selection⁺
ENTWURF — Vor Live-Schaltung müssen alle [PLATZHALTER] ausgefüllt und ein Anwalt das Dokument freigegeben haben. Mit [ANWALT: …] markierte Stellen benötigen explizite Anwalts-Prüfung. Stand: 08.05.2026.

Datenschutzerklärung

selection⁺ — Stand: [STAND-DATUM — nach Anwalts-Freigabe eintragen, z. B. „Mai 2026“]

Inhaltsverzeichnis

1. Verantwortlicher (Art. 4 Abs. 7 DSGVO)

[FIRMENNAME / NAME-DES-INHABERS]
[STRASSE HAUSNUMMER]
[PLZ ORT]
Deutschland
E-Mail: kontakt@selection-plus.de

Vollständige Angaben: siehe Impressum

2. Allgemeine Hinweise zur Datenverarbeitung

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Wir verarbeiten personenbezogene Daten nur soweit dies gesetzlich erlaubt ist oder Sie eingewilligt haben.

Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Eine Weitergabe an Dritte erfolgt ausschließlich auf Basis gesetzlicher Erlaubnis oder Ihrer Einwilligung. Subunternehmer (Auftragsverarbeiter) werden vertraglich auf DSGVO-Konformität verpflichtet (Art. 28 DSGVO).

3. Rechte der Betroffenen

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — für Listings zusätzlich über /listing-removal ohne Account möglich
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist die Behörde am Wohnort oder Arbeitsplatz sowie die Behörde am Sitz des Verantwortlichen

Anfragen richten Sie formlos per E-Mail an: kontakt@selection-plus.de

4. Hosting & technische Bereitstellung

a) Vercel (Frontend-Hosting)

Anbieter: Vercel Inc., 340 Pine Street, Suite 600, San Francisco, CA 94104, USA. Standort: USA (Drittland) mit EU-Edge-Nodes. DPA und EU-Standardvertragsklauseln (SCCs) vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: schnelle, sichere Bereitstellung der Website). Bei Aufruf der Website übermittelt Ihr Browser automatisch Server-Log-Daten (IP-Adresse, User-Agent, Timestamp, aufgerufene URL) an Vercel-Server.

b) Supabase (Datenbank, Auth, Storage)

Anbieter: Supabase Inc., 970 Trestle Glen Road, Oakland, CA 94610, USA. Daten-Region: [EU-WEST-1 / eu-central-1 — bitte im Supabase-Dashboard prüfen und eintragen]. DPA und SCCs vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Betrieb der Plattform). In Supabase werden alle Plattform-Daten gespeichert (Listings, Accounts, Anfragen — Details in Abschnitt 6).

5. Server-Logs

Bei jedem Aufruf unserer Website werden durch Vercel automatisch folgende Daten erfasst:

  • IP-Adresse (durch Vercel nach kurzer Zeit gekürzt)
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene URL und HTTP-Methode
  • Browser-Typ und Betriebssystem (User-Agent)
  • HTTP-Statuscode und übertragene Datenmenge
  • Referrer-URL (vorher besuchte Seite)

Aufbewahrungsdauer: [VERCEL_LOG_RETENTION — bitte im Vercel-Dashboard prüfen, typisch 30 Tage].

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit, Fehleranalyse und Abwehr von Angriffen).

6. Plattform-Daten

a) Listings & Editorial-Content

Wir betreiben ein kuratiertes Unternehmensverzeichnis. Listing-Daten (Name, Adresse, Telefon, E-Mail, Website, Öffnungszeiten, Fotos) stammen aus öffentlichen Google-Maps-Daten oder werden von Inhabern selbst eingegeben. Bei Einzelunternehmen können diese Daten personenbezogen sein.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem aktuellen, öffentlich zugänglichen Stadtverzeichnis; Datenquelle ist öffentlich). Inhaber können ihr Listing jederzeit übernehmen, berichtigen oder über /listing-removal entfernen lassen.

b) Business-Accounts (Listing-Inhaber)

Gespeicherte Daten: E-Mail-Adresse, Passwort-Hash (verwaltet durch Supabase Auth — bcrypt), Firmenname, optional Name des Kontakts. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zugang zum Business-Dashboard). Speicherdauer: bis zur Account-Löschung durch den Inhaber.

c) VP-Subscriptions (zahlende Kunden)

Gespeicherte Daten: Stripe-Customer-ID, Stripe-Subscription-ID, Abrechnungsintervall, Zahlungsstatus, Laufzeitdaten (paid_until, minimum_end_date). Zahlungs- und Bankdaten werden ausschließlich durch Stripe verarbeitet und nie auf unseren Servern gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflicht). Speicherdauer: bis zu 10 Jahre nach Vertragsende (§ 257 HGB, § 147 AO).

d) Listing-Löschanfragen

Gespeicherte Daten: Vor- und Nachname, E-Mail, Telefon, Funktion im Betrieb, Begründung, IP-Hash (SHA-256 + Salt — pseudonymisiert, nicht zurückverfolgbar), User-Agent. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung des Löschungsrechts nach DSGVO Art. 17), Art. 6 Abs. 1 lit. f DSGVO (Spam-Schutz durch IP-Pseudonymisierung). Speicherdauer: 30 Tage nach Bearbeitung, dann automatische Löschung.

e) Listing-Übernahme-Anfragen (Claim)

Identische Datenerhebung wie Löschanfragen (d). Zusätzlich: optional Motivation (Freitext). Rechtsgrundlage und Speicherdauer: analog zu (d).

f) Listing-Änderungsanfragen

Gespeicherte Daten: Account-ID des Antragstellers, geänderte Felder (als strukturierter JSON-Diff: Vorher/Nachher-Werte). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Listing-Inhaber). Speicherdauer: bis 90 Tage nach Bearbeitung.

7. E-Mail-Versand

a) Resend (Transaktions-Mails)

Anbieter: Resend Inc., 2261 Market Street #4496, San Francisco, CA 94114, USA. Zweck: Versand von Transaktions-Mails (Willkommens-Mail, Zahlungsbestätigung, Kündigung, Verifikations-Links für Claim/Removal). DPA und EU-Standardvertragsklauseln (SCCs) vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. bei Verifikations-Mails an Listing-Inhaber).

b) E-Mail-Log (interner Audit-Trail)

Wir führen einen internen Mail-Log (Empfänger-Adresse, Betreff, HTML-Inhalt, Versandstatus, Resend-Nachrichten-ID) zum Nachweis erfolgter Kommunikation und zur Unterstützung bei Support-Anfragen. Speicherdauer: 90 Tage, dann automatische Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nachweis der Kommunikation und Support-Fähigkeit).

8. Zahlungsabwicklung (Stripe)

Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland (für EU-Kunden); Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA (Muttergesellschaft). DPA und SCCs vereinbart.

Karten- und Bankdaten werden ausschließlich durch Stripe verarbeitet. Diese Daten gehen nie über unsere Server — der Browser des Kunden kommuniziert direkt mit Stripe. Wir speichern ausschließlich Stripe-Customer-ID und Stripe-Subscription-ID für die Vertrags-Zuordnung sowie Idempotenz-Keys aus Webhook-Events.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung). Weitere Informationen: Stripe Datenschutzrichtlinie.

9. Externe Dienste & Inhalte

a) Unsplash (Symbolbilder via Hotlink)

Auf Listen-Seiten werden Symbolbilder direkt von images.unsplash.com geladen (Hotlinking gemäß Unsplash-Lizenz). Dabei kontaktiert Ihr Browser direkt Unsplash-Server; übermittelte Daten: IP-Adresse, User-Agent, Referrer. Anbieter: Unsplash Inc., Montréal, Kanada. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bildqualität, Lizenz-Compliance).

b) Google Places API (Detail-Fotos)

Fotos auf Listing-Detail-Seiten werden über unseren Server als Proxy mit 24-Stunden-Cache von der Google Places API geladen. Ihr Browser kommuniziert dabei nicht direkt mit Google — der Request geht über unsere Server, Ihre IP wird nicht an Google übermittelt. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. DPA (Google Cloud DPA) vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

c) Nominatim / OpenStreetMap (Geocoding)

Beim Anlegen von Listings wird die Adresse serverseitig über die Nominatim-API von OpenStreetMap in Koordinaten umgewandelt. Dabei wird nur der Adress-String übermittelt — keine Nutzerdaten. Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, UK. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

10. Tracking & Analytics

a) Plausible Analytics

Wir nutzen Plausible Analytics für aggregierte Reichweiten-Statistiken. Plausible ist cookiefrei, speichert keine IP-Adressen und erstellt keine persönlichen Profile. Daten werden nur in aggregierter Form verarbeitet. Server-Standort: EU (Hetzner, Nürnberg). Anbieter: Plausible Insights OÜ, Vaksali 17a, 50410 Tartu, Estland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Kein Cookie-Banner erforderlich.

b) Interne Aufruf- und Klickzählung

Wir zählen intern Seitenaufrufe pro Listing/Branche/Stadt (Tabellepage_views) sowie ausgehende Klicks auf Listing-Websites (Tabelle outbound_clicks). Es werden keine Nutzer-IDs oder IP-Adressen gespeichert — ausschließlich aggregierte Zählwerte pro Listing. Zweck: Nachfrage-Messung für die Preis-Kalkulation und Owner-Statistiken. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

11. Authentifizierung & Sessions

Das Login-System für Business-Accounts und Admin-Bereich wird durch Supabase Auth bereitgestellt. Nach erfolgreicher Anmeldung werden Session-Cookies gesetzt:

NameZweckAnbieterSpeicherdauer
sb-*-auth-tokenLogin-Session (HttpOnly, SameSite=Lax)Supabase7 Tage
sb-*-auth-token.0Session-Chunk (bei langen Tokens)Supabase7 Tage

Diese Cookies sind technisch notwendig für die Login-Funktion und werden ohne Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Kein Cookie-Banner erforderlich.

12. Sicherheit

  • HTTPS/TLS: Alle Verbindungen sind durch TLS verschlüsselt (HTTPS-Pflicht via Vercel).
  • Passwörter: Werden durch Supabase Auth gehasht (bcrypt) und nie im Klartext gespeichert.
  • IP-Pseudonymisierung: IP-Adressen in Anfrage-Tabellen werden als SHA-256-Hash mit Secret-Salt gespeichert — nicht zurückrechenbar, erfüllt Pseudonymisierungsgebot gemäß Art. 25 DSGVO.
  • Rate-Limiting: Formulare sind gegen Missbrauch durch IP-basierte Anfrage-Begrenzung geschützt.
  • Webhook-Idempotenz: Stripe-Webhook-Events werden mit Idempotenz-Keys persistiert — kein Doppel-Verbuchen bei Netzwerk-Retry.
  • Row-Level-Security: Supabase-Datenbank ist durch RLS-Policies abgesichert — Business-Accounts sehen nur eigene Listings.

13. Cookies & LocalStorage

selection⁺ setzt keine Marketing-, Tracking- oder Werbe-Cookies. Es gibt keine Cookie-Banner-Pflicht, weil wir nur technisch notwendige Cookies (Session) und cookiefreie Analytics (Plausible) nutzen.

Plausible Analytics setzt keine Cookies. Wir verwenden kein eigenes Tracking-Cookie und keine Fingerprinting-Technologien.

14. Drittlandsübermittlung

Folgende Dienstleister haben ihren Sitz in Drittländern (außerhalb EU/EWR). Als Garantie gemäß Art. 46 DSGVO wurden jeweils EU-Standardvertragsklauseln (SCCs) vereinbart:

AnbieterLandGarantie
Vercel Inc.USASCCs
Supabase Inc.USA (EU-Region wählbar)SCCs
Stripe Inc.USA (EU-Entity: Irland)SCCs
Resend Inc.USASCCs
Google Ireland Ltd.USA (EU-Entity: Irland)SCCs + Adequacy

[ANWALT: Vollständigkeit und aktuelle SCC-Versionen prüfen]

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, wenn sich rechtliche Vorgaben ändern oder wir neue Dienste einsetzen. Die jeweils aktuelle Version ist unter selection-plus.de/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist am Anfang dieser Seite ausgewiesen.

16. Stand

[STAND-DATUM — nach Anwalts-Freigabe eintragen, z. B. „Mai 2026“]

[ANWALT: Dieses Datum nach finaler Freigabe setzen. Das Datum markiert den Zeitpunkt, ab dem diese Version rechtsverbindlich gilt.]