Datenschutzerklärung

Kurzfassung:

Generell ist die Nutzung unserer Website anonym möglich. Die Angabe personenbezogener Daten ist rein freiwillig und Sie werden immer darauf hingewiesen, wenn und zu welchem Zweck wir Daten von Ihnen speichern möchten. Wenn Sie weitere Leistungen in Anspruch nehmen, etwa einen Aufenthalt bei uns buchen, kann die Verarbeitung personenbezogener Daten erforderlich oder gar vorgeschrieben sein. Personenbezogene Daten sind solche Daten, die ermöglichen, Sie persönlich zu identifizieren und/oder Kontakt zu Ihnen aufzunehmen, wie z.B. Ihr Name, Ihre Adresse oder E-Mail-Adresse.Wir werten Ihren Besuch auf unserer Website mit Google Analytics statistisch aus, wogegen Sie Widerspruch einlegen können, siehe unter „Google Analytics“.
 

Im Detail:

Wer wir sind und wie Sie uns kontaktieren können
Verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen dieser Website ist
Schloss Elmau GmbH & Co KG, In Elmau 2, D-82493 Krün, Telefon +49(0)8823 18-0, Fax +49(0)8823 18-177, E-Mail: datenschutz@schloss-elmau.de.

Unsere Datenschutzbeauftragte ist Dr. Anke Thiedemann, RWT Anwaltskanzlei GmbH, Charlottenstraße 49, D-72764 Reutlingen, anke.thiedemann@rwt-gruppe.de.

Welche Daten wir (nicht) verarbeiten, wofür, wie lange und auf welcher Rechtsgrundlage

Anonyme Nutzung unserer Website
Sie können unsere Website anonym nutzen. Wenn Sie unsere Website besuchen, teilt Ihr Web-Browser unserem Web-Server Ihre IP-Adresse mit, damit eine Kommunikation möglich ist. Über Ihre IP-Adresse können Sie möglicherweise identifiziert werden. Ihre IP-Adresse wird von uns jedoch nicht gespeichert. Sie bleiben damit beim reinen Besuch unserer Website für uns völlig anonym.

Protokollierung und Auswertung bei Angriffen
Fehlermeldungen – die in aller Regel auf Angriffsversuche zurückgehen – werden aus Sicherheitsgründen protokolliert und ausgewertet. Nur im Rahmen der Protokollierung von Fehlermeldungen verwenden wir folgende Daten, die möglicherweise eine Identifizierung zulassen: Ihre IP-Adresse, Datum und Uhrzeit, genauer Dateiname (URL) der angeforderten Datei(en), HTTP-Statuscode, übertragene Datenmenge, Referer (Website, von der die jeweilige Datei aus aufgerufen wird), die von Ihrem Browser übermittelte Browser-Kennung (User Agent String). Diese Daten werden nach sieben Tagen gelöscht, wenn sie nicht ausnahmsweise (etwa als Beweismittel) länger benötigt werden.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Berechtigte Interessen an der Verarbeitung auf der Grundlage von Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO sind die Gewährleistung der Funktionsfähigkeit und Sicherheit unserer Website sowie die Abwehr von Angriffen und sonstigen Missbräuchen.

Verwendung von Google Adwords Conversion Tracking
Wenn Sie damit einverstanden sind, nutzt unsere Website den Dienst Google Ads der Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland; Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Google Ads ermöglicht uns, mit Hilfe von Werbemitteln (sogenannten Google Ads) auf externen Webseiten auf unsere attraktiven Angebote aufmerksam zu machen. Dadurch können wir ermitteln, wie erfolgreich einzelne Werbemaßnahmen sind. Diese Werbemittel werden durch Google über sogenannte "Ad Server" ausgeliefert. Dazu nutzen wir Ad Server Cookies, durch die bestimmte Parameter zur Erfolgsmessung, wie Einblendung der Anzeigen oder Klicks durch die Nutzer, gemessen werden können. Sofern Sie über eine Google-Anzeige auf unsere Website gelangen, wird von Google Ads ein Cookie auf Ihrem Endgerät gespeichert. Diese Cookies verlieren in der Regel nach 30 Tagen ihre Gültigkeit und sollen nicht dazu dienen, Sie persönlich zu identifizieren. Zu diesem Cookie werden in der Regel als Analyse-Werte die Unique Cookie-ID, Anzahl Ad Impressions pro Platzierung (Frequenz), letzte Impression (relevant für Post-View-Conversions) sowie Opt-out-Informationen (Markierung, dass der Nutzer nicht mehr angesprochen werden möchte) gespeichert. Diese Cookies ermöglichen Google, Ihren Internetbrowser wiederzuerkennen. Sofern ein Nutzer bestimmte Seiten der Webseite eines Ads-Kunden besucht und das auf seinem Computer gespeicherte Cookie noch nicht abgelaufen ist, können Google und der Kunde erkennen, dass der Nutzer auf die Anzeige geklickt hat und zu dieser Seite weitergeleitet wurde. Jedem Ads-Kunden wird ein anderes Cookie zugeordnet. Cookies können somit nicht über die Webseiten von Ads-Kunden nachverfolgt werden.

Wir selbst erheben und verarbeiten in den genannten Werbemaßnahmen keine personenbezogenen Daten. Wir erhalten von Google lediglich statistische Auswertungen zur Verfügung gestellt. Anhand dieser Auswertungen können wir erkennen, welche der eingesetzten Werbemaßnahmen besonders effektiv sind. Weitergehende Daten aus dem Einsatz der Werbemittel erhalten wir nicht, insbesondere können wir die Nutzer nicht anhand dieser Informationen identifizieren. Aufgrund der eingesetzten Marketing-Tools baut Ihr Browser automatisch eine direkte Verbindung mit dem Server von Google auf. Informationen dazu, wie Google Ihre Daten verarbeitet, finden Sie unter https://policies.google.com/technologies/ads?hl=de

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Nutzung von Google Remarketing Services
Wenn Sie damit einverstanden sind, nutzen wir die Marketing- und Remarketing-Services („Google Marketing Services“) der Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland; Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Die Google Marketing Services ermöglichen es uns, Anzeigen für unsere Website gezielt zu schalten, um den Nutzern nur Anzeigen zu präsentieren, die ihren Interessen entsprechen. Wenn Sie eine Website besuchen, die Google Marketing Services verwendet, werden (Re-)Marketing-Tags (unsichtbare Grafiken oder Code, auch „Web Beacons“ genannt) in die Website integriert. Mit ihrer Hilfe wird ein individuelles „Cookie“, d.h. eine kleine Textdatei, in Ihrem Webbrowser gespeichert (anstelle von Cookies können auch vergleichbare Technologien verwendet werden). Mit Hilfe des Cookies sammelt Google Informationen darüber, welche Websites Sie besucht haben, welche Inhalte Sie interessieren und welche Anzeigen Sie angeklickt haben, sowie technische Informationen über Browser und Betriebssystem, verweisende Websites, Besuchszeiten und andere Informationen über die Nutzung der Website. Diese Informationen können auch von Google mit solchen Informationen aus anderen Quellen kombiniert werden. Wenn Sie dann andere Websites besuchen, können die auf Ihre Interessen zugeschnittenen Anzeigen angezeigt werden. Die von Google Marketing Services gesammelten Informationen über Nutzer werden an Google übermittelt und auf den Servern von Google in den USA gespeichert.

Wir nutzen den Google Marketing Service „Google AdWords“. Jeder AdWords-Kunde erhält ein anderes „Conversion-Cookie“. Benutzer können daher nicht über die Websites von mehr als einem AdWords-Kunden verfolgt werden. Die mit Hilfe des Cookies gesammelten Informationen werden zur Erstellung von Konversionsstatistiken verwendet. Wir erfahren die Gesamtzahl der Benutzer, die auf unsere Anzeigen geklickt haben und auf eine Seite mit einem Conversion-Tracking-Tag weitergeleitet wurden, aber keine Informationen, die Benutzer identifizieren.

Weitere Informationen zur Nutzung der Daten durch Google für Marketingzwecke finden Sie unter https://www.google.com/policies/technologies/ads.
Die Datenschutzbestimmungen von Google finden Sie unter https://www.google.com/policies/privacy

Sie können der interessenbezogenen Werbung von Google Marketing Services widersprechen, indem Sie die Einstellungs- und Opt-out-Optionen von Google unter https://www.google.com/ads/preferences nutzen.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Nutzung des Google Tag Managers
Auf unserer Webseite verwenden wir, wenn Sie damit einverstanden sind, den „Google Tag Manager“ der Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland (Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA). Durch diesen Dienst können Website-Tags über eine Oberfläche verwaltet werden. Tags sind kleine Codeelemente auf einer Website, die dazu dienen, das Besucheraufkommen und -verhalten auf unserer Webseite zu messen, die Auswirkung von Online-Werbung und sozialen Kanälen zu erfassen sowie die Website zu testen und zu optimieren. Der Google Tag Manager implementiert Tags und verwendet eine Reihe von Auslösungsregeln, die festlegen, wann diese Tags auf einer Website eingesetzt werden sollen. Wenn Sie unsere Website besuchen, werden die festgelegten Tags ausgelöst und die entsprechenden Cookies in ihren Browser geladen. Jedoch greift der Google Tag Manager nicht auf diese Daten zu. Durch die Verwendung des Google Tag Managers wird Ihre Nutzung unserer Webseite effizienter und schneller, da durch die Verwaltung der korrekten Tags unsere Webseite beschleunigt wird. Wurde auf Domain- oder Cookie-Ebene eine Deaktivierung des Google Tag Managers vorgenommen, so bleibt sie für alle Tracking-Tags bestehen, insofern diese mit dem Google Tag Manager implementiert werden.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Google Analytics
Wenn Sie damit einverstanden sind, benutzt diese Webseite Google Analytics, einen Webanalysedienst der Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland; Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Google Analytics verwendet sog. „Cookies“, d.h. Textbausteine, die auf Ihrem Computer gespeichert werden und die uns eine Analyse Ihrer Benutzung unserer Webseite ermöglichen. Die Cookies werden von Google für die Dauer von bis zu zwei Jahren auf Ihrem Computer gespeichert. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Webseite werden in der Regel an einen Server von Google in die USA übertragen und dort gespeichert. Wir haben auf dieser Webseite Google Analytics um den Code „gat._anonymizeIp();“ erweitert, um zu gewährleisten, dass Ihre IP-Adresse nicht in voller Länger, sondern nur in gekürzter Form erfasst wird (sog. IP-Masking). Ihre Identifizierung wird dadurch zwar erschwert, dennoch kann nicht ausgeschlossen werden, dass Google ggf. Ihre IP-Adresse mit weiteren Identifizierungsmerkmalen verknüpft und Ihnen zuordnen kann.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Informationen dazu, wie Google Ihre Daten verarbeitet, können Sie der Datenschutzerklärung von Google entnehmen: https://policies.google.com/technologies/partner-sites?hl=de

Sie können die Speicherung der Cookies zudem durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Webseite vollumfänglich nutzen können. Schließlich können Sie darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de

YouTube
Wenn Sie damit einverstanden sind, verwendet diese Webseite die YouTube-Schaltfläche des sozialen Netzwerkes YouTube, welches von der YouTube LLC mit Hauptgeschäftssitz in 901 Cherry Avenue, San Bruno, CA 94066, USA betrieben wird ("YouTube"); Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die eine solche Schaltfläche enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von YouTube auf. Der Inhalt der YouTube Schaltfläche wird von YouTube direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden. Wir haben daher keinen Einfluss auf den Umfang der Daten, die YouTube mit der Schaltfläche erhebt. Den Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch YouTube sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre können Sie den Datenschutzhinweisen von Google entnehmen: https://policies.google.com/privacy. Die beim Einsatz von YouTube verwendeten Cookies werden für die Dauer von bis zu einem Jahr gespeichert.
 

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

"DialogShift Chat-Anwendung" auf unserer Website
Unsere Website nutzt die KI-basierte Chat-Anwendung der DialogShift GmbH, Torstr. 201, 10115 Berlin. Diese Anwendung verarbeitet und speichert Daten ausschließlich zum Betreiben der Chat-Anwendung und zur Beantwortung von Anfragen.

Ein Cookie ist eine kleine Textdatei, die lokal im Zwischenspeicher auf Ihrem Gerät gespeichert wird. Mithilfe dieses Cookies erkennt unsere Anwendung das Gerät wieder und kann vergangene Chat-Protokolle aufrufen. Dieses Cookie wird bis zum Ende der Session gespeichert. Sie können die Speicherung von Cookies in Ihren Browsereinstellungen deaktivieren. Jedoch kann ohne die Verwendung von Cookies die Chat-Funktion nicht ausgeführt werden.

Die mögliche Bekanntgabe von z.B. Namen, E-Mail-Adresse oder einer Telefonnummer im Chat erfolgt freiwillig und mit dem Einverständnis, diese Daten zum Zwecke der Kontaktaufnahme bis zum Ende des Kontaktes vorübergehend zu nutzen und zu speichern. Diese personenbezogenen Daten werden nach 90 Tagen gelöscht.

Die Rechtsgrundlage für das Einbinden der Chat-Anwendung ist ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. So ermöglicht der Chatbot eine schnelle und unkomplizierte Abwicklung für häufig auftretende, standardisierte Fragen. Damit erhalten Sie in vielen Fällen zu jeder Tages- und Nachtzeit sofortige Hilfe und Antwort mittels einfacher Eingaben. Sie können dies ohne Bekanntgabe von Name, E-Mail-Adresse und/oder Telefonnummer tun. Die Rechtsgrundlage für das Setzen des Cookies sowie der Verarbeitung Ihrer ggf. eingegebenen personenbezogenen Daten ist Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG auf Basis Ihrer Einwilligung.

DialogShift bietet unter https://www.dialogshift.com/datenschutz weitere Informationen zur Erhebung und Nutzung der Daten sowie zu Ihren Rechten und Möglichkeiten zum Schutz Ihrer Privatsphäre an.“

Vimeo
Wir bieten Ihnen auf unseren Internetseiten die Möglichkeit, Videos zu betrachten. Dafür nutzen wir die Dienste der Videoplattform Vimeo. Diese wird betrieben von der Firma Vimeo, LLC mit dem Hauptsitz in 555 West 18th Street, New York, New York 10011.

Wenn Sie ein Video auf unserer Website aufrufen, wird eine Verbindung zu den Servern von Vimeo hergestellt und das für das Betrachten des Videos erforderliche Plugin dargestellt. Zudem werden auf Ihre Hardware verschiedene Cookies von den Servern von Vimeo heruntergeladen. Vimeo erfährt dadurch unter anderem, welche unserer Internetseiten Sie besucht haben. Soweit Sie ein Konto bei Vimeo haben und in dieses eingeloggt sind, ordnet Vimeo diese Information Ihrem Konto zu. In diesem Fall ordnet es Vimeo Ihrem Konto auch zu, wenn Sie das Video tatsächlich anschauen.

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Hinweise zum Umfang der von Vimeo erhobenen Daten und dem weiteren Umgang mit diesen können Sie der Datenschutzerklärungen von Vimeo entnehmen. Sie finden diese unter https://vimeo.com/privacy

Datenübertragungen in ein Land außerhalb des Europäischen Wirtschaftsraums
Wenn Sie entsprechend darin eingewilligt haben, werden Ihre personenbezogenen Daten ggf. an Server eines Drittanbieters (z. B. YouTube) übermittelt, dessen Server in den USA oder einem anderen Drittland (das heißt ein Land außerhalb des Europäischen Wirtschaftsraums (EWR)) gelegen sind. Wir weisen Sie darauf hin, dass in den USA kein mit der EU vergleichbares angemessenes Datenschutzniveau besteht. Daher besteht für Sie ein Risiko eines Zugriffs von staatlicher Stelle auf diese Daten. Dieses Risiko besteht ggf. auch im Hinblick auf weitere Drittländer. Die Zulässigkeit dieser Datenübermittlungen in die USA und andere betroffene Drittländer folgt aus Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO.

Datenverarbeitung bei Kontaktaufnahme
Wenn Sie uns anrufen oder eine Nachricht schicken, etwa über das Kontaktformular oder per E-Mail, benötigen wir Ihre E-Mail-Adresse, Ihre Postanschrift oder eine Telefonnummer, wenn wir Ihnen antworten sollen. Statt Ihres Namens können Sie auch ein Pseudonym verwenden. Diese Daten sowie Datum und Uhrzeit Ihrer Kontaktaufnahme werden wir ausschließlich zur Bearbeitung Ihrer Anfrage verwenden. Ihre Daten werden von uns nicht an Dritte weitergegeben, sondern nur intern an diejenige Abteilung, die für Ihr jeweiliges Anliegen zuständig ist. Wir löschen Ihre Daten, sobald sie zu diesem Zweck nicht mehr benötigt werden, also in der Regel drei Monate nach dem letzten Kontakt mit Ihnen. Sollten Sie Rückfragen haben, melden Sie sich daher bitte innerhalb von drei Monaten noch einmal. Rechtsgrundlage der Datenverarbeitung sind Art. 6 Abs. 1 UAbs. 1 Buchstaben b und f DSGVO. Berechtigtes Interesse bei Verarbeitung auf der Grundlage von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO ist es, Ihre Anfrage zu erfüllen.

Ausnahmen: Geschäfts- und Handelsbriefe und andere steuerrelevante Unterlagen müssen wir zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungspflichten speichern; wir löschen sie bis zum 31. März des siebten Kalenderjahrs nach Entstehen, bei Buchungsbelegen des elften Kalenderjahrs nach Entstehen. Auf diese Daten hat unsere Buchhaltung Zugriff. Rechtsgrundlage für die steuerrechtliche Aufbewahrung ist Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO i.V.m. §§ 147 AO, 257 HGB.

Wenn Ihre Anfrage einem besonderen Zweck dient (z.B. Bestellung, Angebotsanfrage, Newsletter-Bestellung), dann gelten für die Datenverarbeitung in diesem Zusammenhang ausschließlich die Erläuterungen in dem jeweiligen Abschnitt zu dem besonderen Zweck.

Datenverarbeitung bei Newsletter-Bestellung
Wenn Sie sich für einen oder mehrere unserer Newsletter anmelden, benötigen wir Ihre E-Mail-Adresse, weil wir Ihnen den Newsletter sonst nicht schicken können. Weitere Daten sind optional. Ihre Daten werden nicht an Dritte weitergegeben, und wir nutzen sie nur für den Versand unseres Newsletters. Sie erhalten zunächst eine E-Mail mit einem Link, auf den Sie klicken müssen, um zu bestätigen, dass Sie den Newsletter erhalten wollen („Double-Opt-In“). So verhindern wir, dass jemand in Ihrem Namen den Newsletter bestellt. Wir analysieren, auf welche der jeweiligen Links geklickt wurde, um den Newsletter auf Ihre individuellen Interessen zuzuschneiden, und wann Sie den Newsletter lesen, um Ihnen diesen zu Ihrer favorisierten Zeit zuschicken zu können. Außerdem speichern wir Ihre Anmeldung für den Newsletter nebst Zustimmung zur Nutzungsanalyse und Ihre Bestätigung, um nachweisen zu können, dass Sie sich angemeldet und zugestimmt haben. Zum Zweck der Zusendung des Newsletters und der Nutzungsanalyse speichern wir Ihre Daten bis zum Widerruf der Einwilligung oder bis zur endgültigen Einstellung des Newsletters; zum Zweck des Nachweises der Einwilligung bis zum 31. März des vierten Kalenderjahres, das auf den letzten Newsletter-Versand folgt. Wenn Sie Ihre Newsletter-Anmeldung nicht bestätigen, löschen wir Ihre Daten nach 24 Stunden. Bitte bestätigen Sie Ihre Anmeldung („Double-Opt-In“) daher innerhalb von 24 Stunden, sonst müssen Sie sich noch einmal anmelden. Auf Ihre Daten hat unsere Marketing-Abteilung Zugriff, bei Bedarf die Rechtsabteilung.

Für die Verarbeitung zum Zweck der Zusendung des Newsletters und der Nutzungsanalyse ist Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 Buchstabe a DSGVO. Für die Verarbeitung zum Zweck des Nachweises der Einwilligung sind Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 Buchstabe c i.V.m. Art. 5 Abs. 2 DSGVO, Art. 7 Abs. 1 DSGVO und Art. 24 Abs. 1 DSGVO sowie Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO. Berechtigtes Interesse bei Verarbeitung auf der Basis von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO sind die Förderung des Absatzes unserer Produkte und Dienstleistungen, entsprechende Werbung sowie der Nachweis Ihrer Einwilligung, d.h. die Verteidigung gegen Rechtsansprüche.

Datenverarbeitung bei Versand von Werbe-SMS während des Hotelaufenthalts
Wenn Sie damit einverstanden sind, senden wir während Ihres Hotelaufenthalts Werbe-SMS mit Service-Angeboten unseres Hotels an Ihre Mobilfunknummer. Ihre Daten werden zu diesem Zweck nicht an Dritte weitergegeben. Wir speichern Ihre Einwilligung für den Erhalt von Werbe-SMS um nachweisen zu können, dass Sie in den Versand der Werbe-SMS eingewilligt haben. Zum Zweck der Zusendung der Werbe-SMS speichern wir Ihre Daten bis zum Widerruf der Einwilligung oder – falls kein Widerruf erfolgt – bis zur Beendigung Ihres Hotelaufenthalts; zum Zweck des Nachweises der Einwilligung bis zum 31. März des vierten Kalenderjahres, das auf den letzten Werbe-SMS-Versand folgt. Für die Verarbeitung zum Zweck der Zusendung der Werbe-SMS ist die Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 Buchstabe a DSGVO. Für die Verarbeitung zum Zweck des Nachweises der Einwilligung sind die Rechtsgrundlagen Art. 6 Abs. 1 UAbs. 1 Buchstabe c i.V.m. Art. 5 Abs. 2 DSGVO, Art. 7 Abs. 1 DSGVO und Art. 24 Abs. 1 DSGVO sowie Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO. Berechtigtes Interesse bei Verarbeitung auf der Basis von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO sind der Nachweis Ihrer Einwilligung zur Verteidigung gegen Rechtsansprüche.“

Datenverarbeitung bei Buchungen, Informations- und Angebotsanfragen
Wenn Sie eine Buchung tätigen oder eine Information oder ein Angebot anfragen, benötigen wir je nach Art der Leistung bestimmte Daten von Ihnen. Im Buchungs- bzw. Angebotsformular ist gekennzeichnet, welche Angaben erforderlich sind und welche freiwillig; wenn Sie uns formlos kontaktieren und notwendige Informationen fehlen, werden wir uns mit Ihnen in Verbindung setzen bzw. nachfragen. Wenn Sie online einen Aufenthalt buchen wollen, müssen Sie ein Benutzerkonto anlegen. Hierfür müssen Sie neben Ihrem frei wählbaren Benutzernamen – der auch Ihre E-Mail-Adresse oder ein Pseudonym sein kann – ein Passwort vergeben. Ihre Daten werden nicht an Dritte weitergegeben. Eventuelle Ausnahmen (z.B. wenn wir nur Leistungen Dritter vermitteln) werden bei der Buchung klar kommuniziert. Ihre Daten nutzen wir nur für die Bearbeitung Ihrer Anfrage, die Buchungs- und Reklamationsabwicklung, für die Kundenbetreuung und um Ihnen Werbung zu ähnlichen Leistungen von uns zu schicken und um nachzuweisen, dass wir Ihnen diese Werbung schicken dürfen. Ihre Buchung und ggf. zugehörige Kommunikation sowie Rechnungs- und Zahlungsdaten müssen wir zudem aus steuer- und handelsrechtlichen Gründen speichern; diese Daten löschen wir bei Geschäfts- und Handelsbriefen und anderen steuerrelevanten Unterlagen bis zum 31. März des siebten Kalenderjahrs nach Entstehen, bei Buchungsbelegen des elften Kalenderjahrs nach Entstehen. Zum Zweck der Buchungs- und Reklamationsabwicklung löschen wir Ihre Daten drei Monate nach Ende Ihres Aufenthalts; zum Zweck der Kundenbetreuung (einschließlich Bearbeitung Ihrer Anfrage), sobald Sie widersprechen oder bis zum 31. März des fünften Kalenderjahrs nach Ihrer letzten Buchung, Informations- oder Angebotsanfrage oder Interessebekundung; zum Zweck des Werbeversands, sobald Sie widersprechen oder wir den Werbeversand endgültig einstellen; zum Zweck des Nachweises Ihrer Buchung und der Ähnlichkeit der beworbenen Leistungen bis zum 31. März des vierten Kalenderjahres, das auf den letzten Werbeversand folgt. Auf Ihre Daten haben unsere Marketing-Abteilung, unser Kundenservice und unsere Buchhaltung Zugriff, bei Bedarf die Rechtsabteilung.

Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 Buchstabe b (für die Bearbeitung und Abwicklung Ihrer Anfrage bzw. Buchung) und f DSGVO. Für die Verarbeitung zum Zweck des Nachweises Ihrer Anfrage oder Buchung sind Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 Buchstabe c i.V.m. Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO sowie Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO. Rechtsgrundlage für die steuerrechtliche Aufbewahrung ist Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO i.V.m. §§ 147 AO, 257 HGB. Berechtigte Interessen bei der Verarbeitung auf der Basis von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO sind die Erfüllung Ihrer Anfrage, die Förderung des Absatzes unserer Leistungen, entsprechende Werbung und die Geltendmachung oder Ausübung von Rechtsansprüchen oder die Verteidigung gegen Rechtsansprüche.

Datenverarbeitung, wenn Sie über Dritte buchen
Wenn jemand anderes für Sie bucht, etwa ein Mitreisender oder ein Reisebüro, werden wir mit diesem Informationen zu Ihrer Person austauschen, soweit dies für die Durchführung der Buchung oder Reservierung erforderlich ist.

Wenn Ihre Buchung über einen Reiseveranstalter, einen Reisevermittler oder ein Reisebüro erfolgt („Vermittler“, dies kann auch eine Buchungsplattform im Internet sein), werden wir mit diesem Vermittler Informationen zu Ihrer Person austauschen, soweit dies für die Abwicklung unseres Vertrages mit dem Vermittler erforderlich ist. Dies kann beispielsweise die Information umfassen, dass Sie eine gebuchte Leistung storniert oder nicht in Anspruch genommen haben oder auch Informationen zu den in Anspruch genommenen Leistungen oder zur Höhe des von Ihnen gezahlten Entgeltes zum Zwecke der Abwicklung von Gebühren oder Provisionszahlungen. Vermittler sind nicht unsere Auftragsverarbeiter, sondern verarbeiten Ihre Daten in eigener Verantwortung. Für deren Datenverarbeitungen gelten ausschließlich die Datenschutzbestimmungen des Vermittlers als Verantwortlicher.

Viele Buchungsplattformen befinden sich in Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums, etwa den USA, sodass es bei einer Buchung über eine solche Plattform zu einer Übermittlung Ihrer personenbezogenen Daten in ein solches Drittland kommt. In vielen Drittländern herrscht ein niedrigeres Datenschutzniveau. Wollen Sie nicht, dass Ihre personenbezogenen Daten in Drittstaaten mit niedrigerem Datenschutzniveau übermittelt werden, empfehlen wir Ihnen, direkt bei uns zu buchen.

Der vorstehend dargestellte Datenaustausch erfolgt einerseits zur Erfüllung des mit Ihnen bestehenden Vertrages im Hinblick auf die gewünschte Leistung (Rechtsgrundlage: Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO) und andererseits zur Wahrung unseres berechtigten Interesses, diese Informationen zur Abwicklung unserer Verträge mit den Vermittlern und zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen zu übermitteln (Rechtsgrundlage: Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO).

Verarbeitung von Gästedaten
Zusätzlich zu den Daten, die wir verarbeiten, wenn Sie eine Buchung tätigen oder eine Information oder ein Angebot anfragen oder ein Benutzerkonto in unserem Online-Buchungssystem anlegen, verarbeiten wir personenbezogene Daten über unsere Gäste, d.h. auch mitreisenden Personen. Neben den Daten über gebuchte bzw. in Anspruch genommene Leistungen („Leistungsdaten“) sind dies Namen, Kontaktdaten, Geburtsdatum, ggf. KFZ-Kennzeichen (zusammen „Stammdaten“), Rechnungs- und Zahlungsdaten. Darüber hinaus verarbeiten wir weitere Daten, um Ihnen den bestmöglichen Service bieten zu können („Servicedaten“), wozu zählen: berufliche Position und Unternehmen, Fotos bzw. Links auf Fotos im Internet, Anlass des Aufenthalts, Präferenzen (z.B. hinsichtlich Kissen, Minibar), Unverträglichkeiten, Allergien und sonstige Einschränkungen, Concierge Specials wie Hochzeitstag, zudem Konflikte, Beschwerden und Gästewünsche. Angaben zu beruflicher Position und Unternehmen sowie Fotos erhalten wir entweder von Ihnen, der buchenden Person oder einer mitreisenden Person, oder wir recherchieren sie in öffentlichen Informationen im Internet oder in – soweit Sie uns den Datenzugriff durch entsprechende Einstellungen Ihres Profils erlaubt haben – in sozialen Netzwerken. Hierfür erfolgt eine Übermittlung Ihres Namens an den Betreiber der verwendeten Suchmaschine bzw. des sozialen Netzwerks im Rahmen der Nutzung der Suchfunktion, was unter Umständen mit einer Übermittlung in die USA verbunden ist. Die weiteren Servicedaten erhalten wir entweder von Ihnen, der buchenden Person, anderen Gästen oder Mitarbeitern. Soweit Servicedaten besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten (insbesondere Gesundheitsdaten), werden wir diese nicht ohne Ihre ausdrückliche Einwilligung verarbeiten. Wenn jemand anderes für Sie bucht, etwa ein Mitreisender oder ein Reisebüro, erhalten wir diese Informationen ggf. von der Person, die für Sie bucht. Wir verarbeiten zudem Feedbackdaten, also Angaben, die Sie über Schloss Elmau und Ihre Erfahrungen mit unseren Leistungen machen. Feedbackdaten erhalten wir entweder direkt von Ihnen oder über den Betreiber des von Ihnen genutzten Bewertungs-/Feedbackdienstes, oder wir finden sie selbst im öffentlich zugänglichen Internet oder, soweit Sie uns den Zugriff hierauf durch entsprechende Einstellungen gestatten, in sozialen Netzwerken.

Leistungs-, Stamm-, Rechnungs- und Zahlungsdaten verarbeiten wir zur Vertragserfüllung, zur Reklamationsabwicklung, für die Kundenbetreuung und um Ihnen Werbung zu zu schicken und um nachzuweisen, dass wir Ihnen diese Werbung schicken dürfen. Servicedaten verarbeiten wir ausschließlich zur Vertragserfüllung und um Ihnen den bestmöglichen Service zu bieten und unsere Leistungen an Ihre Wünsche und Bedürfnisse anzupassen, etwa um Allergien bei der Zubereitung Ihrer Speisen zu berücksichtigen und Ihre Gesundheit zu schützen. Insbesondere verarbeiten wir Servicedaten nicht zu Werbezwecken. Feedbackdaten verarbeiten wir, um unsere Leistungen zu bewerten und zu verbessern sowie für die Kundenbetreuung. Rechnungs- und Zahlungsdaten müssen wir aus steuer- und handelsrechtlichen Gründen speichern; diese Daten löschen wir bei Geschäfts- und Handelsbriefen und anderen steuerrelevanten Unterlagen bis zum 31. März des siebten Kalenderjahrs nach Entstehen, bei Buchungsbelegen des elften Kalenderjahrs nach Entstehen. Zum Zweck der Vertragserfüllung und Reklamationsabwicklung löschen wir Ihre Daten drei Monate nach Ende Ihres Aufenthalts; zum Zweck der Bewertung und Verbesserung unserer Leistungen innerhalb eines Jahres nach Ende Ihres Aufenthalts; zum Zweck der Kundenbetreuung, sobald Sie widersprechen oder bis zum 31. März des fünften Kalenderjahrs nach Ihrer letzten Buchung, Informations- oder Angebotsanfrage oder Interessebekundung; zum Zweck des Werbeversands, sobald Sie widersprechen oder wir den Werbeversand endgültig einstellen; zum Zweck des Nachweises der Erlaubnis für den Werbeversand bis zum 31. März des vierten Kalenderjahres, das auf den letzten Werbeversand folgt. Ihre Gesundheitsdaten löschen wir nach dem Widerruf Ihrer Einwilligung, spätestens aber mit der Löschung der allgemeinen Gästedaten. Ihre Einwilligung in die Verarbeitung Ihrer Gesundheitsdaten verarbeiten wir zum Zweck des Nachweises der Einwilligung und löschen sie bis zum 31. März des vierten Kalenderjahres, das auf die Löschung Ihrer Gesundheitsdaten folgt. Auf Ihre Daten (außer Gesundheitsdaten) haben unsere Marketing-Abteilung, unser Kundenservice und unsere Buchhaltung Zugriff, bei Bedarf die Rechtsabteilung, zudem die jeweilige Fachabteilung, die die Leistung erbringt. Auf Ihre Gesundheitsdaten haben die Mitarbeiter derjenigen Abteilungen Zugriff, die das jeweilige Gesundheitsdatum kennen müssen, z.B. bei Lebensmittelallergien/-unverträglichkeiten die Abteilung Food & Beverage, bei Hausstabmilbenallergien die Abteilung Housekeeping, bei gebuchten Behandlungen die Abteilung Spa.

Rechtsgrundlage der Datenverarbeitung sind Art. 6 Abs. 1 UAbs. 1 Buchstabe b (für die Verarbeitung zu Zwecken der Vertragserfüllung, wenn Sie Vertragspartei sind) und f DSGVO. Für die Verarbeitung zum Zweck des Nachweises unserer Berechtigung, Ihnen Werbung zu senden, sind Rechtsgrundlage Art. 6 Abs. 1 UAbs. 1 Buchstabe c i.V.m. Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO sowie Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO. Rechtsgrundlage für die steuerrechtliche Aufbewahrung ist Art. 6 Abs. 1 UAbs. 1 Buchstabe c DSGVO i.V.m. §§ 147 AO, 257 HGB. Berechtigte Interessen bei der Verarbeitung auf der Basis von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO sind die Erfüllung des Vertrages, dessen Leistungen Sie in Anspruch nehmen, die Erbringung eines bestmöglichen Service, wie er von einem Luxushotel zu erwarten ist, die Anpassung unserer Leistungen an Ihre Wünsche und Bedürfnisse, die Förderung des Absatzes unserer Leistungen, entsprechende Werbung und die Geltendmachung oder Ausübung von Rechtsansprüchen oder die Verteidigung gegen Rechtsansprüche.

Verarbeitung von Meldedaten
Nach §§ 29, 30 des Bundesmeldegesetzes (BMG) und Art. 4 Abs. 1 BayAGBMG verarbeiten wir die gesetzlich vorgeschriebenen Daten in Form eines Meldescheins zur Erfüllung Ihrer und unserer melderechtlichen Verpflichtungen. Rechtsgrundlage ist Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. §§ 29, 30 BMG und Art. 4 Abs. 1 BayAGBMG. Der Meldeschein muss auf Verlangen den in § 30 Abs. 4 S. 1 BMG genannten Behörden vorgelegt werden und wird innerhalb von 15 Monaten nach Anreise vernichtet. Bei uns werden die Meldescheine nach Erhebung durch den Empfang gesichert aufbewahrt. Grundsätzlich erfolgt kein Zugriff.

Datenverarbeitung bei Nutzung unserer App
Die Bereitstellung und Wartung der Schloss-Elmau-App erfolgt durch „Hotel MSSNGR“, eine Kommunikationsplattform für Hotels, die vom deutschen Anbieter Hotel MSSNGR GmbH, Tölzer Straße 17, 83677 Reichersbeuern, betrieben wird. Die Hotel MSSNGR GmbH ist durch einen Auftragsverarbeitungsvertrag strikt weisungsgebunden und darf die im Rahmen der Nutzung unserer App anfallenden personenbezogenen Daten nur gemäß unseren Weisungen verarbeiten.

Die Nutzung unserer App ist grundsätzlich ohne die Angabe persönlicher Daten anonym möglich. Die App speichert lediglich ein Nutzer-Token (vergleichbar mit einem Website-Cookie), um wiederkehrende Nutzer zu erkennen und ihre getätigten Einstellungen anzuzeigen. Die anonymisierten Daten werden außerdem verwendet, um das Nutzerverhalten zu analysieren und die Produkte zu verbessern.

Wenn Sie unsere App nutzen, teilt die App dem Hotel-MSSNGR-Web-Server Ihre IP-Adresse mit, damit eine Kommunikation möglich ist. Über Ihre IP-Adresse können Sie möglicherweise identifiziert werden. Ihre IP-Adresse wird von jedoch nur um die letzten vier Stellen gekürzt und somit anonymisiert gespeichert. Lediglich im Falle von auftretenden Fehlern (die meist auf Angriffe hindeuten) und bei erkannten Angriffen gegen die Server werden die nicht anonymisierten IP-Adressen für 24 Stunden gespeichert, um Angriffe und Missbrauch abzuwehren.

Rechtsgrundlage für die Datenverarbeitung der IP-Adressen ist Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Berechtigte Interessen an der Verarbeitung sind die Gewährleistung der Funktionsfähigkeit und Sicherheit der App sowie die Abwehr von Angriffen und sonstigen Missbräuchen.

Die App erbittet die Freigabe von Push-Benachrichtigungen, damit Sie im Rahmen Ihres Aufenthalts über Angebote informiert werden können. Diese Freigabe ist rein freiwillig und kann jederzeit in den Einstellungen des Betriebssystems widerrufen werden.

Für bestimmte Funktionen erbittet die App die Freigabe des Standorts. Die Freigabe ist freiwillig. Diese Standortdaten werden an die Server von Hotel MSSNGR weitergesendet. Diese Daten werden anonymisiert verwendet, um das Nutzungserlebnis der App sowie des Aufenthalts vor Ort zu verbessern. Diese Daten werden nicht an Dritte weitergegeben. Die Freigabe der Ortungsdaten kann jederzeit widerrufen werden, indem in den Einstellungen des Betriebssystems der App der Zugriff auf die Ortungsdaten entzogen wird. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Weitergehende Informationen zum Datenschutz bei Hotel MSSNGR erhalten Sie unter http://hotel-mssngr.com/privacy-de

Google Analytics in unserer App
Wenn Sie damit einverstanden sind, benutzt unsere App Google Analytics, einen Webanalysedienst der Google Ireland Limited, Google Building Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland; Mutterunternehmen: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Die App nutzt ein Cookie-ähnliches Token, um das Gerät bei Google Analytics wiederzuerkennen und eine Analyse Ihres Nutzungsverhaltens zu ermöglichen. Dabei werden die mittels dieses Tokens erzeugten Informationen über die App-Benutzung an die Server von Google in den USA übertragen. Google wird im Auftrag von Hotel MSSNGR, die wiederum in unserem Auftrag handelt, anhand dieser Daten Analysen der App-Nutzung durchführen und in Form von Berichten für Hotel MSSNGR zusammenzustellen. Diese Berichte enthalten beispielsweise die Nutzungshäufigkeit, den Ort der Benutzung sowie die angesehenen Inhalte. Mithilfe dieser Auswertungen möchten wir und Hotel MSSNGR die Produktqualität verbessern. Die Rechtsgrundlage für den Einsatz von Google Analytics ist Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO.

Weitere Informationen und die geltenden Datenschutzbestimmungen von Google können unter policies.google.com/privacy/ und unter www.google.com/analytics/terms/de.html abgerufen werden. Google Analytics wird unter https://www.google.com/intl/de_de/analytics/ genauer erläutert.

Buchungen in unserer App
Innerhalb der App können Sie Buchungen für bestimmte Freizeitgestaltungen für Ihren Aufenthalt auf Schloss Elmau vornehmen. Alle abgefragten Daten werden zur Durchführung der Buchung – einschließlich zur Identifikation des Buchenden und damit zur Vermeidung von Missbrauch – benötigt, sodass Sie zwar nicht zur Angabe Ihrer Daten verpflichtet sind, ohne Angabe dieser Daten aber keine Buchung vornehmen können.

Die Daten werden nach dem Ende der gebuchten Freizeitgestaltung noch für 14 Tage gespeichert, um eine Übertragung in die Abrechnungssysteme zu ermöglichen und nach Ablauf dieser Frist gelöscht. Rechtsgrundlage für diese Speicherung ist Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Die anonymisierten Daten der Buchungen werden weiterhin verwendet, um das Buchungsverhalten zu analysieren und die Funktionalität weiter zu entwickeln. Der weitere Umgang mit den Daten Ihrer Buchung richtet sich nach den Regeln für sonstige Buchungen, auf die verwiesen wird.

Videoüberwachung
Sicherheitsrelevante Bereiche unserer Geschäfts- und Betriebsräume und Außenanlagen sind ggf. videoüberwacht. Kameras sind offen installiert. Videoüberwachte Bereiche sind mindestens am Eingang mit sichtbaren Hinweisen versehen. Es erfolgen Aufzeichnungen, die nach 72 Stunden gelöscht werden, wenn sie nicht wegen eines Zwischenfalls weiter benötigt werden. Aufzeichnungen können nur von den für die Unternehmenssicherheit zuständigen Mitarbeitern eingesehen werden. Jeder Zugriff auf die Aufzeichnungen wird protokolliert, um Missbrauch zu verhindern.

Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO. Berechtigte Interessen sind die Ausübung unseres Hausrechts, die Vermeidung oder Verfolgung von missbräuchlichem Verhalten, die Aufklärung von Schadensfällen und die Geltendmachung oder Ausübung von Rechtsansprüchen oder die Verteidigung gegen Rechtsansprüche. Für andere Zwecke werden Videoaufzeichnungen nicht verwendet.

Besondere Leistungen und Situationen
Wenn Sie besondere Leistungen in Anspruch nehmen oder besondere Situationen eintreten, kann damit die Verarbeitung weiterer personenbezogner Daten verbunden sein. Sie werden in diesen Fällen gesondert informiert und soweit erforderlich um Ihre Einwilligung gebeten.

Datenverarbeitung bei Bewerbungen
Wir sind uns bewusst, dass Bewerbungen sensible personenbezogene Daten enthalten. Wir bitten Sie daher, Bewerbungen nicht an unsere allgemeine Post- oder E-Mail-Anschrift zu senden, sondern stets an den jeweils genannten Ansprechpartner. Bitte beachten Sie zudem, dass die Datenübermittlung im Internet grundsätzlich unsicher ist, wenn sie nicht verschlüsselt erfolgt. Unsere Server unterstützen Transportverschlüsselung (STARTTLS), sodass auf dem Weg zwischen Ihrem E-Mail-Anbieter und uns die übertragenen E-Mails geschützt sind, wenn Ihr E-Mail-Anbieter Transportverschlüsselung nutzt. Ihr E-Mail-Anbieter kann allerdings dennoch alle Ihre E-Mails mitlesen, kopieren und verändern. Sollten Sie nicht sicher wissen, dass Ihr E-Mail-Anbieter Transportverschlüsselung nutzt, empfehlen wir Ihnen, sich per Post bei uns zu bewerben.

Trotz aller Sicherheitsmaßnahmen bitten wir Sie, in Ihrer Bewerbung auf Angaben zu verzichten, die nicht für die konkrete Stelle erforderlich sind. Beispielsweise werden wir Sie nur nach Ihrer Eignung für die jeweilige Stelle beurteilen, sodass Sie uns kein Foto schicken müssen, keine Angaben zu Ihrer familiären Situation machen müssen usw.

Ihre Daten werden zunächst ausschließlich zur Durchführung des Bewerbungsverfahrens verarbeitet. Bei Erfolg Ihrer Bewerbung werden sie Bestandteil Ihrer Personalakte und zur Durchführung und Beendigung des Beschäftigungsverhältnisses verwendet und nach den für Personalakten geltenden Regelungen gelöscht. Können wir Ihnen derzeit keine Beschäftigung anbieten, verarbeiten wir Ihre Daten noch bis zu sechs Monate nach Versand der Absage, um uns gegen eventuelle Rechtsansprüche zu verteidigen, insbesondere wegen einer angeblichen Benachteiligung im Bewerbungsverfahren. Soweit Sie Kostenerstattungen erhalten oder andere steuerrelevante Vorgänge vorliegen (z.B. Einladung zum Essen), werden die entsprechenden Buchungsunterlagen zur Erfüllung der handels- und steuerrechtlichen Aufbewahrungspflichten bis maximal zum 31. März des elften Kalenderjahrs nach der Zahlung, im Fall von Handels- und Geschäftsbriefen und anderen besteuerungsrelevanten Unterlagen des siebten Kalenderjahrs nach ihrer Entstehung aufbewahrt. Auf Ihre Daten hat zunächst unsere Personalabteilung Zugriff, bei Bedarf aber auch die Fachabteilung der Stelle, auf die Sie sich beworben haben, die Rechtsabteilung und die Buchhaltung.

Rechtsgrundlage der Datenverarbeitung im Bewerbungsverfahren und als Bestandteil der Personalakte sind § 26 Abs. 1 S. 1 BDSG und Art. 6 Abs. 1 UAbs. 1 Buchstabe b DSGVO und, soweit Sie eine Einwilligung erteilt haben, etwa durch Übersendung nicht für das Bewerbungsverfahren notwendiger Angaben, Art. 6 Abs. 1 UAbs. 1 Buchstabe a DSGVO. Rechtsgrundlage der Datenverarbeitung nach einer Absage ist Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO. Rechtsgrundlage für die handels- und steuerrechtliche Aufbewahrung ist Art. 6 Abs. 1 UAbs. 1 lit. c DSGVO i.V.m. §§ 147 AO, 257 HGB. Berechtigtes Interesse bei Verarbeitung auf der Basis von Art. 6 Abs. 1 UAbs. 1 Buchstabe f DSGVO ist die Verteidigung gegen Rechtsansprüche.

Wir benötigen für den Bewerbungsprozess in der Regel keine besonderen Kategorien personenbezogener Daten i.S.d. Art. 9 DSGVO. Wir bitten Sie, uns von vornherein keine derartigen Informationen zukommen zu lassen. Wenn solche Informationen ausnahmsweise für den Bewerbungsprozess relevant sind, verarbeiten wir sie zusammen mit Ihren anderen Bewerberdaten. Dies kann beispielsweise Angaben über eine Schwerbehinderung betreffen, die Sie uns freiwillig machen können und die wir dann zur Erfüllung unserer besonderen Verpflichtungen im Hinblick auf Schwerbehinderte verarbeiten müssen. In diesen Fällen dient die Verarbeitung der Ausübung von Rechten oder der Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozialschutz. Rechtsgrundlage der Datenverarbeitung sind dann Art. 9 Abs. 2 lit. b DSGVO, §§ 26 Abs. 3 BDSG, 164 SGB IX.

Freiwillige Angabe Ihrer Daten
Sie sind in aller Regel nicht verpflichtet, uns personenbezogene Daten bereitzustellen. Ausnahme: die Angaben auf dem Meldeschein (siehe „Verarbeitung von Meldedaten“). Stellen Sie uns bestimmte Daten nicht bereit, die wir benötigen, um Ihre Anfrage zu bearbeiten (zum Beispiel eine Kontaktmöglichkeit, wenn Sie eine Antwort von uns bekommen wollen), kann es sein, dass wir Ihre Anfrage nicht erledigen können. Im Rahmen besonderer Verfahren (z.B. wenn Sie eine Buchung aufgeben oder Sie sich für unseren Newsletter anmelden) kann es ggf. erforderlich sein, dass Sie uns bestimmte Angaben bereitstellen, weil wir sonst z.B. Ihre Buchung nicht bearbeiten oder Ihnen den Newsletter nicht senden können. Hierauf weisen wir Sie jedoch stets im Einzelfall hin.

Empfänger der Daten
Ihre personenbezogenen Daten verbleiben grundsätzlich in unserem Verantwortungsbereich, außer in besonderen Ausnahmefällen (z.B. wenn wir nur als Vermittler von Leistungen Dritter auftreten), in denen wir Sie aber ausdrücklich informieren, an wen Ihre Daten gehen. Unsere Administratoren haben technisch notwendig die Möglichkeit, auf mittels IT verarbeitete Daten zuzugreifen. Darüber hinaus verwendet unsere Website Schriften (Webfonts) des Anbieters The Hoefler Type Foundry, Inc. d/b/a Hoefler & Co. („Hoefler“). Wenn Ihr Browser entsprechend konfiguriert ist, baut Ihr Browser beim Abruf unserer Website eine direkte Verbindung zu Hoefler auf, sodass Hoefler technisch notwendig Ihre IP-Adresse und weitere Daten zu Ihrem Browser, die dieser automatisch mitsendet, erfährt. Sie können normalerweise das Laden von Webfonts in Ihrem Browser deaktivieren; dann baut Ihr Browser keine Verbindung zu Hoefler auf. Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO. Berechtigtes Interesse ist unser und Ihr Interesse an einer optisch ansprechenden Darstellung unserer Website. Mehr Informationen über die Verarbeitung personenbezogener Daten durch Hoefler finden Sie unter https://www.typography.com/home/privacy.php. Weitere Empfänger Ihrer Daten führen wir in den Erläuterungen zu den jeweiligen Datenverarbeitungen auf. In bestimmten Fällen müssen wir Ihre personenbezogenen Daten Dritten offenlegen bzw. mit diesen Daten austauschen, damit Sie die gewünschte Leistung erhalten können, namentlich an Erfüllungsgehilfen wie Banken und andere Zahlungsdienstleister sowie Post- und Paketdienstleister oder Spediteure.

In bestimmten Bereichen wie Web-Hosting, E-Mail-Hosting und unserem Online-Reservierungssytem setzen wir spezialisierte Dienstleister ein. Diese sind mit einem Vertrag über Auftragsverarbeitung strikt an unsere Weisungen gebunden und dürfen die Daten nicht zu eigenen Zwecken verarbeiten.

Die Verarbeitung durch uns oder unsere Auftragsverarbeiter erfolgt nur in der Europäischen Union, mit Ausnahme von Google Analytics (auch USA) und wenn Sie den Support-Chat unserer App nutzen (Nutzung von Leistungen von Help Scout Inc. und Slack Technologies, Inc., USA). Google, Help Scout und Slack Technologies sind nach dem Privacy Shield zertifiziert und bieten somit ein angemessenes Datenschutzniveau, wie von der EU-Kommission in einer Angemessenheitsentscheidung festgestellt: https://www.privacyshield.gov

Allerdings können Übermittlungen Ihrer personenbezogen Daten in Drittländer außerhalb der EU oder des EWR erfolgen, wenn Sie sich eines Vermittlers oder eines Zahlungsdienstleisters in einem Drittland bedienen, z.B. die Meldung an Ihren Vermittler, dass Sie Ihre Buchung storniert haben, oder die Meldung Ihrer Zahlung an Ihr Kreditkartenunternehmen. Je nachdem, welchen Vermittler oder Zahlungsdienstleister Sie verwenden, ist die Übermittlung in ein Drittland entweder nach Art. 45 DSGVO zulässig, wenn ein Angemessenheitsbeschluss der EU-Kommission vorliegt, oder nach Art. 49 Abs. 1 UAbs. 1 lit. b DSGVO (Übermittlung zur Erfüllung eines Vertrags oder zur Durchführung von vorvertraglichen Maßnahmen), Art. 49 Abs. 1 UAbs. 1 lit. c DSGVO (Übermittlung zur Erfüllung eines im Interesse der betroffenen Person geschlossenen Vertrags) und Art. 49 Abs. 1 UAbs. 1 lit. e DSGVO (Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen). Angemessenheitsbeschlüsse der EU-Kommission liegen derzeit vor für Andorra, Argentinien, Kanada (eingeschränkt), Schweiz, Färöer-Inseln, Guernsey, Israel (eingeschränkt), Isle of Man, Jersey, Neuseeland und Uruguay sowie für die USA im Rahmen des „Privacy Shield“, soweit der Empfänger entsprechend zertifiziert ist.

Automatisierte Entscheidungsfindung, Profiling
Eine automatisierte Entscheidungsfindung findet nicht statt.

Ihre Rechte
Unter den jeweiligen gesetzlichen Voraussetzungen haben Sie ein Recht auf Auskunft, auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch gegen die Verarbeitung und auf Datenübertragbarkeit hinsichtlich der Sie betreffenden personenbezogenen Daten. Insbesondere haben Sie das Recht, jederzeit der Verarbeitung Ihrer Daten zu Werbezwecken zu widersprechen, ohne dass dafür andere Kosten als die Übermittlungskosten nach den Basistarifen Ihres Anbieters (also z.B. die Kosten einer E-Mail = meist keine) entstehen. Dies gilt beispielsweise, wenn Sie bei uns Gast waren und keine Angebote für ähnliche Aufenthalte erhalten wollen. Wenn die Datenverarbeitung auf einer Einwilligung beruht, haben Sie das Recht, Ihre Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung oder die Verarbeitung auf einer anderen Rechtsgrundlage berührt wird. Wenn Sie diese Rechte nutzen wollen, können Sie einfach an  oder für Widerruf bzw. Widerspruch bei E-Mails auf den Link zum Abbestellen klicken, den Sie in jeder E-Mail finden. Wenn wir Sie anrufen, können Sie uns dies natürlich auch direkt im Gespräch sagen.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren, zum Beispiel bei der für uns zuständigen Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht, Promenade 27, D-91522 Ansbach, Telefon +49(0)981 53 1300, Fax +49(0)981 53 98 1300, E-Mail . Wenn Sie irgendwelche Fragen und Wünsche zum Datenschutz haben, können Sie sich natürlich auch jederzeit einfach an uns wenden: Ihr Kontakt ist 

Ihr Recht auf Widerspruch
Soweit eine Verarbeitung Ihrer personenbezogenen Daten auf Art. 6 Abs. 1 UAbs. 1 lit. e oder f DSGVO beruht, haben Sie das Recht zum Widerspruch gegen die Verarbeitung gemäß Art. 21 DSGVO. Erfolgt Ihr Widerspruch aus Gründen, die sich aus Ihrer besonderen Situation ergeben, verarbeiten wir Ihre personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Richtet sich Ihr Widerspruch gegen Direktwerbung einschließlich Profiling, soweit es mit solcher Direktwerbung in Verbindung steht, werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.