Datenschutzrichtlinie

Dies ist eine Höflichkeitsübersetzung. Die englische Version unter /privacy/ ist die rechtsverbindliche Version.

Letzte Aktualisierung: 21. März 2026

Diese Datenschutzerklärung beschreibt, wie RAPID DEV GROUP INC., eine Kapitalgesellschaft aus Ontario (Kanada), die unter dem Namen Sitetra firmiert („wir", „uns" oder „unser"), Ihre personenbezogenen Daten erhebt, verwendet, offenlegt und schützt, wenn Sie unsere Plattform unter sitetra.com und alle zugehörigen Dienste (zusammenfassend der „Dienst") nutzen.

Sitetra ist eine Multi-Tenant-Plattform für Website-Erstellung und -Verwaltung. Wir agieren in doppelter Eigenschaft:

• Verantwortlicher: Für Nutzer, die direkt bei Sitetra ein Konto erstellen (Website-Betreiber, Entwickler und Administratoren).
• Auftragsverarbeiter: Für Endnutzer von Websites, die von unseren Kunden (Website-Betreibern) erstellt und betrieben werden. In dieser Eigenschaft ist der Website-Betreiber der Verantwortliche.

Die englischsprachige Version dieser Datenschutzerklärung (en-CA) ist die maßgebliche und rechtsverbindliche Version. Übersetzungen werden nur als Höflichkeit bereitgestellt.

Durch die Nutzung des Dienstes stimmen Sie der Erhebung und Verwendung von Informationen gemäß dieser Datenschutzerklärung zu. Wenn Sie nicht zustimmen, nutzen Sie den Dienst bitte nicht.

1.1 Kontoinformationen

Wenn Sie ein Konto erstellen, erheben wir: vollständigen Namen, E-Mail-Adresse, Passwort (ausschließlich in gehashter Form gespeichert, niemals als Klartext), Telefonnummer (optional), bevorzugte Sprache/Gebietsschema und Benutzername.

1.2 Authentifizierungs- und Sicherheitsdaten

Wir erheben Daten im Zusammenhang mit Ihrer Authentifizierungsaktivität: Anmeldezeitstempel, IP-Adressen, User-Agent-Zeichenketten (geparst zur Identifizierung von Browser, Betriebssystem und Gerät), ungefähre Geolokation abgeleitet aus IP-Adressen, OAuth-Token und Profilkennungen (bei Nutzung der Anmeldung über Google, Microsoft, Facebook oder GitHub), MFA-Konfigurationsdaten und Erkennungsdatensätze für neue Geräte.

1.3 Abrechnungs- und Zahlungsinformationen

Die Zahlungsabwicklung erfolgt über Drittanbieter-Zahlungsabwickler einschließlich Stripe, Square, PayPal und Wise. Wir speichern keine vollständigen Kreditkartennummern auf unseren Servern. Wir können Teilkarteninformationen (wie die letzten vier Ziffern und die Kartenmarke), Rechnungsadressen und Transaktionsdatensätze speichern, wie sie von diesen Abwicklern bereitgestellt werden. Wir führen außerdem Guthabenkontostände und vollständige Guthaben-Transaktionsverläufe.

1.4 Inhaltsdaten

Wir speichern Inhalte, die Sie über den Dienst erstellen und hochladen, einschließlich: Webseiten, Blogbeiträge, Artikel und FAQs; Produktlisten, SKU-Konfigurationen und Bestandsdaten; Bilder, Dokumente und andere Datei-Uploads (gespeichert auf Cloudflare R2, mit redundanter Sicherung auf Vultr Object Storage); Website-Konfigurationen, Stile, Vorlagen und Designeinstellungen.

1.5 E-Commerce- und Transaktionsdaten

Wenn Website-Betreiber E-Commerce-Funktionen nutzen, verarbeiten wir: Warenkorbinhalte (Artikel, Mengen, Preise), Kassendaten (Kundenname, E-Mail, Liefer- und Rechnungsadressen), Bestelldatensätze (Ticketnummern, Status, Zahlungsstatus, Artikel, Gesamtbeträge, Steuern, Rabatte), Gutscheinnutzungs- und -einlösungsdatensätze, Zahlungsmethodendetails (tokenisiert, nur letzte vier Ziffern) und Rückerstattungsverläufe.

1.6 CRM- und Beziehungsdaten

Website-Betreiber können Kundenbeziehungsdaten speichern, einschließlich: Kontaktinformationen (Namen, E-Mails, Telefonnummern, Adressen), Geschäftskontendatensätze und Unterkonten, Kommunikationsverläufe (E-Mails, Notizen, Tags), Vertriebsmitarbeiterzuweisungen sowie Beziehungstypen und -kategorien.

1.7 Reservierungs- und Buchungsdaten

Wenn Reservierungsfunktionen genutzt werden, verarbeiten wir: Termindaten, -zeiten und -dauern, Gruppengrößen und Sitzplatzpräferenzen, besondere Wünsche und Anmerkungen, Vorautorisierungen für Zahlungen, Reservierungsstatus und Bestätigungsdetails sowie Restaurant-Tisch- und Schichtkonfigurationen.

1.8 Bewertungsdaten

Wenn Bewertungsfunktionen aktiviert sind, erheben wir: Sternebewertungen und Kategoriebewertungen (Qualität, Preis-Leistung, Service usw.), schriftliche Bewertungstexte, Bewertungsfotos (über das Dateisystem hochgeladen), Identität des Rezensenten (authentifiziert oder anonym, je nach Betreiberkonfiguration) sowie Kaufstatusprüfung.

1.9 Newsletter- und Kommunikationsdaten

Für Newsletter- und E-Mail-Marketing-Funktionen verarbeiten wir: Abonnenten-E-Mail-Adressen und -Präferenzen, Segmentzuweisungen und Abonnementthemen, E-Mail-Zustellungsverfolgungsdaten (zugestellt, zurückgewiesen, geöffnet, angeklickt) empfangen über Webhooks der E-Mail-Anbieter, Abmeldedatensätze und Einwilligungsverläufe sowie SMS-Zustellungsstatusdatensätze.

1.10 KI-Interaktionsdaten

Wenn Sie unsere KI-gestützten Funktionen nutzen, erheben wir: Eingabeaufforderungen und Anweisungen, die Sie an KI-Dienste senden, KI-generierte Antworten und Inhalte, Token-Nutzungszählungen und geschätzte Kosten, das verwendete KI-Modell und den Anbieter, Sitzungskennungen und Gesprächsverläufe sowie Geschäftskontextdaten (Sprach-/Tonrichtlinien, Geschäftsbeschreibungen), die von Betreibern übermittelt werden.

1.11 Audiodaten

Wenn Sie Sprache-zu-Text-Funktionen nutzen, werden Audioaufnahmen über die OpenAI Whisper API (externe Verarbeitung) oder Speaches (selbstgehostet, On-Premise-Verarbeitung) verarbeitet. Audiodaten werden ausschließlich für die Transkription verwendet und nach Abschluss der Verarbeitung nicht aufbewahrt.

1.12 Identitätsprüfungsdaten

Wenn eine Identitätsprüfung vom Website-Betreiber angefordert wird, kann IDenfy Folgendes verarbeiten: Gesichtserkennungsscans, Bilder und extrahierte Daten von amtlichen Dokumenten (Name, Geburtsdatum, Geschlecht, Dokumententyp, Dokumentennummer), Verifizierungsstatus (wartend, per E-Mail versendet, genehmigt, verdächtig), AML-Screening-Ergebnisse und Adressnachweisdokumente. Biometrische Daten (Gesichtserkennung) werden von IDenfy verarbeitet. Sitetra speichert Verifizierungsergebnisse und extrahierte personenbezogene Daten, speichert jedoch keine rohen biometrischen Daten.

1.13 Analyse- und Tracking-Daten

Wir erheben Website-Nutzungsdaten einschließlich: Seitenaufrufe und Navigationspfade, Sitzungskennungen und -dauer, Browser-Fingerabdrücke (über FingerprintJS, verwendet für Sicherheit und anonyme Warenkorbidentifikation, nicht für Werbung), Gerätetyp und Bildschirminformationen, Referrer-URLs sowie Gebietsschema-/Sprachpräferenzen.

1.14 Datei-Upload-Daten

Für hochgeladene Dateien speichern wir: Dateinamen, -größen und MIME-Typen, öffentliche/private Zugangsbezeichnung, zugehörige Metadaten und Tags, spezielle Dateitypen (Icons, Logos, Titelbilder) und Ergebnisse der Virenprüfung.

1.15 Domainregistrierungsdaten

Wenn Sie eine Domain über den Dienst registrieren, werden WHOIS-Registrierungsdaten über EasyDNS oder Cloudflare Registrar verarbeitet. Dies kann Ihren Namen, Ihre Organisation, Adresse, E-Mail und Telefonnummer umfassen, wie von den Domainregistrierungsvorschriften und ICANN-Richtlinien vorgeschrieben.

1.16 Push-Benachrichtigungsdaten

Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir Geräte-Token (Endpunkte und Verschlüsselungsschlüssel), die für die Zustellung von Benachrichtigungen an Ihr Gerät erforderlich sind.

1.17 Markt- und Finanzdaten

Für Websites, die Edelmetallfunktionen nutzen, verarbeiten wir: Echtzeit-Preisdaten (Gold, Silber, Platin, Palladium Geld-/Briefkurse), London Fix tägliche Abrechnungspreise, historische Preischartdaten und Rohstoffmarktnachrichten.

Wir verwenden die von uns erhobenen Informationen für folgende Zwecke:

• Dienstbetrieb: Zur Bereitstellung, Wartung und Verbesserung der Sitetra-Plattform, einschließlich Website-Erstellung, Inhaltsverwaltung, Hosting und Multi-Tenant-Infrastruktur.
• KI-Inhaltserstellung: Zur Unterstützung KI-gestützter Funktionen wie Inhaltserstellung, Übersetzung, SEO-Optimierung, Website-Aufbau, Sprache-zu-Text-Transkription und Bildanalyse unter Verwendung von KI-Drittanbietern.
• E-Commerce-Verarbeitung: Zur Erleichterung von Produktverwaltung, Warenkorbfunktionalität, Bestellabwicklung, Zahlungskoordination, Gutscheinverwaltung und Bestandsverfolgung im Auftrag von Website-Betreibern.
• Reservierungsverwaltung: Zur Verarbeitung von Reservierungen, Buchungen, Terminen und Kalendersynchronisation im Auftrag von Website-Betreibern.
• Identitätsprüfung: Zur Durchführung der KYC/AML-Verifizierung, wenn dies vom Website-Betreiber verlangt wird, unter Verwendung von IDenfy.
• Stockbild-Lizenzierung: Zum Suchen, Voranzeigen, Lizenzieren und Bereitstellen von Stockbildern von Shutterstock.
• Domainverwaltung: Zur Registrierung, Verlängerung, Überwachung und Verwaltung von Domainnamen über EasyDNS oder Cloudflare Registrar.
• Sicherheit: Zum Schutz von Konten und der Plattform durch ClamAV-Malware-Scanning, Multi-Faktor-Authentifizierung (MFA), Browser-Fingerprinting zur Betrugserkennung, Ratenlimitierung, Authentifizierungsprotokollierung und IP-basierte Geolokation.
• Abrechnung und Zahlungen: Zur Verarbeitung von Zahlungen, Verwaltung von Guthabenkonten, Abwicklung automatischer Aufladungen, Verarbeitung monatlicher Website-Abrechnungen und Führung von Finanzdatensätzen.
• Transaktionskommunikation: Zum Versand dienstbezogener E-Mails und SMS-Nachrichten, einschließlich Kontobestätigungen, Passwortzurücksetzungen, Abrechnungsbenachrichtigungen, Sicherheitswarnungen, Bestellbestätigungen, Reservierungsbestätigungen und E-Mails zur Wiederherstellung abgebrochener Warenkörbe.
• Newsletter-Zustellung: Zum Versand von Marketing-Newslettern und E-Mail-Kampagnen im Auftrag von Website-Betreibern an deren abonnierte Empfänger.
• Push-Benachrichtigungen: Zur Zustellung von Abrechnungswarnungen, Bestellbenachrichtigungen, Reservierungsbestätigungen, Bewertungsbenachrichtigungen und anderen Echtzeitbenachrichtigungen.
• Analyse: Zur Aggregation von Seitenaufrufen und Ereignissen in tägliche und monatliche Zusammenfassungen, die Website-Betreibern Einblicke in Traffic und Nutzung geben.
• Kalendersynchronisation: Zur Synchronisation von Reservierungs- und Veranstaltungsdaten mit externen Kalenderdiensten über das CalDAV-Protokoll.
• Dienstverbesserung: Zur Analyse aggregierter, anonymisierter Nutzungsdaten zur Verbesserung von Funktionen, Leistung und Benutzererfahrung.
• Rechtliche Compliance: Zur Einhaltung geltender Gesetze, Vorschriften und Rechtsverfahren.

Wir verkaufen Ihre personenbezogenen Daten nicht.

Wir geben Informationen nur an die folgenden Kategorien von Dritten weiter, soweit dies für die Bereitstellung und Sicherung des Dienstes erforderlich ist:

3.1 KI-Dienstanbieter

• Anthropic (Claude): Inhaltseingabeaufforderungen und Kontextdaten für die KI-Generierung.
• OpenAI: Inhaltseingabeaufforderungen, Kontextdaten und Audiodaten für die KI-Generierung und Sprache-zu-Text.
• Google (Gemini): Inhaltseingabeaufforderungen und Kontextdaten für die KI-Generierung.
• Ollama (selbstgehostet): Daten verbleiben auf unserer Infrastruktur und werden nicht extern übertragen.

3.2 Zahlungsabwickler

Stripe, Square, PayPal und Wise für Zahlungsabwicklung, Abonnements und Geldtransfers.

3.3 Kommunikationsanbieter

Postmark und Mailgun für E-Mail-Zustellung (einschließlich Zustellungsstatusverfolgung). VoIP.ms für SMS-Zustellung.

3.4 Domain-Registrare

EasyDNS und Cloudflare Registrar für Domainregistrierung, -verlängerung und DNS-Verwaltung.

3.5 Stockbild-Anbieter

Shutterstock für Stockbild-Suchanfragen und Bildlizenzierung.

3.6 Identitätsprüfung

IDenfy für KYC/KYB/AML-Identitätsprüfung, Gesichtserkennung und Dokumentenverifizierung.

3.7 Infrastrukturanbieter

Cloudflare für CDN, DNS, Web Application Firewall, DDoS-Schutz und Dateispeicherung (R2). Vultr für redundante Backup-Dateispeicherung (New York, Vereinigte Staaten).

3.8 Analyse

Google Analytics (nur wenn vom Website-Betreiber für seine individuelle Website aktiviert).

3.9 OAuth/Authentifizierungsanbieter

Google, Microsoft, Facebook und GitHub für Social-Login-Authentifizierung (nur wenn Sie sich über diese Anbieter authentifizieren).

3.10 Website-Betreiber

Website-Betreiber erhalten ihre eigenen Kundendaten über die Administrationsoberfläche und API der Plattform. Builder mit websiteübergreifendem Zugang (über das Builder-Zuweisungssystem) können Daten für die ihnen zugewiesenen Websites einsehen.

3.11 Gesetzliche Anforderungen

Wir können Ihre Informationen offenlegen, wenn dies gesetzlich, durch Gerichtsbeschluss, Vorladung oder gültiges Rechtsverfahren vorgeschrieben ist, oder wenn wir in gutem Glauben davon ausgehen, dass dies erforderlich ist, um: einer gesetzlichen Verpflichtung nachzukommen, die Rechte oder das Eigentum von RAPID DEV GROUP INC. zu schützen und zu verteidigen, mögliches Fehlverhalten zu verhindern oder zu untersuchen, oder die persönliche Sicherheit der Nutzer oder der Öffentlichkeit zu schützen.

3.12 Unternehmensübertragungen

Im Falle einer Fusion, Übernahme, Umstrukturierung oder eines Verkaufs von Vermögenswerten können Ihre personenbezogenen Daten im Rahmen dieser Transaktion übertragen werden. Wir werden Sie per E-Mail oder prominenter Mitteilung im Dienst benachrichtigen, bevor Ihre Informationen einer anderen Datenschutzerklärung unterliegen.

Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten um:

• Standort: Unsere primäre Infrastruktur befindet sich in Kanada (Ontario). Die Dateispeicherung auf Cloudflare R2 kann global verteilt sein. Redundante Dateisicherungen werden auf Vultr Object Storage in den Vereinigten Staaten (New York) gespeichert.
• Datenbank: Daten werden in PostgreSQL mit UUID-Primärschlüsseln und erzwungener Datentypvalidierung gespeichert.
• Multi-Tenant-Isolierung: Daten sind logisch zwischen Websites durch eine websiteId-basierte Architektur isoliert. Die Daten jeder Website sind getrennt und können nicht von anderen Mandanten eingesehen werden.
• Verschlüsselung bei der Übertragung: Alle Daten, die zwischen Ihrem Gerät und unseren Servern übertragen werden, sind mit TLS/HTTPS verschlüsselt.
• Passwortsicherheit: Passwörter werden mit branchenüblichem bcrypt-Hashing gespeichert. Wir speichern niemals Klartext-Passwörter.
• API-Zugangsdatensicherheit: In website-spezifischen Einstellungen gespeicherte Drittanbieter-API-Schlüssel und Webhook-Geheimnisse sind im Ruhezustand verschlüsselt.
• Multi-Faktor-Authentifizierung: MFA ist für alle Konten verfügbar und für den websiteübergreifenden Zugang auf Entwicklerebene erforderlich.
• Malware-Scanning: Alle hochgeladenen Dateien werden mit ClamAV gescannt.
• Authentifizierung: Der API-Zugang ist durch JWT (JSON Web Token) Authentifizierung mit konfigurierbarer Ablaufzeit gesichert.
• Ratenlimitierung: Ratenlimits werden auf Authentifizierungsendpunkte, KI-Verarbeitung und allgemeinen API-Zugang angewendet, um Missbrauch zu verhindern.
• CORS: Cross-Origin Resource Sharing Einschränkungen werden basierend auf Website-Domains durchgesetzt.
• Soft-Delete-Architektur: Gelöschte Datensätze werden zunächst weich gelöscht (mit einem Löschzeitstempel markiert), bevor sie endgültig entfernt werden, wodurch ein Wiederherstellungsfenster bereitgestellt wird.

Obwohl wir uns bemühen, wirtschaftlich akzeptable Mittel zum Schutz Ihrer personenbezogenen Daten einzusetzen, ist keine Methode der Übertragung über das Internet oder der elektronischen Speicherung 100 % sicher. Wir können keine absolute Sicherheit garantieren.

Betreiber können eine vorzeitige Löschung ihrer Website-Daten beantragen, vorbehaltlich gesetzlicher Aufbewahrungspflichten und regulatorischer Anforderungen.

6.1 Alle Nutzer

Unabhängig von Ihrem Standort haben Sie das Recht auf:

• Auskunft: Eine Kopie der personenbezogenen Daten anzufordern, die wir über Sie gespeichert haben.
• Berichtigung: Die Berichtigung ungenauer oder unvollständiger Informationen zu verlangen.
• Löschung: Die Löschung Ihrer personenbezogenen Daten zu verlangen.
• Datenübertragbarkeit: Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format (JSON) anzufordern.
• Widerspruch: Dem Erhalt nicht wesentlicher Marketingkommunikation jederzeit zu widersprechen.
• Newsletter-Abmeldung: Jede Marketing-E-Mail enthält einen funktionierenden Abmeldelink.
• Push-Benachrichtigungskontrolle: Die Push-Benachrichtigungsberechtigung jederzeit über Ihre Browser- oder Geräteeinstellungen zu widerrufen.
• Kontolöschung: Die vollständige Löschung Ihres Kontos und zugehöriger Daten zu beantragen.

6.2 Einwohner Kanadas (PIPEDA)

Gemäß dem Personal Information Protection and Electronic Documents Act (PIPEDA) haben Sie das Recht: auf Ihre von uns gespeicherten personenbezogenen Daten zuzugreifen, die Richtigkeit und Vollständigkeit Ihrer Informationen anzufechten und ihre Korrektur zu verlangen sowie die Einwilligung zur Erhebung, Verwendung oder Offenlegung Ihrer Informationen zu widerrufen, vorbehaltlich gesetzlicher oder vertraglicher Einschränkungen.

Wir werden auf Auskunftsanfragen innerhalb von 30 Tagen antworten. Wenn Sie mit unserer Antwort nicht zufrieden sind, können Sie eine Beschwerde beim Office of the Privacy Commissioner of Canada einreichen.

6.3 Einwohner Europas (GDPR)

Wenn Sie sich in der Europäischen Union oder im Europäischen Wirtschaftsraum befinden, haben Sie zusätzliche Rechte gemäß der Datenschutz-Grundverordnung (GDPR):

• Auskunftsrecht (Art. 15): Bestätigung erhalten, ob wir Ihre Daten verarbeiten, und eine Kopie anfordern.
• Recht auf Berichtigung (Art. 16): Unrichtige personenbezogene Daten berichtigen lassen.
• Recht auf Löschung (Art. 17): Die Löschung Ihrer personenbezogenen Daten verlangen („Recht auf Vergessenwerden").
• Recht auf Einschränkung (Art. 18): Unter bestimmten Umständen die Einschränkung der Verarbeitung verlangen.
• Recht auf Datenübertragbarkeit (Art. 20): Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
• Widerspruchsrecht (Art. 21): Der Verarbeitung auf Grundlage berechtigter Interessen oder für Direktwerbung widersprechen.
• Recht auf Widerruf der Einwilligung: Die Einwilligung jederzeit widerrufen, wenn die Verarbeitung auf der Einwilligung basiert.

Wir werden auf GDPR-Anfragen innerhalb von 30 Tagen antworten. Sie haben auch das Recht, eine Beschwerde bei Ihrer zuständigen Datenschutzbehörde einzureichen.

6.4 Einwohner Kaliforniens (CCPA)

Wenn Sie in Kalifornien wohnhaft sind, haben Sie folgende Rechte gemäß dem California Consumer Privacy Act (CCPA):

• Auskunftsrecht: Informationen über die Kategorien und spezifischen personenbezogenen Daten anfordern, die wir erhoben haben.
• Recht auf Löschung: Die Löschung Ihrer personenbezogenen Daten verlangen.
• Recht auf Widerspruch gegen den Verkauf: Wir verkaufen keine personenbezogenen Daten, daher ist dieses Recht nicht anwendbar.
• Recht auf Nichtdiskriminierung: Sie werden für die Ausübung Ihrer Datenschutzrechte nicht diskriminierend behandelt.

Wir werden auf CCPA-Anfragen innerhalb von 45 Tagen antworten.

6.5 Endnutzer von Betreiber-Websites

Wenn Sie Endnutzer einer auf der Sitetra-Plattform betriebenen Website sind, richten Sie Datenschutzanfragen bitte zunächst an den Website-Betreiber, da dieser der Verantwortliche für Ihre Daten ist. Wenn Sie den Betreiber nicht erreichen oder Ihre Anfrage nicht lösen können, können Sie Sitetra kontaktieren, und wir werden so weit wie möglich behilflich sein.

RAPID DEV GROUP INC. hat ihren Sitz in Ontario, Kanada. Ihre Informationen können über unsere Drittanbieter-Dienstleister in andere Länder als Ihr eigenes übertragen und dort verarbeitet werden.

Wichtige Datenübertragungsziele umfassen:

• Vereinigte Staaten: KI-Anbieter (Anthropic, OpenAI, Google), Zahlungsabwickler (Stripe, Square, PayPal), E-Mail-Anbieter (Postmark, Mailgun), Stockbilder (Shutterstock) und Identitätsprüfung (IDenfy).
• Kanada: Primäre Infrastruktur und Datenbank.
• Global verteilt: Cloudflare CDN und Dateispeicherung (R2). Vultr Object Storage für redundante Dateisicherungen (New York).

Kanada hat einen Angemessenheitsbeschluss der Europäischen Kommission erhalten, was bedeutet, dass die kanadischen Datenschutzgesetze als angemessenes Schutzniveau für aus der EU/dem EWR übertragene personenbezogene Daten anerkannt werden.

Für Übertragungen in die Vereinigten Staaten und andere Rechtsordnungen ohne Angemessenheitsbeschluss stützen wir uns auf Standardvertragsklauseln (SCCs) oder andere geeignete Schutzmaßnahmen, wie vom anwendbaren Recht vorgeschrieben.

Für die KI-Verarbeitung über Ollama und Sprache-zu-Text über Speaches verbleiben die Daten auf unserer eigenen Infrastruktur in Kanada und verlassen unsere Server nicht.

Durch die Nutzung des Dienstes stimmen Sie der Übertragung Ihrer Informationen nach Kanada und in andere Länder zu, wie in dieser Datenschutzerklärung beschrieben.

Der Dienst ist nicht für die Nutzung durch Personen unter 16 Jahren bestimmt. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn wir erfahren, dass wir personenbezogene Daten eines Kindes unter 16 Jahren erhoben haben, werden wir Maßnahmen ergreifen, um diese Informationen umgehend zu löschen.

Website-Betreiber, die Websites erstellen, die möglicherweise von Kindern aufgerufen werden, sind dafür verantwortlich, die Einhaltung des Children's Online Privacy Protection Act (COPPA) und anderer geltender Datenschutzgesetze für Kinder in ihrer Rechtsordnung sicherzustellen.

Wenn Sie glauben, dass wir möglicherweise Informationen von einem Kind unter 16 Jahren erhoben haben, kontaktieren Sie uns bitte umgehend.

Wir verwenden keine Werbe-Cookies oder Cross-Site-Tracking-Cookies.

Einwilligungsmodi

Die Plattform unterstützt drei Einwilligungsmodi, pro Website vom Betreiber konfigurierbar:

• Hinweis: Zeigt ein Informationsbanner über die Cookie-Nutzung an.
• Rechtsordnung: Wendet jurisdiktionsbasierte Standard-Einwilligungseinstellungen an.
• Vollständig: Erfordert eine ausdrückliche Opt-in-Einwilligung, bevor nicht essenzielle Cookies gesetzt werden.

Sitetra dient als Plattform für Website-Betreiber zum Aufbau und zur Verwaltung ihrer eigenen Websites. In diesem Zusammenhang:

10.1 Rollen und Verantwortlichkeiten

• Website-Betreiber sind die Verantwortlichen für die personenbezogenen Daten ihrer eigenen Endnutzer und Kunden.
• Sitetra fungiert als Auftragsverarbeiter und verarbeitet Daten im Auftrag und auf Weisung des Website-Betreibers.

10.2 Pflichten des Betreibers

Website-Betreiber sind verantwortlich für:

• Die Führung eigener Datenschutzerklärungen, die den geltenden Gesetzen entsprechen.
• Die Einholung erforderlicher Einwilligungen ihrer Endnutzer für die Datenerhebung und -verarbeitung.
• Die Beantwortung von Betroffenenanfragen ihrer Kunden.
• Die Bestimmung der Rechtsgrundlage für die Verarbeitung der Daten ihrer Kunden.
• Die Sicherstellung, dass ihre Nutzung von Plattformfunktionen (E-Mail-Marketing, Bewertungen, Analyse) den geltenden Datenschutz- und Anti-Spam-Gesetzen entspricht.

10.3 Automatisierte Verarbeitung

Sitetra führt die folgende automatisierte Verarbeitung im Auftrag der Betreiber durch: E-Mails zur Wiederherstellung abgebrochener Warenkörbe, Bewertungsanfrage-E-Mails, Abonnementabrechnung, Reservierungsbestätigungen, Newsletter-Zustellung, Website-Abrechnung und geplante Datenbereinigung.

10.4 Datenisolierung

Alle Daten sind nach websiteId isoliert. Ein Website-Betreiber kann nicht auf die Daten der Endnutzer eines anderen Betreibers zugreifen. Builder mit websiteübergreifendem Zugang können nur Daten für die ihnen speziell zugewiesenen Websites einsehen.

10.5 Unterauftragsverarbeiter

Unsere Unterauftragsverarbeiter sind in Abschnitt 18 dieser Datenschutzerklärung aufgeführt. Website-Betreiber sollten diese Liste gegebenenfalls in ihren eigenen Datenschutzerklärungen referenzieren.

10.6 Auftragsverarbeitungsvertrag

Ein formeller Auftragsverarbeitungsvertrag (AVV) ist auf Anfrage für Betreiber verfügbar, die einen solchen für die GDPR- oder andere regulatorische Compliance benötigen.

10.7 Datenlöschung

Wenn eine Website gelöscht wird, werden alle zugehörigen Daten (einschließlich Endnutzerdaten) nach Ablauf der 90-tägigen Aufbewahrungsfrist endgültig entfernt.

Unsere Plattform ist mit mehreren KI-Anbietern integriert. So werden Daten für jeden Anbieter behandelt:

• Anthropic (Claude): Texteingabeaufforderungen, Inhaltskontext, Geschäftsrichtlinien und bestehende Website-Inhalte werden an die Anthropic-API gesendet. Die Datenverarbeitung durch Anthropic unterliegt deren Datenschutzerklärung und Nutzungsbedingungen.
• OpenAI: Texteingabeaufforderungen, Inhaltskontext und Audiodaten (für Sprache-zu-Text über Whisper) werden an die OpenAI-API gesendet. Bilddaten können für Bildanalyse gesendet werden (Logoanalyse, Bildklassifizierung). Die Datenverarbeitung durch OpenAI unterliegt deren Datenschutzerklärung und Nutzungsbedingungen.
• Google (Gemini): Texteingabeaufforderungen und Inhaltskontext werden an die Gemini-API von Google gesendet. Die Datenverarbeitung durch Google unterliegt deren Datenschutzerklärung und Nutzungsbedingungen.
• Ollama (selbstgehostet): Texteingabeaufforderungen werden vollständig auf unserer eigenen Infrastruktur verarbeitet. Es werden keine Daten an externe Server gesendet.
• Speaches (selbstgehostet): Audiodaten für Sprache-zu-Text werden vollständig auf unserer eigenen Infrastruktur verarbeitet. Es werden keine Daten an externe Server gesendet.

KI-Nutzungsprotokollierung

Für jede KI-Interaktion protokollieren wir: den verwendeten KI-Anbieter und das Modell, die Anzahl der Ein-/Ausgabe-Token, die geschätzten Guthabenkosten, eine Sitzungskennung und die zugehörige Website. Diese Daten werden für Abrechnung, Nutzungsanalyse und Dienstverbesserung verwendet.

KI-Kontextdaten

Bei der Generierung von Inhalten kann die KI Folgendes erhalten: den Namen, die Beschreibung und den Geschäftskontext Ihrer Website, vom Betreiber konfigurierte Sprach-/Tonrichtlinien, bestehende Inhalte Ihrer Website (für kontextbezogene Generierung), Referenz-Website-Daten (wenn eine Referenz-URL angegeben wird) und Suchanfragen für Stockbilder.

Wichtig: Bitte vermeiden Sie die Eingabe sensibler personenbezogener Daten (wie Ausweisnummern, Finanzkontonummern oder Gesundheitsinformationen) in KI-Eingabeaufforderungen. Obwohl wir Sicherheitsmaßnahmen implementieren, werden KI-Eingabeaufforderungen wie oben beschrieben an Drittanbieter übertragen.

Wenn ein Website-Betreiber die Identitätsprüfung aktiviert, gelten folgende Datenpraktiken:

12.1 Datenfluss

Nutzer reichen Identitätsdokumente über die Verifizierungsoberfläche von IDenfy ein. IDenfy verarbeitet die Dokumente und sendet die Verifizierungsergebnisse über einen sicheren Webhook an Sitetra. Sitetra speichert die Verifizierungsergebnisse und die extrahierten personenbezogenen Daten.

12.2 Biometrische Daten

Die Gesichtserkennungsverarbeitung wird von IDenfy durchgeführt. Sitetra speichert keine rohen biometrischen Daten (Gesichtserkennungsvorlagen). Wir speichern nur das Verifizierungsergebnis und die extrahierten personenbezogenen Informationen (Name, Geburtsdatum, Dokumentendetails).

12.3 Gespeicherte Daten

Für jede Verifizierung speichern wir: Verifizierungstyp (KYC, KYB, POA, AML), Verifizierungsstatus (wartend, per E-Mail versendet, genehmigt, verdächtig), extrahierte personenbezogene Informationen (Name, Geburtsdatum, Geschlecht, Dokumententyp, Dokumentennummer), Anbieter-Antwortmetadaten und den Zeitstempel der Verifizierung.

12.4 Aufbewahrung

Verifizierungsdaten werden so lange aufbewahrt, wie das zugehörige Benutzerkonto besteht, oder wie von den geltenden KYC/AML-Vorschriften vorgeschrieben. Betreiber und Nutzer können die Löschung von Verifizierungsdaten beantragen, vorbehaltlich regulatorischer Anforderungen.

12.5 Zugang

Nutzer können den Zugang zu ihren Verifizierungsdatensätzen über den Website-Betreiber oder durch direkte Kontaktaufnahme mit Sitetra beantragen. Verifizierungsstatus sind für den Website-Betreiber über die Administrationsoberfläche einsehbar.

In Übereinstimmung mit GDPR Artikel 22 legen wir folgende automatisierte Entscheidungsprozesse offen:

• KI-Inhaltserstellung: KI generiert Inhalte auf Grundlage von Eingabeaufforderungen und Kontext. Dies beinhaltet automatisierte Verarbeitung, trifft jedoch keine Entscheidungen mit rechtlichen Auswirkungen auf Einzelpersonen. Alle KI-generierten Inhalte werden vor der Veröffentlichung von Menschen überprüft.
• Identitätsprüfung: Verifizierungsergebnisse werden von automatisierten Systemen von IDenfy erstellt. Diese Ergebnisse sind nur beratender Natur. Endgültige Entscheidungen über die Kontogenehmigung oder Einschränkungen werden vom Website-Betreiber (menschlicher Entscheidungsträger) getroffen.
• Guthabenstandsprüfungen: Vorgänge werden automatisch blockiert, wenn der Guthabenkontostand eines Nutzers null oder darunter erreicht. Nutzer können dies sofort durch den Kauf zusätzlicher Guthaben beheben.
• Ratenlimitierung: API-Anfragen werden automatisch gedrosselt, wenn Ratenlimits überschritten werden. Dies wird durch Warten auf das Zurücksetzen des Ratenlimit-Fensters behoben.
• Website-Sperrung: Websites werden nach 30 Tagen Nichtzahlung automatisch gesperrt. Dies folgt einem dokumentierten Zeitplan mit Warnungen an Tag 0 und Tag 15 und kann durch das Aufladen ausreichender Guthaben rückgängig gemacht werden.
• Automatische Bewertungsgenehmigung: Wenn vom Betreiber aktiviert, können Bewertungen automatisch ohne manuelle Moderation veröffentlicht werden. Dies ist eine Konfigurationsentscheidung des Betreibers.

Sie haben das Recht, eine menschliche Überprüfung jeder automatisierten Entscheidung zu verlangen, die Sie wesentlich betrifft. Kontaktieren Sie uns oder den Website-Betreiber, um eine Überprüfung zu beantragen.

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für die Rechte und Freiheiten von Einzelpersonen darstellt, wird Sitetra:

• Betroffene Website-Betreiber innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen (gemäß GDPR Artikel 33).
• Betreiber unterstützen bei der Erfüllung ihrer Benachrichtigungspflichten gegenüber ihren Endnutzern und zuständigen Behörden.
• Dem Office of the Privacy Commissioner of Canada Bericht erstatten, wenn die Verletzung kanadische personenbezogene Daten betrifft und die PIPEDA-Meldeschwellen erreicht.

Inhalt der Verletzungsbenachrichtigung

Verletzungsbenachrichtigungen enthalten: die Art der Verletzung, die Kategorien der betroffenen Daten, die ungefähre Anzahl der betroffenen Datensätze, die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und Kontaktinformationen für weitere Anfragen.

Reaktion auf Vorfälle

Sitetra unterhält Verfahren zur Reaktion auf Vorfälle, einschließlich umfassender Authentifizierungsprotokollierung, Fehlerprotokollierung, IP-Geolokationsverfolgung und Webhook-Ereignisaufzeichnung zur Unterstützung bei der Untersuchung und Reaktion auf Verletzungen.

Gemäß GDPR Artikel 6 verarbeiten wir personenbezogene Daten auf folgenden Rechtsgrundlagen:

16.1 Opt-in-Anforderung

Push-Benachrichtigungen erfordern eine ausdrückliche Browser- oder Gerätegenehmigung. Sie werden aufgefordert, die Genehmigung zu erteilen, bevor Push-Benachrichtigungen gesendet werden. Wir werden niemals Push-Benachrichtigungen ohne Ihre Einwilligung senden.

16.2 Arten von Benachrichtigungen

Push-Benachrichtigungen können umfassen: Abrechnungswarnungen (niedriger Kontostand, unzureichende Guthaben, Bestätigungen der automatischen Aufladung), Bestell- und Zahlungsbenachrichtigungen, Reservierungsbestätigungen und -erinnerungen, Bewertungsbenachrichtigungen und andere vom Website-Betreiber konfigurierte betriebliche Benachrichtigungen.

16.3 Gespeicherte Daten

Wenn Sie Push-Benachrichtigungen abonnieren, speichern wir einen Push-Abonnement-Endpunkt und zugehörige Verschlüsselungsschlüssel. Diese Daten werden pro Nutzer und pro Gerät gespeichert.

16.4 Widerruf

Sie können die Push-Benachrichtigungsgenehmigung jederzeit über Ihre Browser- oder Geräteeinstellungen widerrufen. Der Widerruf der Genehmigung stoppt alle Push-Benachrichtigungen sofort. Sie können sich auch über Ihre Kontoeinstellungen von bestimmten Benachrichtigungstypen abmelden.

Die Plattform führt verschiedene Protokolle für Sicherheits-, Debugging-, Compliance- und Streitbeilegungszwecke:

• Authentifizierungsprotokolle: Alle Anmeldeversuche (erfolgreich und fehlgeschlagen) werden mit IP-Adresse, User-Agent und ungefährem Standort aufgezeichnet.
• Fehlerprotokolle: Anwendungsfehler werden mit Dienstname, Methode und relevantem Datenkontext (mit redigierten sensiblen Daten) aufgezeichnet.
• E-Mail-Zustellungsverfolgung: Der E-Mail-Sendestatus (zugestellt, zurückgewiesen, beanstandet, geöffnet, angeklickt) wird über Webhooks der E-Mail-Anbieter verfolgt.
• SMS-Zustellungsverfolgung: Der SMS-Zustellungsstatus und Antworten werden über Webhooks von VoIP.ms verfolgt.
• Guthaben-Transaktionsverlauf: Alle Guthaben-Transaktionen sind unveränderliche Datensätze, einschließlich Transaktionstyp, Betrag, Kontostand vor und nach der Transaktion und zugehöriger Metadaten.
• Bestandsprotokolle: Bestandsbewegungen (Ein, Aus, Gesperrt, Anpassung, Synchronisation, Nachbestellung) werden mit Vorher- und Nachher-Mengen aufgezeichnet.
• Aktivitätsprotokolle: Nutzeraktionen innerhalb der Administrationsoberfläche können für Prüfzwecke protokolliert werden.
• Webhook-Ereignisprotokolle: Eingehende Webhook-Ereignisse von Zahlungsabwicklern, E-Mail-Anbietern und anderen Diensten werden für Debugging und Abstimmung protokolliert.

Website-Betreiber können relevante Protokolle für ihre Website über die Administrationsoberfläche einsehen.

Die folgende Tabelle listet unsere aktuellen Unterauftragsverarbeiter auf. Wir werden Website-Betreiber über wesentliche Änderungen an dieser Liste benachrichtigen.

Hinweis: Ollama (KI) und Speaches (Sprache-zu-Text) laufen auf unserer eigenen Infrastruktur und sind keine externen Unterauftragsverarbeiter.

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Wir werden Sie über wesentliche Änderungen informieren, indem wir die aktualisierte Erklärung im Dienst veröffentlichen und das Datum der „Letzten Aktualisierung" anpassen. Wenn gesetzlich vorgeschrieben, werden wir mindestens 30 Tage vor Inkrafttreten der Änderungen Bescheid geben.

Ihre fortgesetzte Nutzung des Dienstes nach Inkrafttreten der Änderungen stellt Ihre Zustimmung zur überarbeiteten Datenschutzerklärung dar.

Ihre Nutzung von Sitetra unterliegt auch unseren Nutzungsbedingungen, die durch Verweis in diese Datenschutzerklärung einbezogen werden.

Wenn Sie Fragen, Bedenken oder Anfragen bezüglich dieser Datenschutzerklärung oder unserer Datenpraktiken haben, kontaktieren Sie uns bitte:

RAPID DEV GROUP INC.
Firmierend als Sitetra
Ontario, Kanada

Datenschutzanfragen: privacy@sitetra.com
Allgemeine Anfragen: support@sitetra.com
Rechtliche Anfragen und Strafverfolgung: legal@sitetra.com

Für Datenschutzbeschwerden oder -anfragen im Zusammenhang mit bestimmten Rechtsordnungen:

• Kanada: Office of the Privacy Commissioner of Canada (www.priv.gc.ca)
• Europäische Union: Kontaktieren Sie Ihre zuständige Datenschutzbehörde
• Kalifornien: Büro des Generalstaatsanwalts von Kalifornien