Vertragsabwicklung

Wenn Sie als Partner ein Konto einrichten, verarbeiten wir die folgenden Datenkategorien: Vor- und Nachname, E-Mail-Adresse (zugleich Anmeldename), Telefonnummer, Passwort (gespeichert als BCrypt-Hash, nicht im Klartext), Firmenname, Geschäftsadresse, Steuer- und Handelsregisternummer, Bankverbindung (IBAN, BIC) sowie Daten zur vertretungsberechtigten Person (Name, Position, Geburtsdatum, Personalausweisnummer, Privatadresse, Kontakt).

Diese Daten werden für die Anbahnung und Durchführung des SaaS-Vertrags, die Identitätsfeststellung gegenüber Zahlungsdienstleistern, die Rechnungsstellung sowie zur Erfüllung gesetzlicher Pflichten (insbesondere § 14 UStG, § 147 AO) verarbeitet. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO.

Im Rahmen der Onboarding-Prüfung erfolgt ein Abgleich gegen einschlägige Sanktionslisten. Diese Prüfung wird durch den jeweiligen Zahlungsdienstleister (siehe § 10) im eigenen Verantwortungsbereich durchgeführt; 4unit SI GmbH leitet hierzu die erforderlichen Stamm- und Vertretungsdaten an den Zahlungsdienstleister weiter.

§ 8 Subscription-Abrechnung und Plattformgebühr

Für die monatliche Abrechnung des gewählten Tarifs werden Buchungs- und Zahlungsdaten erstellt (Rechnungsnummer, Position, Betrag, Steuersatz, Fälligkeit, Zahlungsmethode, Zahlungsstatus). Die Belege werden gemäß § 14 UStG erstellt und zehn Jahre gemäß § 147 Abs. 3 AO aufbewahrt.

Die Plattformgebühr für Endkunden-Bestellungen wird nicht separat in Rechnung gestellt, sondern automatisiert über den Zahlungsdienstleister einbehalten (Stripe Connect: application_fee_amount, Iyzico: subMerchantPrice). Die zugehörigen Aggregat-Daten (Anzahl Bestellungen, Bruttoumsatz, Gebührenanteil) werden im Partner-Dashboard angezeigt.

§ 9 Endkunden-Bestellungen (Auftragsverarbeitung für den Partner)

Wenn ein Endkunde im Shop eines Partners eine Bestellung aufgibt, werden in unserem System folgende Datenkategorien für den Partner verarbeitet: Name, Liefer-/Rechnungsadresse, E-Mail, Telefon, Bestellzeitpunkt, Warenkorb-Inhalt, gewählte Zahlungsmethode, Zahlungsstatus, Lieferzeit, ggf. Kommentare. Bei registrierten Endkunden zusätzlich: Kunden-ID, BCrypt-gehashter Passworthash, Sprach- und Adressbuch-Einträge, Bestellhistorie.

Verantwortlicher im Sinne der DSGVO für diese Verarbeitung ist der jeweilige Partner. 4unit SI GmbH ist für diese Daten ausschließlich Auftragsverarbeiter im Sinne von Art. 28 DSGVO; die Verarbeitung erfolgt weisungsgebunden auf Grundlage einer separaten Vereinbarung zur Auftragsverarbeitung (AVV), die mit Annahme der Nutzungsbedingungen wirksam wird.

Hinweis für Endkunden: Bei einer Bestellung werden Ihre Profildaten (Name, E-Mail, Telefon, Adresse) an den jeweiligen Restaurant-Shop übermittelt; jeder Shop ist eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und entscheidet selbst über Zwecke und Mittel der dortigen Verarbeitung (Bestellabwicklung, Zubereitung, Lieferung, Kundenkommunikation, Aufbewahrungspflichten).

§ 10 Zahlungsabwicklung über Stripe Connect und Iyzico

Für die Endkunden-Zahlung wird ein vom jeweiligen Zahlungsdienstleister bereitgestelltes Bezahlfenster (Iframe) in den Shop eingebettet. Vollständige Karteninhaberdaten (PAN, CVC, Ablaufdatum) werden ausschließlich im Browser des Endkunden auf der PCI-DSS-konformen Infrastruktur des Zahlungsdienstleisters erfasst und an dessen Server übermittelt. Diese Daten werden zu keinem Zeitpunkt von 4unit SI GmbH empfangen oder gespeichert. Auf den Servern von 4unit SI GmbH werden lediglich nicht-sensible Tokens gespeichert (PaymentMethod-/Transaktions-ID, Kartenmarke, letzte vier Ziffern, Ablaufmonat).

Eingebundene Zahlungsdienstleister:

  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (deutscher Markt, Stripe Connect). Verarbeitete Datenkategorien: Vor-/Nachname und E-Mail des Endkunden, Bestellbetrag, Stripe-Account-Daten des Partners, IP-Adresse für Risiko-Bewertung. Datenschutzerklärung: https://stripe.com/de/privacy.
  • Iyzico Ödeme Hizmetleri A.Ş., Maslak Mahallesi, Sümer Sokak, No: 4, Daire: 7-12, 34485 Sarıyer/İstanbul, Türkei (türkischer Markt, Sub-Merchant-Modell). Verarbeitete Datenkategorien: Vor-/Nachname und E-Mail des Endkunden, Warenkorb mit subMerchantPrice je Position, Sub-Merchant-Stammdaten des Partners. Datenschutzerklärung: https://www.iyzico.com/gizlilik-politikasi.
  • PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxemburg (sofern vom Partner aktiviert, im Marketplace-Modell). Datenschutzerklärung: https://www.paypal.com/de/legalhub/privacy-full.

Identitätsprüfung (KYC), Anti-Geldwäsche- und Sanktions-Prüfungen sowie Chargeback-Verfahren liegen in der ausschließlichen Verantwortung des jeweiligen Zahlungsdienstleisters. Rechtsgrundlage für die Übermittlung an den Zahlungsdienstleister ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten).

§ 11 E-Mail-Versand und -Verifizierung

Im Rahmen der Registrierung versenden wir an die hinterlegte E-Mail-Adresse einen Verifizierungslink. Der eigentliche Token wird bei uns ausschließlich als SHA-256-Hash gespeichert; im Klartext kennt ihn nur der Empfänger der E-Mail. Der Token verfällt automatisch nach 24 Stunden.

Daneben werden transaktionale E-Mails versandt (Rechnungen, Vertragsunterschrift, Erinnerungen, Sicherheitswarnungen). Newsletter oder werbliche Massensendungen versendet 4unit SI GmbH nicht. Für den Versand wird ein SMTP-Dienstleister mit Sitz in der EU eingesetzt (Auftragsverarbeiter im Sinne von Art. 28 DSGVO; der jeweilige Anbieter ist auf Anfrage über die in § 2 genannte E-Mail-Adresse erfragbar).

§ 12 Adress-Geocoding (Nominatim)

Zur Berechnung von Liefer-Reichweiten und zur Anzeige der Standorte auf einer Karte werden Adressdaten serverseitig an den Geocoding-Dienst Nominatim der OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Vereinigtes Königreich, übermittelt. Es wird ausschließlich die zu prüfende Adresszeichenkette übermittelt; eine IP-Adresse des Endkunden gelangt nicht an Nominatim, da die Anfragen vom Server aus erfolgen. Datenschutzerklärung: https://wiki.osmfoundation.org/wiki/Privacy_Policy. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 13 Domain-Provisionierung (Plesk)

Sofern der Partner eine vom Anbieter zugewiesene Subdomain wählt, werden zur Einrichtung dieser Subdomain interne Anfragen an einen Plesk-basierten Hosting-Server der 4unit SI GmbH übermittelt (Domainname, Partner-Kennung, gewähltes SSL-Zertifikat). Endkundendaten werden an dieses Subsystem nicht übermittelt. Zugriffe auf Plesk werden in einem internen Audit-Log protokolliert.

§ 14 Hosting und Auftragsverarbeiter

Der Dienst wird in einem Rechenzentrum innerhalb der Europäischen Union betrieben. Mit dem Hoster besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Datenbank (MariaDB / MySQL) wird verschlüsselt im selben Rechenzentrum vorgehalten; Backups werden ebenfalls innerhalb der EU verschlüsselt aufbewahrt.

Eine vollständige Liste der eingesetzten Auftragsverarbeiter wird auf Anfrage über die in § 2 genannte E-Mail-Adresse zur Verfügung gestellt.

§ 15 Drittland-Übermittlungen

Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums findet nur in folgenden, technisch notwendigen Fällen statt:

  • Iyzico verarbeitet Daten in der Türkei. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
  • Stripe kann Daten innerhalb der eigenen Konzernstruktur in die USA übermitteln. Stripe ist nach dem EU–US Data Privacy Framework (Art. 45 DSGVO i.V.m. Durchführungsbeschluss (EU) 2023/1795) zertifiziert; ergänzend kommen Standardvertragsklauseln zur Anwendung.
  • PayPal: vergleichbar zu Stripe (US-Konzernstruktur, Standardvertragsklauseln, soweit nicht durch Angemessenheitsbeschluss abgedeckt).

Außerhalb dieser drei Fälle werden keine Daten in Drittländer übermittelt. Eine Nutzung von Cloud-Anbietern in den USA für Hosting- oder Analysezwecke findet nicht statt.

§ 16 Speicherdauer

Personenbezogene Daten werden nicht länger gespeichert, als es für die jeweilige Zweckerreichung erforderlich ist. Konkrete Fristen:

  • Server-Logfiles: 7 Tage, danach automatisierte Löschung.
  • Email-Verifizierungstoken: 24 Stunden, danach automatisierter Verfall.
  • Anmelde-Sessions: 15 Minuten Inaktivität im Admin-Bereich; bei Partnern bis zum Logout.
  • WebSocket-Tokens (JWT): 1 Stunde.
  • Partner-Stammdaten: Vertragslaufzeit zuzüglich gesetzlicher Aufbewahrungsfristen.
  • Rechnungen, Verträge, steuerlich relevante Belege: 10 Jahre nach Ende des Geschäftsjahres (§ 147 Abs. 3 AO, § 257 HGB).
  • Endkunden-Bestelldaten in Auftragsverarbeitung: nach Weisung des Partners, im Regelfall Vertragsdauer + 3 Jahre (Verjährung von Mängelansprüchen) bzw. bis zu 10 Jahre, wenn die Bestellung Bestandteil einer Rechnung ist.
  • Support-Anfragen: 3 Jahre nach Abschluss.
  • Audit-Logs zu sicherheitsrelevanten Zugriffen: 12 Monate.

Nach Ablauf der jeweiligen Frist werden die Daten unwiderruflich gelöscht oder anonymisiert. Eine längere Speicherung erfolgt nur, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

§ 17 Technisch-organisatorische Sicherheitsmaßnahmen

4unit SI GmbH setzt zum Schutz Ihrer Daten anerkannte Maßnahmen nach Stand der Technik ein. Hierzu gehören insbesondere:

  • Verschlüsselte Verbindung (TLS) für alle Zugriffe auf Webseite, Dashboard und API; HTTPS wird erzwungen.
  • Sicherheits-Cookies mit den Flags HttpOnly, Secure und SameSite=Lax.
  • Speicherung von Passwörtern ausschließlich als BCrypt-Hash mit individuellem Salt; Klartext-Passwörter werden nicht gespeichert.
  • Verschlüsselung sensibler Stammdaten (insbesondere API-Keys und Sub-Merchant-Schlüssel) at rest mit AES-256 (CBC bzw. GCM) und Master-Key in geschützter Konfiguration.
  • Rollen- und Berechtigungssystem mit minimaler Rechtevergabe (Principle of Least Privilege).
  • Rate-Limiting (Token-Bucket-Verfahren) gegen Brute-Force- und Missbrauchsversuche.
  • Cross-Site-Request-Forgery-Schutz (CSRF-Token), Content-Security-Policy ohne externe Skripte oder CDN-Einbindungen.
  • Tägliche, verschlüsselte Backups innerhalb der EU; revisionssichere Aufbewahrung für 30 Tage.
  • Protokollierung sicherheitsrelevanter Ereignisse (Logins, fehlgeschlagene Versuche, Berechtigungsänderungen).

§ 18 Automatisierte Entscheidungen, Profiling

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO mit rechtlicher Wirkung gegenüber den Betroffenen findet nicht statt. Ein Profiling zur Prognose von persönlichen Aspekten der Betroffenen ist nicht implementiert. Das oben beschriebene Rate-Limiting dient ausschließlich dem Schutz vor Missbrauch und führt allenfalls zur kurzfristigen Begrenzung der Anfragerate.

§ 19 Rechte der betroffenen Person

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO);
  • Recht auf Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO);
  • Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO), soweit keine Aufbewahrungspflicht entgegensteht;
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Recht auf Datenübertragbarkeit in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO);
  • Widerspruchsrecht gegen eine auf berechtigtem Interesse beruhende Verarbeitung (Art. 21 DSGVO);
  • Widerruf einer einmal erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Soweit Daten von Endkunden eines Partner-Shops betroffen sind, ist Ihr Ansprechpartner zur Wahrnehmung dieser Rechte zunächst der jeweilige Partner als Verantwortlicher. 4unit SI GmbH unterstützt den Partner gemäß den Pflichten aus Art. 28 Abs. 3 lit. e und f DSGVO.

Sofortige Kontolöschung (Selbstbedienung): Sie können Ihr Kundenkonto jederzeit selbst löschen — entweder eingeloggt unter Profil → Konto → „Konto löschen" oder anonym unter /account-delete. Die Löschung erfolgt sofort: persönliche Daten (Name, E-Mail, Telefon, Adressen, Favoriten) werden anonymisiert oder gelöscht. Rechnungen und Bestelldaten bleiben aus handelsrechtlichen Aufbewahrungspflichten (§ 257 HGB, 10 Jahre) erhalten, sind aber nicht mehr Ihrer Person zuordenbar.

§ 20 Beschwerderecht

Unbeschadet anderer Rechtsbehelfe steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Für die 4unit SI GmbH ist zuständig:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
Telefon: 0611 1408-0
E-Mail: poststelle@datenschutz.hessen.de

§ 21 Pflicht zur Bereitstellung von Daten

Im Rahmen der Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Begründung, Durchführung und Beendigung des Vertragsverhältnisses sowie zur Erfüllung der damit verbundenen vertraglichen und gesetzlichen Pflichten erforderlich sind. Ohne diese Daten kann der Vertrag in der Regel nicht zustande kommen oder nicht weiter durchgeführt werden.

§ 22 Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, technische Abläufe oder die Datenverarbeitung im Dienst ändern. Die jeweils aktuelle Fassung ist unter owntheorder.com/privacy abrufbar; das Datum am Anfang dieser Erklärung weist die jeweils gültige Version aus.