Datenschutzerklärung

Política de Privacidad · Stand: April 2026 · EU-DSGVO · RGPD · LOPDGDD

1. Verantwortlicher · Responsable del tratamiento

Las Cabras 2015, S.L.
Cami de Tio s/n, Poligono 8, Parcela 10 · 07620 Llucmajor · Mallorca · España
NIF/CIF: B57915811
E-Mail: info@residencia-de-tio.com
Telefon: +34 971 830 563
Administradora Única: Marion Geiss & Vivien Geiss

Diese Datenschutzerklärung erfüllt die Informationspflichten gemäß Art. 13 und 14 der EU-Datenschutz-Grundverordnung (DSGVO / RGPD 2016/679) sowie der Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

2. Übersicht der Verarbeitungen · Resumen de tratamientos

Zweck	Rechtsgrundlage (Art. 6 DSGVO)	Speicherdauer
Bearbeitung Buchungsanfragen & Beherbergungsvertrag	lit. b — Vertragserfüllung	bis 5 Jahre nach Aufenthalt (Verjährung)
Gastregistrierung SES Hospedajes	lit. c — rechtliche Verpflichtung (Real Decreto 933/2021)	3 Jahre ab Check-out
Rechnungsstellung & Buchhaltung	lit. c — rechtliche Verpflichtung (Código de Comercio Art. 30, Ley 58/2003)	6 Jahre
Zahlungsabwicklung (Stripe / PayPal)	lit. b — Vertragserfüllung	gemäß Vorgaben Zahlungsdienstleister
E-Mail-Kommunikation & Gastservice	lit. b & lit. f — berechtigtes Interesse	bis zum Widerruf / max. 3 Jahre
Server-Logfiles	lit. f — berechtigtes Interesse (IT-Sicherheit)	max. 14 Tage

3. Erhobene Daten · Datos recogidos

3.1 Bei Besuch der Website

IP-Adresse (anonymisiert), Browsertyp, Betriebssystem, Referrer-URL, Zugriffszeitpunkt
Sprachauswahl (nur lokal im Browser-Storage, keine Übertragung)

3.2 Bei Buchungsanfrage & Zahlung

Anrede, Vor- und Nachname, E-Mail, Telefonnummer
Reisedaten (Anreise, Abreise, Suite-Typ, Personenzahl)
Besondere Wünsche / Kommentare
Zahlungsdaten werden ausschließlich über PCI-DSS-zertifizierte Zahlungsdienstleister (Stripe, PayPal) verarbeitet — wir speichern KEINE Kreditkartennummern.

3.3 Bei Check-in (SES Hospedajes, gesetzlich verpflichtend)

Vollständiger Name, Geburtsdatum, Staatsangehörigkeit, Geschlecht
Ausweis-/Reisepass-Typ und -Nummer, Ausstellungsdatum
Wohnadresse, Kontaktdaten
Zahlungsmethode und -betrag

Diese Angaben sind gemäß Real Decreto 933/2021 vom 26. Oktober zwingend an das Ministerio del Interior zu übermitteln.

4. Empfänger · Destinatarios

Eine Weitergabe Ihrer Daten erfolgt ausschließlich an:

Ministerio del Interior (SES Hospedajes) — Gastregistrierung, gesetzliche Pflicht.
Agencia Tributaria (AEAT) — steuerliche Meldungen, gesetzliche Pflicht.
Supabase, Inc. (USA, Datenverarbeitungsvertrag & EU-Standardvertragsklauseln) — Datenbank-Hosting. supabase.com/privacy
Netlify, Inc. (USA, DPA & SCC) — Website- und Funktions-Hosting. netlify.com/privacy
Resend (EU/USA, DPA & SCC) — transaktionale E-Mails. resend.com/legal/privacy-policy
Stripe Payments Europe, Ltd. (Irland/EU) — Kartenzahlungen. stripe.com/privacy
PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg/EU) — PayPal-Zahlungen. paypal.com/privacy
Steuerberater / Buchhalter — zur ordnungsgemäßen Buchführung (Geheimhaltungspflicht).

5. Internationale Datenübermittlung · Transferencia internacional

Einige unserer Auftragsverarbeiter (Supabase, Netlify) haben Server in den USA. Die Übermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914 sowie ergänzender technischer Schutzmaßnahmen (Verschlüsselung in Transit und at Rest). Stripe Europe und PayPal Europe verarbeiten Daten innerhalb der EU.

6. Ihre Rechte · Derechos del interesado

Als betroffene Person haben Sie jederzeit die folgenden Rechte (Art. 15–22 DSGVO):

Recht auf Auskunft (Art. 15)
Recht auf Berichtigung (Art. 16)
Recht auf Löschung / „Recht auf Vergessenwerden" (Art. 17)
Recht auf Einschränkung der Verarbeitung (Art. 18)
Recht auf Datenübertragbarkeit (Art. 20)
Widerspruchsrecht (Art. 21)
Widerruf erteilter Einwilligungen — mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Zur Ausübung dieser Rechte wenden Sie sich bitte an info@residencia-de-tio.com. Wir antworten innerhalb eines Monats.

7. Beschwerderecht · Derecho a presentar reclamación

Sie haben das Recht, bei der zuständigen Datenschutzaufsichtsbehörde Beschwerde einzulegen:

Agencia Española de Protección de Datos (AEPD)
C/ Jorge Juan, 6 · 28001 Madrid · España
Tel. +34 912 663 517 · aepd.es

8. Cookies & Browser-Storage · Cookies y Almacenamiento

Unsere Website verwendet:

Technisch notwendige Browser-Storage-Einträge (Sprachauswahl, Admin-Session-Token, Cookie-Einwilligungs-Status). Diese Einträge sind für den Betrieb der Website unverzichtbar und benötigen gemäß Art. 6 Abs. 1 lit. f DSGVO keine gesonderte Einwilligung.
Analyse-Funktionen (siehe Abschnitt 9) — werden ausschließlich nach Ihrer ausdrücklichen Einwilligung aktiviert.
Marketing-Pixel (siehe Abschnitt 10) — werden ausschließlich nach Ihrer ausdrücklichen Einwilligung geladen.

Beim ersten Besuch erscheint ein Cookie-Einwilligungs-Banner, in dem Sie über die Verwendung optionaler Cookies und Tracker entscheiden. Ihre Auswahl können Sie jederzeit über den Link „Cookie-Einstellungen" am unteren Seitenrand widerrufen oder ändern.

9. Webanalyse (eigenes System) · Análisis Web

Verantwortlicher: Las Cabras 2015, S.L. (siehe oben). Wir betreiben ein selbst gehostetes Analyse-System auf unserem eigenen Server (Supabase, EU-Region) — keine Datenweitergabe an Dritte, kein Google Analytics, kein Plausible, kein Matomo.

Erhobene Daten (nur nach Ihrer Einwilligung):

Anonyme Session-ID (in sessionStorage Ihres Browsers, kein Cookie)
Aufgerufene Seiten und Klick-Events innerhalb der Website
Verweisende Quelle (Referrer) und UTM-Kampagnen-Parameter aus der URL
Geräte-Typ (Desktop/Mobile/Tablet), Browser-Familie, Betriebssystem-Familie
Sprach-Einstellung des Browsers
Land (anhand IP-Adresse, nur Ländercode DE/ES/AT/...)
Gehashter Auszug der IP-Adresse: SHA-256-Hash mit täglich rotierendem Salt — die ursprüngliche IP-Adresse wird niemals gespeichert und ist nicht rekonstruierbar.

Zweck: Reichweitenanalyse, Erkennung beliebter Inhalte, Optimierung des Buchungsflusses, Erkennung von Marketing-Kampagnen-Erfolg.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Vor Einwilligung werden keinerlei Analyse-Daten erhoben oder übertragen.

Speicherdauer: Maximal 365 Tage. Anschließende automatische Löschung. Konvertierte Sessions (mit zugeordneter Buchung) werden so lange aufbewahrt wie die zugehörigen Buchungsdaten (siehe Abschnitt 7).

Widerruf: Über das Cookie-Einstellungen-Symbol jederzeit möglich.

10. Marketing-Pixel (Facebook/Meta) · Píxeles de Marketing

Sofern Sie eingewilligt haben, laden wir den Meta-Pixel der Meta Platforms Ireland Ltd. (4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland). Dieser Pixel ermöglicht Conversion-Messung und Remarketing über Facebook- und Instagram-Werbeanzeigen.

Übertragene Daten an Meta: IP-Adresse, Browser-Informationen, besuchte Seiten, Buchungs-Conversions (ohne Personendaten).

Datenübermittlung in Drittländer: Meta verarbeitet Daten teilweise in den USA. Rechtsgrundlage: EU-Standardvertragsklauseln + EU-US-Data-Privacy-Framework. Detaillierte Informationen: facebook.com/privacy/policy

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können die Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Opt-Out (zusätzlich, herstellerseitig): facebook.com/ads/preferences

11. Push-Benachrichtigungen (Backend) · Notificaciones Push

Im internen Verwaltungsbereich (mamivi.html, nicht öffentlich zugänglich) können Hotel-Mitarbeiter Web-Push-Benachrichtigungen aktivieren, um bei neuen Buchungen sofort informiert zu werden.

Verarbeitete Daten: PushSubscription-Endpoint (eindeutige URL beim Push-Service-Provider), öffentliche Verschlüsselungs-Schlüssel (p256dh, auth), User-Agent des Browsers, Browser-Name, Geräte-Typ.

Push-Service-Provider (je nach Browser des Empfängers):

Google LLC (Firebase Cloud Messaging) — Chrome, Edge, Android
Mozilla Foundation — Firefox
Apple Inc. — Safari, iOS
Microsoft Corp. (WNS) — Edge Legacy, Windows

Inhalt der Benachrichtigungen: Buchungs-ID, Suite-Name, Datum, Preis, abgekürzter Gast-Name (z.B. "M. Müller"). Email, Telefon und vollständiger Name werden NICHT in der Push-Nachricht übertragen.

Verschlüsselung: Push-Nachrichten sind Ende-zu-Ende verschlüsselt (Web Push Protocol RFC 8030/8291) — der Push-Service kann den Inhalt nicht lesen.

Datenübermittlung in Drittländer: Google/Apple/Microsoft verarbeiten Push-Routing teilweise in den USA. Rechtsgrundlage: EU-Standardvertragsklauseln + EU-US-Data-Privacy-Framework.

Speicherdauer: Subscriptions bleiben aktiv bis der Mitarbeiter sie deaktiviert oder der Browser sie automatisch ablaufen lässt. Inaktive Subscriptions werden nach 90 Tagen vollständig gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — interne Geschäftsprozesse). Diese Funktion ist nicht für Endkunden, sondern ausschließlich für interne Hotel-Mitarbeiter.

Widerruf: jederzeit über den Button "Push deaktivieren" im internen Bereich oder über die Browser-Einstellungen (Website-Berechtigungen → Notifications).

12. SSL/TLS-Verschlüsselung · Cifrado

Diese Website und alle API-Endpunkte nutzen durchgehend TLS 1.2+ (HTTPS) mit HSTS-Preload. Sämtliche Datenübertragungen sind Ende-zu-Ende verschlüsselt.

13. Datensicherheit · Seguridad

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO: verschlüsselte Datenbanken, Bearer-Token-Authentifizierung für Admin-Zugänge, Passwort-Hashing mit scrypt, Content Security Policy, regelmäßige Sicherheits-Audits, IP-Adressen werden nur als gehashte Werte mit täglich rotierendem Salt gespeichert (nicht rekonstruierbar). Ein Zugriff auf Gastdaten ist ausschließlich autorisierten Mitarbeitenden gestattet.

14. Änderungen · Modificaciones

Diese Datenschutzerklärung wird bei Gesetzesänderungen oder Änderungen unserer Verarbeitungsprozesse aktualisiert. Die jeweils aktuelle Fassung ist stets auf dieser Seite abrufbar.

Letzte Aktualisierung: April 2026 — Vor Live-Schaltung der Webanalyse-Erweiterung empfehlen wir eine kurze rechtliche Prüfung dieses Abschnitts durch einen Datenschutz-Anwalt.