1. Einleitung
Experience North Santorini („wir“, „uns“, „unser“) verpflichtet sich zum Schutz Ihrer personenbezogenen Daten. Diese Datenschutzrichtlinie erklärt, wie wir Ihre Daten erfassen, verwenden, speichern und weitergeben, wenn Sie unsere Website nutzen. experience-northsantorini.com (die „Website“) und zugehörige Dienstleistungen.
Wir sind die datenschutzrechtlich verantwortliche Stelle im Sinne der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“). Unsere Kontaktdaten finden Sie in der Kontaktieren Sie uns Abschnitt unten.
2. Von uns erfasste Daten
| Kategorie | Spezifische Daten | Zweck | Rechtliche Grundlage |
|---|---|---|---|
| Kontoinformationen | E-Mail-Adresse, Name, Telefonnummer | Erstellen und verwalten Sie Ihr Konto | Vertragserfüllung |
| Buchungsdaten | Termine, Gästeanzahl, Präferenzen, Sonderwünsche | Bearbeiten und erfüllen Sie Ihre Reservierungen | Vertragserfüllung |
| Kontaktformular | Name, E-Mail-Adresse, Telefonnummer, Nachricht | Wir beantworten Ihre Anfragen. | Berechtigtes Interesse |
| Zahlungsdaten | Kartendaten (werden von Viva verarbeitet, werden von uns niemals gespeichert) | Zahlungen sicher verarbeiten | Vertragserfüllung |
| Technische Daten | IP-Adresse, Browsertyp, Geräteinformationen, besuchte Seiten | Sicherheit, Leistungsüberwachung, Missbrauchsprävention | Berechtigtes Interesse |
| Fehlerüberwachung | JavaScript-Fehler, Stacktraces, anonymisierte Sitzungswiederholungen | Technische Probleme identifizieren und beheben | Berechtigtes Interesse |
| Analysen | Seitenaufrufe, Referrer, anonyme Besucherstatistiken, anonymisierte IP-Adresse (Google Analytics) | Die Nutzung der Website verstehen und unsere Dienste verbessern | Zustimmung |
3. Wie wir Ihre Daten verwenden
Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken:
- Buchungen bearbeiten — Bearbeitung Ihrer Reservierungen für Erlebnisse, Restaurants, Spa-Behandlungen, Kreuzfahrten und Transfers.
- Zahlungsabwicklung — Transaktionen werden sicher über Viva abgewickelt. Wir speichern Ihre Kartendaten niemals auf unseren Servern.
- Transaktions-E-Mails — Versand von Buchungsbestätigungen, Erinnerungen und Stornierungsbenachrichtigungen über Resend.
- Standortsicherheit — Schutz vor Missbrauch, Bot-Angriffen und betrügerischen Aktivitäten mithilfe von Cloudflare und Cloudflare Turnstile.
- Fehlerüberwachung — Identifizierung und Behebung von Fehlern mithilfe von Sentry (wobei der gesamte Text maskiert und keine personenbezogenen Daten erfasst werden).
- Analysen — Wir verstehen, wie Besucher unsere Website nutzen, mithilfe von Google Analytics 4 (mit IP-Anonymisierung) und Vercel Analytics (nur mit Ihrer Zustimmung).
- Medienbereitstellung — Bereitstellung optimierter Bilder und Videos über Cloudflare R2 und Mux.
5. Dienste von Drittanbietern
Wir geben Daten an die folgenden Drittanbieter weiter, die jeweils als Auftragsverarbeiter im Sinne der DSGVO fungieren:
| Service | Datenaustausch | Zweck | Standort |
|---|---|---|---|
| Supabase | Account data, bookings, profiles | Database and authentication | EU (Frankfurt) |
| Viva | Payment card details, billing info | Payment processing | EU / US |
| Vercel | Anonymous page views (with consent) | Hosting and analytics | Global edge network |
| Google Analytics | Anonymised IP, page views, referrer, device info (with consent) | Website analytics | US (EU DPF certified) |
| Sentry | Error logs, masked session replays (with consent) | Error monitoring | US (EU DPF certified) |
| Resend | Email address, name | Transactional emails | US (EU DPF certified) |
| Cloudflare | IP address, request metadata | CDN, DDoS protection, bot management | Global edge network |
| Cloudflare R2 | Uploaded files (admin only) | Image storage and delivery | Global edge network |
| Upstash | IP-based identifiers (hashed) | Rate limiting to prevent abuse | EU (Frankfurt) |
| Mux | IP address, playback metrics | Video streaming and delivery | US (EU DPF certified) |
6. Datenaufbewahrung
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es zur Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist:
| Datentyp | Aufbewahrungsfrist |
|---|---|
| Account data | While your account is active, plus 30 days after deletion request |
| Booking records | 7 years (Greek tax and accounting requirements) |
| Contact form submissions | 12 months |
| IP addresses (rate limiting) | 24 hours (auto-expire in Upstash) |
| Error logs (Sentry) | 90 days |
| Analytics data | 12 months (aggregated and anonymised) |
| Payment records | As required by Viva; we do not store card details |
7. Ihre Rechte gemäß der DSGVO
Als betroffene Person im Sinne der DSGVO haben Sie folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Zugangsrecht — Fordern Sie eine Kopie der personenbezogenen Daten an, die wir über Sie speichern.
- Recht auf Berichtigung — Berichtigung ungenauer oder unvollständiger Daten beantragen.
- Recht auf Löschung — Sie können die Löschung Ihrer personenbezogenen Daten beantragen (vorbehaltlich gesetzlicher Aufbewahrungspflichten).
- Recht auf Beschränkung — Bitten Sie uns, die Art und Weise der Verarbeitung Ihrer Daten einzuschränken.
- Recht auf Datenübertragbarkeit — Sie erhalten Ihre Daten in einem strukturierten, maschinenlesbaren Format.
- Widerspruchsrecht — Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen.
- Recht auf Widerruf der Einwilligung — Sie können Ihre Einwilligung zur Verarbeitung Ihrer Daten (z. B. zu Analyse-Cookies) jederzeit widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung vor dem Widerruf berührt wird.
- Recht auf Einreichung einer Beschwerde — Sie können eine Beschwerde bei der griechischen Datenschutzbehörde (HDPA) einreichen unter www.dpa.gr oder Ihrer zuständigen EU-Aufsichtsbehörde.
Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte unterinfonorthsantorini.com Wir werden Ihnen innerhalb von 30 Tagen antworten.
8. Internationale Datenübermittlung
Einige unserer Dienstleister verarbeiten Daten außerhalb des Europäischen Wirtschaftsraums (EWR). In diesen Fällen stellen wir sicher, dass angemessene Schutzmaßnahmen getroffen werden:
- EU-US Data Privacy Framework — Google, Sentry, Resend, Mux, and Vercel are certified under the EU-US Data Privacy Framework.
- Standard Contractual Clauses (SCCs) — where the DPF does not apply, we rely on EU-approved Standard Contractual Clauses.
- EU-based processing — our primary database (Supabase) and rate limiting infrastructure (Upstash) are hosted in the EU (Frankfurt).
9. Datensicherheit
Wir setzen geeignete technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten zu schützen:
- Encryption in transit — all connections use HTTPS/TLS, enforced by Cloudflare.
- Password security — passwords are hashed using bcrypt via Supabase Auth.
- Row Level Security — database access is restricted so users can only access their own data.
- Rate limiting — API endpoints are rate-limited to prevent brute-force and abuse attacks.
- Bot protection — Cloudflare Turnstile verifies human users on sensitive forms.
- Error monitoring — Sentry provides real-time alerting with all PII masked.
10. Datenschutz für Kinder
Unsere Dienste richten sich nicht an Personen unter 18 Jahren. Wir erfassen wissentlich keine personenbezogenen Daten von Kindern. Sollten Sie der Ansicht sein, dass wir versehentlich Daten eines Kindes erfasst haben, kontaktieren Sie uns bitte. Wir werden diese Daten umgehend löschen.
11. Änderungen dieser Richtlinie
Wir können diese Datenschutzrichtlinie von Zeit zu Zeit aktualisieren, um Änderungen unserer Vorgehensweise oder geltender Gesetze zu berücksichtigen. Bei wesentlichen Änderungen aktualisieren wir das Datum „Letzte Aktualisierung“ oben auf dieser Seite. Bei wichtigen Änderungen benachrichtigen wir Sie gegebenenfalls auch per E-Mail oder durch einen deutlich sichtbaren Hinweis auf unserer Website.
12. Kontaktieren Sie uns
Wenn Sie Fragen zu dieser Datenschutzerklärung haben oder Ihre Datenschutzrechte ausüben möchten, kontaktieren Sie uns bitte:
Experience North SantoriniPyrgos, Santorin 847 00
Kykladen, Griechenland
E-Mail: infonorthsantorini.com
Telefon: +30 22860 71234