Hilfe - Alle Produkte & Anleitungen
Hilfe - Alle Produkte & Anleitungen
Breadcrumbs

Datenschutzerklärung für Betreiber

Hinweis: Dieses Dokumente richtet sich an alle Nutzer/Betreiber eines bessa-Softwaresystems: Dienstleister, Handelsbetriebe, Gastronomiebetriebe, Beherberbungs- und Hotelleriebetriebe.

Datenschutzerklärung für bessa-Betreiber

Stand: 01.11.2025

1. Verantwortlicher für die Datenverarbeitung

Als Betreiber des bessa-Softwaresystems sind Sie der datenschutzrechtlich Verantwortliche für die Verarbeitung der personenbezogenen Daten Ihrer Kunden gemäß Art. 4 Nr. 7 DSGVO.

Ihr Auftragsverarbeiter:
meisterwork GmbH
Rosentaler Straße 1
9020 Klagenfurt am Wörthersee, Österreich
E-Mail: support@bessa.app
Tel: +43 720 317 836

Branchen: Gastronomie, Handel, Dienstleistung, Beherbergung und Hotellerie

2. Ihre Rolle und Verantwortung als Betreiber

Als Nutzer der bessa-Software sind Sie der Verantwortliche für die Datenverarbeitung Ihrer Kunden. Das bedeutet:

  • Sie entscheiden über Zweck und Mittel der Datenverarbeitung

  • Sie bestimmen, welche Module Sie nutzen (Kasse, Kundenbindung, Online-Bestellungen, etc.)

  • Sie sind verantwortlich für die Einhaltung der DSGVO gegenüber Ihren Kunden

  • Sie müssen Ihre Kunden über die Datenverarbeitung informieren

  • Sie sind Ansprechpartner für Betroffenenrechte Ihrer Kunden

Die meisterwork GmbH fungiert als Auftragsverarbeiter und verarbeitet die Daten ausschließlich nach Ihren Weisungen im Rahmen der Softwarenutzung.

3. Datenverarbeitung durch bessa

Das modulare bessa-Softwaresystem kann je nach genutzten Funktionen unterschiedliche Daten verarbeiten. Nicht alle Datenkategorien sind bei jedem Betreiber relevant - es kommt darauf an, welche Module Sie nutzen (Kasse, Kundenbindung, Online-Bestellungen, etc.).

3.1 Verarbeitete Datenkategorien

Im bessa-System können folgende Datenkategorien verarbeitet werden:

Kundenstammdaten:

  • Name, Vorname, Titel

  • Kontaktdaten (E-Mail, Telefon, Adresse)

  • Kundennummer

  • Geburtsdatum (optional)

Transaktionsdaten:

  • Bestellungen und Kaufhistorie

  • Rechnungsdaten

  • Händler- und Kundenbelege

  • Lieferadressen

Zahlungsdaten:

  • Zahlungsstatus (bezahlt/offen)

  • Zahlungsart (Bar, Karte, etc.)

  • WICHTIG: Sensible Zahlungsdaten (Kreditkartennummern, Bankdaten) werden NICHT im bessa-System gespeichert, sondern ausschließlich über den PCI-DSS-zertifizierten Partner Stripe verarbeitet

Kundenbindungsdaten:

  • Punktestände

  • Digitale Stempelpässe

  • Gutscheine und Rabatte

  • Präferenzen und Favoriten

Hotellerie/Beherbergung-spezifische Daten:

  • Zimmernummer für interne Verrechnung

  • Konsumationen in Restaurant, Bar, Spa, Wellness

  • Zusatzleistungen (Minibar, Parkplatz, etc.)

  • Firmendaten bei Geschäftsreisenden für Rechnungsstellung

WICHTIGER HINWEIS für Hotellerie: bessa verarbeitet KEINE Ausweis-, Reisepass- oder Meldedaten. Diese sensiblen Daten müssen über Ihr separates Property Management System (PMS) verwaltet werden, das die gesetzlichen Meldepflichten erfüllt. bessa dient in der Hotellerie primär der Abrechnung von Zusatzleistungen und kann modular eingesetzt werden.

Kommunikationsdaten:

  • Newsletter-Anmeldungen

  • Push-Notification-Einstellungen

  • Feedback und Bewertungen

  • Support-Anfragen

3.2 Zwecke der Verarbeitung

Die konkreten Zwecke hängen von den genutzten Modulen ab:

  • Kassenmodul: Abwicklung von Bestellungen und Zahlungen

  • Kundenbindungsmodul: Verwaltung von Treueprogrammen und Punktesystemen

  • Online-Bestellmodul: Abwicklung digitaler Bestellungen

  • Alle Module: Rechnungsstellung und Buchhaltung

  • Marketing-Funktionen: Kommunikation mit Kunden (mit Einwilligung)

  • Erfüllung gesetzlicher Aufbewahrungspflichten

  • Systemoptimierung und Fehleranalyse

  • Hotellerie/Beherbergung:

    • Abrechnung von Hotelzusatzleistungen

    • Interne Verrechnung über Zimmernummern

    • Verwaltung von Restaurant-, Bar- und Spa-Umsätzen

    • Kurtaxen-/Ortstaxenabrechnung (ohne Gästedaten)

3.3 Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, z.B. Steuerrecht)

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für Marketing)

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)

4. Technische und organisatorische Maßnahmen

4.1 Unsere Sicherheitsmaßnahmen als Auftragsverarbeiter

  • Hosting: AWS Frankfurt (Deutschland) - DSGVO-konform

  • Verschlüsselung: SSL/TLS für alle Datenübertragungen

  • Zugriffskontrolle: Rollenbasierte Berechtigungen

  • Datentrennung: Mandantenfähige Architektur (Tenant-Isolation)

  • Backup: Tägliche automatische Datensicherungen

  • Verfügbarkeit: 99,5% garantierte Systemverfügbarkeit

  • Zahlungssicherheit: Keine Speicherung sensibler Zahlungsdaten, Verarbeitung über PCI-DSS-zertifizierten Partner Stripe

4.2 Ihre Sicherheitsmaßnahmen als Betreiber

Als Verantwortlicher sollten Sie folgende Maßnahmen implementieren:

  • Sichere Passwörter und regelmäßige Änderung

  • Aktivierung der Zwei-Faktor-Authentifizierung

  • Schulung Ihrer Mitarbeiter im Datenschutz

  • Zugriffsberechtigungen nach Minimalprinzip

  • Regelmäßige Überprüfung der Datenaktualität

  • Sichere Aufbewahrung von Ausdrucken

5. Speicherdauer und Löschung

5.1 Gesetzliche Aufbewahrungsfristen

  • Rechnungsdaten: 7 Jahre (Österreich) / 10 Jahre (Deutschland)

  • Buchungsbelege: 7 Jahre

  • Geschäftskorrespondenz: 6-7 Jahre

  • Registrierkassendaten: Gemäß RKSV/KassenSichV

5.2 Löschkonzept

  • Daten werden nach Ablauf der gesetzlichen Fristen automatisch zur Löschung markiert

  • Kundenstammdaten ohne Geschäftsbeziehung: Löschung nach 3 Jahren Inaktivität

  • Marketing-Einwilligungen: Überprüfung alle 2 Jahre

  • Sofortige Löschung auf Kundenwunsch (soweit gesetzlich zulässig)

Hinweis für Hotellerie: Meldescheine und Gästedaten gemäß Meldegesetz werden NICHT in bessa verarbeitet und müssen in Ihrem separaten PMS-System gemäß gesetzlichen Fristen aufbewahrt werden.

6. Datenübertragungen und Subunternehmer

6.1 Eingesetzte Dienstleister (Subauftragsverarbeiter)

  • Amazon Web Services (AWS): Cloud-Infrastruktur (Frankfurt, EU)

  • Google Ireland Ltd.: Analytics, Cloud Messaging, Crashlytics (EU)

  • Atlassian: Support-Ticketsystem Jira (EU)

  • Stripe Payments Europe Ltd.: Sichere Zahlungsabwicklung, PCI-DSS-zertifiziert (EU)

  • Vertriebshändler: First-Level-Support (siehe separater AVV)

  • Steuerberater/Buchhalter: Lesender Zugriff für steuerliche Zwecke (siehe separater AVV)

Hinweis zu Steuerberatern/Buchhaltern: Wenn Sie Ihrem Steuerberater oder Buchhalter Zugriff auf bessa gewähren, agiert dieser als Ihr Auftragsverarbeiter. Der Zugriff ist ausschließlich lesend und dient nur steuerlichen/buchhalterischen Zwecken. Eine separate Vereinbarung regelt die Details.

6.2 Drittlandübertragungen

Grundsätzlich werden alle Daten innerhalb der EU verarbeitet. Sollten Drittlandübertragungen notwendig werden, erfolgen diese nur auf Basis von:

  • EU-Standardvertragsklauseln

  • Angemessenheitsbeschlüssen der EU-Kommission

  • Ihrer ausdrücklichen Einwilligung

7. Ihre Pflichten als Betreiber

7.1 Informationspflichten (Art. 13/14 DSGVO)

Sie müssen Ihre Kunden informieren über:

  • Ihre Identität als Verantwortlicher

  • Zwecke und Rechtsgrundlagen der Verarbeitung

  • Speicherdauer der Daten

  • Betroffenenrechte

  • Einsatz von bessa als Auftragsverarbeiter

Hinweis: Nutzen Sie unsere Muster-Datenschutzerklärung für Endkunden (siehe Anhang).

7.2 Einwilligungen einholen

Für folgende Verarbeitungen benötigen Sie eine Einwilligung:

  • Newsletter-Versand

  • Push-Notifications

  • Marketingaktionen

  • Profilbildung über das erforderliche Maß hinaus

7.3 Betroffenenrechte gewährleisten

Sie müssen Anfragen Ihrer Kunden beantworten zu:

  • Auskunft (Art. 15 DSGVO)

  • Berichtigung (Art. 16 DSGVO)

  • Löschung (Art. 17 DSGVO)

  • Einschränkung (Art. 18 DSGVO)

  • Datenübertragbarkeit (Art. 20 DSGVO)

  • Widerspruch (Art. 21 DSGVO)

Unterstützung: bessa bietet Funktionen zum Export und zur Verwaltung von Kundendaten. Bei Bedarf unterstützen wir Sie technisch bei der Erfüllung dieser Pflichten.

7.4 Datenschutzverletzungen melden

Bei Datenschutzverletzungen müssen Sie:

  1. Innerhalb von 72 Stunden die Aufsichtsbehörde informieren

  2. Bei hohem Risiko auch die betroffenen Personen informieren

  3. Die Verletzung dokumentieren

7.5 Spezielle Hinweise für Hotellerie/Beherbergung

Integration mit PMS-System:

  • bessa verarbeitet nur Abrechnungsdaten für Zusatzleistungen

  • Die Gästeverwaltung und Meldepflicht erfolgt über Ihr PMS-System

  • Stellen Sie sicher, dass beide Systeme datenschutzkonform konfiguriert sind

  • Achten Sie auf klare Trennung der Verantwortlichkeiten

Bei der Rechnungsstellung:

  • Verwenden Sie nur notwendige Gastdaten für die Rechnung

  • Trennen Sie Abrechnungsdaten von Meldedaten

  • Informieren Sie Gäste über die Datenverarbeitung für Zusatzleistungen

8. Funktionen für Datenschutz-Compliance in bessa

8.1 Verfügbare Tools (je nach genutzten Modulen)

  • Datenexport: Vollständiger Export von Kundendaten

  • Löschfunktionen: Einzelne Datensätze oder Massenlöschung

  • Einwilligungsverwaltung: Dokumentation von Einwilligungen

  • Zugriffsprotokoll: Nachvollziehbarkeit von Änderungen

  • Rechteverwaltung: Granulare Berechtigungssteuerung

  • Modulverwaltung: Aktivierung nur benötigter Funktionen

8.2 Compliance-Features

  • RKSV-Konformität (Österreich)

  • KassenSichV-Konformität (Deutschland)

  • Manipulationssichere Speicherung

  • Signierte Belege

  • Exportschnittstellen für Finanzbehörden

  • Hotellerie-spezifisch:

    • Zimmernummern-basierte Abrechnung

    • Schnittstellen zu PMS-Systemen für Rechnungsexport

    • Getrennte Verwaltung von Kassen- und Gästedaten

9. Incident Response Plan

Im Falle einer Datenschutzverletzung:

9.1 Sofortmaßnahmen (0-24 Stunden)

  1. Eindämmung: Sicherheitslücke schließen

  2. Dokumentation: Art, Umfang und Zeitpunkt erfassen

  3. Bewertung: Risikoanalyse durchführen

  4. Information: support@bessa.app kontaktieren

9.2 Meldepflichten (24-72 Stunden)

  1. Behördenmeldung: An zuständige Datenschutzbehörde

  2. Betroffeneninformation: Bei hohem Risiko

  3. Dokumentation: Vollständige Aufzeichnung

9.3 Nachbereitung

  1. Ursachenanalyse: Root-Cause-Analysis

  2. Maßnahmen: Verbesserung der Sicherheit

  3. Schulung: Sensibilisierung der Mitarbeiter

10. Unterstützung und Kontakt

10.1 Support

Technischer Support und Datenschutz-Anfragen:

  • E-Mail: support@bessa.app

  • Tel: +43 720 317 836

10.2 Ressourcen

  • Muster-Datenschutzerklärung für Ihre Kunden

  • Einwilligungsvorlagen

  • Schulungsmaterialien

  • FAQ Datenschutz

10.3 Aufsichtsbehörden

Österreich:
Österreichische Datenschutzbehörde
https://www.dsb.gv.at

Deutschland:
Der Bundesbeauftragte für den Datenschutz
https://www.bfdi.bund.de

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version finden Sie immer unter:

12. Glossar

Verantwortlicher: Bestimmt Zwecke und Mittel der Datenverarbeitung (Sie als Betreiber)
Auftragsverarbeiter: Verarbeitet Daten im Auftrag des Verantwortlichen (meisterwork GmbH)
Betroffene Person: Person, deren Daten verarbeitet werden (Ihre Kunden/Gäste)
AVV: Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
bessa: Modulares Softwaresystem mit Funktionen für Kasse, Kundenbindung, Online-Bestellungen, etc.
PMS: Property Management System (für Gästeverwaltung/Meldepflicht in Hotels)
PCI-DSS: Payment Card Industry Data Security Standard (Sicherheitsstandard für Zahlungsdaten)

Wichtiger Hinweis: Diese Datenschutzerklärung dient der Information über die Datenverarbeitung im Rahmen der bessa-Nutzung. Als Betreiber sind Sie verpflichtet, eine eigene Datenschutzerklärung für Ihre Kunden zu erstellen. Nutzen Sie hierfür gerne unsere Mustervorlage.

Diese Datenschutzerklärung ersetzt keine Rechtsberatung. Bei spezifischen Fragen empfehlen wir die Konsultation eines Datenschutzexperten.