← zur Startseite

Datenschutzerklärung

Stand: [DATUM, z. B. 21.05.2026]

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist:

[FIRMENNAME / NAME DES INHABERS]
[STRASSE UND HAUSNUMMER]
[PLZ] [ORT]
[LAND]

Telefon: [TELEFON]
E-Mail: [DATENSCHUTZ-EMAIL@FIRMA.DE]

2. Datenschutzbeauftragter

[Falls vorhanden: Name + Kontakt eintragen. Bei kleineren Beherbergungsbetrieben i. d. R. nicht verpflichtend (vgl. § 38 BDSG), aber bitte selbst prüfen lassen.]

3. Welche Daten wir verarbeiten

a) Buchungsdaten

Name, Anschrift, E-Mail, Telefon, Reisezeitraum, Wohnungs-Wahl, Personenanzahl, Preis, Zahlungsstatus.

b) Meldedaten (§ 29 BMG)

Vor- und Nachname, Geburtsdatum, Staatsangehörigkeit, Heimat-Anschrift sowie bei nicht-deutschen Gästen Art und Nummer eines Ausweisdokuments.

c) Rechnungs-Daten

Rechnungsempfänger, Rechnungsnummer, Beträge, Datum, USt-ID (sofern angegeben), Zahlungsstatus.

d) Technische Daten

Beim Aufruf unserer Website werden technisch erforderliche Verbindungsdaten (IP-Adresse, Zeitstempel, abgerufene Seite, User-Agent) durch unseren Hosting-Dienstleister verarbeitet und nach kurzer Zeit gelöscht oder anonymisiert.

4. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO — Erfüllung des Beherbergungsvertrags (Buchung, Rechnungsstellung, Kommunikation).
  • Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflichten: § 29 ff. Bundesmeldegesetz (Meldeschein), §§ 140 ff. AO / § 14 UStG (Rechnungs- und Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an einem stabilen Betrieb des Buchungssystems (Audit-Spur, Mahnwesen, Missbrauchs-Schutz).

5. Empfänger / Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein:

  • Supabase Inc. — Datenbank / Authentifizierung, Server-Standort EU (Region [EU-WEST / FRANKFURT etc. PRÜFEN]).
  • Vercel Inc. — Application-Hosting, Server-Standort EU (Region [PRÜFEN]).
  • Resend, Inc. — Versand von System-E-Mails (Buchungsbestätigung, Rechnungen).

Mit allen genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Soweit Daten in Drittländer übermittelt werden, geschieht dies auf Basis von Standardvertragsklauseln (SCC) bzw. eines Angemessenheitsbeschlusses der EU-Kommission.

Weitere Empfänger: Meldebehörde (bei Anforderung), Steuerberater (für Rechnungs- und Buchhaltungsunterlagen), ggf. Inkassodienstleister bei nicht beglichenen Forderungen.

6. Speicherdauer

  • Meldedaten: bis spätestens ein Jahr nach der Abreise (§ 30 BMG), anschließend Archivierung bis zu fünf Jahre, danach Löschung.
  • Rechnungsdaten: zehn Jahre (§ 147 AO, § 14b UStG).
  • Gäste-Stammdaten (ohne Buchungsbezug):bis zum Widerruf des Gastes; standardmäßig drei Jahre nach letztem Aufenthalt zur Pflege wiederkehrender Buchungen.
  • Technische Server-Logs: 14 Tage (Standard-Vorhaltung unseres Hosters).

7. Ihre Rechte

Als betroffene Person stehen Ihnen folgende Rechte zu:

  • Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unzutreffender Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigten Interesses (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung wenden Sie sich formlos per E-Mail an [DATENSCHUTZ-EMAIL@FIRMA.DE].

8. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist insbesondere die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts oder unseres Sitzes:

[ZUSTÄNDIGE LANDES-DATENSCHUTZBEHÖRDE, z. B. Thüringer Landesbeauftragter für den Datenschutz, Häßlerstr. 8, 99096 Erfurt]

9. Cookies / lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies ein (Login-Session). Diese sind für den Betrieb der Anwendung erforderlich und unterliegen damit nicht dem Einwilligungserfordernis nach § 25 Abs. 2 Nr. 2 TTDSG.

10. Sicherheit

Alle Verbindungen sind TLS-verschlüsselt. Der Datenbank-Zugriff ist über Authentifizierung sowie zeilengenaue Berechtigungen (Row-Level Security) beschränkt. Backups werden täglich durch den Hosting-Dienstleister verschlüsselt erstellt.

Stand: [DATUM]. Diese Datenschutzerklärung wird gelegentlich an rechtliche oder organisatorische Änderungen angepasst.