GuestFlowDatenschutzerklärung
Stand: April 2026 · Gültig für guestflow.io
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung auf dieser Plattform ist GuestFlow, betrieben von Deborah Salcher, Südtirol/Alto Adige, Italien. Anfragen zum Datenschutz: deborah.salcher@gmail.com
2. Welche Daten wir verarbeiten
| Kategorie | Daten | Rechtsgrundlage |
|---|
| Hotel-Betreiber-Daten | E-Mail-Adresse, Name, Betriebsdaten, Stripe-Zahlungsdaten | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Gesprächsdaten der Gäste | Chat-Nachrichten, Gastprofil (z. B. Familie, Hund), Sprache, Session-ID (anonyme UUID) | Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) |
| Technische Logs | IP-Adresse (nur für Rate-Limiting, nicht dauerhaft gespeichert), Serverprotokolle ohne PII | Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit) |
3. Zweck der Datenverarbeitung
- Bereitstellung des KI-Concierge-Dienstes für Hotelgäste
- Verwaltung von Hotel-Betreiber-Accounts und Abonnements
- Technischer Betrieb und Sicherheit der Plattform
- Abrechnung über Stripe
4. Speicherdauer
- Gesprächsdaten: Maximal 24 Monate, danach automatische Löschung
- Hotel-Betreiber-Daten: Bis zur Account-Löschung, danach innerhalb von 30 Tagen
- Stripe-Daten: Gemäß gesetzlicher Aufbewahrungspflicht (durch Stripe verwaltet)
- Technische Logs: Maximal 30 Tage
5. Unterauftragsverarbeiter
| Dienstleister | Zweck | Sitz |
|---|
| Supabase | Datenbank-Hosting | EU/EWR |
| Vercel | Webhosting und Edge-Rendering | USA (SCCs) |
| Anthropic | Claude KI-API | USA (SCCs) |
| Stripe | Zahlungsabwicklung | EU |
| Upstash | Redis Rate-Limiting | EU |
Für US-Übermittlungen: Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Siehe Anthropic Privacy Policy.
6. Ihre Rechte
- Auskunftsrecht (Art. 15 DSGVO)
- Berichtigungsrecht (Art. 16 DSGVO)
- Löschungsrecht (Art. 17 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Beschwerderecht bei der Datenschutzbehörde (Garante per la protezione dei dati personali, www.garanteprivacy.it)
Anfragen: deborah.salcher@gmail.com
7. Technische und organisatorische Maßnahmen (TOMs)
- Verschlüsselung in Transit: HTTPS/TLS (erzwungen)
- Verschlüsselung at Rest: Supabase-Datenbankverschlüsselung
- Zugriffskontrolle: Row Level Security (RLS) auf allen Datenbanktabellen
- Pseudonymisierung: Gäste durch anonyme Session-UUIDs identifiziert
- Datensparsamkeit: Sensitive Felder nie im Browser übertragen
8. Cookies und lokaler Speicher
GuestFlow verwendet im Gäste-Chat sessionStorage (anonyme UUID). Keine Tracking-Cookies. Der Dashboard-Bereich verwendet Supabase Auth-Cookies (technisch notwendig).
Letzte Aktualisierung: April 2026.