DATENSCHUTZERKLAERUNG

1. Verantwortlicher

Verantwortlicher fuer die Verarbeitung personenbezogener Daten ist:

Vezpa di Paolo Vezzola
Sitz: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italien
USt-IdNr.: 04449070988
Steuernummer: VZZPLA84C10D284C
E-Mail: [email protected]
PEC: [email protected]

2. Anwendungsbereich

Diese Datenschutzerklaerung gilt fuer die Plattform Vezpa PMS (Web, Desktop und Mobile) und fuer die Webseiten, auf denen sie veroeffentlicht wird.

3. Erhobene personenbezogene Daten

3.1 Daten der Dienstnutzer (Betreiber von Unterkuenften)

Wenn Sie sich bei Vezpa als Betreiber einer Beherbergungseinrichtung registrieren, erheben wir:

• Stammdaten: Vorname, Nachname, E-Mail, Telefonnummer
• Daten der Einrichtung: Name, Adresse, Art, USt-IdNr.
• Rechnungsdaten: Rechnungsadresse, Steuernummer/USt-IdNr., eindeutiger Code/PEC
• Zugangsdaten: E-Mail und Passwort (verschluesselt)
• Zahlungsdaten: werden ueber externe, PCI-DSS-zertifizierte Anbieter verarbeitet (wir speichern keine Kreditkartendaten direkt)

3.2 Daten der Gaeste der Einrichtungen

Im Auftrag der Betreiber der Einrichtungen (als Auftragsverarbeiter gem. Art. 28 DSGVO, geregelt durch den AVV) erfasst das System:

• Identifikationsdaten: Vorname, Nachname, Geburtsort und -datum, Staatsangehoerigkeit, Geschlecht
• Ausweisdokumente: Art, Nummer, Ausstellungsort und -datum, Scan oder Foto des Dokuments. Solche Bilder koennen mit automatischem OCR zur Extraktion der Textdaten verarbeitet werden, ohne Speicherung abgeleiteter biometrischer Daten.
• Kontaktdaten: E-Mail, Telefonnummer
• Buchungsdaten: Aufenthaltsdaten, Gaesteanzahl, Tarife, Verpflegung
• Zahlungsdaten: nur wenn die Zahlung ueber die Booking Engine oder einen Stripe-Link von Vezpa erfolgt; Kartendaten werden nie auf Vezpa-Servern gespeichert

3.3 Nutzungsdaten

• IP-Adresse
• Browser- und Geraetetyp
• Besuchte Seiten und Verweildauer
• Betriebssystem
• Referrer (Herkunft)

3.4 Cookies

Wir verwenden technische Cookies, die fuer den Betrieb des Dienstes erforderlich sind. Fuer weitere Einzelheiten konsultieren Sie bitte unsere Cookie-Richtlinie.

4. Zwecke der Verarbeitung und Rechtsgrundlage

4.1 Fuer die Betreiber der Einrichtungen

4.2 Fuer die Gaeste der Einrichtungen

Wichtig: Fuer die Daten der Gaeste ist der Verantwortliche die Beherbergungseinrichtung. Vezpa handelt als Auftragsverarbeiter auf dokumentierte Weisung des Betreibers der Einrichtung gemaess dem Auftragsverarbeitungsvertrag (AVV).

• Check-in und Gaesteregistrierung: rechtliche Verpflichtung (italienisches Sicherheitsgesetz TULPS, Art. 109, GvD 159/2011) fuer Italien; entsprechende Vorschriften fuer die anderen unterstuetzten Staaten
• Obligatorische behoerdliche Meldungen: AlloggiatiWeb (IT-Questura), ISTAT (IT), PayTourist (IT-Gemeinden), Feratel/Meldeamt (AT), SES.HOSPEDAJES (ES), NTAK (HU), eVisitor (HR), SEF (PT), UbyPort (CZ), eTurizem (SI) - jeweils nur aktiviert, wenn die Einrichtung im entsprechenden Staat ansaessig ist
• Verwaltung der Buchung und des Aufenthalts: Vertragserfuellung (Art. 6 Abs. 1 lit. b)
• Uebermittlungen an OTA und Channel Manager: Erfuellung des Buchungsvertrags (Art. 6 Abs. 1 lit. b), nur fuer von der Einrichtung aktivierte Kanaele

5. Art der Verarbeitung

Personenbezogene Daten werden mit elektronischen Mitteln, mit eng auf die Zwecke bezogener Logik und unter Anwendung angemessener Sicherheitsmassnahmen (Art. 32 DSGVO) verarbeitet:

• 🔐 Verschluesselung bei der Uebertragung: alle Daten werden ueber das HTTPS/TLS 1.2+ Protokoll uebertragen
• 🔐 Passwoerter: mit sicheren Hashing-Algorithmen gespeichert (PBKDF2, Django-Standard)
• 🔐 Tokens: JWT-Access 15 Minuten, Refresh mit Rotation und Blacklist, optional 2FA TOTP verfuegbar
• 🔐 Zugriffskontrolle: rollenbasierte Berechtigungen (Direktor/Assistent/Hausdame/Beobachter), Prinzip des geringsten Privilegs
• 🔐 Backup: regelmaessig durch den Infrastrukturanbieter (DigitalOcean) durchgefuehrt, Standort EU (Frankfurt)
• 🔐 Hosting: DigitalOcean-Server in der Europaeischen Union (Region FRA1), Storage DigitalOcean Spaces Frankfurt
• 🔐 Ueberwachung: Zugriffs- und Anwendungsprotokolle, automatisierte Anomalieerkennung, Blockierung von Bots und Scannern

6. Speicherdauer

Personenbezogene Daten werden nur so lange aufbewahrt, wie es unbedingt erforderlich ist:

• Daten der Betreiber (Kunden): Vertragsdauer + 10 Jahre fuer steuerliche und buchhalterische Pflichten
• Rechnungsdaten: 10 Jahre (Art. 2220 ital. ZGB, Steuerpflicht)
• Daten der Gaeste (von Vezpa als Auftragsverarbeiter verarbeitet):
  • AlloggiatiWeb-Meldungen: die Aufbewahrungsfrist wird vom Verantwortlichen (Einrichtung) gemaess geltender Regelung festgelegt
  • ISTAT-Meldungen: gemaess ISTAT-Regelung
  • Sonstige Buchungsdaten: gemaess den Weisungen des Verantwortlichen im AVV (typischerweise 10 Jahre fuer steuerliche Zwecke)
  • Bei Beendigung des Vertrags mit dem Verantwortlichen loescht oder gibt Vezpa die Gastdaten innerhalb von 30 Tagen zurueck, vorbehaltlich eigener gesetzlicher Aufbewahrungspflichten (z.B. Rechnungsstellung)
• Zugriffs- und Anwendungsprotokolle: bis zu 24 Monate fuer Sicherheits- und Rechtsverteidigungszwecke (berechtigtes Interesse)
• Authentifizierungs-Token und vertrauenswuerdige Geraete: 90 Tage ab letzter Nutzung
• Daten fuer Marketing (Newsletter, Kampagnen): bis zum Widerruf der Einwilligung, mit zweijaehrlicher Ueberpruefung
• Support-Tickets: Vertragsdauer + 2 Jahre

7. Weitergabe und Verbreitung der Daten

7.1 Empfaenger der Daten

Ihre Daten koennen den folgenden Kategorien von Empfaengern mitgeteilt werden. Die stets aktuelle namentliche Liste der Unterauftragsverarbeiter ist unter vezpa.it/subprocessors veroeffentlicht.

Behoerden (eigenverantwortliche Verantwortliche, rechtliche Verpflichtung)

• Italien: Questura / AlloggiatiWeb, ISTAT, Gemeinden (ueber PayTourist fuer Kurtaxe), Agenzia delle Entrate (Finanzamt)
• Oesterreich: Feratel/Meldeamt
• Spanien: SES.HOSPEDAJES (Ministerio del Interior)
• Ungarn: NTAK
• Kroatien: eVisitor
• Portugal: SEF
• Tschechien: UbyPort
• Slowenien: eTurizem / AJPES

Jeder behoerdliche Konnektor wird nur aktiviert, wenn die Einrichtung im entsprechenden Staat ansaessig ist. Die Zugangsdaten werden von der Einrichtung selbst konfiguriert.

Unterauftragsverarbeiter (Art. 28 Abs. 4 DSGVO)

• Infrastruktur: DigitalOcean LLC (Server Frankfurt, Datenbank, Spaces/CDN, Redis) - USA/EU mit DPF und SCC
• Zahlungen: Stripe Payments Europe Ltd (EU) / Stripe Inc. (USA) - PCI-DSS, DPF-zertifiziert
• Transaktionale E-Mail und PEC: IONOS SE (DE)
• Mobile Push-Benachrichtigungen: Google LLC - Firebase Cloud Messaging (USA, DPF-zertifiziert)
• OTA Channel Manager: STAAH Limited (Neuseeland) - Land mit EU-Angemessenheitsbeschluss (2012)
• In-App-Kaeufe und Abonnements:
  • Apple Distribution International Ltd (IE) - EU-Einheit; eventuelle Uebermittlungen an Apple Inc. (USA) durch SCC 2021/914 geregelt (Apple beteiligt sich nicht am DPF)
  • Google Ireland Ltd / Google LLC (USA, aktive DPF-Zertifizierung)
  • Microsoft Ireland / Microsoft Corp. (USA, aktive DPF-Zertifizierung)
• Smart Locks (optional, falls aktiviert): Tuya Smart (CN) - EU-SCC und ergaenzende Massnahmen
• Berufsberater: Steuerberater, Rechtsanwaelte, IT-Berater, je nach Bedarf als Auftragsverarbeiter oder eigenverantwortliche Verantwortliche benannt

OTA (eigenverantwortliche Verantwortliche fuer die Beziehung zum Reisenden)

• Booking.com, Airbnb, Expedia, VRBO, Agoda und etwa 55 weitere Kanaele, die ueber STAAH angebunden sind: Buchungsdaten werden auf der Grundlage des Vertrags zwischen der Einrichtung und dem OTA uebertragen

7.2 Datenuebermittlung ausserhalb der EU

Einige Verarbeitungen beinhalten die Uebertragung personenbezogener Daten ausserhalb der Europaeischen Union. In allen Faellen werden Garantien gemaess Kapitel V DSGVO getroffen:

• USA - EU-U.S. Data Privacy Framework (Beschluss (EU) 2023/1795): Stripe Inc., Google LLC (Firebase Cloud Messaging), Microsoft Corp., DigitalOcean LLC, mit aktiver Zertifizierung im Framework (Pruefung unter dataprivacyframework.gov/list)
• USA - Standardvertragsklauseln (SCC 2021/914): Apple Inc. - Apple beteiligt sich nicht am DPF; das Vertragsverhaeltnis fuer EU-Nutzer besteht mit Apple Distribution International Ltd (Irland), und eventuelle Uebermittlungen an Apple Inc. (USA) erfolgen ueber SCC und interne Apple-Mechanismen
• Neuseeland - Angemessenheitsbeschluss (Beschluss (EU) 2013/65): STAAH Limited
• China (optional) - EU-Standardvertragsklauseln (SCC) 2021/914 + zusaetzliche Massnahmen: Tuya Smart, nur fuer Einrichtungen, die Smart Locks aktivieren
• Fuer jede Uebertragung ohne aktives DPF oder Angemessenheitsbeschluss wendet Vezpa EU-SCC 2021/914 und gegebenenfalls ein dokumentiertes Transfer Impact Assessment (TIA) an

7.3 Verbreitung

Personenbezogene Daten werden nicht verbreitet (Uebermittlung an unbestimmte Empfaenger) und nicht verkauft.

8. Rechte der betroffenen Person

Gemaess den Artikeln 15-22 DSGVO haben Sie das Recht auf:

• 📧 Auskunft (Art. 15): Bestaetigung des Bestehens Ihrer Daten und Erhalt einer Kopie
• ✏️ Berichtigung (Art. 16): Korrektur unrichtiger oder unvollstaendiger Daten
• 🗑️ Loeschung (Art. 17): Loeschung der Daten (Recht auf Vergessenwerden), wenn die Voraussetzungen gegeben sind
• ⏸️ Einschraenkung (Art. 18): Einschraenkung der Verarbeitung unter bestimmten Voraussetzungen
• 📤 Datenuebertragbarkeit (Art. 20): Erhalt der Daten in einem strukturierten Format und Uebertragung an einen anderen Verantwortlichen
• 🚫 Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung aus berechtigten Gruenden
• ❌ Widerruf der Einwilligung: jederzeitiger Widerruf der Marketing-Einwilligung

Marketing und Newsletter

Die Anmeldung zu kommerziellen Mitteilungen erfordert ausdrueckliche Einwilligung mit Double Opt-In (Bestaetigung per E-Mail-Link). Jede Mitteilung enthaelt einen Link zur sofortigen Abmeldung. Bei bestehenden Kunden kann Vezpa Mitteilungen zu aehnlichen Produkten und Diensten gemaess Art. 130 Abs. 4 GvD 196/2003 ("Soft Opt-In") versenden, mit jederzeit aktiver Widerspruchsmoeglichkeit.

Ausuebung der Rechte

Sie koennen Ihre Rechte schriftlich ausueben an:

• 📧 E-Mail: [email protected]
• ✉️ PEC: [email protected]
• 📮 Einschreiben mit Rueckschein an die in der Kopfzeile angegebene Adresse

Wir antworten innerhalb von 30 Tagen nach Eingang der Anfrage.

Beschwerderecht

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstoesst, haben Sie das Recht, Beschwerde bei der Aufsichtsbehoerde einzureichen:

italienische Datenschutzbehoerde (Garante)
Piazza Venezia, 11 - 00187 Rom
E-Mail: [email protected]
PEC: [email protected]
Tel: +39 06.696771
Web: www.garanteprivacy.it

Hinweis: Nutzer in Deutschland koennen sich auch an die jeweilige Landesdatenschutzbehoerde oder den Bundesbeauftragten fuer den Datenschutz und die Informationsfreiheit (BfDI) wenden. Nutzer in Oesterreich an die Datenschutzbehoerde (DSB).

9. Minderjaehrige

Der Vezpa PMS-Dienst richtet sich ausschliesslich an Personen ueber 18 Jahre. Wir erheben nicht wissentlich Daten von Minderjaehrigen. Sollte ein Elternteil oder Vormund der Meinung sein, dass ein Minderjaehriger personenbezogene Daten uebermittelt hat, kann er uns fuer die sofortige Loeschung kontaktieren.

10. Aenderungen der Datenschutzerklaerung

Diese Datenschutzerklaerung kann im Laufe der Zeit geaendert werden. Jede wesentliche Aenderung wird mit angemessener Vorankuendigung mitgeteilt durch:

• Veroeffentlichung der neuen Version auf der Website
• Benachrichtigung per E-Mail an registrierte Nutzer
• Informationsbanner im geschuetzten Bereich

Das Datum der letzten Aktualisierung ist immer am Anfang des Dokuments angegeben.