Datenschutzhinweise für Gäste
Wir bei Orbilyte nehmen den Schutz deiner Daten ernst. Auf dieser Seite erklären wir dir verständlich, welche Daten wir erfassen, wenn du über unser Buchungswidget eine Reservierung, Buchung oder Bestellung bei einem teilnehmenden Betrieb vornimmst – und was damit passiert.
Verantwortlich für deine Daten ist der jeweilige Betrieb, bei dem du buchst. Orbilyte stellt lediglich die technische Plattform bereit und verarbeitet deine Daten im Auftrag des Betriebs (Art. 28 DSGVO). Ausführliche Informationen findest du in unserer Datenschutzerklärung.
Welche personenbezogenen Daten werden erfasst?
Wenn du über unser Buchungswidget eine Reservierung vornimmst, Termine buchst oder Produkte vorbestellst, erfassen und verarbeiten wir folgende Daten:
| Datenkategorie | Zweck der Verarbeitung |
|---|---|
| Allgemeine Personendaten (Vor- und Nachname) | Zuordnung deiner Buchung beim Betrieb. |
| Kontaktdaten (E-Mail-Adresse, ggf. Telefonnummer) | Versand der Buchungsbestätigung und Benachrichtigungen bei Statusänderungen (z. B. Bestätigung, Stornierung). |
| Buchungsdaten (Datum, Uhrzeit, Personenanzahl, gewählte Produkte/Optionen) | Durchführung und Abwicklung deiner Reservierung oder Bestellung. |
| Geräteinformationen (IP-Adresse) | Schutz vor Missbrauch (z. B. automatisierte Massenbuchungen). Wird nach max. 1 Stunde automatisch gelöscht. |
Je nach Konfiguration des Betriebs können weitere optionale Angaben abgefragt werden – etwa Anmerkungen, besondere Wünsche oder individuelle Zusatzfelder (z. B. Allergien, Firma). Wenn du in diesen Feldern freiwillig Angaben machst, werden auch diese gespeichert.
Besonders schutzwürdige Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten) werden von Orbilyte nicht gezielt erhoben. Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt – wir werten dein Buchungsverhalten nicht aus und erstellen keine Nutzerprofile.
Cookies und Tracking
Unser Buchungswidget setzt keine Cookies, verwendet keine Analyse- oder Werbetechnologien und erstellt kein Nutzerkonto. Es werden keine Daten an Werbenetzwerke oder Tracking-Dienste übermittelt.
Eingesetzte Dienstleister
Für den Betrieb der Plattform setzen wir folgende Dienstleister ein, mit denen Auftragsverarbeitungsverträge bestehen:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Vercel Inc. | Hosting der Anwendung | USA (EU-US DPF) |
| Neon Inc. | Datenbank (Speicherung der Buchungsdaten) | USA (EU-US DPF) |
| Resend Inc. | E-Mail-Versand (Buchungsbestätigungen) | USA (EU-US DPF) |
| Upstash Inc. | Missbrauchsschutz (temporäre Speicherung, max. 24h) | USA (EU-US DPF) |
| Functional Software Inc. (Sentry) | Fehlererkennung (keine personenbezogenen Daten erfasst) | USA (EU-US DPF) |
Soweit Datenverarbeitungen in den USA stattfinden, stützen wir uns auf den Angemessenheitsbeschluss der EU-Kommission zum EU-US Data Privacy Framework (DPF), unter dem die genannten Anbieter zertifiziert sind.
Persönlicher Bereich / Login per Magic-Link
Wenn der Betrieb, bei dem du gebucht hast, den persönlichen Bereich aktiviert hat, kannst du dich unter /mein-konto mit deiner E-Mail-Adresse anmelden, um deine Buchungen einzusehen. Es gibt kein Passwort und keinen klassischen Account — wir senden dir auf Anforderung einen einmaligen Anmeldelink an deine E-Mail-Adresse (Magic-Link-Verfahren).
Verarbeitete Daten:
- Deine bei der Buchung angegebene E-Mail-Adresse (zur Identifikation).
- Ein kurzlebiger Anmeldetoken (SHA-256-Hash), gespeichert in Upstash Redis. Speicherdauer max. 15 Minuten, danach automatische Löschung. Einmal-Verwendung.
- Ein Sitzungs-Token nach erfolgreichem Login (SHA-256-Hash), gespeichert in Upstash Redis. Speicherdauer max. 30 Tage (verlängert sich automatisch bei aktiver Nutzung). Wird über ein HttpOnly-Cookie referenziert.
- Optional: IP-Adresse und User-Agent zum Zeitpunkt der Anmeldung, ausschließlich zur Missbrauchsprävention.
Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Einsichtnahme in deine eigenen Buchungen) sowie Art. 15 DSGVO (Auskunftsrecht).
Sichtbarkeit: Du siehst im persönlichen Bereich ausschließlich Buchungen von Betrieben, die den Bereich aktiv freigeschaltet haben. Buchungen bei Betrieben, die diese Funktion deaktiviert haben, werden dort nicht angezeigt.
Du kannst die Sitzung jederzeit über den „Abmelden"-Button beenden. Die Löschung von Buchungsdaten kannst du weiterhin über den jeweiligen Betrieb oder uns anfragen (siehe unten).
Wie lange werden meine Daten gespeichert?
Deine Buchungsdaten werden für die Dauer der Geschäftsbeziehung mit dem Betrieb gespeichert sowie darüber hinaus, soweit gesetzliche Aufbewahrungspflichten bestehen. Der jeweilige Betrieb ist als Verantwortlicher für die Einhaltung der Löschfristen zuständig.
Daten, die ausschließlich zur Missbrauchsprävention erhoben werden (IP-Adresse, E-Mail-Adresse im Rate-Limiting), werden automatisch nach spätestens 24 Stunden gelöscht.
Auskunftsrecht, Widerspruchsrecht, Löschung
Du hast das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Widerspruch (Art. 21 DSGVO).
Bitte richte deine Anfrage direkt an den Betrieb, bei dem du gebucht hast. Die Kontaktdaten findest du in deiner Buchungsbestätigung oder im Impressum der jeweiligen Website. Der Betrieb ist dafür verantwortlich, deine Daten auf Anfrage aus dem System zu entfernen.
Solltest du über den Betrieb keine Rückmeldung erhalten, kannst du dich auch direkt an uns wenden: hello@orbilyte.de
Darüber hinaus steht dir ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO).
Stand: März 2026