DATENSCHUTZERKLAERUNG

1. Verantwortlicher

Verantwortlicher fuer die Verarbeitung personenbezogener Daten ist:

Vezpa di Paolo Vezzola
Sitz: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italien
USt-IdNr.: 04449070988
Steuernummer: VZZPLA84C10D284C
E-Mail: [email protected]
PEC: [email protected]

2. Anwendungsbereich

Diese Datenschutzerklaerung gilt fuer die Plattform Vezpa PMS (Web, Desktop und Mobile) sowie fuer die Seiten der Website, auf denen diese Erklaerung veroeffentlicht ist.

3. Erhobene personenbezogene Daten

3.1 Daten der Dienstnutzer (Betreiber von Beherbergungsbetrieben)

Wenn Sie sich bei Vezpa als Betreiber eines Beherbergungsbetriebs registrieren, erheben wir:

• Stammdaten: Vorname, Nachname, E-Mail, Telefonnummer
• Daten des Betriebs: Name, Adresse, Art, USt-IdNr.
• Rechnungsdaten: Rechnungsadresse, Steuernummer/USt-IdNr., SDI-Code/PEC
• Zugangsdaten: E-Mail und Passwort (verschluesselt)
• Zahlungsdaten: verarbeitet ueber externe, nach PCI-DSS zertifizierte Anbieter (wir speichern keine Kreditkartendaten direkt)

3.2 Daten der Gaeste der Beherbergungsbetriebe

Im Auftrag der Betreiber der Beherbergungsbetriebe (als Auftragsverarbeiter gemaess Art. 28 DSGVO, geregelt durch den AVV) erhebt das System:

• Identifikationsdaten: Vorname, Nachname, Geburtsort und -datum, Staatsangehoerigkeit, Geschlecht
• Ausweisdokumente: Art, Nummer, Ausstellungsort und -datum, Scan oder Foto des Dokuments. Diese Bilder koennen mit automatischem OCR verarbeitet werden, um die textuellen Daten zu extrahieren, ohne dass daraus abgeleitete biometrische Daten gespeichert werden.
• Kontaktdaten: E-Mail, Telefonnummer
• Buchungsdaten: Aufenthaltsdaten, Anzahl der Gaeste, Preise, Verpflegung
• Zahlungsdaten: nur sofern die Zahlung ueber die Booking Engine oder Stripe-Zahlungslinks von Vezpa erfolgt; Kartendaten werden niemals auf Vezpa-Servern gespeichert

3.3 Navigationsdaten

• IP-Adresse
• Browser- und Geraetetyp
• Besuchte Seiten und Verweildauer
• Betriebssystem
• Referrer (Herkunft)

3.4 Cookies

Wir verwenden technische Cookies, die fuer den Betrieb des Dienstes erforderlich sind. Weitere Einzelheiten finden Sie in unserer Cookie-Richtlinie.

4. Zwecke der Verarbeitung und Rechtsgrundlage

4.1 Fuer die Betreiber der Beherbergungsbetriebe

4.2 Fuer die Gaeste der Beherbergungsbetriebe

Wichtig: Fuer die Gaestedaten ist der Verantwortliche der Beherbergungsbetrieb selbst. Vezpa handelt als Auftragsverarbeiter auf dokumentierte Weisung des Betreibers, gemaess Auftragsverarbeitungsvertrag (AVV/DPA).

• Check-in und Gaesteregistrierung: rechtliche Verpflichtung (Art. 109 italienisches TULPS-Gesetz, GvD 159/2011) fuer Italien; fuer Beherbergungsbetriebe in Oesterreich gilt die Meldepflicht gegenueber dem Meldeamt (uebermittelt ueber Feratel); entsprechende Vorschriften gelten in anderen unterstuetzten Staaten
• Pflichtmeldungen an Behoerden: AlloggiatiWeb (IT-Polizei), ISTAT (IT), PayTourist (IT-Gemeinden), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) — jede wird nur aktiviert, wenn der Betrieb im entsprechenden Staat ansaessig ist
• Buchungs- und Aufenthaltsverwaltung: Vertragserfuellung (Art. 6 Abs. 1 lit. b)
• Uebermittlung an OTAs und Channel Manager: Erfuellung des Buchungsvertrags (Art. 6 Abs. 1 lit. b), nur vom Betrieb aktivierte Kanaele

5. Art der Verarbeitung

Die personenbezogenen Daten werden mit elektronischen Mitteln verarbeitet, nach Logiken, die streng mit den Zwecken verknuepft sind, und unter Anwendung angemessener Sicherheitsmassnahmen (Art. 32 DSGVO):

• 🔐 Verschluesselung bei der Uebertragung: alle Daten werden ueber das Protokoll HTTPS/TLS 1.2+ uebertragen
• 🔐 Passwoerter: gespeichert mit sicheren Hash-Algorithmen (PBKDF2 Django Default)
• 🔐 Tokens: JWT-Access 15 Minuten, Refresh mit Rotation und Blacklist, 2FA TOTP verfuegbar
• 🔐 Zugriffskontrolle: rollenbasierte Berechtigungen (Direktor/Assistent/Hausdame/Beobachter), Prinzip der geringsten Rechte
• 🔐 Backup: regelmaessig vom Infrastrukturanbieter (DigitalOcean) durchgefuehrt, Standort EU (Frankfurt)
• 🔐 Hosting: DigitalOcean-Server in der Europaeischen Union (Region FRA1), Speicher DigitalOcean Spaces Frankfurt
• 🔐 Ueberwachung: Zugriffs- und Anwendungslogs, automatisierte Anomalieerkennung, Bot- und Scanner-Blockierung

6. Speicherung der Daten

Die personenbezogenen Daten werden fuer den unbedingt erforderlichen Zeitraum gespeichert:

• Daten der Betreiber (Kunden): Vertragsdauer + 10 Jahre fuer steuerliche und buchhalterische Pflichten
• Rechnungsdaten: 10 Jahre (Art. 2220 ital. ZGB, steuerliche Pflicht)
• Gaestedaten (von Vezpa als Auftragsverarbeiter verarbeitet):
  • AlloggiatiWeb-Meldungen: Die Aufbewahrungsfrist wird vom Verantwortlichen (Betrieb) nach den anwendbaren Vorschriften festgelegt
  • ISTAT-Meldungen: gemaess ISTAT-Vorschriften
  • Weitere Buchungsdaten: gemaess den Weisungen des Verantwortlichen im AVV (typischerweise 10 Jahre aus steuerlichen Gruenden; in Oesterreich 7 Jahre gemaess §132 BAO)
  • Bei Beendigung des Vertrags mit dem Verantwortlichen loescht oder gibt Vezpa die Gaestedaten innerhalb von 30 Tagen zurueck, vorbehaltlich eigenstaendiger Aufbewahrungspflichten (z. B. Rechnungsstellung)
• Zugriffs- und Anwendungslogs: bis zu 24 Monate fuer Sicherheits- und Rechtsverteidigungszwecke (berechtigtes Interesse)
• Authentifizierungstokens und vertrauenswuerdige Geraete: 90 Tage ab der letzten Nutzung
• Marketing-Daten (Newsletter, Kampagnen): bis zum Widerruf der Einwilligung, mit zweijaehrlicher Ueberpruefung
• Support-Tickets: Vertragsdauer + 2 Jahre

7. Uebermittlung und Verbreitung der Daten

7.1 Empfaenger der Daten

Ihre Daten koennen an folgende Kategorien von Empfaengern uebermittelt werden. Das stets aktualisierte namentliche Verzeichnis der Unterauftragsverarbeiter ist unter vezpa.it/subprocessors veroeffentlicht.

Behoerden (eigenstaendige Verantwortliche, rechtliche Verpflichtung)

• Italien: Polizei / AlloggiatiWeb, ISTAT, Gemeinden (ueber PayTourist fuer die Ortstaxe), Finanzamt
• Oesterreich: Feratel/Meldeamt (Gaestemeldung gemaess Meldegesetz und landesrechtlichen Tourismusgesetzen), kommunale Orts- und Naechtigungstaxe
• Spanien: SES.HOSPEDAJES (Ministerio del Interior)
• Ungarn: NTAK
• Kroatien: eVisitor
• Portugal: SEF
• Tschechien: UbyPort
• Slowenien: eTurizem / AJPES

Jeder Behoerden-Konnektor wird nur aktiviert, wenn der Betrieb im entsprechenden Staat ansaessig ist. Die Zugangsdaten werden vom Betrieb selbst konfiguriert.

Unterauftragsverarbeiter (Art. 28 Abs. 4 DSGVO)

• Infrastruktur: DigitalOcean LLC (Server Frankfurt, Datenbank, Spaces/CDN, Redis) — USA/EU mit DPF und Standardvertragsklauseln
• Zahlungen: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) — PCI-DSS, DPF zertifiziert
• Transaktions-E-Mail und PEC: IONOS SE (DE)
• Mobile Push Notifications: Google LLC — Firebase Cloud Messaging (USA, DPF zertifiziert)
• Channel Manager OTA: STAAH Limited (Neuseeland) — Land mit EU-Angemessenheitsbeschluss (2012)
• In-App-Kaeufe und Abonnements:
  • Apple Distribution International Ltd (IE) — EU-Einheit; eventuelle Uebermittlungen an Apple Inc. (USA) werden durch SCC 2021/914 geregelt (Apple beteiligt sich nicht am DPF)
  • Google Ireland Ltd / Google LLC (USA, aktive DPF-Zertifizierung)
  • Microsoft Ireland / Microsoft Corp. (USA, aktive DPF-Zertifizierung)
• Smart Locks (optional, falls aktiviert): Tuya Smart (CN) — EU-Standardvertragsklauseln und ergaenzende Massnahmen
• Fachberater: Steuerberater, Rechtsanwaelte, IT-Berater, bei Bedarf als Auftragsverarbeiter oder eigenstaendige Verantwortliche benannt

OTAs (eigenstaendige Verantwortliche fuer das Verhaeltnis zum Reisenden)

• Booking.com, Airbnb, Expedia, VRBO, Agoda und rund 55 weitere ueber STAAH angebundene Kanaele: die Buchungsdaten werden auf Grundlage des Vertrags zwischen dem Betrieb und der OTA uebermittelt

7.2 Datenuebermittlung ausserhalb der EU

Einige Verarbeitungen umfassen die Uebermittlung personenbezogener Daten ausserhalb der Europaeischen Union. In allen Faellen werden Garantien gemaess Kapitel V DSGVO angewendet:

• USA — EU-U.S. Data Privacy Framework (Beschluss (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, mit aktiver Zertifizierung im Framework (Pruefung unter dataprivacyframework.gov/list)
• USA — Standardvertragsklauseln (SCC 2021/914): Apple Inc. — Apple beteiligt sich nicht am DPF; das Vertragsverhaeltnis fuer EU-Nutzer besteht mit Apple Distribution International Ltd (Irland), und eventuelle Uebermittlungen an Apple Inc. (USA) erfolgen ueber SCC und interne Apple-Mechanismen
• Neuseeland — Angemessenheitsbeschluss (Beschluss (EU) 2013/65): STAAH Limited
• China (optional) — Standardvertragsklauseln (SCC) 2021/914 + zusaetzliche Massnahmen: Tuya Smart, nur fuer Betriebe, die Smart Locks aktivieren
• Fuer jede Uebermittlung ohne aktives DPF oder Angemessenheit wendet Vezpa die EU-Standardvertragsklauseln 2021/914 und, sofern anwendbar, ein dokumentiertes Transfer Impact Assessment (TIA) an

7.3 Verbreitung

Personenbezogene Daten werden nicht verbreitet (Uebermittlung an unbestimmte Empfaenger) und nicht verkauft.

8. Rechte der betroffenen Person

Gemaess den Artikeln 15 bis 22 DSGVO haben Sie das Recht auf:

• 📧 Auskunft (Art. 15): Bestaetigung ueber die Existenz Ihrer Daten und Erhalt einer Kopie
• ✏️ Berichtigung (Art. 16): Korrektur unrichtiger oder unvollstaendiger Daten
• 🗑️ Loeschung (Art. 17): Loeschung der Daten (Recht auf Vergessenwerden), sofern die Voraussetzungen vorliegen
• ⏸️ Einschraenkung (Art. 18): Einschraenkung der Verarbeitung unter bestimmten Bedingungen
• 📤 Datenuebertragbarkeit (Art. 20): Erhalt der Daten in einem strukturierten Format und Uebermittlung an einen anderen Verantwortlichen
• 🚫 Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung aus berechtigten Gruenden
• ❌ Widerruf der Einwilligung: jederzeitiger Widerruf der Einwilligung zum Marketing

Marketing und Newsletter

Die Anmeldung zu kommerziellen Mitteilungen erfordert eine ausdrueckliche Einwilligung mit Double-Opt-In (Bestaetigung per E-Mail-Link). Jede Mitteilung enthaelt einen sofortigen Abmeldelink. Fuer Bestandskunden kann Vezpa gemaess Art. 130 Abs. 4 GvD 196/2003 ("Soft-Opt-In") Mitteilungen zu aehnlichen Produkten und Dienstleistungen senden, mit jederzeit aktiver Widerspruchsmoeglichkeit. In Oesterreich gilt ergaenzend §174 TKG 2021 fuer elektronische Werbung.

Wie Sie Ihre Rechte ausueben

Sie koennen Ihre Rechte ausueben, indem Sie schreiben an:

• 📧 E-Mail: [email protected]
• ✉️ PEC: [email protected]
• 📮 Einschreiben mit Rueckschein an die oben genannte Adresse

Wir antworten innerhalb von 30 Tagen ab Eingang der Anfrage.

Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstoesst, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehoerde einzulegen.

Nutzer in Oesterreich koennen sich an die oesterreichische Datenschutzbehoerde wenden (www.dsb.gv.at). Das oesterreichische Datenschutzgesetz (DSG) ergaenzt die DSGVO.

Oesterreichische Datenschutzbehoerde
Barichgasse 40-42, 1030 Wien
E-Mail: [email protected]
Tel: +43 1 52 152-0
Web: www.dsb.gv.at

italienische Datenschutzbehoerde (Garante per la Protezione dei Dati Personali)
Piazza Venezia, 11 - 00187 Rom
E-Mail: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

9. Minderjaehrige

Der Dienst Vezpa PMS richtet sich ausschliesslich an Personen ueber 18 Jahre. Wir erheben wissentlich keine Daten von Minderjaehrigen. Sollte ein Elternteil oder Erziehungsberechtigter der Ansicht sein, dass ein Minderjaehriger personenbezogene Daten uebermittelt hat, kann er uns fuer die sofortige Loeschung kontaktieren.

10. Aenderungen der Datenschutzerklaerung

Diese Datenschutzerklaerung kann im Laufe der Zeit geaendert werden. Jede wesentliche Aenderung wird mit angemessener Vorankuendigung mitgeteilt durch:

• Veroeffentlichung der neuen Version auf der Website
• Benachrichtigung per E-Mail an registrierte Nutzer
• Informationsbanner im geschuetzten Bereich

Das Datum der letzten Aktualisierung ist stets oben im Dokument angegeben.