Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.
• Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: mail@off-the-path.com

3. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des jeweiligen Bundeslandes.

4. Server-Logfiles

Bei jedem Aufruf unserer Website erfasst unser Hosting-Anbieter automatisch Informationen, die Ihr Browser übermittelt (sog. Server-Logfiles):

• IP-Adresse (anonymisiert)
• Datum und Uhrzeit der Anfrage
• Browsertyp und -version
• Verwendetes Betriebssystem
• Referrer-URL

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität unserer Website).
Speicherdauer: Maximal 30 Tage.

5. Cookies und Consent-Management

Unsere Website verwendet Cookies. Dabei handelt es sich um kleine Textdateien, die Ihr Browser speichert. Wir unterscheiden zwischen technisch notwendigen und optionalen Cookies.

5.1 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website erforderlich und können nicht deaktiviert werden. Sie werden für Funktionen wie Login, Warenkorb oder Ihre Cookie-Einstellungen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

5.2 Optionale Cookies (Analyse)

Analyse-Cookies werden nur gesetzt, wenn Sie über unser Cookie-Banner Ihre Einwilligung erteilen. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies in Ihren Browser-Einstellungen löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5.3 Gespeicherte Einstellungen

Ihre Cookie-Präferenzen werden im LocalStorage Ihres Browsers gespeichert (Schlüssel: cookie_consent). Diese Information verlässt Ihr Gerät nicht.

6. Schriftarten (Self-Hosting)

Wir nutzen zur einheitlichen Darstellung die Schriftarten „Inter" und „Montserrat". Diese Schriften werden lokal auf unserem Server gehostet und nicht von externen Servern (z.B. Google) geladen. Es findet keine Datenübermittlung an Dritte statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung)

7. Google Analytics 4

Wir nutzen Google Analytics 4, einen Webanalysedienst von Google. Google Analytics verwendet Cookies und ähnliche Technologien, um Ihre Nutzung unserer Website zu analysieren.

7.1 Umfang der Verarbeitung

• Besuchte Seiten und Verweildauer
• Geräte- und Browserinformationen
• Ungefährer Standort (auf Basis der anonymisierten IP)
• Herkunft des Besuchs (Referrer, UTM-Parameter)

7.2 Datenschutzmaßnahmen

• IP-Anonymisierung ist standardmäßig aktiviert
• Consent-Modus: Tracking erfolgt erst nach Ihrer Einwilligung
• Keine Weitergabe von Daten an Dritte

7.3 Widerruf und Opt-Out

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie die Cookies löschen. Alternativ können Sie das Browser-Add-on zur Deaktivierung von Google Analytics installieren.

Anbieter: Google Ireland Limited, Dublin, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Datenschutzerklärung: policies.google.com/privacy

7a. Google Tag Manager

Wir nutzen Google Tag Manager (GTM), um Tracking- und Analyse-Tags zentral zu verwalten. GTM selbst setzt keine Cookies zu Analyse- oder Marketingzwecken, lädt aber bei erteilter Einwilligung weitere Tags (z. B. Google Analytics, Conversion-Pixel).

7a.1 Umfang der Verarbeitung

• IP-Adresse (gekürzt)
• Browser- und Geräteinformationen
• Referrer und aufgerufene URL
• Über GTM geladene Tags und deren Auslöser

7a.2 Consent Mode v2

GTM ist mit dem Google Consent Mode v2 integriert. Vor Deiner Einwilligung werden alle optionalen Kategorien (ad_storage, analytics_storage u. a.) auf denied gesetzt. Erst nach Klick auf „Alle akzeptieren" werden die Tags freigeschaltet.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Container-ID: GTM-TM6B38W6
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Drittlandübermittlung: USA — Google LLC ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend kommen Standardvertragsklauseln (SCCs) zum Einsatz.
Datenschutzerklärung: policies.google.com/privacy

7a.3 Cookie-Einstellungen widerrufen

Du kannst Deine Einwilligung jederzeit widerrufen. Beim nächsten Seitenaufruf erscheint der Cookie-Banner erneut und Du kannst Deine Auswahl ändern.

8. Newsletter & Marketing-Automation (Brevo)

Für den Versand unseres Newsletters und die Verwaltung von Interessenten nutzen wir Brevo (ehemals Sendinblue).

8.1 Newsletter-Anmeldung

Bei der Anmeldung zu unserem Newsletter speichern wir Ihre E-Mail-Adresse und optional Ihren Namen. Die Anmeldung erfolgt im Double-Opt-In-Verfahren.

8.2 Lead-Tracking

Wenn Sie ein Anfrageformular auf unserer Website ausfüllen, werden Ihre Kontaktdaten (E-Mail, Name) in Brevo gespeichert, um Ihnen relevante Informationen zukommen zu lassen.

8.3 Widerruf

Sie können sich jederzeit vom Newsletter abmelden. Ein Abmelde-Link befindet sich in jeder E-Mail. Alternativ können Sie uns kontaktieren.

Anbieter: Brevo (Sendinblue), Paris, Frankreich (EU)
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Datenschutzerklärung: brevo.com/de/legal/privacypolicy

9. Kontaktformular & Reiseanfragen

Wenn Sie uns über unser Kontaktformular oder eine Reiseanfrage kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten zur Bearbeitung Ihrer Anfrage.

9.1 Erhobene Daten

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (optional)
• Geburtsdatum (für Reiseanfragen)
• Ihre Nachricht/Reisewünsche

9.2 Auto-Save von Formulardaten

Um Ihnen den Komfort zu bieten, bei einer Unterbrechung Ihre Eingaben nicht zu verlieren, speichern wir Formulardaten automatisch. Diese Daten werden nur zur Wiederherstellung Ihrer Eingaben verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung)
Speicherdauer: Bis zu 3 Jahre nach dem letzten Kontakt, sofern kein Vertrag zustande kommt.

10. Buchungsprozess & Teilnehmer-Portal

10.1 Buchungsdaten

Bei einer Buchung erheben wir folgende Daten:

• Vollständiger Name
• Geburtsdatum
• Kontaktdaten (E-Mail, Telefon, Adresse)
• Rechnungsadresse
• Zahlungsinformationen
• Reisedokumente (Passnummer, Ablaufdatum)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

10.2 Gesundheitsdaten (besondere Kategorie)

Für Ihre Sicherheit auf der Reise erfragen wir optional:

• Allergien und Unverträglichkeiten
• Ernährungsbesonderheiten
• Relevante Vorerkrankungen
• Notfallkontakt

Diese Daten werden nur erhoben, wenn Sie uns Ihre ausdrückliche Einwilligung erteilen (Art. 9 Abs. 2 lit. a DSGVO). Der Zugriff ist auf autorisierte Mitarbeiter und die Reiseleitung beschränkt.

Speicherdauer: Sensible Daten (Gesundheit, Reisedokumente) werden nach 36 Monaten ohne Reiseaktivität automatisch gelöscht. Als aktiver Kunde im Treueprogramm bleiben Ihre Daten für den vereinfachten Buchungsprozess gespeichert. Sie können jederzeit eine vorzeitige Löschung gemäß Art. 17 DSGVO beantragen.

10.3 Teilnehmer-Portal (Login-Bereich)

Für den Zugang zum Teilnehmer-Portal benötigen Sie einen Account. Wir speichern:

• E-Mail-Adresse
• Passwort (verschlüsselt gespeichert)
• Letzte Login-Zeit

Die Authentifizierung erfolgt über unser Backend-System. Passwörter werden niemals im Klartext gespeichert.

11. Zahlungsabwicklung

11.1 Stripe

Für Kreditkartenzahlungen nutzen wir Stripe. Bei einer Zahlung werden Ihre Zahlungsdaten direkt an Stripe übermittelt.

• Übermittelte Daten: Name, E-Mail, Zahlungsdaten
• Anbieter: Stripe Payments Europe Ltd., Dublin, Irland
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: stripe.com/de/privacy

11.2 Rechnungserstellung (easybill)

Für die Erstellung und Verwaltung von Rechnungen nutzen wir easybill.

• Übermittelte Daten: Name, Adresse, E-Mail, Rechnungsposten
• Anbieter: easybill GmbH, Deutschland
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b + c DSGVO (Vertragserfüllung + gesetzliche Pflicht)
• Speicherdauer: 10 Jahre (handelsrechtliche Aufbewahrungspflicht)

Datenschutzerklärung: easybill.de/datenschutz

12. E-Mail-Kommunikation (Resend)

Für den Versand von Transaktions-E-Mails (Buchungsbestätigungen, Passwort-Reset, Countdown-Erinnerungen) nutzen wir Resend.

• Übermittelte Daten: E-Mail-Adresse, Name, E-Mail-Inhalt
• Anbieter: Resend Inc., USA
• Drittlandtransfer: Abgesichert durch Standardvertragsklauseln (SCCs)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Datenschutzerklärung: resend.com/legal/privacy-policy

13. Hosting & Infrastruktur

13.1 Website-Hosting

Unsere Website wird in der Cloud gehostet. Dabei werden bei jedem Seitenaufruf automatisch technische Daten erfasst.

• Erhobene Daten: IP-Adresse, User-Agent, Zeitstempel
• Speicherdauer: Maximal 30 Tage (Logfiles)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

13.2 Datenbank & Backend

Unsere Anwendungsdaten werden in einer Cloud-Datenbank gespeichert.

• Gespeicherte Daten: Alle im Rahmen der Nutzung anfallenden Daten
• Sicherheit: Verschlüsselung bei Übertragung (TLS) und Speicherung (at rest)
• Drittlandtransfer: Abgesichert durch Standardvertragsklauseln (SCCs)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b + f DSGVO

14. KI-gestützte Verarbeitung

Zur Verbesserung unserer Dienstleistungen nutzen wir KI-Dienste für folgende Zwecke:

• Analyse von anonymisiertem Feedback zur Qualitätsverbesserung
• Übersetzung von Formulardaten für Partner im Ausland

Wichtig: Es werden keine personenbezogenen Daten an die KI-Dienste übermittelt. Feedback-Texte werden vor der Verarbeitung anonymisiert (ohne Absendername, E-Mail etc.).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätsverbesserung)

15. Treueprogramm & Empfehlungen

15.1 Loyalty-Programm

Als Stammkunde können Sie an unserem Treueprogramm teilnehmen. Dabei speichern wir:

• Treuepunkte
• Reisehistorie
• Eingelöste Prämien

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

15.2 Empfehlungsprogramm

Sie können Freunde für unsere Reisen werben. Bei einer erfolgreichen Empfehlung speichern wir:

• Ihre E-Mail-Adresse (als Empfehlender)
• E-Mail-Adresse des Geworbenen
• Gutschriften/Prämien

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

16. Social Media & WhatsApp

16.1 Verlinkungen

Auf unserer Website befinden sich Links zu unseren Social-Media-Profilen (Instagram, Facebook, YouTube, TikTok). Wir nutzen keine Tracking-Pixel oder Social-Media-Plugins. Eine Datenübermittlung an diese Plattformen erfolgt erst, wenn Sie aktiv auf den Link klicken.

16.2 WhatsApp-Kontakt

Über den WhatsApp-Button können Sie uns direkt kontaktieren. Bei Klick werden Sie zu WhatsApp weitergeleitet. Bitte beachten Sie, dass WhatsApp (Meta) Ihre Daten verarbeitet.

Anbieter: Meta Platforms Ireland Ltd.
Datenschutzerklärung: whatsapp.com/legal/privacy-policy

17. Übersicht Drittlandtransfer (USA)

Einige unserer Dienstleister haben ihren Sitz in den USA. Wir haben für diese Transfers geeignete Garantien getroffen:

Hinweis: Stripe und Brevo haben ihren Sitz in der EU (Irland bzw. Frankreich) und unterliegen direkt der DSGVO.

18. Übersicht Speicherdauer

18.1 Vorwarnung vor automatischer Datenlöschung

14 Tage vor der automatischen Löschung deiner sensiblen Daten (Gesundheitsdaten, Reisedokumente, Treuepunkte) erhältst du eine E-Mail-Benachrichtigung. Innerhalb dieser Frist kannst du die Löschung durch Kontaktaufnahme oder eine neue Buchung verhindern.

19. Aktualität und Änderungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite.

Bei Fragen zum Datenschutz wenden Sie sich bitte an: mail@off-the-path.com