Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:

Deniz Yilmaz Babig
(Einzelunternehmer / Geschäftsbezeichnung: „Sitence“)
Lipschitzallee 40, 12353 Berlin, Deutschland

E-Mail: contact@denizbabig.de
Telefon: +49 176 55268648

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website/Plattform und zur Vertragsabwicklung erforderlich ist. Unsere Kunden sind in der Regel Unternehmen (B2B); die betroffenen Personen sind jedoch die natürlichen Personen, die die Plattform nutzen (z. B. Inhaber, Manager, Mitarbeitende).

2.1 Datenarten

• Bestandsdaten: Name, Restaurantname, Stadt
• Kontaktdaten: E-Mail-Adresse
• Vertragsdaten: gewähltes Paket, Laufzeit, Zahlungs-/Abo-Status
• Zahlungsdaten: werden im Rahmen der Zahlung primär durch Stripe verarbeitet (z. B. Karten-/Kontodaten)
• Nutzungsdaten: aufgerufene Seiten, Zeitpunkt des Zugriffs
• Meta-/Kommunikationsdaten: IP-Adresse, Geräte-/Browserinformationen, Referrer-URL
• Inhaltsdaten (bei Kontakt/Plattformnutzung): Nachrichteninhalte, Menüs, Öffnungszeiten, Ankündigungen

2.2 Rechtsgrundlagen

• Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (z. B. Newsletter, optionale Analyse-Dienste)
• Art. 6 Abs. 1 lit. b DSGVO – Vertrag/vorvertragliche Maßnahmen (Checkout, Kontoverwaltung, Support)
• Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung (z. B. steuerliche Aufbewahrung, Einwilligungsnachweis)
• Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen (IT-Sicherheit, Missbrauchsschutz, Fehleranalyse)

Soweit wir uns auf berechtigte Interessen (lit. f) stützen, liegt unser Interesse insbesondere im sicheren und effizienten Betrieb unserer Dienste (IT-Sicherheit, Missbrauchsabwehr, Fehleranalyse); Ihre schutzwürdigen Interessen werden durch Datenminimierung, kurze Speicherfristen und Zugriffsbeschränkungen gewahrt.

3. Datenerfassung auf dieser Website

3.1 Server-Logfiles

Beim Aufruf unserer Website erhebt unser Hosting-Anbieter automatisch Daten in Server-Logfiles (z. B. IP-Adresse, Datum/Uhrzeit, URL, Statuscode, Browser/OS, Referrer).

Zweck: sicherer Betrieb, Stabilität, Fehleranalyse, Missbrauchserkennung.
Speicherdauer: 30 Tage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

3.2 Kontaktaufnahme

Wenn Sie uns per E-Mail kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail, Nachricht), um Ihr Anliegen zu bearbeiten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) oder Art. 6 Abs. 1 lit. f DSGVO (allgemeine Bearbeitung von Anfragen).
Speicherdauer: siehe Abschnitt 15 (Speicherdauer & Löschfristen).

4. Bestellvorgang (Checkout)

Im Rahmen des Checkouts verarbeiten wir folgende Daten:

• E-Mail-Adresse (Pflicht)
• Restaurantname (Pflicht)
• Stadt (Pflicht)
• Eigene Domain (optional)

Zweck: Kontoerstellung, Einrichtung/Provisionierung des Tenants, Vertragsabwicklung.

Temporäre Browser-Speicherung: Eingaben werden während des Checkouts im sessionStorage (Schlüssel: sitence-checkout-v2) gespeichert und spätestens nach 12 Stunden bzw. beim Schließen des Browsers gelöscht.

Nach erfolgreicher Zahlung erhalten Sie per E-Mail einen Zugangslink zur Aktivierung/Anmeldung.

Zusätzlich setzen wir im Checkout-/Success-Prozess ein technisch erforderliches Sicherheits-Cookie (sitence_checkout_proof), um die Stripe-Checkout-Session an den aufrufenden Browser zu binden und Missbrauch (z. B. unbefugte Session-Verifikation/Portalaufrufe) zu verhindern. Dieses Cookie dient ausschließlich Sicherheitszwecken (kein Marketing/Profiling), ist als HttpOnly-Cookie gesetzt und wird spätestens nach 24 Stunden gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit/Missbrauchsschutz).

5. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für den Vertragsschluss und die Nutzung der Plattform erforderlich (z. B. E-Mail-Adresse, Restaurantname, Stadt). Ohne diese Daten können wir den Vertrag nicht schließen bzw. die Plattform nicht bereitstellen. Weitere Angaben (z. B. eigene Domain) sind freiwillig.

6. Nutzung der Plattform (Kundenkonto / CMS)

Nach der Kontoerstellung verarbeiten wir im Rahmen der Nutzung unserer Plattform insbesondere:

• Account- und Teamdaten: Nutzer (E-Mail), Rollen/Berechtigungen (Owner, Manager, Editor, Viewer)
• Inhalts- und Konfigurationsdaten: z. B. Öffnungszeiten, Menüs, Ankündigungen, ggf. Kontakt-/Anfrageinhalte, Domain-Einstellungen
• Protokolldaten (Audit/Logs): Zeitpunkte von Änderungen, technische Ereignisse (z. B. Login/Token), Fehler- und Sicherheitslogs

Zweck: Bereitstellung der Plattformfunktionen, sichere Authentifizierung/Autorisierung, Nachvollziehbarkeit von Änderungen, Support und Missbrauchsschutz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Fehleranalyse, Missbrauchsschutz).
Speicherdauer: siehe Abschnitt 15 (Speicherdauer & Löschfristen).

7. Zahlungsabwicklung (Stripe)

Für Zahlungen nutzen wir Stripe (Stripe-Gesellschaften innerhalb der Stripe-Gruppe; je nach Region z. B. Stripe Payments Europe, Ltd. (Irland) bzw. Stripe, LLC (USA)). Stripe verarbeitet Zahlungsdaten (z. B. Kreditkarte, SEPA) in der Regel als eigener Verantwortlicher; bestimmte Verarbeitungsschritte (z. B. Abrechnungstools) können Auftragsverarbeitung darstellen. Stripe kann bestimmte Daten auch zu eigenen Zwecken verarbeiten, z. B. zur Betrugsprävention, Risikobewertung und zur Erfüllung gesetzlicher Pflichten; Details ergeben sich aus den Datenschutzhinweisen von Stripe.

Wir erhalten von Stripe typischerweise Status- und Abrechnungsinformationen (z. B. Zahlung erfolgreich/fehlgeschlagen, Rechnungs-/Abo-Infos), nicht zwingend die vollständigen Zahlungsinstrument-Details.

An Stripe übermittelte Metadaten (Beispiel): gewähltes Paket, Laufzeit, Restaurantname, Stadt (Zuordnung und Rechnungszweck).

Drittlandtransfer/Garantien: Stripe erklärt die Einhaltung des EU-U.S. Data Privacy Framework. Zudem werden für Datenübermittlungen typischerweise geeignete Garantien wie Standardvertragsklauseln (SCCs) genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Weitere Infos: Stripe Datenschutzhinweise.

8. Hosting (Vercel)

Diese Website wird über Vercel bereitgestellt. Beim Besuch werden technische Daten (inkl. Logfiles, siehe 3.1) verarbeitet. Vercel setzt je nach Konfiguration weltweit verteilte Systeme/Edge-Infrastruktur ein.

Drittlandtransfer/Garantien: Vercel ist nach eigener Darstellung unter dem EU-U.S. Data Privacy Framework zertifiziert. Ein Auftragsverarbeitungsvertrag (DPA) kann mit Vercel geschlossen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (stabile, sichere Bereitstellung).

9. Datenbank & Authentifizierung (Supabase)

Für Datenbank und Authentifizierung nutzen wir Supabase. Wir betreiben unsere Instanz in einer EU-Region (Frankfurt). Dabei verarbeiten wir u. a. E-Mail-Adresse, Auth-Tokens/Sessions sowie (sofern genutzt) Passwort-Hashes.

Ein Auftragsverarbeitungsvertrag (DPA) steht für Supabase zur Verfügung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10. E-Mail-Versand & Newsletter (Brevo)

Für den Versand von E-Mails nutzen wir Brevo (ehem. Sendinblue). Dabei werden insbesondere E-Mail-Adresse, Inhalte der Nachricht sowie Versand-/Zustellmetadaten (z. B. Zeitpunkt, Zustellstatus, Fehler/Bounces) verarbeitet.

Brevo wird verwendet für:

• transaktionale E-Mails (z. B. Kaufbestätigung, Zugangslink, Systemnachrichten)
• Newsletter-Versand (a) Sitence eigener Newsletter sowie (b) Newsletter, die unsere Kunden über die Sitence-Plattform an ihre Empfänger versenden (Premium-Funktion)

Rechtsgrundlagen und Details zum Newsletter finden Sie in Abschnitt 13a und 13b.

Rechtsgrundlage: je nach Fall Art. 6 Abs. 1 lit. b DSGVO (transaktional/Vertrag) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung Newsletter) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Fehleranalyse).
(AVV/DPA wird mit dem Anbieter abgeschlossen.) Brevo wird dabei – je nach Nutzung – als Auftragsverarbeiter bzw. im Rahmen der Tenant-Newsletter als Unterauftragsverarbeiter eingesetzt.

11. CDN & Sicherheit (Cloudflare)

Zum Schutz (z. B. DDoS-Abwehr) und zur performanten Auslieferung nutzen wir Cloudflare. Dabei können technische Verbindungsdaten (insb. IP-Adresse) verarbeitet werden.

Cloudflare nutzt für internationale Übermittlungen geeignete Garantien, insbesondere das EU-U.S. Data Privacy Framework und – soweit erforderlich – EU-Standardvertragsklauseln (SCCs).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit/Performance).

12. Cookies & lokale Speicherung

12.1 Endgerätezugriff – § 25 TDDDG

Soweit Cookies oder vergleichbare Technologien technisch erforderlich sind, erfolgt der Zugriff auf Ihr Endgerät ohne Einwilligung nach § 25 Abs. 2 TDDDG; andernfalls nur mit Einwilligung nach § 25 Abs. 1 TDDDG. Technisch erforderlich sind insbesondere solche Vorgänge, die „unbedingt erforderlich“ sind, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen. Soweit wir nicht technisch notwendige Cookies/Technologien einsetzen, nutzen wir hierfür ein Consent-Banner, über das Sie Ihre Einwilligung erteilen oder verweigern können.

12.2 Essenzielle Cookies

Wir verwenden technisch notwendige Cookies/Token (z. B. zur Sitzungsverwaltung/Authentifizierung).

• Checkout-Sicherheits-Cookie (sitence_checkout_proof) – technisch erforderliche Session-Bindung im Checkout, missbrauchsverhindernd, kein Marketing/Profiling, Löschung nach max. 24 Stunden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 25 Abs. 2 TDDDG.

12.3 localStorage

Wir nutzen localStorage für:

• Theme-Präferenz (theme) – hell/dunkel, bis zur manuellen Löschung
• Consent-Status (sitence_analytics_consent) – Speicherung Ihrer Auswahl im Consent-Banner

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Präferenzen). Für die Speicherung des Consent-Status kann zusätzlich Art. 6 Abs. 1 lit. c DSGVO (Nachweis- und Dokumentationspflichten im Zusammenhang mit Einwilligungen) herangezogen werden.

12.4 sessionStorage

Im Checkout speichern wir Eingaben temporär im sessionStorage (sitence-checkout-v2), Löschung nach 12 Stunden/Sitzungsende.

12.5 Cookies von Drittanbietern (Stripe)

Im Checkout kann Stripe eigene Cookies/Technologien zur Zahlungsabwicklung und Betrugsprävention einsetzen. Details finden Sie in den Stripe Cookie-Hinweisen.

13. Newsletter & Direktwerbung / Analyse-Dienste

13a. Sitence Newsletter (eigener Newsletter)

Wenn Sie sich zu unserem Newsletter anmelden, verarbeiten wir Ihre E-Mail-Adresse sowie – sofern angegeben – weitere freiwillige Angaben. Wir nutzen zur Anmeldung das Double-Opt-In-Verfahren. Dabei speichern wir zum Nachweis Ihrer Einwilligung auch Anmelde-/Bestätigungsdaten (z. B. Zeitpunkt, IP-Adresse, verwendetes Formular).

Zweck: Versand von Informationen über Sitence, Produktupdates, Angebote und relevante Inhalte.

Rechtsgrundlage:
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
• Protokollierung des Double-Opt-In: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Nachweis der Einwilligung)

Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, z. B. über den Abmelde-Link in jedem Newsletter.

Widerspruch gegen Direktwerbung: Sofern wir personenbezogene Daten für Direktwerbung verarbeiten, können Sie dieser Verarbeitung jederzeit widersprechen (Art. 21 Abs. 2 DSGVO); dann werden wir die Daten nicht mehr zu diesem Zweck verarbeiten.

Eine Erfolgsmessung (z. B. Öffnungs- oder Klickraten) erfolgt nur, sofern wir diese Funktion aktivieren; in diesem Fall weisen wir gesondert darauf hin.

13b. Newsletter der Kunden (Tenant-Newsletter, Premium-Funktion)

Unsere Plattform ermöglicht es Kunden (Tenants), Newsletter an ihre eigenen Empfänger zu versenden. In diesem Zusammenhang verarbeiten wir als technischer Dienstleister insbesondere:

• Empfängerdaten (z. B. E-Mail-Adresse, ggf. Name/Segmente)
• Versandinhalte (Newsletter-Text/Betreff)
• Versand-/Zustellmetadaten (z. B. Zustellstatus, Fehler/Bounces)

Dabei verarbeiten wir diese Daten im Auftrag des jeweiligen Kunden (Tenants). Der jeweilige Kunde ist in diesem Fall Verantwortlicher im Sinne der DSGVO; wir handeln als Auftragsverarbeiter.

Rechtsgrundlage: ergibt sich aus der Beziehung zwischen Kunde und Empfänger (typischerweise Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bzw. § 7 UWG). Wir verarbeiten die Daten zur Bereitstellung der Funktion auf Basis Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit dem Kunden) sowie Art. 6 Abs. 1 lit. f DSGVO (Betrieb/Sicherheit).

Betroffenenrechte bei Tenant-Newslettern: Empfänger können ihre Datenschutzrechte (z. B. Auskunft/Löschung/Widerruf) grundsätzlich gegenüber dem jeweiligen Kunden (Tenant) als Verantwortlichem geltend machen. Wir unterstützen unsere Kunden dabei im Rahmen unserer Auftragsverarbeitung.

Abmeldungen/Widerrufe werden technisch verarbeitet (z. B. über Abmeldelink/Sperrliste), damit Empfänger künftig keine weiteren Newsletter erhalten.

13c. Analyse-Dienste (PostHog)

Wir nutzen PostHog (PostHog Inc., USA) zur Analyse der Nutzung unserer Marketing-Website, unserer Plattform und der über Sitence bereitgestellten Kunden-Websites. Unsere PostHog-Instanz wird in der EU-Region (eu.posthog.com) betrieben.

Auf unserer Marketing-Website aktivieren wir die clientseitige PostHog-Erfassung erst nach Ihrer Auswahl im Consent-Banner. Ohne Ihre Zustimmung findet auf dieser Website keine clientseitige PostHog-Erfassung statt.

PostHog wird im cookielosen Modus eingesetzt (Persistence: memory). Es werden keine Cookies gesetzt und kein Cross-Session-Tracking durchgeführt. Erfasst werden insbesondere:

• Seitenaufrufe (URL, Zeitpunkt)
• Geräte-/Browserinformationen (User-Agent, Viewport)
• Referrer-URL
• Pseudonymisierte Nutzungsereignisse (z. B. CTA-Klicks, Checkout-Schritte, Klicks auf Menü-Kategorien oder Interaktion mit Aktionen/Coupons)

Für die Verarbeitung von Geschäftsereignissen (z. B. Checkout, Abo-Änderungen, Onboarding-Abschluss) nutzen wir PostHog sowohl serverseitig (ohne Endgerätezugriff) als auch clientseitig (nach Consent auf der Marketing-Website bzw. im Rahmen des Checkout-Prozesses). Dabei können je nach Kontext Identifikatoren und Geschäftsdaten wie E-Mail-Adresse, User-ID, Tenant-ID, Tarif, Abrechnungsintervall und Checkout-/Abo-Ereignisse verarbeitet werden, soweit dies für Conversion-Zuordnung, Vertragserfüllung, Produktverbesserung und Fehleranalyse erforderlich ist. Insbesondere können bei Checkout und Onboarding clientseitige Identifikationsvorgänge (identify) mit Ihrer E-Mail-Adresse stattfinden. Diese Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung und Fehleranalyse).

Auf unserer Marketing-Website erfolgt die clientseitige Erfassung ausschließlich nach Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Für die cookielose clientseitige Erfassung im CMS und auf bereitgestellten Kunden-Websites ist die Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Analyse und Verbesserung des Dienstes), soweit wir dort in eigener Verantwortlichkeit agieren.

Drittlandtransfer: PostHog wird in der EU-Region betrieben. Ein Auftragsverarbeitungsvertrag (DPA) wurde mit PostHog abgeschlossen.

Widerruf/Widerspruch: Ihre Auswahl für unsere Marketing-Website können Sie jederzeit über die Cookie-Einstellungen im Footer widerrufen oder anpassen. Im Übrigen können Sie der Analyse jederzeit per E-Mail widersprechen (siehe Abschnitt 1). Zudem können Sie JavaScript in Ihrem Browser deaktivieren, um die Erfassung zu unterbinden.

14. Missbrauchsschutz & Ratenbegrenzung

Zum Schutz vor Spam, Brute-Force und Missbrauch verarbeiten wir technische Daten (z. B. IP-Adresse) für Rate-Limiting und Security-Checks. Sofern möglich, erfolgt dies pseudonymisiert (z. B. Hashing).

Speicherdauer: 14–30 Tage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit).

15. Speicherdauer & Löschfristen

Wir löschen personenbezogene Daten, sobald der Zweck entfällt, außer gesetzliche Aufbewahrungsfristen stehen entgegen (z. B. steuerliche Pflichten). Sofern unten keine konkrete Speicherdauer genannt ist, löschen wir personenbezogene Daten, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

16. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, insbesondere Verschlüsselung bei der Übertragung (TLS), Zugriffsbeschränkungen nach dem Need-to-know-Prinzip, Rollen-/Rechtekonzepte sowie Protokollierung sicherheitsrelevanter Ereignisse.

17. Empfänger & Datenübermittlung in Drittländer

DPF = EU-U.S. Data Privacy Framework; SCCs = EU-Standardvertragsklauseln; AVV/DPA = Vertrag zur Auftragsverarbeitung.

Datenübermittlungen in Drittländer erfolgen – soweit einschlägig – auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO) oder geeigneter Garantien (Art. 46 DSGVO), insbesondere Standardvertragsklauseln (SCCs). Das EU-U.S. Data Privacy Framework kann dabei als Angemessenheitsbeschluss nach Art. 45 DSGVO dienen, sofern der jeweilige Anbieter zertifiziert ist.

Eine Weitergabe an sonstige Dritte erfolgt nur, wenn dies gesetzlich erforderlich ist.

18. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

19. Ihre Rechte

Sie haben nach DSGVO insbesondere folgende Rechte:

• Auskunft (Art. 15)
• Berichtigung (Art. 16)
• Löschung (Art. 17)
• Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21)
• Widerruf von Einwilligungen (Art. 7 Abs. 3)

Die Ausübung Ihrer Rechte ist grundsätzlich kostenfrei. Nur bei offenkundig unbegründeten oder exzessiven Anträgen können wir gemäß Art. 12 Abs. 5 DSGVO ein angemessenes Entgelt verlangen oder die Bearbeitung ablehnen. Zur Wahrung der Datensicherheit können wir bei Anfragen geeignete Nachweise zur Identitätsbestätigung verlangen.

Kontakt zur Ausübung Ihrer Rechte: contact@denizbabig.de

20. Beschwerderecht bei einer Aufsichtsbehörde

Sie können sich bei einer Datenschutzaufsichtsbehörde beschweren (Art. 77 DSGVO). Zuständig in Berlin ist die:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Alt-Moabit 59–61, 10555 Berlin
www.datenschutz-berlin.de

21. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Dienste, Rechtslage oder Verarbeitungen ändern. Die aktuelle Version ist stets auf dieser Seite abrufbar.