1. Verantwortliche Stelle

Die Datenverarbeitung erfolgt in voneinander getrennten Rollen. Das Restaurant und der Betreiber sind hierbei nach unserer Einschätzung grundsätzlich unabhängige (getrennte) Verantwortliche im Sinne der DSGVO. Sollte für einzelne Verarbeitungsschritte ausnahmsweise eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehen, schließen Betreiber und Restaurant für den betreffenden Verarbeitungsschritt eine gesonderte Vereinbarung nach Art. 26 Abs. 1 DSGVO. Sie können Ihre Rechte nach Art. 26 Abs. 3 DSGVO gegenüber jeder beteiligten Stelle geltend machen. Verantwortlicher für die Bestell- und Reservierungsdaten ist das jeweilige Restaurant, bei dem Sie bestellen oder reservieren. Das Restaurant entscheidet über Zwecke und Mittel dieser Verarbeitung im Rahmen seines Vertrags mit Ihnen. Verantwortlicher für den technischen Betrieb der Plattform, die Sicherheit der Plattform und Missbrauchsabwehr auf Plattformebene (auf Grundlage technischer Metadaten wie IP-Adresse, Geräte- und Sitzungssignale; nicht auf Grundlage personenbezogener Bestellinhalte einzelner Endkunden), ausschließlich aggregierte und anonymisierte Plattformstatistiken ist der Betreiber: Mambil UG (haftungsbeschränkt) Zwinglistr. 6 30171 Hannover Deutschland E-Mail: [email protected] Soweit der Betreiber Bestell- und Reservierungsdaten ausschließlich auf Weisung des Restaurants verarbeitet – einschließlich des Versands der bestell- und reservierungsbezogenen Bestätigungs-, Status- und Erinnerungsnachrichten an Sie –, handelt er insoweit als Auftragsverarbeiter nach Art. 28 DSGVO; Verantwortlicher für diese Daten und Nachrichten ist das jeweilige Restaurant. Die genaue Aufteilung der Verantwortlichkeiten ist in der vollständigen Datenschutzerklärung (Abschnitt „Verantwortlichkeiten“) erläutert.

2. Bestelldaten

Bei der Aufgabe einer Bestellung verarbeiten wir: ausgewählte Artikel, Mengen, Preise, Bestellzeitpunkt, Tischnummer, optionale Hinweise sowie – sofern vom Restaurant verlangt – Ihren Namen und eine Kontaktangabe (z. B. E-Mail für eine Bestellbestätigung). Eine Zahlung wird nicht über die Plattform abgewickelt. Zweck: Übermittlung Ihrer Bestellung an das Restaurant. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrages mit dem Restaurant). Speicherdauer: Bestelldaten werden für die Dauer der Geschäftsbeziehung zwischen Restaurant und Betreiber gespeichert und innerhalb einer angemessenen Frist nach deren Beendigung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Für eigene steuerliche Aufzeichnungspflichten in Bezug auf seine Umsätze ist das Restaurant als Verkäufer selbst verantwortlich.

3. Reservierungsdaten

Bei einer Reservierung verarbeiten wir: Datum, Uhrzeit, Personenanzahl, Ihren Namen und Ihre Kontaktdaten sowie etwaige besondere Wünsche. Die Daten werden zur Bearbeitung der Reservierung an das Restaurant weitergeleitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Reservierungen werden zeitnah nach dem Reservierungstermin gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4. Zahlung

Zahlungen für Bestellungen werden nicht über die Plattform abgewickelt. Sie bezahlen Ihre Bestellung direkt beim Restaurant vor Ort (z. B. bar, mit Karte oder über das Kassensystem des Restaurants). Der Betreiber und Mambil erheben, verarbeiten oder speichern hierbei keine Zahlungsdaten von Ihnen (insbesondere keine Karten- oder Kontodaten). Über die Plattform findet keine automatisierte Betrugs- oder Risikoprüfung Ihrer Zahlung statt.

5. Cookies und ähnliche Technologien

Für den Bestell- und Reservierungsvorgang setzen wir technisch unbedingt erforderliche Cookies und lokalen Speicher ein (Warenkorb, Session, Spracheinstellung, CSRF-Schutz, Sicherheits-Token unseres CDN-/WAF-Anbieters). Hierfür ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich; Rechtsgrundlage der nachgelagerten Verarbeitung ist Art. 6 Abs. 1 lit. b und f DSGVO. Da Zahlungen nicht über die Plattform abgewickelt werden, werden im Bestell- und Reservierungsvorgang keine Speicher- oder Lesevorgänge eines Zahlungsdienstleisters auf Ihrem Endgerät ausgelöst. Bestell- und Reservierungsbestätigungen erhalten Sie als Gast per E-Mail oder im Browser; eine Speicherung von Push-Benachrichtigungs-Token auf Ihrem Endgerät findet bei Gästen nicht statt. Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies für eigene Zwecke ein; ein Cookie-Consent-Banner ist daher nicht erforderlich.

6. Empfänger

Ihre Daten werden weitergegeben an: das jeweilige Restaurant (Verantwortlicher für Bestellung/Reservierung); unsere Hosting- und Infrastrukturdienstleister als Auftragsverarbeiter nach Art. 28 DSGVO (aktuelle Liste siehe vollständige Datenschutzerklärung, Abschnitt „Auftragsverarbeitung und sonstige Empfänger“); Behörden, soweit wir gesetzlich zur Offenlegung verpflichtet sind.

7. Speicherort und Drittlandübermittlung

Hosting und Verarbeitung Ihrer Bestell-, Reservierungs- und Kontaktdaten erfolgen auf Servern innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Im Rahmen einzelner Hilfsdienste – insbesondere des Versands transaktionaler Bestätigungs-E-Mails (Resend, Plus Five Five, Inc., USA) sowie der Bereitstellung der Plattform über das Content-Delivery-Network von Cloudflare, Inc. (USA) – können personenbezogene Daten in die USA übermittelt werden. Diese Übermittlungen erfolgen auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023) sowie ergänzender Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Einzelheiten siehe vollständige Datenschutzerklärung, Abschnitt „Übermittlungen in Drittländer“.

8. Ihre Rechte

Hinweis nach Art. 21 Abs. 4 DSGVO – Recht auf Widerspruch: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht, Widerspruch einzulegen. Dies gilt auch für ein hierauf gestütztes Profiling. Werden Ihre Daten zur Direktwerbung verarbeitet, können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen. Ein formloser Widerspruch an [email protected] genügt. Darüber hinaus haben Sie das Recht auf: Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO). Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Zur Ausübung dieser Rechte wenden Sie sich an das Restaurant (für Bestell-/Reservierungsdaten) oder an den Betreiber unter [email protected] (für Plattformdaten).

9. Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

10. Änderungen

Wir können diese Hinweise anpassen, um geänderte Rechtslagen oder Änderungen unserer Dienste abzubilden. Die jeweils aktuelle Fassung ist stets unter dieser URL abrufbar.

Stand: Mai 2026

1. Who is responsible

Personal data is processed in clearly separated roles. Based on our assessment, the restaurant and the Operator are in principle independent (separate) controllers within the meaning of the GDPR. Should joint controllership within the meaning of Art. 26 GDPR exceptionally be established for individual processing steps, the Operator and the restaurant will enter into a separate arrangement pursuant to Art. 26(1) GDPR for the processing step concerned. You may exercise your rights pursuant to Art. 26(3) GDPR vis-à-vis any of the parties involved. Controller for order and reservation data is the respective restaurant at which you place an order or make a reservation. The restaurant determines the purposes and means of that processing in connection with its contract with you. Controller for the technical operation of the platform, platform-level security and abuse prevention (based on technical metadata such as IP address and device/session signals; not on the personal order content of individual end customers), exclusively aggregated and anonymised platform statistics is the Operator: Mambil UG (haftungsbeschränkt) Zwinglistr. 6 30171 Hannover Germany Email: [email protected] Where the Operator processes order and reservation data solely on the restaurant's instructions — including the dispatch of order- and reservation-related confirmation, status, and reminder messages to you — it acts in that respect as a processor pursuant to Art. 28 GDPR; the controller for these data and messages is the respective restaurant. The detailed allocation of responsibilities is set out in the full privacy policy (the “Responsibilities” section).

2. Order data

When you place an order, we process: items selected, quantities, prices, order time, table number, optional notes, and – where required by the restaurant – your name and a contact detail (e.g., email for an order confirmation). No payment is processed via the platform. Purpose: forwarding your order to the restaurant. Legal basis: Art. 6 (1) (b) GDPR (performance of the contract you conclude with the restaurant). Storage: order data is stored for the duration of the business relationship between the restaurant and the Operator and deleted within a reasonable period after its termination, unless statutory retention obligations apply. The restaurant, as the seller, is itself responsible for its own tax recording obligations in respect of its revenue.

3. Reservation data

When you make a reservation, we process: date, time, party size, your name and contact details, and any special requests. The data is forwarded to the restaurant for the purpose of managing the reservation. Legal basis: Art. 6 (1) (b) GDPR. Storage: reservations are deleted promptly after the reservation date, unless statutory retention periods apply.

4. Payment

Payments for orders are not processed via the platform. You pay for your order directly at the restaurant on site (e.g., in cash, by card, or via the restaurant's point-of-sale system). The Operator and Mambil do not collect, process, or store any payment data of yours in this context (in particular no card or bank-account data). No automated fraud or risk check of your payment takes place via the platform.

5. Cookies and similar technologies

For the order and reservation flow we use strictly necessary cookies and local storage (cart, session, language preference, CSRF protection, security tokens of our CDN/WAF provider). No consent is required under Section 25(2) No. 2 TDDDG; the legal basis for the related processing is Art. 6(1)(b) and (f) GDPR. As payments are not processed via the platform, no storage or read operations of a payment service provider are triggered on your device during the order and reservation flow. As a guest, you receive order and reservation confirmations by email or in the browser; no push-notification tokens are stored on guests' devices. We do not use analytics, tracking, or marketing cookies for our own purposes; a cookie consent banner is therefore not required.

6. Recipients

Your data is shared with: the respective restaurant (controller for the order/reservation); our hosting and infrastructure providers acting as processors under Art. 28 GDPR (current list: see the full privacy policy, “Data Processors and Other Recipients” section); public authorities where we are legally required to disclose.

7. Storage Location and Third-Country Transfers

Hosting and processing of your order, reservation, and contact data take place on servers within the European Union or the European Economic Area. In the context of certain ancillary services — in particular delivery of transactional confirmation emails (Resend, Plus Five Five, Inc., USA) and provision of the platform via the Cloudflare, Inc. (USA) content delivery network — personal data may be transferred to the USA. These transfers are based on the EU-US Data Privacy Framework (adequacy decision of 10 July 2023) and supplementary Standard Contractual Clauses pursuant to Art. 46(2)(c) GDPR. For details see the full privacy policy, “Transfers to Third Countries” section.

8. Your rights

Notice pursuant to Art. 21(4) GDPR – right to object: You have the right, on grounds relating to your particular situation, to object at any time to processing of personal data concerning you which is based on Art. 6(1)(e) or (f) GDPR. This also applies to profiling based on those provisions. Where your data is processed for direct marketing purposes, you can object at any time without giving any reason. An informal notice to [email protected] is sufficient. In addition, you have the right to: access (Art. 15 GDPR), rectification (Art. 16 GDPR), erasure (Art. 17 GDPR), restriction of processing (Art. 18 GDPR) and data portability (Art. 20 GDPR). Where processing is based on consent, you may withdraw your consent at any time with effect for the future (Art. 7(3) GDPR). To exercise these rights, contact the restaurant (for order/reservation data) or the Operator at [email protected] (for platform data).

9. Right to lodge a complaint

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority, in particular in the Member State of your habitual residence, place of work, or place of the alleged infringement, if you consider that the processing of your personal data infringes the GDPR (Art. 77 GDPR).

10. Changes

We may update this notice to reflect changes in law or our services. The current version is always available at this URL.

Last updated: May 2026