Datenschutzerklärung

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen oder unsere Software Hestia PMS nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer unter diesem Text aufgeführten Datenschutzerklärung.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Abschnitt „Hinweis zur verantwortlichen Stelle“ in dieser Datenschutzerklärung entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z.B. um Daten handeln, die Sie bei der Registrierung oder Nutzung von Hestia PMS eingeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z.B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website und unserer SaaS-Dienste zu gewährleisten. Andere Daten können zur Analyse Ihres Nutzerverhaltens verwendet werden.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese Einwilligung jederzeit für die Zukunft widerrufen. Außerdem haben Sie das Recht, unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Des Weiteren steht Ihnen ein Beschwerderecht bei der zuständigen Aufsichtsbehörde zu.

2. Hosting

Wir hosten die Inhalte unserer Website und unsere SaaS-Anwendung bei folgenden Anbietern:

Vercel

Anbieter ist die Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA (nachfolgend „Vercel“).

Wenn Sie unsere Website besuchen oder unsere Anwendung nutzen, werden Ihre personenbezogenen Daten auf den Servern von Vercel verarbeitet. Hierbei können auch personenbezogene Daten an den Mutterkonzern von Vercel in die USA übermittelt werden.

Rechtsgrundlage für den Datentransfer in die USA: Vercel ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Der Angemessenheitsbeschluss der EU-Kommission (C(2023) 4745 final vom 10. Juli 2023) wurde durch das Gericht der Europäischen Union (EuG) mit Urteil vom 3. September 2025 bestätigt. Zusätzlich haben wir EU-Standardvertragsklauseln (SCCs) mit Vercel abgeschlossen.

Hinweis zur Rechtssicherheit: Gegen das EuG-Urteil vom 3. September 2025 wurde am 31. Oktober 2025 Berufung zum Europäischen Gerichtshof (EuGH) eingelegt (Rechtssache C-703/25 P). Ein Revisionsverfahren dauert durchschnittlich ca. 18 Monate. Bis zu einer möglichen Aufhebung bleibt das DPF wirksam. Wir beobachten die Rechtsentwicklung kontinuierlich und werden Sie über wesentliche Änderungen informieren.

Die Verwendung von Vercel erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Wir haben ein berechtigtes Interesse an einer möglichst zuverlässigen Darstellung unserer Website und Bereitstellung unserer Dienste.

vServer.site (Datenbank)

Für die Datenspeicherung betreiben wir eigene MongoDB-Datenbankserver bei vServer.site (Elektronik Böcker, Denkmalsweg 7, 26670 Uplengen, Deutschland). Die Server befinden sich in zertifizierten deutschen Rechenzentren:

• Frankfurt am Main (Interxion/Digital Realty)
• Düsseldorf (QSC AG)

Alle Daten werden ausschließlich in Deutschland gespeichert und verlassen nicht die EU.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Datenspeicherung).

Hetzner Online (Backups)

Für verschlüsselte Backups nutzen wir Hetzner Storage Box bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Die Backups werden im Rechenzentrum Falkenstein (FSN1) gespeichert.

Verschlüsselung: Alle Backups werden vor der Übertragung clientseitig mit AES-256-GCM verschlüsselt. Der Verschlüsselungsschlüssel verbleibt ausschließlich bei uns – Hetzner hat keinen Zugriff auf die unverschlüsselten Daten.

Weitere Informationen zum Datenschutz bei Hetzner:

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Datenspeicherung und Disaster Recovery).

System-Monitoring

Zur Überwachung der Systemstabilität und Performance nutzen wir Percona Monitoring and Management (PMM) auf einem separaten Server bei Hetzner. Dabei werden ausschließlich technische Metriken erfasst (CPU-Auslastung, Speichernutzung, Datenbankperformance).

In Ausnahmefällen können in Fehler-Logs personenbezogene Daten enthalten sein (z.B. bei fehlgeschlagenen Datenbankabfragen). Diese werden nach 30 Tagen automatisch gelöscht. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung des Betriebs).

3. Allgemeine Hinweise und Pflichtinformationen

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Verantwortliche Stelle ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten (z.B. Namen, E-Mail-Adressen o.Ä.) entscheidet.

Datenschutzbeauftragter

Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder in der umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen besteht, oder wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 BDSG).

Sobald diese Voraussetzungen erfüllt sind, wird ein Datenschutzbeauftragter benannt und dessen Kontaktdaten hier veröffentlicht. Für Datenschutzanfragen wenden Sie sich bitte an: contact@hestia-pms.com

Datenschutzkonferenz (DSK) – § 16a BDSG

Mit dem neuen § 16a BDSG (in Kraft seit 2026) wurde die Datenschutzkonferenz (DSK) als Gremium der deutschen Bundes- und Landesdatenschutzbeauftragten erstmals gesetzlich verankert. Dies führt zu einer einheitlicheren Rechtsanwendung und verbesserten Abstimmung der Aufsichtsbehörden bei der Auslegung der DSGVO in Deutschland.

Speicherdauer

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben (z.B. steuer- oder handelsrechtliche Aufbewahrungsfristen); im letztgenannten Fall erfolgt die Löschung nach Fortfall dieser Gründe.

Allgemeine Hinweise zu den Rechtsgrundlagen der Datenverarbeitung

Sofern Sie in die Datenverarbeitung eingewilligt haben, verarbeiten wir Ihre personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO, sofern besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeitet werden. Sofern die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, verarbeiten wir Ihre Daten auf Grundlage des Art. 6 Abs. 1 lit. b DSGVO. Des Weiteren verarbeiten wir Ihre Daten, sofern diese zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind, auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO. Die Datenverarbeitung kann ferner auf Grundlage unseres berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen.

Widerruf Ihrer Einwilligung zur Datenverarbeitung

Viele Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

Widerspruchsrecht gegen die Datenerhebung in besonderen Fällen sowie gegen Direktwerbung (Art. 21 DSGVO)

Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu. Das Beschwerderecht besteht unbeschadet anderweitiger verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe.

Die für uns zuständige Aufsichtsbehörde ist:

Recht auf Datenübertragbarkeit

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

Auskunft, Berichtigung und Löschung

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ggf. ein Recht auf Berichtigung oder Löschung dieser Daten. Hierzu sowie zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit an uns wenden.

Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. Hierzu können Sie sich jederzeit an uns wenden. Das Recht auf Einschränkung der Verarbeitung besteht in folgenden Fällen: Wenn Sie die Richtigkeit Ihrer bei uns gespeicherten personenbezogenen Daten bestreiten, wenn die Verarbeitung unrechtmäßig ist, wenn wir die Daten nicht mehr benötigen, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen benötigen, oder wenn Sie Widerspruch nach Art. 21 Abs. 1 DSGVO eingelegt haben.

SSL- bzw. TLS-Verschlüsselung

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung (TLS 1.3). Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

4. Datenerfassung auf dieser Website

Cookies und Einwilligung (TTDSG § 25)

Unsere Internetseiten verwenden so genannte „Cookies“. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert. Session-Cookies werden nach Ende Ihres Besuchs automatisch gelöscht. Permanente Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese selbst löschen oder eine automatische Löschung durch Ihren Webbrowser erfolgt.

Cookies können von uns (First-Party-Cookies) oder von Drittunternehmen stammen (sog. Third-Party-Cookies). Third-Party-Cookies ermöglichen die Einbindung bestimmter Dienstleistungen von Drittunternehmen innerhalb von Webseiten.

Rechtsgrundlage für Cookies (§ 25 TTDSG): Gemäß § 25 Abs. 1 TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) ist für das Setzen von Cookies und ähnlichen Technologien, die nicht unbedingt erforderlich sind, Ihre vorherige Einwilligung erforderlich. Unbedingt erforderliche Cookies (§ 25 Abs. 2 Nr. 2 TTDSG) dürfen ohne Einwilligung gesetzt werden, wenn sie für die Bereitstellung des vom Nutzer ausdrücklich gewünschten Telemediendienstes erforderlich sind.

Wir verwenden folgende Arten von Cookies:

• Technisch notwendige Cookies (ohne Einwilligung): Diese sind erforderlich für die Grundfunktionen der Website und der Anwendung (z.B. Session-Management, Authentifizierung, Cookie-Consent-Speicherung). Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO
• Analyse-Cookies (mit Einwilligung): Mit Ihrer ausdrücklichen Einwilligung verwenden wir Cookies zur Analyse des Nutzerverhaltens (Vercel Analytics). Rechtsgrundlage: § 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO

Technisch notwendige Cookies werden auf Grundlage von § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO gespeichert. Der Websitebetreiber hat ein berechtigtes Interesse an der Speicherung dieser Cookies zur technisch fehlerfreien und optimierten Bereitstellung seiner Dienste.

Einwilligung mit Consent-Banner (§ 25 TTDSG, Art. 7 DSGVO)

Beim ersten Besuch unserer Website wird Ihnen ein Cookie-Consent-Banner angezeigt. Hier können Sie wählen, welche Cookie-Kategorien Sie akzeptieren möchten. Die Einwilligung erfolgt freiwillig, informiert, für den bestimmten Fall und unmissverständlich durch eine eindeutige bestätigende Handlung (Art. 4 Nr. 11, Art. 7 DSGVO). Das Ablehnen nicht-essentieller Cookies hat keine Nachteile für die Nutzung der Grundfunktionen unserer Website.

Ihre Einwilligung wird in einem technisch notwendigen Cookie für 12 Monate gespeichert. Sie können diese jederzeit über den Link „Cookie-Einstellungen“ im Footer unserer Website widerrufen oder ändern. Der Widerruf gilt ab dem Zeitpunkt der Erklärung für die Zukunft; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der technisch fehlerfreien Darstellung und der Optimierung seiner Website.

Kontaktformular / E-Mail

Wenn Sie uns per Kontaktformular oder E-Mail Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Kontofreischaltung / Hestia PMS

Die Nutzung von Hestia PMS erfordert die Freischaltung eines Kundenkontos durch den Anbieter. Die Freischaltung erfolgt nach vorheriger Anfrage und individueller Prüfung. Die dabei erhobenen Daten verwenden wir ausschließlich zum Zwecke der Vertragsanbahnung und -durchführung.

Bei der Kontofreischaltung erfassen wir:

• Ansprechpartner (Name)
• E-Mail-Adresse
• Passwort (bcrypt-verschlüsselt mit Salt gespeichert)
• Hotelname und -adresse
• Telefonnummer
• Ggf. USt-IdNr. und weitere Unternehmensdaten

Die Verarbeitung der bei der Kontofreischaltung erhobenen Daten erfolgt zur Erfüllung eines Vertrags bzw. zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie auf Grundlage unseres berechtigten Interesses an der Bereitstellung unserer Dienste (Art. 6 Abs. 1 lit. f DSGVO).

5. Datenverarbeitung im SaaS-Dienst Hestia PMS

Hestia PMS ist eine cloudbasierte Hotelmanagementsoftware (Property Management System). Bei der Nutzung werden verschiedene Daten verarbeitet:

5.1 Gästedaten (Auftragsverarbeitung)

Als Hotel-Nutzer geben Sie Gästedaten in unser System ein. Hestia PMS verarbeitet diese Daten in Ihrem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO). Hierzu gehören:

• Name und Kontaktdaten der Gäste
• Geburtsdatum und Geburtsort
• Nationalität
• Ausweisdaten (nur bei ausländischen Gästen gemäß § 30 BMG – seit 01.01.2025 entfällt die Meldepflicht für deutsche Gäste)
• Buchungsdaten und Aufenthaltshistorie
• Zahlungsinformationen

Hinweis für Hotels: Als Nutzer von Hestia PMS sind Sie der datenschutzrechtlich Verantwortliche für die Gästedaten. Wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag. Ein entsprechender Auftragsverarbeitungsvertrag (AVV) wird mit dem Vertragsschluss gemäß § 2 der AGB geschlossen.

5.2 Meldeschein-Daten (§ 30 BMG)

Wichtige Änderung seit 01.01.2025 (Viertes Bürokratieentlastungsgesetz, BGBl. 2024 I Nr. 387): Die Meldepflicht in Beherbergungsstätten besteht nur noch für ausländische Gäste (§ 30 Abs. 1 BMG n.F.). Für deutsche Staatsangehörige ist kein Meldeschein mehr erforderlich.

Aufbewahrung und Löschung: Die erhobenen Daten für ausländische Gäste werden entsprechend der gesetzlichen Aufbewahrungsfrist von 12 Monaten nach Abreise gespeichert (§ 30 Abs. 4 Satz 2 BMG). Danach müssen die Meldescheindaten innerhalb von 3 Monaten gelöscht oder vernichtet werden (§ 30 Abs. 4 Satz 3 BMG). Die maximale Speicherdauer beträgt somit 15 Monate nach Abreise. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 30 BMG.

Erfasste Daten (§ 30 Abs. 2 BMG): Bei ausländischen Gästen werden erfasst: Name, Geburtsdatum, Staatsangehörigkeit, Anschrift, Ankunftstag, voraussichtlicher Abreisetag, Zahl der Mitreisenden sowie bei Vorlage eines Reisedokuments: Art, Nummer, ausstellender Staat.

Begleitpersonen: Bei der Anmeldung von ausländischen Gästen können auch Daten von mitreisenden Personen erfasst werden, insbesondere Name, Geburtsdatum, Nationalität und ggf. Ausweisdaten. Die Begleitpersonen sind vom beherbergten Gast auf dem Meldeschein anzugeben.

5.3 Rechnungs- und Buchungsdaten

Rechnungen und Buchungsdaten werden entsprechend den steuerrechtlichen Aufbewahrungsfristen (§ 147 AO) für 10 Jahre aufbewahrt. Die Frist beginnt mit dem Schluss des Kalenderjahres, in dem die letzte Buchung erfolgte oder die Rechnung erstellt wurde. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO.

E-Rechnungen (ZUGFeRD 2.1): Seit dem 1. Januar 2025 sind alle Unternehmen verpflichtet, E-Rechnungen im B2B-Bereich zu empfangen (§ 14 UStG in der Fassung des Wachstumschancengesetzes, BGBl. 2024 I Nr. 108). Für die Ausstellung gelten gestaffelte Übergangsregelungen gemäß § 27 Abs. 38 UStG: Bis Ende 2026 sind Papierrechnungen für alle Unternehmen (mit Zustimmung des Empfängers) noch zulässig, bis Ende 2027 für Unternehmen mit bis zu 800.000 EUR Vorjahresumsatz. Ab dem 1. Januar 2028 gilt die vollständige E-Rechnungspflicht für alle inländischen B2B-Umsätze, einschließlich Kleinunternehmer (§ 19 UStG).

Gemäß den aktualisierten GoBD vom 14. Juli 2025 (2. Änderung) ist bei elektronischen Rechnungen die Aufbewahrung des strukturierten Teils (XML-Datensatz) ausreichend. Der bildhafte Teil (PDF) muss nur aufbewahrt werden, wenn er zusätzliche steuerlich relevante Informationen enthält. Bei hybriden E-Rechnungsformaten (ZUGFeRD) muss der strukturierte Datenteil erhalten bleiben. Hestia PMS speichert beide Teile zur Sicherheit und erstellt automatisch konforme E-Rechnungen.

5.4 Kassendaten und TSE (fiskaly)

Bei Nutzung der Kassenfunktion werden Transaktionsdaten mit einer zertifizierten technischen Sicherheitseinrichtung (TSE) signiert. Diese Daten werden entsprechend der GoBD für 10 Jahre aufbewahrt (Frist beginnt mit dem Schluss des Kalenderjahres der letzten Buchung). Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gemäß § 146a AO, KassenSichV).

Als TSE-Anbieter nutzen wir die Cloud-TSE von fiskaly GmbH, Schottenring 12, 1010 Wien, Österreich (BSI-zertifiziert). Bei jeder Kassentransaktion werden folgende Daten an fiskaly übermittelt:

• Transaktionsdaten (Beträge, Steuersätze, Zahlungsart)
• Zeitstempel der Transaktion
• Kassenidentifikation (Client-ID)

Es werden keine personenbezogenen Kundendaten (Namen, Adressen) an fiskaly übermittelt. Die Verarbeitung erfolgt ausschließlich in der EU (Österreich/Deutschland).

Hinweis ab 2026: Ab dem 1. Januar 2026 gelten verschärfte Anforderungen für Cloud-TSE. Der Notfallbetrieb bei Ausfall der Cloud-TSE ist nur noch in Verbindung mit einer lokalen TSE als Backup zulässig.

5.4a DSFinV-K-Export (Kassenprüfung)

Für die Kassennachschau und Kassenprüfung durch die Finanzverwaltung stellen wir einen DSFinV-K-Export (Digitale Schnittstelle der Finanzverwaltung für Kassensysteme, Version 2.4) zur Verfügung. Dieser Export enthält alle kassenbezogenen Daten gemäß den GoBD-Anforderungen (BMF-Schreiben vom 14. Juli 2025), darunter:

• Transaktionsdaten mit TSE-Signaturen
• Zahlungsarten und -beträge
• Buchungsjournal mit Zeitstempeln
• Stammdaten (Artikelgruppen, Steuersätze)

Der DSFinV-K-Export enthält keine Klarnamen von Gästen, sondern nur Gast-IDs, die eine Zuordnung zu Transaktionen ermöglichen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gemäß §§ 146a, 147 AO, GoBD).

5.5 Zahlungsarten (Buchungskonten)

Die Software ermöglicht die Erfassung verschiedener Zahlungsarten (z.B. Barzahlung, EC-Karte, Kreditkarte, Überweisung, PayPal, Stripe). Hierbei handelt es sich ausschließlich um Buchungskonten zur korrekten Zuordnung in der Buchhaltung und im DATEV-Export.

Wichtiger Hinweis: Es erfolgt keine direkte Integration mit externen Zahlungsterminals oder Zahlungsdienstleistern (Payment Service Provider). Die tatsächliche Zahlungsabwicklung findet außerhalb von Hestia PMS über die jeweiligen externen Terminals (z.B. EC-Kartenlesegerät) oder Konten des Hotels statt. Es werden keine Zahlungsdaten an PayPal, Stripe oder andere Zahlungsdienstleister von Hestia PMS übermittelt.

5.6 Technischer Support und Systemwartung

Zu Zwecken des technischen Supports, der Fehlerbehebung und der Systemwartung können autorisierte Mitarbeiter von Hestia PMS auf Ihr Hotelkonto zugreifen. Dies erfolgt ausschließlich:

• Bei konkreten Support-Anfragen Ihrerseits
• Zur Behebung technischer Probleme
• Zur Durchführung notwendiger Wartungsarbeiten

Protokollierung: Jeder administrative Zugriff wird vollständig im GoBD-konformen Audit-Log protokolliert (Zeitpunkt, Dauer, zugreifender Mitarbeiter, durchgeführte Aktionen). Diese Protokolle werden für 10 Jahre aufbewahrt und können auf Anfrage eingesehen werden.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - Bereitstellung eines funktionsfähigen Dienstes) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung der Betriebsfähigkeit).

5.7 Sicherheitsmaßnahmen und Protokollierung

Login-Schutz (Rate Limiting): Zum Schutz vor unbefugten Zugriffsversuchen werden fehlgeschlagene Login-Versuche mit IP-Adresse und E-Mail-Adresse für 24 Stunden gespeichert. Nach mehreren fehlgeschlagenen Versuchen erfolgt eine temporäre Sperrung des Zugangs. Nach erfolgreicher Anmeldung werden diese Daten automatisch gelöscht.

Audit-Protokollierung (GoBD-konform): Zur Erfüllung der GoBD-Anforderungen (BMF-Schreiben vom 14. Juli 2025, insbesondere Rz. 59 und 107) und zur Sicherstellung der Nachvollziehbarkeit werden alle Datenverarbeitungsvorgänge im System protokolliert. Dies umfasst:

• Art der Aktion (Erstellen, Ändern, Löschen, Abrufen)
• Zeitstempel der Aktion
• Benutzerkennung des ausführenden Mitarbeiters
• IP-Adresse und verwendeter Browser (pseudonymisiert nach 90 Tagen)
• Betroffener Datensatz mit Vorher-/Nachher-Werten (Field-Level-Tracking)
• Storno-Begründungen bei Stornierungen (Pflichtfeld gemäß GoBD)

Die Protokolle werden durch kryptografische Verkettung (SHA-256 Hash-Chain) vor nachträglicher Manipulation geschützt und für 10 Jahre aufbewahrt. Personenbezogene Daten in den Protokollen (z.B. E-Mail-Adressen in Anfragen) werden automatisch maskiert oder pseudonymisiert.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung gemäß GoBD, § 147 AO) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Systems).

5.8 IT-Sicherheitsstandards (NIS-2)

Wir orientieren uns bei unseren IT-Sicherheitsmaßnahmen an den Anforderungen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG), das seit dem 17. Januar 2025 in Kraft ist. Das BSI-Registrierungsportal ist seit Januar 2026 freigeschaltet. Betroffene Einrichtungen (ca. 29.500 Unternehmen bundesweit) müssen sich innerhalb von drei Monaten nach Feststellung der Betroffenheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Auch wenn wir als Anbieter möglicherweise nicht direkt in den Anwendungsbereich fallen, setzen wir bereits die folgenden Maßnahmen um:

• Systematisches Risikomanagement für IT-Systeme und Daten
• Maßnahmen zur Erkennung und Reaktion auf Sicherheitsvorfälle
• Regelmäßige Sicherheitsüberprüfungen und Updates
• Dokumentierte Prozesse zur Aufrechterhaltung der Betriebskontinuität
• Schulung der Mitarbeiter zu IT-Sicherheitsthemen

6. Externe Dienste

Google Places API (Adressautovervollständigung)

In der Gästeverwaltung nutzen wir optional die Google Places API zur Autovervollständigung von Adressen. Dabei werden bei Eingabe einer Adresse Daten an Google übermittelt, um passende Adressvorschläge anzuzeigen.

Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Bei Nutzern außerhalb des EWR kann eine Übermittlung an Google LLC in den USA erfolgen.

Folgende Daten werden an Google übermittelt:

• Die eingegebene Adresse (Suchbegriff)
• IP-Adresse des Nutzers
• Browser- und Geräteinformationen

Rechtsgrundlage für Datentransfer in die USA: Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss C(2023) 4745 final vom 10. Juli 2023, bestätigt durch EuG-Urteil vom 3. September 2025). Zusätzlich haben wir EU-Standardvertragsklauseln (SCCs) abgeschlossen.

Hinweis: Gegen das EuG-Urteil wurde am 29. Oktober 2025 Berufung zum EuGH eingelegt (Rechtssache C-703/25 P – siehe Abschnitt 2 „Hosting“). Diese Funktion kann in den Einstellungen deaktiviert werden, falls Sie das erhöhte Rechtsrisiko vermeiden möchten.

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Adresseingabe). Die Funktion kann in den Einstellungen deaktiviert werden, wobei Adressen dann manuell eingegeben werden müssen.

7. Analyse-Tools

Vercel Analytics

Wir nutzen Vercel Analytics zur Analyse des Nutzerverhaltens auf unserer Website. Vercel Analytics ist ein datenschutzfreundliches Analysetool, das keine personenbezogenen Daten speichert und keine Cookies setzt.

Es werden lediglich anonymisierte, aggregierte Daten erfasst wie:

• Seitenaufrufe
• Verweildauer
• Gerätetyp (anonymisiert)
• Herkunftsland (anonymisiert)

Die Nutzung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Optimierung unserer Website). Da keine personenbezogenen Daten verarbeitet werden, ist keine Einwilligung erforderlich.

8. Newsletter

Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse sind und mit dem Empfang des Newsletters einverstanden sind.

Wir verwenden das sogenannte Double-Opt-In-Verfahren. Nach Ihrer Anmeldung erhalten Sie eine E-Mail, in der Sie um Bestätigung gebeten werden. Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können die erteilte Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter.

Protokollierung der Anmeldung

Zur Nachweisbarkeit der Einwilligung (Art. 7 Abs. 1 DSGVO) protokollieren wir bei der Newsletter-Anmeldung:

• Zeitpunkt der Anmeldung und der Bestätigung
• IP-Adresse bei der Anmeldung und Bestätigung
• Quelle der Anmeldung (Website, Check-in, etc.)
• Bestätigungs-Token (einmaliger Sicherheitscode)

Diese Daten werden für die Dauer der Newsletter-Anmeldung gespeichert. Bei Abmeldung wird das Datum der Abmeldung protokolliert, die sonstigen Daten werden gelöscht.

9. E-Mail-Versand

Der Versand von E-Mails aus Hestia PMS (z.B. Buchungsbestätigungen, Angebote, Rechnungen) erfolgt über die eigenen E-Mail-Server (SMTP) des jeweiligen Hotels. Hotels können ihre SMTP-Zugangsdaten in den Einstellungen konfigurieren.

Wichtig für Hotels: Als Nutzer von Hestia PMS sind Sie selbst für die Auswahl und Konfiguration Ihres E-Mail-Servers verantwortlich. Stellen Sie sicher, dass Ihr E-Mail-Anbieter DSGVO-konform arbeitet und Sie ggf. einen Auftragsverarbeitungsvertrag mit diesem abgeschlossen haben.

Hestia PMS speichert die SMTP-Zugangsdaten verschlüsselt. E-Mails werden direkt vom konfigurierten Server des Hotels versendet, ohne dass die Inhalte über Server des Anbieters geleitet werden.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation mit Gästen).

10. Zusammenfassung Ihrer Rechte

10.1 Rechte nach DSGVO

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre verarbeiteten Daten verlangen.
• Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Datenverarbeitung verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in maschinenlesbarem Format verlangen.
• Widerspruchsrecht (Art. 21 DSGVO): Sie können der Datenverarbeitung widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sie können erteilte Einwilligungen jederzeit widerrufen.

10.2 Rechte nach EU Data Act (Verordnung (EU) 2023/2854)

Seit dem 12. September 2025 haben Sie als Nutzer unseres SaaS-Dienstes zusätzlich folgende Rechte:

• Datenzugang: Sie können jederzeit auf alle Ihre im System gespeicherten Daten zugreifen und diese exportieren.
• Datenportabilität (Cloud Switching): Sie haben das Recht, Ihre Daten in strukturierten, maschinenlesbaren und standardisierten Formaten (CSV, JSON, PDF) zu erhalten, um zu einem anderen Anbieter zu wechseln.
• Wechselunterstützung: Wir unterstützen Sie bei einem Anbieterwechsel durch kostenlose Bereitstellung aller Export-Funktionen.
• Keine unfairen Vertragsklauseln: Wir verzichten auf Klauseln, die Ihre Datenzugangs- und Portabilitätsrechte unangemessen einschränken würden.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:contact@hestia-pms.com

11. Aktualität und Änderung dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Februar 2026. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website von Ihnen abgerufen und ausgedruckt werden.