selection⁺ — Stand: Juni 2026
Vollständige Angaben: siehe Impressum
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Wir verarbeiten personenbezogene Daten nur soweit dies gesetzlich erlaubt ist oder Sie eingewilligt haben.
Wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Eine Weitergabe an Dritte erfolgt ausschließlich auf Basis gesetzlicher Erlaubnis oder Ihrer Einwilligung. Subunternehmer (Auftragsverarbeiter) werden vertraglich auf DSGVO-Konformität verpflichtet (Art. 28 DSGVO).
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
Anfragen richten Sie formlos per E-Mail an: hi@selection-plus.de
Anbieter: Vercel Inc., 340 Pine Street, Suite 600, San Francisco, CA 94104, USA. Standort: USA (Drittland) mit EU-Edge-Nodes. DPA und EU-Standardvertragsklauseln (SCCs) vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: schnelle, sichere Bereitstellung der Website). Bei Aufruf der Website übermittelt Ihr Browser automatisch Server-Log-Daten (IP-Adresse, User-Agent, Timestamp, aufgerufene URL) an Vercel-Server.
Anbieter: Supabase Inc., 970 Trestle Glen Road, Oakland, CA 94610, USA. Daten-Region: eu-central-1 (Frankfurt). DPA und SCCs vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (Betrieb der Plattform). In Supabase werden alle Plattform-Daten gespeichert (Listings, Accounts, Anfragen — Details in Abschnitt 6).
Bei jedem Aufruf unserer Website werden durch Vercel automatisch folgende Daten erfasst:
Aufbewahrungsdauer: 30 Tage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit, Fehleranalyse und Abwehr von Angriffen).
Wir betreiben ein kuratiertes Unternehmensverzeichnis. Listing-Daten (Name, Adresse, Telefon, E-Mail, Website, Öffnungszeiten, Fotos) stammen aus öffentlichen Google-Maps-Daten oder werden von Inhabern selbst eingegeben. Bei Einzelunternehmen können diese Daten personenbezogen sein.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem aktuellen, öffentlich zugänglichen Stadtverzeichnis; Datenquelle ist öffentlich). Inhaber können ihr Listing jederzeit übernehmen, berichtigen oder über /listing-removal entfernen lassen.
Gespeicherte Daten: E-Mail-Adresse, Passwort-Hash (verwaltet durch Supabase Auth — bcrypt), Firmenname, optional Name des Kontakts. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Zugang zum Business-Dashboard). Speicherdauer: bis zur Account-Löschung durch den Inhaber.
Gespeicherte Daten: Stripe-Customer-ID, Stripe-Subscription-ID, Abrechnungsintervall, Zahlungsstatus, Laufzeitdaten (paid_until, minimum_end_date). Zahlungs- und Bankdaten werden ausschließlich durch Stripe verarbeitet und nie auf unseren Servern gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflicht). Speicherdauer: bis zu 10 Jahre nach Vertragsende (§ 257 HGB, § 147 AO).
Gespeicherte Daten: Vor- und Nachname, E-Mail, Telefon, Funktion im Betrieb, Begründung, IP-Hash (SHA-256 + Salt — pseudonymisiert, nicht zurückverfolgbar), User-Agent. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung des Löschungsrechts nach DSGVO Art. 17), Art. 6 Abs. 1 lit. f DSGVO (Spam-Schutz durch IP-Pseudonymisierung). Speicherdauer: 30 Tage nach Bearbeitung, dann automatische Löschung.
Identische Datenerhebung wie Löschanfragen (d). Zusätzlich: optional Motivation (Freitext). Rechtsgrundlage und Speicherdauer: analog zu (d).
Gespeicherte Daten: Account-ID des Antragstellers, geänderte Felder (als strukturierter JSON-Diff: Vorher/Nachher-Werte). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit dem Listing-Inhaber). Speicherdauer: bis 90 Tage nach Bearbeitung.
Anbieter: Resend Inc., 2261 Market Street #4496, San Francisco, CA 94114, USA. Zweck: Versand von Transaktions-Mails (Willkommens-Mail, Zahlungsbestätigung, Kündigung, Verifikations-Links für Claim/Removal). DPA und EU-Standardvertragsklauseln (SCCs) vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse, z. B. bei Verifikations-Mails an Listing-Inhaber).
Wir führen einen internen Mail-Log (Empfänger-Adresse, Betreff, HTML-Inhalt, Versandstatus, Resend-Nachrichten-ID) zum Nachweis erfolgter Kommunikation und zur Unterstützung bei Support-Anfragen. Speicherdauer: 90 Tage, dann automatische Löschung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Nachweis der Kommunikation und Support-Fähigkeit).
Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland (für EU-Kunden); Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA (Muttergesellschaft). DPA und SCCs vereinbart.
Karten- und Bankdaten werden ausschließlich durch Stripe verarbeitet. Diese Daten gehen nie über unsere Server — der Browser des Kunden kommuniziert direkt mit Stripe. Wir speichern ausschließlich Stripe-Customer-ID und Stripe-Subscription-ID für die Vertrags-Zuordnung sowie Idempotenz-Keys aus Webhook-Events.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung). Weitere Informationen: Stripe Datenschutzrichtlinie.
Auf Listen-Seiten werden Symbolbilder direkt von images.unsplash.com geladen (Hotlinking gemäß Unsplash-Lizenz). Dabei kontaktiert Ihr Browser direkt Unsplash-Server; übermittelte Daten: IP-Adresse, User-Agent, Referrer. Anbieter: Unsplash Inc., Montréal, Kanada. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Bildqualität, Lizenz-Compliance).
Fotos auf Listing-Detail-Seiten werden über unseren Server als Proxy mit 24-Stunden-Cache von der Google Places API geladen. Ihr Browser kommuniziert dabei nicht direkt mit Google — der Request geht über unsere Server, Ihre IP wird nicht an Google übermittelt. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. DPA (Google Cloud DPA) vereinbart. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Beim Anlegen von Listings wird die Adresse serverseitig über die Nominatim-API von OpenStreetMap in Koordinaten umgewandelt. Dabei wird nur der Adress-String übermittelt — keine Nutzerdaten. Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge, CB4 0WS, UK. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Wir nutzen Plausible Analytics für aggregierte Reichweiten-Statistiken. Plausible ist cookiefrei, speichert keine IP-Adressen und erstellt keine persönlichen Profile. Daten werden nur in aggregierter Form verarbeitet. Server-Standort: EU (Hetzner, Nürnberg). Anbieter: Plausible Insights OÜ, Vaksali 17a, 50410 Tartu, Estland. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Kein Cookie-Banner erforderlich.
Wir zählen intern Seitenaufrufe pro Listing/Branche/Stadt (Tabellepage_views) sowie ausgehende Klicks auf Listing-Websites (Tabelle outbound_clicks). Es werden keine Nutzer-IDs oder IP-Adressen gespeichert — ausschließlich aggregierte Zählwerte pro Listing. Zweck: Nachfrage-Messung für die Preis-Kalkulation und Owner-Statistiken. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Das Login-System für Business-Accounts und Admin-Bereich wird durch Supabase Auth bereitgestellt. Nach erfolgreicher Anmeldung werden Session-Cookies gesetzt:
| Name | Zweck | Anbieter | Speicherdauer |
|---|---|---|---|
| sb-*-auth-token | Login-Session (HttpOnly, SameSite=Lax) | Supabase | 7 Tage |
| sb-*-auth-token.0 | Session-Chunk (bei langen Tokens) | Supabase | 7 Tage |
Diese Cookies sind technisch notwendig für die Login-Funktion und werden ohne Einwilligung gesetzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Kein Cookie-Banner erforderlich.
Folgende Dienstleister haben ihren Sitz in Drittländern (außerhalb EU/EWR). Als Garantie gemäß Art. 46 DSGVO wurden jeweils EU-Standardvertragsklauseln (SCCs) vereinbart:
| Anbieter | Land | Garantie |
|---|---|---|
| Vercel Inc. | USA | SCCs |
| Supabase Inc. | USA (EU-Region: Frankfurt) | SCCs |
| Stripe Inc. | USA (EU-Entity: Irland) | SCCs |
| Resend Inc. | USA | SCCs |
| Google Ireland Ltd. | USA (EU-Entity: Irland) | SCCs + Adequacy |
Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, wenn sich rechtliche Vorgaben ändern oder wir neue Dienste einsetzen. Die jeweils aktuelle Version ist unter selection-plus.de/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist am Anfang dieser Seite ausgewiesen.
Juni 2026