Datenschutz

​Wir freuen uns über Ihr Interesse an Yours Truly Hotel und an unserer Website. Der Schutz Ihrer persönlichen Daten ist für uns, der TheNew Munich GmbH als Betreiber des Hotels Yours Truly in München, ein wichtiges Anliegen. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Im Folgenden informieren wir Sie transparent darüber, welche personenbezogenen Daten wir erheben und zu welchen Zwecken wir sie verarbeiten – etwa beim Besuch unserer Website, bei einer Buchung über unsere Systeme oder Drittanbieter, während Ihres Hotelaufenthalts (Check-in/Check-out, Gästekommunikation, WLAN-Nutzung, Videoüberwachung) sowie über Ihre diesbezüglichen Rechte. Diese Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen im Zusammenhang mit unseren Hotel-Dienstleistungen. Bitte lesen Sie diese Hinweise sorgfältig durch. Bei Fragen zum Datenschutz können Sie sich jederzeit an uns wenden (Kontakt siehe unten).

​

1. Name und Kontaktdaten des Verantwortlichen

Verantwortlicher im Sinne der DSGVO ist die:

TheNew Munich GmbH (Hotel „Yours Truly“)
Schützenstraße 1

 80335 München

Deutschland
Telefon: +49 89 21 530 533 0
E-Mail: dataprotection[at]yourstrulyhotel[.]com
Vertreten durch die Geschäftsführer: Konstantin Irnsperger, Markus Sutor.

2. Datenschutz-Ansprechpartner

Wir sind gesetzlich nicht verpflichtet, einen Datenschutzbeauftragten zu benennen. Bei Anliegen zum Datenschutz können Sie sich jedoch jederzeit an uns unter den oben genannten Kontaktdaten mit dem Stichwort "Datenschutz" wenden. Wir werden Ihre Anfrage vertraulich behandeln.
3. Verarbeitungsvorgänge und Zwecke im Einzelnen
Nachfolgend erläutern wir, welche Daten wir zu welchen Zwecken verarbeiten und auf welcher Rechtsgrundlage dies jeweils erfolgt.

​

3.1 Besuch unserer Website – Server-Logfiles

Wenn Sie unsere Website besuchen, erheben wir technisch notwendige Daten in sogenannten Server-Logfiles. Dies umfasst z.B. Ihre IP-Adresse, Datum und Uhrzeit der Anfrage, aufgerufene Seite/Datei, übertragene Datenmenge, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem Ihres Geräts sowie die zuvor besuchte Seite (Referrer-URL). Diese Daten verarbeiten wir, um die Funktionsfähigkeit und Sicherheit der Website zu gewährleisten (z.B. Abwehr von Angriffsversuchen, Fehlermanalyse) und um die Nutzung unserer Website statistisch auszuwerten. Eine Zusammenführung dieser Log-Daten mit anderen Datenquellen erfolgt nicht, und wir ziehen aus den Logfiles keine unmittelbaren Rückschlüsse auf Ihre Person.

 

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Website). Unser berechtigtes Interesse ergibt sich aus dem Bedarf, den stabilen und sicheren Betrieb unseres Webangebots sicherzustellen.

 

Speicherdauer: Logfiles werden nur für einen begrenzten Zeitraum (in der Regel max. 30 Tage) gespeichert und anschließend automatisiert gelöscht oder anonymisiert. Eine längere Speicherung erfolgt nur ausnahmsweise, sofern dies zu Beweiszwecken im Fall von Angriffen oder sicherheitsrelevanten Vorfällen erforderlich ist (dann bis zur endgültigen Klärung).

​

3.2 Cookies und Einwilligungsverwaltung

Unsere Website verwendet Cookies und ähnliche Technologien, um bestimmte Funktionen bereitzustellen und Ihr Nutzererlebnis zu verbessern. Dabei handelt es sich teils um technisch notwendige Cookies (z.B. für Einstellungen oder den Buchungsprozess), teils um Cookies für Analyse- und Trackingzwecke (siehe unten Google Analytics und Microsoft Clarity). Nicht notwendige Cookies (insbesondere für Analyse/Tracking) setzen wir nur mit Ihrer ausdrücklichen Einwilligung ein. Beim ersten Besuch unserer Website fragen wir Sie über ein Cookie-Banner nach Ihrer Zustimmung. Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen auf der Website widerrufen oder ändern (ein Link hierzu wird im Footer der Website bereitgestellt). Sie können unsere Website grundsätzlich auch ohne Cookies betrachten; allerdings können dann ggf. nicht alle Funktionen vollumfänglich nutzbar sein (z.B. der Buchungsmotor). Über Ihre Browser-Einstellungen können Sie außerdem das Setzen von Cookies verhindern oder bereits gesetzte Cookies löschen. Beachten Sie jedoch, dass dadurch die Funktionalität eingeschränkt sein kann.

 

Rechtsgrundlagen: Technisch erforderliche Cookies verarbeiten wir auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines funktionierenden und benutzerfreundlichen Webauftritts). Analyse-/Tracking-Cookies setzen wir nur auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, ggf. i.V.m. § 25 Abs. 1 TTDSG (für das Auslesen/Speichern von Informationen auf Ihrem Endgerät).

​

3.3 Verwendung von Google Analytics

Unsere Website benutzt Google Analytics 4, einen Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies (siehe oben), die eine Analyse Ihrer Benutzung der Website ermöglichen. Wir haben Google Analytics so konfiguriert, dass eine anonymisierte Auswertung erfolgt. Insbesondere wird Ihre IP-Adresse vor jeder weiteren Verarbeitung gekürzt (sogenannte IP-Anonymisierung), sodass ein direkter Personenbezug ausgeschlossen ist. Google Analytics erfasst u.a. folgende Daten: Informationen über Ihr Gerät und Browser, die von Ihnen besuchten Seiten und Ihre Interaktionen (z.B. Klickpfade), ungefähre geografische Region, technische Leistungsdaten der Website und ähnliche Nutzungsdaten. Wir nutzen Google Analytics, um das Verhalten der Besucher auf unserer Website besser zu verstehen und unser Angebot entsprechend zu optimieren. Google wird diese Informationen in unserem Auftrag auswerten, um Reports über die Website-Aktivitäten zusammenzustellen und weitere Dienstleistungen uns gegenüber zu erbringen.

 

Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie entscheiden über das Cookie-Banner, ob Sie Google Analytics erlauben. Ohne Ihre Einwilligung bleibt Google Analytics deaktiviert. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie in den Cookie-Einstellungen die Option für Analytics ausschalten.

 

Empfänger und Drittlandtransfer: Google Ireland Ltd. verarbeitet die Daten zunächst innerhalb der EU. Es kann jedoch nicht ausgeschlossen werden, dass Google LLC mit Sitz in den USA ggf. Zugriff auf Daten erhält. Google ist unter dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau garantiert. Zusätzlich haben wir mit Google sog. EU-Standardvertragsklauseln abgeschlossen, um ein hohes Datenschutzniveau bei Datenübermittlungen in Drittländer sicherzustellen.

 

Speicherdauer: Wir haben die von Google angebotene Speicherdauer für Nutzungsdaten auf 14 Monate begrenzt. Das bedeutet, dass Analytics-Daten, die älter als 14 Monate sind, automatisch gelöscht bzw. nur noch in aggregierter Form vorgehalten werden. Weitere Informationen finden Sie in der Google-Datenschutzerklärung sowie in den Nutzungsbedingungen für Google Analytics.

 

3.4 Verwendung von Microsoft Clarity

Auf unserer Website setzen wir außerdem Microsoft Clarity ein, einen Webanalyse- und Session-Recording-Dienst der Microsoft Corporation. Microsoft Clarity zeichnet in anonymisierter Form das Verhalten der Website-Besucher auf, z.B. Mausbewegungen, Klicks, Scroll-Verhalten und Interaktionen. Dies hilft uns zu verstehen, wie Nutzer unsere Seiten bedienen, wo ggf. Usability-Probleme auftreten und wie wir die Benutzerfreundlichkeit verbessern können. Clarity verwendet ebenfalls Cookies/Tracking-Technologien. Bei der Nutzung von Clarity können Informationen wie Ihre gekürzte IP-Adresse, Gerätetyp, Browser, Verweildauer, Interaktionsereignisse u.a. erfasst werden.

 

Wichtig: Clarity maskiert sensible Datenfelder automatisch, d.h. etwaige Eingaben in Passwörter- oder Kreditkartenfelder werden nicht aufgezeichnet. Auch werden Inhalte von Nachrichten oder persönlichen Eingaben bestmöglich ausgeblendet, um Ihre Privatsphäre zu schützen. Wir sehen im Nachhinein nur anonymisierte Aufzeichnungen ohne direkte Personenbeziehbarkeit.

 

Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie über unser Cookie-Banner erteilen können. Ohne Einwilligung wird Clarity nicht aktiviert. Sie können Ihre Entscheidung jederzeit über die Cookie-Einstellungen anpassen.

 

Empfänger und Drittlandtransfer: Anbieter von Clarity ist Microsoft Ireland Operations Ltd., One Microsoft Place, Dublin, Irland. Die Auswertung kann jedoch über Server der Microsoft Corporation in den USA erfolgen. Microsoft ist nach eigenen Angaben ebenfalls dem EU-US Data Privacy Framework beigetreten. Zudem haben wir mit Microsoft Standarddatenschutzklauseln vereinbart, um ein adäquates Schutzniveau sicherzustellen.

 

Speicherdauer: Die durch Clarity aufgezeichneten Sitzungsdaten werden laut Microsoft nach 3 Monaten automatisch gelöscht. Wir selbst speichern diese Daten nicht lokal, sondern greifen nur auf die von Microsoft bereitgestellten Auswertungen zu. Weitere Details zum Datenschutz bei Clarity finden Sie in der Microsoft-Datenschutzerklärung sowie den FAQ zu Clarity.

 

3.5 Kontaktaufnahme (E-Mail, Telefon etc.)

Wenn Sie mit uns in Kontakt treten – zum Beispiel per E-Mail an unsere offizielle Adresse oder telefonisch – verarbeiten wir die von Ihnen mitgeteilten personenbezogenen Daten (wie Name, E-Mail-Adresse, Telefonnummer und den Inhalt Ihrer Anfrage), um Ihr Anliegen zu bearbeiten und zu beantworten.

 

Zweck: Beantwortung von Anfragen, Reservierungsanfragen, allgemeinen Mitteilungen und Kommunikation mit (potenziellen) Gästen, Lieferanten oder anderen Personen, die Kontakt zu uns aufnehmen.

 

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage auf den Abschluss eines Vertrags abzielt oder mit einer bestehenden Buchung/Reservierung in Zusammenhang steht (z.B. Anfrage zu Zimmerverfügbarkeit, Änderungswünsche einer bestehenden Buchung). In allen übrigen Fällen stützen wir die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO – unser berechtigtes Interesse, Anfragen von Interessenten oder Dritten zu beantworten und eine reibungslose Kommunikation sicherzustellen.

 

Speicherdauer: Wir speichern Kontaktdaten und Korrespondenz nur so lange, wie dies für die Bearbeitung Ihres Anliegens erforderlich ist. Sobald die Kommunikation vollständig abgeschlossen ist und kein weiterer Austausch zu erwarten ist, löschen wir die Daten nach spätestens 12 Monaten. Sollte sich aus der Anfrage eine Vertragsbeziehung ergeben (z.B. Buchung), gehen die Daten in die entsprechende Vertragsdokumentation über und werden gemäß den dafür geltenden Fristen aufbewahrt (siehe dazu Punkt Speicherdauer, unten).

3.6 Online-Buchung über unsere Website (myIBE Buchungsmaschine)

Wenn Sie über unsere Hotel-Website direkt eine Zimmerreservierung vornehmen, erfolgt dies über unsere integrierte Internet-Buchungsmaschine “myIBE” der Firma detco GmbH (ein Partner, der an unser Hotelverwaltungssystem angebunden ist). Im Rahmen des Buchungsprozesses werden verschiedene personenbezogene Daten erhoben, die für die Durchführung der Reservierung notwendig sind, insbesondere:
Stammdaten des Gastes: Anrede, Vor- und Nachname, ggf. Geburtsdatum (falls für den Check-in erforderlich), Anschrift (bei Bedarf), E-Mail-Adresse, Telefonnummer.
Buchungsdaten: Aufenthaltszeitraum (Anreise-/Abreisedatum), Anzahl der Gäste (Erwachsene, Kinder), Zimmertyp/Kategorie, besondere Wünsche oder Anmerkungen, voraussichtliche Ankunftszeit.
Zahlungsdaten: Je nach gewählter Rate werden möglicherweise Kreditkartendaten zur Garantie der Buchung oder Zahlung erhoben (Karteninhaber, Kartennummer, Gültigkeit, CVC). Diese Eingaben erfolgen verschlüsselt; wir nutzen eine PCI-DSS-konforme Lösung, sodass Zahlungsdaten sicher verarbeitet und gespeichert werden (i.d.R. als Token).
 

Die Erhebung dieser Daten erfolgt direkt durch die Buchungsmaschine in unserem Auftrag und wird nahtlos in unser zentrales Property Management System (PMS) Apaleo übertragen (siehe Abschnitt 3.8). Die detco GmbH fungiert hierbei als unser Auftragsverarbeiter gem. Art. 28 DSGVO. Wir haben mit detco einen entsprechenden Datenverarbeitungsvertrag (DPA) abgeschlossen, der sicherstellt, dass Ihre Daten ausschließlich zur Abwicklung der Buchung verwendet und nach aktuellen Sicherheitsstandards (inkl. PCI DSS und PSD2 für Zahlungsdaten) verarbeitet werden.

 

Zwecke: Die von Ihnen eingegebenen Daten verwenden wir, um Ihre Reservierung zu bearbeiten, Ihnen eine Buchungsbestätigung per E-Mail zuzusenden, das gebuchte Zimmer für Sie bereitzuhalten und den Beherbergungsvertrag mit Ihnen zu erfüllen. Ohne die Bereitstellung dieser Pflichtangaben können wir Ihre Buchung nicht bearbeiten. Freiwillige Angaben (z.B. Anmerkungen zu besonderen Anforderungen oder Anlass der Reise) nutzen wir, um bestmöglich auf Ihre Wünsche einzugehen (etwa Berücksichtigung von Allergien oder Bereitstellung eines Babybetts).

 

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen und Erfüllung des Hotelaufnahmevertrags). Soweit Sie uns freiwillig besondere Kategorien personenbezogener Daten mitteilen (z.B. Gesundheitsinformationen wie Allergien oder eine Behinderung, die für Ihre Unterbringung relevant sind), verarbeiten wir diese aufgrund Ihrer konkludenten Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO ausschließlich zu dem Zweck, Ihren Aufenthalt entsprechend vorzubereiten.

 

Speicherdauer: Wir speichern Buchungsdaten zunächst bis zur vollständigen Abwicklung Ihres Aufenthalts. Darüber hinaus werden relevante Buchungs- und Rechnungsdaten gemäß den gesetzlichen Aufbewahrungspflichten (Steuer- und Handelsrecht) für 10 Jahre aufbewahrt (siehe dazu ausführlich Abschnitt Speicherdauer).

 

Hinweis zur Zahlungsabwicklung: Etwaige Online-Zahlungen oder Kreditkartengarantie erfolgen verschlüsselt. Ihre Kreditkartendaten werden nicht im Klartext bei uns gespeichert, sondern sicher an unseren PCI-zertifizierten Zahlungsdienst weitergeleitet (ggf. Bestandteil von Apaleo Pay oder einer angebundenen Payment-Lösung). Wir verarbeiten Zahlungsdaten nur insoweit, wie es zur Abwicklung der Zahlung (z.B. Abbuchung bei Vorauszahlung oder Autorisierung als Buchungsgarantie) erforderlich ist. Rechtsgrundlage hierfür ist ebenfalls Art. 6 Abs. 1 lit. b DSGVO.

​

3.7 Buchungen über Drittplattformen (Booking.com, Expedia etc.)

Unser Hotel arbeitet mit Online-Reiseplattformen wie Booking.com und Expedia zusammen. Wenn Sie über einen solchen Drittanbieter eine Zimmerreservierung in unserem Hotel vornehmen, erhebt und verarbeitet zunächst der jeweilige Anbieter Ihre personenbezogenen Daten als eigener Verantwortlicher. Die Buchungsportale übermitteln uns sodann die für Ihre Reservierung erforderlichen Daten.

 

Dies umfasst in der Regel: Ihren Namen, die gebuchten Aufenthaltsdaten (An- und Abreise, Zimmerkategorie, Preis), die Anzahl der Gäste, ggf. angegebene besondere Wünsche, sowie Kontaktinformationen (wie E-Mail-Adresse oder Telefonnummer, soweit vom Portal an uns weitergegeben). Zahlungs- oder Kreditkartendaten erhalten wir in der Regel nicht direkt von Booking.com/Expedia, da die Zahlung entweder über das Portal abgewickelt wird oder uns nur eine Token/virtuelle Karte zur Belastung bereitgestellt wird.

 

Zwecke: Wir verarbeiten die vom Buchungsportal erhaltenen Daten, um Ihre Reservierung in unserem System (PMS) anzulegen, das Zimmer bereitzustellen, Sie einzuchecken und den Beherbergungsvertrag mit Ihnen zu erfüllen. Gegebenenfalls nutzen wir Ihre Kontaktdaten, um Sie vor Anreise zu kontaktieren oder Rückfragen zu klären (z.B. bei Unklarheiten zur Buchung).

 

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Auch wenn Sie den Vertrag über einen Vermittler abschließen, sind die Daten für die Erfüllung des Beherbergungsvertrags zwischen Ihnen und uns erforderlich. Bitte beachten Sie, dass die Datenschutzbestimmungen von Booking.com, Expedia & Co. eigenständig gelten. Diese Portale verarbeiten Ihre Daten (insb. während der Buchung auf deren Website) in eigener Verantwortung. Informationen zur Datenverarbeitung durch das jeweilige Portal entnehmen Sie bitte den Datenschutzhinweisen des Anbieters (z.B. der Datenschutzerklärung von Booking.com oder Expedia). Sobald wir Ihre Daten vom Portal erhalten, verarbeiten wir sie wie hier in unserer Datenschutzerklärung beschrieben.

 

Weitergabe und Auftragsverarbeitung: Die genannten Buchungsplattformen agieren nicht als Auftragsverarbeiter in unserem Namen, sondern als eigenständige Verantwortliche. Gleichwohl haben wir Verträge mit diesen Anbietern, die den Austausch der Buchungsinformationen regeln. Nach Erhalt behandeln wir Ihre Daten vertraulich; eine Weitergabe an unbeteiligte Dritte erfolgt nicht, abgesehen von den in dieser Erklärung beschriebenen Fällen (z.B. an unser PMS oder gesetzliche Pflichten).

 

3.8 Hotel-Management-System (PMS Apaleo)

Wir nutzen das cloudbasierte Property Management System (PMS) "Apaleo", bereitgestellt durch die Apaleo GmbH (Oskar-von-Miller-Ring 29, 80333 München, Deutschland), zur zentralen Verwaltung aller Reservierungen und Gästedaten. In Apaleo werden alle für den Hotelbetrieb notwendigen personenbezogenen Daten gespeichert und verarbeitet, darunter insbesondere:

Stammdaten: Name, Kontaktdaten, ggf. Anschrift und Geburtsdatum, Nationalität (falls für Meldeschein erforderlich), Präferenzen oder Notizen, die Sie uns mitgeteilt haben (z.B. Zimmerwünsche, Allergien – sofern erfasst).
Buchungs- und Aufenthaltsdaten: Buchungsnummer, gebuchtes Zimmer und Rate, Aufenthaltsdauer, Mitreisende, Check-in und Check-out Datum/Zeit, Rechnungsinformationen (Leistungen, Preise, Zahlungsmittel, Rechnungsadresse falls abweichend).
Kommunikationshistorie: relevante E-Mails oder Nachrichten im Zusammenhang mit der Reservierung können im PMS vermerkt sein (z.B. besondere Absprachen, Beschwerden, Wünsche).
Meldescheindaten: Falls Sie der Meldepflicht unterliegen (siehe Abschnitt 3.10), können auch die Daten aus dem Meldeschein (Adresse, Ausweisnummer bei ausländischen Gästen, etc.) im PMS erfasst oder verknüpft sein.

Zwecke: Apaleo ermöglicht uns eine effiziente Abwicklung aller Hotelprozesse – von der Reservierung über den Check-in bis zur Rechnungsstellung. Konkret nutzen wir das PMS, um Buchungen zu verwalten, Zimmer zuzuteilen, Leistungen zu erfassen, Rechnungen zu erstellen und gesetzliche Aufzeichnungspflichten zu erfüllen. Zudem dient es als Gästeverwaltungssystem, in dem z.B. wiederkehrende Gäste erkannt werden können, um beim nächsten Aufenthalt einen besseren Service zu bieten (etwa vorhandene Präferenzen zu berücksichtigen).

 

Rechtsgrundlage: Überwiegend Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Hotelvertrags und vorvertraglicher Maßnahmen). Die Datenverarbeitung im PMS ist integraler Bestandteil der Vertragsdurchführung. Soweit wir bestimmte Informationen über die eigentliche Vertragserfüllung hinaus speichern (z.B. freiwillige Angaben zu Vorlieben für zukünftige Aufenthalte), stützen wir dies auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem personalisierten, hochwertigen Gästeservice). Sie können dieser weitergehenden Speicherung jederzeit widersprechen (siehe Rechte, insbesondere Widerspruchsrecht in Abschnitt 5). Gesetzliche Pflichten (z.B. Aufbewahrung von Rechnungsdaten nach Art. 6 Abs.1 lit. c DSGVO i.V.m. HGB/AO) bleiben unberührt.

 

Auftragsverarbeitung und Datensicherheit: Die Apaleo GmbH verarbeitet die Daten in unserem Auftrag und ausschließlich nach unseren Weisungen (Art. 28 DSGVO). Ein entsprechender Vertrag (DPA) wurde abgeschlossen. Apaleo hostet die Plattform in hochsicheren Rechenzentren – laut Apaleo in der EU – und hält strenge technische und organisatorische Maßnahmen zum Schutz der Daten ein (u.a. Verschlüsselung, Zugriffskontrollen, regelmäßige Sicherheitsaudits). Apaleo ist zudem PCI-DSS-konform (für Zahlungsdaten) und verfügt über moderne Sicherheitszertifizierungen (SOC 2 usw.). Nur unsere befugten Mitarbeiter haben über passwortgeschützte Zugänge Zugriff auf das PMS, und jeder Zugriff wird protokolliert.

 

Schnittstellen zu anderen Systemen: Apaleo ermöglicht eine zwei-Wege-Schnittstelle zu diversen angebundenen Systemen (sog. Apps), die wir einsetzen – z.B. die Buchungsmaschine (myIBE), das Gäste-Messaging-System Bookboost oder die digitale Check-in-Lösung Straiv. Über diese Schnittstellen werden die notwendigen Daten automatisiert und sicher übertragen. Wir stellen sicher, dass jede angebundene Anwendung ebenfalls den Datenschutzstandards entspricht und vertraglich gebunden ist (siehe jeweils die Erklärungen zu den einzelnen Tools in dieser Datenschutzerklärung).
 

3.9 CRM und Gästekommunikation (Bookboost)

Um mit unseren Gästen vor, während und nach dem Aufenthalt effizient kommunizieren zu können, nutzen wir das Customer Relationship Management (CRM) und Multi-Channel-Messaging-System Bookboost der Firma Bookboost AB (Anckargripsgatan 3, 211 19 Malmö, Schweden). Über Bookboost können wir Gäste auf verschiedenen Kommunikationskanälen erreichen – insbesondere per E-Mail, SMS oder WhatsApp (über die WhatsApp Business API) – um ihnen wichtige Informationen zum Aufenthalt bereitzustellen.

 

Verarbeitete Daten: In Bookboost werden in der Regel Ihr Name, die gebuchte Aufenthaltszeit sowie Kontaktangaben (E-Mail-Adresse und/oder Mobilnummer) aus unserem PMS übernommen. Zudem speichert das System den Verlauf der mit Ihnen geführten Kommunikation (Inhalte von versendeten Nachrichten und ggf. Ihre Antworten). So haben unsere Mitarbeiter eine einheitliche „Gäste-Inbox“, um jederzeit nachvollziehen zu können, was bereits kommuniziert wurde. Bookboost kann außerdem Ihre Buchungsdetails anzeigen (über die Integration mit dem PMS), z.B. An- und Abreisedatum, Zimmerkategorie, Buchungsnummer, damit wir kontextbezogene Nachrichten senden können (etwa "Ihr Zimmer ist ab 15 Uhr bezugsfertig" am Anreisetag). Zwecke: Wir verwenden Bookboost ausschließlich für transaktionale und servicebezogene Kommunikation, nicht für unaufgeforderte Werbezusendungen. Konkret bedeutet dies:

Buchungs- und Reservierungsbestätigungen: Kurz nach Ihrer Buchung erhalten Sie von uns eine Bestätigung mit den wichtigsten Daten (sofern diese nicht bereits vom Buchungsportal versendet wurde).
Pre-Arrival Nachrichten: Vor Anreise senden wir Ihnen ggf. Informationen zum Check-in, Wegbeschreibung, Parkplatz etc. oder einen Link zur Online-Check-in Möglichkeit (siehe Straiv, Abschnitt 3.10).
Während des Aufenthalts: Wir können Sie z.B. am Anreisetag über die Verfügbarkeit Ihres Zimmers informieren oder auf Wunsch mit Ihnen per WhatsApp/SMS in Kontakt bleiben, um Fragen zu beantworten oder Servicewünsche (z.B. zusätzliches Kissen, Weckruf) entgegenzunehmen.
Post-Stay: Nach Abreise senden wir Ihnen ggf. eine Danke-Nachricht und bei Bedarf Ihre Rechnung per E-Mail. Außerdem fragen wir eventuell nach Zufriedenheit (Feedback), jedoch nur, wenn Sie dem zustimmen; wir versenden keine automatischen Marketing-Newsletter.

Rechtsgrundlage: Die Kommunikation über Bookboost erfolgt, soweit sie zur Durchführung des Vertrags mit Ihnen erforderlich ist, auf Basis von Art. 6 Abs. 1 lit. b DSGVO (vertragliche Kommunikation gehört zur Leistungserbringung). Das trifft insbesondere auf Buchungsbestätigungen, Anreiseinformationen und antwortende Kommunikation auf Ihre Anfragen zu. Soweit wir Ihnen zusätzliche Serviceinfos zukommen lassen, die nicht zwingend vertraglich erforderlich sind (z.B. freiwillige Zufriedenheitsabfrage), stützen wir dies auf unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO, Ihnen einen exzellenten Kundenservice zu bieten.

 

In jedem Fall respektieren wir Ihre Präferenzen: Wenn Sie bestimmte Kommunikationskanäle nicht wünschen, können Sie uns das jederzeit mitteilen. Für werbliche Inhalte (z.B. Newsletter, Angebote) würden wir vorher Ihre ausdrückliche Einwilligung einholen (Art. 6 Abs. 1 lit. a DSGVO) – derzeit versenden wir jedoch keine derartigen Marketingnachrichten ohne Anforderung. Kommunikationskanäle und Drittanbieter:

E-Mail: E-Mails werden direkt über Bookboost oder ggf. unser anderes System Straiv versandt. Beachten Sie, dass E-Mails unverschlüsselt sein können; für hochsensible Informationen nutzen wir E-Mail nur, wenn erforderlich und mit entsprechenden Sicherheitsmaßnahmen.

SMS: Wenn Sie bei der Buchung eine Mobilnummer angegeben haben, können wir Ihnen wichtige Kurzmitteilungen per SMS senden (z.B. falls wir Sie kurzfristig nicht erreichen, um eine dringende Frage zu klären). Der Versand erfolgt über den Dienst von Bookboost, der dafür Telefondienstleister (SMS-Gateways) nutzt. Ihre Telefonnummer wird zu diesem Zweck an den SMS-Dienst übermittelt.

WhatsApp: Wir bieten an, mit Gästen auch über WhatsApp zu kommunizieren, da dies für viele bequem ist. Wenn Sie uns bereits über WhatsApp kontaktieren oder uns mitteilen, dass wir Ihnen über WhatsApp schreiben dürfen, nutzen wir diesen Kanal. Hierbei wird Ihre Telefonnummer an den WhatsApp Business Dienst (betrieben von WhatsApp Ireland Ltd., Dublin bzw. WhatsApp LLC/Meta Platforms in den USA) weitergegeben. WhatsApp erhält zwangsläufig die Metadaten jeder Nachricht (Absender/Empfänger, Zeitpunkt) und speichert auch den Inhalt der Kommunikation (verschlüsselt auf den WhatsApp-Servern). Bitte beachten Sie, dass WhatsApp eigene Datenschutzrichtlinien hat, auf die wir keinen Einfluss haben. Wir verwenden WhatsApp ausschließlich für Einzelkommunikation (kein Gruppenchat) und nur für transaktionale Inhalte (keine Werbung). Wenn Sie dies nicht wünschen, teilen Sie uns das gerne mit oder nutzen Sie alternativ E-Mail/SMS.

Auftragsverarbeitung: Mit Bookboost AB (Schweden) haben wir einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen. Darin wird Bookboost verpflichtet, die Daten unserer Gäste zu schützen, nur nach unseren Weisungen zu verarbeiten und nicht unberechtigt an Dritte weiterzugeben. Bookboost speichert die Daten innerhalb der EU. 

 

Speicherdauer: Die via Bookboost versandten Nachrichten und Chat-Historien werden in unserem Bookboost-Account gespeichert, damit wir den Konversationsverlauf nachvollziehen können. Grundsätzlich löschen oder anonymisieren wir diese Kommunikationsdaten, wenn sie für den ursprünglichen Zweck nicht mehr erforderlich sind. In der Regel bewahren wir Gästekorrespondenz für bis zu 6 Jahre auf, da geschäftliche Kommunikation als Teil der Geschäftsunterlagen nach Handelsrecht aufbewahrt werden sollte. Eine längere Speicherung kann im Einzelfall erfolgen, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Auf Ihren ausdrücklichen Wunsch können wir persönliche Chat-Verläufe auch früher löschen, sofern keine Aufbewahrungspflichten entgegenstehen.

​

3.10 Digitale Gästeservices und Online-Check-in (Straiv by CODE2ORDER)

Wir bieten unseren Gästen einen digitalen Check-in/Check-out und weitere digitale Services über die Plattform Straiv by CODE2ORDER, betrieben von der CODE2ORDER GmbH (Eichenwiesenring 4F, 70567 Stuttgart, Deutschland), an. Straiv ermöglicht es Ihnen, bereits vor Ankunft oder unterwegs bequem per Smartphone Eincheck-Formalitäten zu erledigen, ohne ein separates App-Download – ähnlich wie der Self-Check-in am Flughafen. Zudem stellen wir über Straiv eine digitale Gästemappe und ggf. zusätzliche Services bereit (z.B. Informationen rund um Ihren Aufenthalt, Möglichkeit zur Zimmer-Feedbackabgabe, optionaler digitaler Check-out).

 

Ablauf und verarbeitete Daten: Wenn Sie eine Buchung bei uns haben, senden wir Ihnen ggf. kurz vor der Anreise eine E-Mail (oder SMS/WhatsApp via Bookboost) mit einem Link zum Online-Check-in. Dieser Link führt zur Straiv-Weboberfläche, wo Sie Ihre Reservierung identifizieren (meist durch Eingabe Ihres Nachnamens und der Reservierungsnummer oder eines Codes). Dort können Sie dann die für den behördlichen Meldeschein erforderlichen Daten eingeben bzw. überprüfen:
Vollständiger Name, Anschrift, Geburtsdatum, Nationalität.
Bei ausländischen Gästen: Seriennummer des Ausweisdokuments (Pass/Personalausweis) und ausstellende Behörde.
Unterschrift: Sie können auf dem Smartphone/Tablet digital unterschreiben, um die gesetzliche Meldeschein-Pflicht zu erfüllen.

Optional Abfrage weiterer Daten: z.B. Fahrzeug-Kennzeichen (falls Parkplatz genutzt), voraussichtliche Ankunftszeit, sowie Bestätigung der Einwilligung zu den AGB/Hotelregeln.
Corona-Status [Hinweis: derzeit nicht mehr relevant]: Straiv hatte auch die Möglichkeit, COVID-Impf-/Testnachweise hochzuladen – dies ist momentan nicht mehr erforderlich und wird von uns nicht genutzt.

Ihre eingegebenen Daten werden verschlüsselt an unser PMS (Apaleo) übertragen und dort zur Vorbereitung Ihres Check-ins verwendet. Straiv generiert den amtlichen Meldeschein digital. Wenn zulässig, erfolgt der gesamte Check-in papierlos; in manchen Fällen (insbesondere bei ausländischen Gästen, siehe unten) müssen wir eventuell Ihre digitale Unterschrift ausdrucken oder Sie vor Ort nochmals unterschreiben lassen, falls gesetzlich vorgeschrieben.

 

Meldepflicht: Nach dem deutschen Bundesmeldegesetz sind Beherbergungsstätten verpflichtet, von Gästen bestimmte Angaben zu erheben. Seit dem 01.01.2025 gilt: Deutsche Staatsangehörige müssen keinen Meldeschein mehr ausfüllen. Ausländische Gäste (Nicht-Deutsche) hingegen unterliegen weiterhin der Meldepflicht – wir müssen Name, Geburtsdatum, Anschrift, Staatsangehörigkeit und Seriennummer des Identitätsdokuments erfassen und Sie müssen den Meldeschein unterschreiben. Mit Straiv können wir diese Daten bereits vorab erheben, was Ihren Check-in vor Ort beschleunigt. Bei Anreise ausländischer Gäste kontrollieren wir in der Regel noch das Original-Ausweisdokument und bestätigen die Richtigkeit der Angaben. Ihre digitalen Meldescheindaten werden elektronisch bei uns gespeichert; einen Ausdruck bewahren wir nur auf, wenn dies aus rechtlichen Gründen erforderlich ist. Die Meldescheine (ob digital oder in Papierform) werden gemäß gesetzlicher Vorgabe ein Jahr ab dem Datum der Anreise aufbewahrt und danach vernichtet bzw. gelöscht (siehe Speicherdauer).

 

Weitere Straiv-Funktionen: Über Straiv stellen wir Ihnen eventuell auch eine digitale Gästemappe zur Verfügung (Informationen zum Hotel, Frühstückszeiten, Umgebungstipps etc.) oder ermöglichen digitale Serviceanfragen (z.B. Zimmerservice-Bestellungen). Wenn Sie solche Funktionen nutzen, verarbeitet Straiv entsprechende Transaktionsdaten (z.B. welche Info-Seiten Sie aufrufen oder welche Services Sie bestellen). Diese dienen ausschließlich der Durchführung der gewünschten Services und der Verbesserung unseres Angebots.

 

Rechtsgrundlage: Die Verarbeitung Ihrer Daten über Straiv erfolgt zur Erfüllung unseres Vertrages und rechtlicher Verpflichtungen: Art. 6 Abs. 1 lit. b DSGVO (Check-in und Serviceleistungen als Teil des Beherbergungsvertrags) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Meldepflicht nach Bundesmeldegesetz für ausländische Gäste). Soweit Straiv Cookies oder Tracking einsetzt, um den Dienst bereitzustellen und zu analysieren, holt Straiv ggf. separat Ihre Einwilligung ein (Art. 6 Abs. 1 lit. a DSGVO) – dies betrifft jedoch primär die technische Bereitstellung des Webdienstes. Ihre Nutzung der Plattform ist freiwillig; Sie können selbstverständlich alternativ den Check-in vollständig an der Rezeption durchführen, ohne Straiv zu verwenden. Die angebotenen Services stehen dann ggf. analog (in Papierform oder persönlich) zur Verfügung.

 

Auftragsverarbeitung: Die CODE2ORDER GmbH betreibt Straiv in unserem Auftrag. Wir haben einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen. Darin wird u.a. festgelegt, dass Ihre Daten nur für die genannten Zwecke verarbeitet und nach aktueller Technik geschützt werden. Straiv hostet die Daten auf Servern in Deutschland. Eine Weitergabe Ihrer Daten durch Straiv an Dritte erfolgt nicht, außer wenn wir dies anweisen oder gesetzlich vorgeschrieben ist (z.B. im Ausnahmefall an Behörden, siehe Kategorien von Empfängern unten).

 

Empfänger: Innerhalb unseres Hotels haben nur berechtigte Mitarbeiter Zugriff auf Straiv-Daten (z.B. Rezeptionspersonal, das die Online-Check-ins verwaltet). Außerhalb erhalten nur Sie selbst (über die Weboberfläche) und wir Kenntnis Ihrer Daten. Öffentliche Stellen wie Polizei/Meldebehörden können im Rahmen der gesetzlichen Bestimmungen Einsicht in Meldescheindaten verlangen – wir kommen solchen Anfragen nur nach, wenn eine rechtliche Verpflichtung besteht.

 

Speicherdauer: Ihre Check-in-Daten und der digitale Meldeschein werden in Straiv/Apaleo solange vorgehalten, wie es zur Erfüllung der Meldegesetz-Aufbewahrungspflicht erforderlich ist (1 Jahr für Meldescheine ab Anreisedatum). Nach Ablauf dieser Frist werden die Daten gelöscht. Transaktions- und Nutzungsdaten der Straiv-Plattform (z.B. welche Services genutzt wurden) werden anonymisiert oder nach Zweckerreichung gelöscht.

​

3.11 Videoüberwachung im Hotel

Wo und was wird aufgezeichnet: In bestimmten öffentlich zugänglichen Bereichen unseres Hotels setzen wir Videoüberwachung mittels Sicherheitskameras ein (z.B. Eingangsbereich/Lobby, Rezeption). Diese Kameras sind deutlich erkennbar installiert. Es erfolgt keine Videoüberwachung in privaten Bereichen (insbesondere nicht in Gästezimmern, Spa- oder Toilettenbereichen). Die Kameras zeichnen in der Regel durchgehend auf und speichern Bildmaterial auf einem internen Speichersystem. Es handelt sich um reine Bildaufnahmen; Ton wird nicht aufgezeichnet.

 

Zwecke: Die Videoüberwachung dient der Sicherheit von Gästen, Mitarbeitern und Eigentum. Konkret verfolgen wir damit folgende berechtigte Interessen: Prävention und Aufklärung von Diebstahl, Vandalismus oder sonstigen Straftaten, Schutz unseres Eigentums und der Einrichtungen, Sicherstellung der Sicherheit in und um das Hotel (insb. auch nachts) sowie Durchsetzung des Hausrechts. Die Präsenz von Kameras soll potenziell abschreckend wirken und im Bedarfsfall Beweismaterial liefern, um Vorfälle zu klären.

 

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse an der Überwachung ergibt sich aus den vorgenannten Sicherheitszwecken. Wir haben eine Abwägung vorgenommen und achten darauf, den Eingriff in die Persönlichkeitsrechte der Betroffenen so gering wie möglich zu halten – etwa durch begrenzte Kameraperspektiven (nur allgemeine Übersichtsaufnahmen) und kurze Speicherfristen (siehe unten). Zudem werden Gäste und Besucher durch Piktogramme/Schilder am Eingang auf die Videoüberwachung hingewiesen, sodass Transparenz besteht.

 

Aufbewahrung und Löschung: Die Aufzeichnungen der Überwachungskameras werden nur vorübergehend gespeichert. Eine routinemäßige Auswertung aller Aufnahmen findet nicht statt – das Material wird nur im Ereignisfall gesichtet. Unbenötigtes Videomaterial wird automatisiert gelöscht. Konkret erfolgt eine Überschreibung/Löschung der Aufnahmen spätestens nach 10 Tagen. Diese Aufbewahrungsdauer haben wir festgelegt, um genügend Zeit zu haben, etwaige Vorfälle zu bemerken und auszuwerten (z.B. wenn ein Gast erst einige Tage nach Abreise einen Diebstahl anzeigt). Sie überschreitet die von Datenschutzaufsichtsbehörden oft empfohlene 72-Stunden-Frist, ist aber durch die praktischen Erfordernisse im Hotelbetrieb begründet.

 

Eine längere Speicherung erfolgt nur ausnahmsweise, wenn ein konkreter Vorfall festgestellt wurde: In diesem Fall kann das relevante Videomaterial isoliert und bis zur Klärung des Sachverhalts aufbewahrt werden (z.B. bis zur Übergabe an Polizei/Versicherung oder Abschluss eines Rechtsstreits). Nach Abschluss wird auch dieses Material unverzüglich gelöscht.

 

Zugriff auf Aufnahmen: Die Videoaufzeichnungen sind vor unberechtigtem Zugriff geschützt. Nur die Geschäftsführung bzw. von ihr beauftragte Personen (z.B. Sicherheitsbeauftragter) dürfen im Anlassfall die Aufnahmen sichten. Im Falle eines relevanten Sicherheitsvorfalls können die Aufzeichnungen an Strafverfolgungsbehörden (Polizei) übermittelt werden, sofern dies zur Rechtsverfolgung erforderlich ist. Eine darüberhinausgehende Weitergabe an Dritte erfolgt nicht. Die Aufnahmen werden nicht öffentlich angezeigt oder zu Marketingzwecken genutzt.

 

3.12 Nutzung des Gäste-WLAN

Unser Hotel stellt Gästen ein kostenloses WLAN zur Verfügung. Wenn Sie dieses Gäste-WLAN nutzen, werden in geringem Umfang technische Verbindungsdaten erhoben und gespeichert, die bei der Nutzung des Internets anfallen:
Gerätekennung: Die MAC-Adresse Ihres Geräts (Netzwerkadapter-Adresse) und ggf. der Gerätename,
Zugeteilte IP-Adresse im WLAN,

Verbindungszeiten: Zeitpunkt des Logins ins WLAN, Dauer der Verbindung, ggf. Volumen der übertragenen Daten,
Netzwerk-Protokolldaten: z.B. welche internen WLAN-Access-Points genutzt wurden. Wir erfassen jedoch nicht den konkreten Inhalt Ihrer Internetnutzung (wir protokollieren also nicht, welche Websites Sie besuchen oder welche Daten Sie herunterladen, abgesehen von den technisch bedingten IP-Adressen im Rahmen der Internetverbindung).
Diese Daten fallen automatisiert an, sobald Ihr Gerät mit unserem WLAN verbunden ist. Wir verwenden sie, um den Betrieb und die Sicherheit unseres WLAN-Netzwerks zu gewährleisten. Insbesondere können wir im Missbrauchsfall (z.B. bei Rechtsverstößen über unseren Internetzugang, wie dem Herunterladen illegaler Inhalte) anhand der Log-Daten nachvollziehen, welches Gerät zu welcher Zeit das WLAN genutzt hat. Dies dient dem Schutz vor Missbrauch und der Aufklärung etwaiger Vorfälle, da wir als Anschlussinhaber ggf. Auskünfte an Ermittlungsbehörden geben müssen.

 

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der sicheren Bereitstellung des Internetzugangs und der Abwehr bzw. Nachverfolgung von Missbrauch (z.B. strafbaren Handlungen oder erheblichen Verstößen gegen unsere Nutzungsbedingungen im WLAN). Die Daten werden nicht dazu verwendet, das Surfverhalten gewöhnlicher Nutzer auszuspähen; sie dienen rein dem Schutz vor und der Reaktion auf sicherheitsrelevante Ereignisse.

 

Keine Weitergabe/Überwachung: Wir geben die WLAN-Nutzungsdaten nicht an Dritte weiter, außer es besteht eine gesetzliche Pflicht (z.B. Auskunftsersuchen von Strafverfolgungsbehörden bei konkretem Verdacht einer Straftat, mit richterlicher Anordnung). Wir überwachen nicht aktiv Ihre Kommunikation. Allerdings möchten wir darauf hinweisen, dass im offenen WLAN die Datenübertragung nicht notwendigerweise verschlüsselt ist – nutzen Sie daher selbst Schutz (VPN, SSL-Seiten) für vertrauliche Informationen.

 

Speicherdauer: Die Verbindungsprotokolle werden kurzzeitig gespeichert und automatisch gelöscht, sofern kein sicherheitsrelevanter Vorfall festgestellt wurde. In der Regel werden WLAN-Logdaten nach 30 Tagen gelöscht. Sollte es innerhalb dieser Zeitspanne zu einem bekannt gewordenen Zwischenfall kommen, der eine längere Aufbewahrung erfordert (z.B. behördliche Untersuchungen), werden die betreffenden Daten isoliert und bis zur Klärung aufbewahrt. Alle übrigen Logdaten werden weiterhin planmäßig gelöscht.

​

3.13 Keine Newsletter oder Direktwerbung ohne Einwilligung

Wir nutzen Ihre Kontaktdaten nicht für Newsletter, Werbe-E-Mails oder sonstige Direktmarketing-Maßnahmen, außer Sie haben hierfür ausdrücklich und separat eingewilligt. Insbesondere betreiben wir kein Loyalty-Programm oder regelmäßige Marketing-Mailings, in deren Rahmen wir Ihre Daten verwenden würden. Sollten Sie uns von sich aus darum bitten, in einen Newsletter-Verteiler aufgenommen zu werden oder künftig Angebote zu erhalten, werden wir dies nur nach Dokumentation Ihrer Einwilligung tun. In einem solchen Fall würden wir Sie bei Erhebung der E-Mail-Adresse klar über Zweck und Inhalt informieren und Ihnen jederzeit die Möglichkeit zum Widerruf geben. Da wir aber aktuell keinen Newsletter versenden, erhalten Sie von uns keinerlei Werbemitteilungen. Sie brauchen also nicht zu befürchten, dass Ihre Daten zu Marketingzwecken missbraucht werden.

 

Bitte beachten Sie: Unberührt davon bleiben natürlich serviceorientierte Nachrichten im Zusammenhang mit einer bestehenden Buchung (siehe Gästekommunikation oben). Solche Nachrichten dienen nicht der Werbung, sondern der Vertragsdurchführung bzw. Kundenbetreuung und werden daher auch ohne separate Einwilligung versendet.

​

​

3.14 Make.com

Wir nutzen die Integrationsplattform Make.com, betrieben von Celonis Inc., 1 World Trade Center, 87th Floor, New York, NY 10007, USA, zur Automatisierung von Arbeitsabläufen, wie zum Beispiel der Gästekommunikation.

​

Im Rahmen dieser Automatisierungen können personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Buchungsdaten) über Server von Make.com übermittelt und verarbeitet werden. Diese Verarbeitung erfolgt ausschließlich in unserem Auftrag und gemäß unseren Weisungen, basierend auf einer Auftragsverarbeitungsvereinbarung (AVV) gemäß Art. 28 DSGVO. Wir haben ein berechtigtes Interesse an der Automatisierung von Prozessen und der Kommunikation mit unseren Kunden.

​

Make.com erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und nimmt am EU-U.S. Data Privacy Framework (DPF) teil, das ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten in die Vereinigten Staaten gemäß Art. 45 DSGVO gewährleistet.

​

Weitere Informationen zur Datenverarbeitung durch Make.com finden Sie unter: https://www.make.com/en/privacy-notice

​

​

3.15 Schulte-Schlagbaum AG

Wir verwenden Systeme der Schulte-Schlagbaum AG, um elektronische Zutrittskontrollen in unserem Hotel zu ermöglichen. Dabei werden personenbezogene Daten wie Zimmernummern, Name und Aufenthaltsdatum verarbeitet. Diese Daten dienen ausschließlich der Zugangskontrolle und der Gewährleistung der Sicherheit innerhalb unserer Räumlichkeiten.​

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
 

​

3.16 Payjim UG

​

Für den digitalen Check-out und die eigenständige Bearbeitung von Rechnungsdaten stellen wir unseren Gästen eine Lösung der Payjim UG zur Verfügung. Über diesen Service können Gäste ihre Rechnungsadresse selbstständig anpassen und den Check-out-Prozess eigenständig abschließen – ohne Wartezeiten an der Rezeption.

Verarbeitete Daten: Name, E-Mail-Adresse, Buchungsreferenz, Rechnungsadresse, Check-out-Zeitpunkt
Zweck der Verarbeitung: Eigenständiger Check-out, Bearbeitung von Rechnungsdaten durch den Gast
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

​

​

3.17 Speed-U-Up GmbH

Die Speed-U-Up GmbH ist unser technischer Dienstleister für den Betrieb und die Verwaltung der Amazon Alexa Geräte in unseren Hotelzimmern. Diese Sprachassistenten ermöglichen unseren Gästen, per Sprache auf Hotelinformationen zuzugreifen, Musik zu steuern, Licht zu bedienen oder Wetterinformationen abzurufen.

Verarbeitete Daten: Geräte-ID, Zimmernummer, Nutzungszeitpunkt, technische Sprachbefehlsdaten (weitergeleitet an Amazon)

Zweck der Verarbeitung: Bereitstellung und Management sprachgesteuerter Services im Zimmer

Rechtsgrundlage:
– Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an digitalem Gästeservice)
– Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Nutzung)
Hinweis: Sprachbefehle werden direkt an Amazon Alexa, einen Dienst von Amazon Europe Core S.à r.l., übermittelt. Die Verarbeitung dieser Daten unterliegt den Datenschutzrichtlinien von Amazon.
Sitz des Unternehmens: Speed-U-Up GmbH, Joseph-Dollinger-Bogen 14, 80807 München, Deutschland

​

 

4. Datenweitergabe und Empfänger

Ihre personenbezogenen Daten behandeln wir vertraulich. Eine Übermittlung an Dritte erfolgt nur, soweit dies zur Vertragsabwicklung oder auf Grundlage einer gesetzlichen Erlaubnis erforderlich ist, Sie eingewilligt haben oder wir hierzu gesetzlich verpflichtet sind. Mögliche Empfänger bzw. Kategorien von Empfängern Ihrer Daten sind insbesondere:
Auftragsverarbeiter: Wir bedienen uns externer Dienstleister, die in unserem Auftrag Daten verarbeiten (IT-Dienstleister, Buchungssystem-Provider, Kommunikationsplattformen etc.). Mit allen Auftragsverarbeitern wurde ein Vertrag nach Art. 28 DSGVO geschlossen, der den sorgfältigen Umgang mit Ihren Daten sicherstellt. Die wichtigsten von uns eingesetzten Auftragsverarbeiter haben wir bereits in dieser Erklärung benannt (Apaleo, Bookboost, Straiv, detco/myIBE, etc.). Diese Unternehmen dürfen die Daten nicht für eigene Zwecke nutzen und unterliegen unseren Weisungen und strengen vertraglichen Datenschutzauflagen.

Technologie-Partner (Drittanbieter): Einige der erwähnten Tools (z.B. Google Analytics, Microsoft Clarity, WhatsApp) werden nicht in unserem Auftrag, sondern als eigenverantwortliche Stellen tätig, wenn Sie diese nutzen bzw. einwilligen. Auch in solchen Fällen werden Daten ggf. an die Betreiber dieser Dienste übermittelt. Wir haben dies in den jeweiligen Abschnitten erläutert.

Behörden: Im Falle gesetzlicher Verpflichtungen können personenbezogene Daten an öffentliche Stellen weitergegeben werden. Beispiele: Meldescheindaten an die Meldebehörde (auf Verlangen, z.B. Auskunft an das örtliche Einwohnermeldeamt oder die Polizei im Rahmen der gesetzlichen Bestimmungen), Herausgabe von Videoaufzeichnungen auf behördliche Anordnung, Auskunft an Strafverfolgungsbehörden bei Ermittlungen (z.B. bezüglich WLAN-Nutzung oder Gästeliste), Übermittlung steuerrelevanter Daten an Finanzbehörden oder Prüfer. In all diesen Fällen erfolgt die Weitergabe ausschließlich auf Basis einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).

Berater/Dienstleister: In seltenen Fällen kann es erforderlich sein, Daten an unsere Rechtsberater, Wirtschaftsprüfer oder Versicherungen weiterzugeben, z.B. bei Rechtsstreitigkeiten, Versicherungsfällen oder Prüfungen. Hierbei achten wir ebenfalls auf Vertraulichkeit und die gesetzlichen Vorgaben.
Eine sonstige Übermittlung an Dritte (z.B. Adresshändler, Marketing-Firmen) findet nicht statt.

 

5. Datenübermittlung in Länder außerhalb der EU

Soweit wir Dienstleister einsetzen, die ihren Sitz außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) haben oder Daten in ein solches Drittland übertragen, stellen wir sicher, dass vor der Weitergabe Ihrer personenbezogenen Daten ein angemessenes Datenschutzniveau beim Empfänger gewährleistet ist. Dies kann sich insbesondere ergeben aus:

einem Angemessenheitsbeschluss der EU-Kommission für das jeweilige Land (z.B. der EU-US Data Privacy Framework Angemessenheitsbeschluss für zertifizierte US-Unternehmen), oder
der Vereinbarung von EU-Standardvertragsklauseln mit den Empfängern und ggf. zusätzlichen Schutzmaßnahmen, oder
verbindlichen internen Datenschutzvorschriften beim Empfänger (Binding Corporate Rules), oder
Ihrer ausdrücklichen Einwilligung (Art. 49 Abs. 1 lit. a DSGVO), sofern keiner der obigen Mechanismen greift und eine Ausnahme zulässig ist (dies kommt in unserem Hotelbetrieb jedoch nur im Fall der WhatsApp-Kommunikation in Betracht, wenn Sie diesen Kanal aktiv nutzen möchten – hier liegt konkludent Ihre Einwilligung vor, dass die Kommunikation über die Server von WhatsApp/Meta (USA) erfolgt).

Konkret bedeutet das zum Beispiel: Unsere wichtigsten Systeme (Apaleo, Bookboost, Straiv) sind in der EU gehostet. Die Analyse-Tools Google Analytics und Microsoft Clarity sind US-basierte Dienste, doch beide Unternehmen sind nach aktuellem Stand unter dem EU-US Datenschutzrahmen zertifiziert, was ein anerkanntes Schutzniveau garantiert. Zusätzlich haben wir mit diesen Anbietern die Standardvertragsklauseln abgeschlossen. Bei WhatsApp als möglichem Kommunikationskanal weisen wir Sie auf die in den USA sitzenden Server hin – wenn Sie diesen Kanal nutzen, willigen Sie in die damit verbundene Datenübertragung ein. Sollten Sie Fragen zu den konkreten Garantien im Zusammenhang mit einer bestimmten Übermittlung haben, können Sie uns gerne unter den angegebenen Kontaktdaten anfragen. Wir stellen Ihnen auf Wunsch auch Kopien der relevanten vertraglichen Vereinbarungen zur Verfügung (soweit zumutbar und ohne Geheimhaltungspflichten Dritten gegenüber zu verletzen).

 

6. Dauer der Speicherung / Löschfristen

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist und wie wir eine Rechtsgrundlage dafür haben. Danach werden die Daten nach Maßgabe der gesetzlichen Vorschriften gelöscht oder anonymisiert. Im Einzelnen gelten bei uns folgende Löschfristen bzw. Kriterien:

Buchungs- und Vertragsdaten: Daten zu durchgeführten Reservierungen und Aufenthalten (einschließlich Rechnungsdaten) bewahren wir gemäß den gesetzlichen Aufbewahrungspflichten bis zu 10 Jahre nach dem Schluss des Kalenderjahres, in dem Ihr Aufenthalt endete, auf (Pflicht nach §257 HGB, §147 AO für handels- und steuerrechtliche Dokumente wie Rechnungen). In der Regel schränken wir die Verarbeitung nach dem Aufenthalt ein (die Daten werden archiviert und nur noch für Archivzwecke verwendet).

Meldeformular/Meldescheine: Die melderechtlichen Daten von ausländischen Gästen müssen wir 1 Jahr ab Anreisedatum aufbewahren (§30 Abs. 4 Bundesmeldegesetz). Nach Ablauf dieser Frist werden sie gelöscht bzw. vernichtet. Für deutsche Gäste entfällt die Meldepflicht – hier erheben wir die Adressdaten gar nicht mehr zwingend; falls doch vorhanden (z.B. aus Buchungsgründen), gelten die üblichen Fristen wie für Buchungsdaten.

Kommunikationsdaten: Geschäftliche Korrespondenz via E-Mail, Messaging oder Brief (z.B. Buchungsbestätigungen, Schriftverkehr mit Gästen) wird entsprechend den handelsrechtlichen Aufbewahrungsfristen als Handelsbrief typischerweise 6 Jahre gespeichert (§257 HGB). Davon unabhängig löschen wir natürlich irrelevante Kommunikation oder privaten Schriftwechsel auf Wunsch früher, soweit keine gesetzlichen Pflichten entgegenstehen.

Kontaktdaten von Interessenten: Falls Sie uns kontaktiert haben, ohne dass es zu einer Buchung kommt, löschen wir Ihre Daten, sobald klar ist, dass kein Vertrag zustande kommt und keine weitere Kommunikation gewünscht ist. Das kann je nach Kontext sofort nach Abschluss der Unterhaltung oder nach einigen Monaten erfolgen (spätestens aber nach 1 Jahr Inaktivität).

Videoaufzeichnungen: siehe Abschnitt 3.11 – in der Regel max. 10 Tage Speicher und automatische Überlöschung, längere Aufbewahrung nur bei relevantem Vorfall bis zur Klärung.

WLAN-Logdaten: siehe Abschnitt 3.12 – in der Regel ca. 30 Tage Protokollspeicherung, danach Löschung, außer im Ereignisfall (dann gezielte Aufbewahrung begrenzt auf den Vorfall).

Webseiten-Logs: wie unter 3.1 beschrieben – ca. 30 Tage bis Löschung.

Cookies/Analytics-Daten: Cookies können je nach Typ unterschiedlich lange auf Ihrem Gerät verbleiben (Session-Cookies bis zum Schließen des Browsers, persistente Cookies einige Monate oder Jahre, sofern Sie sie nicht vorher löschen). Sie können diese jederzeit selbst in Ihrem Browser entfernen. Die in Google Analytics gespeicherten anonymisierten Nutzungsdaten löschen sich nach 14 Monaten automatisch (siehe 3.3). Clarity-Daten nach 3 Monaten (siehe 3.4).

Gästeprofil im PMS: Ihr Grund-Profil (Name, Kontakt, historisches Buchungsmuster) kann in unserem PMS verbleiben, um wiederkehrende Gäste zu erkennen. Wir überprüfen diese Daten regelmäßig. Falls Sie länger als 3 Jahre keine Buchung vorgenommen haben und auch nicht absehbar ist, dass Sie wieder bei uns Gast sind, löschen oder anonymisieren wir Ihr Profil, sofern dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Selbstverständlich können Sie auch aktiv die Löschung Ihres Profils verlangen, dann werden wir – soweit rechtlich möglich – Ihre personenbezogenen Daten entfernen, sodass nur noch anonymisierte Buchungsstatistiken verbleiben.

Unabhängig von den festgelegten Fristen können Sie jederzeit die Löschung Ihrer Daten verlangen (siehe Rechte der betroffenen Person), wir prüfen dann umgehend, ob einer Löschung gesetzliche oder vertragliche Pflichten entgegenstehen. Ist dies nicht der Fall, werden wir dem Wunsch nachkommen.

​