Datenschutzerklärung

Information gemäss Art. 19 nDSG und Art. 13/14 DSGVO

Stand: Januar 2026 | Version 2.0

1. Verantwortlicher

Für Restaurantkunden (Anrufer)

Verantwortlich für die Datenverarbeitung ist das Restaurant, das Sie anrufen.

Das Restaurant nutzt die JustAll-Plattform als technischen Dienstleister (Auftragsverarbeiter).

Für Restaurant-Partner

Verantwortlich ist JustAll:

JustAll GmbH
Industriestrasse 47
6300 Zug, Schweiz

Kontakt für Datenschutzfragen

E-Mail: datenschutz@justall.ch
Post: JustAll GmbH, Datenschutz, Industriestrasse 47, 6300 Zug, Schweiz

2. Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • Endkunden (Anrufer): Personen, die bei einem Restaurant anrufen, das JustAll nutzt
  • Restaurant-Partner: Unternehmen, die die JustAll-Plattform nutzen
  • Website-Besucher: Personen, die justall.ch besuchen

Hinweis: Diese Erklärung ergänzt die spezifischen Datenschutzhinweise der jeweiligen Restaurants.

3. Welche Daten erheben wir?

3.1 Bei Telefonanrufen (Endkunden)

Datenart Beispiele Zweck Speicherdauer
Sprachdaten Ihre Stimme während des Anrufs Verarbeitung Ihrer Bestellung Keine Speicherung
Transkripte Textprotokoll des Gesprächs Qualitätssicherung, Bestellnachweis 30 Tage
Kontaktdaten Name, Telefonnummer Kontakt bei Rückfragen 30 Tage
Adressdaten Lieferadresse (Strasse, PLZ, Ort) Zustellung Ihrer Bestellung 30 Tage
Bestelldaten Gerichte, Mengen, Sonderwünsche Zubereitung Ihrer Bestellung 30 Tage
Zahlungsdaten Zahlungsmethode (bar/Karte/Twint) Abrechnung 30 Tage
Metadaten Anrufzeit, Anrufdauer, Telefonnummer Servicequalität 30 Tage

3.2 Bei Restaurant-Partnern

Datenart Beispiele Speicherdauer
Zugangsdaten E-Mail, Benutzername, Passwort (gehasht) Vertragslaufzeit + 30 Tage
Unternehmensdaten Firmenname, Adresse, UID-Nummer 10 Jahre (gesetzlich)
Zahlungsdaten Kreditkarten-Token (keine Kartennummern) 10 Jahre (gesetzlich)
Protokolldaten Login-Zeiten, Aktionen im Dashboard 90 Tage

3.3 Besondere Kategorien personenbezogener Daten

Es werden KEINE besonderen Kategorien personenbezogener Daten verarbeitet (Art. 9 DSGVO), insbesondere:

  • ❌ Keine Gesundheitsdaten
  • ❌ Keine biometrischen Daten zur Identifikation
  • ❌ Keine Daten über religiöse Überzeugungen
  • ❌ Keine politischen Meinungen

Hinweis: Sprachdaten werden zur Transkription verarbeitet, NICHT zur biometrischen Identifikation.

4. KI-gestützte Bestellannahme

Ihr Anruf wird von einem KI-Sprachassistenten entgegengenommen. Dies ermöglicht eine schnelle und effiziente Bestellannahme rund um die Uhr.

✅ So schützen wir Ihre Daten

  • Sie werden zu Beginn des Anrufs über die KI-Verarbeitung informiert
  • Ihre Stimme wird in Echtzeit verarbeitet, NICHT gespeichert
  • Der KI-Anbieter (OpenAI) speichert KEINE Audiodaten
  • Ihre Daten werden NICHT für KI-Training verwendet
  • Die KI merkt sich NICHTS zwischen verschiedenen Anrufen

ℹ️ Wie die KI funktioniert

  • 1. Ihre Sprache wird in Echtzeit in Text umgewandelt
  • 2. Die KI versteht Ihren Bestellwunsch
  • 3. Eine natürliche Sprachantwort wird generiert
  • 4. Nach dem Anruf werden alle Daten beim KI-Anbieter gelöscht

⚠️ Wichtiger Hinweis

Zero Data Retention: OpenAI speichert bei der API-Nutzung (wie von JustAll verwendet) KEINE Kundendaten dauerhaft. Die Verarbeitung erfolgt ausschliesslich in Echtzeit während des Anrufs.

5. Datenfluss

So fliessen Ihre Daten durch unser System:

┌─────────────────────────────────────────────────────────────────────────┐
│                        DATENFLUSS BEI TELEFONANRUFEN                    │
└─────────────────────────────────────────────────────────────────────────┘

Sie rufen an
     │
     ▼
┌─────────────────────┐
│   📞 Twilio         │  ← Telefonie-Vermittlung
│   Dublin, Irland    │    🇪🇺 EU-Rechenzentrum
│   (TLS 1.3)         │    ✓ DSGVO-konform
└──────────┬──────────┘
         │
         ▼
┌─────────────────────┐
│   🖥️ JustAll        │  ← Voice Server
│   Frankfurt, DE     │    🇪🇺 EU-Rechenzentrum
│   (Fly.io)          │    ✓ DSGVO-konform
└──────────┬──────────┘
         │
         ▼
┌─────────────────────┐
│   🤖 OpenAI         │  ← KI-Sprachverarbeitung (Echtzeit)
│   USA               │    🔒 Verschlüsselt (TLS 1.3)
│   (Realtime API)    │    ❌ KEINE Speicherung!
│                     │    ❌ KEIN Training mit Ihren Daten!
└──────────┬──────────┘
           │
           ▼
┌─────────────────────┐
│   💾 Supabase       │  ← Speichert Bestellung
│   Frankfurt, DE     │    🇪🇺 EU-Rechenzentrum
│   (PostgreSQL)      │    🗓️ 30 Tage Aufbewahrung
└──────────┬──────────┘
         │
         ▼
┌─────────────────────┐
│   🍽️ Restaurant     │  ← Erhält Ihre Bestellung
│                     │    👨‍🍳 Bereitet zu & liefert
└─────────────────────┘
🇪🇺

EU-Verarbeitung

Hauptspeicherung in Frankfurt

🔒

Verschlüsselt

TLS 1.3 & AES-256

⏱️

30 Tage

Automatische Löschung

6. Rechtsgrundlagen

Wir verarbeiten Ihre Daten auf Basis folgender Rechtsgrundlagen:

Verarbeitung Rechtsgrundlage Erläuterung
Bestellannahme Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung (Ihre Bestellung)
Lieferadresse Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung (Lieferung)
Telefonnummer Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung (Rückruf bei Problemen)
Anruftranskript Art. 6 Abs. 1 lit. f DSGVO Berechtigtes Interesse (Qualitätssicherung)
Abrechnungsdaten Art. 6 Abs. 1 lit. c DSGVO Rechtliche Verpflichtung (Buchführung)
KI-Sprachverarbeitung Art. 6 Abs. 1 lit. b DSGVO Vertragserfüllung (automatisierte Bestellannahme)

Schweizer Datenschutzgesetz (nDSG)

Für Schweizer Betroffene gilt zusätzlich das nDSG. Die Verarbeitung erfolgt auf Basis von Art. 31 nDSG (Vertragserfüllung) und Art. 30 Abs. 2 lit. a nDSG (überwiegendes Interesse).

7. Speicherdauer

Wir speichern Ihre Daten nur so lange wie nötig:

Datenart Speicherdauer Grund
Audiodaten (Stimme) Keine Speicherung Nur Echtzeit-Verarbeitung
Bestelldaten 30 Tage Reklamationsfrist
Kontaktdaten (Endkunden) 30 Tage Reklamationsfrist
Anruftranskripte 30 Tage Qualitätssicherung
Restaurant-Accounts Vertragslaufzeit + 30 Tage Datenexport-Frist
Abrechnungsdaten 10 Jahre Gesetzliche Aufbewahrungspflicht

Automatische Löschung: Nach Ablauf der Speicherfrist werden Ihre Daten automatisch und unwiderruflich aus unseren Systemen gelöscht. Sie müssen nichts unternehmen.

8. Empfänger Ihrer Daten

Folgende Empfänger erhalten Zugang zu Ihren Daten:

Empfänger Zweck Standort Schutz
Restaurant Bestellabwicklung 🇨🇭 Schweiz AVV
Supabase Inc. Datenbank 🇪🇺 Frankfurt, DE DPA ✓
Fly.io Inc. Voice Server 🇪🇺 Frankfurt, DE DPA ✓
Twilio Ireland Ltd. Telefonie 🇪🇺 Dublin, IE DPA ✓
OpenAI LLC KI-Verarbeitung 🇺🇸 USA DPA + SCCs ✓
Stripe Payments Europe Zahlungen 🇪🇺 Dublin, IE DPA ✓
Google Ireland Ltd. Maps/Geocoding 🇪🇺 Dublin, IE DPA ✓
Upstash Inc. Cache 🇪🇺 Frankfurt, DE DPA ✓

DPA = Data Processing Agreement: Mit allen Auftragsverarbeitern haben wir Datenschutzverträge abgeschlossen, die die sichere Verarbeitung Ihrer Daten garantieren.

9. Übermittlung in Drittländer (USA)

Die KI-Sprachverarbeitung erfolgt durch OpenAI LLC in den USA. Dies ist ein Drittland ohne Angemessenheitsbeschluss.

Warum USA?

Die OpenAI Realtime API ist derzeit die einzige Lösung mit ausreichender Qualität für natürliche Telefonkonversationen in Echtzeit. Alternativen in der EU bieten nicht die erforderliche Sprachqualität und Latenz.

Schutzmassnahmen für USA-Transfer

✓ Vertragliche Massnahmen

  • • EU-Standardvertragsklauseln (SCCs)
  • • Unterzeichneter DPA mit OpenAI
  • • EU-U.S. Data Privacy Framework

✓ Technische Massnahmen

  • • TLS 1.3 Verschlüsselung
  • • Zero Data Retention bei OpenAI
  • • Keine Nutzung für Training

Transfer Impact Assessment (TIA)

Wir haben eine umfassende Risikobewertung durchgeführt. Ergebnis: Risiko NIEDRIG. Begründung: Bestelldaten haben keinen nachrichtendienstlichen Wert, keine Speicherung bei OpenAI, umfangreiche technische Schutzmassnahmen.

→ Mehr zu den Standardvertragsklauseln (SCCs)

10. Sicherheit Ihrer Daten

Wir schützen Ihre Daten durch umfangreiche technische und organisatorische Massnahmen:

🔒 Verschlüsselung

  • TLS 1.3 für alle Datenübertragungen
  • AES-256 für gespeicherte Daten
  • Passwort-Hashing (bcrypt)

🛡️ Zugriffskontrolle

  • Row Level Security (RLS)
  • Rollenbasierte Berechtigungen (RBAC)
  • Zwei-Faktor-Authentifizierung (optional)

💾 Backup & Recovery

  • Tägliche automatische Backups
  • Point-in-Time Recovery
  • Geo-redundante Speicherung

🏢 Infrastruktur

  • ISO 27001 zertifizierte Rechenzentren
  • SOC 2 Type II Compliance
  • DDoS-Schutz

11. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Art. 15 Auskunftsrecht

Sie können erfahren, welche Daten wir über Sie gespeichert haben.

Art. 16 Berichtigungsrecht

Sie können unrichtige Daten korrigieren lassen.

Art. 17 Löschungsrecht

Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").

Art. 18 Einschränkungsrecht

Sie können die Verarbeitung einschränken lassen.

Art. 20 Datenübertragbarkeit

Sie können Ihre Daten in einem gängigen Format (JSON/CSV) erhalten.

Art. 21 Widerspruchsrecht

Sie können der Verarbeitung widersprechen.

So üben Sie Ihre Rechte aus:

Endkunden (Anrufer): Kontaktieren Sie das Restaurant, bei dem Sie bestellt haben.

Restaurant-Partner: Nutzen Sie die Export-Funktion im Dashboard oder kontaktieren Sie uns.

Alle Anfragen: datenschutz@justall.ch

12. Automatisierte Entscheidungsfindung

✓ Keine automatisierten Entscheidungen mit rechtlicher Wirkung

Der KI-Sprachassistent unterstützt die Bestellannahme, trifft aber KEINE automatisierten Entscheidungen, die rechtliche Wirkung auf Sie haben oder Sie in ähnlicher Weise erheblich beeinträchtigen (Art. 22 DSGVO).

Was die KI macht:

  • Nimmt Ihre Bestellung entgegen (keine Entscheidung)
  • Berechnet den Bestellwert (mathematisch, keine Entscheidung)
  • Prüft Lieferzonen (geografisch, keine Entscheidung über Sie)

Was die KI NICHT macht:

  • Keine Kreditwürdigkeitsprüfung
  • Keine Preisdiskriminierung basierend auf Profiling
  • Keine Ablehnung von Bestellungen ohne menschliche Prüfung

13. Widerspruchsrecht gegen KI-Verarbeitung

Ihr Recht auf menschliche Bedienung

Sie haben das Recht, der Verarbeitung Ihrer Daten durch den KI-Sprachassistenten zu widersprechen und eine menschliche Bedienung zu verlangen.

So widersprechen Sie:

  1. 1. Sagen Sie während des Anrufs: "Ich möchte mit einem Menschen sprechen"
  2. 2. Oder kontaktieren Sie das Restaurant direkt (Vor-Ort-Besuch, E-Mail)
  3. 3. Oder teilen Sie Ihren Widerspruch per E-Mail mit: datenschutz@justall.ch

Hinweis: Ein Widerspruch gegen die KI-Verarbeitung bedeutet, dass die automatische telefonische Bestellannahme für Sie nicht verfügbar ist. Sie können weiterhin vor Ort bestellen oder andere vom Restaurant angebotene Bestellwege nutzen.

14. Cookies und Tracking

Bei Telefonanrufen:

Keine Cookies, kein Tracking. Bei der telefonischen Bestellung werden keine Cookies verwendet und kein Tracking durchgeführt.

Bei Website-Nutzung:

Auf unserer Website und dem Dashboard verwenden wir Cookies. Details finden Sie in unserer Cookie-Richtlinie.

Bei Order-Tracking (SMS-Link):

  • Nur technisch notwendige Cookies
  • Kein Werbe-Tracking
  • Keine Weitergabe an Dritte

15. Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:

🇨🇭 Schweiz

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1
3003 Bern
www.edoeb.admin.ch

🇩🇪 Deutschland

Die zuständige Aufsichtsbehörde Ihres Bundeslandes.

Liste der Landesbehörden

16. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden wir Ihnen mitteilen:

  • Restaurant-Partner: Per E-Mail und Ankündigung im Dashboard
  • Alle: Aktualisiertes Datum am Anfang dieser Seite

Die jeweils aktuelle Version ist immer unter justall.ch/de/datenschutz verfügbar.

Fragen zum Datenschutz?

Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten kontaktieren Sie uns:

Post

JustAll GmbH
Datenschutz
Industriestrasse 47
6300 Zug, Schweiz

Weitere rechtliche Dokumente

AGB AVV/DPA SCCs
Zurück zur Startseite

Dokumentversion: 2.0 | Stand: Januar 2026

JustAll GmbH • Industriestrasse 47 • 6300 Zug • Schweiz