Datenschutzerklärung

Server-Log-Files

Beim Besuch von myfood.care werden automatisch erfasst:

• IP-Adresse (wird nach 7 Tagen anonymisiert)
• Browsertyp und -version
• Betriebssystem
• Datum und Uhrzeit des Zugriffs
• Besuchte Seiten
• Referrer-URL

Zweck: Sicherheit und Funktionsfähigkeit der Website.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: 7 Tage (vollständig), danach anonymisiert.

Cookies

Wir verwenden folgende Cookies bzw. lokale Speichereinträge:

• Technisch notwendige Einträge (immer aktiv):
  • cookie-consent (localStorage): speichert Ihre Cookie-Präferenz (12 Monate)
  • cookie-consent-date (localStorage): Zeitpunkt der Einwilligung (12 Monate)
• Analyse-Cookies (nur mit Einwilligung, siehe Punkt 4):
  • _ga – Google Analytics, Nutzerunterscheidung (24 Monate)
  • _ga_Y55DDHMN1G – Google Analytics, Session-State (24 Monate)

Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Google Tag Manager & Consent Mode v2

Zur einheitlichen Verwaltung unserer Analyse-Tags setzen wir den Google Tag Manager (Container-ID GTM-PMDZPHQH) der Google Ireland Limited ein. Der Tag Manager selbst setzt keine Analyse-Cookies, sondern lädt nachgelagerte Tags (insb. Google Analytics 4) erst dann, wenn die dazu erforderliche Einwilligung vorliegt.

Wir verwenden Googles Consent Mode v2: Ohne Ihre Einwilligung werden alle Einwilligungs-Signale (ad_storage, ad_user_data, ad_personalization, analytics_storage) auf „denied" gesetzt. In diesem Modus werden keine Analyse-Cookies gesetzt und keine personenbezogenen Daten an Google übertragen. Zusätzlich ist ads_data_redaction aktiviert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Tag-Management ohne Tracking) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für nachgelagerte Analyse-Tags).

Google Analytics 4

Mit Ihrer Einwilligung setzen wir Google Analytics 4 (Mess-ID G-Y55DDHMN1G) ein, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google"). Google Analytics hilft uns zu verstehen, wie Besucher:innen unsere Website nutzen, um Inhalte zu verbessern. Die Einbindung erfolgt über den Google Tag Manager.

Verarbeitet werden u. a. aufgerufene Seiten, Verweildauer, verwendetes Gerät sowie eine gekürzte IP-Adresse. Die Kürzung erfolgt in der EU, bevor Daten an Server von Google – ggf. in den USA – übertragen werden.

Zusätzlich zu Seitenaufrufen erfassen wir mit Ihrer Einwilligung folgende Interaktions- und Conversion-Events, um die Nutzung zentraler Funktionen zu verstehen:

• Klicks auf Call-to-Action-Buttons (Online-Anmeldung, Sozialmarkt-Rechner)
• Abschluss der Online-Anmeldung bzw. der Retter-Anmeldung (Form-Submit)
• Klicks auf Routen-Links (Google/Apple Maps) an den Standorten
• Klicks auf Telefon-Links (tel:)

Dabei werden keine Formularinhalte oder sonstige Eingaben übertragen, sondern nur die Tatsache des Klicks/Submits sowie – bei Routen-Klicks – die Kennung des jeweiligen Standorts.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 165 Abs. 3 TKG 2021.
Speicherdauer der Ereignisdaten in Google Analytics: 14 Monate.
Drittlandtransfer in die USA auf Grundlage des EU-US Data Privacy Framework (dataprivacyframework.gov); Google ist zertifiziertes Unternehmen unter dem DPF.
Verknüpfung: Die Analytics-Property ist mit der Search-Console-Property sc-domain:myfood.care verknüpft, um Suchanfragen-Daten anonymisiert zu importieren.
Widerruf: jederzeit über die Cookie-Einstellungen; zusätzlich Opt-out über das Google-Analytics-Opt-out-Browser-Add-on.
Google-Datenschutzerklärung: policies.google.com/privacy.

Content Security Policy & Fehlerberichte

Zum Schutz vor Cross-Site-Scripting und der Einbettung unerlaubter Inhalte setzen wir eine Content Security Policy (CSP) ein. Verstößt ein Ressourcen-Laden gegen diese Policy, sendet Ihr Browser automatisch einen technischen Fehlerbericht (URL der blockierten Ressource, Quell-URL, Zeitpunkt) an unseren CSP-Report-Endpunkt bei Sentry(Functional Software Inc., Sentry, EU-Ingest-Region ingest.de.sentry.io, gehostet in Deutschland). Persönliche Inhalte werden dabei nicht übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität der Website).

Google Search Console

Wir nutzen die Google Search Console, um die Auffindbarkeit unserer Inhalte in der Google-Suche zu verstehen und technische Fehler zu erkennen. Die Search Console liefert uns aggregierte, anonymisierte Auswertungen zu Suchanfragen, Impressionen und Klicks. Personenbezogene Daten einzelner Nutzer:innen werden dabei nicht an uns übertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sichtbarkeit und technischer Qualität der Website).

Google reCAPTCHA v3

Zum Schutz vor Spam und automatisierten Zugriffen setzen wir in den Formularen (Online-Anmeldung, Kontakt) Google reCAPTCHA v3 der Google Ireland Limited ein. reCAPTCHA analysiert Nutzungsverhalten und technische Merkmale (u. a. IP-Adresse, Browsermerkmale, Maus-/Tastatureingaben, Cookies von Google-Diensten) und ermittelt daraus einen Score, der eine Bot-Wahrscheinlichkeit abbildet. Eine sichtbare Challenge erfolgt nur bei auffälligem Score.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs- und Spamschutz).
Drittlandtransfer in die USA auf Grundlage des EU-US Data Privacy Framework.
Details: Google Datenschutz · Google Nutzungsbedingungen.

Schriftarten

Wir verwenden die Schriftart „Manrope" über das Next.js Font-Hosting. Die Schrift wird beim Build heruntergeladen und lokal mit der Website ausgeliefert. Es werden keine Verbindungen zu Google-Servern aufgebaut und keine IP-Adressen oder personenbezogenen Daten an Google übertragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, performanten Darstellung).

Sozialmarkt-Rechner

Der Sozialmarkt-Rechner arbeitet vollständig lokal im Browser. Es werden keine eingegebenen Daten an Server übertragen oder gespeichert, und es werden keine zusätzlichen Cookies gesetzt.

Standorte (Karte & Routen)

Für die Standort-Karte nutzen wir OpenStreetMap-Tiles über Leaflet. Beim Laden der Karte werden Anfragen an die OpenStreetMap-Server gesendet; dabei werden technische Daten wie IP-Adresse, Browser, Datum/Uhrzeit und die aufgerufenen Tile-URLs übertragen. Eigene Cookies setzen wir für die Karte nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer nutzerfreundlichen Standortanzeige).
Routen-Links öffnen externe Dienste (z. B. Google Maps oder Apple Maps), die eigenständig Daten (IP-Adresse, Geräte-/Standortdaten) verarbeiten. Die Nutzung ist freiwillig.

WhatsApp-Kontakt

Wenn Sie einen WhatsApp-Link nutzen, wird ein Chat mit unserer Nummer geöffnet. Verantwortlich für die Verarbeitung in WhatsApp ist WhatsApp Ireland Limited(Meta Platforms Ireland Ltd.). Es kann zu einer Übermittlung in Drittländer kommen. Die Nutzung ist freiwillig; alternativ erreichen Sie uns telefonisch oder per E-Mail.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktiven Klick).

Team-Fotos

Auf der Über-uns-Seite zeigen wir Namen und Fotos unseres Teams/Freiwilligen. Die Bilder werden lokal gehostet; es werden keine zusätzlichen Cookies oder Tracker gesetzt.

Rechtsgrundlage: Einwilligung der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO) bzw. berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Online-Anmeldung (Mitgliedsantrag)

Im Rahmen der Online-Anmeldung verarbeiten wir die von Ihnen eingegebenen Daten (u. a. Name, Geburtsdatum, Adresse, Kontakt, Haushalts-/Einkommensdaten) sowie hochgeladene Nachweise. Zusätzlich speichern wir Zeitstempel der Anmeldung und die IP-Adresse zu Sicherheitszwecken.

Zweck: Bearbeitung des Mitgliedsantrags und Kontaktaufnahme. Zum Schutz vor Spam/Missbrauch setzen wir reCAPTCHA v3 und Rate-Limiting ein.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen); optionales Marketing nur mit Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Speicherdauer: Nicht abgeschlossene Anmeldungen bis zur Abschlussbearbeitung oder bis zum Löschersuchen. Abgeschlossene Mitgliedschaften werden gemäß gesetzlichen Aufbewahrungsfristen (insb. 7 Jahre nach § 132 BAO) gespeichert.

Produktvormerkung und SMS-Benachrichtigungen

Wenn Sie die Produktvormerkung nutzen, verarbeiten wir die eingegebenen bzw. im System vorhandenen Daten, insbesondere Mitgliedsnummer oder QR-Code, Vorname, Nachname, Filiale, ausgewählte Produkte und Mengen, Ihre Telefonnummer, den Verifizierungsstatus der Telefonnummer, die Vormerkungsnummer sowie technische Protokolldaten (IP-Adresse, User-Agent, Zeitstempel).

Zur Absicherung der Telefonnummer verarbeiten wir zusätzlich SMS-Verifizierungscodes, den Zeitpunkt der Code-Anforderung, den Verifizierungsstatus sowie technische Versandinformationen. Für Benachrichtigungen über verfügbare Produkte und Erinnerungen speichern wir SMS-Versandprotokolle.

Zweck: Identifikation des Mitglieds, Durchführung und Verwaltung der Produktvormerkung, Verifizierung der Telefonnummer, Versand transaktionsbezogener Service-SMS, Missbrauchsschutz, Dokumentation.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung der Vormerkung und Versand transaktionsbezogener Service-SMS) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsschutz, Protokollierung).
Hinweis: Die SMS sind keine Werbung, sondern transaktionsbezogene Service-Benachrichtigungen.
Speicherdauer: bis zur Erledigung/Stornierung sowie gemäß gesetzlichen Aufbewahrungs­pflichten. SMS-Verifizierungscodes werden nur kurzfristig gespeichert.
Pflichtangaben: Ohne die abgefragten Mitgliedsdaten und eine Telefonnummer kann die Vormerkung bzw. SMS-Benachrichtigung nicht durchgeführt werden.

Warteliste (Benachrichtigung neue Karten)

Bei Eintragung speichern wir Name und entweder WhatsApp-Nummer oder E-Mail. Zusätzlich speichern wir einen gehashten IP-Wert zur Spam-/Missbrauchserkennung. IPs werden nicht im Klartext gespeichert.

Zweck: Benachrichtigung zur Ausgabe der neuen Mitgliedskarte und Spam-Schutz.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Speicherdauer: bis zur Benachrichtigung oder Widerruf der Einwilligung.
Widerruf: jederzeit per E-Mail an datenschutz@myfood.care.

Kontaktformular

Beim Absenden des Kontaktformulars verarbeiten wir die eingegebenen Daten (Vorname*, Nachname*, Thema*, Betreff*, Nachricht*, optional E-Mail/Telefon) und speichern die IP-Adresse zur Missbrauchserkennung. Zusätzlich nutzen wir ein unsichtbares Honeypot-Feld, reCAPTCHA v3 und Rate-Limiting.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Absenden) und Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch/Spam).
Empfänger: E-Mail-Versand an unser Postfach (Microsoft 365 / Office 365). Eine Weitergabe an weitere Dritte erfolgt nicht.
Speicherdauer: keine serverseitige Persistenz der Formulardaten; die E-Mail wird gemäß unserer E-Mail-Aufbewahrung gespeichert.