Datenschutzerklärung
Hinweise zur Verarbeitung personenbezogener Daten in Website und App.
- Stand
- 12.06.2026
- Gültig ab
- 12.06.2026
- Version
- 2026.06.12-legal-cleanup
Aktualisierte Datenschutz-Basis mit Dienstleister- und Funktionsübersicht für Marktplatz, Zahlungen, Koch-Onboarding, Support, Push, Standort, Medien und KI-Hilfsfunktionen.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung ist:
Mahlio.app
Ziegelstr.33
63065 Offenbach am Main
Deutschland
E-Mail: support@mahlio.app
2. Kurzüberblick
Mahlio ist ein digitaler Marktplatz für hausgemachte Speisen zur Abholung. Wir verarbeiten personenbezogene Daten, damit Nutzer ein Konto führen, Speisen entdecken, bestellen, bezahlen, abholen, verkaufen, Support erhalten und Sicherheits- oder Qualitätsfälle klären können.
Diese Erklärung gilt für die öffentliche Website, die App, Koch-Onboarding, Bestell- und Zahlungsabläufe, Support, Wachstums- und Empfehlungsfunktionen sowie administrative Prüfprozesse.
3. Datenkategorien
Je nach Nutzung verarbeiten wir insbesondere folgende Daten:
- Account- und Authentifizierungsdaten: Name, Anzeigename, E-Mail-Adresse, Passwort- bzw. Authentifizierungsdaten, Sitzungsdaten, E-Mail-Verifizierungsstatus und Sicherheitsereignisse.
- Profil- und Kontaktdaten: Profilbild, Rolle, Beschreibung, Spracheinstellungen, Standort- oder Suchgebiet, Abholadresse, Adresshinweise und freiwillige Profilangaben.
- Standort- und Kartendaten: manuell eingegebene Orte, Suchradien, zuletzt verwendete Standortfilter sowie die hierfür erforderlichen Nutzungsdaten.
- Koch- und Angebotsdaten: Speisen, Bilder, Preise, Verfügbarkeit, Abholzeitfenster, Zutaten, Allergenangaben, Portions- und Verpackungsangaben, Status- und Qualitätsinformationen.
- Bestell- und Transaktionsdaten: Warenkorb, Bestellung, Bestellstatus, Abholcode, Abholzeit, Zahlungsstatus, Preise, Gebühren, Rabatte, Stornos, Erstattungen, Zahlungsfreigaben und Zeitstempel.
- Zahlungs- und Auszahlungsdaten: technische Zahlungsreferenzen, Statusinformationen, Beträge, Gebühren, Erstattungs-, Auszahlungs- und Abrechnungsinformationen. Vollständige Kartendaten speichern wir nicht selbst.
- Koch-Onboarding- und Verifizierungsdaten: Angaben zur rechtlichen oder operativen Freischaltung, hochgeladene Nachweise, Prüf- und Verifizierungsinformationen, Feedback und Statushistorie.
- Support-, Beschwerde- und Sicherheitsdaten: Supportanfragen, Nachrichten, Anhänge, interne Fallnotizen, Streitfälle, Lebensmittelsicherheitsmeldungen, Prüf- und Entscheidungsdaten.
- Uploads und Medien: Profilbilder, Essensbilder, öffentlich geteilte Medien, Dokumente, Belege, Verifizierungsdateien und Support-Anhänge.
- ChefSafe- und Belegdaten, soweit genutzt: Belegdateien, extrahierte Buchhaltungsfelder, Monatsabschlüsse, Steuerjahr, Umsatz-, Gebühren- und Erstattungsübersichten.
- Bewerbungs- und Lead-Daten: Name, Telefon, E-Mail, Stadt, Küche, Kapazität, Gewerbe-Status, freiwillige Nachricht, optionale Social-Profile und interne Bearbeitungsnotizen.
- Kommunikationsdaten: vertrags- und funktionsbezogene E-Mails, Passwort-Zurücksetzung, Verifikationsmails, Support-Antworten, interne Benachrichtigungen und Push-Benachrichtigungen.
- Nutzungs-, Geräte-, Sicherheits- und Protokolldaten.
- Attributions- und Empfehlungsdaten: Kampagnen-, Empfehlungs- und Zuordnungsdaten, soweit sie für Wachstumsmessung, Missbrauchsprävention oder Abrechnung erforderlich sind.
Soweit Nutzer im Rahmen von Support-, Beschwerde- oder Lebensmittelsicherheitsfällen freiwillig Gesundheitsangaben mitteilen, verarbeiten wir diese nur, soweit dies zur Bearbeitung, Prüfung, Rechtsverteidigung oder Erfüllung gesetzlicher Pflichten erforderlich ist.
4. Zwecke der Verarbeitung
Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:
- Betrieb von Website, App, Nutzerkonto und Sicherheitsfunktionen.
- Vermittlung von Speisen, Kochprofilen und öffentlichen Angebotsseiten.
- Durchführung von Bestellungen, Abholung, Zahlung, Erstattung, Auszahlung und Abrechnung.
- Koch-Onboarding, Verifizierung, Plattform-Compliance und Qualitätssicherung.
- Bearbeitung von Support, Beschwerden, Lebensmittelsicherheitsfällen, Streitfällen und Missbrauchsmeldungen.
- Kommunikation per E-Mail, Push-Benachrichtigung und Systemnachricht.
- IT-Sicherheit, Fehleranalyse, Betrugsprävention und Durchsetzung der Plattformregeln.
- Erfüllung gesetzlicher Pflichten, Aufbewahrungspflichten und Rechtsverteidigung.
Verarbeitung nach zentralen Funktionen
| Funktion | Datenkategorien | Zweck und Rechtsgrundlage | Aufbewahrung / Hinweis |
|---|---|---|---|
| Konto, Login und Sicherheit | Account-, Authentifizierungs-, Sicherheits- und Protokolldaten | Betrieb von Website, App, Konto und Sicherheitsfunktionen; Art. 6 Abs. 1 lit. b, c und f DSGVO | Bis zur Kontolöschung; Sicherheitsdaten nach angemessenen Fristen. |
| Marktplatz, Bestellung und Abholung | Profil-, Angebots-, Bestell-, Abhol-, Preis- und Statusdaten | Vermittlung von Speisen, Bestellabwicklung, Abholung, Support und Nachvollziehbarkeit; Art. 6 Abs. 1 lit. b, c und f DSGVO | Nach Bestell-, Zahlungs-, Steuer- und Nachweisfristen. |
| Zahlungen, Erstattungen und Auszahlungen | Zahlungsreferenzen, Beträge, Gebühren, Abrechnungs- und Statusinformationen | Zahlungsabwicklung, Erstattung, Auszahlung, Abrechnung und Betrugsprävention; Art. 6 Abs. 1 lit. b, c und f DSGVO | Nach gesetzlichen und buchhalterischen Aufbewahrungsfristen. |
| Koch-Onboarding und Plattform-Compliance | Profilangaben, Nachweise, Prüf- und Verifizierungsinformationen | Freischaltung, Qualitätssicherung, rechtliche Nachweisführung und Plattform-Compliance; Art. 6 Abs. 1 lit. b, c und f DSGVO | Solange für Freischaltung, laufende Zusammenarbeit, Prüfungen oder Ansprüche erforderlich. |
| Medien, Inhalte und öffentliche Seiten | Profilbilder, Speisenbilder, Angebots-, Profil- und sonstige Inhaltsdaten | Darstellung, Suche, Bewerbung, Medienverarbeitung und Moderation; Art. 6 Abs. 1 lit. b und f DSGVO | Bis Löschung, Deaktivierung oder fortbestehende Nachweis-/Moderationsgründe entgegenstehen. |
| Support, Beschwerden, Lebensmittelsicherheit und Sicherheit | Nachrichten, Anhänge, Fallnotizen, Bestellkontext, Prüf- und Entscheidungsdaten | Fallbearbeitung, Missbrauchsvermeidung, Prüfung von Lebensmittelsicherheitsfällen, Beweisführung und Rechtsverteidigung; Art. 6 Abs. 1 lit. b, c und f DSGVO | Solange der Fall, gesetzliche Pflichten, Sicherheitsgründe oder Ansprüche bestehen. |
| Kommunikation, Push, Standort und Leads | E-Mail-, Benachrichtigungs-, Standort-, Bewerbungs- und Zuordnungsdaten | Kommunikation, gewünschte App-Funktionen, Launch-Planung, Missbrauchsprävention und Kontaktaufnahme; Art. 6 Abs. 1 lit. a, b und f DSGVO | Bis Deaktivierung, Widerruf, Kontolöschung oder erforderliche Bereinigung. |
5. Rechtsgrundlagen
Soweit die Verarbeitung zur Registrierung, Nutzung der Plattform, Bestellung, Zahlung, Auszahlung, Bereitstellung von Support oder Durchführung vorvertraglicher Maßnahmen erforderlich ist, erfolgt sie auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.
Soweit wir gesetzliche Pflichten erfüllen, insbesondere steuerliche, handelsrechtliche, lebensmittelrechtliche, sicherheitsbezogene oder aufsichtsrechtliche Pflichten, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.
Soweit wir Daten zur IT-Sicherheit, Betrugsprävention, Qualitätskontrolle, Missbrauchsvermeidung, Beweisführung, Plattform-Compliance, internen Administration oder Verbesserung stabiler Betriebsabläufe verarbeiten, stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einem sicheren, verlässlichen und rechtstreuen Marktplatz.
Soweit eine Verarbeitung auf Einwilligung beruht, z. B. bei optionalen Push-Benachrichtigungen, bestimmten Standortfunktionen oder nicht notwendigen Analyse- oder Marketingtechnologien, ist Art. 6 Abs. 1 lit. a DSGVO die Rechtsgrundlage. Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
6. Zahlungsabwicklung und Stripe Connect
Für Zahlungen, Zahlungsautorisierungen, Erstattungen, Auszahlungen und verbundene Prüfungen nutzen wir Stripe einschließlich Stripe Connect. Stripe verarbeitet Zahlungsdaten je nach konkretem Ablauf als eigener Verantwortlicher oder als Dienstleister.
Wir erhalten und speichern Zahlungsreferenzen, Statusinformationen, Beträge, Gebühren sowie Abrechnungs- und Auszahlungsinformationen, soweit dies für Bestellung, Support, Abrechnung, Betrugsprävention und Nachvollziehbarkeit erforderlich ist.
7. Dienstleister und Empfänger
Zur Bereitstellung von Mahlio können wir sorgfältig ausgewählte Dienstleister und Empfänger einsetzen. Dazu gehören insbesondere Anbieter für Hosting, Datenbank, Authentifizierung, Zahlungsabwicklung, Medienverarbeitung, Karten- und Standortfunktionen, E-Mail-Versand, Push-Benachrichtigungen, Support, Sicherheit sowie, soweit aktiviert, KI-gestützte Hilfsfunktionen.
Wichtige Empfänger und Dienstleister können insbesondere sein:
Übersicht wichtiger Empfänger und Dienstleister
| Empfänger / Dienstleister | Zweck | Typische Daten | Rolle / Hinweis |
|---|---|---|---|
| Supabase | Hosting, Datenbank, Authentifizierung, Dateispeicherung und technische Infrastruktur | Account-, Profil-, Bestell-, Support-, Prüf-, Sicherheits- und Dateidaten | Infrastruktur und Auftragsverarbeitung, soweit Supabase im Auftrag von Mahlio verarbeitet. |
| Stripe / Stripe Connect | Zahlungsabwicklung, Erstattungen, Auszahlungen, Abrechnung und Betrugsprävention | Zahlungs-, Erstattungs-, Auszahlungs-, Abrechnungs- und Statusinformationen | Je nach Vorgang eigener Verantwortlicher oder Dienstleister; vollständige Kartendaten speichern wir nicht selbst. |
| Cloudinary | Medienverarbeitung, Medienspeicherung und Medienauslieferung | Profilbilder, Speisenbilder, Support-, Social-, Verifizierungs- und Belegmedien | Medieninfrastruktur und Auftragsverarbeitung. |
| Expo, Apple und Google Push Services | Push-Benachrichtigungen und Gerätezustellung | Gerätebezogene Zustellkennungen, Berechtigungsstatus und Benachrichtigungsinformationen | Nur bei aktivierter Push-Funktion; Nutzer können Push systemseitig deaktivieren. |
| Google Maps / Google Places | Karten, Ortssuche, Adressvorschläge und Standortfilter | Suchorte, Adressen, Standort- und technische Nutzungsdaten | Wird nur für Karten-, Adress- oder Places-Funktionen genutzt. |
| Resend / E-Mail-Anbieter | Verifikations-, Transaktions-, Support-, Lead- und interne Prozess-E-Mails | E-Mail-Adresse, Name, Betreff, Versandstatus und transaktionsbezogene Inhalte | E-Mail-Infrastruktur und Auftragsverarbeitung, soweit der Anbieter im Auftrag verarbeitet. |
| KI-Dienstleister, soweit aktiviert | Unterstützende Funktionen wie Textassistenz, Belegverarbeitung oder Prüfunterstützung | Nur die für die jeweilige Hilfsfunktion erforderlichen Inhalte und Kontextdaten | Optionale Hilfsfunktionen; KI-Ergebnisse ersetzen keine rechtliche, steuerliche oder hygienische Beratung. |
| Andere Nutzer der Plattform | Sichtbarkeit notwendiger Bestell-, Abhol-, Profil- und Angebotsinformationen im Rahmen der Plattformnutzung | Anzeigename, Bestelldetails, Abholinformationen, Abholcode, Statusinformationen sowie öffentliche Kochprofil- und Angebotsdaten | Empfänger im Rahmen der Plattformnutzung. |
| Interne berechtigte Stellen | Support, Sicherheit, Prüfung, Moderation, Abrechnung und Betrieb | Fall-, Nutzer-, Bestell-, Zahlungs-, Prüf- und Protokolldaten | Rollenbasierter Zugriff nur soweit für Support, Sicherheit, Prüfung, Abrechnung, Moderation oder Betrieb erforderlich. |
Soweit Dienstleister personenbezogene Daten in unserem Auftrag verarbeiten, erfolgt dies auf Grundlage entsprechender vertraglicher Vereinbarungen. Einzelne Empfänger, insbesondere Zahlungsdienstleister, Banken, Kartenorganisationen, Behörden, App-Plattformen oder andere Nutzer der Plattform, können je nach Vorgang auch eigenständig verantwortlich sein.
8. Drittlandübermittlungen
Einige Dienstleister können personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten. In solchen Fällen erfolgt eine Übermittlung nur auf Grundlage der hierfür vorgesehenen rechtlichen Mechanismen, insbesondere Angemessenheitsbeschlüssen, dem EU-U.S. Data Privacy Framework für entsprechend zertifizierte Anbieter, EU-Standardvertragsklauseln oder anderen geeigneten Garantien.
9. Website, Cookies, lokale Speicherung und Attribution
Website und App können technisch notwendige Speicherungen und Zugriffe auf Endgeräte nutzen, z. B. für Login, Sicherheit, Formularfunktionen, Spracheinstellungen, Warenkorb, Sessionverwaltung oder ausdrücklich gewünschte Funktionen.
Nicht notwendige Speicherungen oder Zugriffe auf Endgeräte, insbesondere für Analyse-, Marketing- oder Nachverfolgungszwecke, erfolgen nur, soweit hierfür eine wirksame Einwilligung vorliegt. Kampagnen-, Empfehlungs- und Zuordnungsdaten werden nur verarbeitet, soweit dies für die jeweilige Funktion erforderlich ist.
10. Push-Benachrichtigungen und Gerätefunktionen
Wenn Push-Benachrichtigungen aktiviert werden, verarbeiten wir gerätebezogene Zustellkennungen, Berechtigungsstatus und die hierfür erforderlichen Zustell- und Gerätedaten. Push-Benachrichtigungen können jederzeit in den Systemeinstellungen oder in App-Einstellungen deaktiviert werden.
Kamera-, Foto-, Datei- oder Standortberechtigungen werden nur genutzt, wenn die jeweilige App-Funktion dies benötigt, z. B. für Profilbilder, Speisenbilder, Dokumente, Belege, Abhol- oder Suchfunktionen.
11. KI-gestützte Funktionen
Mahlio kann, soweit aktiviert, KI-gestützte Hilfsfunktionen einsetzen, z. B. zur Unterstützung bei Textvorschlägen, Belegverarbeitung oder internen Prüfprozessen. Dabei werden nur die für die jeweilige Funktion erforderlichen Inhalte verarbeitet.
KI-Ergebnisse ersetzen keine rechtliche, steuerliche, hygienische oder behördliche Beratung. Bei sicherheits- oder compliance-relevanten Vorgängen können menschliche Prüfungen und zusätzliche Nachweise erforderlich sein.
12. Speicherdauer
Wir speichern Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche bzw. berechtigte Aufbewahrungsgründe bestehen.
- Account- und Profildaten: grundsätzlich bis zur Kontolöschung oder solange berechtigte Aufbewahrungsgründe bestehen.
- Bestell- und Transaktionsdaten: solange dies für Bestellabwicklung, Support, Nachvollziehbarkeit, Ansprüche oder gesetzliche Pflichten erforderlich ist.
- Abrechnungs-, Zahlungs- und steuerrelevante Daten werden nach Maßgabe der jeweils geltenden gesetzlichen Aufbewahrungsfristen gespeichert.
- Support-, Streitfall-, Sicherheits- und Moderationsdaten: solange dies für Fallbearbeitung, Missbrauchsprävention, Beweisführung oder Verteidigung gegen Ansprüche erforderlich ist.
- Koch-Verifizierungsdaten und Nachweise: solange dies für Freischaltung, laufende Zusammenarbeit, gesetzliche Anforderungen, Prüfungen oder Verteidigung gegen Ansprüche erforderlich ist.
- Lead- und Bewerbungsdaten werden grundsätzlich nach 6 bis 12 Monaten gelöscht oder eingeschränkt, sofern keine laufende Kommunikation, Einwilligung oder berechtigte Aufbewahrungsgründe bestehen.
- Push- und Gerätezuordnungen: bis zur Deaktivierung, Abmeldung, Kontolöschung oder technischen Bereinigung.
- Sicherheitsprotokolle werden in der Regel für bis zu 90 Tage gespeichert, sofern keine Sicherheitsvorfälle, Missbrauchsverdachtsfälle oder rechtliche Gründe eine längere Speicherung erfordern.
Eine direkte Seite zur Kontolöschung ist unter Konto löschen erreichbar.
13. Rechte betroffener Personen
Nach Maßgabe der gesetzlichen Voraussetzungen bestehen insbesondere folgende Rechte:
- Auskunft über verarbeitete personenbezogene Daten.
- Berichtigung unrichtiger oder unvollständiger Daten.
- Löschung personenbezogener Daten.
- Einschränkung der Verarbeitung.
- Datenübertragbarkeit.
- Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.
- Widerruf einer Einwilligung mit Wirkung für die Zukunft.
- Beschwerde bei einer Datenschutzaufsichtsbehörde.
Zuständige Aufsichtsbehörde kann insbesondere der Hessische Beauftragte für Datenschutz und Informationsfreiheit sein.
Kontakt für Datenschutzanfragen: support@mahlio.app
14. Pflicht zur Bereitstellung
Die Bereitstellung bestimmter Daten ist für Registrierung, Bestellung, Zahlung, Auszahlung, Koch-Freischaltung, Support oder die Nutzung einzelner Funktionen erforderlich. Ohne diese Daten können wir bestimmte Leistungen nicht oder nicht vollständig erbringen.
15. Automatisierte Entscheidungen
Eine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO findet derzeit nicht statt. Automatisierte Prüfungen, Regeln oder Hinweise können zur Sicherheit, Betrugsprävention, Priorisierung oder Qualitätssicherung eingesetzt werden; rechtlich oder wirtschaftlich erhebliche Maßnahmen werden bei Bedarf intern überprüft.
16. Änderungen dieser Datenschutzerklärung
Wir können diese Datenschutzerklärung mit Wirkung für die Zukunft anpassen, insbesondere bei Änderungen unseres Angebots, gesetzlicher Anforderungen, eingesetzter Dienstleister oder Datenverarbeitungen.