Datenschutzerklärung
Stand: Mai 2026 · SAMD Solutions GmbH · TischFertig
Inhalt
1. Verantwortlicher (Art. 13 Abs. 1 lit. a DSGVO)
SAMD Solutions GmbH
Am Glüsig 1C, 39365 Harbke
Geschäftsführer: Stefan Silder
E-Mail: datenschutz@tischfertig.net
Telefon: 015110988717
Handelsregister: HRB 35912, Amtsgericht Stendal
2. Hosting (Hostinger)
Diese Website wird gehostet bei Hostinger International Ltd., 61 Lordou Vironos, 6023 Larnaca, Zypern (EU-Rechenzentren). Bei jedem Aufruf werden Server-Logfiles erfasst: IP-Adresse (pseudonymisiert nach 7 Tagen), Datum/Uhrzeit, aufgerufene URL, Browser und Betriebssystem.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt als Standard-Vertrag über die Hostinger-Nutzungsbedingungen vor. Speicherdauer: 14 Tage.
3. Anfrage-Formular / Lead-Erfassung
Wenn Sie das Anfrage-Formular nutzen, werden folgende Daten erhoben: Restaurantname, Name, E-Mail-Adresse, Telefonnummer, Restaurantadresse und Google-Maps-URL. Zweck: Bearbeitung Ihrer Anfrage und Erstellung der Musterseite (vorvertragliche Maßnahme). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: 24 Monate nach letztem Kontakt, danach Löschung.
4. Supabase (Datenbankdienstleister)
Ihre Formulardaten werden gespeichert bei Supabase Inc. (USA), Datenhaltung auf AWS eu-central-1 (Frankfurt/DE). Ein Standard-Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist abrufbar unter supabase.com/legal/dpa und wird durch die Nutzung der API akzeptiert. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Art. 45 DSGVO); Supabase ist unter dem DPF zertifiziert.
5. Stripe (Zahlungsabwicklung)
Für die Zahlungsabwicklung nutzen wir Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland. Bei Klick auf einen Zahlungslink werden Sie auf die Stripe-Plattform weitergeleitet — TischFertig speichert keine Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Ein Standard-Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO liegt über Stripes Data Processing Agreement vor (abrufbar unter stripe.com/de/legal/dpa).
6. KI-Dienste (Website-Erstellung und Kommunikation)
TischFertig setzt zur Leistungserbringung folgende KI-Systeme ein (EU AI Act Art. 50 — Transparenzpflicht):
- Anthropic Claude API (Anthropic, PBC, San Francisco, USA) — Texterstellung und Website-Entwürfe. API-Eingaben werden nicht für das Training von Modellen verwendet. Drittlandtransfer nach den dokumentierten Standardvertragsklauseln/Anbieterbedingungen; eine gesonderte DPF-Zertifizierung wird hier nicht behauptet.
- ElevenLabs (ElevenLabs, Inc., USA) — KI-Sprachsynthese für telefonische Kontaktaufnahme. Stimmdaten werden nicht gespeichert. EU-US DPF: Status wird geprüft, SCCs liegen vor.
- Twilio (Twilio Inc., USA) — Telefonie-Infrastruktur für KI-gestützte Anrufe. EU-US DPF zertifiziert. Auftragsverarbeitungsvertrag gemäß Twilio Data Processing Addendum (Standardvertrag, online abrufbar).
- fal.ai (fal.ai, Inc., USA) — KI-Bildgenerierung für fehlende Restaurant-Fotos. Es sollen keine personenbezogenen Kundendaten übermittelt werden; Drittlandtransfer nach dokumentierten SCCs, formaler DPA-Nachweis noch eingeschränkt.
Dabei können die vom Kunden bereitgestellten oder aus öffentlich zugänglichen Quellen erhobenen Restaurantinformationen verarbeitet werden. Dies kann im Einzelfall auch personenbezogene Informationen enthalten, etwa Inhaber-/Kontaktangaben oder in öffentlichen Bewertungen enthaltene Namen.
Telefonische Kontaktaufnahme: TischFertig kann Restaurants KI-gestützt telefonisch kontaktieren. Zu Beginn jedes Gesprächs wird auf den KI-Einsatz hingewiesen. Telefonate werden nicht aufgezeichnet (§ 201 StGB). Die erfassten Gesprächsergebnisse (E-Mail, Rückrufwunsch) werden in Supabase gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (eigene Kundendaten); Art. 6 Abs. 1 lit. f DSGVO (öffentlich zugängliche Daten Dritter, berechtigtes Interesse an geschäftlicher Kontaktaufnahme).
7. Nutzungs- und Conversion-Messung (Einwilligungspflichtig, § 25 Abs. 1 TDDDG)
Zur Verbesserung der Benutzerführung und zur Messung der Formularfunktion können wir — nur mit Ihrer ausdrücklichen Einwilligung — einfache Nutzungsereignisse erfassen. Dabei werden eine zufällig erzeugte Sitzungs-ID (tf_sid, sessionStorage), Eventnamen (z. B. Formularstart, Formularschritt, Formularabsendung), Gerätetyp, CTA-/Paket-Kontext sowie die Information verarbeitet, ob eine Website- oder Google-Maps-URL angegeben wurde. Eine direkte Identifizierung einzelner Nutzer ist nicht beabsichtigt. Die Daten werden in Supabase (Tabelle funnel_events) gespeichert.
Rechtsgrundlage: § 25 Abs. 1 TDDDG (Einwilligung) i.V.m. Art. 6 Abs. 1 lit. a DSGVO. Die Messung wird erst aktiviert, nachdem Sie im Cookie-Banner auf „Analyse akzeptieren" geklickt haben. Ohne Einwilligung werden weder die Sitzungs-ID erzeugt noch Events an Supabase gesendet. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie im Footer auf „Cookie-Einstellungen" klicken und „Nur technisch notwendige" wählen.
8. Cookies und lokaler Speicher
Diese Website nutzt technisch notwendige Speicherfunktionen sowie eine einfache, eigenbetriebene Nutzungs- und Conversion-Messung über Supabase (siehe Abschnitt 7, § 25 TDDDG). Es werden keine externen Werbe- oder Analytics-Dienste wie Google Analytics oder Meta Pixel eingesetzt.
| Name | Typ | Zweck | Laufzeit |
|---|---|---|---|
| dr_cookie_ok | localStorage | Merkt Hinweisentscheidung (Akzeptieren / Ablehnen) | Bis Löschung |
| dr_lang | localStorage | Sprachpräferenz | Bis Löschung |
| tf_sid | sessionStorage | Zufällige Sitzungs-ID für Funnel-Events (Conversion-Messung) — nur mit Einwilligung | Browsersitzung (entfernt bei Ablehnung) |
| sb-access-token / sb-refresh-token | Cookie / localStorage | Supabase-Authentifizierung (nur bei Login-Interaktion) | 1 h / 30 Tage |
| __stripe_mid / __stripe_sid | Cookie | Stripe: Betrugserkennung / Zahlungs-Session (nur bei Checkout) | 1 Jahr / 30 Min. |
9. Ihre Rechte (Art. 15–22 DSGVO)
Sie haben folgende Rechte gegenüber uns hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunft (Art. 15): Welche Daten gespeichert sind
- Berichtigung (Art. 16): Korrektur unrichtiger Daten
- Löschung (Art. 17): „Recht auf Vergessenwerden"
- Einschränkung (Art. 18): Verarbeitung einschränken
- Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format
- Widerspruch (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen
- Beschwerde (Art. 77): Bei der zuständigen Aufsichtsbehörde
Kontakt für Datenschutzanfragen: datenschutz@tischfertig.net
Aufsichtsbehörde: Landesbeauftragter für den Datenschutz Sachsen-Anhalt, Hasselbachstraße 1a, 39104 Magdeburg.
10. Löschfristen
Wir löschen personenbezogene Daten, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen:
- Server-Logs: 14 Tage
- Funnel-Events (Conversion-Messung): 90 Tage (automatisiert)
- Anrufprotokolle: 6 Monate (automatisiert)
- Leads ohne Vertrag: 24 Monate nach letztem Kontakt (automatisierte Anonymisierung)
- Kundendaten (aktive Verträge): Vertragsdauer + 10 Jahre (§ 147 AO, § 257 HGB)
Gesetzliche Aufbewahrungspflichten (§§ 238, 257 HGB; § 147 AO) bleiben unberührt. Das vollständige Löschkonzept ist intern dokumentiert.
11. Drittländer-Transfers
| Dienstleister | Funktion | Sitz / Server | Transfergrundlage |
|---|---|---|---|
| Supabase Inc. | Datenbank | USA / AWS Frankfurt | Art. 45 DSGVO (EU-US DPF), Standard-DPA (supabase.com/legal/dpa) |
| Anthropic, PBC | KI-Texterstellung | USA | Art. 46 DSGVO (SCCs/Anbieterbedingungen; Nachweis archiviert, keine öffentliche DPF-Behauptung) |
| Stripe Payments Europe | Zahlungsabwicklung | Irland / EU | Art. 6 Abs. 1 lit. b DSGVO, Standard-DPA (stripe.com/de/legal/dpa) |
| Hostinger International Ltd. | Hosting | Zypern / EU | Art. 28 DSGVO, Standard-DPA (hostinger.com/legal) |
| ElevenLabs, Inc. | KI-Sprachsynthese | USA | Art. 46 DSGVO (SCCs), Standard-DPA (elevenlabs.io/legal) |
| Twilio Inc. | Telefonie | USA | Art. 45 DSGVO (EU-US DPF), Standard-DPA (twilio.com/legal/data-protection) |
| fal.ai, Inc. | KI-Bildgenerierung | USA | Art. 46 DSGVO (SCCs dokumentiert; kein PII-Transfer vorgesehen, formaler DPA-Nachweis eingeschränkt) |
| Raidboxes GmbH | WordPress-Hosting (Kunden) | Deutschland / EU | Art. 28 DSGVO; AVV-Nachweis auf Anfrage, Status intern eingeschränkt dokumentiert |
| Telegram FZ-LLC | Interner Bot (kein Kundenkontakt) | UAE / EU-Server | Art. 6 Abs. 1 lit. f DSGVO |