Datenschutzerklärung

Verantwortlicher im Sinne der DSGVO ist:

Vertreten durch: Jutta Scheib
Telefon: 06392 9129980
E-Mail: info@kaliorexi.online

Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse mit dem Betreff „Datenschutz".

Die Website wird von der Kaliorexi UG (haftungsbeschränkt) selbst betrieben. Die zugrundeliegende Server-Infrastruktur wird bereitgestellt durch:

Die Datenverarbeitung erfolgt auf Servern von IONOS innerhalb des Europäischen Wirtschaftsraums (EWR), soweit dies vertraglich vorgesehen ist. Mit IONOS besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer sicheren und effizienten Bereitstellung unseres Angebots).

Bei jedem Aufruf unserer Website erfasst unser Server automatisch folgende Daten in Logfiles:

• IP-Adresse des anfragenden Geräts (anonymisiert nach 7 Tagen)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Referrer-URL (zuvor besuchte Seite)
• Verwendeter Browser, Betriebssystem und Bildschirmauflösung
• HTTP-Statuscode und übertragene Datenmenge

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrieb und Sicherheit der Website).

Speicherdauer: Logfiles werden nach 30 Tagen automatisch gelöscht. Daten, die zur Aufklärung konkreter Angriffe oder Missbrauchsfälle benötigt werden, können bis zur abschließenden Klärung aufbewahrt werden.

Zur Nutzung bestimmter Funktionen unserer Plattform (z. B. Buchungen, Buchungshistorie, Favoriten) können Sie ein Benutzerkonto anlegen. Dabei verarbeiten wir:

• Name und Vorname
• E-Mail-Adresse
• Passwort (ausschließlich in gehashter Form gespeichert, z. B. mit Argon2 oder bcrypt — für uns nicht einsehbar)
• Datum der Registrierung
• Gespeicherte Favoriten und Präferenzen
• Buchungshistorie

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).

Speicherdauer: Kontodaten werden gespeichert, solange das Konto aktiv ist. Nach einer Kontolöschung werden die Daten innerhalb von 30 Tagen entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Zur Durchführung einer Hotelbuchung verarbeiten wir folgende Daten:

• Name, Vorname
• E-Mail-Adresse und Telefonnummer
• An- und Abreisedatum, Zimmerkategorie, Personenzahl
• Zahlungsdaten (werden direkt an Stripe übermittelt, nicht bei uns gespeichert)
• Buchungsbestätigung und -status
• Besondere Anfragen (z. B. Kinderbett, Allergien)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Buchungsdaten werden gemäß den steuerrechtlichen Aufbewahrungspflichten 10 Jahre aufbewahrt (§ 147 AO). Danach werden sie gelöscht.

Zur Durchführung Ihrer Buchung werden Ihre personenbezogenen Daten an den jeweiligen Unterkunftsanbieter (Hotel, Pension o. ä.) weitergegeben. Dies umfasst insbesondere:

• Name, Vorname
• Kontaktdaten (E-Mail, Telefon)
• Buchungsdetails (Zimmerkategorie, Zeitraum, Personenzahl)
• Besondere Wünsche

Es werden ausschließlich diejenigen personenbezogenen Daten übermittelt, die für die Durchführung der jeweiligen Buchung erforderlich sind. Die Unterkunftsanbieter verarbeiten Ihre Daten als eigenständig Verantwortliche im Sinne der DSGVO und sind für deren rechtmäßige Verarbeitung selbst verantwortlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Abwicklung der Buchung).

Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe:

Stripe Payments Europe, Limited
1 Grand Canal Street Lower, Grand Canal Dock
Dublin, D02 H210, Irland

Bei Zahlungsvorgängen werden folgende Daten an Stripe übermittelt:

• Name, E-Mail-Adresse und Rechnungsadresse
• Zahlungsdaten (Kartennummer, Ablaufdatum, CVC — werden direkt von Stripe erfasst)
• Bestellbetrag und Währung
• IP-Adresse und Geräteinformationen (zur Betrugsprävention)

Stripe verarbeitet diese Daten zur Zahlungsabwicklung, Betrugsprävention und Erfüllung gesetzlicher Pflichten. Stripe kann Daten in die USA übermitteln. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Speicherdauer: Stripe speichert Zahlungsdaten gemäß eigener Datenschutzrichtlinie. Weitere Informationen: https://stripe.com/de/privacy

Hinweis: Stripe handelt bei der Zahlungsabwicklung als eigenständiger Verantwortlicher im Sinne der DSGVO und verarbeitet Ihre Daten auf Grundlage eigener gesetzlicher Pflichten (z. B. Geldwäschebekämpfung, Betrugsprävention). Stripe ist kein Auftragsverarbeiter der Kaliorexi UG (haftungsbeschränkt).

Nach Abschluss einer Buchung stellen wir Ihnen eine Rechnung aus. Dazu verarbeiten wir:

• Name, Vorname, ggf. Firmenname
• Rechnungsadresse
• Buchungs- und Zahlungsbetrag

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung, § 14 UStG).

Speicherdauer: 10 Jahre gemäß § 147 AO.

Im Rahmen der Nutzung unserer Plattform versenden wir automatisierte E-Mails, die zur Vertragserfüllung oder aus Sicherheitsgründen erforderlich sind. Dazu gehören:

• Buchungsbestätigungen und Buchungsänderungen
• Stornierungsbestätigungen
• Rechnungen und Zahlungsbelege
• E-Mail-Verifikation bei der Registrierung
• Passwort-Reset-E-Mails
• Sicherheitshinweise (z. B. bei unbekannten Anmeldeversuchen)

Diese E-Mails sind technisch notwendig und können nicht abbestellt werden, solange ein aktives Konto besteht oder eine Buchung läuft.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung, z. B. Rechnungsversand nach § 14 UStG).

Speicherdauer: Entsprechend der jeweiligen Datenkategorie (Buchungsdaten 10 Jahre, Kontodaten bis Löschung des Kontos).

Zur Bearbeitung von Stornierungen, Umbuchungen, Rückerstattungen, Supportanfragen und Reklamationen verarbeiten wir folgende Daten:

• Buchungsnummer und Buchungsdaten
• Name und Kontaktdaten
• Inhalt der Anfrage oder Reklamation
• Kommunikationsverlauf (E-Mails, Ticket-Nachrichten)
• Zahlungsreferenzen für Rückerstattungen

Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO — soweit die Anfrage einen bestehenden oder abzuschließenden Vertrag betrifft (Stornierung, Umbuchung, Rückerstattung)
• Art. 6 Abs. 1 lit. f DSGVO — für allgemeine Supportanfragen ohne direkten Vertragsbezug (berechtigtes Interesse an Kundenbetreuung und Qualitätssicherung)
• Art. 6 Abs. 1 lit. c DSGVO — sofern gesetzliche Dokumentationspflichten bestehen

Speicherdauer: Support-Kommunikation ohne Buchungsbezug wird nach 6 Monaten gelöscht. Kommunikation mit Buchungs- oder Zahlungsbezug wird 10 Jahre aufbewahrt (§ 147 AO).

Wenn Sie uns per Kontaktformular oder E-Mail kontaktieren, verarbeiten wir Ihre Angaben (Name, E-Mail-Adresse, Nachrichteninhalt) ausschließlich zur Bearbeitung Ihrer Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Anfrage einen Vertrag betrifft.

Speicherdauer: Anfragen ohne Buchungsbezug werden nach 6 Monaten gelöscht. Anfragen mit Buchungsbezug unterliegen der 10-jährigen Aufbewahrungspflicht.

Mit Ihrer Einwilligung senden wir Ihnen den Newsletter der Kaliorexi UG (haftungsbeschränkt) mit Informationen zu Angeboten, Destinationen und Neuigkeiten rund um die KalioBooking-Plattform. Wir verwenden das Double-Opt-in-Verfahren: Nach der Anmeldung erhalten Sie eine Bestätigungs-E-Mail.

Für den Newsletterversand verarbeiten wir:

• E-Mail-Adresse
• Datum und Uhrzeit der Anmeldung
• IP-Adresse zum Zeitpunkt der Anmeldung (Nachweis der Einwilligung)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf: Sie können Ihre Einwilligung jederzeit widerrufen, z. B. über den „Abmelden"-Link in jeder Newsletter-E-Mail oder per E-Mail an info@kaliorexi.online. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Speicherdauer: Die Daten werden gelöscht, sobald Sie den Newsletter abbestellen. Anmeldenachweise (IP, Zeitstempel) werden 3 Jahre aufbewahrt.

Versanddienstleister: Sofern der Newsletter über einen externen Anbieter (z. B. Brevo, Mailchimp, CleverReach) versendet wird, werden Ihre Daten an diesen als Auftragsverarbeiter übermittelt. Der jeweilige Anbieter und ein bestehender Auftragsverarbeitungsvertrag werden auf Anfrage mitgeteilt.

Unsere Website verwendet Cookies — kleine Textdateien, die in Ihrem Browser gespeichert werden. Wir unterscheiden:

Sie können Ihre Einwilligung zu optionalen Cookies jederzeit über unsere Cookie-Einstellungen widerrufen oder Cookies in Ihren Browsereinstellungen deaktivieren. Das Deaktivieren technisch notwendiger Cookies kann die Funktionsfähigkeit der Website einschränken.

Wir setzen Google Analytics 4 (GA4) ein, einen Webanalysedienst der Google LLC:

Google Analytics verwendet Cookies und ähnliche Technologien, um Informationen über Ihr Nutzungsverhalten auf unserer Website zu erfassen. Dabei werden u. a. folgende Daten verarbeitet:

• Gekürzte IP-Adresse (IP-Anonymisierung ist aktiviert)
• Aufgerufene Seiten und Verweildauer
• Herkunft des Besuchs (Referrer, Suchbegriff)
• Geräteinformationen (Browsertyp, Betriebssystem, Bildschirmgröße)
• Interaktionen (Klicks, Scrolltiefe, Conversions)

Die Daten werden an Google-Server übermittelt und können in den USA verarbeitet werden. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Google Analytics wird erst nach Ihrer aktiven Einwilligung über unser Cookie-Banner aktiviert.

Speicherdauer: Die Daten werden in Google Analytics für 14 Monate gespeichert und danach automatisch gelöscht.

Widerspruch: Sie können Ihre Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen. Alternativ können Sie die Erfassung durch Google Analytics verhindern, indem Sie das Browser-Add-on von Google installieren.

Weitere Informationen: https://policies.google.com/privacy

Hinweis: Ein Data Processing Amendment (DPA) mit Google ist über die Google Analytics Kontoeinstellungen abzuschließen und Voraussetzung für den rechtskonformen Einsatz von GA4 im Rahmen der DSGVO.

Ihre Daten werden nur dann an Dritte weitergegeben, wenn dies gesetzlich erlaubt oder zur Vertragserfüllung notwendig ist. Empfänger können sein:

• Unterkunftsanbieter: Zur Buchungsdurchführung (siehe Abschnitt 6)
• Stripe: Zahlungsabwicklung (siehe Abschnitt 7)
• Hosting-Anbieter: Betrieb der technischen Infrastruktur (EU-basiert)
• E-Mail-Dienstleister: Versand von Buchungsbestätigungen und Newslettern
• Steuerberater / Buchhaltung: Im Rahmen gesetzlicher Buchführungspflichten
• Behörden: Bei gesetzlicher Verpflichtung (z. B. Steuerbehörden, Strafverfolgung)

Mit allen Dienstleistern, die in unserem Auftrag Daten verarbeiten, bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO.

Einige der von uns eingesetzten Dienste verarbeiten Daten außerhalb der EU/EWR, insbesondere in den USA. In diesen Fällen stellen wir durch geeignete Garantien sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist:

• Stripe (USA): Übermittlung auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender technischer Schutzmaßnahmen.

Weitere Informationen zu den jeweiligen Schutzmaßnahmen erhalten Sie auf Anfrage unter info@kaliorexi.online.

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

• Auskunft (Art. 15 DSGVO): Recht auf Auskunft über die von uns verarbeiteten Daten, deren Herkunft, Empfänger und Zweck.
• Berichtigung (Art. 16 DSGVO): Recht auf Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
• Löschung (Art. 17 DSGVO): Recht auf Löschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.
• Einschränkung (Art. 18 DSGVO): Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
• Datenübertragbarkeit (Art. 20 DSGVO): Recht auf Erhalt Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
• Widerspruch (Art. 21 DSGVO): Recht auf Widerspruch gegen die Verarbeitung auf Basis von Art. 6 Abs. 1 lit. f DSGVO.
• Widerruf (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich an: info@kaliorexi.online

Unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde für Rheinland-Pfalz ist:

Wir treffen technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO, um Ihre Daten gegen unbefugten Zugriff, Verlust oder Manipulation zu schützen. Dazu gehören unter anderem:

• TLS-Verschlüsselung aller Datenübertragungen
• Passwörter werden ausschließlich gehasht gespeichert (kein Klartext)
• Zugangsbeschränkungen und Rollenkonzepte für interne Systeme
• Zwei-Faktor-Authentifizierung für administrative Zugänge
• Firewalls und Intrusion-Detection-Systeme
• Protokollierung administrativer Zugriffe
• Regelmäßige Datensicherungen (Backups) mit verschlüsselter Speicherung
• Regelmäßige Sicherheitsupdates und Patch-Management
• Auftragsverarbeitungsverträge mit allen relevanten Dienstleistern

Trotz aller Maßnahmen kann keine vollständige Sicherheit über das Internet garantiert werden.

Die Bereitstellung bestimmter personenbezogener Daten ist für den Abschluss und die Durchführung eines Vertrags mit uns erforderlich (Art. 13 Abs. 2 lit. e DSGVO):

• Ohne Name und E-Mail-Adresse kann kein Benutzerkonto angelegt werden.
• Ohne Buchungsdaten (Name, Kontaktdaten, Reisezeitraum) kann eine Hotelbuchung nicht durchgeführt werden.
• Ohne Zahlungsdaten kann die Buchung nicht abgeschlossen werden.

Soweit die Angabe darüber hinausgehender Daten freiwillig ist, wird dies im jeweiligen Kontext (z. B. Formularfeld) gesondert kenntlich gemacht.