1. Verantwortlicher & Kontakt

2. Zwecke der Datenverarbeitung und Rechtsgrundlagen

• 2.1 Betrieb der Website und IT-Sicherheit: Erfassung technischer Zugriffsdaten (IP-Adresse, Zeitstempel, Browser-Typ, besuchte Seiten) zur Sicherstellung des Serverbetriebs, der Stabilität und Missbrauchsabwehr.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).
• 2.2 Reservierungen und Buchungen: Erfassung von Name, Telefon, E-Mail, Personenanzahl und Reservierungszeitpunkt für die Bearbeitung und Bestätigung Ihrer Reservierung.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• 2.3 Catering-Bestellungen und Lieferungen: Erfassung von Kontakt-, Liefer- und Bestelldaten (Name, Firma, Adresse, Telefon, E-Mail, Bestelldetails, Lieferzeitpunkt) zur Auftragsabwicklung.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• 2.4 Zahlungsabwicklung:
  • Online-Zahlungen (Stripe): Für Online-Zahlungen nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Wir speichern keine vollständigen Karten- oder Kontodaten; diese werden direkt von Stripe verarbeitet.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Kartenzahlungen vor Ort (SumUp): Für Kartenzahlungen im Lokal nutzen wir SumUp Limited, Airside Business Park, Swords, Co. Dublin, Irland. Die Zahlungsdaten werden direkt von SumUp verarbeitet.
    Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• 2.5 Google Maps & Distanzberechnung: Zur Berechnung von Lieferentfernungen und Darstellung von Standortinformationen nutzen wir Google Maps API (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Dabei wird Ihre IP-Adresse an Google übermittelt.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung von Standort- und Entfernungsinformationen) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei aktiver Nutzung).
• 2.6 Kontaktformular und E-Mail-Kommunikation: Verarbeitung Ihrer Anfragen über das Kontaktformular oder per E-Mail (Name, E-Mail, Telefon, Nachrichtentext) zur Beantwortung Ihrer Anliegen.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kundenkommunikation) bzw. Art. 6 Abs. 1 lit. b DSGVO bei Vertragsanfragen.
• 2.7 Newsletter (optional): Versand von Informationen zu Angeboten, Events und kulinarischen Neuigkeiten per E-Mail. Anmeldung erfolgt über Double-Opt-In-Verfahren. E-Mail-Versand über Brevo (Sendinblue SAS), 55 rue d'Amsterdam, 75008 Paris, Frankreich.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO / § 107 TKG 2021 (ausdrückliche Einwilligung).
• 2.8 Hosting & Cloud-Infrastruktur: Unsere Website und Daten werden auf Servern von Fly.io (Europa-Region) und Hetzner Online GmbH (Deutschland) gehostet. Alle Daten werden ausschließlich im EWR gespeichert.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, performanter Infrastruktur).
• 2.9 Cookies & ähnliche Technologien: Wir verwenden technisch notwendige Cookies zur Sitzungssteuerung (z.B. Reservierungsvorgang, Spracheinstellung) sowie – mit Ihrer Einwilligung – optionale Cookies für Analyse und Komfort.
  Rechtsgrundlagen: Art. 6 Abs. 1 lit. f DSGVO / § 165 TKG 2021 (notwendige Cookies), Art. 6 Abs. 1 lit. a DSGVO (optionale Cookies).
• 2.10 Rechnungslegung und steuerliche Aufbewahrungspflichten: Aufbewahrung von Rechnungen und Belegen gemäß § 132 BAO und § 212 UGB für 7 Jahre.
  Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung).

3. Kategorien personenbezogener Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Stammdaten (Name, Vorname, Firma)
• Kontaktdaten (E-Mail, Telefonnummer, Lieferadresse)
• Reservierungs- und Bestelldaten (Datum, Uhrzeit, Personenanzahl, Menüwünsche, Allergien)
• Zahlungsdaten (IBAN-Token bei Stripe, Transaktions-IDs bei SumUp – keine vollständigen Kartendaten)
• Kommunikationsdaten (E-Mail-Korrespondenz, Nachrichten über Kontaktformular)
• Technische Zugriffsdaten (IP-Adresse, Browser, Betriebssystem, Zeitstempel)
• Newsletter-Anmeldedaten (E-Mail, Anmeldezeitpunkt, IP-Adresse)
• Standort- und Entfernungsdaten (bei Nutzung von Google Maps für Lieferungen)

4. Herkunft der Daten

Die personenbezogenen Daten stammen:

• direkt von Ihnen (Reservierungen, Bestellungen, Kontaktformular, Newsletter-Anmeldung)
• automatisiert durch die Nutzung unserer Website (technische Daten, Cookies)
• aus Zahlungssystemen (Bestätigungen von Stripe/SumUp)
• aus Google Maps API (Standortdaten bei Entfernungsberechnung)

5. Empfänger / Kategorien von Empfängern

Ihre personenbezogenen Daten werden an folgende Empfänger weitergegeben:

• Interne Stellen: Mitarbeiter im Service, Küche, Verwaltung und Buchhaltung
• Auftragsverarbeiter gemäß Art. 28 DSGVO:
  • Fly.io, Inc. – Hosting, Serverbetrieb (Europa-Region)
  • Hetzner Online GmbH – Object Storage, Cloud-Infrastruktur (Deutschland)
  • Stripe Payments Europe Ltd. – Online-Zahlungsabwicklung (Irland)
  • SumUp Limited – Kartenzahlungen vor Ort (Irland)
  • Google Ireland Limited – Google Maps API, Distanzberechnung (Irland)
  • Brevo (Sendinblue SAS) – E-Mail-Versand, Newsletter (Frankreich)
  • Steuerberatung, IT-Support – vertraglich gebundene Dienstleister
• Behörden und Gerichte: nur bei gesetzlicher Verpflichtung (z.B. Finanzamt)

Alle Auftragsverarbeiter sind vertraglich nach Art. 28 DSGVO gebunden und dürfen Daten nur gemäß unseren Weisungen verarbeiten.

6. Datenübermittlung in Drittländer

Grundsätzlich werden Ihre Daten ausschließlich im Europäischen Wirtschaftsraum (EWR) verarbeitet. Folgende Ausnahmen bestehen:

• Google Maps (Google LLC, USA): Bei Nutzung der Kartenansicht oder Distanzberechnung kann eine Datenübermittlung in die USA erfolgen. Google Ireland Limited ist Ihr primärer Vertragspartner innerhalb der EU. Die Übermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln (Art. 46 DSGVO) und dem EU-US Data Privacy Framework.
  Datenschutzerklärung Google: https://policies.google.com/privacy
• Stripe: Stripe Payments Europe Ltd. (Irland) kann Daten an US-Subunternehmen weitergeben. Dies erfolgt auf Basis von Standardvertragsklauseln (Art. 46 DSGVO).
  Datenschutzerklärung Stripe: https://stripe.com/privacy

7. Speicherdauer / Löschfristen

Nach Ablauf der Speicherfrist werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Ihre Rechte als betroffene Person

Sie haben folgende Rechte gemäß DSGVO:

• Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16): Unrichtige Daten werden auf Ihren Antrag hin berichtigt.
• Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen („Recht auf Vergessenwerden"), sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen Format zu erhalten.
• Widerspruchsrecht (Art. 21): Sie können der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen.
• Widerruf von Einwilligungen (Art. 7 Abs. 3): Erteilte Einwilligungen (z.B. Newsletter) können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Beschwerderecht: Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:
  Österreichische Datenschutzbehörde
  Barichgasse 40–42
  1030 Wien
  E-Mail: dsb@dsb.gv.at
  Web: www.dsb.gv.at

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: welcome@atelier-kurpark.at

9. Pflicht zur Bereitstellung von Daten

Zur Durchführung einer Reservierung oder Bestellung sind bestimmte Angaben (Name, Kontaktdaten, Reservierungszeitpunkt) zwingend erforderlich. Ohne diese Daten können wir Ihre Anfrage nicht bearbeiten.

Die Bereitstellung weiterer Daten (z.B. Newsletter-Anmeldung) ist freiwillig.

10. Automatisierte Entscheidungsfindung & Profiling

Wir führen keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO durch. Es findet keine automatisierte Profilbildung statt.

11. Cookies & Tracking-Technologien

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Gerät gespeichert werden.

11.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich (z.B. Session-Management, Spracheinstellung, Reservierungsvorgang). Sie können nicht deaktiviert werden.

11.2 Optionale Cookies

Funktions- und Analyse-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Sie können Ihre Cookie-Einstellungen jederzeit über unser Cookie-Banner anpassen.

Details zu den verwendeten Cookies finden Sie in unserer Cookie-Richtlinie.

12. IT-Sicherheit / Technische & organisatorische Maßnahmen

Wir setzen umfangreiche technische und organisatorische Maßnahmen zum Schutz Ihrer Daten ein:

• TLS-Verschlüsselung (HTTPS) für alle Datenübertragungen
• Zugriffsbeschränkungen und Rollenrechte für Mitarbeiter
• Gesicherte Serverstandorte im EWR mit physischem Zugangsschutz
• Regelmäßige automatisierte Backups
• Firewall-Systeme und Intrusion Detection
• Monitoring und Protokollierung sicherheitsrelevanter Ereignisse
• Schulung unserer Mitarbeiter im Datenschutz
• Datenschutz-Folgenabschätzungen bei Risikoverarbeitungen

13. Newsletter (optional)

Bei Anmeldung zu unserem Newsletter werden folgende Daten verarbeitet:

• E-Mail-Adresse (Pflichtangabe)
• Vorname und Name (optional)
• Anmeldezeitpunkt und IP-Adresse (zur Nachweisführung)

Double-Opt-In-Verfahren: Nach Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Link. Erst durch Klick auf diesen Link wird die Anmeldung aktiv.

Versanddienstleister: Brevo (Sendinblue SAS), 55 rue d'Amsterdam, 75008 Paris, Frankreich
Datenschutz: https://www.brevo.com/de/legal/privacypolicy/

Abmeldung: Jederzeit über den Abmeldelink in jedem Newsletter oder per E-Mail an welcome@atelier-kurpark.at

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 107 TKG 2021

14. Zahlungsdienstleister im Detail

14.1 Stripe (Online-Zahlungen)

Für Online-Zahlungen (Kreditkarte, SEPA-Lastschrift) nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland.

Übermittelte Daten: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsbetrag, Transaktions-ID. Kartendaten werden direkt bei Stripe eingegeben und verarbeitet – wir erhalten nur einen verschlüsselten Token.

Stripe kann Daten an US-Subunternehmen weitergeben (Basis: Standardvertragsklauseln Art. 46 DSGVO).

Datenschutz: https://stripe.com/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

14.2 SumUp (Kartenzahlungen vor Ort)

Für Kartenzahlungen in unserem Lokal nutzen wir Kartenlesegeräte von SumUp Limited, Airside Business Park, Swords, Co. Dublin, Irland.

Die Zahlungsdaten werden direkt von SumUp verarbeitet. Wir erhalten lediglich Transaktionsbestätigungen ohne vollständige Kartendaten.

Datenschutz: https://www.sumup.com/de-at/datenschutz/
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

15. Google Maps & Standortdienste

Zur Darstellung unseres Standorts und zur Berechnung von Lieferentfernungen verwenden wir Google Maps, bereitgestellt von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Übermittelte Daten: IP-Adresse, Browserinformationen, ggf. eingegebene Adressen für Entfernungsberechnung

Google kann die Daten zur Verbesserung der eigenen Dienste verwenden. Es kann eine Datenübermittlung in die USA erfolgen (EU-US Data Privacy Framework).

Sie können Google Maps deaktivieren, indem Sie JavaScript in Ihrem Browser ausschalten. Dies kann jedoch die Funktionalität unserer Website einschränken.

Datenschutz: https://policies.google.com/privacy
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

16. Hosting & Infrastruktur

Unsere Website, Datenbanken und Datenspeicher werden gehostet bei:

• Fly.io, Inc. – App-Server, Datenbank-Hosting (Region: Frankfurt/EWR)
  Datenschutz: https://fly.io/legal/privacy-policy/
• Hetzner Online GmbH – Object Storage (S3-Buckets), Deutschland
  Industriestr. 25, 91710 Gunzenhausen
  Datenschutz: https://www.hetzner.com/de/rechtliches/datenschutz

Mit beiden Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Alle Daten werden ausschließlich im EWR gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer, performanter Infrastruktur)

17. Server-Logs & Fehleranalyse

Unsere Server speichern automatisch folgende Daten in Logdateien:

• IP-Adresse (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite / Ressource
• HTTP-Statuscode
• Browser-Typ und Version
• Referrer-URL

Zweck: Diagnose von Fehlern, Sicherheitsüberwachung, Missbrauchserkennung
Speicherdauer: maximal 30 Tage
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO

18. Weitergabe an Dritte

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte erfolgt nur:

• wenn Sie ausdrücklich eingewilligt haben (Art. 6 Abs. 1 lit. a DSGVO)
• zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO)
• gesetzlich vorgeschrieben (Art. 6 Abs. 1 lit. c DSGVO)
• zur Wahrung unserer berechtigten Interessen erforderlich (Art. 6 Abs. 1 lit. f DSGVO)

Eine Weitergabe zu Werbezwecken an Dritte erfolgt nicht.

19. Minderjährige

Unser Angebot richtet sich an Personen ab 14 Jahren. Sollten Sie unter 14 Jahre alt sein, benötigen Sie die Zustimmung Ihrer Erziehungsberechtigten zur Nutzung unserer Dienste.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unserer Dienste anzupassen.

Die jeweils aktuelle Fassung ist stets unter www.atelier-kurpark.at/datenschutz abrufbar.

Stand: 3. Februar 2026