Datenschutz
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten auf luxrem.de und im Zusammenhang mit Buchungen über Luxrem Apartments ist:
Luxrem Apartments
[PLATZHALTER: vollständiger rechtlicher Name des Betreibers / Unternehmens]
[PLATZHALTER: Rechtsform]
Inhaber: Siran Klaus Paramajeyakumar
[PLATZHALTER: ladungsfähige Anschrift]
E-Mail: Booking@luxrem.de
Telefon Deutschland: +49 2118 1995950
Telefon Schweiz: +41 79 933 38 40
[ANWALT PRÜFEN: Falls es für Deutschland und Schweiz zwei getrennte Rechtsträger gibt, müssen die Verantwortlichkeiten je Standort/Buchung getrennt dargestellt werden.]
2. Datenschutzbeauftragter / Datenschutzkontakt
[PLATZHALTER: Datenschutzbeauftragter, falls bestellt]
[PLATZHALTER: Datenschutzkontakt, falls kein Datenschutzbeauftragter bestellt ist]
[ANWALT PRÜFEN: Ob nach DSGVO/BDSG oder Schweizer DSG ein Datenschutzbeauftragter, Vertreter oder eine Kontaktstelle erforderlich bzw. sinnvoll ist.]
3. Anwendbare Datenschutzvorschriften
Für Gäste, Interessenten und Websitebesucher aus Deutschland, der EU und dem EWR gelten insbesondere die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG). Für Bearbeitungen mit Bezug zur Schweiz gilt zusätzlich bzw. je nach Fall das Schweizer Bundesgesetz über den Datenschutz (DSG/revDSG) und die Datenschutzverordnung (DSV).
Bei Buchungen eines deutschen Standorts (Luxrem 1-3, Remscheid) und eines Schweizer Standorts (Luxrem 4-6, Biel/Bienne) können beide Rechtsordnungen relevant sein. Im Zweifel ist die konkrete Zuordnung anwaltlich zu prüfen.
4. Datenkategorien
Wir verarbeiten insbesondere folgende Daten:
- Kontaktdaten: Name, Adresse, E-Mail-Adresse, Telefonnummer.
- Buchungsdaten: gebuchte Unterkunft, Aufenthaltszeitraum, Anzahl Gäste, Preis, Währung, Buchungsstatus, Sonderwünsche, Nachrichten.
- Gastdaten: Namen der mitreisenden Personen, ggf. Meldeschein-/Ausweisdaten, soweit gesetzlich erforderlich oder zur Vertragserfüllung notwendig.
- Zahlungsdaten: Zahlungsstatus, Zahlungsreferenzen, Rechnungs-/Quittungsdaten, Kautions- und Erstattungsinformationen. Vollständige Karten- oder Kontodaten werden bei Stripe verarbeitet.
- Nutzungsdaten der Website: IP-Adresse, Datum/Uhrzeit, aufgerufene Seiten, Referrer, User-Agent, technische Logdaten.
- Cookie- und Consent-Daten: Einwilligungsstatus, Cookie-Kategorien, Zeitstempel, technische Identifikatoren.
- Kalender- und Verfügbarkeitsdaten: iCal-Synchronisation mit Buchungsplattformen wie Booking.com und Airbnb, insbesondere Belegung, Buchungsreferenzen und Verfügbarkeiten.
- Kommunikationsdaten: E-Mails, Telefonnotizen, Service- und Supportkommunikation.
- Archivdaten: Bar-Quittungen und zugehörige Buchungs-/Zahlungsnachweise, die in Paperless (self-hosted) archiviert werden.
5. Zwecke und Rechtsgrundlagen
Buchung, Vertragsdurchführung und Gästebetreuung
Wir verarbeiten Buchungs-, Kontakt-, Gast- und Kommunikationsdaten, um Anfragen zu beantworten, Buchungen anzunehmen, Aufenthalte zu organisieren, Check-in/Check-out zu ermöglichen, Leistungen abzurechnen und vertragliche Pflichten zu erfüllen.
Rechtsgrundlagen nach DSGVO: Art. 6 Abs. 1 lit. b DSGVO (Vertrag und vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Pflichten), Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an effizienter Verwaltung, Kundenkommunikation und Nachweisführung).
Schweiz: Bearbeitung zur Vertragsabwicklung, zur Erfüllung gesetzlicher Pflichten und im Rahmen berechtigter betrieblicher Interessen nach DSG/revDSG.
Zahlungsabwicklung über Stripe
Bei Onlinezahlungen werden Zahlungsdaten über Stripe verarbeitet. Wir nutzen Stripe Hosted Checkout. Die Eingabe und Verarbeitung vollständiger Zahlungsdaten erfolgt grundsätzlich bei Stripe. Wir erhalten insbesondere Zahlungsstatus, Transaktionsreferenzen und Abrechnungsinformationen.
Rechtsgrundlagen nach DSGVO: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 lit. f DSGVO.
[ANWALT PRÜFEN: Konkrete Stripe-Vertragspartei, Stripe-Unternehmen, Drittlandtransfer, Standardvertragsklauseln und Link zur Stripe-Datenschutzerklärung ergänzen.]
Websitebetrieb, Hosting und Server-Logs
Die Website läuft als Next.js-Anwendung auf einem Infomaniak-VPS in Genf/Schweiz und wird über bunny.net als EU-CDN ausgeliefert. Beim Aufruf der Website werden technisch notwendige Daten verarbeitet, insbesondere IP-Adresse, Zeitstempel, aufgerufene URL, Referrer, User-Agent und technische Fehler-/Sicherheitslogs.
Rechtsgrundlagen nach DSGVO: Art. 6 Abs. 1 lit. f DSGVO (stabiler, sicherer Websitebetrieb, Missbrauchsabwehr, Fehleranalyse), ggf. Art. 6 Abs. 1 lit. b DSGVO bei buchungsbezogener Nutzung.
Für technisch notwendige Speicherungen oder Zugriffe auf Endgeräte gilt § 25 Abs. 2 TDDDG; für nicht notwendige Cookies/Technologien gilt Einwilligung nach § 25 Abs. 1 TDDDG und Art. 6 Abs. 1 lit. a DSGVO.
Kalender-Synchronisation mit Booking.com / Airbnb
Zur Vermeidung von Doppelbuchungen synchronisieren wir Verfügbarkeiten und Buchungszeiträume über iCal mit Buchungsplattformen wie Booking.com und Airbnb. Dabei können Kalenderdaten, Buchungsreferenzen, Aufenthaltszeiträume und ggf. Gast-/Buchungsdetails verarbeitet werden, abhängig vom jeweiligen iCal-Inhalt.
Rechtsgrundlagen nach DSGVO: Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.
[ANWALT PRÜFEN: Tatsächliche iCal-Felder prüfen und Datenschutzhinweise der OTA-Plattformen verlinken.]
Bar-Quittungen und Paperless-Archiv
Bar-Quittungen und zugehörige Nachweise werden in Paperless (self-hosted) archiviert, um steuerliche, buchhalterische und Nachweispflichten zu erfüllen.
Rechtsgrundlagen nach DSGVO: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten), Art. 6 Abs. 1 lit. f DSGVO (Nachweisführung und ordnungsgemäße Buchhaltung).
Cookies und Einwilligungen
luxrem.de nutzt einen Cookie-Consent-Mechanismus mit den Kategorien notwendig, Präferenzen, Statistik und Marketing. Statistik- und Marketingdienste werden nicht vor Einwilligung geladen.
Rechtsgrundlagen: § 25 TDDDG, Art. 6 Abs. 1 lit. a DSGVO für einwilligungspflichtige Cookies/Technologien; Art. 6 Abs. 1 lit. f DSGVO und § 25 Abs. 2 TDDDG für technisch notwendige Vorgänge. Weitere Details stehen in der Cookie-Richtlinie.
6. Empfänger und Auftragsverarbeiter
Personenbezogene Daten können an folgende Empfänger oder Dienstleister übermittelt werden:
- Infomaniak Network SA, Schweiz: Hosting/VPS.
- bunny.net / BunnyWay d.o.o. bzw. zuständige Gruppengesellschaft: CDN, Auslieferung und Schutz der Website. [ANWALT PRÜFEN: genaue Vertragspartei und Datenstandorte.]
- Stripe: Zahlungsabwicklung über Hosted Checkout. [ANWALT PRÜFEN: genaue Stripe-Vertragspartei.]
- Booking.com und Airbnb: Buchungsplattformen/iCal-Synchronisation, soweit Gäste über diese Plattformen buchen oder Kalenderdaten abgeglichen werden.
- Paperless (self-hosted): Archivierung von Bar-Quittungen und Nachweisen innerhalb der eigenen Infrastruktur.
- Steuerberater, Rechtsberater, Behörden und Gerichte, soweit gesetzlich erforderlich oder zur Rechtsdurchsetzung notwendig.
Mit Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten, werden soweit erforderlich Auftragsverarbeitungsverträge bzw. vergleichbare Datenschutzvereinbarungen geschlossen.
7. Drittlandübermittlungen
Eine Verarbeitung findet insbesondere in Deutschland, der Schweiz und der EU/EWR statt. Die Schweiz verfügt aus EU-Sicht über einen Angemessenheitsbeschluss. Bei Dienstleistern wie Stripe, Booking.com, Airbnb oder CDN-/Infrastrukturdiensten können Daten auch in Drittländer, insbesondere die USA, übermittelt werden.
Soweit personenbezogene Daten in Länder ohne angemessenes Datenschutzniveau übermittelt werden, erfolgt dies nur auf Grundlage geeigneter Garantien, z. B. EU-Standardvertragsklauseln, zusätzlicher Schutzmaßnahmen oder gesetzlicher Ausnahmen. [ANWALT PRÜFEN: konkrete Transfermechanismen je Anbieter ergänzen.]
8. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.
- Anfragen ohne Buchung: [PLATZHALTER: Speicherfrist, z. B. 6 Monate].
- Buchungs- und Vertragsdaten: [PLATZHALTER: Speicherfrist nach handels-/steuerrechtlichen Vorgaben DE/CH].
- Rechnungen, Quittungen und Buchhaltungsunterlagen: [PLATZHALTER: gesetzliche Aufbewahrungsfristen Deutschland/Schweiz].
- Server-Logs: [PLATZHALTER: konkrete Log-Speicherfrist, z. B. 7-30 Tage].
- Cookie-Consent-Protokolle: [PLATZHALTER: Speicherfrist].
- iCal-/OTA-Daten: [PLATZHALTER: Speicherfrist und Löschlogik].
9. Betroffenenrechte
Nach Maßgabe der DSGVO haben betroffene Personen insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen und Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.
Nach Schweizer DSG/revDSG bestehen insbesondere Rechte auf Auskunft, Herausgabe oder Übertragung von Personendaten, Berichtigung, Löschung bzw. Unterlassung unzulässiger Bearbeitungen, soweit die gesetzlichen Voraussetzungen erfüllt sind.
Zur Ausübung der Rechte genügt eine Nachricht an Booking@luxrem.de.
10. Widerruf von Einwilligungen
Erteilte Einwilligungen, insbesondere zu Cookies der Kategorien Statistik oder Marketing, können jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf ist so einfach möglich wie die Erteilung der Einwilligung, insbesondere über die Cookie-Einstellungen auf der Website.
11. Beschwerderecht
Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.
Für Deutschland: [PLATZHALTER: zuständige Datenschutzaufsichtsbehörde, voraussichtlich Landesbeauftragte/r für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, anwaltlich prüfen.]
Für die Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, Schweiz, https://www.edoeb.admin.ch/
12. Pflicht zur Bereitstellung von Daten
Für eine Buchung und Durchführung des Aufenthalts sind bestimmte Daten erforderlich. Ohne diese Daten können wir Anfragen ggf. nicht bearbeiten, Buchungen nicht abschließen, gesetzliche Pflichten nicht erfüllen oder Leistungen nicht erbringen. Freiwillige Angaben sind entsprechend gekennzeichnet oder ergeben sich aus dem jeweiligen Kontext.
13. Automatisierte Entscheidungen
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nach aktuellem Entwurfsstand nicht statt. [ANWALT/TECHNIK PRÜFEN: Falls dynamische Preisbildung, Betrugsprüfung, automatisierte Ablehnung oder Scoring eingesetzt wird, ergänzen.]
Quellenbasis
Quellen und Prüfhinweise siehe README.md.
