Wie viel Provision nimmt Zovra pro Bestellung?

Zovra setzt auf ein transparentes Abo statt hoher Bestell-Provisionen wie bei Lieferplattformen. Das genaue Modell teilen wir dir im Gespräch mit.

Wie bekomme ich mein Geld?

Zahlungen laufen über Stripe und werden direkt auf dein hinterlegtes Konto ausgezahlt. Die Einrichtung erfolgt in geführten Schritten.

Brauche ich spezielle Hardware?

Für die Betriebs-App genügt ein Gerät mit Browser. Für Belege unterstützt Zovra Bon-Druck.

Kann ich meine eigene Domain verwenden?

Ja. Deine Bestellseite läuft unter deinname.zovra.de — oder du verbindest deine eigene Domain.

Wie schnell bin ich startklar?

Konto anlegen, Speisekarte mit KI-Hilfe aufbauen, Bestellseite veröffentlichen — das gelingt an einem Nachmittag.

Wie steht es um den Datenschutz?

Zovra ist auf DSGVO-Konformität ausgelegt. Details zu Auftragsverarbeitung und eingesetzten Diensten findest du in unserer Datenschutzerklärung.

Zurück zur Startseite

Datenschutzerklärung für Partner-Restaurants und deren Mitarbeitende

Version: 1.0 Stand: 09.05.2026 Rechtsgrundlage: Art. 13/14 DSGVO, BDSG, TTDSG

Diese Datenschutzerklärung richtet sich an gewerbliche Nutzer der Plattform (Inhaber:innen und Mitarbeitende von Partner-Restaurants). Sie ergänzt die Datenschutzerklärung für Endnutzer der Gast-App.

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO

Ömür Chatzi – Digital Honey Schneiderberg 5 30167 Hannover E-Mail: hallo@zovra.de Internet: https://zovra.de

Datenschutzbeauftragter

Es ist kein Datenschutzbeauftragter benannt, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen. Bei Datenschutzanliegen wenden Sie sich an hallo@zovra.de.

2. Geltungsbereich

Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten von: a) Inhaber:innen, vertretungsberechtigten Personen und wirtschaftlich Berechtigten von Partner-Restaurants; b) Mitarbeitenden der Partner-Restaurants, die als Anwender der Operator-App eingesetzt werden; c) sonstigen Kontaktpersonen des Restaurants (z. B. Steuerberater, Buchhaltungs-Verantwortliche).

Verarbeitungen, die der Anbieter im Auftrag des Restaurants als Auftragsverarbeiter im Sinne von Art. 28 DSGVO durchführt, sind im jeweiligen Abschnitt gekennzeichnet. Die Modalitäten ergeben sich aus dem zwischen Anbieter und Restaurant geschlossenen Auftragsverarbeitungsvertrag (AVV).

3. Verarbeitungen im Einzelnen

3.1 Onboarding und Identifizierung (KYC)

Daten: Firmenname, Rechtsform, Anschrift, Handelsregister-Daten, Steuernummer, USt-IdNr., Inhaber:in/Vertretungsberechtigte:r mit Geburtsdatum, ggf. Ausweisdokument, Bankverbindung, wirtschaftlich Berechtigte:r („Beneficial Owner") nach § 3 GwG. Zweck: Vertragsabschluss, Erfüllung der gesetzlichen Pflichten zur Identifizierung von Vertragspartnern (insb. GwG sowie KYC-Anforderungen der Zahlungsdienstleister), Einrichtung des Stripe-Connected-Accounts. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht). Empfänger: Stripe Payments Europe Limited (Stripe Connect KYC), ggf. weitere Zahlungsdienstleister; Bundesanzeiger / Transparenzregister im gesetzlich vorgegebenen Umfang. Speicherdauer: Bis zu 5 Jahre nach Beendigung der Geschäftsbeziehung gemäß § 8 Abs. 4 GwG, soweit zwingend; im Übrigen für die Dauer der gesetzlichen Aufbewahrungsfristen (§§ 257 HGB, 147 AO).

3.2 Vertrags- und Stammdaten des Restaurants

Daten: Vertragsdaten, abgeschlossener Tarif, Ansprechpartner, Telefonnummern, E-Mail-Adressen, Bestellverlauf, Plattform-Konfigurationen (Speisekarte, Öffnungszeiten, Service-Konfiguration), Logistik-/Lieferdaten. Zweck: Erfüllung des Plattform-Vertrags, Support, Abrechnung, Reporting. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (Buchführungspflichten). Speicherdauer: Vertragslaufzeit zzgl. gesetzlicher Aufbewahrungsfristen (10 Jahre, § 147 AO).

3.3 Operator-App: Mitarbeiter-Konten und Aktionsprotokolle

Daten: Vor- und Nachname, geschäftliche E-Mail-Adresse, Rolle/Berechtigung (RBAC), Login-Zeitpunkte, IP-Adresse beim Login, Aktionen in der Operator-App (z. B. Bestellfreigaben, Statusänderungen), Geräte-/Browser-Information. Zweck: Bereitstellung der Operator-App, Authentifizierung, rollenbasierte Zugriffssteuerung, Nachvollziehbarkeit (Audit-Trail), Sicherheits- und Missbrauchs-Prävention. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Plattform-Vertrag mit dem Restaurant), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit der Plattform und an Audit-Trails); soweit Beschäftigtendaten berührt sind, § 26 BDSG sowie ergänzende Regelungen des AVV. Empfänger: Hosting-/Datenbank-Subunternehmer. Speicherdauer: Login-Logs und Aktionsprotokolle bis zu 90 Tage, bei rechtlichen Notwendigkeiten und für GoBD-relevante Audit-Spuren längere Aufbewahrung gemäß § 147 AO. Verantwortlichkeit: Hinsichtlich der Mitarbeiterdaten ist das Restaurant Verantwortlicher; der Anbieter agiert als Auftragsverarbeiter im Rahmen des AVV. Hinsichtlich plattform-eigener Sicherheits-Logs (z. B. Abuse-Detection) agiert der Anbieter als eigenständiger Verantwortlicher.

3.4 Bestelldaten der Endkunden (Auftragsverarbeitung)

Daten: Wie in der Datenschutzerklärung für Endnutzer beschrieben. Zweck: Abwicklung der Bestellungen über die Plattform für das jeweilige Restaurant. Verantwortlichkeit: Verantwortlicher hinsichtlich der Bestelldaten der Endkunden ist im Hinblick auf die eigene Geschäftstätigkeit das Restaurant (z. B. Buchhaltung, eigene Aufbewahrungspflichten, eigene Marketing-Aktivitäten). Der Anbieter agiert insoweit als Auftragsverarbeiter auf Grundlage des AVV. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (für das Restaurant gegenüber dem Gast), Art. 28 DSGVO (Auftragsverarbeiter-Verhältnis Anbieter ↔ Restaurant).

3.5 Buchhaltungs-Schnittstelle (lexoffice)

Daten: Belege, Rechnungen, Stammdaten, Steuerkennzeichen. Zweck: Übermittlung von Belegen an die vom Restaurant gewählte Buchhaltungslösung (lexoffice). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Auftragsverarbeitung gegenüber dem Restaurant. Empfänger: haufe-lexware GmbH, Munzinger Str. 9, 79111 Freiburg. Drittlandtransfer: Kein Drittlandtransfer. Hinweis: Die Nutzung der Buchhaltungs-Schnittstelle setzt einen separaten Vertrag des Restaurants mit dem Anbieter der Buchhaltungslösung voraus.

3.6 Zahlungsabwicklung über Stripe Connect

Daten: Auszahlungs-Daten, Transaktionsdaten, Reserveeinbehalte, Disputes, KYC-Daten. Zweck: Abwicklung der Auszahlungen, Erfüllung regulatorischer Pflichten Stripes (PSD2, GwG). Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO. Empfänger: Stripe Payments Europe Ltd. (Konzern: Stripe Inc., USA). Drittlandtransfer: DPF-Zertifizierung Stripes; ergänzende Standardvertragsklauseln; Datenverarbeitungs-Zusatzvereinbarung Stripes.

3.7 Server-Logs und Sicherheits-Telemetrie der Operator-App

Daten: IP-Adresse, Datum/Uhrzeit, Anfrage-URL, Status-Code, User-Agent, Geräte-Information. Zweck: Stabilität, Sicherheit, Fehleranalyse. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: stabiler und sicherer Betrieb. Speicherdauer: Bis zu 30 Tage; bei Vorfällen länger.

3.8 Support, Beschwerden und P2B-internes Beschwerdemanagement

Daten: Anschrift, Kontaktdaten, Inhalt der Anfrage, Korrespondenz-Historie. Zweck: Bearbeitung von Anfragen; internes Beschwerdemanagement gemäß Art. 11 P2B-VO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: Bis zur abschließenden Bearbeitung zzgl. üblicher Verjährungsfristen.

3.9 B2B-Werbung und Newsletter

Daten: Geschäftliche E-Mail-Adresse, Name, Funktion, Restaurant-Zugehörigkeit, ggf. Interaktions-Daten. Zweck: Information über Plattform-Funktionen, Schulungen, Updates, Empfehlungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO mit dem berechtigten Interesse an der Information bestehender und potenzieller Geschäftspartner; bei Bestandskunden ergänzend § 7 Abs. 3 UWG. Widerruf / Widerspruch: Jederzeit über den enthaltenen Abmeldelink oder per Mitteilung an hallo@zovra.de.

3.10 KI-gestützte Funktionen für Restaurants (AI-Menu-Chat, Forecasts)

Daten: Eingabe-Texte des Restaurants, Stammdaten (Speisen, Optionen), Bestellaggregate. Zweck: Bereitstellung KI-gestützter Funktionen (z. B. Menü-Vorschläge, Forecasts). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Empfänger: **. Drittlandtransfer: Standardvertragsklauseln, ggf. DPF; Datenverarbeitungs-Zusatzvereinbarung mit dem LLM-Anbieter; Konfiguration „no model training on customer data". Transparenz nach EU AI Act (VO 2024/1689): Einzelheiten ergeben sich aus den Nutzungsbedingungen für KI-Funktionen (siehe agb-ai-features.md).

4. Subprozessoren

Die für Restaurant-bezogene Verarbeitungen eingesetzten Subprozessoren entsprechen denen der Datenschutzerklärung für Endnutzer (Abschnitt 5 dort) und werden im Rahmen des AVV gepflegt. Eine Übersicht:

Subprozessor	Sitz	Verarbeitete Daten	Zweck
Hetzner Online GmbH	Deutschland	Server-Logs, Stammdaten	Hosting
Netcup GmbH	Deutschland	Backups	Hosting (sekundär)
Supabase Inc. / Supabase Pte Ltd	EU/IRL bzw. SGP/USA	Datenbank, Auth	Datenhaltung, Auth
Stripe Payments Europe Ltd.	Irland (Konzern: USA)	Zahlungs-, KYC-Daten	Zahlung, KYC
Google Ireland Limited (Firebase Cloud Messaging)	Irland	Geräte-Token	Push für Operator-App
haufe-lexware GmbH (lexoffice)	Deutschland	Belege, Stammdaten	Buchhaltungs-Schnittstelle
OpenAI, L.L.C.	USA	ausschließlich nicht personenbezogene Daten (Speisekarten-/Katalogdaten, aggregierte Kennzahlen)	KI-Funktionen (Speisekarten-Editor)
ALL-INKL.COM – Neue Medien Münnich	Deutschland	E-Mail-Adressen, Inhalte	Transaktions- und B2B-Mails

Hinweis zu KI-gestützten Funktionen: Für KI-gestützte Funktionen (z. B. die Unterstützung im Speisekarten-Editor) setzen wir OpenAI ein. An OpenAI werden ausschließlich nicht personenbezogene Daten übermittelt — insbesondere Speisekarten- und Katalogdaten sowie aggregierte Kennzahlen ohne Personenbezug. Personenbezogene Daten, insbesondere Daten von Gästen oder Mitarbeitenden, werden nicht an OpenAI übermittelt. Da keine personenbezogenen Daten übermittelt werden, liegt insoweit keine Übermittlung in ein Drittland im Sinne der Art. 44 ff. DSGVO vor.

5. Drittlandtransfer

Soweit Daten in Länder außerhalb des EWR übermittelt werden, erfolgt dies auf Grundlage der EU-US-DPF-Zertifizierung und/oder Standardvertragsklauseln, ergänzt durch eine Transfer Impact Assessment (TIA). Einzelheiten je Anbieter siehe Abschnitt 4 und 6 der Datenschutzerklärung für Endnutzer.

6. Verantwortlichkeitsverteilung Anbieter ↔ Restaurant

Verarbeitung	Verantwortlich	Auftragsverarbeiter
Bestelldaten Endkunden in der Buchhaltung des Restaurants	Restaurant	—
Bestelldaten Endkunden in der Plattform	Restaurant	Anbieter (auf Basis AVV)
Konto- und Stammdaten Restaurant ggü. Plattform	Anbieter	—
Login-/Audit-Logs der Operator-App (Sicherheit der Plattform)	Anbieter	—
Mitarbeiter-Daten in der Operator-App (RBAC-Verwaltung des Restaurants)	Restaurant	Anbieter
KYC-Daten	Anbieter (bzw. Stripe als eigenständig Verantwortlicher)	—
B2B-Marketing	Anbieter	—

7. Rechte der betroffenen Personen

Die Rechte aus Art. 15 bis Art. 22 DSGVO sowie das Beschwerderecht nach Art. 77 DSGVO bestehen unverändert. Anfragen sind an hallo@zovra.de zu richten. Soweit Rechte gegen das Restaurant als Verantwortlichen geltend gemacht werden, leitet der Anbieter eingehende Anfragen unverzüglich an das Restaurant weiter.

8. Datensicherheit

Es gelten die in der Datenschutzerklärung für Endnutzer beschriebenen technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO. Ergänzend: rollenbasierte Zugriffsrechte (RBAC) auf Mitarbeiter-Ebene, getrennte Mandanten-Bereiche, verschlüsselte Übermittlung von Belegen an die Buchhaltungs-Schnittstelle.

9. Änderungen dieser Erklärung

Aktualisierungen der Subprozessoren-Liste erfolgen nach Maßgabe des AVV. Wesentliche Änderungen werden mit angemessener Vorlauffrist in Textform mitgeteilt; das Recht zum Widerspruch sowie das Sonderkündigungsrecht aus dem AVV bleiben unberührt.