RestRes

Datenschutzerklärung

Stand: 2026-06-01 · Letzte Aktualisierung mit der laufenden Code-Basis abgeglichen.

1. Verantwortliche Stelle

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Plattform im Sinne der DSGVO ist:

Alexander Zerdick

E-Mail: kontakt.restres@gmail.com

Vollständige Anschrift siehe Impressum.

2. Welche Daten wir verarbeiten und wofür

Reservierungs-Buchung über das Formular

Wenn du eine Reservierung anlegst, verarbeiten wir: deinen Namen, mindestens eine Kontaktart (E-Mail oder Telefon), Datum + Uhrzeit + Personenzahl, optionale Notizen (z. B. Allergien, Geburtstag), das ausgewählte Restaurant. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. vorvertraglicher Maßnahmen) — ohne diese Daten kann das Restaurant die Reservierung nicht annehmen.

Login als Restaurant-Mitarbeiter

Bei Anmeldung über /login verarbeiten wir deine E-Mail-Adresse zur Authentifizierung per Einmal-Code. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Restaurant-Betreiber) bzw. Art. 6 Abs. 1 lit. f (berechtigtes Interesse an einem sicheren Login).

Server-Logs

Unser Hosting-Anbieter speichert automatisch technische Daten jedes Aufrufs (IP-Adresse, Zeitpunkt, abgerufene URL, Browser-Kennung) zur Sicherstellung des Betriebs und zur Abwehr von Angriffen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Stabilität des Dienstes).

3. An welche Dienstleister Daten übermittelt werden

Wir nutzen für den Betrieb der Plattform die folgenden externen Auftragsverarbeiter (Art. 28 DSGVO). Sämtliche Verbindungen sind TLS-verschlüsselt; mit allen Anbietern bestehen die nach DSGVO erforderlichen Vereinbarungen (AVV bzw. Standardvertragsklauseln bei US-Anbietern).

Supabase, Inc.
Datenbank + Authentifizierung · Vereinigte Staaten / EU-Region (eu-central-1, Frankfurt)
Speichert Restaurants, Reservierungen, Login-Sessions. Daten liegen physisch in der EU.
Vercel, Inc.
Hosting des Web-Frontends · Vereinigte Staaten
Serverless-Hosting, CDN, automatische TLS-Zertifikate. Erhält bei jedem Seitenaufruf IP + Request-Header.
Vercel Web Analytics
Anonyme Reichweitenmessung · Vereinigte Staaten / EU-Region
Zählt Seitenaufrufe und beliebte Pfade. Arbeitet ohne Cookies und ohne dauerhafte IDs — Besucher werden über einen tagesweise rotierenden Hash aus IP + User-Agent unterschieden, der nach 24 h nicht mehr reproduzierbar ist. Details siehe Abschnitt 5.
Vercel Speed Insights
Anonyme Performance-Messung (Core Web Vitals) · Vereinigte Staaten / EU-Region
Misst Ladezeiten und Interaktivitäts-Metriken (LCP, INP, CLS) aus realen Seitenaufrufen, um Performance-Regressionen zu erkennen. Selber Privacy-Modus wie Web Analytics: keine Cookies, kein dauerhafter Identifier, tagesweise rotierender IP-Hash. Details siehe Abschnitt 5.
Upstash, Inc.
Rate-Limiting (Schutz vor Massen-Anfragen) · EU-Region
Zählt kurzzeitig die Anzahl der Buchungsversuche pro IP-Adresse, um Spam-Wellen abzuwehren. Speichert nur einen Zähler je IP für wenige Minuten, keine Buchungsinhalte.
Resend, Inc.
Versand transaktionaler E-Mails · EU-Region (Irland)
Buchungsbestätigungen, Stornierungen, Login-Codes. Verarbeitet Empfänger-Mailadresse + Mailinhalt.
Open-Meteo / DWD
Wetterdaten · Schweiz (Open-Meteo) / Deutschland (DWD)
Anonyme Abfrage von Wetter für die Adresse des Restaurants. Keine personenbezogenen Gast-Daten.
openholidaysapi.org
Feiertage + Schulferien · EU
Anonyme Abfrage öffentlicher Feiertage pro Bundesland.
Photon by Komoot GmbH
Adress-Geokodierung · Deutschland
Wandelt Restaurant-Adressen in Koordinaten um. Keine Gast-Daten.
INWX GmbH
Domain-Registrierung + DNS · Deutschland
Verwaltet die Domain restres.de und die Mail-Forwarding-Regeln.

4. Speicherdauer

Reservierungs-Daten bleiben gespeichert solange sie für die ordnungsgemäße Abwicklung benötigt werden — typischerweise ein Jahr nach Reservierungs-Datum für Service-Statistiken und Wiedererkennung von Stammgästen. Auf Anfrage löschen wir früher.

Login-Sessions: bis zur manuellen Abmeldung oder zur automatischen Ablauf-Frist (in der Regel 7 Tage Inaktivität).

Server-Logs: maximal 30 Tage, danach automatische Löschung.

5. Cookies, lokale Speicherung und Reichweitenmessung

Technisch notwendige Cookies

Wir setzen ausschließlich technisch notwendige Cookies. Konkret:

  • sb-…-auth-token (Supabase) — hält deine Login-Sitzung für das Restaurant-Dashboard; httpOnly; läuft nach ca. 7 Tagen Inaktivität ab.
  • restres_admin_restaurant — merkt sich beim Super-Admin das aktuell ausgewählte Restaurant; Session-Cookie.
  • Routing- und CSRF-Cookies des Next.js-Frameworks (technisch notwendig für das Funktionieren der Seite).

Local-Storage wird derzeit nicht beschrieben — sämtlicher App-State liegt serverseitig.

Reichweitenmessung über Vercel Web Analytics

Wir erfassen aggregierte, anonyme Seitenaufrufe mit Vercel Web Analytics, um zu sehen welche Seiten genutzt werden und ob die Plattform stabil läuft. Das System arbeitet vollständig ohne Cookiesund ohne dauerhafte Identifier: Statt einer User-ID wird aus deiner IP-Adresse, dem User-Agent und einem tagesweise rotierenden Salt ein Hash gebildet, der ausschließlich innerhalb desselben Tages „Erstaufruf“ und „Folgeklick“ unterscheidbar macht. Nach 24 Stunden ist der Hash nicht mehr reproduzierbar. Es werden keine Geräte-Fingerprints gespeichert, keine geräteübergreifende Wiedererkennung, keine personenbezogenen Profile angelegt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenanalyse und Stabilität).

Performance-Messung über Vercel Speed Insights

Ergänzend zur Reichweitenmessung erfassen wir anonyme Performance-Daten mit Vercel Speed Insights — insbesondere die Google Core Web Vitals (Largest Contentful Paint, Interaction to Next Paint, Cumulative Layout Shift). Diese Werte helfen uns Performance-Regressionen zu erkennen, etwa wenn eine neue Version das Buchungsformular spürbar verlangsamt. Es gilt derselbe Privacy-Modus wie bei Web Analytics: keine Cookies, kein dauerhafter Identifier, tagesweise rotierender Hash aus IP und User-Agent, keine personenbezogenen Profile. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Performance-Überwachung der Plattform).

Kein Cookie-Banner

Da wir keine nicht-essenziellen Cookies und keine personenbezogenen Tracker einsetzen, ist eine Einwilligung nach § 25 Abs. 2 Nr. 2 TTDSG / Art. 5 Abs. 3 ePrivacy-Richtlinie nicht erforderlich. Solltest du diese Seite öffnen und kein Banner sehen, ist das kein Versäumnis — es gibt schlicht nichts, dem du zustimmen müsstest. Sollten wir später Tools mit Cookies (z. B. Google Analytics) oder Marketing-Pixel einsetzen, holen wir dafür vorab deine ausdrückliche Einwilligung über einen Consent-Banner ein.

6. Deine Rechte

Du hast jederzeit das Recht auf:

  • Auskunft (Art. 15 DSGVO) — welche Daten über dich gespeichert sind
  • Berichtigung (Art. 16) — unrichtige Daten korrigieren lassen
  • Löschung(Art. 17) — auch „Recht auf Vergessenwerden“
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21) — gegen Verarbeitung auf Grundlage berechtigter Interessen
  • Beschwerde (Art. 77) — bei einer Datenschutz-Aufsichtsbehörde, in Deutschland deinem Bundesland-Datenschutzbeauftragten

Wenn du eines dieser Rechte ausüben möchtest, schreib uns an kontakt.restres@gmail.com. Wir antworten in der Regel innerhalb von 30 Tagen.

7. Stornierung deiner Reservierung

Du kannst deine Reservierung jederzeit selbst stornieren über den persönlichen Link, den wir dir in der Bestätigungs-E-Mail schicken. Daraufhin wird der Status der Reservierung im System aktualisiert; die historischen Datensätze bleiben aus rechnungstechnischen Gründen bestehen (siehe Speicherdauer), werden aber nicht weiter verarbeitet.

8. Datenübermittlung in Drittländer

Einige unserer Dienstleister (Supabase, Vercel) haben ihren Hauptsitz in den USA. Wo möglich nutzen wir EU-Regionen (Datenbank in Frankfurt, Mail-Versand über Irland), und schließen die nach DSGVO erforderlichen Standardvertragsklauseln mit den Anbietern. Eine Übermittlung in die USA ist nicht vollständig auszuschließen; wir minimieren die übermittelten Daten und halten uns über den aktuellen Stand des Drittlands-Angemessenheitsbeschlusses (EU-U.S. Data Privacy Framework) auf dem Laufenden.

9. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich technische oder rechtliche Rahmenbedingungen ändern. Die jeweils aktuelle Version findest du auf dieser Seite mit dem Stand-Datum oben.