1. Verantwortlicher#
Verantwortlicher für die in diesen Datenschutzhinweisen beschriebenen Verarbeitungen ist:
Born - Theoretical Software
Inhaber: Ardit Thaqi
Robert-Bosch-Straße 4
88427 Bad Schussenried
Deutschland
E-Mail: info@posiq.io
2. Geltungsbereich#
Diese Datenschutzhinweise gelten für:
- die Website unter
posiq.ioeinschließlich Kundenportal, Angebots- und Checkout-Seiten, - die PosIQ App für iPhone und iPad einschließlich Testzugängen, Login- und Berechtigungsstatus,
- die Bereitstellung digitaler Belege, insbesondere über per QR-Code abrufbare Beleg-Seiten,
- sowie die dazugehörigen Cloud-, Support- und Kommunikationsprozesse.
Die Hinweise unterscheiden bewusst zwischen Verarbeitungen in eigener datenschutzrechtlicher Verantwortlichkeit und Verarbeitungen, die innerhalb von PosIQ als Auftragsverarbeitung für Kunden erfolgen.
3. Website, Hosting und technische Bereitstellung#
Beim Aufruf der Website verarbeitet unser Hosting- und CDN-Dienstleister Vercel technische Zugriffsdaten, insbesondere IP-Adresse, Datum und Uhrzeit, angeforderte URL, Referrer, Browser- und Betriebssystemdaten. Die Verarbeitung erfolgt zur sicheren und stabilen Bereitstellung der Website auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Die Domain posiq.io wird über IONOS verwaltet. Soweit dabei technische Registrierungs-, DNS- oder Sicherheitsdaten verarbeitet werden, erfolgt dies ebenfalls auf Grundlage unseres berechtigten Interesses an einem sicheren und verlässlichen Website-Betrieb.
Die Website verwendet keine Analyse-, Marketing- oder Tracking-Dienste. Schriftarten werden lokal von unseren Servern ausgeliefert; es findet keine Einbindung von Google Fonts oder vergleichbaren Drittdiensten zur Laufzeit statt. Eingesetzt werden nur technisch erforderliche Cookies und vergleichbare Speichertechnologien, insbesondere zur Speicherung Ihrer Cookie-Hinweis-Entscheidung sowie zur Aufrechterhaltung einer Anmeldesitzung im Kundenportal (§ 25 Abs. 2 TDDDG, Art. 6 Abs. 1 lit. b und f DSGVO).
4. Kontaktanfragen und vorvertragliche Kommunikation#
Wenn Sie uns per Formular, E-Mail oder auf anderem Weg kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage, zur vorvertraglichen Kommunikation, zur Vertragsanbahnung und zur Dokumentation. Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 lit. b DSGVO oder Art. 6 Abs. 1 lit. f DSGVO.
Kontaktformulare auf der Website werden technisch über Formspree übermittelt. Formspree verarbeitet die übermittelten Formulardaten als externer Dienstleister.
Stellen Sie aus der App heraus eine Vertriebs- oder Interessentenanfrage, verarbeiten wir die dabei angegebenen Daten, insbesondere Name des Betriebs, Ansprechpartner und Kontaktdaten, zur Bearbeitung der Anfrage (Art. 6 Abs. 1 lit. b und f DSGVO). Unser Vertriebsteam wird über neue Anfragen intern benachrichtigt; diese Benachrichtigung enthält keine Namen, Kontaktdaten oder Nachrichteninhalte, sondern lediglich eine pseudonyme Vorgangsnummer.
5. Rollenverteilung bei PosIQ#
Born - Theoretical Software verarbeitet personenbezogene Daten in zwei datenschutzrechtlich unterschiedlichen Rollen:
- in eigener Verantwortlichkeit für Vertragsabschluss, Anlage und Verwaltung von Test- und Vertragsaccounts, Abrechnung, Support, Missbrauchsprävention, Sicherheitsprotokolle und technische Betriebsdaten,
- als Auftragsverarbeiter für solche personenbezogenen Daten, die Kunden innerhalb von PosIQ für ihre eigenen geschäftlichen Zwecke erfassen, importieren, verarbeiten oder auswerten, insbesondere Kassen-, Beleg-, Mitarbeiter- und Gästedaten.
Für die Auftragsverarbeitung gilt der gesonderte AVV.
6. Kategorien verarbeiteter Daten#
In eigener Verantwortlichkeit verarbeiten wir je nach Nutzung insbesondere:
- Stamm- und Kontaktdaten, insbesondere Firma, Name, Anschrift, E-Mail-Adresse, Telefonnummer sowie Steuernummer und Umsatzsteuer-Identifikationsnummer,
- Account-, Login-, Berechtigungs-, Trial- und Abonnementdaten,
- Vertrags-, Abrechnungs- und Zahlungsdaten,
- Support- und Kommunikationsdaten,
- Nutzungs-, Log- und Sicherheitsdaten.
Innerhalb von PosIQ verarbeiten wir im Auftrag unserer Kunden insbesondere:
- Bestell-, Kassen-, Beleg-, Kassenabschluss- und Transaktionsdaten, einschließlich Tisch- und Gerätezuordnung sowie der ausführenden Bedienung,
- TSE-Signatur- und Protokolldaten zu Kassenvorgängen,
- Mitarbeiterdaten des Kunden, insbesondere Name, Rolle, Berechtigungen, Anmelde-PIN, Arbeits- und Stempelzeiten sowie Trinkgeldzuordnungen,
- Angaben von Gästen im Zusammenhang mit digitalen Belegen und Bewirtungsbelegen,
- Endkundendaten aus optional angebundenen Lieferplattformen, insbesondere Name, Telefonnummer und Bestelldetails,
- Inhalte von Dateien, die Kunden für den Speisekarten- und Artikelimport hochladen.
Anmeldungen an Website und App erfolgen über einen per E-Mail zugesandten Einmalcode oder über E-Mail-Adresse und Passwort. Passwörter werden ausschließlich durch den Authentifizierungsdienst Firebase Authentication verarbeitet und von uns nicht gespeichert; Einmalcodes speichern wir nur in gehashter Form.
Vollständige Kartenzahlungsdaten werden von uns zu keinem Zeitpunkt verarbeitet. Die Eingabe von Zahlungsdaten erfolgt ausschließlich in den gesicherten Umgebungen der jeweiligen Zahlungsdienstleister; auf Belegen können lediglich maskierte Zahlungsmetadaten ausgewiesen werden.
7. PosIQ App: Berechtigungen und lokale Verarbeitung#
Die PosIQ App verwendet die Kamera des Geräts ausschließlich für den QR-Code-Login von Mitarbeitern und das Scannen von Artikel-Barcodes. Der Zugriff auf das lokale Netzwerk dient der Ansteuerung von Bondruckern im Betriebsnetz. Eine optionale Entsperrung per Face ID oder Touch ID wird vollständig lokal auf dem Gerät durch das Betriebssystem ausgeführt; biometrische Daten verlassen das Gerät nicht und sind für uns nicht zugänglich.
Zugangsdaten (Sitzungs-Token) werden verschlüsselt im Schlüsselbund (Keychain) des Geräts gespeichert. Die App enthält keine Werbe-, Analyse- oder Tracking-SDKs und übermittelt Daten ausschließlich an unsere eigene Backend-Infrastruktur.
8. Zwecke und Rechtsgrundlagen#
Die Verarbeitung in eigener Verantwortlichkeit erfolgt insbesondere:
- zur Durchführung vorvertraglicher Maßnahmen und zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO,
- zur Anlage und Verwaltung von Test- und Vertragsaccounts, Zugangs- und Berechtigungsstatus sowie zur Zuordnung von App-, Checkout- und Abonnementvorgängen auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO,
- zur Durchführung und Dokumentation des elektronischen B2B-Checkouts sowie zum Nachweis des Vertragsschlusses und der vorvertraglichen Kommunikation auf Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO,
- zur Erfüllung gesetzlicher Aufbewahrungs-, Nachweis- und steuerrechtlicher Pflichten nach Art. 6 Abs. 1 lit. c DSGVO,
- zur Systemsicherheit, Missbrauchsprävention, Fehleranalyse und technischen Betriebssteuerung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.
Soweit wir Daten innerhalb von PosIQ im Auftrag unserer Kunden verarbeiten, richtet sich die Zulässigkeit der Verarbeitung nach den Weisungen des jeweiligen Kunden sowie nach Art. 28 DSGVO.
9. Zahlungsabwicklung#
Die Abrechnung der PosIQ-Abonnements erfolgt über den Zahlungsdienstleister Mollie. Mollie verarbeitet die für die Zahlungsabwicklung erforderlichen Daten, insbesondere Name, E-Mail-Adresse und Zahlungsinformationen, regelmäßig in eigener datenschutzrechtlicher Verantwortlichkeit. Die Eingabe von Zahlungsdaten erfolgt in der gesicherten Umgebung von Mollie.
Kartenzahlungen der Gäste an unsere Kunden sind nicht Teil unserer Leistung. Sie werden über einen vom Kunden gewählten Zahlungsdienstleister abgewickelt, insbesondere über die App GP tom von Commerz Globalpay, mit dem der Kunde ein eigenes Vertragsverhältnis unterhält. Der jeweilige Zahlungsdienstleister ist für diese Verarbeitung eigenständig datenschutzrechtlich verantwortlich; PosIQ übernimmt lediglich maskierte Zahlungsmetadaten für die Belegerstellung.
10. Fiskalisierung (TSE) und gesetzliche Aufbewahrung#
Zur Erfüllung der Anforderungen der Kassensicherungsverordnung (KassenSichV) werden Kassenvorgänge über eine cloudbasierte technische Sicherheitseinrichtung (Cloud-TSE) des Dienstleisters fiskaly signiert. Dabei werden Vorgangsdaten (insbesondere Beträge, Zeitpunkte und Vorgangsarten) an fiskaly übermittelt und die zugehörigen Signatur- und Protokolldaten gespeichert.
Kassen-, Beleg-, Abschluss- und TSE-Daten unterliegen gesetzlichen Aufbewahrungspflichten (insbesondere nach AO und HGB). Bei Beendigung des Vertrags wird die TSE außer Betrieb genommen; zuvor wird ein Fiskalarchiv mit den TSE-Exporten und Beleg-Daten des Kunden erstellt und für die Dauer der gesetzlichen Fristen aufbewahrt.
Digitale Belege, die Gäste über einen QR-Code abrufen können, werden über einen zufälligen, nicht erratbaren Link bereitgestellt und sind dort nur für einen begrenzten Zeitraum von regelmäßig 72 Stunden abrufbar.
11. Eingesetzte Dienstleister und Empfänger#
Als Dienstleister können je nach Funktionsumfang insbesondere folgende Stellen eingebunden sein:
- Google Cloud Platform / Firebase (Cloud Run, Firestore, Authentication, Cloud Storage) für Hosting, Datenbank, Authentifizierung und Infrastruktur, Verarbeitung in der EU, insbesondere Region Frankfurt (europe-west3),
- fiskaly GmbH für die cloudbasierte technische Sicherheitseinrichtung (Cloud-TSE),
- SendGrid (Twilio) für transaktionsbezogene E-Mails, etwa Anmeldecodes, Angebots- und Kündigungsbestätigungen,
- Google Vertex AI in Verbindung mit Anthropic-Modellen für den optionalen KI-gestützten Speisekarten- und Artikelimport; verarbeitet werden dabei die vom Kunden hochgeladenen Dateien, Verarbeitung in einer EU-Region,
- Formspree für Kontaktformular-Übermittlungen auf der Website,
- IONOS und Vercel für Domain-, Hosting- und Website-Betrieb.
Je nach Nutzung können zudem folgende Stellen als Empfänger, vom Kunden veranlasste Zielsysteme oder eigenständig Verantwortliche eingebunden sein:
- Mollie für die externe Zahlungsabwicklung und wiederkehrende Zahlungen unserer Abonnements,
- Commerz Globalpay (GP tom) oder andere vom Kunden gewählte Kartenzahlungsdienstleister,
- Lieferplattformen wie Wolt, Uber Eats oder Lieferando, soweit der Kunde diese anbindet,
- BuchhaltIQ, soweit der Kunde die Anbindung für die Übernahme von Kassenabschlüssen und Arbeitszeiten nutzt.
Soweit Dienstleister außerhalb der EU oder des EWR eingebunden werden oder ein Zugriff von dort nicht ausgeschlossen werden kann, erfolgt dies nur auf Grundlage einer gesetzlichen Übermittlungsgrundlage, insbesondere eines Angemessenheitsbeschlusses oder geeigneter Garantien.
12. Speicherdauer#
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungs-, Nachweis-, Prüfungs-, Sicherheits- oder Rechtsverteidigungspflichten eine weitere Speicherung rechtfertigen.
Für die wichtigsten Datenbereiche gelten insbesondere folgende Grundsätze:
| Datenbereich | Regelfall der Speicherung |
|---|---|
| Website-Zugriffs- und Sicherheitsdaten | nur so lange, wie dies für Bereitstellung, Sicherheit, Fehleranalyse und Missbrauchsprävention erforderlich ist |
| Kontaktanfragen und vorvertragliche Kommunikation | bis zur abschließenden Bearbeitung und darüber hinaus, soweit dies für Nachweise, Anschlussfragen oder Rechtsverteidigung erforderlich ist |
| Anmelde-Einmalcodes | gehasht, bis zum Ablauf der kurzen Gültigkeitsdauer des Codes |
| Test-, Account-, Checkout-, Vertrags- und Abonnementdaten | für die Dauer der Vertrags- oder Testbeziehung und danach bis zum Ablauf einschlägiger Nachweis- und Verjährungsfristen |
| Rechnungs-, Zahlungs- und steuerlich relevante Vertragsdaten des Anbieters | entsprechend den gesetzlichen Aufbewahrungsfristen, je nach Unterlagenart regelmäßig 6, 8 oder bis zu 10 Jahre |
| Support-, Sicherheits- und Missbrauchspräventionsdaten | so lange, wie dies für Bearbeitung, Systemsicherheit, Missbrauchsprävention, Nachweise oder Rechtsverteidigung erforderlich ist |
| Produktive Kundendaten innerhalb von PosIQ | während der aktiven Nutzung; nach Vertragsende grundsätzlich Exportmöglichkeit für 30 Tage, soweit nichts Abweichendes vereinbart ist |
| Per QR-Code abrufbare digitale Belege | Abrufbarkeit über den öffentlichen Link regelmäßig 72 Stunden |
| Archivierte Kassen-, Beleg-, Abschluss- und TSE-Daten (Fiskalarchiv) | in gesperrtem Archivstatus bis zum Ablauf der jeweils einschlägigen gesetzlichen Aufbewahrungs-, Nachweis-, Prüfungs- oder Rechtsverteidigungsfristen |
| Sicherungskopien | Entfernung im Rahmen üblicher Backup-Zyklen, spätestens innerhalb von 90 Tagen, sofern keine gesetzliche Pflicht oder ein Sicherheitsgrund eine längere Vorhaltung erfordert |
Nach Ende des produktiven Zugriffs können Kundendaten gelöscht oder in einen gesperrten Archivstatus überführt werden. Archivierte Daten werden nicht mehr für die laufende Nutzung bereitgestellt und nur noch für Archiv-, Nachweis-, Prüfungs-, Sicherheits- oder Rechtsverteidigungszwecke verarbeitet.
Soweit wir Daten innerhalb von PosIQ als Auftragsverarbeiter verarbeiten, richtet sich die Rückgabe, Löschung oder Archivierung nach dem SaaS-Vertrag, dem AVV und den dokumentierten Weisungen des jeweiligen Kunden. Daten, die wir in eigener Verantwortlichkeit verarbeiten, insbesondere Test-, Checkout-, Vertrags-, Rechnungs-, Zahlungs-, Support- und Sicherheitsdaten, bleiben hiervon unberührt.
13. Sicherheit#
Wir setzen angemessene technische und organisatorische Maßnahmen ein, um Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen. Dazu gehören insbesondere rollenbasierte Zugriffe, verschlüsselte Datenübertragung, Protokollierung sicherheitsrelevanter Ereignisse sowie Backup- und Wiederherstellungsverfahren.
14. Ihre Rechte#
Betroffenen Personen stehen im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte zu:
- Recht auf Auskunft gemäß Art. 15 DSGVO,
- Recht auf Berichtigung gemäß Art. 16 DSGVO,
- Recht auf Löschung gemäß Art. 17 DSGVO,
- Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO,
- Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO,
- Widerspruchsrecht gemäß Art. 21 DSGVO,
- Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO.
Soweit eine Verarbeitung auf einer Einwilligung beruht, kann diese mit Wirkung für die Zukunft widerrufen werden. Bitte beachten Sie: Soweit wir Daten als Auftragsverarbeiter für einen unserer Kunden verarbeiten (etwa als Gast oder Mitarbeiter eines Betriebs, der PosIQ einsetzt), ist datenschutzrechtlich in erster Linie dieser Betrieb Ihr Ansprechpartner; wir leiten Anfragen, soweit möglich, entsprechend weiter.
15. Kontakt und Aufsichtsbehörde#
Datenschutzanfragen können an info@posiq.io gerichtet werden.
Zuständige Aufsichtsbehörde ist derzeit:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart
www.baden-wuerttemberg.datenschutz.de