Deine Daten und die deiner Gäste bleiben in der EU.
Wir sagen dir offen, wo deine Daten liegen, wer sie für uns verarbeitet, wie wir sichern und was wir bewusst nicht speichern. Keine Marketing-Plakette ohne Substanz, sondern die Liste, mit der du auch deinem Steuerberater oder Datenschutzbeauftragten entgegentreten kannst.
Vier Standorte. alle in der EU.
Sitence betreibt keine eigenen Rechenzentren. Wir nutzen vier spezialisierte Anbieter, alle mit Standorten in der Europäischen Union, jeder mit klar abgegrenzter Aufgabe. So weißt du genau, wer was bei dir macht.
- Supabase · Daten- und Konten-Speicher
Frankfurt, Deutschland
Alle deine Daten und die deiner Gäste liegen hier: Bestellungen, Reservierungen, Newsletter-Adressen.
- Vercel · Website-Auslieferung
EU-Standorte
Bringt deine Restaurant-Website und den Verwaltungs-Bereich zu deinen Gästen. Hält selbst keine Daten vor.
- Cloudflare · Schutz und Verteilung
Weltweit, mit EU-Knoten
Schützt vor Überlast und Angriffen. Sieht nur, dass jemand zugreift, nicht, was bestellt wird.
- AWS S3 · Sicherungen
Frankfurt, Deutschland
Verschlüsselte Tages-Sicherungen als zweite Linie für den Ernstfall.
Die volle Liste, ohne Versteckspiel.
Mit jedem dieser Anbieter haben wir einen Auftragsverarbeitungs- Vertrag nach Art. 28 DSGVO. Diesen Schutz für deine Daten und die deiner Gäste bekommst du automatisch, sobald du Sitence-Kunde wirst. Du musst keinen einzigen Vertrag selbst schließen.
| Anbieter | Zweck | Standort | Was wird verarbeitet | Grundlage |
|---|---|---|---|---|
| Supabase Inc. | Daten-Speicher, Anmeldung, Datei-Ablage | EU (Frankfurt) | Deine Daten und die deiner Gäste | Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) |
| Vercel Inc. | Website und Verwaltungs-Bereich ausliefern | EU-Standorte | Verbindungs- und Zugriffs-Protokolle | Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) |
| Cloudflare Inc. | Schutz vor Überlast, Adress-Vermittlung, Verteilung | Weltweit, mit EU-Knoten | Begleit-Daten zur Verbindung | Auftragsverarbeitungs-Vertrag + EU-Schutzklauseln |
| Amazon Web Services EMEA SARL | Verschlüsselte Tages-Sicherungen | EU (Frankfurt) | Sicherungs-Kopien der Datenbank | Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) |
| Hetzner Online GmbH | Überwachungs-Server für Verfügbarkeit | EU (Helsinki) | Erreichbarkeits-Prüfungen, keine Gäste-Daten | Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung und Auszahlung | EU (Irland) | Zahlungs-Daten · Karten liegen bei Stripe, nicht bei uns | Eigener Verantwortlicher + Vertrags-Bestandteile |
| Brevo / Sendinblue SAS | Bestätigungs- und Newsletter-E-Mails | EU (Paris) | Empfänger-Adressen, E-Mail-Inhalte | Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO) |
Diese Liste wird laufend aktualisiert, wenn wir Anbieter wechseln oder ergänzen. Die vollständige, rechtsverbindliche Aufstellung mit allen Unter-Auftragnehmern findest du in der Datenschutzerklärung.
Wenn etwas schiefgeht, haben wir einen Plan.
Wir nennen hier bewusst keine Zertifikats-Plaketten oder fest versprochene Wieder-Anlauf-Zeiten. Solange wir das nicht extern prüfen lassen, wäre das ein leeres Versprechen. Was wir konkret tun, steht hier.
- Tägliche Sicherungen
Jede Nacht wird der komplette Daten-Bestand gesichert: verschlüsselt, an einem zweiten Standort (Frankfurt), getrennt vom laufenden Betrieb.
- Mehrere Generationen
Wir behalten ältere Stände vor, nicht nur die letzte Sicherung. Falls ein Fehler erst Tage später auffällt, kommt eine saubere Version trotzdem zurück.
- Laufende Überwachung
Ein eigener Wachposten auf einem getrennten Server prüft Sitence rund um die Uhr. Fällt etwas aus, wissen wir es vor dir.
- Sofort-Benachrichtigung
Bei Ausfall oder fehlgeschlagener Sicherung gehen die Alarme direkt aufs Team-Handy. Keine ungelesene Mail-Box dazwischen.
Was Sitence bewusst nicht speichert.
Der einfachste Datenschutz ist, Daten gar nicht erst zu erheben. Hier sind vier Dinge, die andere Plattformen mitnehmen und die bei uns nicht ins System fließen.
- Karten- und Konto-Daten der Gäste
Gibt dein Gast die Karte ein, läuft das direkt zu Stripe weiter. Wir sehen keine Karten-Nummer, keine Prüf-Ziffer, keine IBAN. Wir sehen nur ‚bezahlt: ja oder nein‘.
- Dauerhafte Standort-Verfolgung deiner Fahrer
Wir erkennen den Standort nur, solange die Fahrer-App offen ist und eine Tour läuft. Keine Verfolgung im Hintergrund, kein Bewegungsbild außerhalb der Arbeitszeit.
- Inhalte privater Unterhaltungen deiner Gäste
Sitence speichert keine privaten Gespräche. Was über das Kontakt-Formular reinkommt, ist klar einem Zweck zugeordnet, sonst läuft nichts mit.
- Mit-Beobachter Dritter auf deiner Website
Wir setzen kein Facebook-, kein Google-Analyse- und kein vergleichbares Mit-Lese-Werkzeug auf deiner Restaurant-Website ein. Wenn du das selbst möchtest, ist das deine Entscheidung, mit eigener Einwilligungs-Pflicht.
Sieben Antworten für deinen Datenschutzbeauftragten.
Die Fragen, die wir am häufigsten von Restaurant-Inhabern und ihren DSB hören. Kurz und ehrlich beantwortet.
Wer ist eigentlich verantwortlich für die Daten meiner Gäste?
Du als Restaurant-Inhaber. Sitence ist Auftragsverarbeiter nach Art. 28 DSGVO: wir verarbeiten Gäste-Daten in deinem Auftrag, du bestimmst Zweck und Mittel. Den dafür nötigen Auftragsverarbeitungs-Vertrag schließen wir automatisch mit dir, sobald du Sitence-Kunde wirst. Du musst nichts extra anfragen.
Was passiert, wenn ein Gast seine Daten löschen lassen will?
Du leitest die Anfrage in deinem Sitence-Bereich weiter, wir setzen sie um: Bestellungen werden anonymisiert (für deine Buchhaltung musst du sie ja behalten), das Newsletter-Abo wird gelöscht, das Stempelkarten-Konto entfernt. Innerhalb der gesetzlichen Frist von einem Monat, in der Regel deutlich schneller.
Wie lange werden Bestell-Daten gespeichert?
Bestellungen unterliegen deiner Aufbewahrungs-Pflicht aus dem Steuer-Recht: in der Regel zehn Jahre. Wir bewahren sie für dich auf und stellen sie dir auf Wunsch jederzeit als Datei bereit. Persönliche Erkennungs-Daten werden nach Ablauf dieser Frist entfernt.
Geht etwas von Sitence aus an Anbieter außerhalb der EU?
Sehr wenig. Stripe-Tochter sitzt in Irland (EU), Brevo in Frankreich (EU), Cloudflare ist weltweit aufgestellt, wir leiten aber bewusst über EU-Knoten. Wo trotzdem ein US-Bezug entsteht (z. B. weil die Stripe-Mutter in den USA sitzt), greifen die EU-Schutzklauseln. Die vollständige Auflistung findest du in der Datenschutzerklärung.
Was passiert bei einem Vorfall mit deinen Daten?
Wir benachrichtigen dich unverzüglich, sobald wir davon erfahren: schriftlich, mit dem, was passiert ist, welche Daten betroffen sind und welche Schritte wir und du jetzt brauchen. Du als Verantwortlicher entscheidest dann über die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist. Wir liefern dir die Fakten zu, die du dafür brauchst.
Habt ihr eine ISO 27001 oder vergleichbare Prüfungs-Plakette?
Noch nicht. Wir bauen den Sicherheits-Prozess gerade in der Tiefe auf: eine extern geprüfte Plakette ist der nächste Schritt nach dem Markt-Start, kein leeres Versprechen vorher. Bis dahin orientieren wir uns an den Maßnahmen-Listen des deutschen Bundesamtes für Sicherheit in der Informationstechnik und zeigen dir das auf Nachfrage konkret.
Mein Datenschutzbeauftragter braucht ein Verzeichnis von Verarbeitungs-Tätigkeiten. Bekomme ich das von euch?
Ja. Wir stellen dir eine Vorlage bereit, in die du nur deine eigenen Angaben einträgst (Restaurant-Name, verantwortliche Person, ggf. Datenschutzbeauftragter). Die Sitence-Anteile (Anbieter-Liste, Daten-Kategorien, Speicher-Fristen) sind schon ausgefüllt und werden aktualisiert, wenn sich bei uns etwas ändert.
Frage nicht dabei? Schreib uns direkt.
Noch eine Frage, oder direkt loslegen?
Die vollständige rechtsverbindliche Liste der Unter-Auftragnehmer, Speicher-Fristen und Rechte deiner Gäste steht in der Datenschutzerklärung. Wenn dein Datenschutzbeauftragter ein konkretes Dokument oder einen direkten Termin will, melde dich. Wir antworten innerhalb eines Werktags.