Datenschutzerklärung

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als "Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 28. Februar 2026

Inhaltsübersicht

Präambel
Verantwortlicher
Übersicht der Verarbeitungen
Maßgebliche Rechtsgrundlagen
Sicherheitsmaßnahmen
Internationale Datentransfers
Allgemeine Informationen zur Datenspeicherung und Löschung
Rechte der betroffenen Personen
Bereitstellung des Onlineangebots und Webhosting
Einsatz von Cookies
Registrierung, Anmeldung und Nutzerkonto
Warteliste
Community Funktionen
Koffein-Tracking und Gesundheitsdaten
Taste Twin Matching / Automatisierte Profilierung
Single-Sign-On-Anmeldung
Kontakt- und Anfrageverwaltung
Newsletter und elektronische Benachrichtigungen
B2B Röster-Analytik (Aggregierte Datenauswertung)
Geteilte Brews und Kaffeetüten
E-Mail-Versand und Auftragsverarbeiter
Datenübermittlung an den Steuerberater (DATEV)
Zeiterfassung (Aufzeichnungspflicht)
Kartendienste
Zahlungsabwicklung
Mindestalter
Änderung und Aktualisierung
Begriffsdefinitionen

Verantwortlicher

Max Kull
Strümpfelbacher Str. 58
70327 Stuttgart
Deutschland

E-Mail: [email protected]
Telefon: +49 176 70489796

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

Bestandsdaten
Kontaktdaten
Inhaltsdaten
Nutzungsdaten
Meta-, Kommunikations- und Verfahrensdaten
Protokolldaten
Sensorik- und Verkostungsdaten
Aggregierte statistische Auswertungen

Kategorien betroffener Personen

Kommunikationspartner
Nutzer
Geschäftskunden (Röster)

Zwecke der Verarbeitung

Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten
Kommunikation
Sicherheitsmaßnahmen
Organisations- und Verwaltungsverfahren
Feedback
Anmeldeverfahren
Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
Informationstechnische Infrastruktur
Aggregierte B2B-Analytik für teilnehmende Röster

Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Wohn- oder Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen in Deutschland: Zusätzlich zu den Datenschutzregelungen der DSGVO gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer, die über unsere Online-Dienste übertragen werden, vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie. Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die Eckpfeiler der sicheren Datenübertragung im Internet. Diese Technologien verschlüsseln die Informationen, die zwischen der Website oder App und dem Browser des Nutzers (oder zwischen zwei Servern) übertragen werden, wodurch die Daten vor unbefugtem Zugriff geschützt sind. TLS, als die weiterentwickelte und sicherere Version von SSL, gewährleistet, dass alle Datenübertragungen den höchsten Sicherheitsstandards entsprechen. Wenn eine Website durch ein SSL-/TLS-Zertifikat gesichert ist, wird dies durch die Anzeige von HTTPS in der URL signalisiert. Dies dient als ein Indikator für die Nutzer, dass ihre Daten sicher und verschlüsselt übertragen werden.

Internationale Datentransfers

Datenverarbeitung in Drittländern: Sofern wir Daten in ein Drittland (d. h. außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermitteln oder dies im Rahmen der Nutzung von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen geschieht, erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben.

Für Datenübermittlungen in die USA stützen wir uns vorrangig auf das Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich haben wir mit den jeweiligen Anbietern Standardvertragsklauseln abgeschlossen, die den Vorgaben der EU-Kommission entsprechen und vertragliche Verpflichtungen zum Schutz Ihrer Daten festlegen.

Diese zweifache Absicherung gewährleistet einen umfassenden Schutz Ihrer Daten: Das DPF bildet die primäre Schutzebene, während die Standardvertragsklauseln als zusätzliche Sicherheit dienen. Sollten sich Änderungen im Rahmen des DPF ergeben, greifen die Standardvertragsklauseln als zuverlässige Rückfalloption ein. So stellen wir sicher, dass Ihre Daten auch bei etwaigen politischen oder rechtlichen Veränderungen stets angemessen geschützt bleiben.

Bei den einzelnen Diensteanbietern informieren wir Sie darüber, ob sie nach dem DPF zertifiziert sind und ob Standardvertragsklauseln vorliegen. Weitere Informationen zum DPF und eine Liste der zertifizierten Unternehmen finden Sie auf der Website des US-Handelsministeriums unter https://www.dataprivacyframework.gov/.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, die wir verarbeiten, gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weiteren rechtlichen Grundlagen für die Verarbeitung bestehen. Dies betrifft Fälle, in denen der ursprüngliche Verarbeitungszweck entfällt oder die Daten nicht mehr benötigt werden. Ausnahmen von dieser Regelung bestehen, wenn gesetzliche Pflichten oder besondere Interessen eine längere Aufbewahrung oder Archivierung der Daten erfordern.

Insbesondere müssen Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung notwendig ist zur Rechtsverfolgung oder zum Schutz der Rechte anderer natürlicher oder juristischer Personen, entsprechend archiviert werden.

Unsere Datenschutzhinweise enthalten zusätzliche Informationen zur Aufbewahrung und Löschung von Daten, die speziell für bestimmte Verarbeitungsprozesse gelten.

Aufbewahrung und Löschung von Daten: Die folgenden allgemeinen Fristen gelten für die Aufbewahrung und Archivierung nach deutschem Recht:

10 Jahre - Aufbewahrungsfrist für Bücher und Aufzeichnungen, Jahresabschlüsse, Inventare, Lageberichte, Eröffnungsbilanz sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen (§ 147 Abs. 1 Nr. 1 i.V.m. Abs. 3 AO, § 14b Abs. 1 UStG, § 257 Abs. 1 Nr. 1 i.V.m. Abs. 4 HGB).
8 Jahre - Buchungsbelege, wie z. B. Rechnungen und Kostenbelege (§ 147 Abs. 1 Nr. 4 und 4a i.V.m. Abs. 3 Satz 1 AO sowie § 257 Abs. 1 Nr. 4 i.V.m. Abs. 4 HGB).
6 Jahre - Übrige Geschäftsunterlagen: empfangene Handels- oder Geschäftsbriefe, Wiedergaben der abgesandten Handels- oder Geschäftsbriefe, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
3 Jahre - Daten, die erforderlich sind, um potenzielle Gewährleistungs- und Schadensersatzansprüche oder ähnliche vertragliche Ansprüche und Rechte zu berücksichtigen sowie damit verbundene Anfragen zu bearbeiten, basierend auf früheren Geschäftserfahrungen und üblichen Branchenpraktiken, werden für die Dauer der regulären gesetzlichen Verjährungsfrist von drei Jahren gespeichert (§§ 195, 199 BGB).

Rechte der betroffenen Personen

Rechte der betroffenen Personen aus der DSGVO: Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
Beschwerde bei Aufsichtsbehörde: Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Vorgaben der DSGVO verstößt.

Sie können Ihre Rechte direkt in Ihren Profileinstellungen wahrnehmen: → Zu Ihren Profileinstellungen

Zuständige Aufsichtsbehörde:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20
70173 Stuttgart

Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten die Daten der Nutzer, um ihnen unsere Online-Dienste zur Verfügung stellen zu können. Zu diesem Zweck verarbeiten wir die IP-Adresse des Nutzers, die notwendig ist, um die Inhalte und Funktionen unserer Online-Dienste an den Browser oder das Endgerät der Nutzer zu übermitteln.

Verarbeitete Datenarten: Nutzungsdaten, Meta-, Kommunikations- und Verfahrensdaten, Protokolldaten.
Betroffene Personen: Nutzer (z. B. Webseitenbesucher, Nutzer von Onlinediensten).
Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Informationstechnische Infrastruktur, Sicherheitsmaßnahmen.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Content Delivery Network - Cloudflare

Wir nutzen das Content Delivery Network (CDN) von Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Cloudflare bietet ein weltweit verteiltes Content Delivery Network mit DNS an. Dabei wird technisch der Informationstransfer zwischen Ihrem Browser und unserer Website über das Netzwerk von Cloudflare geleitet. Das versetzt Cloudflare in die Lage, den Datenverkehr zwischen Nutzern und unseren Webseiten zu analysieren, um beispielsweise Angriffe auf unsere Dienste zu erkennen und abzuwehren.

Verarbeitete Daten: IP-Adresse, Browser-Typ, Zugriffszeit, angeforderte URLs.
Zweck: Schutz vor DDoS-Angriffen, Performance-Optimierung, sichere HTTPS-Verbindung.
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) an IT-Sicherheit und Verfügbarkeit.
Datentransfer USA: Cloudflare ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCCs).
Auftragsverarbeitung: Wir haben einen Auftragsverarbeitungsvertrag (Data Processing Addendum) mit Cloudflare geschlossen.
Cookies: Cloudflare setzt technisch notwendige Cookies (__cf_bm, __cfruid) für Bot-Schutz und Load Balancing.

Weitere Informationen: Cloudflare Privacy Policy

Hosting

Wir betreiben unsere Webseite und Datenbanken auf einem eigenen, selbst verwalteten Server an unserem Standort in Deutschland. Sämtliche personenbezogene Daten, die im Rahmen der Nutzung unseres Onlineangebots erhoben werden, werden ausschließlich auf diesem Server in Deutschland verarbeitet und gespeichert. Ein Drittlandtransfer im Rahmen des Hostings findet nicht statt.

Verarbeitete Daten: Inhaltsdaten, Nutzungsdaten, Bestandsdaten, Kontaktdaten, Meta- und Protokolldaten.
Zweck: Bereitstellung unseres Onlineangebots und technische Infrastruktur.
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) an einer zuverlässigen und sicheren Bereitstellung unseres Onlineangebots.
Serverstandort: Deutschland (eigener Server)

Erhebung von Zugriffsdaten und Logfiles

Der Zugriff auf unser Onlineangebot wird in Form von sogenannten "Server-Logfiles" protokolliert. Zu den Serverlogfiles können die Adresse und der Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen und der anfragende Provider gehören.

Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).
Löschung von Daten: Logfile-Informationen werden für die Dauer von maximal 30 Tagen gespeichert und danach gelöscht oder anonymisiert.

Einsatz von Cookies

Unter dem Begriff „Cookies" werden Funktionen, die Informationen auf Endgeräten der Nutzer speichern und aus ihnen auslesen, verstanden. Cookies können ferner in Bezug auf unterschiedliche Anliegen Einsatz finden, etwa zu Zwecken der Funktionsfähigkeit, der Sicherheit und des Komforts von Onlineangeboten sowie der Erstellung von Analysen der Besucherströme. Wir verwenden Cookies gemäß den gesetzlichen Vorschriften. Dazu holen wir, wenn erforderlich, vorab die Zustimmung der Nutzer ein. Ist eine Zustimmung nicht notwendig, setzen wir auf unsere berechtigten Interessen. Dies gilt, wenn das Speichern und Auslesen von Informationen unerlässlich ist, um ausdrücklich angeforderte Inhalte und Funktionen bereitstellen zu können.

Speicherdauer: Im Hinblick auf die Speicherdauer werden die folgenden Arten von Cookies unterschieden:

Temporäre Cookies (Session-Cookies): Werden spätestens gelöscht, nachdem ein Nutzer ein Onlineangebot verlassen und sein Endgerät geschlossen hat.
Permanente Cookies: Bleiben auch nach dem Schließen des Endgeräts gespeichert. So kann beispielsweise der Login-Status gespeichert werden.

Verarbeitete Datenarten: Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Nutzer.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).

Detaillierte Informationen zu unseren Cookies finden Sie in unserer Cookie-Richtlinie.

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Nutzerkonto anlegen. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Nutzername, Passwort sowie eine E-Mail-Adresse).

Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos speichern wir die IP-Adresse und den Zeitpunkt der jeweiligen Nutzerhandlung. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen als auch jener der Nutzer an einem Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, es sei denn, sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht eine gesetzliche Verpflichtung hierzu.

Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten, Inhaltsdaten, Nutzungsdaten, Protokolldaten.
Betroffene Personen: Nutzer.
Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen, Sicherheitsmaßnahmen, Bereitstellung unseres Onlineangebotes.
Aufbewahrung und Löschung: Löschung nach Kündigung des Nutzerkontos.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung bietet eine zusätzliche Sicherheitsebene für Ihr Benutzerkonto und stellt sicher, dass nur Sie auf Ihr Konto zugreifen können, auch wenn jemand anderes Ihr Passwort kennt. Zu diesem Zweck müssen Sie zusätzlich zu Ihrem Passwort eine weitere Authentifizierungsmaßnahme durchführen (z. B. einen an ein mobiles Gerät gesandten Code eingeben).

Löschung von Daten nach Kündigung

Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Erlaubnis, Pflicht oder Einwilligung der Nutzer, gelöscht. Es obliegt den Nutzern, ihre Daten bei erfolgter Kündigung vor dem Vertragsende zu sichern. Wir sind berechtigt, sämtliche während der Vertragsdauer gespeicherte Daten des Nutzers unwiederbringlich zu löschen.

Warteliste

Wenn die Registrierung bei Coffee Lab nur auf Einladung möglich ist, können Sie sich auf unsere Warteliste eintragen. Wir verarbeiten dabei folgende Daten:

E-Mail-Adresse (Pflichtangabe) — zur Benachrichtigung über die Öffnung der Registrierung
Nachricht/Kommentar (freiwillig) — Ihr optionales Feedback
IP-Adresse (gehasht) — zum Schutz vor Missbrauch und als Einwilligungsnachweis
Zeitstempel — Nachweis der Eintragung und DOI-Bestätigung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme auf Ihre Anfrage).

Double-Opt-In: Nach Ihrer Eintragung erhalten Sie eine Bestätigungsmail. Erst nach Klick auf den Bestätigungslink wird Ihre E-Mail-Adresse aktiv auf der Warteliste gespeichert.

Speicherdauer: Unbestätigte Einträge werden nach 48 Stunden automatisch gelöscht. Bestätigte Einträge werden nach 12 Monaten gelöscht, sofern Sie sich nicht registriert haben. Nach erfolgreicher Registrierung wird Ihr Wartelisten-Eintrag gelöscht.

Widerruf: Sie können sich jederzeit von der Warteliste abmelden — über den Abmeldelink in der E-Mail oder per E-Mail an [email protected].

Empfänger: Zur Zustellung der Bestätigungsmail nutzen wir Brevo (Sendinblue GmbH, EU). Ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO liegt vor.

Community Funktionen

Die von uns bereitgestellten Community Funktionen erlauben es Nutzern miteinander in Konversationen oder sonst miteinander in einen Austausch zu treten. Hierbei bitten wir zu beachten, dass die Nutzung der Communityfunktionen nur unter Beachtung der geltenden Rechtslage, unserer Bedingungen und Richtlinien sowie der Rechte anderer Nutzer und Dritter gestattet ist.

Verarbeitete Datenarten: Bestandsdaten, Nutzungsdaten.
Betroffene Personen: Nutzer.
Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen, Sicherheitsmaßnahmen, Bereitstellung unseres Onlineangebotes.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Einstellung der Sichtbarkeit von Profilen und Beiträgen

Die Nutzer können mittels Einstellungen bestimmen, in welchem Umfang ihre Profile und die von ihnen erstellten Beiträge und Inhalte für die Öffentlichkeit oder nur für bestimmte Personen oder Gruppen sichtbar bzw. zugänglich sind.

Speicherung von Daten zu Sicherheitszwecken

Die Beiträge und sonstige Eingaben der Nutzer werden zu Zwecken der Community- und Konversationsfunktionen verarbeitet und, vorbehaltlich gesetzlicher Pflichten oder gesetzlicher Erlaubnis nicht an Dritte herausgegeben. Eine Herausgabepflicht kann insbesondere im Fall von rechtswidrigen Beiträgen zu Zwecken der Rechtsverfolgung entstehen. Wir weisen darauf hin, dass neben den Inhalten der Beiträge auch deren Zeitpunkt und die IP-Adresse der Nutzer gespeichert werden.

Aufgabenzuweisung und Erledigungstracking

Im Rahmen des Lager- und Produktionsbetriebs verarbeiten wir Aufgabenzuweisungen (z.B. Lagerumlagerungen, Wareneingang) und deren Erledigungszeitpunkt. Daten werden nur teamintern angezeigt; Empfängerkreise sind durch Rollen-Permissions beschränkt. Rechtsgrundlage: §26 Abs. 1 S. 1 BDSG (Durchführung Beschäftigungsverhältnis).

B2B Röster-Analytik (Aggregierte Datenauswertung)

Coffee Lab stellt Spezialitätenröstern aggregierte, anonymisierte Auswertungen der Community-Verkostungsdaten für deren Kaffees zur Verfügung. Diese Auswertungen dienen der Produktentwicklung und Qualitätssicherung der teilnehmenden Röster.

Welche Daten werden ausgewertet?

Wenn Sie an einer Blind-Verkostung teilnehmen und Ihre sensorischen Bewertungen (Aroma, Säure, Süße, Körper, Nachgeschmack), Flavor-Tags und ggf. Brühdaten abgeben, fließen diese Daten in statistische Auswertungen für den jeweiligen Röster ein.

Wichtig: Röster sehen ausschließlich aggregierte Statistiken (Durchschnittswerte, Standardabweichungen, Häufigkeitsverteilungen). Es werden zu keinem Zeitpunkt individuelle Nutzerdaten (Benutzername, E-Mail-Adresse oder einzelne Bewertungen, die einer identifizierbaren Person zugeordnet werden können) an Röster weitergegeben.

Aggregierte Sensorik-Profile: Durchschnittliche Bewertungen der Community für jede sensorische Dimension, mit Konfidenzintervallen und Stichprobengröße.
Flavor-Tag-Häufigkeiten: Die am häufigsten von der Community genannten Geschmacksnoten (z. B. „Beere", „Schokolade"), ohne Zuordnung zu einzelnen Nutzern.
Demografische Segmentierung: Aggregierte Bewertungen nach Erfahrungsstufe (Einsteiger, Fortgeschrittene, Experten). Segmente mit weniger als 5 Nutzern werden vollständig unterdrückt, um eine Re-Identifikation zu verhindern.
Zeitliche Trends: Monatliche Durchschnittswerte. Monate mit weniger als 5 Bewertungen werden ausgeblendet.
Brüh-Analytik: Verteilung der Brühmethoden, Frischekurven und Defekt-Häufigkeiten (aggregiert aus Brüh-Journal-Einträgen).

Datenschutzmaßnahmen

k-Anonymität: Alle Auswertungen erfordern eine Mindest-Stichprobengröße von 5 Nutzern. Kleinere Gruppen werden nicht angezeigt.
Keine individuellen Daten: CSV-Exporte enthalten keine Benutzernamen-Spalte. E-Mail-Zusammenfassungen enthalten nur aggregierte Kennzahlen.
Ihre persönlichen Notizen (Freitextfeld bei Verkostungen) werden grundsätzlich nicht in die Röster-Auswertungen einbezogen.

Gast-Bewertungen

Bewertungen, die von nicht registrierten Gästen (ohne Benutzerkonto) abgegeben werden, fließen nicht in die Röster-Analytik ein. Erst nach Erstellung eines Benutzerkontos und Anmeldung werden die zuvor als Gast abgegebenen Bewertungen dem Konto zugeordnet und können — vorbehaltlich Ihrer Datenschutzeinstellungen — in aggregierte Auswertungen einfließen.

Speicherdauer

Aggregierte Auswertungen für Röster werden bei Abruf live berechnet und nicht dauerhaft als separate Datensätze gespeichert. Die zugrunde liegenden Verkostungsdaten werden bis zur Löschung Ihres Benutzerkontos aufbewahrt. Nach Kontolöschung werden Ihre individuellen Daten entfernt; bereits berechnete Aggregationen werden bei der nächsten Neuberechnung ohne Ihre Daten erstellt.

Drittlandübermittlung

Eine Übermittlung Ihrer Daten im Rahmen der Röster-Analytik in Drittländer (außerhalb des EWR) findet nicht statt. Sowohl die Datenverarbeitung als auch der Versand von E-Mail-Zusammenfassungen an Röster erfolgt über Server innerhalb der Europäischen Union (siehe auch den Abschnitt zu unserem E-Mail-Dienstleister Brevo unter E-Mail-Versand und Auftragsverarbeiter).

Rechtsgrundlage und Interessenabwägung

Die Verarbeitung Ihrer Verkostungsdaten für aggregierte Röster-Analytik erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 S. 1 lit. f) DSGVO.

Unser berechtigtes Interesse: Als Plattform für Blind-Verkostungen ist es wesentlicher Bestandteil unseres Geschäftsmodells, teilnehmenden Röstern anonymisiertes Community-Feedback zu deren Kaffees bereitzustellen. Dies dient der Produktverbesserung und Qualitätssicherung in der Spezialitätenkaffee-Branche.

Interessenabwägung: Wir haben eine umfassende Abwägung zwischen unseren berechtigten Interessen und Ihren Rechten und Freiheiten durchgeführt. Ihre Interessen werden durch folgende Maßnahmen geschützt:

Daten werden ausschließlich aggregiert geteilt — keine individuelle Zuordnung möglich
Mindest-Stichprobengröße von 5 Nutzern verhindert Re-Identifikation
Vollständiges Widerspruchsrecht (siehe unten)
Die geteilten Daten (Kaffee-Geschmackspräferenzen) sind nicht sensibel im Sinne von Art. 9 DSGVO
Als Nutzer einer Blind-Verkostungsplattform ist die Erwartung nachvollziehbar, dass anonymisiertes Feedback an den Röster fließt

Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Im Rahmen der Röster-Analytik findet keine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO statt. Alle Auswertungen dienen ausschließlich der statistischen Aggregation und haben keine rechtliche Wirkung gegenüber den betroffenen Personen.

Ihr Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, der Verarbeitung Ihrer Verkostungsdaten für Röster-Analytik jederzeit zu widersprechen.

Setzen Sie dazu in Ihren Profileinstellungen die Option „Verkostungsdaten in Community-Auswertungen" auf „Privat". Ihre Daten werden dann aus allen zukünftigen Röster-Auswertungen vollständig ausgeschlossen. Bereits berechnete Aggregationen, an denen Ihre Daten beteiligt waren, werden bei der nächsten Neuberechnung ohne Ihre Daten erstellt.

Sie können Ihren Widerspruch direkt in Ihren Profileinstellungen einlegen: → Zu Ihren Profileinstellungen

Alternativ können Sie uns per E-Mail an [email protected] kontaktieren.

Hinweis zur Freiwilligkeit: Die Teilnahme an Blind-Verkostungen ist freiwillig. Ein Widerspruch gegen die Verwendung Ihrer Daten in Röster-Analytik hat keine Auswirkungen auf Ihre sonstige Nutzung der Plattform. Alle Funktionen (eigene Verkostungshistorie, Brühtagebuch, Achievements, etc.) bleiben uneingeschränkt verfügbar.

Zusammenfassung der Verarbeitung

Verarbeitete Datenarten: Sensorik-Bewertungen, Flavor-Tags, Brühdaten (ausschließlich aggregiert).
Betroffene Personen: Registrierte Nutzer, die an Blind-Verkostungen teilnehmen.
Zwecke der Verarbeitung: Bereitstellung aggregierter Community-Auswertungen für Röster zur Produktverbesserung und Qualitätssicherung.
Empfänger: Spezialitätenröster, die am Coffee Lab Blind-Tasting-Programm teilnehmen (nur aggregierte Daten, keine individuellen Nutzerdaten).
Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) mit durchgeführter Interessenabwägung.
Widerspruch: Jederzeit in den Profileinstellungen unter „Verkostungsdaten in Community-Auswertungen" auf „Privat" setzen oder per E-Mail an [email protected]. Ihre Daten werden dann aus allen Röster-Auswertungen ausgeschlossen.

Geteilte Brews und Kaffeetüten

Coffee Lab bietet soziale Funktionen, mit denen Sie Brüh-Sitzungen und Kaffeevorräte mit anderen Nutzern teilen können. Dieser Abschnitt erläutert, welche personenbezogenen Daten dabei verarbeitet werden und welche Rechte Sie haben.

Shared Brew Sessions (Gemeinsame Verkostungssitzungen)

Mit Shared Brew Sessions können Sie eine gemeinsame Verkostungssitzung erstellen, zu der Sie befreundete Nutzer einladen. Alle Teilnehmer bewerten denselben Kaffee unabhängig voneinander, und nach dem Reveal werden die Bewertungen der Gruppe sichtbar.

Verarbeitete Daten: Brew-Parameter (Brühmethode, Kaffeemenge, Wassermenge), sensorische Bewertungen und Flavor-Tags. Wenn Sie die optionale Username-Attribution aktivieren, wird Ihr Benutzername den anderen Teilnehmern nach dem Reveal sichtbar. Ohne Attribution erscheinen Ihre Bewertungen anonym innerhalb der Gruppe.
Empfänger: Andere Session-Teilnehmer (nach dem Reveal) und der Host der Sitzung.
Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO für die Username-Attribution; Vertragserfüllung gemäß Art. 6 Abs. 1 S. 1 lit. b) DSGVO für die Teilnahme an der Sitzung.
Speicherdauer: Session-Daten werden unbegrenzt gespeichert. IP-Adressen (bei Share-Claims) werden nach 90 Tagen gelöscht. Einladungs-Tokens verfallen 30 Tage nach Ablauf.
Kontolöschung: Bei Löschung Ihres Kontos werden Ihre Bewertungen innerhalb der Session anonymisiert (Zuordnung auf NULL gesetzt).

Shared Brew Setup QR (Brüh-Konfiguration via QR-Code)

Mit dem Setup-QR-Code können Sie Ihre Brüh-Konfiguration (Mühleneinstellung, Wasserprofil, Rezept) als QR-Code teilen, den andere Nutzer scannen, um dieselbe Konfiguration zu übernehmen.

Verarbeitete Daten: Equipment-Details (Mühle, Wasser, Rezeptparameter). Auf der Vorschau-Seite wird Ihr Benutzername angezeigt — jedoch nur für angemeldete Nutzer.
Empfänger: Die Vorschau-Seite des QR-Codes ist semi-öffentlich zugänglich (für jeden mit dem Link). Der Benutzername ist jedoch nur für eingeloggte Nutzer sichtbar.
Rechtsgrundlage: Vertragserfüllung gemäß Art. 6 Abs. 1 S. 1 lit. b) DSGVO.
Technische Maßnahmen: Der QR-Code enthält ausschließlich ein opakes Token — keine personenbezogenen Daten sind direkt im Code kodiert.
Speicherdauer: Setup-Daten werden unbegrenzt gespeichert. Tokens verfallen 30 Tage nach Ablauf.

Geteilte Kaffeetüten (Shared Coffee Bags)

Mit der Funktion „Geteilte Kaffeetüten" können Sie zusammen mit Freunden einen gemeinsamen Kaffeevorrat verwalten und den jeweiligen Verbrauch festhalten.

Verarbeitete Daten: Benutzername, verbrauchte Mengen, Verbrauchszeitpunkte sowie Ihre IP-Adresse als Nachweis Ihrer Einwilligung beim Beitritt (Art. 7 Abs. 1 DSGVO).
Sichtbarkeitsmodi (4 Stufen):
- own_only — Sie sehen nur Ihren eigenen Verbrauch (Standard, Privacy-by-Default).
- total_only — Alle Mitglieder sehen den Gesamtverbrauch der Gruppe, aber nicht, wer wie viel verbraucht hat.
- anonymized — Verbrauchsmengen werden sichtbar, aber ohne Zuordnung zu einzelnen Personen. Bei weniger als 3 Mitgliedern wird automatisch auf own_only zurückgestuft, da eine Anonymisierung bei nur 2 Personen nicht wirksam ist.
- full — Benutzername und Verbrauch jedes Mitglieds sind für alle sichtbar.
Empfänger: Andere Mitglieder der geteilten Kaffeetüte, gemäß dem gewählten Sichtbarkeitsmodus.
Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Beim Beitritt zu einer geteilten Kaffeetüte werden Sie durch eine explizite Checkbox um Ihre Einwilligung gebeten. Diese Einwilligung ist freiwillig.
Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Kaffeetüte verlassen. Nach Ihrem Austritt werden Ihre Verbrauchsdaten sofort anonymisiert und sind nicht mehr Ihrem Konto zugeordnet.
IP-Adresse (Consent-Nachweis): Ihre IP-Adresse wird beim Beitritt für 90 Tage als Einwilligungsnachweis gespeichert und danach gelöscht.
Kontolöschung: Bei vollständiger Kontolöschung werden alle Ihre Verbrauchsdaten in geteilten Kaffeetüten vollständig anonymisiert.
Speicherdauer: Verbrauchsdaten werden unbegrenzt gespeichert (nach Anonymisierung bei Austritt oder Kontolöschung). Einladungs-Tokens verfallen 30 Tage nach Ablauf.

Hinweis zur DSGVO-Folgenabschätzung (DSFA)

Für die Funktion „Geteilte Kaffeetüten" wurde geprüft, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist. Da diese Funktion eine systematische Verfolgung von Nutzungsverhalten ermöglicht, wird eine DSFA empfohlen (Art. 35 Abs. 3 lit. a DSGVO).

Koffein-Tracking und Gesundheitsdaten

Unser Koffein-Tracking-Feature ermöglicht es Nutzern, ihren Koffeinkonsum zu protokollieren und eine personalisierte Pharmakokinetik-Berechnung durchzuführen. Hierfür verarbeiten wir auf ausdrückliche Einwilligung des Nutzers besondere Kategorien personenbezogener Daten (Gesundheitsdaten) im Sinne von Art. 9 Abs. 1 DSGVO.

Verarbeitete Gesundheitsdaten

Körpergewicht (zur Berechnung des Verteilungsvolumens)
Raucherstatus (beeinflusst Koffein-Metabolisierung)
Schwangerschaftsstatus und Trimester (beeinflusst Koffein-Metabolisierung)
Einnahme hormoneller Kontrazeptiva (beeinflusst Koffein-Metabolisierung)
Lebererkrankung (beeinflusst Koffein-Metabolisierung)
Metabolisierungstyp (schnell/normal/langsam)

Rechtsgrundlage und Einwilligung

Die Verarbeitung dieser Gesundheitsdaten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Vor der erstmaligen Nutzung des Koffein-Trackings werden Sie um eine gesonderte, informierte Einwilligung gebeten. Diese Einwilligung ist freiwillig und kann jederzeit in Ihren Profileinstellungen widerrufen werden.

Zweck: Personalisierte Berechnung des Koffeinabbaus (Pharmakokinetik) basierend auf individuellen Metabolisierungsfaktoren.
Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).
Speicherung: Die Daten werden lokal in Deutschland auf unserem eigenen Server gespeichert und nicht an Dritte, Röster oder andere Nutzer weitergegeben.
Speicherdauer: Bis zum Widerruf der Einwilligung oder zur Löschung des Nutzerkontos.
Widerruf: Sie können Ihre Einwilligung jederzeit in Ihren Koffein-Profileinstellungen widerrufen. Bei Widerruf werden alle Gesundheitsdaten unwiderruflich gelöscht.

Verschlüsselung von Gesundheitsdaten

Aufgrund der Sensibilität Ihrer Gesundheitsdaten setzen wir zusätzliche technische Schutzmaßnahmen ein (Art. 32 DSGVO). Ihr Koffein-Profil (Stoffwechselparameter, Gesundheitsangaben) sowie Ihr Geburtsdatum werden verschlüsselt in der Datenbank gespeichert.

Verschlüsselungsverfahren: Die Daten werden mit AES-Verschlüsselung (symmetrisches Verschlüsselungsverfahren) gesichert, bevor sie in der Datenbank abgelegt werden.
Schlüsseltrennung: Die Verschlüsselungsschlüssel werden getrennt von den übrigen Systemzugangsdaten verwaltet, sodass ein Datenbankzugriff allein nicht zur Entschlüsselung ausreicht.
Zugriff: Eine Entschlüsselung findet ausschließlich statt, wenn autorisierte Anwendungsprozesse Ihre Daten für die Koffein-Berechnung abrufen.

Taste Twin Matching / Automatisierte Profilierung

Coffee Lab bietet ein optionales "Taste Twin"-Feature, bei dem Ihr Geschmacksprofil mit dem anderer Nutzer verglichen wird, um Geschmackszwillinge zu finden. Hierbei kommt automatisierte Verarbeitung (Profilierung) im Sinne von Art. 22 DSGVO zum Einsatz.

Funktionsweise

Aus Ihren Kaffee-Bewertungen (Sensorik-Scores, Flavor-Tags, Brühmethode) wird ein numerischer Geschmacksvektor (128-dimensionales Embedding) berechnet. Dieser Vektor wird nächtlich aktualisiert und mit den Vektoren anderer Nutzer verglichen, um Ähnlichkeiten zu ermitteln. Die Berechnung erfolgt vollständig auf unseren eigenen Servern in Deutschland.

Verarbeitete Daten: Sensorik-Bewertungen (Aroma, Säure, Süße, Körper, Nachgeschmack), Flavor-Tags, Brühmethode, aggregiertes Geschmacksprofil.
Zweck: Berechnung von Geschmacks-Ähnlichkeiten mit anderen Nutzern (Taste Twin Matching) und optionale Personalisierung durch maschinelles Lernen.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Das Feature ist opt-in und wird erst nach aktiver Zustimmung aktiviert.
Art. 22 DSGVO: Das Taste Twin Matching stellt eine automatisierte Profilierung dar. Es entfaltet jedoch keine rechtliche Wirkung und beeinträchtigt Sie nicht in ähnlicher Weise erheblich. Sie können der Profilierung jederzeit widersprechen.
Widerspruch und Löschung: Sie können das Taste Twin Matching jederzeit in Ihren Profileinstellungen deaktivieren. Bei Deaktivierung werden Ihr Geschmacksprofil und alle Matches gelöscht. Einen vollständigen Datenexport können Sie ebenfalls in Ihren Profileinstellungen anfordern.

Single-Sign-On-Anmeldung

Als "Single-Sign-On" werden Verfahren bezeichnet, die es Nutzern erlauben, sich mit Hilfe eines Nutzerkontos bei einem Anbieter von Single-Sign-On-Verfahren (z. B. einem sozialen Netzwerk), auch bei unserem Onlineangebot, anzumelden. Die Authentifizierung erfolgt direkt bei dem jeweiligen Single-Sign-On-Anbieter. Im Rahmen einer solchen Authentifizierung erhalten wir eine Nutzer-ID mit der Information, dass der Nutzer unter dieser Nutzer-ID beim jeweiligen Single-Sign-On-Anbieter eingeloggt ist.

Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten, Nutzungsdaten, Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Nutzer.
Zwecke der Verarbeitung: Erbringung vertraglicher Leistungen, Sicherheitsmaßnahmen, Anmeldeverfahren.
Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO).

Google Single-Sign-On

Authentifizierungsdienst für Nutzeranmeldungen, Bereitstellung von Single Sign-On-Funktionen, Verwaltung von Identitätsinformationen und Anwendungsintegrationen.

Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Website: https://www.google.de
Datenschutzerklärung: https://policies.google.com/privacy
Grundlage Drittlandtransfer: Data Privacy Framework (DPF)

Kontakt- und Anfrageverwaltung

Bei der Kontaktaufnahme mit uns (z. B. per Kontaktformular, E-Mail oder Telefon) sowie im Rahmen bestehender Nutzer- und Geschäftsbeziehungen werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Verarbeitete Datenarten: Kontaktdaten, Inhaltsdaten, Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Kommunikationspartner.
Zwecke der Verarbeitung: Kommunikation, Organisations- und Verwaltungsverfahren, Feedback.
Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO), Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).

Newsletter und elektronische Benachrichtigungen

Wir versenden Newsletter, E-Mails und weitere elektronische Benachrichtigungen (nachfolgend „Newsletter") ausschließlich mit der Einwilligung der Empfänger oder aufgrund einer gesetzlichen Grundlage. Sofern im Rahmen einer Anmeldung zum Newsletter dessen Inhalte genannt werden, sind diese Inhalte für die Einwilligung der Nutzer maßgeblich.

Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten, Meta-, Kommunikations- und Verfahrensdaten.
Betroffene Personen: Kommunikationspartner.
Zwecke der Verarbeitung: Direktmarketing (z. B. per E-Mail).
Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO).
Widerspruchsmöglichkeit (Opt-Out): Sie können den Empfang unseres Newsletters jederzeit kündigen. Einen Link zur Kündigung des Newsletters finden Sie am Ende eines jeden Newsletters.

Datenübermittlung an den Steuerberater (DATEV)

Sofern Sie als angestellte:r Mitarbeiter:in einer Coffee-Lab-Rösterei tätig sind, übermitteln wir Ihre Lohn- und Arbeitszeit-Daten in monatlichen Intervallen an die Steuerkanzlei Ihres Arbeitgebers zur Erfüllung gesetzlicher Pflichten (Lohnsteuer-Anmeldung, Beitragsnachweis Sozialversicherung, Gehaltsabrechnung).

Empfänger: Der von Ihrem Arbeitgeber beauftragte Steuerberater bzw. die Steuerberatungsgesellschaft. Der Steuerberater ist eigenständig Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO kraft § 15 AO + § 57 StBerG (vgl. DSK-Beschluss vom 22.04.2020 zur Verarbeitung im Mandatsverhältnis bei Berufsgeheimnisträgern; Bayerisches LDA Tätigkeitsbericht 2021 § 4.3; BStBK-Empfehlungen 2022) und kein Auftragsverarbeiter — er erfüllt eigene gesetzliche Berufspflichten (Plausibilitätsprüfung nach § 162 AO) und ist nicht weisungsgebunden.
Übermittelte Daten: Personalnummer (DATEV-intern), Lohn- und Arbeitszeit-Daten je Mitarbeiter:in und Monat, IBAN für Gehaltsüberweisung, Sozialversicherungs-Nummer, Steuer-ID.
Zweck: Lohnabrechnung, Lohnsteuer-Anmeldung nach § 41a EStG, Beitragsnachweis SV nach § 28a SGB IV, FKS-Audit-Bereitschaft nach § 17 MiLoG.
Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) i.V.m. § 41a EStG, § 28a SGB IV, § 14 HGB, § 17 MiLoG.
Vertragliche Grundlage: Zwischen Coffee Lab und dem Steuerberater besteht eine Datenübermittlungs-Vereinbarung (Vertraulichkeitsvertrag über Übertragungsweg, Datenarten, Zweck) — KEIN Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine AVV wäre rechtsfehlerhaft, weil der Steuerberater berufsrechtlich nicht weisungsgebunden handeln darf (§ 57 StBerG).
Datenstandort: Die Übermittlung erfolgt über den Mandantenportal-Standard von DATEV eG (Nürnberg). Datenstandort und Backup-Strategie unterliegen der separaten Verantwortung des Steuerberaters.
Aufbewahrung beim Empfänger: Beim Steuerberater nach den berufsrechtlichen Aufbewahrungspflichten (§ 66 StBerG: 10 Jahre für Mandanten-Akten) — separate Verantwortung.

Zeiterfassung (Aufzeichnungspflicht)

Sofern Sie als angestellte:r Mitarbeiter:in einer Coffee-Lab-Rösterei tätig sind, erfassen wir Ihre tägliche Arbeitszeit (Beginn, Ende, Pausen) — entweder über das Zeit-PIN-Terminal (Modus „Pflicht (Stempelung)") oder als Selbsteintrag (Modus „Pflicht (Selbsteintrag mit Erinnerung)").

Rechtsgrundlage: Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) i.V.m. § 3 Abs. 2 Nr. 1 ArbSchG, BAG 1 ABR 22/21 (Stechuhrurteil 13.09.2022), EuGH C-55/18.
Zweck: Objektive, verlässliche und zugängliche Aufzeichnung Ihrer täglichen Arbeitszeit zur Erfüllung der arbeitgeberseitigen Aufzeichnungspflicht und als Beweisgrundlage bei späteren Überstunden- oder Lohnstreitigkeiten.
Kein Opt-out: Ein per-Mitarbeitenden-Verzicht auf die Aufzeichnung ist nicht zulässig — die Pflicht trifft den Arbeitgeber kraft § 3 Abs. 2 Nr. 1 ArbSchG. Vertrauensarbeitszeit (Selbsteintrag) bleibt zulässig; der Verzicht auf die Aufzeichnung selbst ist es nicht.
Erinnerung im Selbsteintrag-Modus: Wenn Ihre Rösterei den Selbsteintrag-Modus nutzt und Sie für einen Vortag keine Zeiterfassung eingetragen haben, erhalten Sie am Folgetag automatisch eine Erinnerung in Ihrer Aufgabenliste.
Aufbewahrung: 8 Jahre nach Ende des Kalenderjahres (HGB § 257 / GoBD § 147 AO).

E-Mail-Versand und Auftragsverarbeiter

Für den Versand von transaktionalen E-Mails (Registrierungsbestätigung, Passwort-Zurücksetzung, Sicherheitsbenachrichtigungen, Verkostungserinnerungen) sowie Newsletter nutzen wir den Dienst Brevo (ehemals Sendinblue).

Dienstanbieter: Sendinblue SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich; deutsche Niederlassung: Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin
Verarbeitete Daten: E-Mail-Adresse des Empfängers, Vorname (für Newsletter-Personalisierung), E-Mail-Inhalt (Betreff, Text/HTML-Körper).
Zweck: Zustellung transaktionaler E-Mails und Newsletter.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) für transaktionale E-Mails; Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) für Newsletter.
Auftragsverarbeitung: Der Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist als Anhang 3 der Brevo-Nutzungsbedingungen automatisch Bestandteil des Vertrags.
Datenstandort: Alle Daten werden ausschließlich in der EU verarbeitet und gespeichert (OVH-Rechenzentren in Deutschland und Frankreich, verschlüsselte Backups auf Google Cloud Belgien). Es findet kein Transfer in Drittländer statt.
Zertifizierung: Brevo ist nach ISO 27001:2022 zertifiziert.
Tracking: E-Mail-Öffnungs- und Klick-Tracking ist deaktiviert. Brevo verarbeitet Ihre Daten ausschließlich zum Zweck der E-Mail-Zustellung.

Weitere Informationen: Brevo Datenschutzerklärung | Brevo Nutzungsbedingungen (inkl. AVV)

Kartendienste

Für die Anzeige interaktiver Karten (z. B. in der Café-Suche) verwenden wir OpenStreetMap, einen offenen Kartendienst.

Dienstanbieter: OpenStreetMap Foundation (OSMF), 132 Maney Hill Road, Sutton Coldfield, West Midlands, B72 1JU, United Kingdom
Verarbeitete Daten: IP-Adresse des Nutzers (wird beim Laden der Kartenkacheln an die OpenStreetMap-Server übermittelt).
Zweck: Darstellung interaktiver Karten zur Anzeige von Café-Standorten.
Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f) DSGVO). Unser berechtigtes Interesse liegt in der nutzerfreundlichen Darstellung von Standortinformationen.
Drittlandtransfer: Die OSMF hat ihren Sitz im Vereinigten Königreich. Die EU-Kommission hat am 28. Juni 2021 einen Angemessenheitsbeschluss für das Vereinigte Königreich erlassen (Art. 45 DSGVO), sodass ein angemessenes Datenschutzniveau gewährleistet ist.
Weitere Informationen: OSMF Privacy Policy

Zahlungsabwicklung

Für die Abwicklung von Abonnement-Zahlungen (z. B. Premium-Editionen, Röster-Analytik-Pakete) nutzen wir den Zahlungsdienstleister Stripe.

Dienstanbieter: Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland; Muttergesellschaft: Stripe, Inc., San Francisco, USA
Verarbeitete Daten: E-Mail-Adresse, Name, Rechnungsadresse; Zahlungsdaten (Kreditkartennummer, Ablaufdatum) werden ausschließlich direkt von Stripe verarbeitet und niemals auf unseren Servern gespeichert.
Zweck: Sichere Abwicklung von Zahlungsvorgängen für Abonnements und einmalige Käufe.
Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO).
Auftragsverarbeitung: Wir haben einen Auftragsverarbeitungsvertrag (Data Processing Agreement) mit Stripe geschlossen.
Datentransfer: Stripe Payments Europe (Irland) verarbeitet Zahlungen primär innerhalb der EU. Stripe, Inc. (USA) ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Zusätzlich bestehen Standardvertragsklauseln (SCCs).
Zertifizierung: PCI DSS Level 1 Service Provider (höchste Sicherheitsstufe für Zahlungsdaten).
Speicherdauer: Rechnungsdaten werden gemäß handels- und steuerrechtlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO) für 10 Jahre aufbewahrt.

Weitere Informationen: Stripe Datenschutzerklärung | Stripe Auftragsverarbeitungsvertrag (DPA)

Mindestalter

Unser Angebot richtet sich an Personen, die mindestens 16 Jahre alt sind. Personen unter 16 Jahren dürfen unsere Dienste nicht nutzen. Gemäß Art. 8 DSGVO ist die Einwilligung in die Datenverarbeitung ab 16 Jahren wirksam. Bei Personen unter 16 Jahren ist die Zustimmung des Trägers der elterlichen Verantwortung erforderlich.

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z. B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Begriffsdefinitionen

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Soweit die Begrifflichkeiten gesetzlich definiert sind, gelten deren gesetzliche Definitionen.

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Löschen etc.).

Erstellt mit kostenlosem Datenschutz-Generator.de von Dr. Thomas Schwenke