RestRes

Datenschutzerklärung

Stand: 14.07.2026

1. Verantwortlichkeit

Für den Betrieb der Website (Verantwortlicher gem. Art. 4 Nr. 7 DSGVO):

IMMCA GmbH i.Gr.
vertreten durch die Geschäftsführerin Dr. Ines Krebs
E-Mail: kontakt@immca.de
(Vollständige Anschrift siehe Impressum)

Wichtiger Hinweis für Gäste (Buchungen):

RestRes.de stellt lediglich die Software zur Verfügung und handelt bei Tischreservierungen als Auftragsverarbeiter (Art. 28 DSGVO). Die datenschutzrechtliche Verantwortung für die Reservierungsdaten der Gäste liegt ausschließlich beim jeweiligen Restaurant.

2. Datenverarbeitung und Zwecke

Wir verarbeiten Daten nur im absolut notwendigen Umfang:

  • Tischreservierungen (Gäste): Im Auftrag des Restaurants verarbeiten wir Name, Kontaktdaten, Reservierungsdetails und optionale Notizen zur Vertragsanbahnung und -erfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • RestRes-Kunden (Restaurant-Mitarbeiter): E-Mail-Adresse für die Authentifizierung im Dashboard (Art. 6 Abs. 1 lit. b u. f DSGVO).
  • Website-Besuch & Logs: IP-Adresse und technische Request-Daten werden kurzfristig zur Abwehr von Angriffen und zur IT-Sicherheit gespeichert (Art. 6 Abs. 1 lit. f DSGVO).
  • No-Show- und Stornierungshinweise (Gäste): Zum Schutz vor wiederholtem Nichterscheinen wertet das System im Auftrag des jeweiligen Restaurants dessen eigene Reservierungshistorie aus und kennzeichnet Reservierungen von Gästen, die dort innerhalb der letzten 12 Monate nicht erschienen sind oder häufig storniert haben (Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse des Restaurants an verlässlicher Tischplanung). Ältere Vorfälle werden nicht mehr berücksichtigt; eine Weitergabe an andere Restaurants findet nicht statt. Solche Reservierungsanfragen werden nicht automatisch abgelehnt, sondern vom Restaurant manuell geprüft. Restaurants können einzelne Gäste zudem manuell von der Online-Reservierung ausschließen; auch diese Entscheidung trifft das Restaurant, nicht das System.

3. Empfänger und Drittländer

Für den sicheren Betrieb der Plattform setzen wir weisungsgebundene Dienstleister ein. Sofern Daten in Drittländer (z. B. USA) fließen, ist das Datenschutzniveau durch den EU-Angemessenheitsbeschluss (Data Privacy Framework) oder EU-Standardvertragsklauseln abgesichert.

  • Infrastruktur & Datenbank: Supabase, Inc. (Server in EU/Frankfurt), Vercel, Inc. (Server in EU/Frankfurt).
  • E-Mail-Versand: Resend, Inc. (Server in Irland).
  • Sicherheit & Spamschutz: Upstash, Inc. (Rate-Limiting, EU).
  • Fehler-Monitoring: Functional Software, Inc. (Sentry) — Speicherung in der EU-Region; ausschließlich technische Fehler- und Diagnosedaten zur Stabilitätssicherung, ohne IP-Adressen und ohne Klarnamen.
  • Anonyme Schnittstellen (Wetter/Adressen): Open-Meteo, DWD, openholidaysapi, Photon by Komoot (keine Verarbeitung von Gast-Daten).
  • Domain: INWX GmbH (Deutschland).

4. Cookies und Analytics

Wir verwenden ausschließlich technisch notwendige Cookies (z. B. für den Login-Status von Restaurant-Mitarbeitern). Ein Cookie-Banner ist daher nicht erforderlich.

Für die Messung von Seitenaufrufen und Ladezeiten nutzen wir Vercel Web Analytics und Speed Insights. Diese Dienste arbeiten vollständig anonymisiert, ohne Cookies und ohne die Speicherung dauerhafter Nutzerprofile.

5. Speicherdauer

  • Reservierungsdaten: Werden im Auftrag und nach Weisung der Restaurants gespeichert und auf Anforderung der Restaurants gelöscht. Es obliegt dem jeweiligen Restaurant, angemessene Löschfristen festzulegen.
  • Login-Sessions: Bleiben bestehen, bis zur aktiven Abmeldung oder bis die Sitzung systemseitig automatisch abläuft.
  • Server-Logs: Werden nur so lange gespeichert, wie es für die technische Sicherheit und Fehleranalyse (z. B. Abwehr von Hackerangriffen) zwingend erforderlich ist, und danach turnusmäßig überschrieben.

6. Newsletter & Direktwerbung

Sofern ein Restaurant die Newsletter-Funktion aktiviert, können Gäste dem Restaurant ausdrücklich erlauben, ihnen Angebote und Neuigkeiten per E-Mail zu senden. Auch hier ist das jeweilige Restaurant der Verantwortliche; RestRes verarbeitet die Daten nur weisungsgebunden als Auftragsverarbeiter (Art. 28 DSGVO) und stellt die Technik bereit.

  • Rechtsgrundlage: ausschließlich die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 UWG).
  • Double-Opt-in: Die Anmeldung wird erst wirksam, nachdem sie über einen Bestätigungslink in einer separaten, werbefreien E-Mail bestätigt wurde. Ohne Bestätigung erfolgt kein Versand.
  • Widerruf: Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden — über den Abmeldelink in jeder Werbe-E-Mail. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
  • Nachweis & gespeicherte Daten: Zum Nachweis der Einwilligung speichern wir im Auftrag des Restaurants E-Mail-Adresse, Status, Quelle und Zeitpunkt der Anmeldung bzw. Bestätigung. Diese Nachweisdaten werden auch nach einem Widerruf für die Dauer etwaiger Aufbewahrungs- und Nachweispflichten vorgehalten.
  • Versanddienstleister: Der Versand erfolgt über Resend, Inc. (Server in Irland; siehe Abschnitt 3).

7. Rechte der betroffenen Personen (Art. 15 – 21 DSGVO)

Betroffene Personen haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Hinweis: Um Rechte in Bezug auf eine Tischreservierung (z. B. Auskunft oder Löschung) geltend zu machen, ist das jeweilige Restaurant zuständig, da dieses rechtlich über die betreffenden Daten bestimmt. Anfragen, die bei uns eingehen, leiten wir an das Restaurant weiter.