Privacy Policy

DATENSCHUTZRICHTLINIE

Website wedely.com und mobile Anwendung Wedely
Zuletzt aktualisiert: 29. April 2026

1. Identität des Verantwortlichen

Diese Datenschutzrichtlinie gilt für die Verarbeitung personenbezogener Daten durch:

Wedely S.à r.l.
Gesellschaft mit beschränkter Haftung nach luxemburgischem Recht
Firmensitz: 5, rue Aldringen, L-1118 Luxemburg
RCS Luxemburg: B233559
Innergemeinschaftliche USt-ID: LU31754380

Datenschutzbeauftragter (DSB): privacy@wedely.com

2. Rechtsrahmen

Die Verarbeitung personenbezogener Daten durch Wedely unterliegt:

• der Verordnung (EU) 2016/679 vom 27. April 2016 (« DSGVO »);
• dem luxemburgischen Gesetz vom 1. August 2018 über die Organisation der Nationalen Datenschutzkommission und die allgemeine Datenschutzregelung;
• dem geänderten Gesetz vom 30. Mai 2005 über die elektronische Kommunikation (in Bezug auf Cookies und andere Kennungen);
• den Leitlinien und Empfehlungen der luxemburgischen Aufsichtsbehörde und des Europäischen Datenschutzausschusses (EDSA).

3. Verarbeitete Daten und Zwecke

Wedely verarbeitet Ihre personenbezogenen Daten ausschließlich im erforderlichen Umfang für die angegebenen Zwecke. Die von uns verarbeiteten Daten stammen aus folgenden Quellen:

• Von Ihnen selbst: wenn Sie ein Konto erstellen, eine Bestellung aufgeben, eine Bewertung abgeben, den Support kontaktieren oder sich über einen externen Anmeldedienst (Google, Apple) anmelden;
• Von Ihrem Gerät: wenn Sie die Website oder die App nutzen, erheben wir automatisch bestimmte technische Informationen (IP-Adresse, Gerätetyp, Browser, Betriebssystem, Verbindungsparameter, anonyme Kennungen);
• Von Drittanbieterdiensten, die Sie ausdrücklich mit Ihrem Konto verknüpft haben: wenn Sie sich über ein soziales Konto registrieren oder anmelden, erhalten wir vom externen Anbieter nur die für die Authentifizierung minimal erforderlichen Informationen (Name und E-Mail). Wir rufen keine weiteren Informationen ab, die der Anbieter möglicherweise bereitstellt (z. B. Profilbild, Kontakte, geteilte Inhalte).

Nachfolgend die Kategorien der verarbeiteten Daten mit den jeweiligen Zwecken, Rechtsgrundlagen und Speicherfristen:

Unsere Website kann Links zu Websites Dritter enthalten. Diese Datenschutzrichtlinie gilt ausschließlich für die von Wedely verarbeiteten Daten; wir empfehlen Ihnen, die Datenschutzerklärungen dieser Drittseiten zu konsultieren.

4. Empfänger und Auftragsverarbeiter

Für die oben genannten Zwecke können Ihre Daten weitergegeben werden:

Zur Vertragserfüllung und Lieferung Ihrer Bestellung:

• Partnerrestaurant, das mit der Zubereitung beauftragt ist: es erhält über sein Drucksystem den Bestellinhalt, Ihren Namen, die Lieferadresse, die Telefonnummer, etwaige Zugangsinformationen (Klingelschild) und Ihre Anmerkungen — Angaben, die zur korrekten Zubereitung der Bestellung und zur Kontaktaufnahme im Bedarfsfall erforderlich sind.
• Selbständiger Kurier, der mit der Lieferung beauftragt ist: er erhält Ihren Namen, die Lieferadresse (als Text), die Telefonnummer, etwaige Zugangsinformationen und den Bestellinhalt, soweit dies für die korrekte Zustellung der Sendung unbedingt erforderlich ist.

An technische Dienstleister, die als Auftragsverarbeiter handeln:

• LeaseWeb Deutschland GmbH (Frankfurt, Deutschland — EU) — Haupt-Hosting und technische Infrastruktur der Website wedely.com;
• Amazon Web Services (AWS, EU) — ergänzende Cloud-Storage-Dienste (z. B. für Bilder und Dateien);
• Google LLC und Google Ireland Ltd. — Bürodienste (Google Workspace), Kartierung (Google Maps Platform), Reichweitenmessung (Google Analytics 4) und Authentifizierung (Google Sign-In);
• Apple Inc. (USA) — Authentifizierung über die Funktion Sign in with Apple (Website und mobile App) und, beschränkt auf die mobile App, Installationsattribution aus dem App Store;
• Stripe Payments Europe Ltd. (Irland / USA) — PCI-DSS-zertifizierter Zahlungsdienstleister, der für die Betrugspänventionsfunktionen als eigenständig Verantwortlicher handelt;
• Brevo (ehem. Sendinblue, Frankreich) — Versand transaktionaler E-Mails und Newsletter;
• Twilio Inc. (USA) — Versand von Benachrichtigungs-SMS;
• Meta Platforms Ireland Ltd. (Facebook, USA) und Microsoft Ireland Operations Ltd. (Bing Ads, USA) — Online-Werbedienste, ausschließlich mit Ihrer vorherigen Einwilligung in Marketing-Cookies aktiviert;
• Hotjar Ltd. / Contentsquare (USA / EU) — Tools zur Analyse der Nutzererfahrung, ausschließlich mit Ihrer vorherigen Einwilligung in funktionale Cookies aktiviert.
• OpenAI Ireland Ltd. (Irland / USA) — stellt das Sprachmodell bereit, das den KI-gestützten Kundensupport-Assistenten antreibt (siehe Abschnitt 9). Die an OpenAI übermittelten Daten werden vorab pseudonymisiert, indem Name, Nachname, Telefonnummer, Lieferadresse, Klingelschild und Lieferhinweise durch undurchsichtige Platzhalter ersetzt werden: Der Assistent arbeitet somit in einem Kontext ohne direkte Identifikatoren. OpenAI handelt als Auftragsverarbeiter gemäß Art. 28 DSGVO auf Grundlage des mit Wedely abgeschlossenen Auftragsverarbeitungsvertrags (AVV), verwendet die API-Daten nicht zum Training eigener Modelle und wendet eine maximale technische Aufbewahrungsfrist von 30 Tagen zu Zwecken der Missbrauchspänvention an.

Die aktualisierte Liste der Auftragsverarbeiter und der jeweiligen AVV-Vereinbarungen ist auf Anfrage unter privacy@wedely.com erhältlich. An Empfänger zu rechtlichen Zwecken:

• Luxemburgische Steuerverwaltung (DAC7 — Richtlinie (EU) 2021/514);
• Justiz- oder Verwaltungsbehörden auf rechtlich begründete Anfrage.

5. Übermittlungen außerhalb der Europäischen Union

Einige unserer technischen Dienstleister sind in Drittländern außerhalb der Europäischen Union niedergelassen oder können Ihre Daten dort verarbeiten, insbesondere in den USA (Google, Apple, Stripe, Twilio, Meta, Microsoft, Hotjar/Contentsquare). In diesem Fall erfolgt die Übermittlung:

• auf Grundlage des Angemessenheitsbeschlusses EU-US Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023), wenn der Empfänger gültig zertifiziert ist;
• oder auf Grundlage der durch den Durchführungsbeschluss (EU) 2021/914 angenommenen Standardvertragsklauseln, gegebenenfalls ergänzt durch zusätzliche Maßnahmen gemäß der Schrems-II-Rechtsprechung und den Empfehlungen 01/2020 des EDSA.

6. Cookies und Tracking-Technologien

Bei Ihrem ersten Besuch informiert Sie ein Banner über das Vorhandensein von Cookies und ermöglicht Ihnen, diese abzulehnen, zu akzeptieren oder Ihre Auswahl anzupassen. Unbedingt erforderliche Cookies werden ohne Einwilligung gesetzt; funktionale Cookies, nicht ausgenommene Reichweitenmessungs-Cookies und Marketing-Cookies werden ausschließlich mit Ihrer vorherigen Einwilligung gesetzt.

Sie können Ihre Präferenzen jederzeit auf der Seite wedely.com/cookies_consent ändern. Die ausführliche Cookie-Liste finden Sie in unserer Cookie-Richtlinie.

7. Ihre Rechte

Gemäß den Artikeln 15 bis 22 DSGVO haben Sie folgende Rechte:

• Recht auf Auskunft über Ihre Daten und auf Erhalt einer Kopie;
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten;
• Recht auf Löschung Ihrer Daten in den in Art. 17 DSGVO vorgesehenen Fällen;
• Recht auf Einschränkung der Verarbeitung;
• Recht auf Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format;
• Widerspruchsrecht gegen die Verarbeitung, insbesondere gegen Direktwerbung;
• Recht, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der zuvor erfolgten Verarbeitung berührt wird;
• Recht, keiner ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder Sie erheblich beeinträchtigt.

Wedely kann automatisierte Tools zur Verbesserung des Dienstes einsetzen (z. B. um Ihnen relevante Restaurants vorzuschlagen, Ihre Bestellung an den nächstgelegenen Kurier weiterzuleiten oder Betrug und Missbrauch zu verhindern). Wir treffen keine ausschließlich automatisierten Entscheidungen, die wesentliche rechtliche Wirkungen für Sie entfalten: Jede Entscheidung, die Ihre Vertragsrechte berührt (z. B. Kontosperrung oder Ablehnung einer Bestellung), wird menschlich überprüft.

Zur Ausübung Ihrer Rechte wenden Sie sich an unseren DSB unter privacy@wedely.com und geben Sie Ihren Namen, die mit Ihrem Wedely-Konto verknüpfte E-Mail-Adresse sowie das Recht an, das Sie geltend machen möchten. Ihre Anfrage wird innerhalb eines Monats nach Überprüfung Ihrer Identität bearbeitet, bei komplexen Anfragen verlängerbar um zwei weitere Monate (Art. 12 Abs. 3 DSGVO). Wir können zusätzliche Informationen zur Bestätigung Ihrer Identität anfordern.

Wenn Sie der Ansicht sind, dass Ihre Rechte nicht respektiert werden, können Sie eine Beschwerde bei der Commission nationale pour la protection des données (CNPD) einreichen: https://cnpd.public.lu, 15 boulevard du Jazz, L-4370 Belvaux.

8. Direktwerbung

Sie haben das Recht, der Verarbeitung Ihrer Daten zu Direktwerbezwecken — einschließlich einer etwaigen darauf ausgerichteten Profilbildung — jederzeit zu widersprechen. Dies können Sie tun:

• durch Klicken auf den Link »Abmelden« am Ende jeder kommerziellen E-Mail, die Sie erhalten;
• durch Aktualisierung Ihrer Präferenzen in den Einstellungen Ihres Wedely-Kontos;
• durch Schreiben an privacy@wedely.com.

Der Widerspruch gegen Direktwerbung ist kostenlos und wird sofort wirksam. Sie erhalten weiterhin ausschließlich die für die Auftragsabwicklung unbedingt erforderlichen Dienst-Mitteilungen (Bestätigungen, Lieferbenachrichtigungen, Rechnungen).

8.1. Profilbildung und Personalisierung

Um Ihnen ein nützliches und relevantes Erlebnis zu bieten, führt Wedely folgende Verarbeitungsebenen durch:

• Personalisierung der Website und der App: Wir nutzen Ihre Bestellhistorie und Ihre Interaktionen, um Ihnen relevante Restaurants vorzuschlagen und das Browsing-Erlebnis zu verbessern (Rechtsgrundlage: berechtigtes Interesse);
• Segmentierung der Kommunikation: Wenn Sie dem Newsletter zugestimmt haben, können wir Ihnen auf Grundlage Ihrer Interessen und Bestellgewohnheiten ausgewählte Angebote zusenden (Rechtsgrundlage: Einwilligung);
• Seitenübergreifendes Werbe-Tracking: Wenn Sie Marketing-Cookies akzeptiert haben, ermöglichen uns unsere Werbepartner (Meta, Google Ads, Microsoft Bing Ads) und mobile Werbekennungen (IDFA/AAID), die Wirksamkeit unserer Kampagnen zu messen und Ihnen auf anderen von Ihnen besuchten Websites und Apps relevante Anzeigen zu zeigen (Rechtsgrundlage: Einwilligung in Marketing-Cookies).

Was wir NICHT tun: Wir nehmen keine automatisierten Hochrisikoentscheidungen vor (z. B. Social Scoring, Bonitätsbewertung, automatische Kontosperrung, diskriminierende Bewertungen). Jede Entscheidung, die Ihre Vertragsrechte berührt, wird stets menschlich überprüft.

Sie haben das Recht, der auf Direktwerbung ausgerichteten Profilbildung jederzeit mit denselben oben beschriebenen Mitteln zu widersprechen (Abmelde-Link in E-Mails, Kontoeinstellungen, E-Mail an den DSB).

9. Support-Kommunikation (KI-Chatbot und Chat)

Wedely stellt Ihnen einige Support-Tools zur Verfügung, die über die Website und die App zugänglich sind:

• KI-gestützter Konversationsassistent (Chatbot). Wenn Sie den Support über die Website oder die App kontaktieren, werden Ihre Fragen von einem Sprachmodell verarbeitet, das von OpenAI Ireland Ltd. bereitgestellt wird (derzeit verwendetes Modell: GPT der Familie o-mini, vorbehaltlich Aktualisierungen). Um die Exposition Ihrer personenbezogenen Daten zu reduzieren, wenden wir vor der Übermittlung an das Modell eine automatische Pseudonymisierung an: Name, Nachname, Telefonnummer, Lieferadresse, Klingelschild und Lieferhinweise werden durch undurchsichtige Platzhalter ersetzt (z. B. <<NAME>>, <<TELEFON>>); der tatsächliche Wert wird nur in der Antwort, die Sie lesen, auf Wedely-Seite wieder eingesetzt. Der Assistent erhält daher ausschließlich die operativen Informationen, die zur Beantwortung Ihrer Anfrage erforderlich sind (Bestellcode, Restaurant, Lieferstatus, Kurierentfernung, Beträge usw.), jedoch keine direkten Identifikatoren Ihrer Person. Der Chatbot stellt Informationen bereit und trifft keine Entscheidungen mit rechtlichen Wirkungen Ihnen gegenüber im Sinne von Art. 22 DSGVO: Erstattungen, Stornierungen und Bestelländerungen werden stets von menschlichem Personal bearbeitet. Sie können jederzeit mit einem menschlichen Mitarbeiter sprechen, indem Sie »Mensch« eingeben oder das Formular auf der Seite Kontakt verwenden.
• Freie Nachrichten zu einer Bestellung. Um ein Problem zu melden oder Support anzufordern, können Sie eine kurze freie Nachricht (maximal 256 Zeichen) senden, die einer bestimmten Bestellung zugeordnet ist. Die Nachricht wird zusammen mit der Bestellung für Zwecke der Nachverfolgbarkeit und der Bearbeitung etwaiger Streitigkeiten gespeichert und kann von unserem Supportpersonal gelesen werden.
• Chat mit dem Kurier während der Lieferung. Ab dem Zeitpunkt, an dem ein Kurier Ihre Bestellung übernimmt, bis zur Lieferung kann er über einen auf die Lieferung beschränkten In-App-Chat mit Ihnen kommunizieren. Der Chat ist für kurze Zeit nach der Bestellung zum Zwecke der Streitbeilegung einsehbar und wird nicht von KI-Systemen verarbeitet.

Rechtsgrundlage des KI-Chatbots. Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) für Anfragen im Zusammenhang mit einer laufenden Bestellung sowie unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Bereitstellung skalierbarer Unterstützung und der Verkürzung der Antwortzeiten, abgewogen gegen die automatische Pseudonymisierung und die jederzeitige Möglichkeit, zu einem menschlichen Mitarbeiter zu wechseln. Übermittlungen. Wenn OpenAI Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet, ist die Übermittlung durch das Data Privacy Framework und/oder die Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO abgedeckt. Speicherung. Die Chatbot-Konversationen werden in unseren Systemen zusammen mit der zugehörigen Bestellung für die Dauer der entsprechenden Aufbewahrungsfrist gespeichert; OpenAI bewahrt die API-Daten für maximal 30 Tage ausschließlich zu Zwecken der Missbrauchspänvention auf und verwendet sie nicht zum Training eigener Modelle. Abgrenzung zu Abschnitt 11. Die in Abschnitt 11 beschriebene optionale Integration mit externen KI-Assistenten (Model Context Protocol) ist ein separater Kanal, den Sie durch Verknüpfung eines Connectors mit Ihrem persönlichen KI-Assistenten aktivieren: Sie empfängt und liest weder den Inhalt der hier beschriebenen Support-Konversationen.

10. Sicherheit

Wedely setzt geeignete technische und organisatorische Maßnahmen um, um die Sicherheit Ihrer Daten zu gewährleisten: Verschlüsselung der Kommunikation bei der Übertragung, strenges Zugriffsmanagement, regelmäßige Backups, Aktivitätsprotokollierung, Sensibilisierung der Mitarbeiter und regelmäßige Sicherheitstests.

Sicherheitsmaßnahmen und Betrugsprävention. Zum Schutz des Dienstes vor Missbrauch und automatisiertem Zugriff wendet Wedely technische Kontrollen an (strengeres CAPTCHA, Begrenzung der Verifizierungs-SMS, zusätzliche Verifizierung), deren Intensität je nach statistischen Risikoindikatoren variiert — unter anderem die ungefähre Geolokalisierung der IP-Adresse, die als Risikosignal und nicht als personenbezogene Angabe zur Staatsangehörigkeit verwendet wird. Rechtsgrundlage: Art. 6.1.f DSGVO (berechtigtes Interesse an der Betrugsprävention). Diese Kontrollen stellen keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO dar; bei einer automatischen Blockierung garantieren wir die Intervention eines menschlichen Mitarbeiters per Nachricht an info@wedely.com. Sie können der Verarbeitung gemäß Art. 21 DSGVO unter privacy@wedely.com widersprechen. Die Risikokriterien basieren auf statistischen Missbrauchsdaten und nicht auf der Staatsangehörigkeit als solcher.

11. Integration mit KI-Assistenten (Model Context Protocol)

Wedely bietet eine optionale Integration mit KI-Assistenten von Drittanbietern über das Model Context Protocol (MCP) an. Die Integration ist ausschließlich opt-in und wird nur aktiviert, wenn Sie Wedely ausdrücklich als benutzerdefiniertes Connector-Werkzeug in Ihrem KI-Assistenten verknüpfen.

Kein Zugriff auf Ihr Wedely-Konto. Die Integration liest weder Name, E-Mail, Telefon, gespeicherte Adressen, Zahlungsmethoden, Bestellhistorie noch andere Daten Ihres Wedely-Profils. Jede KI-Bestellsitzung ist aus unserer Sicht anonym und wird ausschließlich durch ein zufälliges, undurchsichtiges Token identifiziert, das für den einzelnen Bestellversuch generiert wird.

Was wir über MCP empfangen. Der KI-Assistent übermittelt uns ausschließlich die zur Erstellung der Bestellung erforderlichen operativen Daten, d. h. diejenigen, die Sie selbst im Gespräch eingegeben haben: Lieferadresse (und zugehörige geocodierte Koordinaten), Warenkorbinhalt, gewünschter Lieferzeitpunkt, ein zufälliges Sitzungstoken und eine anonyme Kennung der verwendeten KI-Plattform.

Was wir zurückgeben. Als Antwort auf die Anfragen des KI-Assistenten stellt Wedely ausschließlich öffentliche Informationen bereit (Namen und Adressen der Restaurants, Speisekarten, Preise, Öffnungszeiten, Lieferoptionen). Keine personenbezogenen Daten eines Nutzers sind jemals in den MCP-Antworten enthalten.

Speicherung. Die temporäre KI-Sitzung wird für maximal 2 Stunden Inaktivität gespeichert, nach denen sie automatisch abläuft; abgelaufene Sitzungen werden innerhalb von 24 Stunden gelöscht. Wenn Sie die Bestellung auf wedely.com bestätigen, wird die Bestellung gemäß Abschnitt 3 dieser Datenschutzrichtlinie Ihrem Konto zugeordnet. Wird keine Bestellung bestätigt, werden Sitzung und Inhalt beim Ablauf gelöscht und werden nie Teil eines Benutzerkontos.

Getrennte Verantwortliche und internationale Übermittlungen. Der Anbieter des KI-Assistenten ist ein eigenständig Verantwortlicher für das von Ihnen mit seinem Tool geführte Gespräch. Wedely und der Anbieter des KI-Assistenten sind keine gemeinsam Verantwortlichen und stehen in keinem Verhältnis gemäß Art. 28 DSGVO zueinander. Wenn der Anbieter außerhalb des Europäischen Wirtschaftsraums tätig ist, werden die von Ihnen im KI-Assistenten eingegebenen Daten gemäß seiner Datenschutzrichtlinie und seinen Übermittlungsmechanismen (DPF, Standardvertragsklauseln) verarbeitet. Wedely übermittelt Ihre personenbezogenen Daten nicht an den Anbieter des KI-Assistenten.

Rechtsgrundlage. Vorvertragliche Maßnahmen auf Ihre Anfrage hin (Art. 6 Abs. 1 lit. b DSGVO) in Verbindung mit ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die durch das Verknüpfen des MCP-Connectors erteilt wird. Sie können die Einwilligung jederzeit widerrufen, indem Sie den Connector in den Einstellungen Ihres KI-Assistenten entfernen. Keine automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO: Bestellungen werden stets manuell von Ihnen auf wedely.com bestätigt.

12. Mit künstlicher Intelligenz erstellte oder bearbeitete Inhalte

Einige illustrative Bilder, die auf der Website und der App veröffentlicht werden — insbesondere Fotos von Gerichten und Küchenkategorien — können mit Werkzeugen der künstlichen Intelligenz erstellt oder bearbeitet worden sein. Diese Bilder haben ausschließlich illustrativen Charakter: Sie repräsentieren eine visuelle Idee des Gerichts und stellen keine exakte Fotografie des gelieferten Produkts dar, das sich in Anrichtung, Portionierung, Zutaten oder Präsentation unterscheiden kann.

Menschliche Kontrolle. Alle mit KI erstellten oder bearbeiteten Bilder durchlaufen eine menschliche redaktionelle Prüfung durch das Wedely-Team (oder das Partner-Restaurant bzw. den Partner-Shop), bevor sie veröffentlicht werden.

Keine personenbezogenen Kundendaten. Um diese Bilder zu erstellen, übermittelt Wedely seinen KI-Dienstleistern ausschließlich die Textbeschreibung des Gerichts, Produkts, der Küche oder des Shops sowie der fotografischen Szene. Es werden keine personenbezogenen Kundendaten weitergegeben, und es wird kein echtes Gesicht oder keine reale Person dargestellt.

13. Änderungen dieser Datenschutzrichtlinie

Wedely kann diese Datenschutzrichtlinie ändern, um regulatorische, technische oder organisatorische Entwicklungen widerzuspiegeln. Jede wesentliche Änderung wird Ihnen durch einen Hinweis auf der Website oder per E-Mail mitgeteilt.

14. Kontakt

Für alle Fragen zu dieser Datenschutzrichtlinie:

• E-Mail: privacy@wedely.com
• Postanschrift: Wedely S.à r.l. — DSB, 5, rue Aldringen, L-1118 Luxemburg