Datenschutzerklaerung
Letzte Aktualisierung: 27. April 2026
Diese Datenschutzerklaerung beschreibt, wie QUANTEMI S.R.L. ("Rezervatio", "wir") personenbezogene Daten erhebt, verwendet, speichert, weitergibt und schuetzt, in Uebereinstimmung mit der Datenschutz-Grundverordnung (DSGVO — EU-Verordnung 2016/679), dem rumaenischen Gesetz Nr. 190/2018 und dem geltenden Recht.
Diese Erklaerung gilt fuer Nutzer (Geschaeftsinhaber, die die Plattform nutzen), Endkunden (Personen, die anrufen und mit dem KI-Sprachagenten interagieren) sowie Nutzer der Rezervatio-Book-App (Kunden, die Reservierungen direkt ueber unsere mobile App vornehmen).
1. Identitaet des Verantwortlichen / Auftragsverarbeiters
Steuernummer (CUI): 54694424
Handelsregisternummer: J2026031979003
Eingetragener Sitz: Năvodari, Jud. Constanța, Str. Liniștii nr. 8
Allgemeine E-Mail: contact@rezervatio.ai
Datenschutz-E-Mail (DSB): privacy@rezervatio.ai
Website: www.rezervatio.ai
1.1 DSGVO-Rollen
| Kontext | Rezervatio-Rolle | Erklaerung |
|---|---|---|
| Nutzerdaten (Konto, Abrechnung) | Verantwortlicher (Controller) | Rezervatio entscheidet ueber Zweck und Mittel der Verarbeitung der Kontodaten des Nutzers |
| Endkundendaten (Reservierungen, Anrufe) | Auftragsverarbeiter (Processor) | Rezervatio verarbeitet die Endkundendaten im Namen und gemaess den Anweisungen des Nutzers (des Verantwortlichen) |
2. Welche personenbezogenen Daten wir erheben
2.1 Nutzerdaten (Geschaeftsinhaber) — Rezervatio als Verantwortlicher
| Kategorie | Spezifische Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Konto und Authentifizierung | Vorname, Nachname, E-Mail-Adresse, Passwort (kryptographischer Hash) | Kontoerstellung, Authentifizierung, Kommunikation | Vertragserfuellung — Art. 6(1)(b) |
| Geschaeftsdaten | Geschaeftsname, Adresse, Telefon, E-Mail, Geschaeftsbereich, Steuernummer (optional) | KI-Agent-Konfiguration, Service-Personalisierung | Vertragserfuellung — Art. 6(1)(b) |
| Operative Konfiguration | Oeffnungszeiten, Zonen, Tische/Plaetze, Agentenpraeferenzen, personalisierte Nachrichten | Ordnungsgemaesser Betrieb des Reservierungsdienstes | Vertragserfuellung — Art. 6(1)(b) |
| Abrechnungsdaten | Kartendaten (ausschliesslich vom zertifizierten Zahlungsdienstleister verarbeitet — Rezervatio speichert keine Kartennummern), Rechnungsadresse, Steuernummer | Zahlungsverarbeitung, Rechnungsstellung | Vertragserfuellung — Art. 6(1)(b) + Rechtliche Verpflichtung — Art. 6(1)(c) |
| Nutzungsdaten | Verbrauchte Minuten, Anzahl der Anrufe, Dashboard-Aktivitaetsprotokolle | Abrechnung, Statistik, Serviceverbesserung | Vertragserfuellung — Art. 6(1)(b) + Berechtigtes Interesse — Art. 6(1)(f) |
| Technische Daten | IP-Adresse, Browsertyp, Betriebssystem, aufgerufene Seiten | Sicherheit, Fehlerbehebung, Betrugspraevention | Berechtigtes Interesse — Art. 6(1)(f) |
2.2 Endkundendaten (Anrufer) — Rezervatio als Auftragsverarbeiter
| Kategorie | Spezifische Daten | Zweck | Rechtsgrundlage (des Nutzers) |
|---|---|---|---|
| Reservierungsdaten | Vorname, Nachname, Telefonnummer (Anrufer-ID), E-Mail (optional), Anzahl der Personen | Erstellung, Verwaltung und Bestaetigung der Reservierung | Berechtigtes Interesse des Unternehmens — Art. 6(1)(f) oder Einwilligung — Art. 6(1)(a) |
| Praeferenzen | Lebensmittelallergien, besondere Anlaesse, besondere Anforderungen, bevorzugte Zone | Personalisierung des Erlebnisses, Lebensmittelsicherheit | Berechtigtes Interesse — Art. 6(1)(f) / Einwilligung — Art. 6(1)(a) |
| Sprachdaten | Stimme in Echtzeit (per Streaming verarbeitet, nicht als Audiodatei auf den Servern von Rezervatio gespeichert), Texttranskript des Gespraechs | Verstehen und Verarbeiten der Reservierungsanfrage durch den KI-Agenten | Berechtigtes Interesse — Art. 6(1)(f) |
| Anrufmetadaten | Anrufer-Telefonnummer (Anrufer-ID), angerufene Nummer, Anrufdauer, Datum und Uhrzeit, Sitzungsidentifikator | Abrechnung an den Nutzer, Statistik, technischer Support, Audit | Vertragserfuellung mit dem Nutzer — Art. 6(1)(b) + Berechtigtes Interesse — Art. 6(1)(f) |
2.3 Demo-Anruf (nicht angemeldeter Besucher)
Beim Initiieren eines Demo-Anrufs von der Startseite ("Ruf mich an"-Formular):
| Kategorie | Spezifische Daten | Quelle |
|---|---|---|
| Anruf-Identifikation | Telefonnummer, IP-Adresse, Zeitstempel | Besucher (manuelle Eingabe) |
| Anti-Missbrauch | Temporärer OTP-Code (SMS, gültig 10 Minuten), Cloudflare Turnstile-Token | Automatisch generiert zur Verifizierung des Nummerinhabers |
Rechtsgrundlage: ausdrückliche Einwilligung (Art. 6(1)(a) DSGVO). Sie erteilen die Erlaubnis, indem Sie auf "Ruf mich an" klicken und den per SMS erhaltenen OTP-Code eingeben.
Auftragsverarbeiter: dieselben wie für die gesamte Plattform — siehe Abschnitt 5 (Telnyx für Telefonie/SMS, ElevenLabs für KI-Sprachagent, Cloudflare für Turnstile Anti-Bot).
Das Sprachgespräch läuft über ElevenLabs zur Echtzeitverarbeitung. Wir speichern das Audio nicht; das automatische Transkript wird von ElevenLabs maximal 30 Tage an der Quelle aufbewahrt.
Demo-spezifische Aufbewahrung: Telefonnummer und IP werden nach 7 Tagen automatisch gelöscht (strenger Zeitraum zur Missbrauchsprävention — mehrere Anrufe an Drittnummern). OTP-Codes laufen in 10 Minuten ab und werden nach 24 Stunden vollständig bereinigt.
Ihre Rechte: Sie können die sofortige Löschung der verwendeten Nummer per E-Mail an privacy@rezervatio.ai anfordern. Daten werden innerhalb von 72 Stunden gelöscht.
2.4 Von Nutzern der Rezervatio Book-App erhobene Daten
Nutzer, die in der mobilen Rezervatio Book-App ein Konto erstellen, um direkt (ohne Anruf) zu buchen:
| Kategorie | Konkrete Daten |
|---|---|
| Kontoidentifikation | Telefonnummer (OTP-Anmeldung); der Name ist bei der ersten Anmeldung erforderlich; E-Mail (bei Anmeldung mit Google oder Apple) |
| Eigene Reservierungen | Verlauf der über die App vorgenommenen Reservierungen, Status, Anmerkungen |
| Reservierungsnachrichten | Inhalt der mit dem Unternehmen im Zusammenhang mit einer Reservierung ausgetauschten Nachrichten. Werden bei Kontolöschung gelöscht. Grundlage: Vertragserfüllung (Art. 6(1)(b)). |
| Favoriten | Als Favoriten gespeicherte Unternehmen / Fachkräfte |
| Push-Benachrichtigungen | Push-Token / vom Betriebssystem des Geräts generierte Benachrichtigungskennung, ausschließlich für reservierungsbezogene Benachrichtigungen; jederzeit in den Einstellungen deaktivierbar. Grundlage: Einwilligung (Art. 6(1)(a)). |
| Standort | Nur lokal auf dem Gerät (sofern Sie Zugriff gewähren), zur Anzeige der Karte und nahegelegener Unternehmen — wird nicht an unsere Server übertragen oder dort gespeichert. |
| Kamera | Kamerazugriff nur zum Scannen eines Business-QR-Codes (schnelle Reservierung). Das Bild wird lokal auf dem Gerät verarbeitet; es wird nicht an unsere Server übertragen oder dort gespeichert. |
| Kalender | Wenn Sie „Zum Kalender hinzufügen" wählen, wird die Reservierung als Ereignis in Ihren Gerätekalender geschrieben. Dies ist ein rein lokaler Vorgang; wir greifen nicht auf Ihre Kalenderdaten zu und speichern sie nicht. |
| Nutzungsdaten | Anmelde-IP-Adressen, Gerät, Betriebssystem |
| Einwilligungen | Annahme durch fortgesetzte Nutzung (Bedingungen + Datenschutzerklärung); die App erfasst keine Versionen/Datum/IP — im Gegensatz zum Business-Dashboard-Konto, in dem Einwilligungen versioniert erfasst werden. |
3. Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO)
| Rechtsgrundlage | DSGVO-Artikel | Anwendbarkeit |
|---|---|---|
| Vertragserfuellung | Art. 6(1)(b) | Bereitstellung von Diensten an Nutzer gemaess gewaehltem Abonnement; Verarbeitung von Reservierungen |
| Berechtigtes Interesse | Art. 6(1)(f) | Serviceverbesserung, Betrugspraevention, Sicherheit, aggregierte Statistiken, technischer Support |
| Einwilligung | Art. 6(1)(a) | Marketingkommunikation (Newsletter, Aktionen) — optional, jederzeit widerrufbar |
| Rechtliche Verpflichtung | Art. 6(1)(c) | Steuer- und buchhalterische Konformitaet (Aufbewahrung der Rechnungen 10 Jahre gemaess Steuergesetz), Beantwortung von Behoerdenanfragen |
4. Wie wir die Daten verwenden
Wir verwenden personenbezogene Daten ausschliesslich fuer:
- Servicebereitstellung — Anrufverarbeitung durch den KI-Agenten, Erstellung und Verwaltung von Reservierungen, Versand von Bestaetigungen
- Kontoverwaltung — Authentifizierung, Abonnementverwaltung, Abrechnung
- Wesentliche Mitteilungen — Service-Benachrichtigungen, Aenderungen der Bedingungen, Sicherheitswarnungen
- Technischer Support — Loesung der von Nutzern gemeldeten Probleme
- Plattformverbesserung — aggregierte und anonymisierte Nutzungsanalyse zur Service-Optimierung
- Sicherheit — Erkennung und Praevention von Betrug, Missbrauch, Cyberangriffen
- Rechtskonformitaet — Erfuellung steuerlicher, buchhalterischer und Berichtspflichten
Wir verwenden Daten NICHT fuer: automatisiertes Profiling mit rechtlichen Wirkungen, Verkauf an Dritte, verhaltensbasierte Werbung, ausschliesslich automatisierte Entscheidungsfindung mit erheblichem Einfluss.
5. Auftragsverarbeiter
Wir verkaufen oder vermieten Ihre Daten an niemanden. Wir teilen Daten nur mit Dienstleistern, die fuer den Betrieb der Plattform unbedingt erforderlich sind:
| Anbieter | Zweck |
|---|---|
| KI-Sprachagent | Sprachverarbeitung (Speech-to-Text und Text-to-Speech) |
| Telefonie | Telefonie- und SMS-Dienste |
| Hosting | ISO 27001 zertifizierte Infrastruktur in der Europaeischen Union |
| Transaktions-E-Mail | Zertifizierter Anbieter mit EU-Lokalisierung |
| CDN und Sicherheit | Cloudflare |
| Zahlungsabwicklung | PCI DSS Level 1 zertifizierter Zahlungsdienstleister |
| Authentifizierung (Apple) | "Sign in with Apple" — Identität (DPF + SCC) |
| Authentifizierung (Google) | "Google Sign-In" — Identität (DPF + SCC) |
| Push-Benachrichtigungen (Expo) | Zustellung von Push-Benachrichtigungen — Expo Push (DPF + SCC) |
Die vollstaendige, detaillierte und aktuelle Liste der Auftragsverarbeiter (mit genauen Namen, Serverstandorten und spezifischen Rollen) ist im Anhang zum Auftragsverarbeitungsvertrag (AVV) verfuegbar, der allen aktiven B2B-Kunden beim Onboarding bereitgestellt wird.
Der Verantwortliche (B2B-Nutzer) wird mindestens 30 Tage vor der Hinzufuegung oder Ersetzung eines Auftragsverarbeiters benachrichtigt, gemaess Art. 28(2) DSGVO.
6. Internationale Datenuebermittlungen
Daten werden vorwiegend in der Europaeischen Union gespeichert. Fuer Anbieter mit Operationen ausserhalb der EU verwenden wir das EU-US Data Privacy Framework und Standardvertragsklauseln (SCC) als Rechtsmechanismen gemaess Kapitel V der DSGVO. Alle Uebermittlungen sind verschluesselt.
7. Datenspeicherung
Wir bewahren personenbezogene Daten nur so lange auf, wie es fuer die Zwecke, fuer die sie erhoben wurden, oder gemaess Gesetz erforderlich ist:
| Datenart | Aufbewahrungsdauer | Begruendung |
|---|---|---|
| Nutzerkonto (aktiv) | Fuer die gesamte Dauer des aktiven Kontos | Fuer die Servicebereitstellung erforderlich |
| Nutzerkonto (nach Loeschung) | 30 Tage nach Loeschungsantrag | Kulanzfrist fuer Wiederherstellung |
| Reservierungen und zugehoerige Daten | 12 Monate ab Reservierungsdatum | Statistik, Streitfaelle, Support |
| Sprachgespraechszusammenfassungen | 30 Tage ab Anrufdatum | Support, Fehlerbehebung, Serviceverbesserung |
| Audioaufzeichnungen | Werden nicht auf den Servern von Rezervatio gespeichert — nur Echtzeitverarbeitung (Streaming) | N/A |
| Anrufmetadaten (Call-Logs) | 12 Monate | Abrechnung, Statistik, Audit |
| Verwaiste Anrufsitzungen (ohne zugeordnete Reservierung) | 30 Tage | Vollständige Löschung |
| Abrechnungs- und Steuerdaten | 10 Jahre | Rechtliche Verpflichtung — Steuergesetz, Buchhaltungsgesetz |
| Technische Protokolle (Server, Fehler) | 30 Tage | Sicherheit, Fehlerbehebung |
| Sicherheitsprotokolle (Authentifizierung) | 6 Monate | Erkennung unberechtigten Zugriffs, Compliance |
| Demo-Anrufe von der Startseite (Telefonnummer, IP) | 7 Tage | Strenge Missbrauchsprävention — automatischer täglicher Cron |
| Demo-OTP-Codes (SMS-Verifizierung) | 10 Minuten (Gültigkeit) → 24 Stunden (vollständige Bereinigung) | Automatische Löschung |
Nach Ablauf der Aufbewahrungsdauer werden die Daten automatisch geloescht oder unwiderruflich anonymisiert.
8. Ihre Rechte (Art. 15-22 DSGVO)
Als betroffene Person haben Sie die folgenden Rechte, die kostenlos ausgeuebt werden koennen:
8.1 Auskunftsrecht (Art. 15)
Sie koennen die Bestaetigung anfordern, dass wir Sie betreffende personenbezogene Daten verarbeiten, sowie eine Kopie dieser Daten zusammen mit Informationen ueber Zweck, Kategorien, Empfaenger und Aufbewahrungsfristen.
8.2 Recht auf Berichtigung (Art. 16)
Sie koennen die Berichtigung unrichtiger oder die Vervollstaendigung unvollstaendiger Daten verlangen, ohne unangemessene Verzoegerung.
8.3 Recht auf Loeschung — "Recht auf Vergessenwerden" (Art. 17)
Sie koennen die Loeschung personenbezogener Daten in folgenden Faellen verlangen: die Daten sind fuer den urspruenglichen Zweck nicht mehr erforderlich; Sie widerrufen Ihre Einwilligung; Sie widersprechen der Verarbeitung; die Daten wurden unrechtmaessig verarbeitet. Dieses Recht gilt nicht, wenn wir eine gesetzliche Aufbewahrungspflicht haben.
8.4 Recht auf Einschraenkung der Verarbeitung (Art. 18)
Sie koennen die Einschraenkung der Verarbeitung verlangen, wenn: Sie die Richtigkeit der Daten bestreiten; die Verarbeitung unrechtmaessig ist, Sie aber keine Loeschung wuenschen; wir die Daten zur Geltendmachung/Ausuebung eines Rechts vor Gericht benoetigen; Sie der Verarbeitung widersprochen haben (in Erwartung der Pruefung).
8.5 Recht auf Datenuebertragbarkeit (Art. 20)
Sie koennen Ihre Daten in einem strukturierten, gaengigen und maschinenlesbaren Format (JSON) auf Anfrage erhalten, indem Sie privacy@rezervatio.ai kontaktieren, und diese Daten an einen anderen Verantwortlichen uebermitteln. Wir antworten innerhalb der gesetzlichen Frist (ein Monat, Art. 12(3) DSGVO).
8.6 Widerspruchsrecht (Art. 21)
Sie koennen jederzeit der Verarbeitung auf der Grundlage berechtigter Interessen (Art. 6(1)(f)) widersprechen, einschliesslich Profiling. Wir werden die Verarbeitung einstellen, ausser wenn wir zwingende berechtigte Gruende nachweisen.
8.7 Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22)
Sie haben das Recht, keiner ausschliesslich auf automatisierter Verarbeitung beruhenden Entscheidung, einschliesslich Profiling, unterworfen zu werden, die rechtliche Wirkung oder aehnliches entfaltet. Unser KI-Agent verarbeitet Reservierungsanfragen, trifft jedoch keine Entscheidungen mit erheblichen rechtlichen Wirkungen auf betroffene Personen.
8.8 Recht auf Widerruf der Einwilligung (Art. 7(3))
Im Falle einer Verarbeitung auf Grundlage einer Einwilligung koennen Sie diese jederzeit widerrufen, ohne die Rechtmaessigkeit der vor dem Widerruf erfolgten Verarbeitung zu beruehren.
8.9 Ausuebung der Rechte
Antwortfrist: maximal 30 Kalendertage ab Eingang der Anfrage (in komplexen Faellen um 60 Tage verlaengerbar, mit Benachrichtigung)
Identifikation: Wir koennen eine Identitaetsueberpruefung verlangen, um unberechtigten Zugriff auf Daten zu verhindern
Kosten: Kostenlos. Bei wiederholten oder uebermaessigen Anfragen koennen wir eine angemessene Gebuehr erheben oder die Anfrage ablehnen, gemaess Art. 12(5) DSGVO.
Endkunden (Personen, die Reservierungen vornehmen): Da der Nutzer (das Unternehmen) der Verantwortliche fuer Ihre Daten ist, wenden Sie sich bitte zunaechst an das jeweilige Unternehmen. Wenn Sie innerhalb von 30 Tagen keine zufriedenstellende Antwort erhalten, koennen Sie uns direkt unter privacy@rezervatio.ai kontaktieren.
9. Datensicherheit (Art. 32 DSGVO)
Wir setzen geeignete technische und organisatorische Massnahmen um, gemaess Art. 32 DSGVO, einschliesslich:
9.1 Technische Massnahmen
- Verschluesselung bei der Uebertragung mittels moderner TLS-Protokolle fuer alle Datenuebertragungen
- Sichere Passwortspeicherung mittels robuster kryptographischer Hash-Funktionen
- Datenbankisolierung mittels Sicherheitsmechanismen auf Zeilenebene (Row Level Security)
- Netzwerkschutz — Firewall, DDoS-Schutz und Rate Limiting
- Automatisches Backup taeglich, verschluesselt, mit Notfallwiederherstellungsplan
- Beschraenkter administrativer Zugriff — Multi-Faktor-Authentifizierung und Mechanismen zur Erkennung unberechtigten Zugriffs
- Moderne Authentifizierung — Token mit begrenzter Dauer und MFA-Unterstuetzung
- Aktive Ueberwachung — sichere Protokollierung und Vorfallreaktion
Die vollstaendigen technischen Details zu den Sicherheitsmassnahmen sind aktiven B2B-Kunden im Rahmen des Auftragsverarbeitungsvertrags (AVV) verfuegbar und koennen im Rahmen von Sicherheitsaudits mit vorheriger Ankuendigung praesentiert werden.
9.2 Organisatorische Massnahmen
- Datenminimierungsprinzip — wir erheben nur die unbedingt notwendigen Daten
- Speicherbegrenzungsprinzip — automatische Loeschung nach Ablauf der Aufbewahrungsdauer
- Rollenbasierter Zugriff — Zugriff begrenzt auf die fuer jede Funktion erforderlichen Daten
- Vertraulichkeit — alle Mitarbeiter mit Datenzugriff haben vertragliche Geheimhaltungspflichten
- Vorfallsverfahren — dokumentierter Reaktionsplan auf Sicherheitsvorfaelle
- Periodische Ueberpruefung — jaehrliche Bewertung der Sicherheitsmassnahmen
10. Benachrichtigung ueber Sicherheitsvorfaelle (Art. 33-34 DSGVO)
Im Falle einer Verletzung der Sicherheit personenbezogener Daten:
- Wir benachrichtigen die nationale Aufsichtsbehoerde (ANSPDCP) innerhalb von maximal 72 Stunden nach Kenntnisnahme des Vorfalls, ausser die Verletzung birgt voraussichtlich kein Risiko fuer die Rechte der Personen
- Wir informieren die betroffenen Nutzer (in unserer Eigenschaft als Auftragsverarbeiter) ohne unangemessene Verzoegerung und innerhalb von maximal 48 Stunden nach Kenntnisnahme des Vorfalls
- Wenn die Verletzung voraussichtlich ein hohes Risiko fuer die Rechte der Personen birgt, informieren wir die betroffenen Personen direkt
- Wir dokumentieren jeden Vorfall, die ergriffenen Massnahmen und die Ergebnisse in unserem internen Vorfallsregister
11. Cookies und aehnliche Technologien
Fuer detaillierte Informationen zur Nutzung von Cookies und localStorage konsultieren Sie bitte den Abschnitt Cookie-Richtlinie auf dieser Seite.
12. Aenderungen der Datenschutzerklaerung
Diese Erklaerung kann periodisch aktualisiert werden. Das Datum der letzten Aktualisierung wird oben im Dokument angezeigt. Wesentliche Aenderungen werden per E-Mail an registrierte Nutzer, durch ein sichtbares Banner auf der Plattform und durch Veroeffentlichung auf dieser Seite kommuniziert.
13. Recht auf Beschwerde
Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst, haben Sie das Recht, eine Beschwerde bei der Aufsichtsbehoerde einzureichen:
Adresse: B-dul G-ral. Gheorghe Magheru Nr. 28-30, Sektor 1, Postleitzahl 010336, Bukarest, Rumaenien
Telefon: +40.318.059.211 / +40.318.059.212
E-Mail: anspdcp@dataprotection.ro
Website: www.dataprotection.ro
14. Kontakt
Datenschutzbeauftragter (DSB): privacy@rezervatio.ai
Allgemeiner Kontakt: contact@rezervatio.ai
Website: www.rezervatio.ai
EU · DSGVO-konform