Datenschutzerklärung
Informationen nach Art. 13, 14 DSGVO sowie ergänzend zum Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen der zimrly-Plattform ist:
Deern & Jung Investment GmbH
Geschäftsführer: Philip-Daniel Kleudgen
Aubachstraße 107, 56567 Neuwied, Deutschland
E-Mail: info@deern-jung.com
Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht aktuell nicht (§ 38 BDSG). Datenschutzanfragen können an die genannte E-Mail-Adresse gerichtet werden.
2. Rolle: Auftragsverarbeitung
zimrly ist eine SaaS-Plattform für gewerbliche Beherbergungsbetriebe (Hotels, Ferienunterkünfte). Personenbezogene Daten von Gästen der zimrly-Kunden werden ausschließlich im Auftrag des jeweiligen Kunden verarbeitet (Art. 28 DSGVO). Verantwortlicher im datenschutzrechtlichen Sinne für Gäste-Daten ist somit der jeweilige Beherbergungsbetrieb. Mit jedem Kunden besteht ein Auftragsverarbeitungsvertrag, der im Kundenportal einsehbar und annehmbar ist.
Diese Datenschutzerklärung beschreibt darüber hinaus die Verarbeitung personenbezogener Daten von Besuchern der Webseite und Nutzer-Accountsder zimrly-Plattform — hier ist Deern & Jung Investment GmbH eigenständiger Verantwortlicher.
3. Aufruf der Webseite
Beim Aufruf der Webseite werden technisch notwendige Verbindungsdaten verarbeitet: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Sicherheit der Webseite). Diese Daten werden bei unserem Hostingdienstleister Vercel Inc. kurzfristig verarbeitet (Funktions- und Edge-Request-Logs typischerweise im Bereich weniger Stunden bis maximal ein Tag, abhängig von Vercel-Plan und Log-Typ). Wir setzen kein Log-Drain ein, das diese Logs in ein externes System mit längerer Aufbewahrung kopieren würde, und betreiben darüber hinaus keine eigenen Webserver-Logs. Sicherheitsrelevante Anwendungsereignisse (z. B. Login, Modul-Aktivierung, DSGVO-Vorgänge) werden separat im Audit-Log unserer Anwendung erfasst und nach 12 Monaten automatisch gelöscht (siehe Abschnitt 8).
4. Account und Vertragsabwicklung
Bei Registrierung eines Accounts und Abschluss eines Nutzungsvertrags verarbeiten wir folgende Daten:
- Name, E-Mail-Adresse, Passwort-Hash (Authentifizierung)
- Firmenname, Adresse, USt-Identifikationsnummer, Vertretungsberechtigte Person (Vertrags- und Rechnungsabwicklung)
- Zahlungsdaten (Stripe — wir selbst speichern keine Kartendaten, nur eine Stripe-Customer-ID)
- Aktivierte Module, Modul-Konfigurationsparameter, Lauf-Belege
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Buchhaltung, Aufbewahrungspflichten gem. § 147 AO).
5. Auftragsverarbeitung im Kundenauftrag
Im Rahmen des Plattform-Betriebs werden Gäste-Stamm- und Buchungsdaten (Name, E-Mail, Telefonnummer, Aufenthaltsdaten, Buchungs-Notizen, ggf. Konversationsverläufe via WhatsApp) ausschließlich im Auftrag des jeweiligen Hotelkunden verarbeitet. Die Verarbeitung erfolgt auf Grundlage des AVV nach Art. 28 DSGVO sowie der Weisungen des Kunden. Eine Verarbeitung über die Vertragszwecke hinaus findet nicht statt.
6. Empfänger / Sub-Auftragsverarbeiter
Wir setzen folgende Sub-Auftragsverarbeiter ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | EU (Irland, eu-west-1) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Vercel Inc. | Hosting, Edge-Network | USA mit EU-Edge (DPA, EU-SCC) |
| easybill GmbH | Erstellung DACH-konformer Rechnungsbelege | Deutschland |
| Brevo SAS (vormals Sendinblue) | Versand transaktionaler E-Mails (Rechnungen, Einladungen, Reset-Links) | Frankreich (Server in DE + FR) |
| Mistral AI SAS (optional, modulabhängig) | KI-gestützte Klassifikation von Buchungs- bzw. Kommunikationsinhalten | Frankreich (Modelle gehostet in der EU) |
| Sentry GmbH | Error-Monitoring und Performance-Tracing der zimrly-Plattform. Erfasst Server- und Browser-Fehler inkl. Stack-Traces, um Stabilität sicherzustellen. Personenbezogene Daten werden bewusst nicht standardmäßig übertragen (sendDefaultPii: false); Session-Replay ist deaktiviert. | Deutschland (Sentry GmbH, Wien/Berlin), Verarbeitung im EU-Datacenter Frankfurt (*.de.sentry.io); Mutter-Org Functional Software, Inc. (USA) als Konzern-Hintergrund (SCC + DPF) |
zimrly verfolgt eine EU-Only-Strategie für personenbezogene Daten: Mail-Versand (Brevo), KI-Verarbeitung (Mistral) und der primäre Daten-Layer (Supabase eu-west-1) laufen über EU-Regionen. Drittlandtransfers werden vermieden, wo immer möglich. Soweit Daten dennoch in Drittländer (außerhalb des EWR) übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. eines gültigen Angemessenheitsbeschlusses (Art. 45 DSGVO, EU-US Data Privacy Framework).
Customer-Direkt-Integrationen (keine Sub-Auftragsverarbeiter von zimrly): Für bestimmte optionale Module bindet unser Kunde (der Hotelier) an seinen eigenen Account einen Drittanbieter an. Hierzu zählen u. a.:
- WhatsApp Business API über 360dialog GmbH (Deutschland)
- SMS-Versand/-Empfang über ClickSend Pty Ltd (Australien; EU-Verarbeitung möglich)
- PMS-Anbindung über 3rpms GmbH oder apaleo GmbH (Deutschland)
- Revenue-Management / Repricer über Smartness Group / Smartpricing (Italien, EU)
- Zeiterfassung über Crewmeister GmbH (Deutschland)
- Booking-Engine über Viato GmbH (Deutschland)
- Buchhaltungs-/Rechnungs-Provider nach Wahl des Kunden (alternativ zu easybill): Haufe-Lexware Services GmbH (lexoffice) (Deutschland), sevdesk GmbH (Deutschland) oder Intuit Inc. (QuickBooks Online) (USA, DPF + SCC)
- Google LLC (Google Business Profile) für Bewertungen-Sync im Reviews-Modul (USA, DPF + SCC)
zimrly ist hier nicht Vertragspartner, sondern nutzt nur den vom Kunden bereitgestellten API-Zugang. Der Kunde schließt mit diesen Anbietern jeweils einen eigenen Auftragsverarbeitungsvertrag bzw. ist Bank-Vertragspartner. Daten, die durch zimrly fließen, werden ausschließlich in den oben aufgeführten Sub-Auftragsverarbeitern gespeichert.
7. Cookies
Wir setzen ausschließlich technisch notwendige Cookies (z.B. Session-Cookie für die Authentifizierung, Cookie zur Speicherung der Zustimmungsentscheidung). Diese sind für die Bereitstellung der Plattform unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); eine Einwilligung ist nicht erforderlich.
Wir setzen kein Tracking, kein Profiling und keine Werbe-Cookies ein. Auch keine Tracking-Pixel von Dritten (kein Google Analytics, kein Meta-Pixel, kein Hotjar). Zur cookielosen, datensparsamen Reichweitenmessung auf unseren öffentlichen Seiten siehe Abschnitt 12.
8. Speicherdauer und Lösch-Konzept
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
- Account-Daten (Profil, Logins, Modulkonfiguration): bis zur Löschung des Accounts, zzgl. 30 Tage technische Pufferung
- Rechnungsbelege und Buchhaltungsunterlagen: 10 Jahre nach Ablauf des Kalenderjahres, in dem das Geschäft erfolgte (§ 147 AO, § 14b UStG)
- AVV-Annahme-Belege: 10 Jahre nach Vertragsende (Nachweispflicht DSGVO/BDSG)
- Server-Logs (Vercel): kurzfristig (Stunden bis maximal ein Tag, je nach Vercel-Plan); kein Log-Drain mit längerer Aufbewahrung aktiv
- Audit-Log (sicherheitsrelevante Aktionen): 12 Monate
Eine ausführliche Übersicht ist im internen Lösch- und Aufbewahrungskonzept geregelt (verfügbar auf Anfrage).
9. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unzutreffender Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist der/die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Eingeloggte Nutzer können Auskunft und Löschung direkt im Portal unter „Einstellungen → Rechtliches → Datenschutz & Datenexport" beantragen. Alternativ per E-Mail an info@deern-jung.com.
10. Sicherheit
Datenübertragungen erfolgen ausschließlich verschlüsselt (TLS 1.2 oder höher). Provider-Tokens und Zugangsdaten zu externen Systemen werden in der Datenbank AES-256-GCM-verschlüsselt abgelegt. Zugang zur Produktions-Infrastruktur ist rollenbasiert beschränkt; sicherheitsrelevante Aktionen werden im Audit-Log protokolliert.
11. Einsatz von Künstlicher Intelligenz (KI)
Für bestimmte Module (insbesondere den KI-Chatbot in der Unified Inbox und die Auto-Reply-Funktion im Reviews-Hub) setzt zimrly KI-gestützte Sprachmodelle ein. Dieser Abschnitt erfüllt die Transparenzpflicht nach Art. 13 DSGVO sowie nach Art. 50 der EU-Verordnung 2024/1689 („AI Act").
- Eingesetzter Anbieter: Mistral AI SAS, 5 rue de Madrid, 75008 Paris, Frankreich. Modelle gehostet in der EU.
- Verarbeitete Daten: Eingehende E-Mail- bzw. Plattform-Nachrichten von Gästen sowie minimale Buchungs-Metadaten (Reservierungs-ID, Anreise-/Abreise-Datum, Zimmer-Kategorie). Sonderkategorien gem. Art. 9 DSGVO werden nicht aktiv verarbeitet.
- Zweck: Klassifizierung der Gast-Anfrage (Intent, Sprache, Dringlichkeit) sowie Vorschlag bzw. automatischer Versand einer Antwort. Der KI-Output wird je nach Konfiguration entweder als Entwurf an die Hotelmitarbeiter zur Freigabe übergeben oder — bei aktivem Auto-Send-Modus und ausreichender Confidence — direkt an den Gast geschickt. Auto-Send-Antworten werden mit einem deutlich sichtbaren KI-Hinweis im Mail-Body sowie einem Subject-Tag
[Automatische Antwort]versehen. - Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bei Buchungs-Anfragen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, zeitnaher Gast-Kommunikation).
- Speicherdauer beim KI-Anbieter: Mistral AI SAS wendet eine Zero-Retention-Policy auf API-Eingaben an — die übermittelten Texte werden nicht zum Modell-Training verwendet und nicht dauerhaft gespeichert. zimrly-interne Telemetrie (Token-Verbrauch, Modell-ID, Zeitstempel, Org-Referenz — ohne Nachrichten-Inhalt) wird in der Tabelle
ai_usage_eventsmaximal 6 Monate aufbewahrt. - Widerspruchsrecht / Opt-Out: Gäste können die KI-Kommunikation jederzeit unterbinden. Eine eingehende Nachricht mit einem der Trigger-Worte „STOP", „MENSCH", „kein Bot", „no bot", „human" oder „agent" pausiert den Bot dauerhaft für den jeweiligen Thread; eine Mitarbeiterin oder ein Mitarbeiter des Hotels antwortet dann persönlich. Alternativ kann der Widerspruch direkt per E-Mail an den jeweiligen Hotelier (Verantwortlicher) gerichtet werden.
- Risiko-Klassifikation nach AI Act: Die eingesetzten KI-Systeme fallen unter den Limited-Risk-Bereich des AI Act (transparenzpflichtig nach Art. 50, keine biometrische Identifikation, kein automatisiertes Entscheiden über rechtserhebliche Wirkungen für die betroffene Person).
Eine vertiefende Dokumentation zur KI-Kompetenz, Risikoanalyse und Verantwortlichkeitsstruktur ist intern unter docs/legal/AI_LITERACY.mdgepflegt und wird auf Anfrage zur Verfügung gestellt.
12. Webanalyse und Reichweitenmessung
Auf unseren öffentlich zugänglichen Seiten (Marketing-Seiten, Blog, Tools) setzen wir eine cookielose, datensparsame Reichweitenmessung ein. Im eingeloggten Kundenportal (Dashboard) und im Admin-Bereich findet keine Reichweitenmessung statt.
a) Plausible Analytics (cookielos)
- Anbieter: Plausible Insights OÜ, Tallinn, Estland (EU). Die Daten werden auf Servern in der EU (Deutschland) verarbeitet.
- Zweck: Aggregierte Reichweiten- und Nutzungsstatistik (Seitenaufrufe, Referrer, ungefähre Region auf Land-/Stadt-Ebene, Gerätetyp) zur Verbesserung unseres Angebots.
- Verfahren: Plausible verwendet keine Cookies und legt keine geräteübergreifenden Kennungen an. Es werden keine personenbezogenen Profile gebildet; IP-Adressen werden nicht gespeichert, sondern lediglich zur Erzeugung eines tagesbezogenen, nicht zurückrechenbaren Hashwerts verwendet, um wiederkehrende Besuche zu zählen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung). Da keine Cookies oder vergleichbaren Technologien zum Zugriff auf Ihr Endgerät eingesetzt werden, ist nach § 25 Abs. 2 TDDDG keine Einwilligung erforderlich.
- Empfänger: Die Seitenaufruf-Daten werden an Plausible Insights OÜ (plausible.io) übermittelt (Auftragsverarbeitung). DPA: plausible.io/dpa.
- Widerspruch: Da kein Personenbezug hergestellt wird, ist ein individueller Widerspruch technisch nicht zielführend. Sie können die Erfassung dennoch unterbinden, indem Sie in Ihrem Browser „Do Not Track" (DNT) aktivieren oder einen Skript-/Werbeblocker verwenden.
b) Google Search Console (aggregierte Such-Auswertung)
- Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Konzern-Mutter: Google LLC, USA).
- Zweck: Auswertung, über welche Google-Suchanfragen unsere Website gefunden wird (aggregierte Suchbegriffe, Impressionen, Klicks, Positionen), zur Suchmaschinen-Optimierung.
- Wichtig: Hierfür wird kein Tracking-Script auf der Website eingebunden, und es werden keine Besucher getrackt. Wir rufen lediglich über ein eigenes Google-Cloud-Projekt (OAuth, Scope
webmasters.readonly) aggregierte Auswertungen ab, die Google ohnehin im Rahmen seiner Suchmaschine vorhält. Die Auswertungen sind aggregiert und enthalten keine einzelne Besucher identifizierenden Daten. - Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Auffindbarkeit und Optimierung unseres Angebots).
- Empfänger: Google Ireland Limited / Google LLC. Es gilt der Google-Cloud-Auftragsverarbeitungsvertrag; soweit ein Transfer in die USA stattfindet, auf Grundlage der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.
c) Suchmaschinen-Benachrichtigung (IndexNow)
Zur schnelleren Indexierung melden wir neu veröffentlichte oder geänderte Seiten-URLs automatisch über das IndexNow-Protokoll an Suchmaschinen (u. a. Microsoft Bing, Yandex). Dabei werden ausschließlich URLs unserer eigenen Website übermittelt — keine personenbezogenen Daten und keine Besucherdaten.
13. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungsprozesse oder die Rechtslage ändern. Maßgeblich ist jeweils die hier veröffentlichte Fassung.
Stand: 8. Juni 2026