Datenschutzerklärung

Stand: April 2026  |  Gültig für: hotel-dxs.com
Diese Erklärung informiert Sie gemäß Art. 13 und 14 der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO) über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Besuch dieser Webseite.

1. Verantwortlicher

Ein EU-Vertreter gemäß Art. 27 DSGVO wurde nicht bestellt, da die Verarbeitung personenbezogener Daten auf dieser Webseite ausschließlich gelegentlich erfolgt (Kontaktanfragen von Geschäftskunden), keine besonders sensiblen Datenkategorien betrifft und kein erhebliches Risiko für die Rechte betroffener Personen darstellt (Art. 27 Abs. 2 lit. a DSGVO). Es findet kein systematisches Tracking, kein Profiling und keine großangelegte Gästeverarbeitung statt.

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur in dem Umfang, der für den Betrieb dieser Webseite und die Beantwortung von Anfragen erforderlich ist. Es werden keine Daten zu Werbezwecken gespeichert, verarbeitet oder an Dritte zu Marketingzwecken weitergegeben. Es werden keine Tracking-Cookies, Analytics-Tools oder Werbenetzwerke eingesetzt. Ein Cookie-Banner ist deshalb nicht notwendig.

Der Hauptinhalt dieser Webseite (index.html) enthält keine Links zu externen Webseiten, keine nutzergenerierten Inhalte und keine eingebetteten Inhalte Dritter (keine Social-Media-Einbettungen, keine YouTube-Videos, keine Google Maps etc.). Sämtliche Inhalte wurden ausschließlich vom Betreiber erstellt. Die Impressums- und Datenschutzseiten enthalten Querverweise auf die Datenschutzerklärungen der eingesetzten Dienstleister (Firebase, OpenAI, Resend), wie es die DSGVO-Transparenzpflichten verlangen.

3. Webhosting – Firebase Hosting (Google)

Diese Webseite wird auf Firebase Hosting gehostet, einem Dienst der Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Firebase Hosting ist Teil der Google Cloud Platform. Die Auslieferung der Webseite erfolgt über das globale CDN von Google, wobei Anfragen aus der EU bevorzugt über EU-Rechenzentren (z. B. Frankfurt am Main, Belgien) geroutet werden.

Bei jedem Seitenaufruf verarbeitet Firebase Hosting serverseitig folgende Daten:

• IP-Adresse des anfragenden Endgeräts (wird nach kurzer Zeit anonymisiert)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Betriebssystem und Browser des Nutzers (User-Agent-String)
• HTTP-Statuscode

Diese Daten werden ausschließlich für den sicheren und stabilen Betrieb der Webseite verarbeitet (z. B. Fehlerbehebung, DDoS-Schutz) und nicht für Profiling oder Marketing genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und funktionsfähigen Webauftritt).
Speicherdauer: Gemäß den Standardrichtlinien von Google Firebase (in der Regel bis zu 30 Tage in Serverprotokollen).
Drittlandübermittlung: Durch die bevorzugte Nutzung von EU-Rechenzentren werden personenbezogene Daten im Regelfall innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet. Ein Datentransfer in die USA kann im Rahmen der zentralen Infrastruktur von Google LLC dennoch nicht vollständig ausgeschlossen werden. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

Weitere Informationen finden Sie in der Firebase-Datenschutzerklärung.

Mit Google wurde das Cloud Data Processing Addendum (CDPA) einschließlich der Angaben zur Anwendbarkeit des europäischen Datenschutzrechts (EU GDPR) unterzeichnet. Dies bildet die datenschutzrechtliche Grundlage gemäß Art. 28 DSGVO für den Einsatz von Firebase Hosting und Google Cloud Storage.

4. Bilddateien – Google Cloud Storage (GCS)

Die auf dieser Webseite dargestellten Bilder (im WebP-Format) werden über Google Cloud Storage (GCS), ebenfalls ein Dienst der Google LLC, ausgeliefert. Das Storage-Bucket ist in der EU-Region europe-west3 (Frankfurt am Main) konfiguriert – die Bilddaten werden somit ausschließlich auf europäischen Servern gespeichert.

Wenn Ihr Browser eine Bilddatei lädt, wird dabei Ihre IP-Adresse und der zugehörige HTTP-Request an die Google-Cloud-Infrastruktur übermittelt. Dies ist technisch notwendig für die Auslieferung der Dateien.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der ordnungsgemäßen Darstellung der Webseite).
Drittlandübermittlung: Wie unter Punkt 3 beschrieben.

5. Cookies und ähnliche Technologien

Diese Webseite verwendet keine Cookies – weder eigene noch von Drittanbietern – für Tracking, Analyse, Profiling oder Werbung. Es werden lediglich technisch notwendige Browser-Mechanismen verwendet, die keine personenbezogenen Daten speichern (z. B. JavaScript-Zustandsverwaltung im Arbeitsspeicher, nicht im Browser-Speicher).

Ein Cookie-Hinweisbanner ist aus diesem Grund nicht erforderlich.

Für den optionalen KI-Assistenten wird Ihre Einwilligungsentscheidung im sessionStorage Ihres Browsers gespeichert (Schlüssel: ki_consent). Der sessionStorage wird automatisch gelöscht, sobald Sie den Browser-Tab schließen. Es werden keine dauerhaften Cookies gesetzt.

6. Kontaktformular

Wenn Sie unser Kontaktformular ausfüllen, werden folgende Daten von Ihnen erhoben und verarbeitet:

• Hotelname
• Vor- und Nachname
• E-Mail-Adresse
• Freitext-Nachricht (optional)

Diese Daten werden ausschließlich zum Zweck der Bearbeitung und Beantwortung Ihrer Kontaktanfrage verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) sowie Ihre ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch Aktivierung der entsprechenden Checkbox erteilen.
IP-Adresse: Beim Absenden des Formulars wird Ihre IP-Adresse (aus dem HTTP-Header X-Forwarded-For) zu Sicherheits- und Anti-Spam-Zwecken in der an uns zugestellten E-Mail-Benachrichtigung erfasst. Die IP-Adresse wird ausschließlich in dieser E-Mail gespeichert und nicht anderweitig verarbeitet oder weitergegeben. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Absicherung gegen missbräuchliche Nutzung).
Speicherdauer: Ihre Daten werden gelöscht, sobald Ihr Anliegen abschließend bearbeitet ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (in der Regel nach 3 Jahren).
Weitergabe: Zur technischen Zustellung Ihrer Anfrage per E-Mail nutzen wir den Dienst Resend (Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA). Resend verarbeitet dabei Ihre eingegebenen Daten (Name, E-Mail-Adresse, Hotelname, Nachricht) als Auftragsverarbeiter im Sinne des Art. 28 DSGVO ausschließlich zum Zweck der E-Mail-Zustellung. Eine Nutzung für andere Zwecke findet nicht statt. Die Drittlandübermittlung in die USA ist durch Standarddatenschutzklauseln (SCC) gemäß Art. 46 DSGVO abgesichert. Weitere Informationen: Resend Privacy Policy.
Widerruf: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie eine E-Mail an privacy@mail.hotel-dxs.com senden.

7. KI-Assistent – OpenAI

Diese Webseite bietet einen optionalen KI-Assistenten an, der auf Basis der API von OpenAI Ireland Limited (1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irland) betrieben wird.

Der KI-Assistent ist standardmäßig deaktiviert. Er wird nur aktiviert, wenn Sie dem Einwilligungs-Layer auf dieser Seite ausdrücklich zustimmen. Ihre Einwilligung gilt ausschließlich für die aktuelle Browser-Sitzung (sessionStorage) – kein dauerhafter Cookie.

Übermittelte Daten: Nur der Text Ihrer Eingabe (Ihre Frage) wird übermittelt. Es werden keine weiteren personenbezogenen Daten (Name, E-Mail, IP-Adresse) durch unsere API-Integration weitergegeben.

Technischer Ablauf und Verarbeitungsort: Ihre Anfrage wird zunächst an unseren eigenen Google Cloud Run-Backend-Dienst (Region europe-west1, Frankfurt am Main) übertragen. Dieser Dienst leitet die Anfrage zur KI-Verarbeitung an die API von OpenAI Ireland Limited weiter. Die Verarbeitung auf dem Cloud Run-Backend erfolgt somit innerhalb der EU; die anschließende Weiterleitung an OpenAI stellt eine Drittlandübermittlung in die USA dar. Der Cloud Run-Dienst ist Teil der Google Cloud Platform und durch das unter Punkt 3 genannte Cloud Data Processing Addendum (CDPA) mit Google abgedeckt. Die Übermittlung an OpenAI in die USA ist durch einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit OpenAI Ireland Limited sowie durch Standarddatenschutzklauseln (SCC) gemäß Art. 46 DSGVO abgesichert.

Kein KI-Training: Über die OpenAI API übermittelte Inhalte werden nicht zum Training von KI-Modellen verwendet (Zero Data Retention / No Training Policy für API-Nutzer gemäß OpenAI-Nutzungsbedingungen).

Rate-Limiting und IP-Speicherung: Zur Missbrauchsprävention speichert unser Cloud Run-Backend Ihre IP-Adresse temporär in Google Cloud Firestore (Teil der Google Cloud Platform, durch das unter Punkt 3 genannte CDPA abgedeckt). Es wird ein Zähler pro IP-Adresse geführt, um die Anfragerate zu begrenzen (z. B. 20 Anfragen je 15 Minuten für den KI-Assistenten, 50 Anfragen pro UTC-Tag für die Demo). Die gespeicherten Daten enthalten ausschließlich eine anonymisierte/gehashte IP-Adresse sowie einen Anfragezähler und einen Zeitstempel – keine weiteren personenbezogenen Daten. Die Löschung erfolgt automatisch über einen TTL-Mechanismus (Time-to-Live) innerhalb von maximal 24 Stunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor missbräuchlicher Nutzung und DDoS).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung vor Nutzung).
Widerruf: Schließen Sie den Browser-Tab oder laden Sie die Seite neu. Die Einwilligung ist an die aktuelle Sitzung gebunden und nicht dauerhaft.

Weitere Informationen: OpenAI Privacy Policy.

8. Keine Webanalyse, kein Tracking

Diese Webseite verwendet keinerlei Webanalysedienste (z. B. Google Analytics, Matomo, Hotjar, Meta Pixel o. Ä.) und kein Tracking. Es werden keine Nutzerprofile erstellt, keine Conversions gemessen und keine Daten für Retargeting-Zwecke genutzt.

9. Ihre Rechte als betroffene Person

Sie haben gemäß der DSGVO folgende Rechte:

• Auskunftsrecht (Art. 15 DSGVO): Sie können jederzeit Auskunft über die bei uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen Format zu erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis eines berechtigten Interesses widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können jederzeit ohne Angabe von Gründen widerrufen werden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: privacy@mail.hotel-dxs.com

10. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Da HARBUSCH MARKETING SERVICES LLC (Hotel-DXS) seinen Sitz in den USA hat, können Sie sich an die für Ihren Wohnsitz zuständige Datenschutz-Aufsichtsbehörde wenden, z. B.:

• Deutschland: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) oder die zuständige Landesbehörde.
• Österreich: Datenschutzbehörde (DSB), dsb.gv.at
• Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), edoeb.admin.ch – seit 1. September 2023 gilt das revidierte Datenschutzgesetz (revDSG / nDSG), das neue Betroffenenrechte und erweiterte Pflichten für Verantwortliche vorsieht.

11. Datensicherheit

Die Übertragung von Daten zwischen Ihrem Browser und unserer Webseite erfolgt verschlüsselt via HTTPS/TLS. Firebase Hosting stellt automatisch gültige TLS-Zertifikate bereit. Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.

12. Aktualität und Änderungen

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden, zum Beispiel wenn sich technische Gegebenheiten oder rechtliche Anforderungen ändern. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Das Datum der letzten Änderung ist am Ende der Seite angegeben.

Stand: April 2026