Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Oasis Appart GmbH
Gustav-Becker-Straße 4
01979 Lauchhammer
Deutschland
Geschäftsführer: Philipp Geppert, Thomas Manig
E-Mail: info@oasify.de
Telefon: +49 3573 809 6785
Handelsregister: Amtsgericht Cottbus, HRB 16902
2. Überblick der Verarbeitungen
Die folgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.
Arten der verarbeiteten Daten
- Bestandsdaten (Name, Adresse, Geburtsdatum, Staatsangehörigkeit)
- Kontaktdaten (E-Mail, Telefon)
- Inhaltsdaten (Buchungsinformationen, Ausweisdaten, Nachrichten)
- Nutzungsdaten (besuchte Seiten, Zugriffszeiten, Funktionsnutzung)
- Meta-/Kommunikationsdaten (IP-Adressen, Geräteinformationen)
- Zahlungsdaten (bei Stripe-Abonnements)
- Beschäftigtendaten (Name, Arbeitszeiten, Stundenlohn)
- Kommunikationsinhalte (Gäste-Nachrichten, Team-Messenger, WhatsApp)
Betroffene Personen
- Websitebesucher und Interessenten
- Kunden (Vermieter, die die Plattform nutzen)
- Gäste der Kunden (Self-Service Check-in, Nachrichten)
- Mitarbeiter der Kunden (Reinigung, Zeiterfassung, Lohn)
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der folgenden Rechtsgrundlagen:
- Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) — Check-in-Daten, Buchungsdaten, Rechnungsdaten, Mitarbeiterdaten, Gäste-Kommunikation
- Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) — Sicherheit, Betrugsverhinderung, Fehlerüberwachung, Betriebsoptimierung
- Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO) — Meldepflicht (BMG §§ 29–30), Steuerrecht (§ 147 AO, § 257 HGB), GoBD
- Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) — Analytics-Cookies, Community Pricing Intelligence, WhatsApp-Kommunikation
4. Kontaktformular / Enterprise-Anfragen
Auf unserer Website bieten wir ein Kontaktformular für Enterprise-Anfragen an. Die Nutzung des Formulars ist freiwillig. Bei einer Anfrage verarbeiten wir folgende personenbezogene Daten:
Pflichtangaben:
- Vor- und Nachname
- E-Mail-Adresse
- Anzahl der Apartments (Auswahlfeld)
Freiwillige Angaben:
- Firmenname
- Telefonnummer
- Freitext-Nachricht
Zweck der Verarbeitung
Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage und zur Kontaktaufnahme im Rahmen vorvertraglicher Maßnahmen verarbeitet. Wir nutzen Ihre E-Mail-Adresse, um Ihnen eine Eingangsbestätigung zu senden und Sie bezüglich Ihres Anliegens zu kontaktieren.
Rechtsgrundlage
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen).
Empfänger / Dienstleister
- Supabase Inc. (USA) — Datenbankhosting und Speicher. Der Server befindet sich in der EU-Region (eu-west-1, Irland); personenbezogene Daten verlassen den EWR technisch nicht. Für den Fall einer Verarbeitung durch die US-Muttergesellschaft wurden Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen sowie ein Auftragsverarbeitungsvertrag (AVV). Ergänzend liegt ein Transfer Impact Assessment (TIA) vor. Datenschutzerklärung: supabase.com/privacy
- Resend Inc. (2261 Market Street STE 5694, San Francisco, CA 94114, USA) — Versand der Eingangsbestätigung per E-Mail. Resend Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (seit März 2025); die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission nach Art. 45 Abs. 1 DSGVO. Zusätzlich wurde ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Datenschutzhinweise: resend.com/legal/dpa
Speicherdauer
Die Speicherdauer richtet sich nach dem Bearbeitungsstatus Ihrer Anfrage:
- Neue/kontaktierte Anfragen: Automatische Löschung 6 Monate nach Eingang, sofern keine Vertragsanbahnung erfolgt.
- Qualifizierte Anfragen (laufende Vertragsanbahnung): Automatische Löschung 24 Monate nach letzter Statusänderung.
- Abgeschlossene Anfragen: Automatische Löschung 12 Monate nach Abschluss.
Kommt es zu einem Vertragsschluss, werden die Anfragedaten in die Vertragsdokumentation überführt und unterliegen den entsprechenden vertraglichen und steuerrechtlichen Aufbewahrungsfristen. Sie können jederzeit die vorzeitige Löschung Ihrer Anfrage verlangen (info@oasify.de).
5. Kiosk Self-Service Check-In
Beim Self-Service Check-In werden folgende Daten verarbeitet:
- Name, Adresse, Geburtsdatum, Staatsangehörigkeit, E-Mail des Gastes
- Ausweisfoto (Personalausweis oder Reisepass) — wird automatisch nach der gesetzlichen Aufbewahrungsfrist gelöscht
- OCR-extrahierte Daten (Vorname, Nachname aus Ausweis) — werden getrennt vom editierbaren Adressformular gespeichert
- Buchungsnummer und -details von Smoobu
- Check-in-Zeitstempel und Verifikationsergebnisse
Ausweisfotos werden verschlüsselt in Supabase Storage (EU-Region) gespeichert und nach Ablauf der konfigurierbaren Aufbewahrungsfrist (Standard: 14 Tage nach Checkout) automatisch gelöscht. Der Zugriff auf Ausweisfotos ist auf autorisierte Administratoren beschränkt.
5.1 OCR-Verarbeitung (Microsoft Azure OpenAI, EU)
Zur automatischen Texterkennung (OCR) auf Ausweisdokumenten wird das Foto zur Textextraktion an den Microsoft Azure OpenAI Service übermittelt. Vertraglicher Auftragsverarbeiter ist Microsoft Ireland Operations Limited(One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland). Die Verarbeitung und Speicherung erfolgt über ein regionales „Standard“-Deployment ausschließlich innerhalb der EU (Region Sweden Central); ein Drittland-Transfer findet im Regelbetrieb nicht statt. Eine Nutzung der Daten zu Trainingszwecken findet nicht statt.
Datenminimierung: Lichtbild und maschinenlesbare Zone (MRZ) des Ausweises werden bereits vor der Übermittlung serverseitig geschwärzt, sodass keine biometrischen Gesichtsdaten an den Verarbeiter gelangen.
Rechtsgrundlage der Verarbeitung gegenüber Microsoft ist das Microsoft Products and Services Data Protection Addendum (DPA) (Edition Mai 2026) inkl. EU-Standardvertragsklauseln (Modul 2). Microsoft Ireland Operations Limited verarbeitet innerhalb des EWR; soweit die US-Konzernmutter Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA) Zugriff erhalten könnte, ist dies über die EU-SCCs nach Art. 46 Abs. 2 lit. c DSGVO sowie das EU-US Data Privacy Framework (DPF), unter dem Microsoft zertifiziert ist, abgesichert. Microsoft speichert API-Anfragen standardmäßig bis zu 30 Tage zur Missbrauchsüberwachung innerhalb der EU (ein Antrag auf Reduzierung auf null Tage über „Modified Abuse Monitoring“ wurde von Microsoft abgelehnt; die EU-residente 30-Tage-Aufbewahrung besteht damit fort, ein Drittland-Transfer entsteht dadurch nicht). Die Unterauftragsverarbeiter sind abrufbar unter aka.ms/subprocessors.
Technischer Fallback: Für den Ausfall des Azure-Dienstes kann konfigurativ auf OpenAI Ireland Limited (Dublin, Irland; Unterauftragsverarbeiter OpenAI OpCo, LLC, USA, abgesichert über EU-SCCs und DPF) zurückgegriffen werden. Dieser Fallback ist im Regelbetrieb inaktiv und erhält keine Daten; eine Aktivierung würde hier aktualisiert.
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. c DSGVO (rechtliche Verpflichtung — die Erfassung und Prüfung der Identitätsdaten erfüllt die Meldepflicht nach BMG §§ 29–30), ergänzend Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung — die Identitätsprüfung ist Teil des Check-in-Prozesses).
5.2 Digitaler Meldeschein
Im Rahmen des Check-in-Prozesses wird ein digitaler Meldeschein gemäß BMG §§ 29–30 erstellt. Dieser enthält die Pflichtangaben (Name, Geburtsdatum, Staatsangehörigkeit, Anschrift, An-/Abreisedatum, Begleitpersonen). Der Meldeschein kann als PDF exportiert werden. Aufbewahrungsfrist: 1 Jahr nach Abreise (variiert je nach Bundesland).
6. Gäste-Kommunikation
6.1 Plattform-interne Nachrichten
Kunden können über die Plattform direkt mit ihren Gästen kommunizieren (Inbox, Vorlagen, Broadcast-Nachrichten, geplante Nachrichten). Dabei werden folgende Daten verarbeitet:
- Nachrichteninhalt und Zeitstempel
- E-Mail-Adressen der Gäste (für E-Mail-Zustellung)
- Zustellstatus und Lesebestätigungen
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung — die Kommunikation dient der Abwicklung des Beherbergungsvertrags).
6.2 WhatsApp Business Messaging (optional)
Sofern der Kunde die WhatsApp-Integration aktiviert hat, können Nachrichten an Gäste über WhatsApp Business zugestellt werden. Dabei werden Daten an Meta Platforms Ireland Limited (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland) bzw. Meta Platforms Inc. (USA) übermittelt:
- Telefonnummer des Gastes
- Nachrichteninhalt
- Zustellstatus
Die Aktivierung der WhatsApp-Integration durch den Kunden erfolgt freiwillig. Der Kunde ist als Verantwortlicher dafür zuständig, sicherzustellen, dass eine geeignete Rechtsgrundlage für die Kontaktaufnahme via WhatsApp vorliegt (z. B. berechtigtes Interesse oder Einwilligung des Gastes).
Meta Platforms Ireland Limited verarbeitet Daten innerhalb des EWR. Für etwaige Übermittlungen in die USA durch Meta Platforms Inc. gelten die Bestimmungen des EU-US Data Privacy Framework. Datenschutzhinweise: WhatsApp Business Data Processing Terms
7. KI-gestützte Funktionen
7.1 KI-Assistent (Chat)
Der KI-Assistent nutzt große Sprachmodelle (LLMs), um Fragen zum Betrieb zu beantworten und Datenanalysen durchzuführen. Dabei werden folgende Daten verarbeitet:
- Chat-Eingaben des Nutzers
- Kontextdaten aus der Organisation (Buchungen, Check-ins, Statistiken)
Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung). Chat-Eingaben werden nicht zum Training von KI-Modellen verwendet. Die Verarbeitung erfolgt über den Microsoft Azure OpenAI Service (EU) unter den in Abschnitt 5.1 genannten Datenschutzgarantien (inaktiver technischer Fallback: OpenAI Ireland Limited).
7.2 KI-gestützte Nachrichten-Funktionen (Übersetzung, Antwortvorschläge)
Sofern der Kunde KI-gestützte Nachrichten-Funktionen nutzt (automatische Übersetzung eingehender Gästenachrichten, KI-Antwortvorschläge „Quick Reply“, KI-gestützte Support-Vorschläge), wird der jeweilige Nachrichteninhalt zur Verarbeitung an den Microsoft Azure OpenAI Service (EU, siehe Abschnitt 5.1) übermittelt. Dabei können personenbezogene Daten enthalten sein, die der Gast oder Nutzer selbst in die Nachricht schreibt.
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung — Abwicklung der Gäste-Kommunikation), ergänzend Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, mehrsprachiger Gäste-Betreuung). Die Inhalte werden nicht zum Training von KI-Modellen verwendet und ausschließlich in der EU verarbeitet.
7.3 KI-basierte Reinigungsplanung
Die KI-gestützte Reinigungsplanung analysiert Buchungsmuster und Reinigungshistorie, um optimale Reinigungszeitfenster vorzuschlagen. Es werden ausschließlich aggregierte Betriebsdaten verarbeitet, keine personenbezogenen Gästedaten.
7.4 KI-gestützte Wartung und Entwicklung (Anthropic)
Die Geschäftsführung der Oasis Appart GmbH setzt den KI-Assistenten „Claude" von Anthropic, PBC (San Francisco, USA) zur Wartung, Fehleranalyse und Weiterentwicklung der Plattform ein. Personenbezogene Daten können dabei anlassbezogen als Kontext einer Wartungs-Session an Anthropic übermittelt werden — beispielsweise wenn ein konkreter Support-Vorfall oder ein technischer Fehler dies erfordert. Übermittlungen erfolgen ausschließlich durch den Plattform-Betreiber und niemals automatisiert oder im Rahmen der Standard-Anwendungslogik.
Verarbeitete Datenkategorien: anlassbezogen ausgewählte Datenbank-Inhalte, Quellcode und Konfiguration, Fehlerprotokolle, Eingaben des Plattform-Betreibers im Chat. Anthropic nutzt API-Eingaben gemäß seinen Commercial Terms nicht zu Trainingszwecken. Standard-Retention bei Anthropic: 30 Tage. Für Übermittlungen in die USA gelten EU-Standardvertragsklauseln (SCCs). Datenschutzhinweise: anthropic.com/privacy.
Lese- und Schreibzugriffe auf personenbezogene Daten der Kunden während Wartungs-Sessions werden im internen Audit-Log automatisch protokolliert (Tabelle pii_write_audit_log) und können auf Anfrage des Verantwortlichen vorgelegt werden.
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO(berechtigtes Interesse an Stabilität, Wartung und Weiterentwicklung der Plattform).
8. Dynamic Pricing und Community Pricing Intelligence
8.1 Dynamic Pricing
Die dynamische Preisberechnung verarbeitet folgende nicht-personenbezogene Daten: Buchungsauslastung, Saisonkonfiguration, Vorlaufzeiten, Wochentagsmuster und Event-Kalender. Es werden keine personenbezogenen Gästedaten für die Preisberechnung verwendet.
8.2 Community Pricing Intelligence (Marktdaten)
Bei aktivierter Teilnahme (Opt-in) werden anonymisierte Preisdaten des Kunden in einen Marktdaten-Pool eingespeist, um regionale Preis-Benchmarks zu berechnen. Die Anonymisierung erfolgt durch:
- k-Anonymität: Mindestens 3 Organisationen und 5 Apartments pro Region
- Trimmed Mean: 10 % Ausreißer werden entfernt
- Keine Einzeldaten: Organisations- und Apartment-Anzahl werden nicht an andere Kunden weitergegeben
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung). Die Einwilligung kann jederzeit in den Plattform-Einstellungen widerrufen werden. Bei Widerruf werden die Daten des Kunden aus zukünftigen Benchmark-Berechnungen ausgeschlossen.
9. Smart Lock (Nuki)
Bei der Türfreischaltung werden Entriegelungsbefehle an die Nuki Cloud API (Nuki Home Solutions GmbH, Graz, Österreich) übermittelt. Es werden Geräte-IDs und Zeitstempel verarbeitet. Es werden keine personenbezogenen Gästedaten an Nuki übermittelt. Die Nuki-Aktivitätshistorie (Entriegelungszeitpunkte) wird in der Plattform gespeichert.
10. Lärm- und Umgebungsüberwachung (Minut)
Bei Nutzung der Minut-Integration werden Umgebungsdaten von Minut-Sensoren verarbeitet:
- Lärmpegel (dB-Werte, keine Audioaufzeichnung)
- Temperatur und Luftfeuchtigkeit
- Alarm-Ereignisse (Lärmüberschreitung, Zigarettenrauch)
Es werden keine personenbezogenen Daten der Gäste an Minut übermittelt. Die Verarbeitung erfolgt über Minut Inc. (Schweden/USA). Für die Datenübertragung in die USA wurden EU-Standardvertragsklauseln (SCCs) abgeschlossen. Datenschutzhinweise: minut.com/privacy
11. Zahlungsabwicklung (Stripe)
Für die Abwicklung von Abonnement-Zahlungen nutzen wir Stripe (Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland / Stripe Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA). Bei der Zahlungsabwicklung werden Ihre Zahlungsdaten direkt an Stripe übermittelt. Unsere Server speichern keine Kreditkartendaten oder Bankverbindungen — lediglich eine Stripe-Kunden-ID zur Zuordnung.
Stripe Payments Europe Ltd. ist als irisches Unternehmen innerhalb des EWR ansässig. Für etwaige Übermittlungen an Stripe Inc. (USA) gelten die Bestimmungen des EU-US Data Privacy Framework (DPF). Datenschutzerklärung: stripe.com/privacy
11.5 Buchhaltungs-Export (lexoffice, sevDesk — optional)
Bei aktivierter lexoffice- oder sevDesk-Integration werden Rechnungsdaten (Rechnungsnummer, Beträge, USt, Gästenamen und -anschriften als Rechnungsempfänger, Buchungs- und Leistungszeiträume, USt-IdNr.) automatisch in den vom Kunden konfigurierten Buchhaltungs-Account synchronisiert.
- Haufe-Lexware GmbH & Co. KG (lexoffice), Munzinger Straße 9, 79111 Freiburg, Deutschland. Verarbeitung erfolgt ausschließlich innerhalb Deutschlands. Datenschutzhinweise: lexware.de/datenschutzhinweise
- sevDesk GmbH, Hauptstraße 115, 77652 Offenburg, Deutschland. Verarbeitung erfolgt ausschließlich innerhalb Deutschlands. Datenschutzhinweise: sevdesk.de/datenschutz
Beide Integrationen werden ausschließlich genutzt, wenn der Kunde sie in den Plattform-Einstellungen aktiviert und seine eigenen API-Zugangsdaten hinterlegt. Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO(Vertragserfüllung) sowie Art. 6 Abs. 1 S. 1 lit. c DSGVO(Erfüllung steuerrechtlicher Pflichten).
12. Hosting
12.1 Anwendungshosting (Vercel)
Die Webanwendung wird auf Vercel gehostet (Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA). Bei jedem Seitenaufruf werden technische Daten (IP-Adresse, User-Agent, Zeitstempel) von Vercel verarbeitet. Vercel speichert Zugriffsprotokolle für maximal 30 Tage.
Vercel Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Die Übermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission nach Art. 45 Abs. 1 DSGVO. Ergänzend wurden im Data Processing Agreement (DPA) EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) vereinbart, die bei einem etwaigen Wegfall des DPF weitergelten. Datenschutzhinweise: vercel.com/legal/privacy-policy
12.2 Datenbank und Speicher (Supabase)
Die Datenbank und der Dateispeicher werden von Supabase (Supabase Inc., USA) bereitgestellt. Der Supabase-Server befindet sich in der EU-Region (eu-west-1, Irland), sodass personenbezogene Daten den EWR technisch nicht verlassen. Für eine etwaige Verarbeitung durch die US-Muttergesellschaft wurden Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO sowie ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen. Details zu den Übermittlungsgarantien: Abschnitt 4.
12.3 Reichweitenmessung (Vercel Web Analytics)
Zur statistischen Auswertung der Seitennutzung setzen wir Vercel Web Analytics ein (Vercel Inc., USA). Der Dienst arbeitet cookielos — es werden keine Cookies gesetzt und keine Informationen im Endgerät gespeichert oder ausgelesen. Eine Wiedererkennung einzelner Besucher über mehrere Tage hinweg ist nicht möglich.
Verarbeitete Daten: aufgerufene URL, Referrer-URL, User-Agent (Browser- und Geräteart) sowie das Land (aus der IP-Adresse abgeleitet). Die IP-Adresse wird bereits am Edge gehasht und spätestens am Ende des Kalendertages verworfen; sie wird zu keinem Zeitpunkt im Klartext gespeichert.
Rechtsgrundlage ist unser berechtigtes Interesse an der bedarfsgerechten Gestaltung und statistischen Auswertung unserer Webseite (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Da keine Cookies gesetzt und keine Informationen im Endgerät gespeichert werden, ist § 25 TTDSG nicht einschlägig. Übermittlungsgarantien (DPF + DPA) ergeben sich aus Abschnitt 12.1. Sie können der Verarbeitung gemäß Art. 21 DSGVO jederzeit widersprechen (info@oasify.de). Datenschutzhinweise: vercel.com/legal/privacy-policy
12.4 Marketing-Reichweitenmessung (Google Analytics 4 / Google Ads)
Sofern Sie über den Cookie-Banner in die Kategorien „Analytics“ bzw. „Marketing“ einwilligen, setzen wir Google Analytics 4 und Google Ads (Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; ggf. Google LLC, USA) zur statistischen Reichweitenmessung und zur Erfolgsmessung unserer Werbekampagnen ein. Ohne Ihre Einwilligungwerden keine Google-Dienste geladen und keine Daten an Google übermittelt (Google Consent Mode V2, Standardzustand „denied“).
Verarbeitete Daten: pseudonyme Online-Kennungen (Cookies, Client-/Click-IDs), gekürzte IP-Adresse, Nutzungsereignisse; bei der Messung von Vertragsabschlüssen ggf. ein pseudonymes Conversion-Signal. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO, § 25 Abs. 1 TTDSG), jederzeit über die Cookie-Einstellungen widerrufbar.
Google ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Art. 45 DSGVO); ergänzend gelten die Google Ads/Analytics Data Processing Terms inkl. EU-Standardvertragsklauseln. Datenschutzhinweise: policies.google.com/privacy
13. E-Mail-Versand (Resend)
Für den Versand von transaktionalen E-Mails (Rechnungen, Benachrichtigungen, Gäste-Nachrichten, Systembenachrichtigungen) nutzen wir Resend Inc. (USA). Verarbeitete Daten: E-Mail-Adressen der Empfänger, E-Mail-Inhalte (einschließlich Rechnungs-PDFs als Anhang), Zustellstatus.
Resend Inc. ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Ergänzend wurden im Auftragsverarbeitungsvertrag (AVV) EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) vereinbart, die bei einem etwaigen Wegfall des DPF weitergelten. Datenschutzhinweise: resend.com/legal/dpa
14. Fehlerüberwachung (Sentry)
Wir setzen Sentry (Functional Software Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA) zur Fehlerüberwachung und Leistungsoptimierung ein. Da hierbei Daten in die USA übermittelt werden können, erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) im Rahmen des mit Sentry abgeschlossenen Auftragsverarbeitungsvertrags; zusätzlich werden personenbezogene Daten bereits vor der Übermittlung serverseitig herausgefiltert (PII-Scrubbing).
14.1 Serverseitige Fehlerüberwachung
Technische Fehlerdaten (Stack-Traces, HTTP-Statuscodes) werden auf Basis von Art. 6 Abs. 1 S. 1 lit. f DSGVO (berechtigtes Interesse an der Betriebssicherheit) verarbeitet. Personenbezogene Daten (E-Mail-Adressen, IP-Adressen) werden dabei automatisch herausgefiltert (PII Scrubbing). Die serverseitige Fehlerüberwachung ist zur Gewährleistung eines sicheren und stabilen Betriebs dauerhaft aktiv.
14.2 Clientseitige Erfassung
Erweiterte Analysedaten im Browser werden nur nach Ihrer ausdrücklichen Einwilligung erfasst (Analytics-Cookie-Kategorie).
Erfasste Daten bei aktivierter Einwilligung:
- Fehlermeldungen und Stack-Traces
- Browser- und Geräteinformationen
- Aktuelle URL und Nutzerinteraktionen (Session Replay)
- IP-Adresse (wird von Sentry anonymisiert)
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO). Die Einwilligung kann jederzeit über die Cookie-Einstellungen widerrufen werden. Datenschutzerklärung von Sentry: sentry.io/privacy
15. Benachrichtigungen und Push-Nachrichten
Die Plattform versendet Benachrichtigungen über verschiedene Kanäle:
- In-App-Benachrichtigungen: Gespeichert in der Datenbank, keine Drittanbieter
- E-Mail-Benachrichtigungen: Über Resend (siehe Abschnitt 13)
- Push-Benachrichtigungen: Über Expo Push Service (für die mobile App)
Für Push-Benachrichtigungen werden Push-Tokens des Endgeräts an Expo (Expo Inc., USA) übermittelt. Es werden keine personenbezogenen Inhalte in der Push-Nachricht selbst übertragen — lediglich ein Benachrichtigungshinweis. Der Abruf der vollständigen Nachricht erfolgt erst durch die App über eine authentifizierte API-Anfrage.
16. Team-Messenger
Der interne Team-Messenger ermöglicht die Kommunikation zwischen Mitarbeitern und Administratoren innerhalb einer Organisation. Alle Nachrichten werden verschlüsselt in der Supabase-Datenbank (EU-Region) gespeichert. Es erfolgt keine Weitergabe an Dritte.
17. Betroffenenrechte
Sie haben das Recht auf:
- Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO) — „Recht auf Vergessenwerden“
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — Die Plattform bietet hierfür eine Datenexport-Funktion (JSON/CSV)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@oasify.de
Wir werden Ihre Anfrage innerhalb eines Monats beantworten (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie informieren.
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
Sofern die Verarbeitung Ihrer personenbezogenen Daten auf einer Einwilligung beruht (Art. 6 Abs. 1 S. 1 lit. a DSGVO), haben Sie das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Widerrufsmöglichkeiten:
- Cookie-Einwilligung (Analytics/Sentry): Klicken Sie auf den „Cookie-Einstellungen“-Link im Footer der Website, um Ihre Einwilligung zur clientseitigen Datenerfassung zu widerrufen oder anzupassen.
- Community Pricing Intelligence:Deaktivieren Sie die Teilnahme in den Plattform-Einstellungen unter „Marktdaten“.
- Sonstige Einwilligungen: Per E-Mail an info@oasify.de oder formlos schriftlich an die oben genannte Adresse des Verantwortlichen.
Nach dem Widerruf werden die auf der Einwilligung beruhenden Verarbeitungen unverzüglich eingestellt. Bereits gespeicherte Daten, deren Verarbeitung auf einer anderen Rechtsgrundlage beruht (z. B. gesetzliche Aufbewahrungspflichten), bleiben hiervon unberührt.
Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).
Die für uns zuständige Aufsichtsbehörde ist:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
Telefon: +49 33203 356-0
E-Mail: poststelle@lda.brandenburg.de
Website: www.lda.brandenburg.de
18. Aufbewahrungsfristen und Löschprozesse
- Ausweisfotos: Automatische Löschung 14 Tage nach Checkout-Datum (konfigurierbar)
- Check-in-Adressdaten: Automatische Löschung 2 Jahre nach Erfassung
- Meldescheine: 1 Jahr nach Abreise (variiert je nach Bundesland, maximal 2 Jahre)
- Gäste-Nachrichten: Löschung mit dem zugehörigen Gästedatensatz
- Rechnungen: Personenbezogene Daten werden nach 8 Jahren pseudonymisiert (§ 257 HGB, § 147 AO). Rechnungsnummern und Beträge bleiben erhalten (GoBD-konform).
- Buchungsdaten: 8 Jahre (steuerrechtliche Aufbewahrungspflicht nach § 14b UStG)
- Mitarbeiterdaten: 3 Jahre nach Beendigung des Beschäftigungsverhältnisses (Verjährungsfrist), Lohndaten 6 Jahre (§ 41 Abs. 1 EStG)
- Enterprise-Anfragen: 6 Monate (neue/kontaktierte), 24 Monate (qualifizierte), 12 Monate (abgeschlossene) — jeweils automatische Löschung
- Account-Daten: 30 Tage nach Kündigung des Kontos (siehe Abschnitt 19)
- Audit-Log-Einträge: Werden für die Dauer der gesetzlichen Aufbewahrungsfristen aufbewahrt und können nicht manuell gelöscht werden (GoBD-Konformität)
19. Kündigung und Datenlöschung
Nach Kündigung Ihres Oasify-Kontos gilt folgender Ablauf:
- Sofortige Sperrung: Ihr Zugang wird sofort gesperrt.
- 30-tägiges Export-Fenster: Sie haben 30 Tage Zeit, Ihre Daten über die Datenexport-Funktion herunterzuladen (JSON- und CSV-Format). Sie erhalten einen Hinweis per E-Mail.
- Erinnerung: Sie erhalten 7 Tage vor der endgültigen Löschung eine Erinnerungs-E-Mail.
- Automatische Löschung: Nach Ablauf der 30 Tage werden alle Ihre Daten unwiderruflich gelöscht.
- Rechnungsdaten: Werden aus gesetzlichen Gründen (§ 257 HGB, § 147 AO) für 8 Jahre pseudonymisiert aufbewahrt, nicht gelöscht.
- Audit-Log: Steuerlich relevante Einträge werden gemäß GoBD aufbewahrt.
20. Cookies und lokale Speicherung
Technisch notwendige Cookies
Die Plattform verwendet technisch notwendige Cookies für die Authentifizierung (Session-Cookie, Refresh-Token) und Spracheinstellungen. Diese Cookies sind für den Betrieb der Plattform erforderlich und können nicht deaktiviert werden.
Analyse-Cookies (optional)
Erweiterte Analysefunktionen (Sentry Session Replay) werden nur nach ausdrücklicher Einwilligung über den Cookie-Banner aktiviert. Die Einwilligung kann jederzeit über die Cookie-Einstellungen im Footer widerrufen werden.
21. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie stets den aktuellen rechtlichen Anforderungen anzupassen oder um Änderungen unserer Leistungen umzusetzen. Bei wesentlichen Änderungen werden registrierte Kunden per E-Mail informiert. Die jeweils aktuelle Fassung finden Sie auf dieser Seite.