DSGVO-Information - Vezpa PMS

1. Einleitung und Anwendungsbereich

Die vorliegende Information beschreibt, wie Vezpa di Paolo Vezzola (nachstehend "Vezpa" oder "Wir") personenbezogene Daten in Uebereinstimmung verarbeitet mit:

EU-Verordnung 2016/679 (DSGVO)
Gesetzesverordnung 196/2003 (italienisches Datenschutzgesetz) in der durch GvD 101/2018 geaenderten Fassung
Massnahmen und Leitlinien der italienischen Datenschutzbehoerde (Garante)
Fuer Nutzer in Oesterreich: Datenschutzgesetz (DSG), ueberwacht von der Oesterreichischen Datenschutzbehoerde (www.dsb.gv.at)

1.1 Geltungsbereich

Diese Information gilt fuer:

👤 Betreiber von Beherbergungsbetrieben, die Vezpa nutzen (Direktkunden)
🏨 Gaeste, die in Betrieben naechtigen, die Vezpa verwenden
👔 Geschaeftspartner und Lieferanten
🌐 Besucher der Website vezpa.it

1.2 Doppelte Rolle von Vezpa

Vezpa agiert in zwei unterschiedlichen Rollen:

VERANTWORTLICHER Fuer die Daten der Betreiber der Betriebe (Kunden)
AUFTRAGSVERARBEITER Fuer die Daten der Gaeste (wir verarbeiten Daten auf Weisung des Betreibers des Betriebs)

2. Identitaet und Kontaktdaten des Verantwortlichen

Verantwortlicher:

Vezpa di Paolo Vezzola
Sitz: Desenzano del Garda (BS), 25015, via San Zeno 67
USt-IdNr.: 04449070988
Steuernummer: VZZPLA84C10D284C
PEC: [email protected]
E-Mail: [email protected]

3. Kategorien der verarbeiteten personenbezogenen Daten

3.1 Daten der Betreiber (Kunden)

Kategorie	Art der Daten	Verpflichtend
Identifikationsdaten	Vorname, Nachname, Geburtsdatum, Steuernummer	✅ Verpflichtend
Kontaktdaten	E-Mail, Telefon, Adresse	✅ Verpflichtend
Unternehmensdaten	Firmenname, USt-IdNr., Betriebsdaten	✅ Verpflichtend
Zahlungsdaten	IBAN, Kreditkarte (ueber Stripe)	✅ Verpflichtend fuer Abonnement
Nutzungsdaten	Zugriffs-Logs, IP, Aktivitaet auf der Plattform	⚙️ Automatisch
Kommunikationsdaten	E-Mail, Support-Chat, Tickets	📝 Freiwillig

3.2 Daten der Gaeste (als Auftragsverarbeiter)

Kategorie	Art der Daten	Rechtsgrundlage (des Verantwortlichen)
Stammdaten	Vorname, Nachname, Geburtsdatum und -ort, Staatsangehoerigkeit, Geschlecht	Rechtliche Verpflichtung (Art. 109 italienisches TULPS-Gesetz und gleichwertige EU-Vorschriften; in Oesterreich Meldegesetz)
Ausweisdokument	Art, Nummer, Ausstellungsdatum, Behoerde, gescanntes oder fotografiertes Bild	Rechtliche Verpflichtung
OCR-Extraktion	Automatisch aus dem Dokument extrahierte Textdaten (Name, Datum, Nummer)	Vertragserfuellung (Art. 6 Abs. 1 lit. b) - nur zur Erleichterung der Dateneingabe
Kontaktdaten	E-Mail, Telefon, Adresse	Vertragserfuellung
Buchungsdaten	Aufenthaltsdaten, Anzahl der Gaeste, Zimmer, Preise, Verpflegung	Vertragserfuellung
Zahlungsdaten	Transaktionen, Belege (Kartendaten von Stripe verwaltet, nicht auf Vezpa gespeichert)	Vertragserfuellung + steuerliche Verpflichtung

⚠️ Besondere Kategorien (Art. 9 DSGVO):

Die erhobenen Ausweisdokumente koennen Elemente enthalten, die als "besonders" im Sinne von Art. 9 DSGVO qualifiziert werden koennen, typischerweise:

Geburtsort (aus dem die ethnische Herkunft abgeleitet werden kann)
Lichtbild des Gesichts (nicht fuer automatisierte biometrische Erkennung verwendet)

Rechtmaessigkeit der Verarbeitung: Art. 9 Abs. 2 lit. b (Erfuellung von Pflichten im Bereich Arbeitsrecht, Sicherheit und Sozialschutz), 9 Abs. 2 lit. g (Gruende eines erheblichen oeffentlichen Interesses — Meldungen der oeffentlichen Sicherheit) und 9 Abs. 2 lit. f (Geltendmachung von Rechten). Zwecke begrenzt auf gesetzliche Pflichten gegenueber Behoerden.

Zusaetzliche Massnahmen: Zugriff beschraenkt auf die einzigen befugten Rollen (Direktor, Assistent), keine Profilbildung auf diesen Daten, keine Uebermittlung an Dritte ausserhalb der empfangsberechtigten Behoerden.

Vezpa erhebt nicht absichtlich weitere besondere Daten (politische/religioese Ueberzeugungen, Gesundheitsdaten, genetische Daten, sexuelle Orientierung). Sollten solche Daten vom Nutzer versehentlich eingegeben werden, sind sie unverzueglich zu entfernen.

4. Zwecke und Rechtsgrundlage der Verarbeitung

4.1 Fuer die Betreiber (Kunden)

Zweck	Rechtsgrundlage (Art. 6 DSGVO)	Aufbewahrung
Bereitstellung PMS-Dienst	Art. 6 Abs. 1 lit. b - Vertragserfuellung	Vertragsdauer + 10 Jahre
Rechnungsstellung und Buchhaltung	Art. 6 Abs. 1 lit. c - Rechtliche Verpflichtung	10 Jahre (steuerliche Pflicht; in AT 7 Jahre gemaess §132 BAO)
Kundensupport	Art. 6 Abs. 1 lit. b - Vertragserfuellung	Vertragsdauer + 2 Jahre
Sicherheit und Betrugspraevention	Art. 6 Abs. 1 lit. f - Berechtigtes Interesse	5 Jahre
Verbesserung des Dienstes	Art. 6 Abs. 1 lit. f - Berechtigtes Interesse	2 Jahre (anonymisierte aggregierte Daten)
Direktmarketing	Art. 6 Abs. 1 lit. a - Einwilligung	Bis zum Widerruf der Einwilligung
Verteidigung von Rechten vor Gericht	Art. 6 Abs. 1 lit. f - Berechtigtes Interesse	10 Jahre

4.2 Fuer die Gaeste (auf Weisung des Betreibers)

Zweck	Rechtsgrundlage	Aufbewahrung
Gaesteregistrierung und Polizeimeldung	Art. 6 Abs. 1 lit. c - Rechtliche Verpflichtung (Art. 109 italienisches TULPS-Gesetz, GvD 159/2011; in AT Meldegesetz)	Mindestens 2 Jahre
ISTAT-Meldungen (IT)	Art. 6 Abs. 1 lit. c - Rechtliche Verpflichtung	Gemaess ISTAT-Vorschriften
Ortstaxe / Naechtigungsabgabe	Art. 6 Abs. 1 lit. c - Rechtliche Verpflichtung	Gemaess kommunalen Vorschriften
Buchungs- und Aufenthaltsverwaltung	Art. 6 Abs. 1 lit. b - Vertragserfuellung	10 Jahre (steuerliche Zwecke)
Online-Check-in und Mitteilungen	Art. 6 Abs. 1 lit. b - Vertragserfuellung	Dauer des Aufenthalts + Aufbewahrungsfrist des Betriebs

📌 Hinweis zur Einwilligung:

Fuer viele Aktivitaeten ist KEINE Einwilligung erforderlich, da sie basieren auf:

✅ Vertragserfuellung (Sie selbst haben den Dienst angefordert)
✅ Rechtliche Verpflichtungen (Pflichtmeldungen an Behoerden)
✅ Berechtigtes Interesse (Sicherheit, Verbesserung des Dienstes)

Einwilligung ist NUR fuer Marketing und Profilbildung erforderlich.

5. Art der Verarbeitung

5.1 Grundsaetze der Verarbeitung (Art. 5 DSGVO)

Vezpa verarbeitet personenbezogene Daten unter Beachtung folgender Grundsaetze:

✅ Rechtmaessigkeit, Fairness, Transparenz: Wir verarbeiten die Daten rechtmaessig und informieren Sie klar
✅ Zweckbindung: Wir verwenden die Daten nur fuer die angegebenen Zwecke
✅ Datenminimierung: Wir erheben nur die unbedingt erforderlichen Daten
✅ Richtigkeit: Wir halten die Daten aktuell und korrekt
✅ Speicherbegrenzung: Wir speichern die Daten nur fuer den erforderlichen Zeitraum
✅ Integritaet und Vertraulichkeit: Wir schuetzen die Daten mit angemessenen Sicherheitsmassnahmen
✅ Rechenschaftspflicht (Accountability): Wir koennen die Konformitaet mit der DSGVO nachweisen

5.2 Verarbeitungsmittel

Die Daten werden verarbeitet mit:

💻 IT-Mitteln: Server, Datenbanken, Web-/Mobile-Anwendungen
📄 Papierform: nur fuer notwendige Dokumente (Vertraege, Rechnungen)

5.3 Zugriffsmodalitaet

Die Daten sind zugaenglich fuer:

👥 Autorisiertes Personal von Vezpa (mit persoenlichen Zugangsdaten)
🔐 Zugriff nach dem Prinzip "need to know" (geringste Rechte)
📝 Zugriffs-Logs werden nachverfolgt und ueberwacht

6. Sicherheitsmassnahmen (Art. 32 DSGVO)

6.1 Technische Massnahmen

✅ Verschluesselung bei der Uebertragung: HTTPS/TLS 1.2+ fuer alle Verbindungen, HSTS

✅ Verschluesselung at-rest: sensible spezifische Daten verschluesselt mittels django-cryptography; verwaltete Volumes und Snapshots infrastrukturseitig verschluesselt (DigitalOcean)

✅ Passwort-Hashing: PBKDF2 (Django-Default) mit zufaelligem Salt

✅ Tokens: JWT Access-Token TTL 15 Minuten, Refresh mit Rotation und Blacklist, TTL 180 Tage

✅ 2FA TOTP verfuegbar fuer Accounts (django-otp)

✅ Bot-Blocker und Rate Limiting: dedizierte Middleware, die Scanner und bekannte Angriffspfade blockiert

✅ Backup: Datenbank-Snapshots verwaltet vom Infrastrukturanbieter, Standort EU

✅ Rollenbasierte Zugriffskontrolle (RBAC): Direktor, Assistent, Hausdame, Beobachter

✅ Anwendungs-Logging: Protokollierung von Zugriffen, kritischen Aktionen und Anomalien

✅ Aktualisierung von Abhaengigkeiten: Ueberwachung von Schwachstellen in Python- und Flutter-Paketen

6.2 Organisatorische Massnahmen

✅ Administrativer Zugriff auf den Verantwortlichen beschraenkt (Vezpa ist derzeit ein Einzelunternehmen ohne Angestellte); externe Mitarbeiter werden schriftlich als Auftragsverarbeiter oder autorisierte Personen benannt

✅ Dokumentiertes Incident-Response-Verfahren (§9 unten)

✅ Privacy by Design und by Default in die Entwicklungsphasen integriert

✅ Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) gefuehrt und aktualisiert

✅ AVV mit allen wesentlichen Unterauftragsverarbeitern unterzeichnet

✅ Oeffentliche Liste der Unterauftragsverarbeiter aktualisiert unter vezpa.it/subprocessors

6.3 Referenzstandards

🏆 EU-Server: primaere Infrastruktur DigitalOcean Region Frankfurt (FRA1)
🏆 PCI-DSS: Zahlungen ueber Stripe verwaltet, PCI-DSS Level 1 zertifiziert (Vezpa speichert keine Kartendaten)
🏆 Zertifizierte Unterlieferanten: sofern anwendbar (ISO 27001, SOC 2, DPF) — siehe Seite Unterauftragsverarbeiter

7. Empfaenger der Daten (Art. 13 Abs. 1 lit. e DSGVO)

7.1 Kategorien von Empfaengern

Die Daten koennen an folgende Kategorien von Empfaengern uebermittelt werden. Das namentliche und stets aktualisierte Verzeichnis ist veroeffentlicht unter vezpa.it/subprocessors.

Kategorie	Empfaenger	Rolle	Zweck
Italienische Behoerden	AlloggiatiWeb (Polizei), ISTAT, Gemeinden (PayTourist), Finanzamt	Eigenstaendige Verantwortliche	Rechtliche Verpflichtung
EU-Behoerden	Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI)	Eigenstaendige Verantwortliche	Rechtliche Verpflichtung des Verantwortlichen (Betrieb)
Hosting / Storage / CDN	DigitalOcean LLC (Server Frankfurt, Spaces, Redis)	Auftragsverarbeiter	IT-Infrastruktur
Zahlungen	Stripe Payments Europe Ltd / Stripe Inc.	Auftragsverarbeiter	Zahlungsabwicklung
E-Mail	IONOS SE (DE)	Auftragsverarbeiter	Versand von Transaktions-E-Mails und PEC
Mobile Push Notifications	Google LLC (Firebase Cloud Messaging)	Auftragsverarbeiter	Versand von Push-Benachrichtigungen an mobile Geraete
Channel Manager OTA	STAAH Limited (Neuseeland)	Auftragsverarbeiter	Synchronisation von Buchungen mit OTA
In-App-Kauf — Apple	Apple Distribution International Ltd (IE) / Apple Inc. (USA)	Eigenstaendiger Verantwortlicher (Store)	Verwaltung von App-Store-Abonnements. Apple beteiligt sich nicht am DPF: Uebermittlungen in die USA werden durch SCC 2021/914 geregelt
In-App-Kauf — Google / Microsoft	Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF)	Eigenstaendige Verantwortliche (Store)	Verwaltung von Play Store / Microsoft Store Abonnements
OTA	Booking.com, Airbnb, Expedia, VRBO, Agoda und rund 55 weitere Kanaele	Eigenstaendige Verantwortliche	Buchungsverwaltung gegenueber dem Reisenden
Smart Locks (optional)	Tuya Smart (CN)	Auftragsverarbeiter	Verwaltung der domotischen Zugaenge, nur falls vom Betrieb aktiviert
Fachleute	Steuerberater, Rechtsanwaelte, IT-Berater	Auftragsverarbeiter / Eigenstaendige Verantwortliche	Fachberatung, nur bei Bedarf

7.2 Liste der Unterauftragsverarbeiter (Art. 28 Abs. 4 DSGVO)

Die aktualisierte Liste ist veroeffentlicht und stets einsehbar unter vezpa.it/subprocessors. Eventuelle Aenderungen (neue Unterauftragsverarbeiter, Ersetzungen) werden den Verantwortlichen (Betrieben) mit mindestens 30 Tagen Vorlauf mitgeteilt, um den Widerspruch zu ermoeglichen (Art. 28 Abs. 2 DSGVO).

7.3 Uebermittlungen ausserhalb der EU

Rechtsgrundlage der Uebermittlungen (Kapitel V DSGVO):

USA — EU-U.S. Data Privacy Framework (Beschluss (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC — alle mit aktiver DPF-Zertifizierung (Pruefung unter dataprivacyframework.gov/list)
USA — Standardvertragsklauseln (SCC 2021/914): Apple Inc. beteiligt sich nicht am DPF; das Vertragsverhaeltnis fuer EU-Nutzer besteht mit Apple Distribution International Ltd (Irland) und eventuelle gruppeninterne Uebermittlungen von Apple in die USA werden durch SCC und interne Angemessenheitsmechanismen geregelt
Neuseeland — Angemessenheitsbeschluss (Beschluss (EU) 2013/65): STAAH Limited
China (optional): Tuya Smart — Standardvertragsklauseln (SCC) 2021/914 + zusaetzliche Massnahmen (Minimierung und Pseudonymisierung). Die Uebermittlung erfolgt nur fuer Betriebe, die Smart Locks aktivieren.

Fuer jeden Unterauftragsverarbeiter ausserhalb der EU ist der anwendbare Uebermittlungsmechanismus dokumentiert. Die SCC und gegebenenfalls Transfer Impact Assessments sind dem Verantwortlichen auf Anfrage verfuegbar.

8. Rechte der betroffenen Person (Art. 15-22 DSGVO)

8.1 Ausuebbare Rechte

Recht	Art. DSGVO	Beschreibung
Auskunft	Art. 15	Bestaetigung der Existenz Ihrer Daten erhalten und Kopie davon erhalten
Berichtigung	Art. 16	Korrektur unrichtiger Daten oder deren Ergaenzung
Loeschung ("Vergessenwerden")	Art. 17	Loeschung der Daten erhalten (mit Ausnahmen fuer gesetzliche Verpflichtungen)
Einschraenkung	Art. 18	Einschraenkung der Verarbeitung unter bestimmten Bedingungen
Datenuebertragbarkeit	Art. 20	Daten in strukturiertem Format (CSV, JSON) erhalten und an einen anderen Verantwortlichen uebertragen
Widerspruch	Art. 21	Widerspruch gegen die Verarbeitung auf Grundlage berechtigten Interesses
Widerruf der Einwilligung	Art. 7 Abs. 3	Jederzeitiger Widerruf der Einwilligung zum Marketing
Beschwerde	Art. 77	Beschwerde bei der Datenschutzbehoerde einlegen
Keine automatisierte Entscheidung	Art. 22	Nicht Gegenstand von ausschliesslich automatisierten Entscheidungen sein

8.2 Wie Sie Ihre Rechte ausueben

Sie koennen Ihre Rechte ausueben ueber:

📧 E-Mail: [email protected]
📧 PEC: [email protected]
📮 Einschreiben mit Rueckschein: Vezpa di Paolo Vezzola, Desenzano del Garda, via San Zeno 67
💻 Geschuetzter Bereich: Abschnitt "Datenschutz und Daten" im Dashboard (fuer einige Rechte)

8.3 Antwortzeiten

Vezpa antwortet auf Anfragen innerhalb von 30 Tagen ab Eingang (verlaengerbar um weitere 60 Tage in komplexen Faellen, mit begruendeter Mitteilung).

8.4 Einschraenkungen der Rechte

Einige Rechte (Loeschung, Einschraenkung) koennen nicht ausgeuebt werden, wenn:

⚖️ gesetzliche Verpflichtungen bestehen, die uns zur Aufbewahrung der Daten verpflichten
⚖️ die Daten zur Verteidigung von Rechten vor Gericht erforderlich sind
⚖️ ein oeffentliches Interesse ueberwiegt

9. Data Breach und Meldungen (Art. 33-34 DSGVO)

9.1 Verfahren bei Datenverletzung

Im Falle eines Data Breach (Verletzung des Schutzes personenbezogener Daten) wird Vezpa:

📊 den Vorfall bewerten innerhalb von 24 Stunden nach Entdeckung
📢 die zustaendige Datenschutzbehoerde benachrichtigen innerhalb von 72 Stunden (bei Risiko fuer die Rechte der Betroffenen)
📧 die Betroffenen benachrichtigen ohne ungerechtfertigte Verzoegerung (bei hohem Risiko)
📝 den Vorfall dokumentieren im Register der Verletzungen
🔧 Korrekturmassnahmen ergreifen, um zukuenftige Verletzungen zu verhindern

9.2 Transparenz

Im Falle eines Sie betreffenden Data Breach erhalten Sie eine Mitteilung mit folgendem Inhalt:

Art der Verletzung
Betroffene Daten
Moegliche Folgen
Ergriffene und empfohlene Massnahmen
Kontakte des Datenschutzbueros

10. Datenschutz-Folgenabschaetzung (DSFA)

Vezpa hat eine Datenschutz-Folgenabschaetzung (DSFA) gemaess Art. 35 DSGVO begonnen, angesichts der systematischen Verarbeitung von Ausweisdokumenten von Betroffenen aus mehreren EU-Staaten und der Uebermittlungen an Unterauftragsverarbeiter ausserhalb der EU.

Umfang der DSFA:

Verarbeitung von Stammdaten und Ausweisdokumenten von Gaesten ueber mehrere Behoerden-Konnektoren
Datenfluesse zu OTA-Channel-Managern und Uebermittlungen ausserhalb der EU
Automatische OCR auf Dokumentenbildern
Integration mit biometrischen Authentifizierungsdiensten auf Geraeteseite

Die DSFA und eventuelle zusaetzliche Minderungsmassnahmen werden regelmaessig aktualisiert. Bei hohem Restrisiko wird Vezpa gemaess Art. 36 DSGVO die vorherige Konsultation mit der Datenschutzbehoerde durchfuehren. Der Verantwortliche (Betrieb) kann eine Zusammenfassung der DSFA anfordern, indem er an [email protected] schreibt.

11. Auftragsverarbeiter (Art. 28 DSGVO)

11.1 Vereinbarungen mit Kunden (fuer Gaestedaten)

Wenn der Betreiber des Betriebs Vezpa zur Verarbeitung der Gaestedaten nutzt:

Der Betreiber ist der Verantwortliche der Verarbeitung
Vezpa ist der Auftragsverarbeiter
Es wird ein Auftragsverarbeitungsvertrag (AVV/DPA) gemaess Art. 28 DSGVO abgeschlossen

11.2 Inhalt des AVV

Der Auftragsverarbeitungsvertrag enthaelt gemaess Art. 28 Abs. 3 DSGVO:

📋 Gegenstand und Dauer der Verarbeitung
📋 Art und Zweck der Verarbeitung
📋 Art der personenbezogenen Daten und Kategorien von Betroffenen
📋 Pflichten und Rechte des Verantwortlichen
📋 Dokumentierte Weisungen zur Verarbeitung
📋 Implementierte Sicherheitsmassnahmen
📋 Autorisierte Unterauftragsverarbeiter mit Vorankuendigung bei Ersetzung
📋 Unterstuetzung des Verantwortlichen bei Betroffenenrechten, DSFA und Data Breach
📋 Loeschungs- oder Rueckgabepflichten am Ende

Der AVV ist integraler Bestandteil der Nutzungsbedingungen und wird bei der Registrierung des Betriebs akzeptiert.

12. Privacy by Design und by Default (Art. 25 DSGVO)

12.1 Privacy by Design

Vezpa integriert den Datenschutz von Anfang an in die Planung:

🔒 Native Verschluesselung in allen Kommunikationen
🔒 Pseudonymisierung, wo moeglich
🔒 Minimierung der erhobenen Daten
🔒 Granulare Zugriffskontrollen
🔒 Vollstaendiger Audit-Trail aller Vorgaenge

12.2 Privacy by Default

Die Standardeinstellungen maximieren den Datenschutz:

✅ Nur unbedingt erforderliche Daten sind obligatorisch
✅ Automatische Aufbewahrung fuer den gesetzlichen Mindestzeitraum
✅ Marketing-Opt-in (nicht Opt-out)
✅ Datensichtbarkeit auf das notwendige Minimum beschraenkt

13. Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO)

Vezpa fuehrt ein vollstaendiges Verzeichnis aller Verarbeitungstaetigkeiten, das enthaelt:

Name und Kontaktdaten des Verantwortlichen und DSB
Zwecke der Verarbeitung
Beschreibung der Kategorien von Betroffenen und Daten
Kategorien von Empfaengern
Uebermittlungen an Drittstaaten
Vorgesehene Aufbewahrungsfristen
Beschreibung der Sicherheitsmassnahmen

Das Verzeichnis ist auf Anfrage der Datenschutzbehoerde verfuegbar.

14. Aenderungen der Information

Diese Information kann geaendert werden fuer:

normative Entwicklungen
neue Funktionen des Dienstes
organisatorische Aenderungen

Wesentliche Aenderungen werden per E-Mail mit mindestens 30 Tagen Vorankuendigung mitgeteilt.

Das Datum der letzten Aktualisierung ist stets oben im Dokument angegeben.