Privacyverklaring
Versie: 27 mei 2026
1. Verwerkingsverantwoordelijke en contactpersoon gegevensbescherming
Verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (AVG) en andere nationale wetgeving inzake gegevensbescherming van de lidstaten alsmede overige bepalingen op het gebied van gegevensbescherming is:
Platform7 mediadesign Eigenaar: Samuel Schmidt Postfach 20 01 10 34080 Kassel Duitsland
Vertegenwoordigd door: Samuel Schmidt (directeur)
E-mail: dataprivacy@margheritaai.com
Belastingdienst Marburg-Biedenkopf Belastingnr.: 031 866 03412 Btw-identificatienr.: DE350097686
Functionaris voor gegevensbescherming
Samuel Schmidt dataprivacy@margheritaai.com
2. Overzicht: wat deze verklaring omvat
margheritaAI is een webplatform waarmee restaurants en bezorgdiensten ontwerpsjablonen (flyers, menukaarten, vouchers enz.) kunnen ontwerpen en exporteren. Deze privacyverklaring informeert u over de aard, omvang en het doel van de verwerking van persoonsgegevens bij het gebruik van onze website op app.margheritaai.com (hierna "het platform") alsmede de bijbehorende informatiepagina's, met name www.margheritaai.com.
Persoonsgegevens zijn alle gegevens die op u persoonlijk betrekking hebben, bijv. uw naam, e-mailadres, IP-adres of de door u gemaakte ontwerpen, voor zover deze persoonlijke inhoud bevatten.
3. Rechtsgronden voor de verwerking
Voor zover wij voor verwerkingen van persoonsgegevens toestemming verkrijgen, dient art. 6 lid 1 sub a AVG als rechtsgrond.
Bij verwerking ter uitvoering van een overeenkomst met u of voor het nemen van precontractuele maatregelen dient art. 6 lid 1 sub b AVG als rechtsgrond. Dit geldt met name voor het beschikbaar stellen van uw gebruikersaccount en de betaalde Pro-functies.
Voor zover een verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting (bijv. bewaring op grond van handels- en belastingrecht), dient art. 6 lid 1 sub c AVG als rechtsgrond.
In gevallen waarin gerechtvaardigde belangen van ons of van een derde de verwerking noodzakelijk maken en uw belangen, grondrechten en fundamentele vrijheden niet zwaarder wegen, dient art. 6 lid 1 sub f AVG als rechtsgrond (bijv. IT-beveiliging, fraudepreventie, functioneren van het platform).
4. Hosting en serverlogbestanden
4.1 Hostingprovider
Wij hosten het platform bij Host Europe GmbH, Hansestraße 111, 51149 Keulen, Duitsland, in een datacenter op de locatie Straatsburg (Frankrijk) – derhalve binnen de EU. Met de aanbieder bestaat een verwerkersovereenkomst conform art. 28 AVG.
Voor het leveren van de hosting- en infrastructuurdiensten (o.a. datacenterbeheer, netwerk, beveiliging en DDoS-bescherming) schakelt de aanbieder op zijn beurt subverwerkers in. Een deel van deze subverwerkers verwerkt gegevens – met name verbindings- en netwerkmetadata zoals IP-adressen – ook in derde landen buiten de EU/EER (met name de VS en Zwitserland). Deze doorgiften zijn beveiligd door passende waarborgen in de zin van art. 44 e.v. AVG (EU-U.S. Data Privacy Framework respectievelijk standaardcontractbepalingen, art. 46 AVG). De actuele lijst van subverwerkers stelt de aanbieder beschikbaar op https://www.hosteurope.de/fileadmin/user_upload/Subunternehmerliste__DE.pdf (zie ook hoofdstuk 13).
4.2 Serverlogbestanden
Bij het bezoeken van het platform verzamelt de webserver automatisch informatie en slaat deze op in zogenaamde serverlogbestanden, die uw browser automatisch doorgeeft. In de standaardomvang van Apache zijn dit met name:
het geanonimiseerde, ingekorte of volledige IP-adres van het toegang verkrijgende apparaat,
datum en tijdstip van de toegang,
naam en URL van het opgevraagde bestand alsmede de overgedragen hoeveelheid gegevens,
de website van waaruit de toegang plaatsvindt (referrer-URL),
de gebruikte browser en eventueel het besturingssysteem van uw computer alsmede de naam van uw access-provider (user-agent).
De verwerking van deze gegevens vindt plaats op grond van art. 6 lid 1 sub f AVG. Ons gerechtvaardigd belang bestaat in het waarborgen van een storingsvrije werking, de beveiliging van onze informatietechnische systemen alsmede het opsporen en afweren van aanvallen en misbruik.
De logbestanden worden gedurende maximaal 30 dagen bewaard en daarna automatisch verwijderd. Een samenvoeging van deze gegevens met andere gegevensbronnen ter identificatie van uw persoon vindt niet plaats; een langere opslag vindt alleen plaats voor zover dit ter bewijsvoering bij een concreet beveiligingsrelevant incident noodzakelijk is.
5. Gebruikersaccount en registratie
Het aanmaken en opslaan van ontwerpen vereist een gebruikersaccount. Niet ingelogde bezoekers kunnen het platform bekijken, maar worden voor het maken van eigen ontwerpen verzocht zich te registreren.
5.1 Verwerkte gegevens
Bij de registratie en het gebruik van het account verwerken wij:
e-mailadres (verplicht, dient tevens als login),
wachtwoord (wordt uitsluitend als cryptografische hash opgeslagen – het wachtwoord in platte tekst is ons op geen enkel moment bekend),
eventueel naam / weergavenaam en gegevens over uw onderneming (restaurant, bezorgdienst), voor zover u deze opgeeft,
accountstatus / gebruikersniveau (Free of Pro),
tijdstempels van registratie, laatste login en toestemmingen,
de status van uw instemming met juridische documenten (zie hoofdstuk 11).
5.2 Doel en rechtsgrond
De verwerking vindt plaats voor het beschikbaar stellen van het gebruikersaccount en de uitvoering van de gebruiksovereenkomst (art. 6 lid 1 sub b AVG).
5.3 Bewaartermijn
Wij bewaren de accountgegevens zolang uw account bestaat. Na verwijdering van het account worden de persoonsgegevens verwijderd, voor zover er geen wettelijke bewaarplichten (met name op grond van handels- en belastingrecht, zie hoofdstuk 7.3) aan in de weg staan.
6. Gemaakte ontwerpen en bestandsuploads
6.1 Inhoud
In de editor gemaakte ontwerpen (flyers, menukaarten, vouchers enz.) alsmede de daarvoor geüploade bestanden (bijv. afbeeldingen, logo's) worden op onze servers opgeslagen om u de bewerking, opslag en export mogelijk te maken.
Let op: wanneer u persoonsgegevens (bijv. foto's van personen, contactgegevens) in uw ontwerpen opneemt, bent u als zelfstandig verwerkingsverantwoordelijke verantwoordelijk voor de rechtmatigheid van die verwerking.
6.2 Uploadvalidatie en toegangsbescherming
Geüploade bestanden worden aan de serverzijde gecontroleerd op hun daadwerkelijke bestandstype (MIME-validatie). Uploads zijn toegangsbeschermd en alleen toegankelijk voor het bijbehorende account; een ophaal is alleen mogelijk na authenticatie respectievelijk via speciaal ondertekende, in de tijd beperkte deellinks.
6.3 Doel en rechtsgrond
De verwerking vindt plaats ter uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG). De opslag vindt plaats zolang het betreffende ontwerp respectievelijk account bestaat.
7. Betalingsverwerking (Pro-abonnement)
Het betaalde Pro-lidmaatschap wordt verwerkt via de betaaldienstverlener Stripe.
7.1 Dienstverlener
Stripe Payments Europe, Ltd. The One Building, 1 Grand Canal Street Lower Dublin 2, Ierland
Bij een betaling worden de betaalgegevens (bijv. creditcard- of bankgegevens) rechtstreeks door Stripe verwerkt. Wij zelf slaan geen volledige betaalgegevens op (bijv. geen volledige creditcardnummers). Van Stripe ontvangen wij uitsluitend de voor de afwikkeling van de overeenkomst noodzakelijke informatie, zoals een klant- en transactiekenmerk, de abonnementsstatus, betaalmomenten alsmede de eerste/laatste cijfers en het kaarttype ter toewijzing.
7.2 Doel, rechtsgrond en doorgifte aan derde landen
De verwerking van de betaalgegevens vindt plaats ter uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG). Stripe kan persoonsgegevens ook doorgeven aan landen buiten de EU/EER (met name de VS). Stripe is gecertificeerd onder het EU-U.S. Data Privacy Framework respectievelijk baseert doorgiften op standaardcontractbepalingen conform art. 46 AVG.
Meer informatie over de gegevensverwerking door Stripe: https://stripe.com/privacy
7.3 Bewaring van facturatie- en boekhoudgegevens
Facturatie-, boekhoud- en betaalbewijzen bewaren wij op grond van handels- en belastingrechtelijke verplichtingen (art. 6 lid 1 sub c AVG, §§ 147 AO, 257 HGB) gedurende de wettelijk voorgeschreven termijn van in de regel 6 respectievelijk 10 jaar.
8. eCaupo-integratie (shopkoppeling)
margheritaAI is verbonden met de SaaS-shopoplossing eCaupo (https://www.ecaupo.com). Klanten van eCaupo kan het Pro-lidmaatschap via een gekoppelde shopconnectie ter beschikking worden gesteld, zonder dat een afzonderlijke Stripe-betaling plaatsvindt.
8.1 Exploitant van eCaupo
eCaupo wordt geëxploiteerd door dezelfde verwerkingsverantwoordelijke als margheritaAI (zie hoofdstuk 1). Het gaat niet om een extern bedrijf, maar om een andere dienst van dezelfde aanbieder. Een doorgifte van uw gegevens aan derden of een verwerking in opdracht door een ander bedrijf vindt in het kader van deze integratie daarom niet plaats.
8.2 Verwerkte gegevens en doel
Wanneer u uw margheritaAI-account koppelt met een eCaupo-shopconnectie, verwerken wij ter controle van uw aanspraak op de Pro-functies de daarvoor benodigde gegevens uit beide diensten, met name:
een uniek kenmerk van uw eCaupo-shop respectievelijk -klantaccount,
de status van de zakelijke relatie / de aanspraak op gerechtigdheid,
eventueel het ter toewijzing benodigde e-mailadres.
Aangezien beide diensten door dezelfde verwerkingsverantwoordelijke worden geëxploiteerd, gaat het om een interne samenvoeging van gegevens voor het genoemde doel; de gegevens verlaten de verwerkingsverantwoordelijke hierbij niet.
Het doel is het beschikbaar stellen van de Pro-functies op grond van uw bestaande eCaupo-zakenrelatie. De rechtsgrond is de uitvoering van de overeenkomst respectievelijk het nemen van precontractuele maatregelen (art. 6 lid 1 sub b AVG) alsmede ons gerechtvaardigd belang bij de koppeling van beide diensten en bij leadgeneratie (art. 6 lid 1 sub f AVG).
9. E-mailverzending
Wij verzenden transactiegerelateerde e-mails (bijv. registratiebevestiging, wachtwoordherstel, facturen, belangrijke mededelingen over uw account). De verzending vindt uitsluitend plaats via een geauthenticeerde SMTP-server.
E-mailverzending via de Host Europe SMTP-mailserver, serverlocatie EU.
Verwerkt worden uw e-mailadres en de betreffende berichtinhoud. De rechtsgrond is de uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG) respectievelijk ons gerechtvaardigd belang bij een veilige en betrouwbare communicatie (art. 6 lid 1 sub f AVG).
10. Cookies, sessies en lokale opslag
10.1 Technisch noodzakelijke cookies / sessie
Voor het beschikbaar stellen van de loginfunctie en ter beveiliging van formulieren (bescherming tegen cross-site request forgery, CSRF) gebruiken wij technisch noodzakelijke cookies respectievelijk sessiekenmerken. Deze zijn vereist zodat u ingelogd blijft en formulieren veilig verzonden kunnen worden.
De rechtsgrond is § 25 lid 2 nr. 2 TDDDG (technisch strikt noodzakelijke opslag) in samenhang met art. 6 lid 1 sub b en sub f AVG. Voor technisch noodzakelijke cookies is geen toestemming vereist.
Ter versnelling en voor het beheer van sessies kan aan de serverzijde een Redis-cache worden ingezet. Deze draait op onze eigen infrastructuur (zie hoofdstuk 4) en geeft geen gegevens aan derden door.
10.2 Lokale opslag in de browser
Voor de werking van de ontwerp-editor kunnen gegevens tijdelijk in de lokale opslag van uw browser (local storage) worden geplaatst, zoals editor-instellingen of tussenstanden. Deze gegevens blijven in uw browser en worden niet aan ons overgedragen, voor zover dit niet voor het opslaan van uw ontwerp uitdrukkelijk noodzakelijk is.
10.3 Geen tracking- of marketingcookies
Wij gebruiken naar de huidige stand geen analyse-, tracking- of marketingcookies en geen diensten voor bereikmeting (bijv. Google Analytics).
11. Juridische documenten en toestemmingsbeheer
Bepaalde juridische documenten (bijv. algemene voorwaarden, deze privacyverklaring in de telkens geldende versie) worden met versiebeheer beheerd. Bij juridisch relevante herzieningen wordt u bij de login verzocht hiervan opnieuw kennis te nemen respectievelijk hiermee in te stemmen. Wij slaan hiervoor op met welke versie u wanneer hebt ingestemd (art. 6 lid 1 sub c en sub b AVG, aantoonbaarheid conform art. 7 lid 1 AVG).
12. Ontvangers en verwerkers
Een doorgifte van uw gegevens aan derden vindt alleen plaats in de in deze verklaring beschreven gevallen. Ontvangers respectievelijk verwerkers zijn met name:
Ontvanger | Doel | Locatie | Grondslag |
|---|---|---|---|
Host Europe GmbH | Server, opslag, logbestanden, e-mailverzending | Frankrijk (datacenter Straatsburg); subverwerkers ook in derde landen | Verwerkersovereenkomst, art. 28 AVG; art. 46 AVG voor subverwerkers in derde landen |
Subverwerkers van Host Europe (bijv. AWS, Cloudflare, Microsoft, Plesk, Acronis) | Infrastructuur, netwerk, beveiliging | EU, VS, Zwitserland e.a. | Art. 28 lid 4 / art. 46 AVG |
Stripe Payments Europe, Ltd. | Betalingsverwerking Pro | EU / eventueel VS | Art. 28 / art. 46 AVG |
Met onze verwerkers bestaan, voor zover noodzakelijk, verwerkersovereenkomsten conform art. 28 AVG. Bij Stripe is de verwerkersovereenkomst onderdeel van de Stripe-gebruiksvoorwaarden en geldt deze bij het sluiten van de overeenkomst.
13. Gegevensdoorgifte naar derde landen
Een doorgifte naar landen buiten de EU/EER vindt plaats in de volgende gevallen:
in het kader van de betalingsverwerking via Stripe (zie hoofdstuk 7.2),
door subverwerkers van onze hostingaanbieder (Host Europe GmbH), die voor het leveren van de infrastructuur- en netwerkdiensten deels in derde landen – met name de VS en Zwitserland – actief zijn (zie hoofdstuk 4.1).
Al deze doorgiften zijn beveiligd door passende waarborgen in de zin van art. 44 e.v. AVG, namelijk door een certificering onder het EU-U.S. Data Privacy Framework respectievelijk door standaardcontractbepalingen conform art. 46 AVG. Voor het overige worden uw gegevens binnen de EU/EER verwerkt.
14. Gegevensbeveiliging
Wij treffen technische en organisatorische maatregelen om uw gegevens te beschermen tegen verlies, vernietiging, manipulatie en onbevoegde toegang. Hiertoe behoren met name:
transmissieversleuteling van de website via TLS/HTTPS,
opslag van wachtwoorden uitsluitend als Argon2id-hash,
bescherming van formulieren door CSRF-tokens en invoervalidatie,
inzet van geparametriseerde databasequery's (bescherming tegen SQL-injectie),
consequente output-escaping ter bescherming tegen cross-site scripting,
serverzijdige MIME-validatie van geüploade bestanden,
toegangsbeperkte, accountgebonden opgeslagen uploads.
Onze beveiligingsmaatregelen worden overeenkomstig de technologische ontwikkeling doorlopend aangepast.
15. Uw rechten als betrokkene
U heeft op grond van de AVG met name de volgende rechten:
Inzage (art. 15 AVG) in de over u opgeslagen gegevens,
Rectificatie (art. 16 AVG) van onjuiste gegevens,
Wissing (art. 17 AVG), voor zover er geen bewaarplichten aan in de weg staan,
Beperking van de verwerking (art. 18 AVG),
Gegevensoverdraagbaarheid (art. 20 AVG),
Bezwaar tegen verwerkingen die op art. 6 lid 1 sub f AVG berusten (art. 21 AVG),
Intrekking van verleende toestemmingen met werking voor de toekomst (art. 7 lid 3 AVG).
Voor de uitoefening van deze rechten volstaat een vormvrij bericht aan de in hoofdstuk 1 genoemde contactgegevens.
Recht van bezwaar (art. 21 AVG)
U heeft het recht om vanwege redenen die verband houden met uw specifieke situatie te allen tijde bezwaar te maken tegen de verwerking van u betreffende persoonsgegevens die op grond van art. 6 lid 1 sub f AVG plaatsvindt.
Recht om een klacht in te dienen bij een toezichthoudende autoriteit
U heeft het recht om bij een toezichthoudende autoriteit voor gegevensbescherming een klacht in te dienen over de verwerking van uw persoonsgegevens (art. 77 AVG). Bevoegd is onder andere de toezichthoudende autoriteit van uw gewone verblijfplaats of de voor ons bevoegde autoriteit:
Bevoegd voor margheritaAI is de Berlijnse functionaris voor gegevensbescherming en informatievrijheid (Berliner Beauftragte für Datenschutz und Informationsfreiheit), Friedrichstr. 219, 10969 Berlijn, Duitsland.
16. Verplichting tot het verstrekken van de gegevens
Het verstrekken van bepaalde gegevens (bijv. e-mailadres en wachtwoord bij de registratie, betaalgegevens bij het Pro-abonnement) is voor het sluiten van de overeenkomst respectievelijk het gebruik van de betreffende functie noodzakelijk. Zonder deze gegevens kunnen wij de overeenkomstige dienst niet leveren. Een verdergaande verstrekking van gegevens is vrijwillig.
17. Geautomatiseerde besluitvorming
Een geautomatiseerde besluitvorming met inbegrip van profilering in de zin van art. 22 AVG vindt niet plaats.
18. Wijzigingen van deze privacyverklaring
Wij behouden ons het recht voor deze privacyverklaring aan te passen, zodat deze steeds aan de actuele wettelijke vereisten voldoet of om wijzigingen van onze diensten door te voeren. Bepalend is de versie die bij uw bezoek beschikbaar is. Bij juridisch wezenlijke wijzigingen worden ingelogde gebruikers afzonderlijk geïnformeerd (zie hoofdstuk 11).