DATENSCHUTZERKLÄRUNG

Informationspflicht gemäß Art. 13 DSGVO

DAS ALPSPITZ  Stand: Mai 2026

Name des Verantwortlichen: Das Alpspitz, Nadin Luttinger

Adresse: Prof Giemsa Weg 2, 6633 Biberwier, Österreich

E-Mail: info@alpspitz.at

Telefon: +43 5673 2972

Die nachfolgenden Abschnitte beschreiben alle Verarbeitungszwecke, die dabei verarbeiteten Daten sowie die jeweilige Rechtsgrundlage gemäß Art. 6 DSGVO.

Buchungsabwicklung und Reservierungsmanagement

Zweck der Verarbeitung

Entgegennahme, Verwaltung und Bestätigung von Hotelreservierungen; Erstellung des Beherbergungsvertrags; Zimmerzuweisung; Verwaltung von Stornierungen und Änderungen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Beherbergungsvertrag) bzw. vorvertragliche Maßnahmen auf Anfrage der betroffenen Person.

Gesetzliche Grundlage

§ 6 Abs. 1 lit. b DSGVO; §§ 1090 ff ABGB (Bestandvertrag).

Verarbeitete Datenarten

Vorname, Nachname, Titel, E-Mail, Telefon, Adresse, Nationalität, Anreise-/Abreisedatum, Zimmerkategorie, Anzahl Personen, Buchungsbetrag, Reservierungs-ID, Buchungskanal, Sonderwünsche.

Löschfrist / Aufbewahrung

Die Buchungsdaten werden für die Dauer des Aufenthalts und darüber hinaus für 7 Jahre aufbewahrt (steuerrechtliche Aufbewahrungspflicht gemäß § 132 BAO).

Eingesetzte Systeme: Apaleo PMS, Like Magic, SiteMinder (Channel Manager), Buchungsportale (Booking.com, Expedia, Airbnb etc. als eigenständig Verantwortliche).

Online-Check-in, Check-out und Gastprozesse

Zweck der Verarbeitung

Digitale Abwicklung des Check-in- und Check-out-Prozesses; Bereitstellung der digitalen Gästemappe; Verwaltung von Serviceanfragen und Housekeeping-Aufgaben während des Aufenthalts.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO – Erfüllung des Beherbergungsvertrags.

Gesetzliche Grundlage

§§ 1090 ff ABGB.

Verarbeitete Datenarten

Vorname, Nachname, Geburtsdatum, Nationalität, E-Mail, Telefon, Zimmer-/Aufenthaltsdaten, Kommunikationsinhalte (automatisierte Nachrichten), Upselling-Präferenzen.

Löschfrist / Aufbewahrung

Für die Dauer des Aufenthalts; Kommunikationsprotokolle max. 6 Monate nach Abreise; danach Löschung sofern keine weiteren Aufbewahrungspflichten bestehen.

Eingesetzte Systeme: Like Magic (LikeMagic AG, Schweiz), Apaleo PMS.

Gesetzliche Gästemeldung (Meldewesen)

Zweck der Verarbeitung

Elektronische Übermittlung der Meldedaten aller Hotelgäste und Mitreisenden an die zuständige Meldegemeinde; Anforderung und Verwaltung von Meldenummern; Übermittlung von Nächtigungsstatistiken.

Rechtsgrundlage

Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt.

Gesetzliche Grundlage

Meldegesetz 1991 (MeldeG), BGBl. Nr. 9/1992 i.d.g.F., insbesondere § 7 (Unterkunftgeber), § 8 (Meldezettel) und ggf § 15 MeldeG (Meldepflicht bei Beherbergungsbetrieben); Bundesstatistikgesetz 2000; relevante Landesmeldevorschriften.

Verarbeitete Datenarten

Vorname, Nachname, Wohnadresse (Straße, Ort, Land), Geburtsdatum, Geschlecht (sofern erhoben), Nationalität, Passnummer, ausstellendes Land, Ablaufdatum des Reisedokuments, Anreisedatum, Abreisedatum, Anzahl Nächte, Meldenummer (von Gemeinde zugewiesen).

Löschfrist / Aufbewahrung

Meldedaten werden entsprechend der gesetzlichen Aufbewahrungsfristen aufbewahrt (7 Jahre gemäß §10(2) MeldeG 1991); danach datenschutzkonforme Löschung.

Eingesetzte Systeme: Like Magic (Erfassung der Meldedaten), Apaleo PMS, FRIVA Digital Solutions GmbH (Übermittlungsschnittstelle), Feratel Media Technologies AG (Tourismusdatenplattform), Gemeindeprogramm der örtlichen Meldegemeinde.

Zahlungsabwicklung

Zweck der Verarbeitung

Abwicklung aller Zahlungsvorgänge im Zusammenhang mit der Buchung und dem Aufenthalt; Autorisierung, Capture und Rückbuchung von Zahlungen; Rechnungsstellung; Betrugsprävention; Chargeback-Management.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung (Beherbergungsvertrag); Art. 6 Abs. 1 lit. c DSGVO – Erfüllung steuerrechtlicher Pflichten (Belegerteilungspflicht gem. § 132a BAO, UStG).

Gesetzliche Grundlage

§§ 1090 ff ABGB; Umsatzsteuergesetz 1994 (UStG); § 132 BAO (Aufbewahrungspflicht 7 Jahre); PCI-DSS-Standard (Zahlungskartenindustrienorm).

Verarbeitete Datenarten

Rechnungsadresse, USt-ID (bei Firmenkunden), Buchungsbetrag, Währung, Transaktionshistorie, Zahlungsstatus; über Adyen (PCI-DSS-zertifiziert): Kreditkartentyp, maskierte Kartennummer, Ablaufdatum, Karteninhabername, 3DS-Authentifizierungsdaten.

Löschfrist / Aufbewahrung

Rechnungsdaten 7 Jahre (§ 132 BAO); Zahlungskartenadaten werden von Adyen nach Abschluss der Transaktion gemäß PCI-DSS-Vorgaben gelöscht bzw. tokenisiert; CVV/CVC werden nach Autorisierung nicht gespeichert.

Eingesetzte Systeme: Adyen N.V. (Amsterdam, Niederlande) – PCI-DSS-zertifizierter Zahlungsdienstleister; Apaleo PMS.

Newsletter und Marketing-Kommunikation

Zweck der Verarbeitung

Zusendung von personalisierten Angeboten, Sonderaktionen und Newslettern per E-Mail oder WhatsApp; Aufbau von Kundenbindung; Einladungen zur Bewertungsabgabe.

Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person (freiwillig, jederzeit widerrufbar). Für bestehende Kunden (vorherige Buchung): Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 174 TKG 2021 (berechtigtes Interesse, Direktwerbung für ähnliche Dienstleistungen, Opt-out-Möglichkeit erforderlich).

Gesetzliche Grundlage

§ 174 TKG 2021 (Telekommunikationsgesetz – Direktmarketing per E-Mail); DSGVO Art. 7 (Bedingungen für die Einwilligung); UWG § 107 (Verbot unerbetener Nachrichten).

Verarbeitete Datenarten

Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Sprache, Nationalität (wenn vorhanden), Buchungsbetrag, Check-in/Check-out-Datum, Zimmerkategorie, Einwilligungsstatus (Opt-in/Opt-out mit Zeitstempel).

Löschfrist / Aufbewahrung

Bis zum Widerruf der Einwilligung; nach Widerruf unverzügliche Löschung aus den Verteilerlisten (max. innerhalb von 30 Tagen); Nachweis der Einwilligung wird für 3 Jahre nach Widerruf aufbewahrt.

Eingesetzte Systeme: Smartness / Smartpricing S.r.l. (Bozen, Italien) – SmartConnect (Newsletter, WhatsApp, automatische Nachrichten), SmartChat (Chatbot), SmartReputation/Revyoos (Bewertungsanfragen).

Hinweis zum Widerrufsrecht: Die Einwilligung zum Erhalt von Marketingkommunikation kann jederzeit ohne Angabe von Gründen widerrufen werden – per E-Mail an den Verantwortlichen (siehe oben), über den Abmeldelink im Newsletter oder direkt gegenüber dem Hotel. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

Revenue Management und dynamische Preisgestaltung

Zweck der Verarbeitung

Analyse von Auslastungsdaten, historischen Buchungsdaten und Marktdaten zur automatisierten Berechnung und Veröffentlichung optimierter Zimmerpreise auf allen Vertriebskanälen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse des Verantwortlichen (Ertragsoptimierung, Wettbewerbsfähigkeit). Die Verarbeitung betrifft primär aggregierte Buchungsdaten; personenbezogene Einzeldaten werden dabei nur in anonymisierter/aggregierter Form für Preiskalkulationen verwendet.

Gesetzliche Grundlage

Art. 6 Abs. 1 lit. f DSGVO.

Verarbeitete Datenarten

Aggregierte Buchungsdaten (Auslastung, Buchungszeitraum, Zimmerkategorie, Buchungsbetrag) – ohne direkten Personenbezug in der Preisberechnung.

Löschfrist / Aufbewahrung

Aggregierte Auswertungsdaten werden für max. 3 Jahre gespeichert.

Eingesetzte Systeme: Smartness / Smartpricing S.r.l. (SmartPricing), SiteMinder (Kanalübertragung aktualisierter Preise), Apaleo PMS.

Bewertungsmanagement und Online-Reputation

Zweck der Verarbeitung

Automatisierte Sammlung von Gästebewertungen von OTA-Plattformen (Booking.com, Google, TripAdvisor etc.); Versand von Bewertungsanfragen nach dem Aufenthalt; Beantwortung von Bewertungen.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse (Reputationsmanagement, Qualitätssicherung); für den Versand der Bewertungsanfrage per E-Mail zusätzlich Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder § 174 TKG 2021 (Bestandskundenregelung).

Gesetzliche Grundlage

§ 174 TKG 2021; Art. 6 Abs. 1 lit. f DSGVO.

Verarbeitete Datenarten

E-Mail-Adresse, Vorname, Aufenthaltsdaten (für personalisierte Bewertungsanfrage); öffentliche Bewertungsinhalte von Plattformen (aggregiert, ohne Personenbezug in der Auswertung).

Löschfrist / Aufbewahrung

Bewertungsanfragen-Logs: max. 6 Monate; aggregierte Bewertungsdaten: max. 3 Jahre.

Eingesetzte Systeme: Smartness / Smartpricing S.r.l. (Smart Reputation, Revyoos).

Systemautomatisierungen und Workflow-Integration

Zweck der Verarbeitung

Automatisierte Weitergabe von nicht-personenbezogenen oder pseudonymisierten Betriebsdaten zwischen den Systemen (z.B. tägliche Bestelllisten an Lieferanten, Betriebsbenachrichtigungen). Soweit im Einzelfall personenbezogene Daten durch Automatisierungen verarbeitet werden, gilt der jeweilige Verarbeitungszweck aus den Abschnitten 2.1 bis 2.7.

Rechtsgrundlage

Art. 6 Abs. 1 lit. b oder lit. f DSGVO – je nach konkretem Automatisierungsvorgang.

Gesetzliche Grundlage

Art. 6 Abs. 1 lit. b, f DSGVO.

Verarbeitete Datenarten

Abhängig vom konkreten Workflow; überwiegend operative Betriebsdaten ohne direkten Personenbezug. Bei Workflows mit Personenbezug: Buchungsdaten, Zimmernummern, Gästename.

Löschfrist / Aufbewahrung

Temporäre Verarbeitungsdaten werden nach Abschluss des Workflows gelöscht (max. 30 Tage Log-Speicherung).

Eingesetzte Systeme: Make / Celonis Inc. (New York, USA) – Automatisierungsplattform; Celonis SE (München) – EU-Vertragspartei.

Ihre personenbezogenen Daten werden an folgende Empfänger weitergegeben:

Empfänger / Kategorie

Zweck der Weitergabe

Rechtsgrundlage

apaleo GmbH, München (DE)

Betrieb des zentralen PMS, Datenspeicherung, Automatisierung

Art. 28 DSGVO (Auftragsverarbeitung)

LikeMagic AG, Dübendorf (CH)

Guest Journey, Check-in/out, Meldedatenerfassung

Art. 28 DSGVO (Auftragsverarbeitung); Drittlandtransfer: Angemessenheitsbeschluss CH

SiteMinder Ltd., Sydney (AU)

Buchungsübermittlung über Vertriebskanäle

Art. 28 DSGVO; Drittlandtransfer: SCC gem. EU 2021/914

Smartpricing S.r.l. (Smartness), Bozen (IT)

Newsletter, Marketing, Revenue Management, Bewertungen

Art. 28 DSGVO (Auftragsverarbeitung)

Adyen N.V., Amsterdam (NL)

Zahlungsabwicklung (PCI-DSS-zertifiziert)

Art. 28 DSGVO (Auftragsverarbeitung)

FRIVA Digital Solutions GmbH, Gerasdorf (AT)

Elektronische Gästemeldung

Art. 28 DSGVO (Auftragsverarbeitung)

Feratel Media Technologies AG, Innsbruck (AT)

Weitergabe der Meldedaten an Gemeinde

Art. 28 DSGVO; Art. 6 Abs. 1 lit. c (Meldegesetz)

Meldegemeinde (österr. Gemeindeverwaltung)

Erfüllung der gesetzlichen Meldepflicht

Art. 6 Abs. 1 lit. c DSGVO; § 7 MeldeG 1991

Celonis Inc. / Make, New York (USA)

Systemautomatisierungen und Workflow-Integration

Art. 28 DSGVO; Drittlandtransfer: DPF / SCC gem. EU 2021/914

Buchungsplattformen (Booking.com, Expedia, Airbnb etc.)

Buchungsvermittlung; als eigenständig Verantwortliche tätig

Art. 6 Abs. 1 lit. b DSGVO; eigene Datenschutzerklärungen der Plattformen

Folgende Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) finden statt:

Empfänger

Drittland

Transfermechanismus

Primärquelle

LikeMagic AG

Schweiz

Angemessenheitsbeschluss der EU-Kommission (Erstbeschluss 26.07.2000; bestätigt unter DSGVO am 15.01.2024)

edoeb.admin.ch/en/adequacy; EUR-Lex 32000D0518

SiteMinder Ltd.

Australien

EU-Standardvertragsklauseln (SCC) gem. Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 – kein Angemessenheitsbeschluss für Australien

siteminder.com/legal/privacy/ und siteminder.com/legal/data-security/

Celonis Inc. (Make)

USA

Primär: EU-U.S. Data Privacy Framework (DPF) – Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 (für DPF-zertifizierte US-Unternehmen). Subsidiär: SCC gem. (EU) 2021/914, Modul 2

make.com/data-processing-agreement.pdf; make.com/standard-contractual-clauses.pdf

Personenbezogene Daten werden nicht länger gespeichert, als es für den jeweiligen Verarbeitungszweck erforderlich ist. Die konkreten Speicherfristen richten sich nach den gesetzlichen Mindest- und Höchstaufbewahrungsfristen:

Datenkategorie

Speicherdauer

Rechtsgrundlage der Aufbewahrungspflicht

Buchungs- und Rechnungsdaten

7 Jahre

§ 132 BAO (Bundesabgabenordnung)

Meldedaten (Gästemeldung)

7 Jahre

§ 10 MeldeG 1991; BAO

Zahlungskartenadaten

Nach Transaktionsabschluss gemäß PCI-DSS tokenisiert/gelöscht; CVV/CVC nicht gespeichert

PCI-DSS-Standard; Adyen-Richtlinien

Kommunikationsdaten (Mails, Nachrichten)

Max. 6 Monate nach Abreise

Art. 5 Abs. 1 lit. e DSGVO (Datensparsamkeit)

Marketing-Einwilligung (Nachweis)

3 Jahre nach Widerruf

Art. 7 Abs. 1 DSGVO (Nachweispflicht)

Vertragsdaten (Hotelbetreiber)

10 Jahre nach Vertragsende

§ 1489 ABGB (allg. Verjährung)

Technische Logs / Protokolle

Max. 30–90 Tage

Art. 5 Abs. 1 lit. e DSGVO

Bewerberdaten (sofern erhoben)

6 Monate nach Absage

Art. 6 Abs. 1 lit. f DSGVO

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

Hinweis: Adyen setzt im Rahmen der Betrugsprävention automatisierte Risikoanalysesysteme (RevenueProtect) ein. Diese dienen ausschließlich der Zahlungssicherheit und lösen ggf. eine manuelle Prüfung aus, treffen jedoch keine abschließenden rechtlichen Entscheidungen gegenüber den betroffenen Personen.

Auf der Hotelwebsite und in der Online-Buchungsmaschine (betrieben über SiteMinder / Like Magic) werden Cookies und ähnliche Technologien eingesetzt:

Cookie-Kategorie

Zweck

Anbieter

Rechtsgrundlage

Technisch notwendige Cookies

Betrieb der Website, Session-Management, Sicherheit

Eigene Systeme, SiteMinder, Like Magic

Art. 6 Abs. 1 lit. b/f DSGVO; § 165 TKG 2021

Analyse-Cookies (pseudonymisiert)

Performance-Monitoring, Nutzerverhaltensanalyse

Datadog, Hotjar

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner)

Analyse-Cookies (anonymisiert)

Nutzerverhaltensanalyse

Google

Durch Anonymisierung keine Relevanz

Marketing-/Tracking-Cookies

Retargeting, Konversionsoptimierung

Ggf. Google Ads (via SiteMinder Demand Plus)

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Sie können Ihre Cookie-Einstellungen jederzeit über den Cookie-Banner auf unserer Website anpassen.

Sie haben gemäß DSGVO folgende Rechte gegenüber dem Verantwortlichen:

Recht

Inhalt

Einschränkungen

Auskunft (Art. 15 DSGVO)

Sie können Auskunft über die zu Ihrer Person gespeicherten Daten, deren Herkunft, Empfänger und den Zweck der Verarbeitung verlangen.

Rechte Dritter; Betriebs- und Geschäftsgeheimnisse

Berichtigung (Art. 16 DSGVO)

Unrichtige oder unvollständige Daten können Sie jederzeit berichtigen lassen.

–

Löschung (Art. 17 DSGVO)

Unter bestimmten Voraussetzungen können Sie die Löschung Ihrer Daten verlangen ('Recht auf Vergessenwerden').

Gesetzliche Aufbewahrungspflichten (§ 132 BAO, MeldeG) können einer sofortigen Löschung entgegenstehen.

Einschränkung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen (z.B. während der Prüfung einer Berichtigung).

–

Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten oder deren Übertragung an einen anderen Verantwortlichen verlangen.

Gilt nur für automatisiert verarbeitete Daten auf Basis Einwilligung oder Vertrag.

Widerspruch (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten auf Basis von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) jederzeit widersprechen, insbesondere gegen Direktwerbung.

Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Einwilligungen (z.B. für Newsletter) können jederzeit ohne Angabe von Gründen widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

–

Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren.

Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien; dsb.gv.at

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

Kontakt

Angaben

Datenschutzkontakt Hotel

Siehe Kontaktinformationen ganz oben (Verantwortlicher der Datenverarbeitung)

Österreichische Datenschutzbehörde

Barichgasse 40-42, 1030 Wien | Tel: +43 1 531 15-202525 | E-Mail: dsb@dsb.gv.at | Website: www.dsb.gv.at

Diese Datenschutzerklärung entspricht den Anforderungen von Art. 13 DSGVO (Informationspflicht bei Erhebung der Daten bei der betroffenen Person) und wird regelmäßig auf Aktualität überprüft. Stand: Mai 2026. Änderungen werden auf der Website bekanntgegeben.