MealtimeMealtime
StartseiteAnmelden

Datenschutzerklärung

Informationen zum Schutz Ihrer personenbezogenen Daten gemäß DSGVO

Verantwortlicher

Gemäß Art. 4 Nr. 7 DSGVO

Stoicera GesbR
Allerheiligen im Mühlkreis 7
4320 Perg, Österreich
UID: ATU79668824
E-Mail: office@stoicera.com

Für Gemeinden und Schulen, die Mealtime als Auftragsverarbeiter nutzen, agiert die jeweilige Gemeinde bzw. der Schulerhalter als Verantwortlicher im Sinne der DSGVO. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wird auf Anfrage bereitgestellt.

Verarbeitete Datenarten

Welche personenbezogenen Daten wir verarbeiten

Stammdaten der Erziehungsberechtigten

Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert). Diese Daten werden bei der Registrierung erhoben und für die Benutzerverwaltung benötigt.

Daten der Kinder

Vorname, Nachname, Klasse/Gruppe, Zuordnung zu Erziehungsberechtigten. Diese Daten werden für die Essensanmeldung und die Zuordnung zu Klassen benötigt.

Buchungsdaten

Datum der Essensanmeldung, gebuchte Tage, Änderungshistorie. Diese Daten sind für die Kernfunktion der Essensplanung erforderlich.

Technische Daten

IP-Adresse, Browsertyp, Zeitpunkt des Zugriffs, aufgerufene Seiten. Diese Daten werden in Server-Logfiles gespeichert und dienen der Sicherstellung des technischen Betriebs und der IT-Sicherheit.

Audit-Protokolle

Anmeldezeitpunkte, durchgeführte Aktionen (z. B. Import, Statusänderungen), Benutzer-ID. Diese Daten dienen der Nachvollziehbarkeit und Sicherheit und sind nur für Administratoren einsehbar.

Rechtsgrundlagen

Auf welcher Basis wir Ihre Daten verarbeiten

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung von Stamm- und Buchungsdaten ist für die Erfüllung des Nutzungsvertrags (Essensanmeldung) erforderlich.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Die Verarbeitung technischer Daten und Audit-Protokolle erfolgt auf Grundlage unseres berechtigten Interesses an der Sicherheit und dem ordnungsgemäßen Betrieb der Anwendung.

Öffentliches Interesse (Art. 6 Abs. 1 lit. e DSGVO)

Soweit Gemeinden oder Schulen als Verantwortliche agieren, kann die Verarbeitung auch auf der Wahrnehmung öffentlicher Aufgaben (Schulverpflegung) beruhen.

Speicherdauer

Wie lange wir Ihre Daten aufbewahren

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Benutzerdaten

Werden für die Dauer der aktiven Nutzung gespeichert. Nach Deaktivierung des Kontos werden die Daten nach spätestens 12 Monaten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Buchungsdaten

Werden für das laufende und das vorangegangene Schuljahr aufbewahrt und anschließend automatisch gelöscht.

Server-Logfiles

Werden nach spätestens 90 Tagen automatisch gelöscht.

Audit-Protokolle

Werden für maximal 24 Monate aufbewahrt und dienen der Nachvollziehbarkeit administrativer Aktionen.

Rechte der Betroffenen

Ihre Rechte gemäß DSGVO

Sie haben gemäß DSGVO folgende Rechte bezüglich Ihrer personenbezogenen Daten:

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen.

Berichtigungsrecht (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.

Löschungsrecht (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.

Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen.

Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren: www.dsb.gv.at

Ihre Rechte ausüben

So können Sie Ihre DSGVO-Rechte direkt in Mealtime wahrnehmen

Datenexport (Art. 15 DSGVO)

Sie können jederzeit alle über Sie gespeicherten Daten herunterladen. Gehen Sie dazu in Ihr Profil unter „Einstellungen“ und klicken Sie auf „Meine Daten exportieren“. Sie erhalten eine JSON-Datei mit Ihrem Profil, zugewiesenen Kindern, allen Buchungen, Ihren Rollen und aktiven Sitzungen. Kein Antrag bei der Verwaltung nötig — der Export ist sofort verfügbar.

Datenlöschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer personenbezogenen Daten beantragen. Gehen Sie dazu in Ihr Profil unter „Einstellungen“ und klicken Sie auf „Meine Daten löschen“. Dabei geschieht Folgendes:

  • Ihr Name wird durch „Gelöschter Benutzer“ ersetzt
  • Ihre E-Mail-Adresse wird anonymisiert (nicht wiederherstellbar)
  • Alle aktiven Sitzungen werden sofort beendet
  • Buchungshistorien bleiben in anonymisierter Form für die Schulabrechnung erhalten

Profilbearbeitung (Art. 16 DSGVO)

Sie können Ihre persönlichen Daten (Name) jederzeit selbst berichtigen. Gehen Sie dazu in Ihr Profil unter „Einstellungen“. Änderungen werden sofort wirksam und im Audit-Log protokolliert.

Technische Sicherheitsmaßnahmen

Wie wir Ihre Daten technisch schützen (Art. 32 DSGVO)

Verschlüsselte Übertragung

Sämtliche Kommunikation zwischen Ihrem Gerät und unseren Servern ist durch TLS/HTTPS verschlüsselt. HSTS (HTTP Strict Transport Security) stellt sicher, dass Ihr Browser immer die verschlüsselte Verbindung nutzt.

Passwortsicherheit

Passwörter werden ausschließlich als bcrypt-Hashes gespeichert — selbst bei einem Datenbankzugriff wären die Passwörter nicht lesbar. Authentifizierungs-Tokens werden regelmäßig rotiert und bei Passwortänderungen automatisch ungültig gemacht.

Zugriffskontrolle

Jede Anfrage wird auf Berechtigung geprüft. Eltern sehen nur die Daten ihrer eigenen Kinder. Schulen sehen nur ihre eigenen Standorte. Gemeinden haben keinen Zugriff auf Daten anderer Gemeinden. Diese Isolation wird auf jeder Ebene der Anwendung technisch durchgesetzt.

Ratenbegrenzung

Automatische Anfragenlimitierung schützt vor Brute-Force-Angriffen auf Anmeldeseiten und andere sensible Endpunkte. Nach zu vielen fehlgeschlagenen Versuchen werden weitere Anfragen vorübergehend blockiert.

Sicherheits-Header

Die Anwendung setzt umfassende HTTP-Sicherheits-Header (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy), um Angriffe wie Cross-Site-Scripting (XSS) und Clickjacking zu verhindern.

Cookies

Informationen zur Verwendung von Cookies

Technisch notwendige Cookies

Mealtime verwendet ausschließlich technisch notwendige Cookies, die für den Betrieb der Anwendung erforderlich sind. Dazu gehören:

  • Session-Cookie zur Authentifizierung (enthält ein verschlüsseltes Token)
  • Benutzer-Cookie zur Anzeige der Benutzerinformationen

Keine Tracking- oder Analyse-Cookies

Wir setzen keine Tracking-Cookies, Analyse-Tools (z. B. Google Analytics) oder Werbe-Cookies ein. Es findet kein Tracking über Drittanbieter statt. Es werden keine Daten an Dritte weitergegeben.

Hosting & Datensicherheit

Wo und wie Ihre Daten gespeichert werden

Serverstandort

Alle Daten werden auf Servern innerhalb der Europäischen Union gehostet. Es findet keine Übermittlung von Daten in Drittländer außerhalb der EU/des EWR statt.

Verschlüsselung

Die gesamte Kommunikation zwischen Ihrem Browser und unseren Servern erfolgt über eine verschlüsselte HTTPS-Verbindung (TLS). Passwörter werden ausschließlich in gehashter Form gespeichert.

Keine Weitergabe an Dritte

Personenbezogene Daten werden nicht an Dritte verkauft, vermietet oder anderweitig weitergegeben. Eine Weitergabe erfolgt ausschließlich an die jeweilige Gemeinde bzw. Schule als Verantwortlichen im Rahmen des Auftragsverarbeitungsvertrags.

Auftragsverarbeitungsvertrag (AVV)

Für Gemeinden und Schulen steht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zur Verfügung. Dieser regelt die Rechte und Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag. Bitte kontaktieren Sie uns unter office@stoicera.com für den Abschluss eines AVV.

Stand dieser Datenschutzerklärung: März 2026. Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen unserer Dienstleistungen anzupassen.