Datenschutzerklärung

Stand: April 2026 – Version 1.1

Kein Tracking. Nur Kalkulation.

denschMargin ist bewusst datensparsam konzipiert. Wir:

verwenden keine Tracking-Tools oder Analyse-Dienste
setzen keine Analyse- oder Marketing-Cookies ein
erstellen keine Nutzerprofile für Werbezwecke
geben keine personenbezogenen Daten zu Werbezwecken weiter
nutzen keine Drittanbieter-Analyse wie Google Analytics oder Meta Pixel

Unsere Plattform dient ausschließlich der Kalkulation von Wareneinsatz, Margen und Verkaufspreisen in der Gastronomie.

1. Verantwortlicher

denschMargin ist ein Angebot von:

dasdensch.com
Dennis Schneider
Hannoversche Str. 11
37176 Nörten-Hardenberg
Deutschland

E-Mail: datenschutz@dasdensch.com

2. Hosting

Die Website wird bei der STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, gehostet. Im Rahmen des Hostings verarbeitet STRATO in unserem Auftrag personenbezogene Daten. Es besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

3. Server-Logfiles

Beim Aufruf der Website erhebt STRATO automatisch Server-Logfiles. Diese enthalten:

IP-Adresse
Datum und Uhrzeit der Anfrage
Browsertyp und Betriebssystem
Referrer-URL
aufgerufene Seite

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler und sicherer Bereitstellung).

4. Registrierung und Benutzerkonto

Zur Nutzung der Plattform ist ein Benutzerkonto erforderlich. Dabei werden folgende Daten verarbeitet:

Name und Benutzername
E-Mail-Adresse
Passwort (ausschließlich als bcrypt-Hash gespeichert, nie im Klartext)
Optionale Zwei-Faktor-Authentifizierung (TOTP-Secret, verschlüsselt gespeichert)
Rolle und Zugriffsrechte
Datum der Kontoerstellung und Login-Aktivität

Zweck der Verarbeitung: Authentifizierung beim Login, Zugriffsverwaltung auf die Plattform.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Zugang).

5. Verarbeitete Nutzungsdaten

Die Kernfunktion von denschMargin ist die Kalkulation von Wareneinsatz und Margen. Im Rahmen der Nutzung werden folgende Daten gespeichert:

Rezepte mit Zutaten, Mengen und Kosten
Produkte mit Verkaufspreisen und Margen
Zutatenstammdaten mit Einkaufspreisen und Einheiten
Kategorien und Sortierungen
Nährwertangaben und Allergene

Diese Daten werden ausschließlich vom angemeldeten Nutzer selbst eingetragen und verwaltet. Sie werden nicht an Dritte weitergegeben und nicht für andere Zwecke genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5a. Externe Produktdaten-Dienste

Zur Unterstützung bei der Datenpflege können optional folgende externe Dienste genutzt werden. Diese Abfragen werden ausschließlich durch eine aktive Nutzeraktion ausgelöst (z. B. Klick auf „Bild suchen" oder „Logo suchen") und finden nicht automatisch im Hintergrund statt.

Open Food Facts (Produktbilder & Nährwerte)

Beim Scannen eines EAN-Barcodes oder bei der manuellen Bild-Suche für Zutaten wird die öffentliche API von Open Food Facts abgefragt. Dabei wird ausschließlich der Suchbegriff (Produktname) oder die EAN-Nummer übertragen. Es werden keine personenbezogenen Daten, keine IP-Adressen des Nutzers und keine Kontodaten an Open Food Facts gesendet – die Abfrage erfolgt serverseitig über unseren VPS.

Anbieter: Open Food Facts (gemeinnütziger Verein, Frankreich)
Übertragene Daten: Produktname oder EAN-Nummer (keine personenbezogenen Daten)
Empfangene Daten: Produktname, Nährwerte, Produktbild-URL
Speicherung: Produktbilder werden auf unserem Server gespeichert, keine dauerhafte Verbindung zu Open Food Facts
Lizenz: Open Database License (ODbL)
Weitere Informationen: openfoodfacts.org/terms-of-use

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Datenpflege). Die Abfrage wird nur durch explizite Nutzeraktion ausgelöst.

Brandfetch (Lieferanten-Logos)

Bei der Logo-Suche für Lieferanten wird die API von Brandfetch abgefragt. Dabei wird ausschließlich der Lieferantenname oder eine Domain übertragen. Es werden keine personenbezogenen Daten des Nutzers an Brandfetch gesendet – die Abfrage erfolgt serverseitig.

Anbieter: Brandfetch Ltd., London, Vereinigtes Königreich
Übertragene Daten: Firmenname oder Domain des Lieferanten (keine personenbezogenen Daten)
Empfangene Daten: Logo-Bilddaten, Domain, Markenname
Speicherung: Logos werden auf unserem Server gespeichert, keine dauerhafte Verbindung zu Brandfetch
Weitere Informationen: brandfetch.com/privacy

Drittland-Übermittlung: Das Vereinigte Königreich gilt nach dem Angemessenheitsbeschluss der EU-Kommission vom 28.06.2021 (C(2021) 4800 final) als sicheres Drittland im Sinne des Art. 45 DSGVO. Eine Übermittlung personenbezogener Daten findet ohnehin nicht statt, da nur Lieferanten-/Markennamen übertragen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Datenpflege). Die Abfrage wird nur durch explizite Nutzeraktion ausgelöst.

Bing Image Search (Produktbild-Fallback)

Falls über Open Food Facts kein passendes Produktbild gefunden wird, wird als Fallback die öffentliche Bildersuche von Microsoft Bing genutzt. Dabei wird serverseitig der Produktname (nicht die EAN-Nummer und keine personenbezogenen Daten) als Suchbegriff übertragen. Gefundene Bilder werden auf unserem Server gespeichert.

Anbieter: Microsoft Corporation, Redmond, WA, USA
Übertragene Daten: Produktname als Suchbegriff (keine personenbezogenen Daten)
Empfangene Daten: Bild-URLs aus öffentlichen Webseiten
Speicherung: Bilder werden auf unserem Server gespeichert, keine dauerhafte Verbindung zu Bing
Weitere Informationen: Microsoft Datenschutzerklärung

Drittland-Übermittlung: Microsoft Corporation ist gemäß EU-US Data Privacy Framework (DPF) zertifiziert. Die EU-Kommission hat mit Beschluss vom 10.07.2023 (C(2023) 4745) festgestellt, dass nach dem DPF zertifizierte US-Unternehmen ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten (Art. 45 DSGVO). Microsoft-DPF-Zertifikat: dataprivacyframework.gov/list.

6. Zahlungsabwicklung

Für kostenpflichtige Abonnements ist die Zahlungsabwicklung über den Zahlungsdienstleister Stripe Payments Europe, Ltd., Dublin, Irland, vorgesehen. Zahlungsdaten (z. B. Kartendaten) werden dabei ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Wir erhalten lediglich anonymisierte Referenz-IDs zur Verwaltung des Vertragsverhältnisses. Weitere Informationen: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7. Cookies

denschMargin verwendet ausschließlich technisch notwendige Session-Cookies, die für den Login und die sichere Funktion der Plattform erforderlich sind. Es werden keine Tracking- oder Marketing-Cookies eingesetzt.

Name: denschmargin_session
Zweck: Authentifizierung und Sitzungsverwaltung
Dauer: Bis zum Schließen des Browsers (max. 4 Stunden serverseitig)
Typ: Technisch notwendig (kein Consent erforderlich)

Zusätzlich kann optional ein Cookie für die Funktion „Diesem Gerät vertrauen" gesetzt werden:

Name: trusted_device
Zweck: Überspringen der Zwei-Faktor-Authentifizierung auf vertrauenswürdigen Geräten
Dauer: 14 Tage
Gespeicherte Daten: Token-Hash (nicht rückverfolgbar), Browser/Betriebssystem, IP-Adresse, Zeitstempel
Typ: Technisch notwendig (Sicherheitsfunktion, kein Consent erforderlich)
Verwaltung: Vertrauenswürdige Geräte können jederzeit in den Kontoeinstellungen eingesehen und entfernt werden (max. 5 Geräte)

Rechtsgrundlage: § 25 Abs. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Authentifizierung).

Ein Cookie-Banner ist daher nicht erforderlich.

8. Sicherheitsmaßnahmen

denschMargin setzt folgende technische Sicherheitsmaßnahmen ein:

Passwörter werden ausschließlich als bcrypt-Hash gespeichert
Optionale Zwei-Faktor-Authentifizierung (TOTP)
CSRF-Token-Schutz bei allen formularbezogenen Aktionen
Brute-Force-Schutz beim Login (5 Fehlversuche → 15 Minuten Sperre)
Sichere Session-Konfiguration (httponly, secure, strict mode, ID-Regeneration)
SSL/TLS-Verschlüsselung der gesamten Datenübertragung

9. Speicherdauer

Benutzerkontodaten: bis zur Löschung des Kontos, spätestens 30 Tage nach Vertragsende
Rezepte, Produkte, Zutaten: bis zur manuellen Löschung durch den Nutzer oder nach Vertragsende
Zahlungs- und Rechnungsdaten: 10 Jahre gemäß § 147 AO
Server-Logfiles: gemäß Vorgaben der STRATO AG (in der Regel 7–14 Tage)
Gesetzliche Aufbewahrungspflichten bleiben in jedem Fall unberührt.

10. SSL-Verschlüsselung

Die Website nutzt eine SSL- bzw. TLS-Verschlüsselung, um übermittelte Inhalte zu schützen. Erkennbar am Schloss-Symbol in der Adresszeile des Browsers.

11. Rechte der betroffenen Personen

Sie haben das Recht auf:

Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch (Art. 21 DSGVO)

Zudem besteht ein Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde. Für Niedersachsen ist dies die Landesbeauftragte für den Datenschutz Niedersachsen (LfD), Prinzenstraße 5, 30159 Hannover, www.lfd.niedersachsen.de.

Für Anfragen wenden Sie sich an: datenschutz@dasdensch.com