Zum Inhalt springen
AnmeldenJetzt starten
01Rechtliches · Datenschutz

Datenschutzerklärung

Wie wir personenbezogene Daten erheben, nutzen, teilen und schützen, wenn Sie uxo.bg besuchen oder die UXO-Plattform verwenden.

Zuletzt aktualisiert
21 May 2026
Abschnitte
13
Lesezeit
~10 Min.

01Über diese Richtlinie

Diese Datenschutzerklärung erläutert, wie COTRONIKA EOOD (“wir”, “uns”, “unser”), das Unternehmen, das die UXO-Plattform unter uxo.bgund die dazugehörigen Dienste (der “Dienst”) betreibt, personenbezogene Daten erhebt, nutzt, teilt und schützt.

Sie gilt für die Marketing-Website unter uxo.bg, die kundenorientierten Bestell-Apps, die Restaurants unter der Marke UXO einbinden, das Dashboard für Mitarbeitende von Restaurantteams sowie die Discovery-Flächen des Marktplatzes — zusammen der Dienst.

Diese Richtlinie ist in klarer Sprache geschrieben, damit Sie verstehen, was wir tun und welche Rechte Sie haben. Wenn wir Fachbegriffe aus der EU-Datenschutz-Grundverordnung (Regulation (EU) 2016/679, “DSGVO”) verwenden, erläutern wir diese.

02Wer wir sind

COTRONIKA EOOD ist eine bulgarische Gesellschaft mit beschränkter Haftung, die UXO betreibt.

Rechtlicher Name
COTRONIKA EOOD
UIC / EIK
202457989
VAT
BG202457989
Eingetragener Sitz
Sofia 1700, Bulgaria
Kontakt-E-Mail
[email protected]

Wir haben keinen förmlich benannten Datenschutzbeauftragten (DPO) bestellt, weil unsere Verarbeitungsvorgänge die in Art. 37 DSGVO festgelegten Pflichtschwellen nicht erreichen. Sie können uns zu allen datenschutzbezogenen Fragen trotzdem jederzeit unter der oben genannten E-Mail-Adresse erreichen.

03Welche personenbezogenen Daten wir erheben

Welche Kategorien personenbezogener Daten wir erheben, hängt davon ab, wie Sie mit dem Dienst interagieren.

Daten von Restaurantinhabern / Mitarbeitenden (wir sind Verantwortlicher)

  • Identitäts- und Kontaktdaten — Name, E-Mail, Telefonnummer, bevorzugte Sprache.
  • Unternehmensdaten — Restaurant- oder Firmenname, Anschrift, Land, Handelsregister- und VAT-Nummern, soweit anwendbar.
  • Authentifizierungsdaten — gehashtes Passwort, Einmalcodes, die für Anmeldung und Verifizierung an Ihre E-Mail gesendet werden, Session-Tokens.
  • Abrechnungsdaten — Plan, Abrechnungszeitraum, Rechnungsanschrift, die letzten vier Ziffern einer Zahlungskarte (wir erhalten niemals die vollständige Kartennummer, siehe Section 6), Rechnungshistorie.
  • Kommunikation, die Sie an uns senden — Support-E-Mails, Nachrichten über das Kontaktformular, Antworten auf unsere Service-E-Mails.

Gäste- / Kundendaten, die ein Restaurant über den Dienst eingibt (wir sind Auftragsverarbeiter)

  • Bestelldaten — ausgewählte Artikel, Varianten, Hinweise an die Küche, Bestellzeit, Tischnummer oder Details zu Abholung/Lieferung.
  • Kundenkontaktdaten — Name, Telefonnummer, E-Mail und Lieferadresse, wenn der Gast eine Abhol-, Liefer- oder Reservierungsbestellung aufgibt oder Status-Updates erhalten möchte.
  • Kontodaten — wenn ein Gast ein Konto für Fernbestellungen erstellt, die verifizierte E-Mail oder Telefonnummer, die Sprachpräferenz, gespeicherte Lieferadressen.

Wir verarbeiten diese Kategorie ausschließlich auf dokumentierte Weisung des Restaurants, dem der Betrieb gehört, nach Maßgabe unseres Auftragsverarbeitungsvertrags (siehe /legal/dpa). Wir verkaufen oder vermieten diese Daten nicht und nutzen sie nicht für eigene Marketingzwecke.

Technische Daten, die wir von allen Nutzern des Dienstes erheben

  • IP-Adresse, Gerätetyp, Browser, Betriebssystem, Referrer-URL.
  • Aufgerufene Seiten, Verweildauer, Interaktionen mit der Oberfläche, ungefähre aus der IP abgeleitete Position.
  • Funktionale Cookies — zum Beispiel das uxo_locale-Cookie, das Ihre Sprachauswahl seitenübergreifend speichert.
  • Analyse-Cookies, die Google Analytics auf der Marketing-Website uxo.bg setzt (siehe Section 9 zu Cookies).
  • Server-Logs — Anfrage-URLs, Statuscodes, Zeitstempel, gekürzte User-Agent-Strings — die wir zu Betriebs- und Sicherheitszwecken aufbewahren.

04Wie wir personenbezogene Daten nutzen und auf welche Rechtsgrundlagen wir uns stützen

Wir verarbeiten personenbezogene Daten nur dann, wenn wir dafür eine Rechtsgrundlage nach Art. 6 DSGVO haben. Die folgende Tabelle zeigt die wichtigsten Zwecke und die jeweilige Grundlage.

ZweckRechtsgrundlage
Bereitstellung und Betrieb des Dienstes, Gewährung des Zugangs zu Ihrem Konto, Bereitstellung der kundenorientierten BestelloberflächenVertragserfüllung (Art. 6(1)(b))
Zahlungsabwicklung, Rechnungserstellung, Verwaltung von Abonnements, Einzug überfälliger BeträgeVertragserfüllung (Art. 6(1)(b))
Versand von Service-E-Mails (Anmeldecodes, Passwort-Resets, Kontoänderungen, Zahlungsbelege, Sicherheitshinweise)Vertragserfüllung (Art. 6(1)(b))
Erfüllung unserer steuerlichen, buchhalterischen, geldwäscherechtlichen und verbraucherschutzrechtlichen PflichtenRechtliche Verpflichtung (Art. 6(1)(c))
Schutz des Dienstes vor Betrug, Missbrauch und Sicherheitsbedrohungen; Untersuchung von VorfällenUnser berechtigtes Interesse daran, den Dienst sicher zu halten (Art. 6(1)(f))
Verbesserung des Dienstes — aggregierte Nutzungsanalyse, Produktforschung, FehlerüberwachungUnser berechtigtes Interesse am Betrieb und an der Verbesserung des Dienstes (Art. 6(1)(f))
Versand von Marketing-E-Mails über neue UXO-Funktionen und Ankündigungen an bestehende KundenUnser berechtigtes Interesse daran, den Dienst bei bestehenden Kunden zu bewerben, mit einer Abmeldemöglichkeit in jeder E-Mail (Art. 6(1)(f))
Setzen von Analyse-Cookies auf der Marketing-Website uxo.bgIhre Einwilligung (Art. 6(1)(a))
Verarbeitung von Gäste- / Kunden-Bestelldaten im Auftrag eines RestaurantsWir handeln als Auftragsverarbeiter; das Restaurant legt seine eigene Rechtsgrundlage im Rahmen seiner Vereinbarung mit dem Gast fest und stützt sich darauf

05Wie wir personenbezogene Daten teilen

Wir verkaufen keine personenbezogenen Daten. Wir teilen sie nur mit den unten aufgeführten Drittanbietern, die als unsere Unterauftragsverarbeiter handeln und Daten auf unsere Weisung verarbeiten, sowie dann, wenn wir gesetzlich dazu verpflichtet sind.

Von uns eingesetzte Unterauftragsverarbeiter

AnbieterRolleStandort
COTRONIKA EOOD (own infrastructure)Anwendungs-Hosting, Datenbank, Backups, SMTP-E-Mail-Zustellung, Aboverwaltung (WHMCS), FehlerüberwachungBulgarien (EU)
Cloudflare, Inc.DNS, CDN, DDoS-Schutz, Web-Application-Firewall, Turnstile-Bot-ErkennungUSA / EU-Edge-Standorte
Stripe Payments Europe LtdKartenzahlungsabwicklung für Abonnements und andere bezahlte TransaktionenIrland (EU) mit US-Muttergesellschaft
Anthropic PBCBild-zu-Text-Umwandlung (OCR) nur für Papiermenüs, die über die Menu-Scan-Funktion hochgeladen werden; Menübilder enthalten normalerweise keine personenbezogenen DatenUSA
Google Ireland LtdWebanalyse (Google Analytics) auf uxo.bgIrland (EU) mit US-Muttergesellschaft

Weitere Offenlegungen

Wir können personenbezogene Daten gegenüber Behörden, Gerichten oder Aufsichtsbehörden offenlegen, wenn wir gesetzlich dazu verpflichtet sind, wenn dies zur Verteidigung unserer Rechte erforderlich ist oder wenn es nötig ist, um die Rechte, das Eigentum oder die Sicherheit einer Person zu schützen.

Wenn COTRONIKA EOOD oder ein Teil seines Geschäfts umstrukturiert, verkauft oder übertragen wird, können personenbezogene Daten an die erwerbende Partei übergehen. Soweit das Gesetz dies verlangt, werden wir Sie vorab informieren.

06Internationale Übermittlungen

Der Dienst läuft auf unserer eigenen Infrastruktur in Bulgarien (EU). Einige unserer Unterauftragsverarbeiter haben jedoch ihren Sitz in den USA oder betreiben globale Infrastruktur. Wenn personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums übermittelt werden, stützen wir uns auf die geeigneten Garantien nach Kapitel V DSGVO:

  • die von der Europäischen Kommission erlassenen Standard Contractual Clauses (Decision 2021/914), die mit dem Anbieter abgeschlossen werden, und
  • sofern der Anbieter am EU-US Data Privacy Framework teilnimmt, den Angemessenheitsbeschluss vom 10. Juli 2023 in Kombination mit der Selbstzertifizierung des Anbieters.

Sie können per E-Mail an [email protected] eine Kopie der für eine bestimmte Übermittlung geltenden Garantien anfordern.

07Wie lange wir personenbezogene Daten speichern

Wir speichern personenbezogene Daten nur so lange, wie wir sie für die in dieser Richtlinie beschriebenen Zwecke benötigen oder wie es das Gesetz verlangt.

Kontodaten
Werden gespeichert, solange Ihr Abonnement aktiv ist. Sie werden innerhalb von drei Monaten nach Ende Ihres Abonnements gelöscht (oder irreversibel anonymisiert), außer wenn wir bestimmte Unterlagen länger aufbewahren müssen, um eine gesetzliche Pflicht zu erfüllen (zum Beispiel Buchhaltungs- und Steuerunterlagen, die wir nach dem Accountancy Act und dem VAT Act mindestens zehn Jahre aufbewahren müssen).
Bestelldaten und Gäste- / Kundendaten
Werden gespeichert, solange das Abonnement des Restaurants aktiv ist, und innerhalb von drei Monaten nach Schließung des Abonnements gelöscht, vorbehaltlich derselben oben genannten Ausnahmen für Buchhaltung / Steuern.
Anmeldecodes und Passwort-Reset-Tokens
Laufen automatisch innerhalb der im Dienst festgelegten Gültigkeitsdauer ab (typischerweise Minuten bis Stunden) und werden anschließend gelöscht.
Server-Logs und Sicherheits-Telemetrie
Werden bis zu neunzig Tage gespeichert, sofern sie nicht mit einem bestimmten untersuchten Vorfall verknüpft sind.
Abmeldedatensätze für Marketing-E-Mails
Werden unbegrenzt gespeichert, damit wir Ihre Abmeldung auch nach Schließung Ihres Kontos beachten können.

08Ihre Rechte

Nach der DSGVO haben Sie in Bezug auf die personenbezogenen Daten, die wir über Sie speichern, folgende Rechte:

  • Auskunft (Art. 15) — Sie können eine Kopie der personenbezogenen Daten anfordern, die wir über Sie speichern.
  • Berichtigung (Art. 16) — Sie können verlangen, dass wir unrichtige oder unvollständige Daten korrigieren.
  • Löschung (Art. 17) — Sie können verlangen, dass wir Ihre Daten löschen, wenn einer der in der DSGVO genannten Gründe vorliegt.
  • Einschränkung (Art. 18) — Sie können verlangen, dass wir die Nutzung Ihrer Daten einschränken, solange ein Streit geklärt wird.
  • Datenübertragbarkeit (Art. 20) — Sie können die Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und uns, soweit technisch machbar, auffordern, sie an einen anderen Verantwortlichen zu übermitteln.
  • Widerspruch (Art. 21) — Sie können der Verarbeitung widersprechen, die auf unseren berechtigten Interessen beruht, einschließlich Direktmarketing, wenn sich Ihr Widerspruch aus Ihrer besonderen Situation ergibt.
  • Einwilligung widerrufen (Art. 7(3)) — Wenn wir uns auf Ihre Einwilligung stützen, können Sie diese jederzeit widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung vor dem Widerruf.
  • Beschwerde einreichen bei einer Aufsichtsbehörde. In Bulgarien ist die zuständige Behörde die Commission for Personal Data Protection (Комисия за защита на личните данни), www.cpdp.bg.

Um eines dieser Rechte auszuüben, schreiben Sie an [email protected]. Wir antworten innerhalb eines Monats nach Eingang Ihrer Anfrage, wie es Art. 12(3) DSGVO verlangt. Wir können diese Frist um bis zu zwei weitere Monate verlängern, wenn die Anfrage komplex ist; in diesem Fall informieren wir Sie innerhalb des ersten Monats und erläutern, warum.

Wenn sich Ihre Anfrage auf Gäste- / Kundendaten bezieht, die ein Restaurant über den Dienst eingestellt hat, wenden Sie sich bitte zunächst an das Restaurant — dieses ist der Verantwortliche. Wir unterstützen es bei der Beantwortung.

09Cookies und ähnliche Technologien

Die Marketing-Website uxo.bg verwendet zwei Kategorien von Cookies:

Funktional
uxo_locale — speichert Ihre Sprachauswahl seitenübergreifend, damit Sie sie nicht bei jedem Besuch erneut auswählen müssen. Wird mit einer Laufzeit von einem Jahr gesetzt. Keine Einwilligung erforderlich, da dieses Cookie für die von Ihnen aktiv genutzte Sprachauswahlfunktion unbedingt erforderlich ist.
Analyse
Google Analytics — hilft uns zu verstehen, wie Besucher die Marketing-Website finden und nutzen, damit wir sie verbessern können. Diese Cookies werden nur mit Ihrer Einwilligung gesetzt. Sie können Ihre Einwilligung jederzeit über Ihre Browsereinstellungen widerrufen.

Die kundenorientierten Bestell-Apps und das Dashboard für Mitarbeitende verwenden unbedingt erforderliche Session-Cookies, damit Sie angemeldet bleiben. Diese erfordern nach EU-Recht keine Einwilligung.

10Sicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung sowie unbefugter Offenlegung oder unbefugtem Zugriff zu schützen. Dazu gehören:

  • Verschlüsselung der Datenübertragung (TLS) für den gesamten Datenverkehr zum und vom Dienst;
  • Verschlüsselung ruhender Daten für Backups und sensible Datenspeicher;
  • rollenbasierte Zugriffskontrollen und das Need-to-know-Prinzip für Mitarbeitende mit Zugriff auf Produktionssysteme;
  • Mandantentrennung, die sicherstellt, dass ein Restaurant nicht auf die Daten eines anderen zugreifen kann;
  • Hashing von Passwörtern mit einem gesalzenen, langsamen Algorithmus; Anmelde-Tokens, die ablaufen und rotiert werden;
  • Audit-Logs administrativer Maßnahmen, Server-Logs zur Betriebs- und Sicherheitsprüfung;
  • routinemäßige Backups, Sicherheits-Patching und Lieferantenprüfungen der in Section 5 genannten Unterauftragsverarbeiter.

Kein System ist vollkommen sicher. Wenn Sie von einer Verletzung des Schutzes personenbezogener Daten betroffen sind, informieren wir Sie und die zuständige Aufsichtsbehörde, soweit die DSGVO uns dazu verpflichtet (Art. 33-34).

11Kinder

Der Dienst richtet sich nicht an Kinder unter sechzehn Jahren, und wir erheben wissentlich keine personenbezogenen Daten von ihnen. Wenn Sie erfahren, dass ein Kind uns personenbezogene Daten bereitgestellt hat, kontaktieren Sie uns bitte unter [email protected], damit wir diese löschen können.

12Änderungen an dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren, um Änderungen am Dienst, an unseren Unterauftragsverarbeitern oder am anwendbaren Recht abzubilden. Wenn wir das tun, ändern wir das Datum “Zuletzt aktualisiert” oben auf dieser Seite. Wenn die Änderungen wesentlich sind, informieren wir Sie mit angemessener Vorankündigung — in der Regel per E-Mail, wenn Sie ein Konto bei uns haben, oder über ein Banner im Dienst.

13Kontakt

Wenn Sie Fragen zu dieser Richtlinie oder zu unserem Umgang mit personenbezogenen Daten haben, schreiben Sie an [email protected] oder per Post an COTRONIKA EOOD, Sofia 1700, Bulgaria.

Bereit für QR-Menü, Tischbestellungen, Abholung und Lieferung in einem System?
Kostenlos starten, lokale Sichtbarkeit inklusive.

Kostenlos startenKontakt aufnehmen