Datenschutzrichtlinien

Datenschutzrichtlinie

Im Folgenden informieren wir Sie gemäß Art. 13 der Datenschutz Grundverordnung (DSGVO) über die Verarbeitung Ihrer personenbezogenen Daten durch unser Unternehmen im Zusammenhang mit der Nutzung unserer Boardinghäuser, der Online-Buchung und unserer Dienstleistungen. Diese Datenschutzrichtlinie gilt für alle Gäste, Besucher unserer Webseite und Nutzer unserer Services.

1. Verantwortlicher
Verantwortliche Stelle für die Datenverarbeitung ist der Betreiber der Boardinghäuser in Heilbronn:
New Age Immobilien GmbH, Iltisweg 7, 75378 Bad Liebenzell
E-Mail: service@new-age-21.de
Telefon: +49 7052/9327180

Sollten Sie Fragen zum Datenschutz haben, können Sie sich unter den oben genannten Kontaktdaten an uns wenden. Gegebenenfalls haben wir einen Datenschutzbeauftragten bestellt; die Kontaktdaten unseres Datenschutzbeauftragten lauten: [Wenn zutreffend, hier Kontaktdaten des Datenschutzbeauftragten einfügen].

2. Verarbeitete Daten, Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten ausschließlich im gesetzlichen Rahmen. Je nach Beziehung zu uns (Gast, Website-Besucher, Bewerber etc.) können unterschiedliche Datenkategorien verarbeitet werden. Im Kontext der Boardinghaus-Buchungen und -Nutzung verarbeiten wir insbesondere folgende Daten zu nachstehenden Zwecken:

Buchungs- und Gastdaten: Bei der Reservierung und Buchung eines Apartments/Zimmers erheben wir Ihre Kontaktdaten (Name, Anschrift, Telefonnummer, E-Mail-Adresse) sowie Angaben zum Aufenthalt (Zeitraum, Unterkunftstyp, Anzahl der Gäste) und Zahlungsinformationen. Diese Daten benötigen wir zur Anbahnung und Durchführung des Beherbergungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Gegebenenfalls fragen wir auch nach besonderen Wünschen (z. B. barrierefreies Zimmer) oder Präferenzen, um Ihren Aufenthalt bestmöglich zu gestalten. Falls Sie über unsere Website buchen, erfassen wir zudem technische Daten (z. B. Ihre IP-Adresse zum Buchungszeitpunkt), um die Sicherheit und Nachvollziehbarkeit der Transaktion zu gewährleisten (berechtigtes Interesse, Art. 6 Abs. 1 lit.
f DSGVO).

Pflichtangaben bei Check-in (Meldegesetz): Nach dem deutschen Bundesmeldegesetz sind wir verpflichtet, von jedem Gast bei der Ankunft bestimmte Daten per Meldeschein zu erfassen (inkl. Name, Anschrift, Geburtsdatum, Staatsangehörigkeit, ggf. Seriennummer des
Passes, An-/Abreisedatum). Diese Meldescheindaten werden gemäß den gesetzlichen Vorgaben zu melderechtlichen Zwecken erhoben (Art. 6 Abs. 1 lit. c DSGVO, Erfüllung einer rechtlichen Verpflichtung) und für die vorgeschriebene Dauer aufbewahrt. Wir sind außerdem gesetzlich verpflichtet, diese Meldescheine ein Jahr aufzubewahren und danach
unverzüglich zu vernichten bzw. zu löschen, sofern keine längere Aufbewahrung zu Nachweiszwecken (z. B. bei behördlichen Prüfungen) erforderlich ist.

Zahlungsabwicklung: Zur Bezahlung Ihres Aufenthalts verarbeiten wir ggf. Ihre Zahlungsdaten (z. B. Kreditkartendaten, IBAN bei Überweisung). Die Zahlungsabwicklung kann über externe Zahlungsdienstleister (z. B. Kreditkartenunternehmen oder Payment-Service-Provider) erfolgen. In diesem Fall geben wir nur die erforderlichen Daten an diese Dienstleister weiter (z. B. Kartennummer, Gültigkeit, Prüfziffer, Betrag, Rechnungsnummer). Die Verarbeitung der Zahlungsdaten erfolgt zum Zweck der Vertragserfüllung und Zahlungsabwicklung (Art. 6 Abs. 1 lit. b DSGVO). Externe Zahlungsdienstleister behandeln Ihre Zahlungsdaten eigenverantwortlich nach deren Datenschutzhinweisen.

Gästeverwaltung und Kommunikation: Während Ihres Aufenthalts verarbeiten wir Ihre Daten, um die vertraglich vereinbarten Leistungen zu erbringen. Dazu zählt beispielsweise die Zimmerverwaltung, Reinigung, technische Wartung und alle Serviceleistungen, die Sie in Anspruch nehmen. Wenn Sie zusätzliche Services nutzen (etwa Frühstück, Wellnessangebote, Parkplatz), notieren wir dies zur Leistungsabrechnung. Ebenfalls können wir Ihre Kontaktdaten nutzen, um Sie bei Bedarf während des Aufenthalts zu kontaktieren (z. B. bei wichtigen Informationen zum Gebäude, bei Fundsachen oder Terminabsprachen für die Zimmerreinigung). Rechtsgrundlage ist erneut Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. bei optionalen Angeboten Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), falls Sie uns freiwillig zusätzliche Informationen geben.

Videoüberwachung: In öffentlich zugänglichen Bereichen unserer Boardinghäuser (z. B. Eingangsbereich, Lobby, Flure im Erdgeschoss oder Parkplätze) setzen wir aus Sicherheitsgründen Videoüberwachung ein. Die Kameras dienen dem Schutz unserer Gäste, Mitarbeiter und unseres Eigentums vor Diebstahl, Vandalismus und sonstigen Zwischenfällen. Hierbei werden Videoaufzeichnungen erstellt, die im Bedarfsfall (Vorfall) ausgewertet werden. Die Überwachung erfolgt auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Unser berechtigtes Interesse liegt in der Aufrechterhaltung der Sicherheit des Hauses und der Beweissicherung im Ereignisfall. Die Videoaufnahmen werden automatisch nach einer kurzen Aufbewahrungsdauer überschrieben bzw. gelöscht, sofern kein konkreter Anlass zur Aufbewahrung besteht. In der Regel beträgt die Speicherdauer 72 Stunden. Sollte ein Vorfall auftreten, der eine längere Speicherung zu Beweiszwecken erfordert (z. B. ein Diebstahl oder Sachbeschädigung), bewahren wir die betroffenen Aufnahmen bis zur finalen Klärung des Vorfalls auf und löschen sie anschließend. Auf die Videoüberwachung wird durch Piktogramme und Hinweisschilder an den überwachten Bereichen deutlich hingewiesen.

Website und Online-Daten: Bei Nutzung unserer Website (z. B. zur Online-Buchung oder Informationsbeschaffung) erheben wir in Server-Logfiles automatisch technische Zugriffsdaten (IP-Adresse, Datum/Uhrzeit der Anfrage, angeforderte Seite, verwendeter Browser, etc.), um die Sicherheit und Funktionsfähigkeit der Website zu gewährleisten
(berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO). Sofern wir auf unserer Website Cookies oder Analysetools einsetzen, informieren wir Sie hierüber gesondert in unseren Cookie-Richtlinien. Personenbezogene Daten über die Website (wie z. B. Ihr Name und Ihre Kontaktdaten bei Nutzung eines Kontaktformulars oder bei Online-Buchung) verarbeiten wir ausschließlich für den jeweiligen Kommunikationszweck bzw. zur Vertragsdurchführung (siehe oben). Ohne Ihre Einwilligung nutzen wir solche Daten nicht für andere Zwecke (z. B. Marketing).

Newsletter und Marketing (falls zutreffend): Wir versenden an unsere Gäste grundsätzlich keine Newsletter oder Werbung, es sei denn, Sie haben hierin ausdrücklich eingewilligt. Sollten Sie einen Newsletter abonnieren, verarbeiten wir Ihren Namen und Ihre E-Mail-Adresse auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z. B. über einen Abmeldelink im Newsletter oder durch Mitteilung an uns).

Bewerbungen (falls zutreffend): Sollten Sie sich bei uns bewerben, verarbeiten wir die von Ihnen eingereichten Kontaktdaten und Unterlagen ausschließlich für den Zweck des Bewerbungsverfahrens (Entscheidung über die Begründung eines Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 BDSG). Nicht erfolgreiche Bewerbungen werden gemäß den gesetzlichen Vorgaben gelöscht (spätestens 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung für eine längere Aufbewahrung vorliegt).

3. Empfänger der Daten
Ihre personenbezogenen Daten behandeln wir vertraulich. Innerhalb unseres Unternehmens erhalten nur diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen oder
gesetzlichen Pflichten benötigen (z. B. Rezeptionsmitarbeiter, Buchhaltung, Housekeeping im erforderlichen Umfang). Eine Weitergabe Ihrer Daten an externe Empfänger erfolgt nur, wenn dies
gesetzlich erlaubt ist und für die jeweiligen Zwecke erforderlich ist. Externe Empfänger können beispielsweise sein:

Auftragsverarbeiter: Dienstleister, die in unserem Auftrag handeln und uns bei der Datenverarbeitung unterstützen, z. B. IT-Dienstleister, Hosting-Provider unserer Buchungsplattorm, Anbieter von Schließsystemen (bei digitalen Schlüssel-Codes) oder Aktenvernichter. Mit diesen Auftragsverarbeitern schließen wir Verträge nach Art. 28 DSGVO ab, um den Schutz Ihrer Daten zu gewährleisten.

Zahlungsdienstleister und Banken: Zur Abwicklung von Zahlungen ggf. Ihre Bankdaten oder Kreditkartendaten an unsere Bank oder den jeweiligen Zahlungsdienstleister.

Behörden und öffentliche Stellen: Im Rahmen unserer gesetzlichen Pflichten können wir gegenüber Behörden auskunftspflichtig sein (etwa Meldedaten an die zuständige Meldebehörde, oder Herausgabe von Videoaufzeichnungen an Strafverfolgungsbehörden im Ereignisfall). Dies erfolgt ausschließlich auf gesetzlicher Grundlage.

Steuerberater/Wirtschaftsprüfer: Im Rahmen unserer Buchführungs- und steuerrechtlichen Pflichten kann es sein, dass externe Berater Einblick in personenbezogene Daten erhalten(z. B. in Rechnungen mit Ihrem Namen). Diese unterliegen ihrerseits beruflicher Verschwiegenheit und Datenschutz.

Sonstige Dritte: Nur wenn Sie uns hierzu auffordern oder Ihre Einwilligung erteilen, übermitteln wir Daten an Dritte. Zum Beispiel können Sie auf Wunsch eine Buchung über ein Reisebüro oder Buchungsportal vornehmen, das dann in eigenem datenschutzrechtlichen Verantwortungsbereich Ihre Daten an uns weitergibt. Eine Übermittlung Ihrer Daten in Länder außerhalb der EU/des EWR (Drittländer) erfolgt grundsätzlich nicht, außer wenn Sie über ein Buchungsportal mit Sitz außerhalb der EU buchen oder wir Dienstleister einsetzen, die außerhalb der EU ansässig sind. In solchen Fällen stellen wir sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch EUStandardvertragsklauseln). Konkrete Details hierzu teilen wir Ihnen gerne auf Anfrage mit.

4. Speicherdauer
Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Das bedeutet konkret:

Daten, die wir zur Durchführung des Beherbergungsvertrags verarbeiten (Buchungs- und Aufenthaltsdaten), werden zunächst für die Dauer des Vertrags gespeichert. Nach Beendigung des Aufenthalts behalten wir diese Daten vor, solange noch Ansprüche aus dem Vertragsverhältnis geltend gemacht werden können (gesetzliche Verjährungsfristen, in der Regel 3 Jahre).

Darüber hinaus speichern wir bestimmte Daten bis zum Ablauf gesetzlicher Aufbewahrungsfristen. Nach Handels- und Steuerrecht sind wir verpflichtet, Buchungsbelege, Rechnungen und Zahlungsunterlagen für 10 Jahre aufzubewahren, geschäftliche Korrespondenz (inkl. E-Mails, die für die Vertragsdurchführung relevant sind) für 6 Jahre. Diese Fristen beginnen jeweils am Ende des Kalenderjahres, in dem die letzte Eintragung erfolgte. Meldescheine nach Bundesmeldegesetz sind 1 Jahr aufzubewahren (siehe oben). Solange solche Unterlagen Daten von Ihnen enthalten, behalten wir diese im Zugriff, sperren sie jedoch bei Zweckwegfall für eine andere Verwendung.

Videoaufzeichnungen aus der Videoüberwachung werden – sofern kein Vorfall eine längere Speicherung erfordert – nach spätestens 72 Stunden automatisch überschrieben bzw. gelöscht.

Bewerbungsunterlagen bewahren wir im Falle einer Absage maximal 6 Monate auf (sofern keine Einwilligung für längere Speicherung vorliegt).

Wenn Sie uns eine Einwilligung erteilt haben (z. B. für Marketinginformationen), speichern wir die Daten bis zum Widerruf Ihrer Einwilligung bzw. solange wie angegeben.

Logfile-Daten der Website (IP-Adressen etc.) werden aus Sicherheitsgründen für ca. 7 Tage gespeichert und dann gelöscht (sofern kein Sicherheitsvorfall eine längere Speicherung notwendig macht).
Nach Ablauf der jeweiligen Fristen werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder zur Wahrung berechtigter Interessen erforderlich sind. In Einzelfällen können wir Daten länger speichern, wenn Sie im Einzelfall dazu eingewilligt haben oder gesetzliche Ansprüche dies erfordern.

5. Ihre Rechte als betroffene Person
Als von der Datenverarbeitung betroffene Person stehen Ihnen nach der DSGVO insbesondere die folgenden Rechte zu:

Auskunft (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns zu Ihrer Person verarbeiteten Daten zu verlangen. Dies umfasst Informationen zu den Verarbeitungszwecken, den Kategorien personenbezogener Daten, den Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, (falls möglich) die geplante Speicherdauer bzw. die Kriterien für die Festlegung der Dauer, sowie Informationen über Ihre Rechte.

Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten zu verlangen, die wir über Sie gespeichert haben.

Löschung (Art. 17 DSGVO): Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist beispielsweise der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, Sie eine erteilte Einwilligung widerrufen und es an einer anderweitigen Rechtsgrundlage fehlt, oder wenn die Verarbeitung unrechtmäßig erfolgt. Bitte beachten Sie, dass gesetzliche Aufbewahrungsfristen oder andere gesetzliche Pflichten einer sofortigen Löschung entgegenstehen können – in solchen Fällen tritt an Stelle der Löschung eine Einschränkung der Verarbeitung.

Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie haben das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten zu verlangen. Z. B. wenn Sie die Richtigkeit der Daten bestreiten, für die Dauer, die es uns ermöglicht, die Richtigkeit zu überprüfen; oder wenn Sie Widerspruch gegen die Verarbeitung eingelegt haben, bis zur Klärung, ob unsere berechtigten Gründe Ihre Interessen überwiegen.

Datenübertragbarkeit (Art. 20 DSGVO): Wenn die Verarbeitung auf Ihrer Einwilligung oder auf einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt, haben Sie das Recht, die von Ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zu übermitteln.

Widerspruch (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, die wir auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) durchführen (dazu zählt z. B. die Videoüberwachung oder
Direktwerbung). Legen Sie Widerspruch ein, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Insbesondere im Falle der Direktwerbung werden wir einem Widerspruch stets entsprechen und Ihre Daten hierfür künftig nicht mehr verarbeiten.

Widerspruch (Art. 21 DSGVO):
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, die wir auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) durchführen (dazu zählt z. B. die Videoüberwachung oder Direktwerbung). Legen Sie Widerspruch ein, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Insbesondere im Falle der Direktwerbung werden wir einem Widerspruch stets entsprechen und Ihre Daten hierfür künftig nicht mehr verarbeiten.

Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO):
Wenn Sie uns eine Einwilligung zur Datenverarbeitung erteilt haben (z. B. für einen Newsletter), können Sie diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf lässt die Rechtmäßigkeit der Verarbeitung bis zum Widerruf unberührt.

Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO):
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Die für uns zuständige Behörde ist in der Regel der Landesbeauftragte für Datenschutz Baden-Württemberg (LfDI BW), Königstraße 10a, 70173 Stuttgart. Sie können Ihre Beschwerde aber auch an jede andere Aufsichtsbehörde richten.

Zur Ausübung Ihrer Rechte können Sie uns jederzeit formlos über die oben genannten Kontaktdaten kontaktieren. Bitte geben Sie dabei an, um welches Recht Sie ausüben möchten, und machen Sie – im Falle des Auskunfts- oder Widerspruchsrechts – möglichst genaue Angaben zur Verarbeitung, auf die sich Ihr Anliegen bezieht, um uns die Zuordnung zu erleichtern.

5. Ihre Rechte als betroffene Person
Als betroffene Person haben Sie gemäß DSGVO verschiedene Rechte:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über Sie verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen wie z. B. die Verarbeitungszwecke, Kategorien der Daten, Empfänger oder geplante Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen oder unvollständige Daten zu vervollständigen.

Recht auf Löschung (Art. 17 DSGVO): Unter bestimmten Voraussetzungen können Sie die Löschung Ihrer personenbezogenen Daten verlangen, z. B. wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind oder wenn Sie Ihre Einwilligung widerrufen haben und keine andere Rechtsgrundlage vorliegt.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen, z. B. wenn Sie die Richtigkeit der Daten bestreiten oder die Verarbeitung unrechtmäßig ist und Sie statt der Löschung die Einschränkung verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, personenbezogene Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.

Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, wenn diese auf Grundlage berechtigter Interessen erfolgt. Bei Direktwerbung gilt ein generelles Widerspruchsrecht.

Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO): Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, können Sie sich bei einer Datenschutzaufsichtsbehörde beschweren. Zuständig für uns ist in der Regel der Landesbeauftragte für Datenschutz Baden-Württemberg, Königstraße 10a, 70173 Stuttgart. Sie können sich aber auch an jede andere Aufsichtsbehörde wenden.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit formlos über die oben genannten Kontaktdaten an uns wenden. Bitte geben Sie dabei an, welches Recht Sie ausüben möchten und machen Sie – im Fall des Auskunfts- oder Widerspruchsrechts – möglichst genaue Angaben zur Verarbeitung, auf die sich Ihr Anliegen bezieht.

6. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung und vor unberechtigter Offenlegung oder unberechtigtem Zugriff zu schützen. Dazu gehören zum Beispiel die Verwendung von Verschlüsselungstechnologien bei der Datenübertragung (SSL-Verschlüsselung auf unserer Website), Zugriffsbeschränkungen auf Ihre Daten nach dem “Need-to-know”-Prinzip, regelmäßige Sicherheitsüberprüfungen sowie die Sensibilisierung unserer Mitarbeiter im Datenschutz. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

7. Aktualität und Änderungen dieser Datenschutzrichtlinie
Diese Datenschutzerklärung hat den Stand April 2025. Wir überprüfen die Richtlinie regelmäßig und passen sie an, sobald Änderungen in der Datenverarbeitung oder der Rechtslage dies erfordern. Die jeweils aktuelle Fassung ist jederzeit auf unserer Website abrufbar oder kann an der Rezeption eingesehen werden. Bei wesentlichen Änderungen, die Ihre Einwilligung betreffen oder die nachteilige Auswirkungen auf Sie haben könnten, werden wir Sie auf angemessene Weise informieren (z. B. durch Aushang in unseren Häusern und/oder individuelle Benachrichtigung).

Data Protection Policy

The following information is provided in accordance with Article 13 of the General Data Protection Regulation (GDPR) to inform you about the processing of your personal data by our company in connection with the use of our boarding houses, online booking, and related services. This Data Protection Policy applies to all guests, visitors of our website, and users of our services.

1. Controller (Data Controller)
The entity responsible for data processing (the Controller) is the company operating the boarding houses in Heilbronn:
New Age Immobilien GmbH, Iltisweg 7, 75378 Bad Liebenzell
E-Mail: service@new-age-21.de
Telefon: +49 7052/9327180
If you have any questions about data protection, you can contact us using the contact details above. If we have appointed a Data Protection Officer, you may reach them at: [Insert Data Protection Officer’s contact information, if applicable].

2. Data Processed, Purposes and Legal Bases
We process personal data strictly in accordance with legal requirements. Depending on your relationship with us (e.g. guest, website visitor, job applicant), different categories of data may be processed. In the context of booking and using our boarding house accommodations, we primarily process the following data for the purposes outlined below:

• Booking and Guest Data: When you reserve and book an apartment/room, we collect your contact details (name, address, phone number, email address) as well as information about your stay (dates, accommodation type, number of guests) and payment information. We need this data to initiate and fulfill the accommodation contract (Art. 6(1)(b) GDPR). If you make special requests (e.g. a barrier-free room) or provide preferences, we record these to make your stay as comfortable as possible. If you book via our website, we also capture technical data (e.g. your IP address at the time of booking) to ensure the security and traceability of the transaction (legitimate interest, Art. 6(1)(f) GDPR).
• Mandatory check-in information (Registration Law): Under German law (Bundesmeldegesetz), we are required to collect certain information from every guest upon arrival via a registration form (including name, address, date of birth, nationality, and in some cases passport number, as well as arrival and departure dates). This data is collected for fulfilling legal obligations (Art. 6(1)(c) GDPR – compliance with a legal requirement) and is retained for the period mandated by law. Specifically, we must keep these registration forms for one year after recording and then destroy them, unless a longer retention is required for verification by authorities.
• Payment Processing: To process payment for your stay, we may handle your payment details (e.g. credit card details, IBAN for bank transfer). Payment processing might be conducted via external payment service providers (such as credit card companies or payment processors). In such cases, we only share the data necessary for the transaction (e.g. card number, expiration date, CVV, amount, invoice reference) with these providers. The processing of payment data is carried out for the purpose of contract performance and payment processing (Art. 6(1)(b) GDPR). External payment providers process your payment information under their own responsibility according to their privacy policies.
• Guest Management and Communication: During your stay, we process your data to provide the services under the accommodation contract. This includes room management, housekeeping, technical maintenance, and any service you request. If you use additional services (such as breakfast, wellness facilities, parking), we record this for billing purposes. We may also use your contact details to reach out to you if necessary during your stay (e.g. important building information, lost & found items, or scheduling room cleaning). The legal basis for this is again contract performance (Art. 6(1)(b) GDPR) and, for optional services or information you voluntarily provide, your consent (Art. 6(1)(a) GDPR).
• Video Surveillance: We utilize video surveillance in certain public areas of our boarding houses (e.g. entrances, lobby, ground floor corridors, or parking areas) for security reasons. Cameras are in place to protect our guests, employees, and property from theft, vandalism, and other incidents. Video footage is recorded and may be reviewed in case of an incident. Surveillance is conducted on the basis of our legitimate interests (Art. 6(1)(f) GDPR). Our legitimate interest lies in maintaining the safety and security of the premises and preserving evidence in the event of an incident. Video recordings are automatically overwritten or deleted after a short retention period unless a specific incident necessitates retention. Generally, footage is retained for no more than 72 hours. Should an incident occur that requires evidence preservation (e.g. theft or property damage), we will retain the relevant recordings until the incident is resolved and then delete them. We clearly indicate video-surveilled areas with signage and camera symbols as required by law.
• Website and Online Data: When you use our website (for example, to book online or gather information), our server automatically collects technical access data in log files (IP address, date/time, requested page, browser type, etc.) to ensure the security and functionality of the website (legitimate interest, Art. 6(1)(f) GDPR). If we use cookies or analytics tools on our website, we inform you separately via our cookie policy or similar notices. Personal data provided via the website (such as your name and contact information when using a contact form or booking online) will be processed solely for the purpose of that communication or to carry out the booking (as described above). We will not use such data for any other purposes (e.g. marketing) without your consent.
• Newsletter and Marketing (if applicable): We generally do not send newsletters or promotional emails to our guests unless you have explicitly opted in. If you subscribe to a newsletter, we will process your name and email address based on your consent (Art. 6(1)(a) GDPR). You can withdraw your consent at any time with future effect (for instance, via the unsubscribe link in the newsletter or by contacting us).
• Job Applications (if applicable): If you apply for a job with us, we will process the contact details and documents you provide solely for the purpose of handling your application (deciding on the establishment of an employment relationship, Art. 6(1)(b) GDPR in conjunction with § 26 BDSG, the German Federal Data Protection Act). Unsuccessful applications are deleted in accordance with legal requirements (usually no later than 6 months after the conclusion of the application process, unless you have consented to a longer retention period).

3. Recipients of Data
We treat your personal data as confidential. Within our organization, only those departments or personnel that need your data to fulfill our contractual or legal obligations have access to it (e.g. front desk staff, accounting, housekeeping to the extent necessary). We will only disclose your data to external recipients if it is legally permitted and necessary for the respective purposes. External recipients may include:

• Data Processors: Service providers who act on our behalf and assist us in data processing, such as IT service providers, hosting providers for our booking platform, electronic lock system providers (for digital key codes), or document destruction services. We conclude data processing agreements (Art. 28 GDPR) with these processors to ensure the protection of your data.
• Payment service providers and banks: Your bank or the respective payment provider will receive your payment data (where necessary) to process payments.
• Authorities and Public Bodies: We may be legally required to provide data to authorities (for example, providing registration data to the local registration office, or supplying video footage to law enforcement in case of an incident). Such disclosures occur only on a legal basis.
• Tax Advisors/Auditors: In complying with our accounting and tax obligations, external auditors or tax consultants may have access to personal data (e.g. in invoices containing your name). These professionals are themselves bound by confidentiality and data protection laws.
• Other Third Parties: We will only share your data with other third parties if you have instructed us to do so or given consent. For instance, if you choose to book through a travel agency or booking portal, that platform (as a controller in its own right) will forward your data to us.
• As a rule, we do not transfer your data to countries outside the EU/EEA (third countries), unless you use a booking platform based outside the EU or we employ service providers located outside the EU. In such cases, we ensure an adequate level of data protection (e.g. by using EU Standard Contractual Clauses). We are happy to provide you with more details about such measures upon request.

4. Retention Period
We process and store personal data only for as long as necessary for the respective purpose or as required by law. In practice, this means:

• Data processed for fulfilling the accommodation contract (booking and stay information) are kept for the duration of the contract. After your stay ends, we retain this data as long as claims can be made from the contractual relationship (statutory limitation periods, typically 3 years in Germany).
• In addition, we retain certain data until the expiration of statutory retention periods. Under commercial and tax law, we are obligated to keep booking records, invoices, and payment records for 10 years, and business correspondence (including emails relevant to contract execution) for 6 years. These periods generally start at the end of the calendar year in which the record was created. Registration forms under the federal registration law must be stored for 1 year (see above). During these retention periods, data is kept only for compliance purposes and is not processed for other purposes. It will be deleted once no longer required for compliance.
• Video surveillance recordings are, as mentioned, overwritten or deleted after 72 hours at the latest, unless an incident requires longer retention for evidence.
• Application materials for job candidates are kept for a maximum of 6 months after the end of the process if the application was not successful (unless you consented to longer storage).
• If you have given us consent (e.g. to receive marketing information), we store the data covered by that consent until you revoke it or until the purpose of the consent no longer applies.
• Website server log data (IP addresses, etc.) are stored for about 7 days for security reasons and then deleted, provided no security incident necessitates longer retention.

After the relevant periods expire, the corresponding data is routinely deleted, as long as it is no longer required for contract fulfillment or for the preservation of our legitimate interests. In some cases, we may store data longer if you have given consent for extended storage or if it is necessary for the establishment, exercise, or defense of legal claims.

5. Your Rights as a Data Subject
As a person affected by the data processing, you have several rights under the GDPR. Specifically, you have the following rights:

• Right of Access (Art. 15 GDPR): You have the right to request confirmation as to whether we process personal data concerning you, and if so, to obtain information about that data. This includes details about the purposes of processing, the categories of personal data, the recipients or categories of recipients to whom your data has been or will be disclosed, (if possible) the envisaged period for which the personal data will be stored or the criteria used to determine that period, and information about your rights.
• Right to Rectification (Art. 16 GDPR): You have the right to request the correction of inaccurate personal data concerning you without undue delay, and to have incomplete personal data completed.
• Right to Erasure (Art. 17 GDPR): You have the right to request the deletion of your personal data if the legal conditions are met. This is the case, for example, if the data are no longer necessary for the purposes for which they were collected, if you withdraw a consent and there is no other legal basis, or if the processing is unlawful. Please note that legal retention requirements or other legal obligations might prevent immediate erasure – in such cases, the data will be blocked (restricted) instead of erased until the retention period expires.
• Right to Restriction of Processing (Art. 18 GDPR): You have the right to request the restriction of processing of your personal data under certain conditions. For instance, if you contest the accuracy of the data, you may request restriction for the time it takes us to verify accuracy; or if you have objected to processing (see below) pending the verification of whether our legitimate grounds override yours.
• Right to Data Portability (Art. 20 GDPR): Where processing is based on your consent or on a contract and carried out by automated means, you have the right to receive the personal data you provided to us in a structured, commonly used, machine-readable format, and to have those data transmitted to another controller, where technically feasible.
• Right to Object (Art. 21 GDPR): You have the right to object at any time, on grounds relating to your particular situation, to the processing of your personal data which is based on our legitimate interests (Art. 6(1)(f) GDPR) (this includes, for example, video surveillance or direct marketing). If you lodge an objection, we will cease processing your data unless we can demonstrate compelling legitimate grounds for the processing that override your interests, rights and freedoms, or the processing is for the establishment, exercise or defense of legal claims. In particular, if you object to processing for direct marketing purposes, we will always comply and stop using your data for that purpose.
• Right to Withdraw Consent (Art. 7(3) GDPR): If you have given us consent to process your data (e.g. for a newsletter), you have the right to withdraw that consent at any time with future effect. The withdrawal of consent does not affect the lawfulness of processing based on consent before its withdrawal.
• Right to Lodge a Complaint (Art. 77 GDPR): If you believe that the processing of your personal data violates data protection laws, you have the right to file a complaint with a supervisory authority. The supervisory authority responsible for us is typically the State Commissioner for Data Protection of Baden-Württemberg (LfDI BW), Königstrasse 10a, 70173 Stuttgart, Germany. You may, however, lodge a complaint with any other data protection supervisory authority.

To exercise your rights, you can contact us at any time via the contact details provided above. Please specify which right you wish to exercise and, if applicable, to which processing activity your request relates (for instance, if it’s a request for information or an objection, providing relevant context will help us address your concern effectively).

6. Data Security
We implement appropriate technical and organizational measures to protect your personal data against accidental or unlawful destruction, loss, alteration, unauthorized disclosure, or access. These measures include, for example, using encryption technology for data transmission (SSL encryption on our website), restricting access to personal data to employees on a need-to-know basis, regular security reviews, and training our staff on data protection. We continuously adapt our security measures in line with technological developments.

7. Updates to this Data Protection Policy
This Data Protection Policy is current as of April 2025. We regularly review our privacy practices and may update this policy as necessary to reflect changes in our data processing activities or legal requirements. The latest version is always available on our website and can be reviewed at our reception. If we make significant changes that require your consent or that have an impact on you (for example, if we introduce new processing purposes), we will inform you in an appropriate manner (e.g. via a notice in our facilities and/or direct communication).