Vezpa - Property Management System
Compliance mit Verordnung (EU) 2016/679, BDSG und TTDSG
Letzte Aktualisierung: 19. April 2026 - Fassung Deutschland (DE)
Diese Fassung der DSGVO-Information richtet sich an Beherbergungsbetriebe, Gaeste, Geschaeftspartner und Webseitenbesucher mit Sitz oder gewoehnlichem Aufenthalt in der Bundesrepublik Deutschland. Vezpa beachtet, soweit in Deutschland einschlaegig, ergaenzend zur DSGVO die folgenden nationalen Rechtsquellen:
Da Vezpa keine Niederlassung in Deutschland unterhaelt, ist die Hauptaufsichtsbehoerde die italienische Garante per la protezione dei dati personali. Nutzer in Deutschland koennen ihr Recht auf Beschwerde nach Art. 77 DSGVO jedoch unmittelbar bei ihrer zustaendigen deutschen Aufsichtsbehoerde geltend machen. Diese leitet die Beschwerde im One-Stop-Shop-Mechanismus (Art. 56 DSGVO) gegebenenfalls an die federfuehrende Aufsichtsbehoerde weiter.
Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit (BfDI) - zustaendig fuer Telekommunikations- und Postdienste sowie Bundesbehoerden:
Graurheindorfer Strasse 153, 53117 Bonn
Telefon: +49 228 997799-0
E-Mail: [email protected]
Web: www.bfdi.bund.de
Landesdatenschutzbehoerden - zustaendig fuer den nicht-oeffentlichen Bereich (Unternehmen, Vereine) im jeweiligen Bundesland:
Fuer die Speicherung von Informationen oder den Zugriff auf bereits im Endgeraet des Nutzers gespeicherte Informationen (Cookies, LocalStorage, Fingerprinting) gilt in Deutschland § 25 TTDSG. Die Vezpa-Webseite vezpa.it verwendet ausschliesslich technisch notwendige Cookies im Sinne von § 25 Abs. 2 Nr. 2 TTDSG (Erforderlichkeit fuer die Bereitstellung des ausdruecklich vom Nutzer gewuenschten Telemediendienstes). Auf der Marketing-Webseite werden zusaetzliche Tags (z. B. Google Ads Conversion-Tracking) erst nach ausdruecklicher Einwilligung des Nutzers nach § 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a DSGVO geladen. Naehere Informationen finden sich in unserer Cookie-Richtlinie.
Soweit Vezpa als AUFTRAGSVERARBEITER fuer einen deutschen Beherbergungsbetrieb (Verantwortlicher) taetig ist, schliessen die Parteien einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemaess Art. 28 Abs. 3 DSGVO. Der von Vezpa angebotene Standardvertrag (DPA) erfuellt die Anforderungen sowohl des Art. 28 DSGVO als auch der DSK-Kurzpapiere Nr. 13 und Nr. 17. Auf Anfrage stellen wir auch eine deutschsprachige Fassung des AV-Vertrags zur Verfuegung.
In Deutschland verhaengen die Aufsichtsbehoerden Bussgelder nach dem von der DSK verabschiedeten Bussgeldmodell (Beschluss vom 14. Oktober 2019). Das maximale Bussgeld nach Art. 83 Abs. 5 DSGVO betraegt 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Vorjahres. Vezpa ueberprueft seine Datenschutz-Praktiken regelmaessig anhand der einschlaegigen DSGVO-Rechtsprechung des EuGH (z. B. C-311/18 "Schrems II") und des Bundesgerichtshofs (BGH).
Fuer Uebermittlungen in die USA stuetzt sich Vezpa primaer auf den EU-U.S. Data Privacy Framework (DPF) gemaess dem Angemessenheitsbeschluss (EU) 2023/1795 vom 10. Juli 2023. Soweit Empfaenger nicht DPF-zertifiziert sind, kommen Standardvertragsklauseln nach DurchfuehrungsVO (EU) 2021/914 zur Anwendung, ergaenzt durch eine Transfer Impact Assessment (TIA) nach den DSK-Empfehlungen vom 12. Dezember 2022 ("Hinweise zur Pruefung der Erforderlichkeit zusaetzlicher Schutzmassnahmen").
Vezpa beschaeftigt selbst keine Mitarbeiter in Deutschland. Soweit ein deutscher Beherbergungsbetrieb Vezpa zur Verwaltung von Mitarbeiterdaten (z. B. Reinigungspersonal, Rezeption) nutzt, bleibt die Rechtsgrundlage fuer die Verarbeitung dieser Daten § 26 BDSG bzw. eine bestehende Betriebsvereinbarung. Vezpa stellt dem Verantwortlichen die zur Erfuellung dieser Pflichten erforderlichen technischen Funktionen bereit (rollenbasierte Zugriffskontrolle, Audit-Logs, Loeschkonzepte).
Diese Information beschreibt, wie Vezpa di Paolo Vezzola (nachfolgend "Vezpa" oder "Wir") personenbezogene Daten in Uebereinstimmung mit folgenden Vorschriften verarbeitet:
Diese Information gilt fuer:
Vezpa agiert in zwei unterschiedlichen Rollen:
Verantwortlicher:
Vezpa di Paolo Vezzola
Sitz: Desenzano del Garda (BS), 25015, via San Zeno 67
USt-IdNr.: 04449070988
Steuernummer: VZZPLA84C10D284C
PEC: [email protected]
E-Mail: [email protected]
| Kategorie | Art der Daten | Pflicht |
|---|---|---|
| Identifikationsdaten | Name, Vorname, Geburtsdatum, Steuernummer | Erforderlich |
| Kontaktdaten | E-Mail, Telefon, Adresse | Erforderlich |
| Unternehmensdaten | Firmenname, USt-IdNr., Unterkunftsdaten | Erforderlich |
| Zahlungsdaten | IBAN, Kreditkarte (ueber Stripe) | Erforderlich fuer Abonnement |
| Nutzungsdaten | Zugriffsprotokolle, IP, Plattformaktivitaet | Automatisch |
| Kommunikationsdaten | E-Mails, Support-Chat, Tickets | Freiwillig |
| Kategorie | Art der Daten | Rechtsgrundlage (des Verantwortlichen) |
|---|---|---|
| Personendaten | Name, Vorname, Geburtsdatum und -ort, Staatsangehoerigkeit, Geschlecht | Gesetzliche Verpflichtung (italienisches TULPS-Gesetz, Art. 109 und gleichwertige EU-Vorschriften) |
| Ausweisdokument | Art, Nummer, Ausstellungsdatum, ausstellende Behoerde, gescanntes oder fotografiertes Bild | Gesetzliche Verpflichtung |
| OCR-Extraktion | Automatisch aus dem Dokument extrahierte Textdaten (Name, Datum, Nummer) | Vertragserfuellung (Art. 6 Abs. 1 lit. b) - nur zur Erleichterung der Dateneingabe |
| Kontaktdaten | E-Mail, Telefon, Adresse | Vertragserfuellung |
| Buchungsdaten | Aufenthaltsdaten, Gastzahl, Zimmer, Tarife, Verpflegung | Vertragserfuellung |
| Zahlungsdaten | Transaktionen, Quittungen (Kartendaten werden von Stripe verwaltet, nicht auf Vezpa gespeichert) | Vertragserfuellung + steuerliche Verpflichtung |
Die erhobenen Ausweisdokumente koennen Elemente enthalten, die als "besondere Kategorien" im Sinne von Art. 9 DSGVO qualifiziert werden koennen, typischerweise:
Rechtmaessigkeit der Verarbeitung: Art. 9 Abs. 2 lit. b (Erfuellung von Verpflichtungen aus dem Arbeitsrecht, Recht der sozialen Sicherheit und des Sozialschutzes), Art. 9 Abs. 2 lit. g (Gruende eines erheblichen oeffentlichen Interesses - Registrierungen zur oeffentlichen Sicherheit) und Art. 9 Abs. 2 lit. f (Geltendmachung von Rechten). Die Zwecke beschraenken sich auf die gesetzlich vorgeschriebenen Meldungen an die oeffentlichen Behoerden.
Zusaetzliche Massnahmen: Zugriff beschraenkt auf autorisierte Rollen (Direktor, Assistent), keine Profilbildung auf Basis solcher Daten, keine Weitergabe an Dritte ausserhalb der zustaendigen oeffentlichen Behoerden.
Vezpa erhebt nicht absichtlich andere besondere Datenkategorien (politische/religioese Ueberzeugungen, Gesundheitsdaten, genetische Daten, sexuelle Orientierung). Sollten solche Daten versehentlich vom Nutzer eingegeben werden, muessen sie sofort entfernt werden.
| Zweck | Rechtsgrundlage (Art. 6 DSGVO) | Aufbewahrung |
|---|---|---|
| Bereitstellung des PMS-Dienstes | Art. 6 Abs. 1 lit. b - Vertragserfuellung | Vertragsdauer + 10 Jahre |
| Rechnungsstellung und Buchhaltung | Art. 6 Abs. 1 lit. c - Gesetzliche Verpflichtung | 10 Jahre (steuerliche Pflicht) |
| Kundenservice | Art. 6 Abs. 1 lit. b - Vertragserfuellung | Vertragsdauer + 2 Jahre |
| Sicherheit und Betrugspraevention | Art. 6 Abs. 1 lit. f - Berechtigtes Interesse | 5 Jahre |
| Serviceverbesserung | Art. 6 Abs. 1 lit. f - Berechtigtes Interesse | 2 Jahre (aggregierte anonyme Daten) |
| Direktmarketing | Art. 6 Abs. 1 lit. a - Einwilligung | Bis zum Widerruf der Einwilligung |
| Rechtsverteidigung | Art. 6 Abs. 1 lit. f - Berechtigtes Interesse | 10 Jahre |
| Zweck | Rechtsgrundlage | Aufbewahrung |
|---|---|---|
| Gaesteregistrierung und Meldung an die Polizei | Art. 6 Abs. 1 lit. c - Gesetzliche Verpflichtung (italienisches TULPS-Gesetz, Art. 109, D.Lgs. 159/2011) | Mindestens 2 Jahre |
| ISTAT-Meldungen | Art. 6 Abs. 1 lit. c - Gesetzliche Verpflichtung | Gemaess ISTAT-Vorschriften |
| Kurtaxe (Paytourist) | Art. 6 Abs. 1 lit. c - Gesetzliche Verpflichtung | Gemaess kommunalen Vorschriften |
| Buchungs- und Aufenthaltsverwaltung | Art. 6 Abs. 1 lit. b - Vertragserfuellung | 10 Jahre (steuerliche Zwecke) |
| Online-Check-in und Kommunikation | Art. 6 Abs. 1 lit. b - Vertragserfuellung | Aufenthaltsdauer + Aufbewahrungsfrist der Unterkunft |
Fuer viele Taetigkeiten ist KEINE Einwilligung erforderlich, da sie sich auf folgendes stuetzen:
Eine Einwilligung ist NUR fuer Marketing und Profilbildung erforderlich.
Vezpa verarbeitet personenbezogene Daten unter Einhaltung folgender Grundsaetze:
Die Daten werden verarbeitet mit:
Die Daten sind zugaenglich fuer:
Die Daten koennen an folgende Empfaengerkategorien weitergegeben werden. Die namentliche und stets aktuelle Liste ist veroeffentlicht unter vezpa.it/subprocessors.
| Kategorie | Empfaenger | Rolle | Zweck |
|---|---|---|---|
| Italienische oeffentliche Behoerden | AlloggiatiWeb (Polizei / Questura), ISTAT, Gemeinden (PayTourist), Agenzia Entrate | Eigenstaendige Verantwortliche | Gesetzliche Verpflichtung |
| EU-oeffentliche Behoerden | Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) | Eigenstaendige Verantwortliche | Gesetzliche Verpflichtung des Verantwortlichen (Unterkunft) |
| Hosting / Storage / CDN | DigitalOcean LLC (Server Frankfurt, Spaces, Redis) | Auftragsverarbeiter | IT-Infrastruktur |
| Zahlungen | Stripe Payments Europe Ltd / Stripe Inc. | Auftragsverarbeiter | Zahlungsabwicklung |
| IONOS SE (DE) | Auftragsverarbeiter | Versand transaktionaler E-Mails und PEC | |
| Mobile Push-Benachrichtigungen | Google LLC (Firebase Cloud Messaging) | Auftragsverarbeiter | Versand von Push-Benachrichtigungen an mobile Geraete |
| Channel Manager OTA | STAAH Limited (Neuseeland) | Auftragsverarbeiter | Synchronisation von Buchungen mit OTAs |
| In-App Purchase - Apple | Apple Distribution International Ltd (IE) / Apple Inc. (USA) | Eigenstaendiger Verantwortlicher (Store) | Verwaltung von App-Store-Abonnements. Apple beteiligt sich nicht am DPF: Uebermittlungen in die USA werden durch SCC 2021/914 geregelt |
| In-App Purchase - Google / Microsoft | Google Ireland Ltd / Google LLC (USA, DPF), Microsoft Ireland / Microsoft Corp. (USA, DPF) | Eigenstaendige Verantwortliche (Store) | Verwaltung von Play Store / Microsoft Store Abonnements |
| OTA | Booking.com, Airbnb, Expedia, VRBO, Agoda und etwa 55 weitere Kanaele | Eigenstaendige Verantwortliche | Buchungsverwaltung gegenueber dem Reisenden |
| Smart Locks (optional) | Tuya Smart (CN) | Auftragsverarbeiter | Verwaltung von Smart-Zugaengen, nur wenn von der Unterkunft aktiviert |
| Fachleute | Steuerberater, Anwaelte, IT-Berater | Auftragsverarbeiter / eigenstaendige Verantwortliche | Fachberatung, nur wo erforderlich |
Die aktuelle Liste ist veroeffentlicht und jederzeit einsehbar unter vezpa.it/subprocessors. Aenderungen (neue Unterauftragsverarbeiter, Ersetzungen) werden den Verantwortlichen (Unterkuenften) mit mindestens 30 Tagen Vorankuendigung mitgeteilt, um Widerspruch zu ermoeglichen (Art. 28 Abs. 2 DSGVO).
Fuer jeden aussereuropaeischen Unterauftragsverarbeiter ist der anwendbare Transfer-Mechanismus dokumentiert. Die SCC und gegebenenfalls Transfer Impact Assessments sind dem Verantwortlichen auf Anfrage verfuegbar.
| Recht | DSGVO-Artikel | Beschreibung |
|---|---|---|
| Auskunft | Art. 15 | Bestaetigung ueber die Existenz Ihrer Daten erhalten und eine Kopie anfordern |
| Berichtigung | Art. 16 | Unrichtige Daten korrigieren oder ergaenzen |
| Loeschung ("Recht auf Vergessenwerden") | Art. 17 | Loeschung der Daten verlangen (mit Ausnahmen bei gesetzlichen Pflichten) |
| Einschraenkung | Art. 18 | Verarbeitung unter bestimmten Bedingungen einschraenken |
| Datenuebertragbarkeit | Art. 20 | Daten in einem strukturierten Format (CSV, JSON) erhalten und an einen anderen Verantwortlichen uebertragen |
| Widerspruch | Art. 21 | Der auf berechtigtem Interesse beruhenden Verarbeitung widersprechen |
| Widerruf der Einwilligung | Art. 7 Abs. 3 | Marketing-Einwilligung jederzeit widerrufen |
| Beschwerde | Art. 77 | Beschwerde bei der Datenschutzbehoerde einreichen |
| Keine automatisierte Profilbildung | Art. 22 | Nicht Entscheidungen unterworfen sein, die ausschliesslich auf automatisierter Verarbeitung beruhen |
Sie koennen Ihre Rechte ausueben ueber:
Vezpa beantwortet Anfragen innerhalb von 30 Tagen nach Eingang (verlaengerbar um weitere 60 Tage in komplexen Faellen, mit begruendeter Mitteilung).
Einige Rechte (Loeschung, Einschraenkung) koennen nicht ausgeuebt werden, wenn:
Im Falle einer Datenschutzverletzung (Verletzung des Schutzes personenbezogener Daten) wird Vezpa:
Im Falle einer Sie betreffenden Datenschutzverletzung erhalten Sie eine Mitteilung mit:
Vezpa hat die Datenschutz-Folgenabschaetzung (DSFA) gemaess Art. 35 DSGVO eingeleitet, angesichts der systematischen Verarbeitung von Ausweisdokumenten von betroffenen Personen mehrerer EU-Staaten und der Transfers zu aussereuropaeischen Unterauftragsverarbeitern.
Die DSFA und eventuelle zusaetzliche Milderungsmassnahmen werden regelmaessig aktualisiert. Bei hohem Restrisiko konsultiert Vezpa die italienische Datenschutzbehoerde vorab gemaess Art. 36 DSGVO. Der Verantwortliche (Unterkunft) kann eine Zusammenfassung der DSFA anfordern per E-Mail an [email protected].
Wenn der Unterkunftsbetreiber Vezpa zur Verarbeitung von Gastdaten nutzt:
Der Auftragsverarbeitungsvertrag enthaelt gemaess Art. 28 Abs. 3 DSGVO:
Der AVV ist integraler Bestandteil der Allgemeinen Geschaeftsbedingungen und wird bei der Registrierung der Unterkunft akzeptiert.
Vezpa integriert den Datenschutz von der Entwurfsphase an:
Die Standardeinstellungen maximieren den Datenschutz:
Vezpa fuehrt ein vollstaendiges Verzeichnis aller Verarbeitungstaetigkeiten, das enthaelt:
Das Verzeichnis steht auf Anfrage der Datenschutzbehoerde zur Verfuegung.
Diese Information kann geaendert werden fuer:
Wesentliche Aenderungen werden per E-Mail mit mindestens 30 Tagen Vorlauf mitgeteilt.
Das Datum der letzten Aktualisierung ist immer oben im Dokument angegeben.
Datenschutzstelle:
E-Mail: [email protected]
PEC: [email protected]
Adresse: Desenzano del Garda, via San Zeno 67
Italienische Datenschutzbehoerde (Garante):
Piazza Venezia, 11 - 00187 Rom
E-Mail: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it
Nutzer in Deutschland koennen sich auch an die Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit (BfDI) wenden:
Web: www.bfdi.bund.de
© 2022-2026 Vezpa - Alle Rechte vorbehalten | Datenschutzerklaerung | AGB | Cookie-Richtlinie | DSGVO | AVV | Unterauftragsverarbeiter
Dokument erstellt in Uebereinstimmung mit der Verordnung (EU) 2016/679 (DSGVO)
und dem italienischen D.Lgs. 196/2003 in der Fassung des D.Lgs. 101/2018