Datenschutz

Datenschutz (DE):

Unser Umgang mit Ihren Daten und Ihre Rechte– Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DS-GVO) –
Wir schützen und respektieren Ihre persönlichen Daten!

Wir respektieren und schützen Ihre Privatsphäre und beachten alle Vorschriften zum Datenschutz.

1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?
Die verantwortliche Stelle ist:
Stefanie und Carsten Lehmann
Gurglerstr. 97
6456 Obergurgl
Tel.: 0049 - 172 3636882

Als verantwortliche Stelle ergreifen wir alle gesetzlich erforderlichen Maßnahmen, um Ihre personenbezogenen Daten zu schützen.
Jede betroffene Person kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden. Sie erreichen Ihn unter der zuvor genannten Anschrift oder per E-Mail unter:

anfrage@apartment-gurgl.at

2. Welche Daten und Quellen nutzen wir?

Relevante personenbezogene Daten können sein:
Name, berufliche Adresse/andere Kontaktdaten (E-Mail-Adresse, Telefon), Geschlecht und optional Position in der Firma, Berufsbezeichnung, Kontoverbindungsdaten, Geburtsdatum/-ort, Fotos, Videos.
Im Rahmen der Geschäftsbeziehung, insbesondere durch persönliche, telefonische oder schriftliche Kontakte, durch Sie oder von Ihrem Arbeitgeber initiiert, entstehen weitere personenbezogene Daten, z. B. Informationen über den Kontaktkanal, Datum, Anlass, Ergebnis, (elektronische) Kopien des Schriftverkehrs.
Besondere Kategorien personenbezogener Daten, bekannt als „sensible Daten“, z. B. Religionszugehörigkeit, erheben wir nicht. Ebenso erheben wir keine Daten von Kindern.

3. Wofür verarbeiten wir Ihre Daten und auf welcher Rechtsgrundlage?
Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG).
a. Zur Erfüllung vertraglicher oder vertragsähnlicher Pflichten (Art. 6 Abs. 1b DS-GVO)

b. Im Rahmen der Interessenabwägung (6 Abs. 1f DS-GVO)

c. Aufgrund einer Einwilligung (Art. 6 Abs. 1a DS-GVO)
Soweit Sie uns eine Einwilligung zur Verarbeitung personenbezogener Daten für bestimmte Zwecke (etwa zum Bezug unseres Newsletters) erteilt haben, ist die Rechtmäßigkeit der Verarbeitung dieser Daten auf Basis Ihrer Einwilligung gegeben. Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dies gilt auch für Einwilligungserklärungen, die vor der Geltung der DS-GVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt. Verarbeitungen, die vor dem Widerruf erfolgt sind, sind hiervon nicht betroffen.

4. Wer bekommt Ihre Daten?

Innerhalb der Kanzlei erhalten nur dienjenigen Personen Zugang zu Ihren Daten, die diese zur Erfüllung der Auftragswecke benötigen. Die Verarbeitung erfolgt durch die mit der Bearbeitung betrauten Mitarbeiter, die zur Verschwiegenheit verpflichtet sind, so dass Ihre Interessen bei der Verarbeitung der Daten hinreichend geschützt sind. Auch von uns eingesetzte Auftragsverarbeiter (Artikel 28 DS-GVO) können zu diesen Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien IT-Dienstleistung.
Informationen über Sie dürfen wir außerhalb  nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten oder Sie eingewilligt haben.

5. Wie lange speichern wir Ihre Daten?
Soweit erforderlich verarbeiten und speichern wir Ihre personenbezogenen Daten für die Dauer des Auftrags, was die Anbahnung und Abwicklung  umfasst. Sind die Daten für die Erfüllung unseres Zwecks oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Aufbewahrung ist weiterhin notwendig. Gesetzliche Fristen werden insbesondere im Handelsgesetzbuch und der Abgabenordnung bestimmt. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen zwei bis zehn Jahre. Zivilrechtliche Verjährungsfristen können bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.

6. Welche Datenschutzrechte haben Sie?
Jede betroffene Person hat das Recht auf
Auskunft nach Artikel 15 DS-GVO,
Berichtigung nach Artikel 16 DS-GVO,
Löschung nach Artikel 17 DS-GVO,
Einschränkung der Verarbeitung nach Artikel 18 DS-GVO,
Widerspruch nach Artikel 21 DS-GVO sowie
Datenübertragbarkeit nach Artikel 20 DS-GVO.
Beim Auskunfts- und beim Löschungsrecht gelten die Einschränkungen nach §§ 34 und 35 BDSG. Darüber hinaus sind Sie berechtigt, bei der hessischen Datenschutzaufsichtsbehörde Beschwerde einzureichen (Artikel 77 DS-GVO i.V.m. § 19 BDSG)

7. Gibt es für mich eine Pflicht zur Bereitstellung von Daten?
Sie müssen nur diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung unserer Beratung und der Erfüllung der damit verbundenen Pflichten oder zur Durchführung einer sonstigen Geschäftsbeziehung erforderlich sind. Sollten Sie sich entscheiden, die benötigten Daten nicht zur Verfügung zu stellen, sind wir unter Umständen nicht in der Lage, Ihrem Anliegen nachzukommen, wenn diese ohne eine entsprechende Verarbeitung bestimmter Daten nicht durchgeführt werden kann.

8. Inwieweit führt die Contentia automatisierte Entscheidungsfindungen durch?
Wir nutzen grundsätzlich keine automatisierte Entscheidungsfindung gemäß Art. 22 DS-GVO.

9. Kann diese Datenschutzerklärung geändert werden?
Wir behalten uns vor, die Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes oder der Datenverarbeitung anzupassen. Die Nutzer werden daher gebeten, sich regelmäßig über den Inhalt auf unserer Webseite zu informieren.

Information über Ihr Widerspruchsrecht nach Artikel 21 Datenschutz-Grundverordnung (DS-GVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogenen Daten, die aufgrund von Art. 6 Absatz 1 f) DS-GVO (Datenverarbeitung aufgrund einer Interessenabwägung) erfolgt, Widerspruch einzulegen.
Im Falle eines Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Der Widerspruch kann formfrei erfolgen und sollte möglichst gerichtet werden an:

Stefanie und Carsten Lehmann
Gurglerstr. 97
6456 Obergurgl
Tel.: 0049 - 172 3636882

AT

Folgende Hinweise des Tourismusverbandes Ötztal haben wir als Basis für unsere Datenschutz-Organisation verwendet:

Die Datenschutz-Grundverordnung betrifft JEDEN Vermieter (auch Kleinvermieter)!

Jeder, der in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. ein Mail versendet, Rechnungen ausstellt oder einen Mitarbeiter beschäftigt,…) ist betroffen.

Was sind personenbezogene Daten? Dies sind Daten wie z.B. Vorname, Nachname, Adresse, Telefonnummer, Geburtsdatum, Emailadresse, die IP-Adresse, Sprachen, Familienstand, Beruf usw.

Was sind sensible Daten? Dies sind besonders geschützte Daten wie z.B. Gesundheitsdaten (z.B. Allergien), religiöse Daten oder Daten zum Sexualleben usw.

Damit kommen einige Neuerungen auf jeden von euch zu. Für die Umsetzung der DSGVO senden wir euch unten eine Checkliste als Hilfestellung. Wir möchten euch aber darauf hinweisen, dass wir nicht ALLE Punkte in diese Liste aufnehmen konnten.

EU-Datenschutz-Grundverordnung (DSGVO) – Checkliste

Folgende NEUE PFLICHTEN sollten umgesetzt werden:

1. Erstellung eines Datenverarbeitungsverzeichnisses, einmalig ausdrucken,   ausfüllen und in Ordner ablegen (Muster und Ausfüllhilfe anbei)

Dies ist eine interne Auflistung bei welchen Tätigkeiten du die Daten verwendest, wie du sie verwendest, welche technischen Voraussetzungen du dafür hast, wer die Daten erhält,….   Sie ist für deine Ablage in einem Ordner und auf Anfrage der Datenschutzbehörde auszuhändigen.

z.B. Führe ein internes Verzeichnis für Tätigkeiten wie grundsätzlicher Emailversand, Gästeverwaltung wie Angebote, Buchungen, Kundendatensammlung, E-Mail Newsletter, W-Lan, Meldewesen wie zB. Meldeblatt und evtl. online Meldewesen, Bilder mit Personen, Videoüberwachung,  Social-Media, Personalverwaltung, Rechnungswesen, Key-Card Systeme, Online-Shops,…

2. Technische organisatorische Maßnahmen:

Hier geht es speziell um Zugriffe, Zugänge und Zutritte - anbei einige Beispiele:

• bei Laptop/Rechner: Passwort mit mind. 8-10 Zeichen; nur die Personen, die die Daten verarbeiten, sollten Zugriff haben (keine Unbefugten, keine Familienangehörigen), am besten Bildschirmsperre/Kennwortschutz, Antivirus Programm, regelmäßige Datensicherung (evtl. extern!)
• USB Sticks verschließen
• Unterlagen mit personenbezogenen Daten (z.B. Meldeschein, Verträge,…) entweder in Schränken oder Büros versperren. Nie offensichtlich z.B. im Frühstücksraum oder Rezeption für andere Personen zugänglich liegen lassen. Bei elektronischer Verarbeitung gilt dies auch für ausgefüllte Blankomeldescheine.
• Regelung zur Speicherdauer/Löschung von personenbezogenen Daten, Ausarbeitung eines Löschkonzepts (die Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Datenverarbeitung notwendig ist). Beachte Aufbewahrungsfrist für Buchungen, Stornos, Meldeschein, Rechnungen = 7 Jahre. Das heißt, Angebote dürfen z.B. nicht über Jahre aufbewahrt werden!
• Bei diesen Punkten ist sicher von Vorteil, wenn du dich an deinen IT-Techniker wendest.

3. Datensicherheitsmaßnahmen

Für diesen Punkt könnt ihr euch das Sicherheitshandbuch downloaden oder bestellen. Somit ist die Umsetzung etwas einfacher.

IT-Sicherheitshandbuch für Mitarbeiter (hier findet ihr auch ganz einfache und praktische Umsetzungsmöglichkeiten) http://wko.at/ic//IT_Handbuch_MA_2017.pdf

IT-Sicherheitshandbuch für kleine und mittlere Unternehmen: http://wko.at/ic//IT_Handbuch_KMU_2017.pdf

4. Informierung der betroffenen Personen (schriftlich)

Sobald du Daten von Personen erhebst (z.B. Buchungsanfrage, Emails,

Bewerbungen,…), musst du die betroffene Person über Verwendungszweck, Art der Verarbeitung, berechtigtes Interesse,… informieren. Am einfachsten geht dies, wenn du bei deinem Schriftverkehr wie bei den Angeboten und Buchungen einen Link auf deine Webseite zu der Datenschutzerklärung einbaust. Textbeispiel wie folgt:

Es gelten die Datenschutzrichtlinien sowie die allgemeinen Geschäftsbedingungen der Hotellerie (AGBH 2006). Datenschutzrichtlinien: DIREKTLINK auf eure Webseite

• DIREKTLINK auf eure Webseite

The general data protection guidelines from us as well as the general terms for the Austrian Industry (AGBH 2006) apply.

• Link auf eure Webseite (falls sie in Englisch ist, dann bitte auf die Englische)  

privacy policy: Direktlink auf eure Webseite (wenn möglich in Englisch)

• Auskunftspflicht: verlangt ein Kunde von euch eine Auskunft, bezüglich seiner personenbezogenen Daten, solltet ihr zuerst einen Identitätsnachweis (offizielles Dokument mit Name, Adresse z.B. Personalausweis) verlangen. Nach Erhalt des Nachweises habt ihr 1 Monat Zeit ihm Auskunft darüber zu geben.

5. Datenschutzerklärung

Es müssen dem Betroffenen alle Informationen und Mitteilungen zum Datenschutz in verständlicher und leicht zugänglicher Form übermittelt werden:

• Bitte hierfür deinen Webseiten Anbieter deine Webseite EU-DSGVO konform zu machen.

(z.B. Datenschutzerklärung muss eindeutig auf Webseite gekennzeichnet sein und gehört auf jede Webseite; Die Kontaktformulare müssen einen Datenschutz-Hinweis aufweisen; Anonymisierung des Google-Analytics-Codes, Opt-out-Möglichkeit/Cookie-Bar, ssl-Verschlüsselung,..)

• Newsletter: Verwende nur Adressen von denen du die Einwilligung für den Versand des Newsletters hast. Betroffene haben ein jederzeitiges Widerspruchsrecht, auf das du ausdrücklich hinweisen musst

• Fotos: möchtest du Fotos in der Unterkunft von Gästen aufhängen oder auf der Webseite/Facebook verwenden, benötigst du dafür eine Einwilligung der betroffenen Personen!

• Kontaktiere deinen W-Lan Anbieter und erkundige dich, ob dein W-Lan EU-DSGVO konform ist

6. Sonstige wichtige Maßnahmen

• Absicherung gegenüber externen Dienstleistern durch Abschluss eines sog. Auftragsverarbeitungsvertrages z.B. Anbieter der Hotelsoftware und Channelmanager, EDV-Dienstleister, Feratel für das online Meldewesen (wurde bereits an dich versendet), Reinigungsdienste, Marketing Dienstleistern,…  Kontaktiere diese Firmen, damit sie dir den Vertrag zusenden und du ihn unterschreiben kannst!

Muster: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-auftragsverarbeite.html

• Verpflichte deine Mitarbeiter auf das Datengeheimnis – Muster gibt es unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html

ZUM THEMA MELDEWESEN

• Künftig benötigt der Ötztal Tourismus die Meldescheinnummern um Korrekturen durchzuführen, da wir die Daten nur noch anonymisiert verarbeiten dürfen.

Zur Ötztal Premium Card werden wir gesonderte Infos nachreichen.

Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten.