Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Deine Rechte als betroffene Person

Du hast uns gegenüber folgende Rechte hinsichtlich der Dich betreffenden personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Du kannst Auskunft über Deine von uns verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Du kannst die Löschung Deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung Deiner Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du kannst Deine Daten in einem strukturierten, gängigen Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Du kannst der Verarbeitung Deiner Daten widersprechen.
• Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen kannst Du jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Deiner Rechte wende Dich bitte an: mail@off-the-path.com

3. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Dir das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Du der Ansicht bist, dass die Verarbeitung Deiner personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des jeweiligen Bundeslandes.

4. Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser Hosting-Anbieter automatisch Informationen, die Dein Browser übermittelt (sog. Server-Logfiles):

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit der Anfrage
• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unserer Website).
Speicherdauer: Maximal 30 Tage.

5. Cookies und Consent-Management

Unsere Website verwendet Cookies. Dabei handelt es sich um kleine Textdateien, die Dein Browser speichert. Wir unterscheiden zwischen technisch notwendigen und optionalen Cookies.

5.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich und können nicht deaktiviert werden. Sie werden für Funktionen wie Login, Warenkorb oder Deine Cookie-Einstellungen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5.2 Optionale Cookies (Analyse)

Analyse-Cookies werden nur gesetzt, wenn Du über unser Cookie-Banner Deine Einwilligung erteilst. Du kannst Deine Einwilligung jederzeit widerrufen, indem Du die Cookies in Deinen Browser-Einstellungen löschst.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.3 Gespeicherte Einstellungen

Deine Cookie-Präferenzen werden im LocalStorage Deines Browsers gespeichert (Schlüssel: cookie_consent). Diese Information verlässt Dein Gerät nicht.

6. Schriftarten (Self-Hosting)

Wir nutzen zur einheitlichen Darstellung die Schriftarten „Inter" und „Montserrat". Diese Schriften werden lokal auf unserem Server gehostet und nicht von externen Servern (z.B. Google) geladen. Es findet keine Datenübermittlung an Dritte statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung)

7. Google Analytics 4

Wir nutzen Google Analytics 4, einen Webanalysedienst von Google. Google Analytics verwendet Cookies und ähnliche Technologien, um Deine Nutzung unserer Website zu analysieren.

7.1 Umfang der Verarbeitung

• Besuchte Seiten und Verweildauer
• Geräte- und Browserinformationen
• Ungefährer Standort (auf Basis der anonymisierten IP)
• Herkunft des Besuchs (Referrer, UTM-Parameter)

7.2 Datenschutzmaßnahmen

• IP-Anonymisierung ist standardmäßig aktiviert
• Consent-Modus: Tracking erfolgt erst nach Deiner Einwilligung
• Keine Weitergabe von Daten an Dritte

7.3 Widerruf und Opt-Out

Du kannst Deine Einwilligung jederzeit widerrufen, indem Du die Cookies löschst. Alternativ kannst Du das Browser-Add-on zur Deaktivierung von Google Analytics installieren.

Anbieter: Google Ireland Limited, Dublin, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Datenschutzerklärung: policies.google.com/privacy

7a. Google Tag Manager

Wir nutzen Google Tag Manager (GTM), um Tracking- und Analyse-Tags zentral zu verwalten. GTM selbst setzt keine Cookies zu Analyse- oder Marketingzwecken, lädt aber bei erteilter Einwilligung weitere Tags (z. B. Google Analytics, Conversion-Pixel).

7a.1 Umfang der Verarbeitung

• IP-Adresse (gekürzt)
• Browser- und Geräteinformationen
• Referrer und aufgerufene URL
• Über GTM geladene Tags und deren Auslöser

7a.2 Consent Mode v2

GTM ist mit dem Google Consent Mode v2 integriert. Vor Deiner Einwilligung werden alle optionalen Kategorien (ad_storage, analytics_storage u. a.) auf denied gesetzt. Erst nach Klick auf „Alle akzeptieren" werden die Tags freigeschaltet.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Container-ID: GTM-TM6B38W6
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Drittlandübermittlung: USA — Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend kommen Standardvertragsklauseln (SCCs) zum Einsatz.
Datenschutzerklärung: policies.google.com/privacy

7a.3 Cookie-Einstellungen widerrufen

Du kannst Deine Einwilligung jederzeit widerrufen. Beim nächsten Seitenaufruf erscheint der Cookie-Banner erneut und Du kannst Deine Auswahl ändern.

7b. Meta Pixel (Facebook Pixel)

Wir nutzen auf unserer Website das Meta Pixel der Meta Platforms Ireland Ltd. Das Pixel ermöglicht es uns, die Wirksamkeit unserer Werbeanzeigen auf Facebook und Instagram zu messen und Dir relevante Inhalte auszuspielen.

7b.1 Verarbeitete Daten und Events

• IP-Adresse, User-Agent, Referrer, Browser- und Geräteinformationen
• Meta-Cookies (insb. _fbp) und ggf. fbclid
• Standard-Events: PageView, ViewContent, Lead, Purchase
• Bei Lead-/Kauf-Events: gehashte (SHA-256) E-Mail-Adresse, Name und Telefonnummer zur Conversion-Zuordnung

7b.2 Einwilligung & Widerruf

Das Meta Pixel wird ausschließlich dann geladen, wenn Du im Cookie-Banner Deine Einwilligung erteilst. Vor Deiner Einwilligung erfolgt keine Datenübertragung an Meta. Du kannst Deine Einwilligung jederzeit über den Button „Cookie-Einstellungen widerrufen" (siehe Abschnitt 7a.3) zurücknehmen.

Anbieter: Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Drittlandübermittlung: USA — Meta Platforms, Inc. ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend kommen Standardvertragsklauseln (SCCs) zum Einsatz.
Speicherdauer: Gemäß Meta-Richtlinien (in der Regel bis zu 2 Jahre).
Datenschutzerklärung: facebook.com/privacy/policy

7c. Google Ads Conversion Tracking & Enhanced Conversions

Wir nutzen Google Ads Conversion Tracking, um den Erfolg unserer Werbekampagnen bei Google messen zu können. Zusätzlich setzen wir „Enhanced Conversions" ein, um die Genauigkeit der Messung zu verbessern.

7c.1 Verarbeitete Daten

• Cookie zur Conversion-Zuordnung (in der Regel _gcl_au)
• Google-Klick-IDs (gclid, gbraid, wbraid), falls Du über eine Anzeige zu uns gelangt bist
• IP-Adresse, Browser- und Geräteinformationen
• Enhanced Conversions: Gehashte (SHA-256) E-Mail-Adresse, Telefonnummer sowie Vor- und Nachname werden bei einem Lead oder Kauf an Google übermittelt

7c.2 Einwilligung & Widerruf

Google Ads Conversion Tracking und Enhanced Conversions werden nur aktiviert, wenn Du im Cookie-Banner Deine Einwilligung erteilst. Du kannst Deine Einwilligung jederzeit widerrufen.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Drittlandübermittlung: USA — EU-US Data Privacy Framework + SCCs
Datenschutzerklärung: policies.google.com/privacy

7d. Meta Conversions API (serverseitiges Tracking)

Ergänzend zum Meta Pixel nutzen wir die Meta Conversions API (CAPI). Dabei werden Conversion-Ereignisse (z. B. eine Reiseanfrage oder Buchung) serverseitig – also direkt von unserem Server – an Meta übermittelt. Das verbessert die Messgenauigkeit und reduziert den Einfluss von Browser-Blockern.

7d.1 Verarbeitete Daten

• Gehashte (SHA-256) E-Mail-Adresse, Name, Telefonnummer
• Gehashte IP-Adresse, User-Agent
• Facebook-Klick-ID (fbclid), Facebook-Browser-ID (_fbp)
• Event-Typ (z. B. Lead, Purchase) und Zeitstempel

7d.2 Einwilligung & Widerruf

Die Übertragung über die Conversions API erfolgt nur dann, wenn Du zuvor im Cookie-Banner Deine Einwilligung in das Marketing-Tracking erteilt hast. Ohne diese Einwilligung werden keine Event-Daten an Meta gesendet.

Anbieter: Meta Platforms Ireland Ltd., Dublin, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Drittlandübermittlung: USA — EU-US Data Privacy Framework + SCCs

7e. Attribution-Tracking bei Anfragen (gclid / gbraid / wbraid / fbclid)

Wenn Du über eine Werbeanzeige (Google Ads, Meta Ads) auf unsere Website gelangst, hängen die werbenden Plattformen Klick-IDs (gclid, gbraid, wbraid, fbclid) an die URL an. gbraid und wbraid werden insbesondere bei Klicks von Apple-Geräten (iOS) anstelle der klassischen gclid übergeben. Damit wir eine später abgesendete Reiseanfrage der ursprünglichen Werbekampagne zuordnen können, legen wir diese Klick-ID beim Seitenaufruf in einem technisch notwendigen, ausschließlich von uns selbst genutzten Speicher (First-Party) in Deinem Browser ab. Sendest Du im Anschluss eine Reiseanfrage ab, speichern wir die Klick-ID zusammen mit Deiner Anfrage.

7e.1 Verarbeitete Daten

• Klick-IDs gclid / gbraid / wbraid / fbclid
• UTM-Parameter (Kampagne, Quelle, Medium)
• User-Agent, gehashte IP-Adresse
• Referrer-URL

Wichtig: Diese Klick-ID ist kein Marketing-Cookie, sondern ein technisch notwendiger Schlüssel zur Zuordnung Deiner Anfrage. Sie wird daher auch ohne Marketing-Cookie-Einwilligung gespeichert, jedoch ausschließlich von uns selbst genutzt und nicht für werbliches Profiling im Browser eingesetzt. Sie ist erforderlich, damit wir den Erfolg unserer Werbemaßnahmen messen und unsere Marketingausgaben sinnvoll steuern können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Werbeerfolgsmessung)
Speicherdauer: Bis zu 3 Jahre nach dem letzten Kontakt; bei Buchung im Rahmen der handelsrechtlichen Aufbewahrungsfristen.

7g. Kartendienst (CARTO / OpenStreetMap)

Auf einigen Inhaltsseiten (z. B. Reiseroute-Karten) zeigen wir interaktive Karten an. Die Kartenkacheln werden von CARTO auf Basis von OpenStreetMap-Daten geladen. Dabei wird Deine IP-Adresse an die Server von CARTO übermittelt, damit Dir die Kartenausschnitte ausgeliefert werden können.

Anbieter: CARTO (CARTO Inc.) sowie OpenStreetMap Foundation
Verarbeitete Daten: IP-Adresse, User-Agent, Referrer
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an visueller Darstellung von Reiserouten ohne separates Konto)
Drittlandübermittlung: Ggf. USA — abgesichert durch Standardvertragsklauseln (SCCs)
Datenschutzerklärung: carto.com/privacy · osmfoundation.org/Privacy_Policy

8. Newsletter & Marketing-Automation (Brevo)

Für den Versand unseres Newsletters und die Verwaltung von Interessenten nutzen wir Brevo (ehemals Sendinblue).

8.1 Newsletter-Anmeldung

Bei der Anmeldung zu unserem Newsletter speichern wir Deine E-Mail-Adresse und optional Deinen Namen. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach Eintragung Deiner E-Mail erhältst Du eine Bestätigungs-E-Mail mit einem Aktivierungslink. Erst nach Klick auf diesen Link wirst Du in den Verteiler aufgenommen.

8.2 Nachweis der Einwilligung

Zum Nachweis Deiner Einwilligung gemäß Art. 7 Abs. 1 DSGVO protokollieren wir bei jeder Newsletter-Anmeldung — auch wenn sie im Rahmen unseres Gewinnspiels (siehe Abschnitt 15.3) erfolgt — folgende Angaben: Zeitpunkt der Anmeldung, Zeitpunkt der Bestätigung (Double-Opt-In), IP-Adresse, sowie den exakten Wortlaut des Einwilligungstextes und der jeweils aktiven Checkbox-Beschriftung. Die Newsletter-Anmeldung erfolgt stets über eine separate, nicht vorab angekreuzte Checkbox und ist niemals Voraussetzung für eine andere Leistung (Kopplungsverbot, Art. 7 Abs. 4 DSGVO).

8.3 Lead-Tracking

Wenn Du ein Anfrageformular auf unserer Website ausfüllst, werden Deine Kontaktdaten (E-Mail, Name) in Brevo gespeichert, um Dir relevante Informationen zukommen zu lassen.

8.4 Widerruf

Du kannst Dich jederzeit vom Newsletter abmelden. Ein Abmelde-Link befindet sich in jeder E-Mail. Alternativ kannst Du uns kontaktieren.

Anbieter: Brevo (Sendinblue), Paris, Frankreich (EU)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Datenschutzerklärung: brevo.com/de/legal/privacypolicy

9. Kontaktformular & Reiseanfragen

Wenn Du uns über unser Kontaktformular oder eine Reiseanfrage kontaktierst, verarbeiten wir die von Dir angegebenen Daten zur Bearbeitung Deiner Anfrage.

9.1 Erhobene Daten

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (optional)
• Geburtsdatum (für Reiseanfragen)
• Deine Nachricht/Reisewünsche

9.2 Auto-Save von Formulardaten

Um Dir den Komfort zu bieten, bei einer Unterbrechung Deine Eingaben nicht zu verlieren, speichern wir Formulardaten automatisch. Diese Daten werden nur zur Wiederherstellung Deiner Eingaben verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung)
Speicherdauer: Bis zu 3 Jahre nach dem letzten Kontakt, sofern kein Vertrag zustande kommt.

10. Buchungsprozess & Teilnehmer-Portal

10.1 Buchungsdaten

Bei einer Buchung erheben wir folgende Daten:

• Vollständiger Name
• Geburtsdatum
• Kontaktdaten (E-Mail, Telefon, Adresse)
• Rechnungsadresse
• Zahlungsinformationen
• Reisedokumente (Passnummer, Ablaufdatum)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

10.2 Gesundheitsdaten (besondere Kategorie)

Für Deine Sicherheit auf der Reise erfragen wir optional:

• Allergien und Unverträglichkeiten
• Ernährungsbesonderheiten
• Relevante Vorerkrankungen
• Notfallkontakt

Diese Daten werden nur erhoben, wenn Du uns Deine ausdrückliche Einwilligung erteilst (Art. 9 Abs. 2 lit. a DSGVO). Der Zugriff ist auf autorisierte Mitarbeiter und die Reiseleitung beschränkt.

Speicherdauer: Sensible Daten (Gesundheit, Reisedokumente) werden nach 36 Monaten ohne Reiseaktivität automatisch gelöscht. Als aktiver Kunde im Treueprogramm bleiben Deine Daten für den vereinfachten Buchungsprozess gespeichert. Du kannst jederzeit eine vorzeitige Löschung gemäß Art. 17 DSGVO beantragen.

10.3 Teilnehmer-Portal (Login-Bereich)

Für den Zugang zum Teilnehmer-Portal benötigst Du einen Account. Wir speichern:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Letzte Login-Zeit

Die Authentifizierung erfolgt über unser Backend-System. Passwörter werden niemals im Klartext gespeichert.

11. Zahlungsabwicklung

11.1 Stripe

Für Kreditkartenzahlungen nutzen wir Stripe. Bei einer Zahlung werden Deine Zahlungsdaten direkt an Stripe übermittelt.

• Übermittelte Daten: Name, E-Mail, Zahlungsdaten
• Anbieter: Stripe Payments Europe Ltd., Dublin, Irland
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: stripe.com/de/privacy

11.2 Rechnungserstellung (easybill)

Für die Erstellung und Verwaltung von Rechnungen nutzen wir easybill.

• Übermittelte Daten: Name, Adresse, E-Mail, Rechnungsposten
• Anbieter: easybill GmbH, Deutschland
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b + c DSGVO (Vertragserfüllung + gesetzliche Pflicht)
• Speicherdauer: 10 Jahre (handelsrechtliche Aufbewahrungspflicht)

Datenschutzerklärung: easybill.de/datenschutz

12. E-Mail-Kommunikation (Resend)

Für den Versand von Transaktions-E-Mails (Buchungsbestätigungen, Passwort-Reset, Countdown-Erinnerungen) nutzen wir Resend.

• Übermittelte Daten: E-Mail-Adresse, Name, E-Mail-Inhalt
• Anbieter: Resend Inc., USA
• Drittlandtransfer: Abgesichert durch Standardvertragsklauseln (SCCs)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: resend.com/legal/privacy-policy

13. Hosting & Infrastruktur

13.1 Frontend-Hosting (Lovable)

Unsere Website wird über die Plattform Lovable gehostet und ausgeliefert.

• Anbieter: Lovable (Lovable AB), Schweden
• Erhobene Daten: IP-Adresse, User-Agent, Zeitstempel (Server-Logs)
• Speicherdauer: Maximal 30 Tage (Logfiles)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung der Website)

13.2 Datenbank, Authentifizierung, Storage & Edge Functions (Supabase)

Sämtliche Anwendungsdaten (Konten, Buchungen, Anfragen, Dateien, Backend-Funktionen) werden bei Supabase verarbeitet und gespeichert.

• Anbieter: Supabase, Inc., 970 Folsom Street, San Francisco, CA 94107, USA
• Genutzte Dienste: PostgreSQL-Datenbank, Authentifizierung, File-Storage, Edge Functions, Realtime
• Sicherheit: Verschlüsselung bei Übertragung (TLS) und Speicherung (at rest), Row-Level Security
• Drittlandtransfer: USA — Auftragsverarbeitungsvertrag (AVV) + Standardvertragsklauseln (SCCs)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Plattform)
• Datenschutzerklärung: supabase.com/privacy

13.3 Backup-Storage (Cloudflare R2)

Zur Sicherung unserer Datenbank legen wir regelmäßig Backups in einem Object-Storage von Cloudflare (R2) ab. Diese Backups sind verschlüsselt und nur unserem Team zugänglich.

• Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA
• Drittlandtransfer: USA — Standardvertragsklauseln (SCCs)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit und Wiederherstellbarkeit)
• Datenschutzerklärung: cloudflare.com/privacypolicy

14. KI-gestützte Verarbeitung

Zur Verbesserung unserer internen Abläufe und der Reisevorbereitung nutzen wir in unserem Backend KI-gestützte Funktionen für folgende Zwecke:

• Analyse von anonymisiertem Gäste-Feedback zur Qualitätsverbesserung
• Erstellung und Übersetzung von Reise-Informationen, Reisetipps und Vorschlägen
• Automatische Auswertung von Eingangsrechnungen (Buchhaltung)
• Übersetzung von Freitextfeldern in Teilnehmerlisten für Partner im Ausland

14.1 Eingesetzte Anbieter

Die KI-Anfragen laufen über das Lovable AI Gateway, einen technischen Vermittlungs-Dienst, der die Anfragen an Sprachmodelle von Google (Gemini) weiterleitet. Es findet keine Nutzung der übermittelten Daten zu Trainingszwecken statt.

• Vermittler: Lovable (Lovable AB), Schweden
• Modell-Anbieter: Google Ireland Limited / Google LLC (Modelle der Gemini-Familie)
• Drittlandtransfer: USA — EU-US Data Privacy Framework + Standardvertragsklauseln (SCCs)

Wichtig: Personenbezogene Daten (z. B. Namen, E-Mail-Adressen) werden vor der KI-Verarbeitung soweit möglich entfernt oder pseudonymisiert. Die KI-Funktionen werden ausschließlich von autorisierten Mitarbeitern im Backend ausgelöst — nicht automatisch durch Eingaben von Website-Besuchern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätsverbesserung und effizienter Reiseorganisation) sowie ggf. Art. 6 Abs. 1 lit. b DSGVO im Rahmen der Vertragserfüllung

15. Treueprogramm, Empfehlungen & Gewinnspiele

15.1 Loyalty-Programm

Als Stammkunde kannst Du an unserem Treueprogramm teilnehmen. Dabei speichern wir:

• Treuepunkte
• Reisehistorie
• Eingelöste Prämien

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

15.2 Empfehlungsprogramm (Stammkunden)

Du kannst Freunde für unsere Reisen werben. Bei einer erfolgreichen Empfehlung speichern wir:

• Deine E-Mail-Adresse (als Empfehlender)
• E-Mail-Adresse des Geworbenen
• Gutschriften/Prämien

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

15.3 Gewinnspiele & „Freunde-werben"-Aktionen

Auf unserer Website führen wir von Zeit zu Zeit Gewinnspiele durch — insbesondere im Zusammenhang mit unserem Reise-DNA-Quiz und einer Empfehlungsmechanik („Freunde werben" für zusätzliche Lose). Die für das aktuelle Gewinnspiel verbindlichen Regeln findest Du in unseren Teilnahmebedingungen.

15.3.1 Verarbeitete Daten der Teilnehmer

• E-Mail-Adresse (Pflicht zur Teilnahme und Benachrichtigung)
• Vorname (optional, für persönliche Ansprache)
• Ggf. Ergebnis des Reise-DNA-Quiz (Archetyp, ausgewählte Reisen)
• Anonymer Empfehlungs-Token (Share-Token) zur Zuordnung von Losen
• IP-Adresse und User-Agent (zur Vermeidung von Mehrfach- und Missbrauchsteilnahmen)
• Information, ob die optionale Newsletter-Einwilligung erteilt wurde
• Information, ob die Teilnahme über einen Empfehlungs-Link eines anderen Teilnehmers erfolgte

15.3.2 Zwecke

• Durchführung des Gewinnspiels (Registrierung, Losverteilung, Ziehung, Benachrichtigung)
• Zuordnung zusätzlicher Lose über die Empfehlungsmechanik
• Missbrauchs- und Betrugsprävention (z. B. Mehrfachteilnahmen, gefälschte Empfehlungen)
• Versand des Newsletters — ausschließlich bei separat erteilter Einwilligung (siehe Abschnitt 8)

15.3.3 Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Teilnahmevertrags Gewinnspiel) für die eigentliche Gewinnspiel-Abwicklung. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchsprävention) für IP-Adresse und User-Agent. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die optionale Newsletter-Anmeldung im Rahmen des Gewinnspiels.

15.3.4 Empfehlungs-Mechanik & Daten von Dritten

Teilst Du Deinen persönlichen Empfehlungs-Link, übermitteln wir selbst keine Daten an Deine Kontakte — Du leitest den Link eigenständig weiter (z. B. per WhatsApp, E-Mail oder Social Media). Eine geworbene Person taucht in unseren Systemen ausschließlich dann auf, wenn sie selbst aktiv am Gewinnspiel teilnimmt und dabei ihre eigene E-Mail-Adresse einträgt. Klickt jemand Deinen Empfehlungs-Link nur an, ohne selbst teilzunehmen, speichern wir zu dieser Person keinerlei personenbezogene Daten. Es entstehen weder ein Datensatz noch ein Profil dieser Person. Erst mit ihrer eigenen Teilnahme entsteht ein eigener Eintrag, der dann auch Deinem Empfehlungs-Token zugeordnet wird (für die zusätzlichen Lose).

15.3.5 Speicherdauer

• Gewinnspiel-Daten (Teilnahme, Lose, Empfehlungen): Bis zum Abschluss des Gewinnspiels zzgl. bis zu 6 Monate für die Abwicklung etwaiger Gewinnübergaben, Trostpreise und Rückfragen. Danach werden die Datensätze gelöscht oder anonymisiert.
• Gewinnerdaten: Bis zu 3 Jahre nach Gewinnausspielung zur Dokumentation ordnungsgemäßer Durchführung sowie zur Erfüllung steuerlicher und beweisrechtlicher Pflichten.
• Newsletter-E-Mail-Adresse: Nur wenn separat eingewilligt — bis zum Widerruf der Einwilligung (Abmeldung jederzeit möglich, siehe Abschnitt 8).
• Daten von Teilnehmern ohne Newsletter-Einwilligung: Nach Ablauf der oben genannten Fristen vollständig gelöscht — wir nutzen diese E-Mail-Adressen nicht für Werbung.

15.3.6 Empfänger

Zur Abwicklung des Gewinnspiels und zum Versand der zugehörigen E-Mails (Bestätigung, Gewinnbenachrichtigung, ggf. Trostpreise) setzen wir Brevo (siehe Abschnitt 8) sowie Resend (siehe Abschnitt 12) ein. Eine darüber hinausgehende Weitergabe an Dritte findet nicht statt.

16. Social Media & WhatsApp

16.1 Verlinkungen zu Social-Media-Profilen

Auf unserer Website befinden sich Links zu unseren Social-Media-Profilen (Instagram, Facebook, YouTube, TikTok). Eine direkte Einbindung dieser Plattformen über Social-Media-Plugins (z. B. „Like"-Button, eingebettete Posts) findet nicht statt. Eine Datenübermittlung an die jeweilige Plattform erfolgt erst, wenn Du aktiv auf den Link klickst und auf das Profil weitergeleitet wirst. Zum eingesetzten Meta Pixel und dem Google Ads Conversion Tracking siehe die Abschnitte 7b–7d.

16.2 WhatsApp-Kontakt

Über den WhatsApp-Button kannst Du uns direkt kontaktieren. Bei Klick wirst Du zu WhatsApp weitergeleitet. Bitte beachte, dass WhatsApp (Meta) Deine Daten verarbeitet.

Anbieter: Meta Platforms Ireland Ltd.
Datenschutzerklärung: whatsapp.com/legal/privacy-policy

17. Übersicht Drittlandtransfer

Einige unserer Dienstleister haben ihren Sitz außerhalb der EU/des EWR — überwiegend in den USA. Für diese Transfers haben wir geeignete Garantien nach Art. 44 ff. DSGVO getroffen (insb. EU-US Data Privacy Framework und/oder Standardvertragsklauseln, SCCs).

Hinweis: Stripe, easybill und Brevo haben ihren Sitz in der EU (Irland, Deutschland bzw. Frankreich) und unterliegen direkt der DSGVO — kein Drittlandtransfer im Sinne von Kapitel V DSGVO.

18. Übersicht Speicherdauer

18.1 Vorwarnung vor automatischer Datenlöschung

14 Tage vor der automatischen Löschung deiner sensiblen Daten (Gesundheitsdaten, Reisedokumente, Treuepunkte) erhältst du eine E-Mail-Benachrichtigung. Innerhalb dieser Frist kannst du die Löschung durch Kontaktaufnahme oder eine neue Buchung verhindern.

19. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version findest Du stets auf dieser Seite.

Bei Fragen zum Datenschutz wende Dich bitte an: mail@off-the-path.com