Datenschutzerklärung

Stand: März 2026 · Gültig für guestflow.io

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist GuestFlow (nachfolgend „GuestFlow", „wir" oder „uns"). Anfragen zum Datenschutz richten Sie bitte an: privacy@guestflow.io

2. Welche Daten wir verarbeiten

GuestFlow verarbeitet folgende Datenkategorien:

Kategorie	Daten	Rechtsgrundlage
Hotel-Betreiber-Daten	E-Mail-Adresse, Name, Betriebsdaten, Stripe-Zahlungsdaten	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Gesprächsdaten der Gäste	Chat-Nachrichten, Gastprofil (z. B. Familie, Hund), Sprache, Session-ID (anonyme UUID)	Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse — Gästebetreuung durch das Hotel)
Technische Logs	IP-Adresse (nur für Rate-Limiting, nicht dauerhaft gespeichert), Serverprotokolle ohne PII	Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)

3. Zweck der Datenverarbeitung

Bereitstellung des KI-Concierge-Dienstes für Hotelgäste
Verwaltung von Hotel-Betreiber-Accounts und Abonnements
Technischer Betrieb und Sicherheit der Plattform (Rate-Limiting, Fehlerdiagnose)
Abrechnung über Stripe

4. Speicherdauer

Gesprächsdaten: Maximal 24 Monate ab Erstelldatum, danach automatische Löschung
Hotel-Betreiber-Daten: Bis zur Account-Löschung, danach Löschung innerhalb von 30 Tagen
Stripe-Daten: Gemäß gesetzlicher Aufbewahrungspflicht (mindestens 10 Jahre für Buchungsbelege — durch Stripe verwaltet)
Technische Logs: Maximal 30 Tage

5. Unterauftragsverarbeiter

GuestFlow setzt folgende Dienstleister ein, die Daten im Auftrag verarbeiten:

Dienstleister	Zweck	Sitz
Supabase	Datenbank-Hosting	EU/EWR
Vercel	Webhosting und Edge-Rendering	USA (SCCs)
Anthropic	Claude KI-API (Verarbeitung von Gesprächsinhalten)	USA (SCCs)
Stripe	Zahlungsabwicklung	EU
Upstash	Redis Rate-Limiting (anonyme Kurzdaten)	EU

Für Datenübermittlungen in die USA stützen wir uns auf Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO. Anthropic verarbeitet API-Anfragen nicht zu Trainingszwecken für Nutzer, die die API direkt verwenden (siehe Anthropic Privacy Policy).

6. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte:

Auskunftsrecht (Art. 15 DSGVO): Welche Daten wir über Sie gespeichert haben
Berichtigungsrecht (Art. 16 DSGVO): Korrektur unrichtiger Daten
Löschungsrecht (Art. 17 DSGVO): Löschung Ihrer Daten (Hotel-Betreiber: über Account-Einstellungen; Gäste: per E-Mail an uns)
Datenübertragbarkeit (Art. 20 DSGVO): Export Ihrer Daten in maschinenlesbarem Format
Widerspruchsrecht (Art. 21 DSGVO): Widerspruch gegen berechtigungsinteressenbasierte Verarbeitung
Beschwerderecht: Bei der zuständigen Datenschutzbehörde (in Südtirol: Garante per la protezione dei dati personali, Rom)

Anfragen richten Sie an: privacy@guestflow.io

7. Technische und organisatorische Maßnahmen (TOMs)

Verschlüsselung in Transit: HTTPS/TLS (erzwungen)
Verschlüsselung at Rest: Supabase-Datenbankverschlüsselung
Zugriffskontrolle: Row Level Security (RLS) auf allen Datenbanktabellen
Pseudonymisierung: Gäste werden durch anonyme Session-UUIDs identifiziert
Datensparsamkeit: Sensitive Felder (WiFi, Zugangscodes) nie im Browser übertragen

8. Cookies und lokaler Speicher

GuestFlow verwendet im Gäste-Chat sessionStorage zur Zuordnung Ihrer Konversation (anonyme UUID). Es werden keine Tracking-Cookies oder Werbe-Cookies gesetzt. Der Dashboard-Bereich verwendet Supabase Auth-Cookies (technisch notwendig für die Authentifizierung).

9. Kontakt Datenschutz

Bei Fragen zum Datenschutz:
privacy@guestflow.io

Diese Datenschutzerklärung gilt für die Plattform guestflow.io und alle darüber erreichbaren Dienste. Letzte Aktualisierung: März 2026.