Datenschutzerklärung
Stand: Juni 2026 · Noisette.Catering, Mark Rusniok, Gottesweg 20, 50969 Köln
1. Verantwortlicher
Mark Rusniok · Noisette.Catering
Gottesweg 20 · 50969 Köln
Telefon: +49 176 87676710
E-Mail: info@noisette.catering
2. Welche Daten wir erheben
2.1 Bei der Registrierung
- Vor- und Nachname (Erziehungsberechtigte/r, Schüler/in oder Lehrkraft)
- E-Mail-Adresse
- Telefonnummer (freiwillig)
- Postanschrift: Straße, PLZ, Ort (freiwillig, für Rechnungsstellung)
- Passwort (ausschließlich als bcrypt-Hash gespeichert – nicht lesbar)
- Name und Klasse des Kindes / der Kinder
2.2 Bei der Buchung
- Gewählte Mahlzeit pro Tag und Woche
- Buchungszeitpunkt und -status (aktiv / storniert)
- Zahlungsstatus (offen / bezahlt)
- Optional: Dauerauftrag-Einstellungen (wiederkehrende Mahlzeitenwahl pro Wochentag)
- Optional: Eintrag auf der Warteliste bei ausgebuchten Mahlzeiten
- Optional: Bewertung und Kommentar zu erhaltenen Mahlzeiten
2.3 Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO)
- Allergien / Unverträglichkeiten des Kindes (freiwillige Angabe der Eltern im Konto-Bereich)
Diese Angabe ist freiwillig und wird ausschließlich zur Warnung beim Buchen verwendet (Hinweis,
falls eine gebuchte Speise ein angegebenes Allergen enthält). Rechtsgrundlage ist Ihre
ausdrückliche Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO durch die freiwillige Eingabe.
Die Angabe kann jederzeit im Konto-Bereich gelöscht werden.
2.4 Technische Zugriffsdaten (Server-Logs)
- IP-Adresse (pseudonymisiert nach 7 Tagen gelöscht)
- Zeitpunkt und aufgerufene URL
- HTTP-Statuscode, übertragene Datenmenge
- Browser-Typ (User-Agent) – ausschließlich zur Fehlerdiagnose
2.5 Admin-Aktivitätsprotokoll
Für Admin-Konten wird zusätzlich protokolliert, welche Verwaltungsaktion (z. B. Kontosperrung,
Notiz, Mahnung) zu welchem Zeitpunkt von welcher IP-Adresse aus durchgeführt wurde. Diese
Protokolleinträge dienen der Nachvollziehbarkeit und werden – anders als die Server-Logs unter
2.4 – nicht automatisch nach 7 Tagen gelöscht, sondern langfristig zur Missbrauchsprävention
aufbewahrt (Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an IT-Sicherheit).
Wir erheben ausschließlich Daten, die für den Betrieb des Buchungssystems zwingend erforderlich sind. Es findet kein Tracking, kein Profiling und keine Weitergabe zu Werbezwecken statt.
3. Zweck der Verarbeitung
- Bereitstellung und Betrieb des Buchungsportals für die Mittagsverpflegung am Erzbischöflichen Berufskolleg Köln
- Verwaltung von Benutzerkonten und Buchungen
- Abwicklung von Zahlungen über Stripe
- Versand von Buchungsbestätigungen und wöchentlichen Speiseplan-Erinnerungen per E-Mail
- Erstellung von Abrechnungen und Nachweisen für die Schulverpflegung
- Erfüllung steuerlicher Aufbewahrungspflichten
4. Rechtsgrundlagen (Art. 6 DSGVO)
- Art. 6 Abs. 1 lit. b – Vertragserfüllung: Registrierungsdaten, Buchungsdaten und Zahlungsabwicklung sind zur Erbringung der bestellten Leistung erforderlich.
- Art. 6 Abs. 1 lit. a – Einwilligung: Versand von E-Mail-Erinnerungen (wöchentlicher Speiseplan). Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden durch Mitteilung an info@noisette.catering.
- Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung: Buchungs- und Zahlungsbelege gemäß §§ 146, 147 AO (10-jährige steuerliche Aufbewahrungspflicht).
- Art. 6 Abs. 1 lit. f – Berechtigtes Interesse: Speicherung von Server-Logs zur IT-Sicherheit und Fehlerdiagnose (max. 7 Tage).
5. Speicherdauer
- Kontodaten: bis zur Löschung durch den Nutzer oder auf Anfrage, spätestens 90 Tage nach Ende des Schulverhältnisses
- Buchungs- und Zahlungsdaten: 10 Jahre (§ 147 AO)
- Allergie-Angaben: bis zur Löschung durch den Nutzer oder Kontolöschung
- Dauerauftrag- und Wartelisten-Einträge: bis zur Löschung durch den Nutzer oder Kontolöschung
- Server-Logs: 7 Tage, dann automatische Löschung
- Admin-Aktivitätsprotokoll: langfristig zur Missbrauchsprävention, manuell löschbar auf Anfrage
- E-Mail-Protokolle: 30 Tage
6. Externe Dienstleister (Auftragsverarbeiter)
Wir setzen folgende externe Dienstleister ein, mit denen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO bestehen oder bestehen werden:
6.1 Render Services, Inc. (Hosting)
Render Services, Inc., 525 Brannan St., Suite 300, San Francisco, CA 94107, USA
Zweck: Hosting der Webanwendung und Datenbank (PostgreSQL)
Datenübermittlung in die USA auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)
Datenschutz: render.com/privacy
6.2 Stripe Payments Europe, Ltd. (Zahlungsabwicklung)
Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, D02 H210, Irland (EU)
Zweck: Sichere Abwicklung von Kartenzahlungen sowie Apple Pay und Google Pay
Wir erhalten keinen Zugang zu vollständigen Karten- oder Bankdaten. Stripe verarbeitet diese direkt.
Datenschutz: stripe.com/de/privacy
6.3 Anthropic PBC (KI-Analyse bei PDF-Import)
Anthropic PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA
Zweck: KI-gestützte Texterkennung aus hochgeladenen Speiseplan-PDFs (nur durch Admins nutzbar)
Es werden ausschließlich Speiseplan-Inhalte (keine Kundendaten) übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Vereinfachung der Datenpflege). Absicherung durch EU-Standardvertragsklauseln.
Datenschutz: anthropic.com/privacy
6.4 Google Ireland Ltd. (E-Mail-Versand via Gmail SMTP)
Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (EU)
Zweck: Versand von Buchungsbestätigungen und Speiseplan-Erinnerungen über Gmail SMTP
Es werden ausschließlich E-Mail-Adresse, Name und Buchungsinhalt für den Versand übermittelt.
Datenschutz: policies.google.com/privacy
7. Drittlandübermittlung
Render (Hosting, USA) und Anthropic (KI-Analyse, USA) sind außerhalb der EU ansässig. Die Übermittlung erfolgt jeweils auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Stripe und Google (Gmail) sind in Irland ansässig und unterliegen direkt der DSGVO.
8. Keine automatisierte Entscheidungsfindung
Wir verwenden keine automatisierten Entscheidungsprozesse oder Profiling im Sinne von Art. 22 DSGVO.
9. Cookies und lokaler Speicher
Diese Website setzt keine Cookies. Für die Aufrechterhaltung der Anmeldesitzung wird ausschließlich der localStorage des Browsers genutzt, um ein JWT-Authentifizierungstoken zu speichern. Dieses Token wird beim Abmelden automatisch gelöscht.
Da ausschließlich technisch notwendige Speicher verwendet werden, ist gemäß § 25 Abs. 2 Nr. 2 TTDSG keine Einwilligung erforderlich. Es wird kein Cookie-Banner angezeigt.
Wir verzichten vollständig auf Tracking, Analyse-Tools (Google Analytics, Matomo etc.), Social-Media-Plugins und Werbecookies.
10. Keine externen Schriften oder Tracker
Diese Website lädt keine externen Schriften (z.B. Google Fonts). Alle Schriften stammen aus dem System des Nutzers (system-ui). Es werden dadurch keine Daten an externe Dritte übertragen.
Es sind keine Tracking-Pixel, Analysedienste oder Social-Media-Einbindungen vorhanden.
11. Ihre Rechte (Art. 15–22 DSGVO)
Sie haben folgende Rechte bezüglich Ihrer bei uns gespeicherten Daten:
- Auskunft (Art. 15) – Kopie aller über Sie gespeicherten Daten
- Berichtigung (Art. 16) – Korrektur unrichtiger Daten
- Löschung (Art. 17) – „Recht auf Vergessenwerden", soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
- Einschränkung (Art. 18) – Einschränkung der Verarbeitung unter bestimmten Voraussetzungen
- Datenübertragbarkeit (Art. 20) – Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format (JSON/CSV)
- Widerspruch (Art. 21) – Widerspruch gegen die auf berechtigtem Interesse gestützte Verarbeitung
- Widerruf der Einwilligung (Art. 7 Abs. 3) – Widerruf der Einwilligung zum E-Mail-Versand jederzeit möglich
Zur Ausübung Ihrer Rechte wenden Sie sich per E-Mail an: info@noisette.catering
Wir beantworten Anfragen binnen 30 Tagen (Art. 12 Abs. 3 DSGVO).
12. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW)
Kavalleriestr. 2–4 · 40213 Düsseldorf
Tel.: 0211 38424-0 · www.ldi.nrw.de
13. Kontakt bei Datenschutzfragen
Mark Rusniok · Noisette.Catering
Gottesweg 20 · 50969 Köln
info@noisette.catering