SmartOrderSmartOrder← Zurück zur Startseite

Datenschutzerklärung

Stand: April 2026

1. Verantwortliche Stelle

Verantwortlich für die Bearbeitung von Personendaten auf dieser Website und der Plattform SmartOrder ist:

Smart Order Winterberg
Gian Luca Winterberg
Katzenbachweg 1
8052 Zürich
Schweiz
winterberg@smart-order.ch

2. Allgemeines zur Datenbearbeitung

Wir bearbeiten Personendaten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Eine Bearbeitung von Personendaten erfolgt regelmässig nur nach ausdrücklicher Einwilligung der betroffenen Person oder wenn die Bearbeitung durch gesetzliche Vorschriften gestattet ist (z. B. zur Vertragserfüllung oder aufgrund berechtigter Interessen).

Unsere Plattform richtet sich an Restaurantbetreiber in der Schweiz. Für den Betrieb setzen wir technisch notwendige Dienste ein, die in den nachfolgenden Abschnitten beschrieben werden. Es werden keine Marketing-Tracker, keine sozialen Plugins und keine externen Werbedienste eingesetzt.

3. Welche Daten wir bearbeiten

3.1 Beim Besuch der Website

Beim Aufrufen unserer Website werden durch den Webserver automatisch folgende technische Daten erfasst:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL / Seite
  • Browser-Typ und -Version
  • Betriebssystem
  • Referrer-URL (zuletzt besuchte Seite)

Diese Daten werden ausschliesslich zu technischen Zwecken (Sicherheit, Fehlerbehebung) benötigt und nicht mit anderen Datenquellen zusammengeführt.

3.2 Bei der Registrierung als Restaurantbetreiber

Wenn Sie sich als Restaurantbetreiber registrieren, erheben wir:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert, nicht im Klartext)
  • Name des Restaurants
  • Optionale Einstellungen (Logo, Farbe, Zahlungsanbieter-Konfiguration)

3.3 Bei Bestellungen über das Gäste-Menü

Wenn ein Gast über einen QR-Code bestellt, werden folgende Daten erfasst:

  • Bestellpositionen und Bestellbetrag
  • Tischkennung
  • Zeitstempel der Bestellung
  • Zahlungsstatus (bezahlt / ausstehend)
  • Allfällige Zahlungsdaten (werden direkt an den Zahlungsanbieter übermittelt, s. Ziffer 7)

Gäste müssen sich nicht registrieren. Es werden keine personenbezogenen Daten von Gästen dauerhaft gespeichert, sofern dies nicht für die Zahlungsabwicklung erforderlich ist.

3.4 Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, speichern wir die übermittelten Angaben (E-Mail-Adresse, Name, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage. Die Daten werden nach Abschluss der Korrespondenz gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

4. Zwecke und Rechtsgrundlagen der Bearbeitung

ZweckRechtsgrundlage (nDSG)
Bereitstellung der Plattform und des DienstesVertragserfüllung (Art. 31 Abs. 2 lit. a nDSG)
Bestellabwicklung und ZahlungsverarbeitungVertragserfüllung
Sicherheit und MissbrauchspräventionBerechtigte Interessen (Art. 31 Abs. 1 nDSG)
Buchhaltung und gesetzliche AufbewahrungGesetzliche Pflicht (OR, MWSTG)
Beantwortung von AnfragenVertragserfüllung / berechtigte Interessen
Technischer Betrieb (Server-Logs)Berechtigte Interessen

5. Cookies und Session-Daten

Wir verwenden ausschliesslich technisch notwendige Cookies und Session-Mechanismen. Es werden keine Tracking-Cookies, keine Werbe-Cookies und keine Cookies von Drittanbietern zu Marketing-Zwecken gesetzt.

  • Session-Cookie (smartorder-session): Wird nach dem Login gesetzt, um die Sitzung des Restaurantbetreibers zu verwalten. Das Cookie ist verschlüsselt, HTTPOnly, SameSite=Lax und wird – in Produktion – nur über HTTPS übertragen. Die Gültigkeit beträgt bis zu sieben Tage und verlängert sich nicht automatisch; bei Abmeldung wird es sofort gelöscht.
  • Tisch-Token (qrToken): Technische Kennung im URL-Pfad des Gäste-Menüs (z. B. /t/<venueId>/<tableToken>). Kein personenbezogenes Cookie, nur auf das jeweilige Restaurant und den Tisch bezogen.
  • Checkout-Session-ID: Temporäre, zufällige Kennung, um den Bestell-/Zahlungsvorgang eines Gastes technisch zusammenzuhalten; wird nach Abschluss oder Ablauf (30 Minuten) nicht mehr verwendet.

Da ausschliesslich technisch erforderliche Cookies eingesetzt werden, ist für diese keine gesonderte Einwilligung erforderlich.

6. Speicherdauer

Personendaten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist:

  • Bestelldaten: Werden für Buchhaltungs- und Berichtszwecke gespeichert. Gemäss Schweizer OR besteht eine gesetzliche Aufbewahrungspflicht von 10 Jahren für buchhalterisch relevante Belege.
  • Registrierungsdaten (Restaurantbetreiber): Für die Dauer der Vertragsbeziehung, danach maximal 12 Monate, soweit kein berechtigtes Interesse oder gesetzliche Pflicht besteht.
  • Server-Logs: Maximal 30 Tage, danach automatische Löschung.
  • E-Mail-Korrespondenz: Bis zu 3 Jahre nach Abschluss der Kommunikation oder solange ein berechtigtes Interesse besteht.

7. Weitergabe an Dritte und Auftragsbearbeiter

Wir geben Personendaten nicht an Dritte weiter, ausser dies ist für den Betrieb der Plattform notwendig oder gesetzlich vorgeschrieben. Folgende Kategorien von Dienstleistern setzen wir als Auftragsbearbeiter ein:

7.1 Hosting / Infrastruktur

Die Plattform wird auf Servern eines Cloud-Hosting-Anbieters betrieben. Die Daten können dabei auf Servern in der Europäischen Union oder in der Schweiz gespeichert werden. Mit dem Hosting-Anbieter besteht ein Auftragsbearbeitungsvertrag.

7.2 Zahlungsabwicklung

Für die Zahlungsverarbeitung am Tisch werden je nach Konfiguration des Restaurantbetreibers folgende Zahlungsdienstleister eingesetzt:

  • SumUp (SumUp Ltd., Irland) — Kartenzahlung und TWINT
  • Payrexx AG (Schweiz) — Online-Zahlungen, Kartenzahlung, TWINT
  • Datatrans AG (Schweiz) — Online-Zahlungsgateway
  • Weitere Zahlungsanbieter je nach individueller Konfiguration des Restaurants

Bei Zahlungen werden die erforderlichen Zahlungsdaten (z. B. Karteninformationen) direkt vom Zahlungsanbieter erhoben und verarbeitet. SmartOrder hat keinen Zugriff auf vollständige Kartendaten. Die Datenschutzerklärungen der jeweiligen Anbieter gelten für deren Datenverarbeitung.

7.3 E-Mail-Versand

Für den automatisierten E-Mail-Versand (z. B. Registrierungsbestätigungen, Passwort-Reset) setzen wir einen E-Mail-Dienstleister ein, der als Auftragsbearbeiter fungiert.

7.4 Datenbankdienste

Die Daten werden in einer gesicherten Datenbank gespeichert, die durch einen Datenbankdienstleister betrieben wird. Mit diesem besteht ein Auftragsbearbeitungsvertrag.

Eine Weitergabe an staatliche Behörden erfolgt ausschliesslich auf gesetzliche Anordnung hin (z. B. richterlicher Befehl, behördliches Auskunftsersuchen).

8. Datenübermittlung ins Ausland

Soweit Daten an Dienstleister in Ländern ausserhalb der Schweiz übermittelt werden, die kein dem schweizerischen Datenschutzniveau angemessenes Schutzniveau bieten, stellen wir durch geeignete Massnahmen (z. B. Standardvertragsklauseln der EU-Kommission oder gleichwertige Garantien) ein angemessenes Schutzniveau sicher.

Zahlungsanbieter wie SumUp haben ihren Sitz in der EU (Irland). Für die EU gilt gemäss Entscheid des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ein angemessenes Schutzniveau.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Personendaten:

  • Verschlüsselte Datenübertragung via HTTPS/TLS
  • Passwörter werden nicht im Klartext gespeichert, sondern mit einem modernen Schlüsselableitungsverfahren (PBKDF2-HMAC-SHA512, 210'000 Iterationen, individuellem Salt) gehasht.
  • Zugriffsbeschränkungen auf Systeme und Datenbanken (Mandanten-/Rollentrennung)
  • Session-Verwaltung mit verschlüsselten, HTTPOnly-Cookies (AES-256-GCM)
  • Signaturprüfung (HMAC) bei eingehenden Zahlungs-Webhooks
  • Rate-Limiting sensibler Endpunkte (Login, Passwort-Reset, Registrierung)
  • Content-Security-Policy, HSTS und weitere Sicherheits-Header
  • Regelmässige Sicherheitsupdates der eingesetzten Software
  • Kein Einsatz externer Tracking- oder Analysedienste, keine Google Fonts

10. Rechte der betroffenen Personen

Sie haben gemäss dem Schweizerischen Bundesgesetz über den Datenschutz (nDSG) folgende Rechte:

  • Auskunftsrecht (Art. 25 nDSG): Sie können jederzeit Auskunft darüber verlangen, ob und welche Personendaten wir über Sie bearbeiten.
  • Recht auf Berichtigung: Sie können die Berichtigung unrichtiger Personendaten verlangen.
  • Recht auf Löschung: Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
  • Recht auf Einschränkung der Bearbeitung: Unter bestimmten Voraussetzungen können Sie die Einschränkung der Bearbeitung verlangen.
  • Recht auf Datenherausgabe und -übertragung: Sie können die Herausgabe der von Ihnen bereitgestellten Daten in einem gängigen, maschinenlesbaren Format verlangen.
  • Widerspruchsrecht: Sie können der Bearbeitung Ihrer Daten auf Basis berechtigter Interessen widersprechen.

Zur Wahrnehmung Ihrer Rechte wenden Sie sich bitte schriftlich oder per E-Mail an die unter Ziffer 11 genannte Kontaktstelle. Wir beantworten Ihr Ersuchen innerhalb von 30 Tagen.

Darüber hinaus haben Sie das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen: www.edoeb.admin.ch

11. Kontakt für Datenschutzanfragen

Für Fragen zum Datenschutz, zur Geltendmachung Ihrer Rechte oder sonstige datenschutzrelevante Anliegen wenden Sie sich bitte an:

Smart Order Winterberg
Gian Luca Winterberg
Katzenbachweg 1
8052 Zürich
winterberg@smart-order.ch

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen, etwa um rechtlichen Anforderungen zu entsprechen oder Änderungen unseres Dienstes abzubilden. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Das Datum der letzten Aktualisierung ist oben vermerkt.

← Zurück zur StartseiteImpressum