Datenschutzerklärung

Stand: März 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

Mentis.ai KI- und IT-Dienstleistungen UG (haftungsbeschränkt)
Rheinstraße 66
12159 Berlin
Deutschland

E-Mail: contact@mentis.one
Telefon: +49 176 641 425 29

2. Allgemeines zur Datenverarbeitung

(1) Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist.

(2) Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung des Betroffenen
  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung
  • Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen, sofern nicht die Interessen oder Grundrechte des Betroffenen überwiegen

4. Welche Daten wir erheben

4.1 Registrierung und Nutzerkonto

Bei der Registrierung erheben wir:

  • Name
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Passwort (verschlüsselt gespeichert mittels bcrypt, das Klartext-Passwort wird nicht gespeichert)
  • Rolle (Nutzer oder Anbieter)
  • Zeitpunkt der Registrierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.2 Café-Profil (Anbieter)

Bei Erstellung eines Café-Profils erheben wir:

  • Name und Beschreibung des Cafés
  • Adresse und Standortdaten (Geodaten/Koordinaten für Kartenanzeige)
  • Kontaktdaten (Telefon, E-Mail)
  • Fotos der Räumlichkeiten (hochgeladene Bilddateien inkl. ggf. enthaltener EXIF-Metadaten)
  • Angaben zur Ausstattung (WLAN, Steckdosen, Beamer etc.)
  • Zonen-Definitionen (Name, Kapazität, Beschreibung)
  • Zeitfenster und Preise
  • Menü-Einträge (Name, Preis, Beschreibung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.3 Buchungen

Bei einer Buchung verarbeiten wir:

  • Buchungsdatum und -zeitraum
  • Gewählte Zone und Personenzahl
  • Verwendungszweck (optional, freiwillige Angabe des Nutzers)
  • Vorbestellungen (Speisen/Getränke, Mengen, Preise)
  • Buchungsstatus (ausstehend, bestätigt, storniert, abgeschlossen)
  • Notizen und Kommunikation zwischen Nutzer und Anbieter im Rahmen der Buchung
  • Zeitpunkt der Buchungserstellung und aller Statusänderungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.4 Zahlungsdaten

Zur Abwicklung von Zahlungen werden Zahlungsdaten über einen externen Zahlungsdienstleister verarbeitet (siehe Abschnitt 7.3). Der Zahlungsdienstleister erhält dabei:

  • Name des Zahlungspflichtigen
  • E-Mail-Adresse
  • Zahlungsinstrument (z. B. Kreditkartennummer, IBAN)
  • Rechnungsbetrag
  • IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Wir selbst speichern keine vollständigen Zahlungsdaten. Lediglich eine Transaktionsreferenz und der Zahlungsstatus werden bei uns gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4.5 Bewertungen

Wenn Nutzer oder Anbieter Bewertungen abgeben, werden folgende Daten verarbeitet und öffentlich auf der Plattform angezeigt:

  • Vorname des Bewertenden
  • Bewertungstext
  • Bewertungsdatum
  • Bewertungspunktzahl

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Transparenz und Vertrauen auf der Plattform)

4.6 Serverprotokolle (Logfiles)

Beim Besuch der Plattform werden automatisch folgende Daten durch den Webserver erhoben und in Logfiles gespeichert:

  • IP-Adresse des anfragenden Rechners (anonymisiert nach 30 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Seite
  • Übertragene Datenmenge
  • Meldung über erfolgreichen Abruf (HTTP-Statuscode)
  • Browsertyp und -version
  • Betriebssystem des Nutzers
  • Referrer-URL (zuvor besuchte Seite)

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt und dienen ausschließlich der Sicherstellung eines störungsfreien Betriebs sowie der Erkennung und Abwehr von Angriffen. Die Speicherung erfolgt für maximal 30 Tage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der Plattform)

4.7 Standortdaten / Geolokalisierung

Zur Anzeige von Cafés in Ihrer Nähe kann die Plattform Ihren Standort abfragen. Dies geschieht über die Geolokalisierungsfunktion Ihres Browsers oder Endgeräts.

  • Die Standortabfrage erfolgt erst nach ausdrücklicher Freigabe durch den Nutzer über den Browser-Dialog.
  • Der Standort wird ausschließlich zur Berechnung der Entfernung zu den Cafés verwendet.
  • Der Standort wird nicht auf unseren Servern gespeichert.
  • Ohne Standortfreigabe kann die Plattform weiterhin genutzt werden (manuelle Eingabe von Ort oder PLZ).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Freigabe im Browser)

5. E-Mail-Benachrichtigungen

Wir versenden E-Mails im Rahmen der Plattformnutzung:

  • Buchungsbestätigungen und -erinnerungen
  • Benachrichtigungen über Buchungsanfragen (an Anbieter)
  • Statusänderungen von Buchungen (bestätigt, storniert)
  • Stornierungsbenachrichtigungen
  • Kontobezogene Mitteilungen (Registrierungsbestätigung, Passwort zurücksetzen, Änderungen der AGB/Datenschutzerklärung)

Diese E-Mails sind für die Vertragserfüllung erforderlich und stellen keine Werbung dar. Ein Abbestellen dieser E-Mails ist nicht möglich, solange ein aktives Nutzerkonto besteht.

Der E-Mail-Versand erfolgt über einen externen E-Mail-Dienstleister (siehe Abschnitt 7.4).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

6. Cookies und Tracking

6.1 Technisch notwendige Cookies

Die Plattform verwendet folgende technisch notwendige Cookies:

CookieZweckSpeicherdauer
session_idAufrechterhaltung der Nutzersitzung (Login-Status)Sitzungsende bzw. 30 Tage
csrf_tokenSchutz vor Cross-Site-Request-Forgery-AngriffenSitzungsende
cookie_consentSpeicherung Ihrer Cookie-Präferenzen12 Monate

Diese Cookies sind für den Betrieb der Plattform unerlässlich und können nicht deaktiviert werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb)

6.2 Analyse-Cookies

Sofern wir Analyse-Tools einsetzen (z. B. Google Analytics, Plausible, Matomo), erfolgt dies ausschließlich mit vorheriger ausdrücklicher Einwilligung des Nutzers über ein Cookie-Consent-Banner. Ohne Einwilligung werden keine Analyse-Cookies gesetzt und keine Tracking-Daten erhoben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

6.3 Marketing-Cookies / Tracking-Pixel

Sofern wir Marketing-Dienste wie Facebook Pixel, TikTok Pixel oder Google Ads einsetzen, erfolgt dies ausschließlich mit vorheriger ausdrücklicher Einwilligung des Nutzers über das Cookie-Consent-Banner.

Diese Dienste können folgende Daten erheben:

  • IP-Adresse
  • Browser- und Geräteinformationen
  • Besuchte Seiten auf der Plattform
  • Durchgeführte Aktionen (z. B. Buchung abgeschlossen)

Die Daten werden an die Server der jeweiligen Anbieter übertragen, die sich teilweise in den USA befinden (siehe Abschnitt 8).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

7. Eingesetzte Drittdienste und Auftragsverarbeiter

7.1 Hosting

Die Plattform wird auf Servern folgender Anbieter betrieben:

[Anbieter eintragen, z. B.: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland]

Der Hosting-Anbieter verarbeitet als Auftragsverarbeiter gemäß Art. 28 DSGVO alle auf der Plattform anfallenden personenbezogenen Daten. Es besteht ein Auftragsverarbeitungsvertrag (AVV).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen Betrieb)

7.2 Kartendienst

Zur Darstellung von Café-Standorten auf einer Karte nutzen wir:

[Dienst eintragen, z. B.: Google Maps (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland) oder Mapbox]

Beim Laden der Karte wird Ihre IP-Adresse sowie ggf. Ihr Standort an den Kartendienstanbieter übertragen. Es gelten die Datenschutzbestimmungen des jeweiligen Anbieters.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung von Standorten) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern Drittland-Transfer)

7.3 Zahlungsdienstleister

Zur Abwicklung von Zahlungen nutzen wir:

[Anbieter eintragen, z. B.: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland]

Der Zahlungsdienstleister verarbeitet die in Abschnitt 4.4 genannten Daten eigenverantwortlich. Es gelten die Datenschutzbestimmungen des jeweiligen Anbieters.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

7.4 E-Mail-Versand

Der Versand transaktionaler E-Mails (Buchungsbestätigungen etc.) erfolgt über:

[Anbieter eintragen, z. B.: Mailgun (Sinch Email) oder SendGrid (Twilio Inc.)]

Der E-Mail-Dienstleister erhält dabei die E-Mail-Adresse des Empfängers sowie den E-Mail-Inhalt. Es besteht ein Auftragsverarbeitungsvertrag (AVV).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

7.5 Content Delivery Network (CDN)

Sofern wir ein Content Delivery Network einsetzen:

[Anbieter eintragen, z. B.: Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA]

Ein CDN dient der schnelleren und sichereren Auslieferung der Plattform. Dabei wird die IP-Adresse des Nutzers an den CDN-Anbieter übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an schneller und sicherer Auslieferung)

7.6 Error-Tracking / Fehlermeldungen

Sofern wir einen Dienst zur Fehlererfassung einsetzen:

[Anbieter eintragen, z. B.: Sentry (Functional Software Inc., San Francisco, USA)]

Dieser Dienst erfasst bei technischen Fehlern automatisch:

  • Fehlermeldungen und Stack Traces
  • Browsertyp, Betriebssystem, Bildschirmauflösung
  • IP-Adresse (anonymisiert)
  • URL der betroffenen Seite
  • Nutzungskontext zum Zeitpunkt des Fehlers

Die Daten dienen ausschließlich der Fehlerbehebung und Qualitätssicherung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Stabilität und Fehlerbehebung)

8. Datenübermittlung in Drittländer

Einige der in Abschnitt 7 genannten Dienstleister haben ihren Sitz in den USA oder verarbeiten Daten in den USA. Die USA verfügen über einen Angemessenheitsbeschluss der EU-Kommission (EU-U.S. Data Privacy Framework). Sofern der jeweilige Dienstleister unter dem Data Privacy Framework zertifiziert ist, ist die Datenübermittlung auf dieser Grundlage zulässig.

Sofern kein Angemessenheitsbeschluss greift, stützen wir die Übermittlung auf Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Betroffene Dienste (soweit eingesetzt):

  • Kartendienst (Google Maps / Mapbox)
  • Zahlungsdienstleister (Stripe)
  • E-Mail-Versand (Mailgun / SendGrid)
  • CDN (Cloudflare)
  • Error-Tracking (Sentry)
  • Marketing-Pixel (Meta, TikTok, Google)

9. App Stores (bei nativen Apps)

Sofern EmptySeat als native App über den Apple App Store oder Google Play Store bereitgestellt wird, erheben die jeweiligen Plattformbetreiber (Apple Inc. / Google LLC) eigenverantwortlich personenbezogene Daten (z. B. Gerätedaten, Download-Statistiken, Absturzmeldungen). Es gelten die Datenschutzbestimmungen des jeweiligen Plattformbetreibers.

Rechtsgrundlage: Die Datenverarbeitung durch die App Stores liegt außerhalb unserer Verantwortlichkeit.

10. Speicherdauer

DatenkategorieSpeicherdauer
NutzerkontodatenBis zur Löschung des Kontos + 30 Tage
Café-ProfildatenBis zur Löschung des Anbieterprofils + 30 Tage
Buchungsdaten10 Jahre nach Abschluss (§§ 147 AO, 257 HGB)
Zahlungsdaten (Transaktionsreferenzen)10 Jahre (steuerliche Aufbewahrungspflicht)
BewertungenBis zur Löschung des bewerteten Kontos
Serverprotokolle30 Tage
Cookie-Einwilligung12 Monate
E-Mail-Versandprotokolle90 Tage

Nach Ablauf der Speicherfrist werden die Daten automatisiert gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11. Ihre Rechte als Betroffener

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit unentgeltlich Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Gründe entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format an Sie oder an einen anderen Verantwortlichen übermittelt werden.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO Widerspruch einlegen.
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: contact@mentis.one

Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang, beantworten.

12. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59-61
10555 Berlin
E-Mail: mailbox@datenschutz-berlin.de
Telefon: +49 30 13889-0

13. Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten zu schützen. Dazu gehören insbesondere:

  • Verschlüsselte Datenübertragung (TLS/SSL)
  • Verschlüsselte Speicherung von Passwörtern (bcrypt-Hashing)
  • Zugriffskontrolle und Berechtigungsmanagement
  • Regelmäßige Sicherheitsupdates
  • Regelmäßige Datensicherungen (Backups)

Wir weisen darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

14. Minderjährigenschutz

Die Plattform EmptySeat richtet sich nicht an Personen unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Sollten wir Kenntnis davon erlangen, dass personenbezogene Daten von Personen unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten erhoben wurden, werden wir diese Daten unverzüglich löschen.

15. Automatisierte Entscheidungsfindung / Profiling

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt.

16. Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, technische Änderungen oder Änderungen der Plattform und der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist stets auf der Plattform abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.