Datenschutzerklärung
Informationen nach Art. 13, 14 DSGVO sowie ergänzend zum Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).
1. Verantwortlicher
Verantwortlich für die Verarbeitung personenbezogener Daten im Rahmen der zimrly-Plattform ist:
Deern & Jung Investment GmbH
Geschäftsführer: Philip-Daniel Kleudgen
Aubachstraße 107, 56567 Neuwied, Deutschland
E-Mail: info@deern-jung.com
Eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht aktuell nicht (§ 38 BDSG). Datenschutzanfragen können an die genannte E-Mail-Adresse gerichtet werden.
2. Rolle: Auftragsverarbeitung
zimrly ist eine SaaS-Plattform für gewerbliche Beherbergungsbetriebe (Hotels, Ferienunterkünfte). Personenbezogene Daten von Gästen der zimrly-Kunden werden ausschließlich im Auftrag des jeweiligen Kunden verarbeitet (Art. 28 DSGVO). Verantwortlicher im datenschutzrechtlichen Sinne für Gäste-Daten ist somit der jeweilige Beherbergungsbetrieb. Mit jedem Kunden besteht ein Auftragsverarbeitungsvertrag, der im Kundenportal einsehbar und annehmbar ist.
Diese Datenschutzerklärung beschreibt darüber hinaus die Verarbeitung personenbezogener Daten von Besuchern der Webseite und Nutzer-Accounts der zimrly-Plattform — hier ist Deern & Jung Investment GmbH eigenständiger Verantwortlicher.
3. Aufruf der Webseite
Beim Aufruf der Webseite werden technisch notwendige Verbindungsdaten verarbeitet: IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Referrer, User-Agent. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Bereitstellung und Sicherheit der Webseite). Die Daten werden in den Server-Logs unseres Hostingdienstleisters Vercel Inc. maximal 30 Tage gespeichert.
4. Account und Vertragsabwicklung
Bei Registrierung eines Accounts und Abschluss eines Nutzungsvertrags verarbeiten wir folgende Daten:
- Name, E-Mail-Adresse, Passwort-Hash (Authentifizierung)
- Firmenname, Adresse, USt-Identifikationsnummer, Vertretungsberechtigte Person (Vertrags- und Rechnungsabwicklung)
- Zahlungsdaten (Stripe — wir selbst speichern keine Kartendaten, nur eine Stripe-Customer-ID)
- Aktivierte Module, Modul-Konfigurationsparameter, Lauf-Belege
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Buchhaltung, Aufbewahrungspflichten gem. § 147 AO).
5. Auftragsverarbeitung im Kundenauftrag
Im Rahmen des Plattform-Betriebs werden Gäste-Stamm- und Buchungsdaten (Name, E-Mail, Telefonnummer, Aufenthaltsdaten, Buchungs-Notizen, ggf. Konversationsverläufe via WhatsApp) ausschließlich im Auftrag des jeweiligen Hotelkunden verarbeitet. Die Verarbeitung erfolgt auf Grundlage des AVV nach Art. 28 DSGVO sowie der Weisungen des Kunden. Eine Verarbeitung über die Vertragszwecke hinaus findet nicht statt.
6. Empfänger / Sub-Auftragsverarbeiter
Wir setzen folgende Sub-Auftragsverarbeiter ein:
| Anbieter | Zweck | Standort |
|---|---|---|
| Supabase Inc. | Datenbank, Authentifizierung, Dateispeicher | EU (Irland, eu-west-1) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) |
| Vercel Inc. | Hosting, Edge-Network | USA mit EU-Edge (DPA, EU-SCC) |
| easybill GmbH | Erstellung DACH-konformer Rechnungsbelege | Deutschland |
| Brevo SAS (vormals Sendinblue) | Versand transaktionaler E-Mails (Rechnungen, Einladungen, Reset-Links) | Frankreich (Server in DE + FR) |
| Mistral AI SAS (optional, modulabhängig) | KI-gestützte Klassifikation von Buchungs- bzw. Kommunikationsinhalten | Frankreich (Modelle gehostet in der EU) |
zimrly verfolgt eine EU-Only-Strategie für personenbezogene Daten: Mail-Versand (Brevo), KI-Verarbeitung (Mistral) und der primäre Daten-Layer (Supabase eu-west-1) laufen über EU-Anbieter. Drittlandtransfers werden vermieden, wo immer möglich. Soweit Daten dennoch in Drittländer (außerhalb des EWR) übermittelt werden, erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. eines gültigen Angemessenheitsbeschlusses (Art. 45 DSGVO, EU-US Data Privacy Framework).
Customer-Direkt-Integrationen (keine Sub-Auftragsverarbeiter von zimrly): Für bestimmte optionale Module bindet unser Kunde (der Hotelier) an seinen eigenen Account einen Drittanbieter an, z. B. die WhatsApp Business API über 360dialog GmbH, sein PMS über 3rpms GmbH oder apaleo GmbH, einen Repricer über Smartness/Smartpricing, Zeiterfassung über Crewmeister GmbH oder seine Booking-Engine über Viato GmbH. zimrly ist hier nicht Vertragspartner, sondern nutzt nur den vom Kunden bereitgestellten API-Zugang. Der Kunde schließt mit diesen Anbietern jeweils einen eigenen Auftragsverarbeitungsvertrag. Daten, die durch zimrly fließen, werden ausschließlich in den oben aufgeführten Sub-Auftragsverarbeitern gespeichert.
7. Cookies
Wir setzen ausschließlich technisch notwendige Cookies (z.B. Session-Cookie für die Authentifizierung, Cookie zur Speicherung der Zustimmungsentscheidung). Diese sind für die Bereitstellung der Plattform unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG); eine Einwilligung ist nicht erforderlich.
Wir setzen kein Tracking, kein Profiling und keine Werbe-Cookies ein. Auch keine Tracking-Pixel von Dritten (kein Google Analytics, kein Meta-Pixel, kein Hotjar).
8. Speicherdauer und Lösch-Konzept
Personenbezogene Daten werden nur so lange gespeichert, wie es für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.
- Account-Daten (Profil, Logins, Modulkonfiguration): bis zur Löschung des Accounts, zzgl. 30 Tage technische Pufferung
- Rechnungsbelege und Buchhaltungsunterlagen: 10 Jahre nach Ablauf des Kalenderjahres, in dem das Geschäft erfolgte (§ 147 AO, § 14b UStG)
- AVV-Annahme-Belege: 10 Jahre nach Vertragsende (Nachweispflicht DSGVO/BDSG)
- Server-Logs: maximal 30 Tage
- Audit-Log (sicherheitsrelevante Aktionen): 12 Monate
Eine ausführliche Übersicht ist im internen Lösch- und Aufbewahrungskonzept geregelt (verfügbar auf Anfrage).
9. Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unzutreffender Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine Aufbewahrungspflichten entgegenstehen
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — zuständig ist der/die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Eingeloggte Nutzer können Auskunft und Löschung direkt im Portal unter „Einstellungen → Rechtliches → Datenschutz & Datenexport" beantragen. Alternativ per E-Mail an info@deern-jung.com.
10. Sicherheit
Datenübertragungen erfolgen ausschließlich verschlüsselt (TLS 1.2 oder höher). Provider-Tokens und Zugangsdaten zu externen Systemen werden in der Datenbank AES-256-GCM-verschlüsselt abgelegt. Zugang zur Produktions-Infrastruktur ist rollenbasiert beschränkt; sicherheitsrelevante Aktionen werden im Audit-Log protokolliert.
11. Änderungen dieser Erklärung
Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungsprozesse oder die Rechtslage ändern. Maßgeblich ist jeweils die hier veröffentlichte Fassung.
Stand: 15. Mai 2026