Datenschutzhinweise über die Verarbeitung Ihrer personenbezogenen Daten in den a&o Hostels & Hotels

Mit diesen Datenschutzhinweisen möchten wir Sie als Gast unseres Hostels (der Einfachheit halber wird im Folgenden der Begriff „Hostel“ einheitlich für unsere Hostels und Hotels genutzt) oder Besucher über die Erhebung, Verarbeitung und Speicherung Ihrer personenbezogenen Daten in unseren Hostels innerhalb Europa informieren.

Die Europäische Datenschutz-Grundverordnung (im Folgenden als DSGVO abgekürzt) und die jeweiligen nationalen Datenschutzgesetze haben unter anderem zum Ziel, dass die von Datenverarbeitungen betroffenen Personen sich darüber bewusst sind, inwieweit ihre personenbezogenen Daten verarbeitet werden.

Personenbezogene Daten sind solche Daten, die mit Ihrer Person in Bezug stehen oder einen Rückschluss auf Ihre Person zulassen (also beispielsweise Ihr Name, Ihr Geburtsdatum oder Ihre Handynummer). Im Folgenden sprechen wir abgekürzt von „Daten“. Hiermit sind stets personenbezogene Daten gemeint. Mit der „Verarbeitung von Daten“ ist im Folgenden jegliche Erhebung, Speicherung oder anderweitige Verwendung von Daten gemeint.

  1. Verantwortlichkeit und Ansprechpartner

    a) Verantwortlicher für die allgemeine Datenverarbeitung in unseren Hostels

    Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten bei dem Besuch eines unserer Hostels ist im Sinne der DSGVO die jeweilige a&o-Betriebsgesellschaft. Die Liste der Betriebsgesellschaften finden Sie hier.

    b) Datenschutzbeauftragter

    Für alle Fragen zum Thema Datenschutz in Zusammenhang mit der Datenverarbeitung in den Hostels können Sie sich jederzeit auch an unseren Datenschutzbeauftragten wenden. Dieser ist unter der E-Mail-Adresse: [email protected] erreichbar.

  2. Daten, die wir verarbeiten und die wir bei Ihnen erheben

    Wir erfassen folgende personenbezogene Daten in unseren Hostels:

    • Ihre persönlichen Daten in den Meldescheinen: Mit diesen erheben wir insbesondere das Datum der Ankunft und der voraussichtlichen Abreise, den Vor- und Zunamen, das Geburtsdatum, die Staatsangehörigkeit, die Anschrift, die Zahl der Mitreisenden und ihre Staatsangehörigkeit sowie - bei ausländischen Personen - die Seriennummer des Passes oder Passersatzes;
    • Ihre persönlichen Daten bei der Kartenzahlung: Hostelkosten, Datum, Bank-, Kreditkartendaten (verschlüsselt);
    • Ihre persönlichen Daten, die Sie für den Erhalt der Traveller Card angeben: Rechnungsadresse, Telefonnummer, Emailadresse, Travellercardkategorie;
    • Daten über den Einsatz elektronischer Hostelzimmerschlüssel um die Sicherheit unserer Gäste zu gewährleisten und unbefugte Zutritt dokumentieren zu können;
    • KFZ-Kennzeichen für Parkservice;
    • Daten, die Sie freiwillig angeben können im Rahmen von Befragungen zu Kundenzufriedenheit;
    • WLAN-Verbindungsdaten;
    • Videoaufnahmen zur Wahrung der Sicherheit.
  3. Zwecke für die wir Ihre Daten verarbeiten und Rechtsgrundlagen

    Wir verarbeiten personenbezogene Daten gemäß den Bestimmungen der Europäischen Datenschutz- Grundverordnung (DS-GVO) und der jeweiligen nationalen Datenschutzgesetze.

    Die Verarbeitung Ihrer personenbezogenen Daten erfolgt für folgende Zwecke:

    • Zur Durchführung des Check-In. Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.
    • Für die Beherbergung. Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.
    • Für die Zahlungsabwicklung. Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.
    • Für die Erfüllung von Verträgen oder Erbringung von Service durch Dienstleister. Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.
    • Für die Erbringung besonderer Leistungen an Stammkunden (Traveller Card). Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. b DSGVO.
    • Zur Erfüllung rechtlicher Verpflichtungen. (Melderecht, Auskunfts- und Mitteilungspflichten, Steuerrecht, Handelsrecht). Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. c DSGVO.
    • Im Rahmen einer Interessenabwägung. Soweit erforderlich, verarbeiten wir personenbezogene Daten auch zur Wahrung berechtigter Interessen unseres Unternehmens oder berechtigter Interessen Dritter.

    Dazu gehören:

    • interne Auswertungen und Analysen sowie Marketingmaßnahmen
    • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
    • Verhinderung von bzw. Beweissicherung bei Straftaten (Aufnahmen der Videoüberwachung)
    • Gewährleistung der IT-Sicherheit und des IT-Betriebes

    Die Rechtsgrundlage dafür ist Art. 6 Abs. 1 lit. f DSGVO

    • Für den Versand von Bestandskundenwerbung. Wenn Sie schon mal Serviceleistungen in Anspruch genommen haben, senden wir Ihnen Werbung zu, die damit in Zusammenhang stehen. Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO beruhend auf unserem Interesse an Bestandskundenwerbung.
  4. Weitergabe Ihrer Daten

    Wir beschränken den Zugang zu Ihren personenbezogenen Daten auf die Mitarbeiter, die sie benötigen, um Dienstleistungen für Sie auszuführen:

    • Buchhaltung
    • IT
    • Marketing
    • Rezeption

    Alle unsere Mitarbeiter sind im Datenschutz geschult und verpflichtet, ordnungsgemäß mit Ihren Daten umzugehen. Wir kontrollieren die Einhaltung des Datenschutzes stetig und ergreifen Disziplinarmaßnahmen, soweit wir feststellen, dass mit personenbezogenen Daten nicht angemessen umgegangen wird. Ein Teil der Datenverarbeitung kann durch unsere Dienstleister erfolgen. Hierzu können insbesondere Rechenzentren, die unsere Website und Datenbanken speichern, IT-Dienstleister, die unsere Systeme warten, sowie Beratungsunternehmen gehören. Sofern wir Daten an unsere Dienstleister weitergeben, dürfen diese die Daten ausschließlich zur Erfüllung ihrer Aufgaben verwenden. Die Dienstleister wurden von uns sorgfältig ausgewählt und beauftragt. Sie sind vertraglich an unsere Weisungen gebunden, verfügen über geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte der betroffenen Personen und werden von uns regelmäßig kontrolliert. Im Bereich der Kartenzahlung (Lastschrift/Girocard/Kreditkarte) arbeiten wir zusammen mit der Concardis GmbH, Helfmann-Park 7 65760 Eschborn.

    Darüber hinaus kann eine Weitergabe in Zusammenhang mit behördlichen Anfragen, Gerichtsbeschlüssen und Rechtsverfahren erfolgen, wenn es für die Rechtsverfolgung oder -durchsetzung erforderlich ist.

  5. Speicherdauer

    Grundsätzlich speichern wir personenbezogene Daten nur solange, wie zur Erfüllung vertraglicher oder gesetzlicher Pflichten erforderlich, zu denen wir die Daten erhoben haben. Danach löschen wir die Daten unverzüglich, es sei denn, wir benötigen die Daten noch bis zum Ablauf der gesetzlichen Verjährungsfrist zu Beweiszwecken für zivilrechtliche Ansprüche oder wegen gesetzlicher Aufbewahrungspflichten. Zu Beweiszwecken müssen wir Vertragsdaten noch drei Jahre ab Ende des Jahres, in dem die Geschäftsbeziehungen mit Ihnen enden, aufbewahren. Etwaige Ansprüche verjähren nach der gesetzlichen Regelverjährungsfrist frühestens zu diesem Zeitpunkt. Auch danach müssen wir Ihre Daten teilweise noch aus buchhalterischen Gründen speichern. Wir sind dazu wegen gesetzlicher Dokumentationspflichten, die sich je nach Land unterscheiden können, verpflichtet. Die dort vorgegebenen Fristen zur Aufbewahrung von Unterlagen betragen zwei bis zehn Jahre. Die Meldescheine werden grundsätzlich (mit einigen landesspezifischen Ausnahmen) vom Tag der Anreise an ein Jahr aufbewahrt und innerhalb von drei Monaten nach Ablauf der Aufbewahrungsfrist vernichtet. Für Meldescheine, die auch zur Erhebung der Fremdenverkehrs- und Kurbeiträge dienen, können jedoch längere Aufbewahrungsfristen aufgrund kommunaler Satzungen gelten.

    Videoaufzeichnungen in öffentlichen Bereichen werden automatisch nach einer Woche mit den dann erfolgenden Aufnahmen überschrieben, wenn nicht aufgrund eines bekannt gewordenen erheblichen Vorfalls vorher eine dauerhafte Sicherung erfolgt.

  6. Besonderheit in Italien, Tschechien und Ungarn

    In unseren Beherbergungsbetrieben in Italien Tschechien und Ungarn müssen wir erfasste Meldedaten aufgrund gesetzlicher Vorschriften elektronisch an die Meldebehörden übermitteln.

    6a. Biometrische Erfassung in Berlin Mitte und Amsterdam

    In unseren Beherbergungsbetrieben Berlin Mitte und Amsterdam erfassen wir im Rahmen eines Testbetriebs in der Lobby biometrische Daten von Personen. Wir verwenden dazu das System „AdPack“ der IDA Indoor Advertising GmbH (IDA). Die Erfassung dient dem Zweck, unseren Gästen Inhalte wie bspw. Werbung auf dem Monitor in der Lobby zu präsentieren, die auf Geschlecht und Altersgruppe der Mehrzahl der Personen im Sichtfeld des Monitors abgestimmt sind. Hierzu werden die vor der Kamera stehenden Person registriert und nach den Merkmalen Geschlecht und Altersgruppe ausgewertet. Die von der Kamera aufgenommenen Bilder werden für 150 Millisekunden zwischengespeichert und danach gelöscht. Weder a&o, noch IDA oder sonstige Dritte erhalten auf die Kamerabilder Zugriff. Gespeichert werden nur statistischen Daten zu den Parametern „Geschlecht“ und „Altersgruppe“. Ein Rückschluss auf die konkret erfassten Personen ist nicht möglich.

    6b. DATENERHEBUNG FÜR KONTAKTVERFOLGUNG IN DEUTSCHLAND (COVID-19)

    Um unserer Dokumentationspflicht und Unterstützung der Kontaktpersonenermittlung bei COVID-19 Infektionen nachzukommen, erheben wir in unseren Standorten in Deutschland vorübergehend zusätzliche Daten, um entsprechend der landesrechtlichen Vorschriften eine Kontaktnachverfolgung zu ermöglichen.

    Die Erhebung Ihrer personenbezogenen Daten an uns erfolgt bevorzugt durch den Service luca in einer der folgenden Formen:

    • Nutzung der luca App
    • Nutzung der luca Web-App
    • Nutzung des luca Badge
    • Nutzung des digitalen luca Kontaktformulars

    Das Einchecken mittels App kann dadurch erfolgen, dass entweder Sie unseren QR-Code scannen oder wir Ihren. Sofern Sie sich dafür entscheiden, unseren QR-Code zu scannen, ist das Einschalten der Kamera des Endgerätes erforderlich. Gespeichert wird jedoch nur die Aufnahme des QR-Codes. Weitere neue Daten werden nicht erhoben. Sofern Sie sich über das Kontaktformular im Browser bei uns anmelden, werden die unter Teil C beschriebenen Kontaktangaben neu erhoben.

    A. ART DER VERARBEITETEN DATEN

    Wir können die folgenden Daten von Ihnen verarbeiten, welche notwendig sind um eine Nachverfolgung nach Maßgabe der aktuellen Landesverordnung zur Eindämmung des Corona-Virus zu gewährleisten:

    • Kontaktdaten: Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse.
    • Aufenthaltsdaten: Datum Ihres Aufenthalts, Beginn und Ende Ihres Aufenthalts, Adresse Ihres Aufenthalts, Geo-Koordinaten Ihres Aufenthalts.
    • Zusätzliche Eingabedaten: Sonstige Informationen, die Sie durch Eingabefelder in der luca Applikation einreichen, wie z. B. Ihre Tischplatznummer.
    • Funktionale Daten: Datenzuordnungs-IDs, Schlüssel und QR-Codes.
    • Temporäre Nutzungsdaten: Daten, die bei der Nutzung der luca App zeitweise anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Browsers und installierter Browser Plug-Ins, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform.

    B. ZWECKE DER VERARBEITUNG | RECHTSGRUNDLAGE DER VERARBEITUNG

    Im Zuge der COVID-19 Beschränkungen müssen wir Ihre Kontaktdaten und Aufenthaltszeiten aufnehmen, damit in Fällen von Neuerkrankungen die Gesundheitsbehörde ggf. eine Kontaktkette nachvollziehen kann. Wenn wir Daten von Ihnen erhalten haben, werden wir diese grundsätzlich nur für diesen Zweck verarbeiten. Die folgende Übersicht beschreibt, zu welchen Zwecken und auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten verarbeiten:

    Verarbeitung und Zweck Rechtsgrundlage
    Erhebung Ihrer Kontaktdaten, Aufenthaltsdaten, Eingabedaten und Funktionalen Daten bei Besuch von unseren Räumlichkeiten und Veranstaltungen zur Erfüllung der gesetzlichen Verpflichtung Art. 6 (1) 1 c) DSGVO: Auf Grundlage zur Erfüllung rechtlicher Verpflichtungen
    Ermittlung Ihres Aufenthalts durch Ein- und Auschecken. Diese Funktionen können unterstützt werden durch die Nutzung der Kamera- sowie GPS-Funktion Ihres Handys, sofern Sie sich freiwillig dafür entscheiden. Nur die Information, zu welchem Zeitpunkt Sie sich bei uns Einchecken bzw. den Radius unserer Lokation verlassen wird gespeichert. Art. 6 (1) 1 a) DSGVO: Einwilligung Einwilligung durch Einschalten der GPS- bzw. Kamerafunktion, ggf. nach Aufforderung in der App. Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamera- bzw. GPS-Funktion ausschalten.
    Verschlüsselte Speicherung und weitere Verarbeitung Ihrer Kontaktdaten Eingabedaten und Funktionalen Daten innerhalb der IT-Infrastruktur der culture4life GmbH. Art. 6 (1) 1 c) DSGVO: Auf Grundlage zur Erfüllung rechtlicher Verpflichtungen
    Übermittlung Ihrer Kontaktdaten, Aufenthaltsdaten, Eingabedaten und funktionalen Daten an Gesundheitsbehörden Art. 6 (1) 1 c) DSGVO: Auf Grundlage zur Erfüllung rechtlicher Verpflichtungen

    C. EMPFÄNGER PERSONENBEZOGENER DATEN

    Das luca-System wird von der culture4life GmbH betrieben. Deren Unterauftragsnehmer sind Anbieter von Softwarewartungs- und Softwarebetriebsleistungen (derzeit neXenio GmbH) sowie Anbieter von ITInfrastrukturleistungen (derzeit Deutsche Telekom AG). Es besteht eine Vereinbarung zur Auftragsverarbeitung zwischen dem Verantwortlichen und der culture4life GmbH. Die genannten Empfänger und Unterauftragsnehmer können Ihre personenbezogenen Daten in keiner anderen Weise als zur Erfüllung der Dokumentationspflicht und zur Unterstützung der Kontaktpersonenermittlung für uns verwenden. Darüber hinaus können wir Ihre personenbezogenen Daten auf Nachfrage an die Gesundheitsbehörden freigeben um die Nachverfolgung zur ermöglichen.

    D. ÜBERMITTLUNG AN DRITTLÄNDER

    Eine Übermittlung an ein Drittland oder eine internationale Organisation wird nicht vorgenommen.

    E. DAUER DER SPEICHERUNG PERSONENBEZOGENER DATEN

    Wir speichern Ihre personenbezogenen Daten für die Dauer von 4 Wochen. Ihre personenbezogenen Daten werden nach Ablauf von vier Wochen gelöscht.

  7. Ihre Rechte

    Ihnen steht jederzeit das Recht zu, Auskunft über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu verlangen. Wir werden Ihnen im Rahmen der Auskunftserteilung die Datenverarbeitung erläutern und eine Übersicht der über Ihre Person gespeicherten Daten zur Verfügung stellen. Falls bei uns gespeicherte Daten falsch oder nicht mehr aktuell sein sollten, haben Sie das Recht, diese Daten berichtigen zu lassen. Sie können außerdem die Löschung Ihrer Daten verlangen. Sollte die Löschung aufgrund anderer Rechtsvorschriften ausnahmsweise nicht möglich sein, werden die Daten gesperrt, sodass Sie nur noch für diesen gesetzlichen Zweck verfügbar sind. Sie können die Verarbeitung Ihrer Daten außerdem einschränken lassen, z. B. wenn Sie der Auffassung sind, dass die von uns gespeicherten Daten nicht korrekt sind. Ihnen steht auch das Recht auf Datenübertragbarkeit zu, d. h., dass wir Ihnen auf Wunsch eine digitale Kopie der von Ihnen bereitgestellten personenbezogenen Daten zukommen lassen. Um Ihre hier beschriebenen Rechte geltenden zu machen, können Sie sich jederzeit an die oben genannten Kontaktdaten wenden. Dies gilt auch, sofern Sie Kopien von Garantien zum Nachweis eines angemessenen Datenschutzniveaus erhalten möchten. Zudem haben Sie das Recht der Datenverarbeitung zu widersprechen, die auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht. Sie haben schließlich das Recht sich bei der für uns zuständigen Datenschutzaufsichtsbehörde zu beschweren. Sie können dieses Recht bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. Die Übersicht der europäischen Kommission über die zuständigen Datenschutzbehörden für die jeweiligen Hostelstandorte finden Sie hier.

  8. Widerrufs- und Widerspruchsrecht

    Sie haben gemäß Artikel 7 Abs. 2 DSGVO das Recht, eine einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Soweit wir Ihre Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeiten, haben Sie gemäß Art. 21 DSGVO das Recht, Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben oder sich der Widerspruch gegen Direktwerbung richtet. Im letzteren Fall haben Sie ein generelles Widerspruchsrecht, das auch ohne die Angabe von Gründen von uns umgesetzt wird. Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine formlose Mitteilung an die an die oben genannten Kontaktdaten.

  9. Datensicherheit

    Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragungen sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst. Zur Sicherung der von Ihnen auf unserer Website angegebenen persönlichen Daten verwenden wir den Transport Layer Security (TLS), der die von Ihnen eingegebenen Informationen verschlüsselt.

  10. Änderungen der Datenschutzerklärung

    Gelegentlich aktualisieren wir diese Datenschutzerklärung, beispielsweise wenn wir unsere Website anpassen oder sich die gesetzlichen oder behördlichen Vorgaben ändern.