Trust & Safety Framework for the “Let’s Dish” platform (german version below)

Status: October 2025

1. Introduction and Principle

Let’s Dish UG (haftungsbeschränkt) operates an intermediary platform for privately and part-time organized food events. Since strangers meet in private settings and payments are processed through the platform, we take our due diligence obligations particularly seriously.

This document describes the organizational, technical and procedural measures by which Let’s Dish ensures that the platform:

• is used exclusively for its intended purpose,
• cannot be misused for abusive or illegal activities,
• complies with legal requirements (including GwG, DAC7, Platform Tax Transparency Act, GDPR, DSA),
• protects users from risks to the best of our ability.

The basis for these measures is the Acceptable Use Policy (AUP), which conclusively defines prohibited uses.

2. Identity Verification and Account Verification

2.1 Host verification

Before a Host can receive payments, they pass through the following checks:

• KYC verification via Stripe Connect in accordance with legal requirements (including § 11 GwG) – including checks against sanctions, PEP and watchlists performed by Stripe
• Email verification before activating the Host account
• Bank account verification via Stripe, so that payouts only go to the verified Host
• Address and master data verification via the information stored with Stripe
• Confirmation of Host obligations on registration (hygiene, tax, food law, AUP)
• One verified account per person – multiple accounts are blocked when detected

2.2 Guest verification

• Email verification mandatory before the first booking
• Name provided by the Guest on registration (used for booking and communication with the Host)
• Payment method verification via Stripe (including 3-D Secure 2.0, risk assessment through Stripe Radar)
• Minimum age 18 – self-declaration at registration, with legal consequences for false information

2.3 Ongoing checks

• Monitoring for suspicious account patterns (e.g., mass creation, disposable email addresses)
• Automated matching against updated sanctions and watchlists via Stripe
• Manual review of flagged accounts by the Trust & Safety team

3. Event Review and Content Moderation

3.1 Pre-publication checks

• Mandatory fields check: Events can only be published once all required information (menu, location, time, price, number of participants, allergens) has been provided in full
• Terms acceptance: At registration, Hosts must confirm the GTC, the AUP and their responsibility for hygiene, tax and food law

3.2 Mandatory event details

An event can only be published if the Host has provided the following information completely:

• Event description
• Number of available seats
• Date and start time
• General location (city/district) is publicly visible; the full address is shown to the Guest only after the Host has accepted the booking request (typically before payment is finalized)
• Reasonable expense allowance within the usual market range

Hosts are encouraged to provide a detailed menu and to label allergens according to LMIV, but these fields are optional. The responsibility for compliance with applicable food and hygiene law remains with the Host.

3.3 Booking control by Hosts

Hosts can reject booking requests if:

• There are doubts about the identity or intentions of the Guest
• The Guest profile shows irregularities (missing reviews, negative history)
• Other legitimate reasons argue against participation

The ability to reject increases safety in private spaces and complements the platform-level controls.

3.4 Reactive moderation

After publication, Let’s Dish follows a report-based moderation model:

• All users can report events, profiles and messages via the in-app report function
• Reports are reviewed manually by the Trust & Safety team within 24 hours (see Section 6.3)
• Content that violates the AUP is removed and the responsible account is sanctioned according to Section 7
• In the case of clear AUP violations (e.g., sexualized content or indications of illegal activities), removal takes place immediately upon detection
• Findings from reports continuously inform the further development of Trust & Safety processes

4. Transaction Monitoring

4.1 Detection of suspicious patterns

Payment-level risk monitoring is provided through Stripe Radar, which automatically analyzes transactions across the following dimensions:

• Velocity anomalies (many transactions in a short time)
• Unusual geographic patterns
• Chargeback patterns and card-testing behavior
• Matching against sanctions and embargo lists
• Device, IP and card-fingerprint risk signals

Flags raised by Stripe Radar are reviewed by our Trust & Safety team and can lead to the measures described in Section 4.2 (freezing, reversal) and Section 7 (account sanctions).

4.2 Payout control

• Trust principle: Funds remain on Stripe sub-accounts until the payout conditions are met
• Payout after event completion in accordance with Stripe Connect guidelines
• Freezing on suspicion: Payouts may be held in the event of justified suspicion (fraud, misuse, chargebacks) until the matter is resolved
• Reversal: In case of proven misuse, payments are refunded to affected Guests

4.3 DAC7 / Platform transparency compliance

• Technical collection of all reportable data (name, address, tax ID, VAT ID, bank details)
• Monitoring of DAC7 thresholds (30 transactions or EUR 2,000 per year per Host)
• Annual reporting to the Federal Central Tax Office (Bundeszentralamt für Steuern)
• Transparent information to Hosts about their reporting obligations

4.4 Anti-money-laundering reports

In case of suspicion of money laundering or terrorism financing, a report is filed with the Financial Intelligence Unit (FIU) pursuant to § 43 GwG.

5. Review System as a Control Mechanism

The review system serves both community quality and integrity:

• Reviews can only be submitted after verified participation in an event – this makes fake events more difficult
• Two-sided reviews (Host ↔ Guest) increase transparency
• Hosts with repeated complaints or systematically poor reviews are reviewed and sanctioned in accordance with Section 7 where appropriate

6. Reporting and Complaints System

6.1 In-app reporting functions

Every event, every profile and every message can be reported by users directly via the app. Available categories:

• Abusive behavior
• Inappropriate content
• Suspected fraud
• Safety risks
• AUP violation
• Other

6.2 Email channels

• trust@letsdish.app – for Trust & Safety topics, AUP violations and security-relevant matters
• support@letsdish.app – for general inquiries and complaints

6.3 Service level

Reports are processed with an initial response within 24 hours. In the case of acute safety risks or suspected criminal offenses, prioritized handling takes place as quickly as possible.

6.4 Documentation and audit trail

All reports and their processing are documented. This serves both internal quality assurance and the fulfillment of proof obligations toward authorities and payment service providers.

7. Sanctions and Escalation

7.1 Tiered model

• Stage 1: Request to the Host or Guest to correct the issue (e.g., adjustment of an event description)
• Stage 2: Removal of individual events/content
• Stage 3: Temporary account suspension (7–30 days)
• Stage 4: Permanent account suspension
• Stage 5: Freezing/reversal of payments
• Stage 6: Reporting to authorities / legal action

7.2 Immediate suspension without warning

For serious violations, immediate suspension takes place without escalation stages:

• Sexualized services or prostitution
• Drug or weapons trade
• Violence or threats of violence
• Acts against minors
• Money laundering, terrorism financing, sanctions violations
• Organized fraud

At the same time:

• Freezing of all funds on the Host’s account
• Refunds to affected Guests (where possible)
• Reporting to law enforcement / FIU
• Addition to internal blocklist

7.3 Blocklist and re-registration

• Suspended identities are recorded in an internal database (hashed email, hashed Stripe account ID)
• Matching on re-registration to prevent account recycling
• Additional matching via Stripe’s internal risk databases

8. Cooperation with Authorities and Payment Service Providers

• Cooperation with law enforcement within the legally prescribed framework
• DAC7 reports to the Federal Central Tax Office
• AML reports to the FIU
• Close coordination with Stripe on risk and compliance topics
• Provision of information to PayPal and other payment service providers within contractual arrangements
• Answering official inquiries within statutory deadlines

9. Data Protection and Security

All Trust & Safety measures are implemented in compliance with GDPR:

• Data minimization: Only necessary data is collected
• Purpose limitation: Use exclusively for platform security and legal compliance
• Transparency: Detailed information in the privacy policy
• Encryption of sensitive data according to the state of the art
• Retention periods in line with statutory obligations

10. User Education

• Hosts receive mandatory information on their obligations upon registration (hygiene, tax, insurance, AUP)
• Regular communication on relevant compliance topics (e.g., DAC7 changes, food law)
• Resources and guides in the help area of the app
• Guests accept the GTC and the AUP during registration, which cover safety expectations and rules of conduct

11. Continuous Improvement

• Regular internal reviews of Trust & Safety metrics
• Adjustment of verification mechanisms for newly identified risk patterns
• Incorporation of feedback from community reports and authority inquiries
• Coordination with legal advisors on new regulatory requirements

12. Governance

Responsibility for the implementation of this Trust & Safety Framework lies with the management of Let’s Dish UG (haftungsbeschränkt). Operational responsibility lies with the Trust & Safety team, which reports directly to management.

13. Contact

Let’s Dish UG (haftungsbeschränkt)
Lerchenweg 4
74931 Lobbach, Germany

Trust & Safety: trust@letsdish.app
Support: support@letsdish.app
Management: Domenik Niemietz

Trust & Safety Framework der Plattform „Let’s Dish“

Stand: Oktober 2025

1. Einleitung und Grundsatz

Let’s Dish UG (haftungsbeschränkt) betreibt eine Vermittlungsplattform für privat und nebenberuflich organisierte Essens-Events. Da Fremde sich im privaten Umfeld treffen und Zahlungen über die Plattform abgewickelt werden, nehmen wir unsere Sorgfaltspflichten besonders ernst.

Dieses Dokument beschreibt die organisatorischen, technischen und prozessualen Maßnahmen, mit denen Let’s Dish sicherstellt, dass die Plattform:

• ausschließlich für ihren vorgesehenen Zweck genutzt wird,
• nicht für missbräuchliche oder illegale Aktivitäten missbraucht werden kann,
• die gesetzlichen Anforderungen (u. a. GwG, DAC7, Plattformtransparenzgesetz, DSGVO, DSA) einhält,
• Nutzer:innen bestmöglich vor Risiken schützt.

Grundlage dieser Maßnahmen ist die Acceptable Use Policy (AUP), die die verbotenen Nutzungen abschließend definiert.

2. Identitätsprüfung und Account-Verifizierung

2.1 Verifizierung von Hosts

Bevor ein Host Zahlungen empfangen kann, durchläuft er folgende Prüfungen:

• KYC-Prüfung durch Stripe Connect gemäß den gesetzlichen Vorgaben (u. a. § 11 GwG) – inkl. Prüfung auf Sanktionslisten, PEP-Listen und Watchlists durch Stripe
• E-Mail-Verifizierung vor Freischaltung des Host-Accounts
• Bankverbindung-Verifizierung durch Stripe, damit Auszahlungen nur an den verifizierten Host erfolgen
• Adress- und Stammdaten-Verifizierung über die bei Stripe hinterlegten Angaben
• Bestätigung der Host-Pflichten bei Registrierung (Hygiene, Steuer, Lebensmittelrecht, AUP)
• Ein verifiziertes Konto pro Person – Mehrfachkonten werden bei Erkennung gesperrt

2.2 Verifizierung von Gästen

• E-Mail-Verifizierung verpflichtend vor der ersten Buchung
• Name wird bei der Registrierung angegeben (wird für Buchung und Kommunikation mit dem Host verwendet)
• Zahlungsmittel-Verifizierung über Stripe (u. a. 3-D Secure 2.0, Risikobewertung durch Stripe Radar)
• Mindestalter 18 Jahre – Selbstdeklaration bei Registrierung, mit rechtlichen Konsequenzen bei Falschangaben

2.3 Laufende Prüfung

• Monitoring auf auffällige Account-Muster (z. B. Massenanlage, Einweg-E-Mail-Adressen)
• Automatisierte Abgleiche mit aktualisierten Sanktions- und Watchlists über Stripe
• Manuelle Prüfung auffälliger Accounts durch das Trust & Safety-Team

3. Event-Prüfung und Content-Moderation

3.1 Prüfungen vor Veröffentlichung

• Pflichtfelder-Prüfung: Events können erst veröffentlicht werden, wenn alle erforderlichen Angaben (Menü, Ort, Zeit, Preis, Teilnehmerzahl, Allergene) vollständig vorliegen
• Zustimmung zu den Bedingungen: Bei der Registrierung müssen Hosts den AGB, der AUP sowie ihrer Verantwortung für Hygiene, Steuer und Lebensmittelrecht zustimmen

3.2 Pflichtangaben pro Event

Ein Event kann nur veröffentlicht werden, wenn der Host folgende Angaben vollständig gemacht hat:

• Event-Beschreibung
• Anzahl verfügbarer Plätze
• Datum und Startzeit
• Allgemeine Ortsangabe (Stadt/Stadtteil) ist öffentlich sichtbar; die vollständige Adresse wird dem Gast erst nach Annahme der Buchungsanfrage durch den Host angezeigt (in der Regel bevor die Zahlung endgültig abgeschlossen ist)
• Angemessene Aufwandsentschädigung im marktüblichen Rahmen

Hosts werden gebeten, eine detaillierte Menübeschreibung anzugeben und Allergene gemäß LMIV zu kennzeichnen; diese Angaben sind jedoch optional. Die Verantwortung für die Einhaltung des geltenden Lebensmittel- und Hygienerechts liegt beim Host.

3.3 Buchungskontrolle durch Hosts

Hosts können Buchungsanfragen ablehnen, wenn:

• Zweifel an der Identität oder den Absichten des Gasts bestehen
• Das Gast-Profil Auffälligkeiten (fehlende Bewertungen, negative Historie) aufweist
• Andere legitime Gründe gegen die Teilnahme sprechen

Die Möglichkeit zur Ablehnung erhöht die Sicherheit im Privatraum und ergänzt die plattformseitigen Kontrollen.

3.4 Reaktive Moderation

Nach der Veröffentlichung verfolgt Let’s Dish ein meldungsbasiertes Moderationsmodell:

• Alle Nutzer:innen können Events, Profile und Nachrichten über die In-App-Meldefunktion melden
• Meldungen werden durch das Trust & Safety-Team innerhalb von 24 Stunden manuell geprüft (siehe Abschnitt 6.3)
• Inhalte, die gegen die AUP verstoßen, werden entfernt und das verantwortliche Konto wird gemäß Abschnitt 7 sanktioniert
• Bei offensichtlichen AUP-Verstößen (z. B. sexualisierte Inhalte oder Hinweise auf illegale Aktivitäten) erfolgt die Entfernung unmittelbar nach Kenntnisnahme
• Erkenntnisse aus Meldungen fließen kontinuierlich in die Weiterentwicklung der Trust & Safety-Prozesse ein

4. Transaktions-Monitoring

4.1 Erkennung verdächtiger Muster

Das Risikomonitoring auf Zahlungsebene erfolgt über Stripe Radar. Transaktionen werden dabei automatisch nach folgenden Kriterien analysiert:

• Geschwindigkeitsanomalien (viele Transaktionen in kurzer Zeit)
• Ungewöhnliche geografische Muster
• Chargeback-Muster und Kartentesting-Verhalten
• Abgleich mit Sanktions- und Embargolisten
• Geräte-, IP- und Kartenfingerprint-Risikosignale

Durch Stripe Radar ausgelöste Flags werden von unserem Trust & Safety-Team geprüft und können zu den in Abschnitt 4.2 beschriebenen Maßnahmen (Einfrieren, Rückabwicklung) sowie zu Kontosanktionen gemäß Abschnitt 7 führen.

4.2 Auszahlungskontrolle

• Treuhand-Prinzip: Gelder verbleiben auf Stripe-Subkonten, bis die Auszahlungsbedingungen erfüllt sind
• Auszahlung nach Event-Abschluss entsprechend der Stripe-Connect-Richtlinien
• Einfrieren bei Verdacht: Auszahlungen können bei begründeten Verdachtsmomenten (Betrug, Missbrauch, Chargebacks) angehalten werden, bis die Klärung abgeschlossen ist
• Rückabwicklung: Bei nachgewiesenem Missbrauch werden Zahlungen an die betroffenen Gäste zurückerstattet

4.3 DAC7 / Plattformtransparenz-Compliance

• Technische Erfassung aller meldepflichtigen Daten (Name, Anschrift, Steuer-ID, USt-ID, Bankverbindung)
• Überwachung der DAC7-Schwellenwerte (30 Transaktionen oder 2.000 EUR pro Jahr pro Host)
• Jährliche Meldung an das Bundeszentralamt für Steuern
• Transparente Information der Hosts über ihre Meldepflichten

4.4 Geldwäsche-Verdachtsmeldungen

Bei Verdacht auf Geldwäsche oder Terrorismusfinanzierung erfolgt eine Meldung an die Financial Intelligence Unit (FIU) gemäß § 43 GwG.

5. Bewertungssystem als Kontrollinstrument

Das Bewertungssystem dient sowohl der Community-Qualität als auch der Integritätsprüfung:

• Bewertungen können nur nach verifizierter Teilnahme an einem Event abgegeben werden – das erschwert Fake-Events
• Beidseitige Bewertungen (Host ↔ Gast) erhöhen die Transparenz
• Hosts mit wiederholten Beschwerden oder systematisch schlechten Bewertungen werden geprüft und gemäß Abschnitt 7 ggf. sanktioniert

6. Melde- und Beschwerdesystem

6.1 In-App-Meldefunktionen

Jedes Event, jedes Profil und jede Nachricht kann von Nutzer:innen direkt über die App gemeldet werden. Verfügbare Kategorien:

• Missbräuchliches Verhalten
• Unangemessene Inhalte
• Verdacht auf Betrug
• Sicherheitsrisiken
• Verstoß gegen AUP
• Sonstiges

6.2 E-Mail-Kanäle

• trust@letsdish.app – für Trust & Safety-Themen, AUP-Verstöße und sicherheitsrelevante Anliegen
• support@letsdish.app – für allgemeine Anfragen und Beschwerden

6.3 Service-Level

Meldungen werden mit einer Erstreaktion innerhalb von 24 Stunden bearbeitet. Bei akuten Sicherheitsrisiken oder Verdacht auf Straftaten erfolgt eine priorisierte Bearbeitung so schnell wie möglich.

6.4 Dokumentation und Audit-Trail

Alle Meldungen und deren Bearbeitung werden dokumentiert. Dies dient sowohl der internen Qualitätssicherung als auch der Erfüllung von Nachweispflichten gegenüber Behörden und Zahlungsdienstleistern.

7. Sanktionen und Eskalation

7.1 Stufenmodell

• Stufe 1: Aufforderung an Host oder Gast, den Sachverhalt zu korrigieren (z. B. Anpassung einer Event-Beschreibung)
• Stufe 2: Entfernen einzelner Events/Inhalte
• Stufe 3: Temporäre Accountsperrung (7–30 Tage)
• Stufe 4: Dauerhafte Accountsperrung
• Stufe 5: Einfrieren/Rückabwicklung von Zahlungen
• Stufe 6: Meldung an Behörden / rechtliche Schritte

7.2 Sofortsperrung ohne Vorwarnung

Bei schwerwiegenden Verstößen erfolgt die sofortige Sperrung ohne Eskalationsstufen:

• Sexualisierte Dienstleistungen oder Prostitution
• Drogen- oder Waffenhandel
• Gewalt oder Gewaltandrohung
• Handlungen gegen Minderjährige
• Geldwäsche, Terrorismusfinanzierung, Sanktionsverstöße
• Organisierter Betrug

Gleichzeitig erfolgt:

• Einfrieren aller Gelder auf dem Host-Konto
• Rückerstattung an betroffene Gäste (soweit möglich)
• Meldung an Strafverfolgungsbehörden / FIU
• Aufnahme in interne Sperrliste

7.3 Sperrliste und Wiederanmeldung

• Gesperrte Identitäten werden in einer internen Datenbank erfasst (gehashte E-Mail, gehashte Stripe-Account-ID)
• Abgleich bei Neuregistrierung zur Verhinderung von Account-Recycling
• Zusätzlicher Abgleich über Stripe-interne Risiko-Datenbanken

8. Zusammenarbeit mit Behörden und Zahlungsdienstleistern

• Kooperation mit Strafverfolgungsbehörden im gesetzlich vorgesehenen Rahmen
• DAC7-Meldungen an das Bundeszentralamt für Steuern
• Geldwäsche-Verdachtsmeldungen an die FIU
• Enge Abstimmung mit Stripe zu Risiko- und Compliance-Themen
• Bereitstellung von Auskünften an PayPal und andere Zahlungsdienstleister im Rahmen vertraglicher Vereinbarungen
• Beantwortung behördlicher Anfragen innerhalb der gesetzlichen Fristen

9. Datenschutz und Datensicherheit

Alle Trust & Safety-Maßnahmen werden unter Wahrung der Anforderungen der DSGVO umgesetzt:

• Datenminimierung: Nur erforderliche Daten werden erhoben
• Zweckbindung: Verwendung ausschließlich zur Plattformsicherheit und gesetzlichen Compliance
• Transparenz: Detaillierte Information in der Datenschutzerklärung
• Verschlüsselung sensibler Daten gemäß Stand der Technik
• Löschfristen gemäß gesetzlichen Aufbewahrungspflichten

10. Nutzeraufklärung

• Hosts erhalten bei Registrierung verpflichtende Informationen zu ihren Pflichten (Hygiene, Steuer, Versicherung, AUP)
• Regelmäßige Kommunikation zu relevanten Compliance-Themen (z. B. Änderungen an DAC7, Hygienerecht)
• Ressourcen und Leitfäden im Hilfebereich der App
• Gäste akzeptieren bei der Registrierung die AGB und die AUP, die Sicherheitsaspekte und Verhaltensregeln abdecken

11. Kontinuierliche Verbesserung

• Regelmäßige interne Reviews der Trust & Safety-Kennzahlen
• Anpassung der Prüfmechanismen bei neu erkannten Risiko-Mustern
• Aufnahme von Feedback aus Community-Meldungen und Behördenanfragen
• Abstimmung mit Rechtsberatern bei neuen regulatorischen Anforderungen

12. Governance

Die Verantwortung für die Umsetzung dieses Trust & Safety Frameworks liegt bei der Geschäftsführung der Let’s Dish UG (haftungsbeschränkt). Operative Zuständigkeit liegt beim Trust & Safety-Team, das direkt an die Geschäftsführung berichtet.

13. Kontakt

Let’s Dish UG (haftungsbeschränkt)
Lerchenweg 4
74931 Lobbach

Trust & Safety: trust@letsdish.app
Support: support@letsdish.app
Geschäftsführung: Domenik Niemietz