DATENSCHUTZERKLÄRUNG – PRIVACY POLICY
Obersinner Karin, mit Sitz in 39030 Gsies (BZ), St. Martin 9/a, als Inhaber der Datenverarbeitung (nachfolgend „Inhaber„), informiert Sie gemäß Art. 13 EU-Verordnung Nr. 2016/679 (im Folgenden „GDPR„), dass Ihre Daten auf folgende Weise und zu folgenden Zwecken verarbeitet werden:
- Gegenstand der Behandlung
Der Inhaber verarbeitet die von Ihnen bei der Vertragsgestaltung für die Produkte/Dienstleistungen des Inhabers mitgeteilten personenbezogenen Daten (z.B. Name, Vorname, Firmenname, Anschrift, Telefon-Nummer, Handy-Nummer, Fax-Nummer, E-Mail, PEC-Mail, SDI-Kodex, Steuernummer, MwSt. Nummer, Bank- und Zahlungsinformationen – im Folgenden „personenbezogene Daten“ oder auch „Daten„).
2.1 Zweck der Behandlung
Ihre persönlichen Daten werden verarbeitet:
A) gemäß Artikel 6 b) und c) GDPR für folgende Zwecke:
– Ausführung des Vertragsgegenstandes, an dem Sie beteiligt sind, oder Durchführung vorvertraglicher Maßnahmen auf Ihren Wunsch;
– Erfüllung vorvertraglicher, vertraglicher und steuerlicher Verpflichtungen aus den mit Ihnen laufenden Beziehungen;
– Einhaltung von Verpflichtungen, die sich aus Gesetzen, Verordnungen, EU-Rechtsvorschriften oder einer Anordnung der Behörde ergeben (z.B. im Bereich der Geldwäschebekämpfung);
– die Ausübung der Rechte des Inhabers, wie z.B. das Recht auf Verteidigung in Gerichtsverfahren;
Wir informieren Sie, dass wir Ihnen, wenn Sie bereits unser Kunde sind, kommerzielle Mitteilungen über Produkte/Dienstleistungen des Inhabers senden können, die denen entsprechen, die Sie bereits bei uns durch eine frühere Geschäftsbeziehung gekauft haben, es sei denn, Sie sind anderer Meinung.
B) Nur mit Ihrer ausdrücklichen und gesonderten Zustimmung (Art. 7 GDPR), für die folgenden Marketingzwecke:
– Ihnen per Newsletter, E-Mail, Post, SMS, WhatsApp Messenger und/oder Telefonkontakte, kommerzielle Mitteilungen und/oder Werbematerial über die vom Inhaber der Datenverarbeitung angebotenen Produkte/Dienstleistungen zu zusenden und das Niveau der Zufriedenheit mit der Qualität der Produkte/Dienstleistungen zu ermitteln;
2.2 Datenschutzinformation des Betriebes zum Touristmanager
a. Der Betrieb Haus Kargruber der Obersinner Karin, mit Sitz in 39030 Gsies (BZ), St. Martin 9/a, („Betrieb“) ist datenschutzrechtlicher Verantwortlicher hinsichtlich der Verarbeitung personenbezogener Daten im Touristmanager, welchen er zur Gästeverwaltung nutzt.
b. Der Betrieb respektiert und schützt das Recht auf Datenschutz und Privatsphäre und ergreift alle gesetzlich erforderlichen Maßnahmen, um die personenbezogenen Daten der Gäste zu schützen.
c. In der Folge können Sie sich in dieser Datenschutzinformation schnell und einfach einen Überblick verschaffen, welche personenbezogenen Daten von Ihnen als Interessent und/ oder Gast für welche Zwecke und auf welcher Rechtsgrundlage verarbeitet werden. Weiters werden Sie über Ihre datenschutzgesetzlichen Rechte, die sog Betroffenenrechte, informiert.
2.3 Datenverarbeitung im Touristmanager
a. Mit dem Touristmanager verwaltet und verarbeitet der Betrieb insbesondere die Daten seiner (potentiellen) Gäste, nämlich Name, Adresse, in Anspruch genommene Leistungen und Unterlagen und Korrespondenz dazu, Geburtsdatum, Geschlecht, Nationalität, Geburtsland, Dokumentdaten, Buchhaltungs- und Zahlungsdaten, bekannt gegebene Interessen, bekannt gegebene Unverträglichkeiten, Behinderungen bzw. sonstige Gesundheitsdaten, Meldedaten und Aufenthaltsdaten. Der Betrieb kann damit auch die Leistung der Ortstaxe, die Meldung der in Gastbetrieben beherbergten Personen (polizeiliche Meldung) und die erforderlichen Statistiken abwickeln. Soweit die entsprechenden Daten nicht bekannt gegeben werden, können in der Regel die Leistungen durch den Betrieb nicht erbracht werden.
b. Rechtsgrundlage der Verarbeitung ist einerseits die Erforderlichkeit für die Erfüllung des Vertrages des Betriebs mit dem Gast oder zur Durchführung vorvertragliche Maßnahmen, die auf Anfrage des Gastes (Art. 6 Abs. 1 lit. b DSGVO) bzw. – insbesondere hinsichtlich etwaiger Gesundheitsdaten – die jeweilige (ausdrückliche) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO), welche gemäß den bei der jeweiligen Einwilligung vorgesehenen Prozessen jederzeit gegenüber dem Betrieb widerrufen werden kann. Es kann auch gegenüber dem LTS der Widerruf durch E-Mail an gdpr@LTS.it erklärt werden, wobei der LTS den Widerruf umgehend an den Betrieb weiterleitet. Die Verarbeitung erfolgt hinsichtlich der vertraglichen Datenverarbeitung bis zum Wegfall der vertraglichen Zwecke bzw. der gesetzlichen Archivierungspflichten, insbesondere nach Steuer- und/ oder Unternehmensrecht, bzw. hinsichtlich des Rechtsgrunds der Einwilligung bis zum Widerruf.
c. Der Betrieb bedient sich zum technischen Betrieb des Touristmanagers IT-Dienstleister, nämlich des LTS – Landesverband der Tourismusorganisationen Südtirols, Gerbergasse 60, 39100 Bozen, Tel +39 0471 978060, Fax +39 0471 977661, e-Mail: info@LTS.it, Web: www.LTS.it, („LTS“), welcher unter Umständen Zugriff zu obgenannten Daten erhält. Der Betrieb hat mit dem LTS die datenschutzrechtlich notwendigen Vereinbarungen getroffen, sodass obgenannte Daten nur rechtmäßig und sicher verarbeitet werden.
2.4 über die datenschutzrechtlichen Betroffenenrechte
a. Recht auf Widerruf: Soweit die Verarbeitung auf der (ausdrücklichen) Einwilligung beruht, hat die von der Datenverarbeitung betroffene Person das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Zum Prozess siehe oben unter Punkt 2.2.
b. Recht auf Auskunft: Jede von der Datenverarbeitung betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat die betroffene Person ein Recht auf Auskunft über diese personenbezogenen Daten (Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind) und auf folgende Informationen: (a) die Verarbeitungszwecke; (b) die Kategorien personenbezogener Daten, die verarbeitet werden; (c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; (d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; (e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; (f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; (g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; (h) das (Nicht)Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling. Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
c. Recht auf Berichtigung und Löschung: Die betroffene Person hat das Recht, vom Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen. Weiteres hat die betroffene Person das Recht, vom Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: (a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. (b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. (c) Die betroffene Person legt Widerspruch (siehe gleich unten) gegen die Verarbeitung ein. (d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. (e) Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. (f) Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft (Einwilligung eines Kindes) erhoben. Das Recht auf Löschung besteht insbesondere dann nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, erforderlich ist und/ oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
d. Recht auf Einschränkung der Verarbeitung: Die betroffene Person hat das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: (a) die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, (b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt; (c) den Verantwortlichen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder (d) die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. Wurde die Verarbeitung eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Eine betroffene Person, die eine Einschränkung der Verarbeitung erwirkt hat, wird vom Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird.
e. Recht auf Datenübertragbarkeit: Sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, hat die betroffene Person das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
f. Widerspruchsrecht: Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, oder die zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet dann die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.
g. Beschwerderecht bei der Aufsichtsbehörde: Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese gesetzlichen Vorgaben verstoßen. Die italienische Datenschutzbehörde ist der “Garante per la protezione dei dati personali”.
3. Behandlungsmodalitäten
Die Verarbeitung Ihrer persönlichen Daten erfolgt durch die in (Art. 4 n. 2) GDPR) und insbesondere: Erhebung, Erfassung, Organisation, Speicherung, Konsultation, Verarbeitung, Änderung, Auswahl, Extraktion, Vergleich, Nutzung, Zusammenschaltung, Sperrung, Kommunikation, Löschung und Vernichtung von Daten. Ihre persönlichen Daten werden sowohl auf Papier als auch elektronisch und/oder automatisiert verarbeitet.
Der Inhaber wird personenbezogene Daten für die zur Erfüllung der oben genannten Zwecke erforderliche Zeit, in jedem Fall jedoch nicht länger als 10 Jahre nach Beendigung der Beziehung für die angegebenen Zwecke und nicht länger als 3 Jahre nach Erhebung der Daten für die Marketingzwecke verarbeiten.
- Zugang zu den Daten
Ihre Daten können für die in Art. 2.A) und 2. B) zugänglich sein:
– an Angestellte und Mitarbeiter des Inhabers der in Italien und im Ausland, in ihrer Eigenschaft als autorisierte und/oder interne Daten Verarbeiter und/oder Systemadministratoren;
– an dritte Unternehmen oder andere Subjekte (z.B. Kreditinstitute, Fachstudien, Berater, Versicherungsgesellschaften für die Erbringung von Versicherungsdienstleistungen usw.), die als externe Daten Verarbeiter Outsourcing-Aktivitäten im Auftrag des Inhabers durchführen.
- Datenübermittlung
Ohne ausdrückliche Einwilligung (ex Art. 6 lit. b) und c) GDPR) kann der Inhaber Ihre Daten für die im Art. 2.A) an Aufsichtsbehörden, Justizbehörden, Versicherungsgesellschaften für die Erbringung von Versicherungsdienstleistungen sowie an diejenigen Personen, denen die Mitteilung zur Erfüllung dieser Zwecke gesetzlich vorgeschrieben ist, mitteilen. Diese Personen werden die Daten in ihrer Eigenschaft als autonome Datenverantwortliche verarbeiten.
Ihre Daten werden nicht weitergegeben.
- Datenübernahme
Personenbezogene Daten werden auf Papier als auch elektronisch und/oder automatisiert im Rechtssitz des Inhabers verarbeitet, und innerhalb der Europäischen Union gespeichert. Personenbezogene Daten, welche mittels E-Mail oder Kontaktformular auf unserer Webseite uns erreichen, werden auf Servern der Limitis in Südtirol (Italien) innerhalb der Europäischen Union gespeichert. Personenbezogene Daten, welche mittels PEC-Mail uns erreichen, werden auf Servern der Aruba S.P.A. in Arezzo, Rom und Mailand (Italien) innerhalb der Europäischen Union gespeichert.
- Art der Datenübermittlung und Folgen der Verweigerung der Beantwortung
Die Übermittlung von Daten für die in Art. 2.A) ist obligatorisch. In deren Abwesenheit können wir die Ausführung des Vertrages gemäß Art. 2.A) nicht garantieren.
Die Übermittlung von Daten für die in Art. 2.B) ist optional. Sie können daher beschließen, keine Daten zur Verfügung zu stellen oder nachträglich die Möglichkeit der Verarbeitung bereits übermittelter Daten zu verweigern: In diesem Fall dürfen Sie keine Newsletter, kommerzielle Mitteilungen und Werbematerialien zu den vom Inhaber angebotenen Produkten/Dienstleistungen erhalten. Sie haben in jedem Fall weiterhin Anspruch auf die in Art. 2.A) enthaltene Produkte/Serviceleistungen.
- Rechte des Betroffenen
Als Betroffene haben Sie die Rechte nach Art. 15 GDPR, nämlich die Rechte an:
- eine Bestätigung über das Vorhandensein oder Nichtvorhandensein von persönlichen Daten, die Sie betreffen, auch wenn diese noch nicht gespeichert sind, und deren Übermittlung in verständlicher Form zu erhalten;
- Angaben über: a) die Herkunft der personenbezogenen Daten; b) die Zwecke und Methoden der Verarbeitung; c) die angewandte Logik bei der Verarbeitung mit Hilfe elektronischer Instrumente; d) die Identifikationsdaten des Inhabers, der Geschäftsführer und des gemäß Art. 3 Absatz 1 GDPR; e) die Personen oder Kategorien von Personen, denen die personenbezogenen Daten mitgeteilt werden können oder die als benannter oder ermächtigter Vertreter im Hoheitsgebiet des Staates davon Kenntnis erlangen können;
- erhalten: a) die Aktualisierung, Berichtigung oder, falls interessiert, Ergänzung der Daten; b) die Löschung, Anonymisierung oder Sperrung von Daten, die rechtswidrig verarbeitet wurden, einschließlich Daten, deren Aufbewahrung für die Zwecke, für die sie erhoben oder später verarbeitet wurden, nicht erforderlich ist; c) die Bescheinigung, dass die unter den Buchstaben a) und b) genannten Vorgänge auch inhaltlich den Stellen mitgeteilt wurden, denen die Daten übermittelt oder verbreitet wurden, es sei denn, diese Anforderung erweist sich als unmöglich oder ist mit einem im Vergleich zu dem zu schützenden Recht offensichtlich unverhältnismäßigen Aufwand verbunden;
- sich ganz oder teilweise zu widersetzen: a) aus legitimen Gründen der Verarbeitung personenbezogener Daten, die Sie betreffen, auch wenn sie dem Zweck der Erhebung dienen; b) der Verarbeitung personenbezogener Daten, die Sie betreffen, zum Zwecke des Versands von Werbematerial oder des Direktverkaufs oder zur Durchführung von Marktforschung oder kommerzieller Kommunikation, per E-Mail und / oder durch herkömmliche Marketingmethoden per Telefon, WhatsApp Messenger, Facebook Messenger und/oder Post.
Gegebenenfalls haben Sie auch die Rechte gemäß Artikel 16-21 GDPR (Recht auf Berichtigung, Recht auf Vergessen, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Recht auf Widerspruch) sowie das Recht auf Beschwerde bei der Datenschutzbehörde.
- Methoden der Rechtsausübung
Sie können Ihre Rechte jederzeit durch Senden ausüben:
– einen eingeschriebenen Brief mit Rückschein an die Adresse des Sitzes des Inhabers;
– eine E-Mail an info@kargruber.com oder an die zertifizierte Email: karin@pec.bz.it
- Inhaber, Verantwortliche und Beauftragte
Der Inhaber der Datenverarbeitung ist Obersinner Karin, mit Sitz in 39030 Gsies (BZ), St. Martin 9/a.
Der Verantwortliche für die Datenverarbeitung ist Obersinner Karin.