Von Bis Restaurant Logo

Datenschutzerklärung

Stand: Mai 2026

Mit den folgenden Hinweisen informieren wir Sie gemäß Art. 13 DSGVO (sowie ggf. Art. 14) über die Verarbeitung personenbezogener Daten im Zusammenhang mit dieser Website.

Die nachstehenden Datenschutzhinweise erläutern, welche personenbezogenen Daten wir beim Besuch dieser Website, bei Kontaktaufnahmen, bei Bewerbungen sowie bei der Freigabe externer Inhalte verarbeiten.

1. Verantwortlicher

Verantwortlicher für die Verarbeitung personenbezogener Daten auf dieser Website im Sinne der DSGVO ist:

Schnellrestaurant „von-bis“

Inhaberin: Sonja Lamaack-Kutschera

Kanalplatz 8a

21079 Hamburg

Deutschland

Telefon: +49 40 777434

E-Mail: kontakt@vonbis-restaurant.de

2. Rechtsgrundlagen der Verarbeitung

Die Rechtsgrundlage für jede einzelne Verarbeitung personenbezogener Daten ergibt sich aus dem jeweiligen Abschnitt dieser Datenschutzerklärung. Sofern wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) stützen, ist das jeweils zugrunde liegende berechtigte Interesse in den einzelnen Abschnitten benannt. Für die Speicherung von Informationen in Ihrem Endgerät oder den Zugriff darauf gilt zusätzlich § 25 TDDDG.

3. Hosting und Server-Logfiles (Vercel)

Für das Hosting und die technische Bereitstellung dieser Website nutzen wir die Dienste der Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA.

Serverless Functions bzw. serverseitige Funktionen werden nach unserer Konfiguration in der Region Frankfurt am Main ausgeführt. Die statische Auslieferung der Website erfolgt über das global verteilte Edge-Netzwerk von Vercel. Build-Prozesse sowie produktbedingte Observability- und Log-Daten werden bei Vercel regelmäßig in US-Regionen verarbeitet.

Beim Aufruf der Website werden technisch erforderliche Verbindungsdaten verarbeitet. Hierzu zählen insbesondere:

  • IP-Adresse
  • Datum und Uhrzeit des Abrufs
  • aufgerufene URLs und HTTP-Statuscodes
  • übertragene Datenmenge
  • Referrer-URL
  • Browsertyp und -version
  • Betriebssystem

Zweck: sichere und stabile Bereitstellung der Website, Schutz vor Missbrauch, Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionsfähigen, sicheren Webauftritt).

Speicherdauer:

  • Standard-Runtime-Logs werden für einen Tag vorgehalten.
  • Detaillierte Observability-Daten (CDN-/Edge-Request-Logs, ISR-Logs, Function-Logs) werden für bis zu 30 Tage vorgehalten.

Drittlandtransfer: Vercel hat seinen Sitz in den USA. Mit Vercel besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO. Soweit Daten in die USA übermittelt werden, beruht dies auf:

  • dem Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (Art. 45 DSGVO); Vercel Inc. ist nach dem DPF zertifiziert;
  • ergänzend EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914.

4. Schutz vor Missbrauch (Rate-Limiting, Upstash)

Zum Schutz unserer Formulare, API-Endpunkte und der Website vor automatisiertem Missbrauch (z. B. Spam, Brute-Force-Versuche, übermäßige Anfragen) setzen wir einen Rate-Limiting-Dienst der Upstash, Inc., 350 South 1st Street, San Jose, CA 95113, USA ein.

Datenstandort: Die eingesetzte Redis-Instanz wird in der Region Frankfurt am Main (Deutschland, EU) betrieben.

Verarbeitet werden ausschließlich folgende Daten:

  • die IP-Adresse des Anfragenden
  • Zugriffszeitstempel
  • Anzahl der Anfragen pro Endpunkt im jeweiligen Zeitfenster

Zweck: IT-Sicherheit, Schutz vor missbräuchlicher Nutzung unserer Endpunkte (insbesondere Kontakt-, Reservierungs-, Catering- und ähnlicher Formulare).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem missbrauchsfreien, sicheren Betrieb der Website).

Speicherdauer: Die Rate-Limit-Zähler werden in sehr kurzen Zeitfenstern (60-Sekunden-Buckets) verarbeitet. Die zugehörigen Datensätze werden technisch bedingt mit einer maximalen TTL von rund 2 Minuten automatisch gelöscht. Eine Auswertung über das Zeitfenster hinaus (Analytics) findet nicht statt.

Drittlandtransfer: Die operative Verarbeitung der Rate-Limit-Daten erfolgt in der eingesetzten Redis-Instanz innerhalb der EU (Frankfurt am Main). Da Upstash, Inc. seinen Sitz in den USA hat, können administrative oder unterstützende Zugriffe aus den USA nicht vollständig ausgeschlossen werden. Mit Upstash besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Data Processing Addendum). Soweit hierbei personenbezogene Daten in die USA übermittelt werden, beruht dies auf:

  • dem Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (Art. 45 DSGVO); Upstash, Inc. ist nach dem EU-U.S. DPF (einschließlich UK-Extension und Swiss-U.S. DPF) zertifiziert;
  • ergänzend EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 (Art. 46 Abs. 2 lit. c DSGVO).

5. Content-Management-System (Sanity)

Zur Verwaltung redaktioneller Inhalte, Medien und strukturierter Daten verwenden wir das Content-Management-System der Sanity AS, Slottsgata 3, 0157 Oslo, Norwegen (mit der US-Tochtergesellschaft Sanity Inc.).

Speicherort: Die Inhaltsdaten werden auf einer Google-Cloud-Infrastruktur im Rechenzentrum St. Ghislain, Belgien (EU) gespeichert. Zur weltweiten Auslieferung über das Sanity-CDN können Inhalte technisch bedingt auch in andere Regionen ausgeliefert werden.

Verarbeitet werden insbesondere API-Anfragen, Medien-Requests sowie technische Nutzungs- und Protokolldaten, soweit dies für die Auslieferung, Versionierung und redaktionellen Vorschaufunktionen erforderlich ist.

Zweck: Verwaltung, Pflege und Bereitstellung der Website-Inhalte sowie Sicherstellung einer effizienten redaktionellen Arbeit und einer zuverlässigen Auslieferung der Inhalte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in einer effizienten, sicheren und wirtschaftlich angemessenen Verwaltung sowie Bereitstellung der Website-Inhalte über ein modernes, headless betriebenes Content-Management-System.

Speicherdauer:

  • Inhalts- und Mediendaten: solange sie redaktionell im Projekt vorgehalten werden; Versionierungs- und Änderungshistorie nach Maßgabe von Sanity.
  • Zugriffs-/Server-Logs: nach Angaben von Sanity maximal 90 Tage ab Erhebung, danach Löschung oder Anonymisierung.
  • Restdaten in der Infrastruktur des Subprozessors Google Cloud Platform: kann bei Löschvorgängen technisch bedingt bis zu 180 Tage betragen.

Drittlandtransfer: Norwegen gehört dem EWR an und genießt damit ein der EU gleichgestelltes Datenschutzniveau. Soweit Daten über das Sanity-CDN bzw. die US-Tochtergesellschaft Sanity Inc. in die USA übermittelt werden, beruht dies nach Auskunft von Sanity ausschließlich auf EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 (Art. 46 DSGVO). Eine Zertifizierung von Sanity Inc. nach dem EU-U.S. Data Privacy Framework wird in der Datenschutzerklärung des Anbieters nicht ausgewiesen.

6. Reichweitenmessung (Umami Cloud EU)

Zur statistischen Auswertung der Nutzung unseres Online-Angebots verwenden wir Umami in der Variante „Umami Cloud“ mit Hosting in der Europäischen Union. Anbieter ist die Umami Software, Inc., 28 Geary St, Suite 650 #243, San Francisco, CA 94108, USA.

Nach Angaben des Anbieters setzt Umami keine Cookies und speichert keine direkt identifizierbaren personenbezogenen Daten. Verarbeitet werden insbesondere in anonymisierter oder aggregierter Form:

  • Seitenaufrufe
  • Referrer-URLs
  • Browsertypen und -versionen
  • Betriebssysteme
  • Gerätetypen
  • Herkunftsländer (auf Basis einer anonymisierten IP-Verarbeitung)

Zweck: anonyme Reichweitenmessung und technische Optimierung des Angebots.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Eine Speicherung von oder ein Zugriff auf Informationen im Endgerät im Sinne des § 25 Abs. 1 TDDDG findet nach Angaben des Anbieters nicht statt; eine Einwilligung ist daher nicht erforderlich.

Speicherdauer: Aggregierte statistische Ereignisdaten werden in unserem Umami-Konto für maximal sechs Monate ab Erhebung vorgehalten und anschließend automatisch gelöscht.

Drittlandtransfer: Die Verarbeitung erfolgt auf einer EU-Infrastruktur von Umami Cloud. Da die Muttergesellschaft Umami Software, Inc. ihren Sitz in den USA hat, kann ein administrativer Zugriff aus den USA nicht vollständig ausgeschlossen werden. Insoweit bestehen EU-Standardvertragsklauseln (Art. 46 DSGVO).

7. Kontaktformular und Catering-/Event-Anfragen

Wenn Sie uns über das Kontaktformular oder das Catering-/Event-Anfrageformular kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Angaben zur Bearbeitung Ihrer Anfrage sowie für etwaige Anschlussfragen.

Je nach Eingabe können hiervon insbesondere umfasst sein:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Betreff
  • Nachrichteninhalte
  • für Catering-/Event-Anfragen ggf.: Datum, Personenzahl, Anlass, weitere Wunschangaben

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf den Abschluss oder die Anbahnung eines Vertrags (z. B. Catering) gerichtet ist;
  • Art. 6 Abs. 1 lit. f DSGVO im Übrigen (berechtigtes Interesse an einer geordneten Bearbeitung von Anfragen).

Speicherdauer: Wir speichern die Anfrage und die übermittelten Daten bis zur abschließenden Bearbeitung Ihrer Anfrage. Eine längere Speicherung erfolgt nur, soweit gesetzliche Aufbewahrungspflichten (z. B. nach § 147 AO, § 257 HGB; typischerweise 6, 8 oder 10 Jahre für steuer- bzw. handelsrechtlich relevante Korrespondenz) bestehen oder ein berechtigtes Nachweisinteresse besteht.

8. Versand formbezogener E-Mails (Resend)

Für den technischen Versand von E-Mails, die aus Formulareingaben generiert werden (z. B. Kontaktanfragen, Catering-Anfragen), nutzen wir die Dienste der Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.

Verarbeitet werden insbesondere:

  • Absender- und Empfängerangaben
  • Zeitpunkte des Versands
  • Betreff- und Nachrichteninhalte
  • technische Versand- und Protokolldaten (z. B. Zustellstatus, Bounces)

Zweck: zuverlässige Zustellung formbezogener E-Mails an unsere Postfächer.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in einer zuverlässigen, technisch stabilen und nachvollziehbaren Zustellung der aus unseren Formularen erzeugten E-Mails an unsere Postfächer. Soweit Ihre Anfrage auf den Abschluss oder die Anbahnung eines Vertrags gerichtet ist (z. B. Catering-Anfragen), erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Versand- und Zustellprotokolle werden gemäß Resend-Aufbewahrungsrichtlinie für maximal 30 Tage vorgehalten.

Drittlandtransfer: Resend Inc. verarbeitet Daten in den USA. Resend ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Art. 45 DSGVO). Ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 DSGVO).

9. E-Mail-Eingang und Webmail (STRATO)

Für die Bereitstellung unserer geschäftlichen E-Mail-Postfächer (Webmail) und unserer Domain nutzen wir die STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Deutschland.

Eingehende formbezogene Nachrichten (siehe Ziff. 8) und sonstige E-Mail-Korrespondenz werden in unseren STRATO-Postfächern empfangen, gespeichert und bearbeitet. STRATO betreibt die Mail- und Domain-Infrastruktur in Deutschland.

Zweck: Empfang, Speicherung und Bearbeitung geschäftlicher E-Mails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in der zuverlässigen Bereitstellung geschäftlicher E-Mail-Kommunikation. Soweit eingehende Nachrichten der Anbahnung oder Erfüllung eines Vertrags dienen (z. B. Catering-Anfragen), erfolgt die Verarbeitung ergänzend auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: bis zur abschließenden Bearbeitung der Anfrage, ggf. zzgl. einschlägiger gesetzlicher Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB für steuer-/handelsrechtlich relevante Korrespondenz).

10. Google Maps (Two-Click-Lösung)

Auf dieser Website ist ein Kartendienst von Google Maps eingebunden. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Mutterunternehmen ist die Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Two-Click-Lösung: Die Karte wird nicht automatisch geladen. Beim Aufruf der Seite sehen Sie zunächst einen Platzhalter. Eine Verbindung zu Google wird erst hergestellt, wenn Sie die Kartenanzeige aktiv freigeben.

Nach Ihrer Freigabe werden insbesondere folgende Daten an Google übertragen und dort verarbeitet:

  • IP-Adresse
  • Browser- und Geräteinformationen
  • Referrer-URL
  • weitere für die Darstellung der Karte erforderliche Daten

Eine Verarbeitung durch Google LLC in den USA kann nicht ausgeschlossen werden.

Nach Ihrer Freigabe setzt Google selbst eine Vielzahl eigener Cookies. Diese Cookies dienen unter anderem der Authentifizierung in Google-Diensten, der Sitzungs- und Sicherheitsverwaltung, der Voreinstellungs-Speicherung sowie ggf. der Personalisierung und Werbung. Nähere Informationen entnehmen Sie der Datenschutzerklärung und der Cookie-Übersicht von Google: https://policies.google.com/privacy und https://policies.google.com/technologies/cookies.

Eigenes Cookie zur Einwilligungs-Speicherung: Zum Speichern Ihrer Auswahl setzen wir zusätzlich ein technisch erforderliches First-Party-Cookie mit dem Namen tc_consent auf unserer eigenen Domain. Dieses Cookie speichert ausschließlich Ihre Freigabeentscheidung (einschließlich des Entscheidungszeitpunkts und der Versionierung der Einwilligung) und bleibt für höchstens 180 Tage gespeichert, sofern Sie es nicht vorher widerrufen oder löschen.

Rechtsgrundlage für das Setzen des eigenen Cookies tc_consent: § 25 Abs. 2 Nr. 2 TDDDG. Das Cookie ist unbedingt erforderlich, um Ihre Datenschutz-Entscheidung (Freigabe oder Ablehnung von Google Maps) technisch speichern und beim nächsten Seitenaufruf berücksichtigen zu können; eine Einwilligung ist hierfür nicht erforderlich.

Rechtsgrundlage für das Laden von Google Maps und die damit verbundene Datenübermittlung an Google (einschließlich der von Google selbst gesetzten Cookies): § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Diese Einwilligung erteilen Sie durch aktive Freigabe der Kartenanzeige; sie ist jederzeit widerruflich.

Drittlandtransfer: Google LLC ist nach dem EU-U.S. Data Privacy Framework zertifiziert (Art. 45 DSGVO). Ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 DSGVO).

11. Empfänger personenbezogener Daten

Empfänger personenbezogener Daten sind die folgenden Dienstleister, soweit deren Tätigkeit zur Erbringung der jeweiligen Funktion erforderlich ist. Soweit es sich um Auftragsverarbeiter handelt, bestehen Verträge gemäß Art. 28 DSGVO; bei Google Maps wird Google nach Ihrer Freigabe regelmäßig in eigener datenschutzrechtlicher Verantwortung tätig (siehe Ziff. 10).

  • Vercel Inc.: Hosting; Sitz USA; Datenstandort EU (Frankfurt) für Functions, CDN/Edge weltweit, Builds und Logs in den USA.
  • Upstash, Inc.: Rate-Limiting; Sitz USA; Datenstandort EU (Frankfurt).
  • Sanity AS / Sanity Inc.: CMS; Sitz Norwegen / USA; Datenstandort EU (Belgien), CDN weltweit.
  • Umami Software, Inc.: Reichweitenmessung; Sitz USA; Datenstandort EU (Umami Cloud EU).
  • Resend, Inc.: E-Mail-Versand; Sitz USA; Datenstandort USA.
  • STRATO AG: E-Mail-Postfächer, Domain; Sitz Deutschland; Datenstandort Deutschland.
  • Google Ireland Limited / Google LLC: Google Maps nach Freigabe; Sitz Irland / USA; Datenstandort weltweit.

12. Drittlandtransfer

Soweit personenbezogene Daten in Staaten außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums verarbeitet werden, beruht dies auf folgenden Garantien gemäß Art. 44 ff. DSGVO:

  • Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (Art. 45 DSGVO), soweit der jeweilige US-Anbieter zertifiziert ist; derzeit zutreffend für Vercel Inc., Upstash Inc., Resend Inc. und Google LLC.
  • EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 (Art. 46 Abs. 2 lit. c DSGVO); als alleinige Grundlage für Sanity Inc. (US) sowie für die US-Muttergesellschaft Umami Software, Inc.; ergänzend zu allen vorgenannten DPF-zertifizierten Anbietern.
  • weitere geeignete Garantien im Einzelfall, soweit erforderlich.

Soweit Daten ausschließlich innerhalb der EU/des EWR verarbeitet werden (insbesondere die Mail-/Domain-Infrastruktur bei STRATO sowie die operative Rate-Limit-Verarbeitung bei Upstash in Frankfurt), ist ein Drittlandtransfer ausgeschlossen.

13. Cookies und ähnliche Technologien

First-Party-Cookies (von dieser Website gesetzt):

  • tc_consent: Speicherung Ihrer Datenschutz-Einstellung zur Freigabe externer Inhalte (Google Maps); Speicherdauer 180 Tage oder bis zum Widerruf; Rechtsgrundlage § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderlich).

Third-Party-Cookies (nur nach aktiver Einwilligung): Nach Ihrer Einwilligung in das Laden von Google Maps (siehe Ziff. 10) setzt Google selbst eine Reihe eigener Cookies, nähere Informationen unter https://policies.google.com/technologies/cookies.

Rechtsgrundlage: § 25 Abs. 1 TDDDG i. V. m. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Darüber hinaus werden auf dieser Website keine Cookies, kein Local Storage und keine vergleichbaren Technologien zu Marketing-, Werbe- oder Tracking-Zwecken eingesetzt. Auch die eingesetzte Reichweitenmessung (Umami, siehe Ziff. 6) arbeitet ohne Cookies.

14. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die in dieser Datenschutzerklärung genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Konkrete Speicherdauern sind in den jeweiligen Abschnitten (Ziff. 3-10) genannt.
  • Steuer- und handelsrechtliche Aufbewahrungsfristen betragen regelmäßig 6, 8 oder 10 Jahre (§ 147 AO, § 257 HGB).
  • Nach Wegfall des Verarbeitungszwecks werden die Daten gelöscht oder anonymisiert.

15. Betroffenenrechte

Sie haben nach Maßgabe der gesetzlichen Vorschriften das Recht auf:

  • Auskunft über die Sie betreffenden personenbezogenen Daten (Art. 15 DSGVO);
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO);
  • Löschung (Art. 17 DSGVO);
  • Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Datenübertragbarkeit (Art. 20 DSGVO);
  • Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (Art. 21 DSGVO);
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an die unter Ziff. 1 genannten Kontaktdaten.

Beschwerderecht bei einer Aufsichtsbehörde: Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)

Ludwig-Erhard-Straße 22, 7. OG

20459 Hamburg

Telefon: +49 40 428 54-4040

E-Mail: mailbox@datenschutz.hamburg.de

Web: https://datenschutz-hamburg.de

16. Einwilligungen und Widerruf

Die Einwilligung in die Einbindung von Google Maps können Sie jederzeit mit Wirkung für die Zukunft widerrufen oder erneut erteilen.

Die Datenschutz-Einstellungen erreichen Sie über den entsprechenden Link im Footer sowie über den Button „Datenschutz-Einstellungen öffnen“ auf dieser Seite.

Nach einem Widerruf wird Google Maps bis zu einer erneuten Freigabe nicht mehr geladen.

17. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung oder ein Profiling im Sinne des Art. 22 DSGVO findet auf dieser Website nicht statt.

18. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den Stand Mai 2026.

Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es erforderlich werden, diese Datenschutzerklärung anzupassen. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf dieser Website abgerufen werden.