Datenschutzerklärung

Stand: Mai 2026.

1. Verantwortliche

Schmeckt. ist eine Plattform von Lisa Dietrich Design.

Lisa Dietrich
Egelseestraße 47
6800 Feldkirch
Österreich

E-Mail: hallo@lisadietrich.design
Telefon: +43 660 5767719

2. Allgemeine Hinweise

Schmeckt. ist eine digitale Speisekarten-Plattform für Gastronomiebetriebe. Diese Datenschutzerklärung gilt für die Nutzung der Plattform unter schmeckt.online sowie für alle Brand-Seiten unter schmeckt.online/b/[name].

Für die in der Speisekarte selbst veröffentlichten Inhalte ist die jeweilige Restaurantbetreiberin oder der jeweilige Restaurantbetreiber datenschutzrechtlich verantwortlich. Diese verfügen über eine eigene Datenschutzerklärung und ein eigenes Impressum, die im Footer jeder Brand-Seite verlinkt sind.

Die Verarbeitung erfolgt auf Basis der DSGVO, des österreichischen Datenschutzgesetzes (DSG) und des TKG 2021.

3. Welche Daten werden verarbeitet

3.1 Gäste-Besuch einer Brand-Seite

Wer eine Speisekarte über Schmeckt. öffnet (per QR-Code, Direktlink oder eingebettetes iframe), übermittelt automatisch folgende technische Daten:

IP-Adresse, Datum und Uhrzeit, Browsertyp und -version, Betriebssystem, aufgerufene Seite, Referrer.

Diese Daten werden ausschließlich für den technischen Betrieb verarbeitet und nach 30 Tagen automatisch gelöscht. Sie werden nicht zu Profilen verknüpft.

Sprachpräferenzen werden im LocalStorage des Browsers gespeichert, ausschließlich auf dem Gerät, ohne Übertragung an uns.

3.2 Kundinnen und Kunden (Restaurantbetreiber:innen)

Bei der Registrierung und Nutzung der Plattform durch Restaurantbetreiber:innen werden folgende Daten verarbeitet:

Name, E-Mail-Adresse, Telefonnummer, Restaurantanschrift, UID falls vorhanden, eingestellte Karteninhalte und hochgeladene Bilder.

Bei kostenpflichtigen Plänen werden die Rechnungs- und Zahlungsdaten ausschließlich von Paddle als Merchant of Record verarbeitet (siehe Abschnitt 6).

4. Zwecke der Verarbeitung

Bereitstellung der Plattform und der individuellen Brand-Seiten. Pflege der Speisekarten durch Kund:innen. Vertragsabwicklung. Technischer Support und Wartung. Sicherheit der Plattform (Missbrauchserkennung, Angriffsabwehr).

5. Rechtsgrundlagen

Vertragsanbahnung und Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO (für Kund:innen). Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, technischer Betrieb). Erfüllung gesetzlicher Pflichten nach Art. 6 Abs. 1 lit. c DSGVO (etwa Aufbewahrungsfristen).

6. Auftragsverarbeiter und Sub-Dienstleister

Im Rahmen des Betriebs von Schmeckt. werden folgende Dienste eingesetzt. Die vollständige Liste mit aktuellem Stand finden Sie unter schmeckt.online/datenschutz/subdienstleister.

Lovable AB (Stockholm, Schweden): Plattform-Hosting, Backend-Infrastruktur, KI-Funktionen über den Lovable AI Gateway sowie Versand transaktionaler E-Mails (Login-Bestätigungen, Passwort-Reset) über die in Lovable Cloud integrierte Mail-Infrastruktur. Server in der EU. Über den Lovable AI Gateway werden ausgewählte KI-Modelle für Textgenerierung, Übersetzung und Bilderzeugung bereitgestellt, darunter Modelle von Google (Gemini-Familie) und OpenAI (GPT-Familie sowie GPT-Image). Die Auswahl und Anbindung dieser Modelle erfolgt durch Lovable als Auftragsverarbeiter, eine direkte Vertragsbeziehung zwischen Schmeckt. und den Modellanbietern besteht nicht.

Supabase Inc. (USA, mit EU-Region): Datenbank, Authentifizierung und Speicher. EU-Region (Frankfurt) aktiviert. Standardvertragsklauseln und EU-US Data Privacy Framework.

Paddle Payments Limited (Dublin, Irland): Paddle agiert als Merchant of Record und übernimmt die vollständige Abwicklung kostenpflichtiger Pläne. Das bedeutet: Paddle stellt die Rechnung an die Kundinnen und Kunden aus, verarbeitet die Zahlung, kümmert sich um die Umsatzsteuer in allen Ländern und überweist die Nettobeträge an Lisa Dietrich Design. Paddle ist datenschutzrechtlich eigenständig Verantwortlicher für sämtliche Zahlungs- und Rechnungsdaten. Diese Daten werden direkt zwischen Kundin oder Kunde und Paddle verarbeitet und nicht auf Schmeckt.-Servern gespeichert.

Sitz: The Academy, 42 Pearse Street, Dublin 2, D02 HV59, Irland. Im Rahmen der globalen Paddle-Gruppe können Daten an verbundene Unternehmen in Großbritannien (Paddle.com Market Limited, London), den USA (Paddle.com Inc., New York) und Kanada (Paddle.com Canada Ltd, Toronto) übermittelt werden, abgesichert über Adequacy-Beschlüsse der EU-Kommission (UK, Kanada) bzw. Standardvertragsklauseln und EU-US Data Privacy Framework. Datenschutz: paddle.com/legal/privacy.

Mit allen Sub-Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO.

7. Drittlandstransfer

Datenübertragungen an Anbieter mit Sitz außerhalb der EU erfolgen auf Basis der Standardvertragsklauseln der EU-Kommission (Durchführungsbeschluss 2021/914) und, soweit der jeweilige Anbieter zertifiziert ist, des EU-US Data Privacy Frameworks.

Bei KI-Anfragen über den Lovable AI Gateway kann es vorkommen, dass Anfragen an Modelle weitergeleitet werden, deren Anbieter (etwa Google oder OpenAI) ihren Sitz in den USA haben. Lovable stellt sicher, dass entsprechende Transfergrundlagen vorliegen.

Bei Zahlungsabwicklungen über Paddle können Daten innerhalb der Paddle-Gruppe an Standorte in Großbritannien, den USA und Kanada übermittelt werden. Für UK und Kanada gelten die jeweiligen Adequacy-Beschlüsse der EU-Kommission, für die USA gelten Standardvertragsklauseln und das EU-US Data Privacy Framework.

8. Cookies und vergleichbare Technologien

Schmeckt. setzt ausschließlich technisch notwendige Cookies und LocalStorage-Einträge ein, die für den Betrieb erforderlich sind (etwa zum Speichern der Sprachpräferenz). Dafür ist nach § 165 Abs. 3 TKG 2021 keine Einwilligung erforderlich.

Es werden keine Analytics-, Tracking- oder Marketing-Cookies eingesetzt. Es werden keine Daten für Werbezwecke verkauft oder weitergegeben.

9. KI-gestützte Funktionen

Schmeckt. bietet KI-gestützte Funktionen für Bilderzeugung, Übersetzung und Textbeschreibungen. Alle KI-Anfragen werden über den Lovable AI Gateway abgewickelt. Welches konkrete Modell zum Einsatz kommt, hängt von der jeweiligen Funktion und der aktuellen Konfiguration durch Lovable ab. Aktuell werden Modelle aus den Familien Google Gemini und OpenAI GPT eingesetzt.

Alle KI-Funktionen werden ausschließlich von den Restaurantbetreiber:innen aktiv genutzt und stehen unter deren redaktioneller Kontrolle. Vor jeder Veröffentlichung müssen KI-generierte Inhalte von der Betreiberin oder dem Betreiber freigegeben werden.

KI-generierte Inhalte werden auf den öffentlichen Brand-Seiten gekennzeichnet (Bilder als „KI-Bild", maschinelle Übersetzungen mit entsprechendem Hinweis). Details: schmeckt.online/ki-transparenz.

10. Speicherdauer

Gäste-Zugriffsdaten: 30 Tage. Backups maximal 90 Tage.

Kundendaten: für die Dauer der Geschäftsbeziehung, danach 30 Tage Karenzzeit mit Möglichkeit zum Export, anschließend Löschung. Gesetzliche Aufbewahrungspflichten (Bundesabgabenordnung, sieben Jahre für Rechnungen) bleiben unberührt.

KI-Nutzungsprotokolle: 24 Monate, zur Nachweisführung gegenüber der KI-Servicestelle der RTR nach EU AI Act.

11. Ihre Rechte

Sie haben jederzeit folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO), Recht auf Berichtigung (Art. 16 DSGVO), Recht auf Löschung (Art. 17 DSGVO), Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), Recht auf Datenübertragbarkeit (Art. 20 DSGVO), Recht auf Widerspruch (Art. 21 DSGVO), Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO).

Zur Ausübung wenden Sie sich an hallo@lisadietrich.design. Wir antworten innerhalb eines Monats (Art. 12 DSGVO).

Für Anfragen zu Zahlungs- oder Rechnungsdaten wenden Sie sich bitte direkt an Paddle unter privacy@paddle.com, da Paddle diese Daten als eigenständig Verantwortlicher verarbeitet.

12. Beschwerderecht

Bei vermuteten Verstößen gegen geltendes Datenschutzrecht steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 521 52-25 69
E-Mail: dsb@dsb.gv.at
Web: dsb.gv.at

Kundinnen und Kunden mit Sitz in Deutschland können sich zusätzlich an die jeweils zuständige Landesdatenschutzbehörde wenden.

13. KI-Aufsicht

Für Fragen zur Umsetzung des EU AI Act ist in Österreich die KI-Servicestelle bei der RTR zuständig:

KI-Servicestelle der RTR
Mariahilfer Straße 77-79, 1060 Wien
E-Mail: ki-servicestelle@rtr.at
Web: rtr.at/ki

14. Hinweise für Kundinnen und Kunden in der Schweiz

Für Restaurantbetreiber:innen mit Sitz in der Schweiz gilt zusätzlich das revidierte Schweizer Bundesgesetz über den Datenschutz (revDSG). Die hier beschriebenen Schutzstandards entsprechen den Anforderungen des revDSG.

Beschwerden können beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten eingebracht werden:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, 3003 Bern, Schweiz
Web: edoeb.admin.ch

15. Sicherheit

Die Übertragung erfolgt verschlüsselt über HTTPS. Wir setzen technische und organisatorische Maßnahmen ein, um Daten vor unbefugtem Zugriff, Verlust, Veränderung und Missbrauch zu schützen. Backups sind verschlüsselt und werden in EU-Rechenzentren gehalten.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen oder die technische Umsetzung ändern. Kundinnen und Kunden werden über wesentliche Änderungen vorab per E-Mail informiert. Die jeweils aktuelle Fassung finden Sie unter schmeckt.online/datenschutz.

Stand: Mai 2026.