Datenschutz auf einen Blick

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Wir möchten, dass Sie sich auf unserer Website sicher fühlen und transparent darüber informiert werden, wie wir mit Ihren Daten umgehen.

Wir setzen bewusst auf datensparsame Technologien. Unsere Website verwendet ausschließlich technisch notwendige Cookies und verzichtet vollständig auf Tracking-Cookies, Google Analytics, Facebook Pixel oder vergleichbare Tracking-Dienste. Für die Webanalyse nutzen wir Plausible Analytics, eine datenschutzfreundliche Lösung, die ohne Cookies auskommt, keine IP-Adressen speichert und keine Einwilligung erfordert. Schriftarten werden lokal von unseren Servern geladen, sodass keine Verbindungen zu Google-Servern aufgebaut werden.

Wenn Sie unsere Website besuchen, werden personenbezogene Daten auf Grundlage der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TTDSG) verarbeitet. Nachfolgend informieren wir Sie im Detail über Art, Umfang und Zweck der Datenverarbeitung.

Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Sonnenhotels Nord GmbH & Co. KG Nordhäuser Str. 1 D-38667 Bad Harzburg

Registergericht: Amtsgericht Braunschweig, HRA 201829

Telefon: +49 (0) 5321 68554 0 E-Mail: info@sonnenhotels.de Website: www.sonnenhotels.de

Datenschutzbeauftragter

Wir haben einen externen Datenschutzbeauftragten bestellt:

DataCo GmbH Sandstraße 33, 80335 München Telefon: +49 89 7400 45840 Website: www.dataguard.de

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Betroffenenrechte können Sie sich jederzeit an unseren Datenschutzbeauftragten wenden.

Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten auf unserer Website erfolgt stets auf Basis einer Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO. Im Einzelnen kommen folgende Rechtsgrundlagen zur Anwendung:

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Soweit wir Ihre Einwilligung zur Verarbeitung personenbezogener Daten einholen, etwa für den Versand unseres Newsletters. Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
• Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Soweit die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, insbesondere bei Hotelbuchungen und der Zahlungsabwicklung.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Soweit wir einer rechtlichen Verpflichtung unterliegen, etwa der Aufbewahrung von Geschäftsunterlagen nach Handels- und Steuerrecht.
• Berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist und die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Ihre Rechte als betroffene Person

Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu verlangen. Dies umfasst insbesondere Informationen über die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger sowie die geplante Speicherdauer.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, sofern nicht gesetzliche Aufbewahrungspflichten oder andere Ausnahmen entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, etwa wenn Sie die Richtigkeit der Daten bestreiten.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.

Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeiten, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen.

Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Eine einmal erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist die Landesbeauftragte für den Datenschutz Niedersachsen, Prinzenstraße 5, 30159 Hannover.

Eine Liste aller Datenschutz-Aufsichtsbehörden in Deutschland finden Sie unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html

Bereitstellung der Website und Server-Logfiles

Bei jedem Aufruf unserer Website erfasst das System automatisiert technische Daten des aufrufenden Rechners: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Seite, Referrer-URL, Browser und Betriebssystem, Access-Provider und HTTP-Statuscode.

Die vorübergehende Speicherung ist technisch erforderlich, um die Auslieferung der Website zu ermöglichen und die Systemsicherheit zu gewährleisten.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO. Speicherdauer: Logfiles werden nach spätestens 30 Tagen gelöscht.

Hosting

Unsere Website wird auf eigenen Servern in Deutschland gehostet (Self-Hosting). Eine Übermittlung Ihrer Daten an Drittstaaten findet im Zusammenhang mit dem Hosting nicht statt. Die Server werden von uns selbst betrieben und befinden sich in einem deutschen Rechenzentrum.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der zuverlässigen, schnellen und sicheren Bereitstellung unserer Website.

Content Delivery und Bildhosting

Für die optimierte Auslieferung von Bildern setzen wir derzeit Cloudinary Ltd., Santa Clara, USA ein. Beim Laden von Bildern stellt Ihr Browser eine Verbindung zu Cloudinary-Servern her, wobei IP-Adresse und Browser-Informationen übermittelt werden.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO. Datenübermittlung USA: Absicherung durch Standardvertragsklauseln (SCCs). Wir haben einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Cookies

Wir verzichten bewusst auf Tracking-Cookies und setzen ausschließlich technisch notwendige Cookies ein. Wir verwenden weder Google Analytics noch Facebook Pixel, Google Tag Manager oder vergleichbare Tracking-Technologien.

Der Einsatz technisch notwendiger Cookies ist gemäß § 25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung zulässig. Die korrespondierende Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Da wir ausschließlich technisch notwendige Cookies verwenden, ist kein Cookie-Consent-Banner erforderlich.

Webanalyse mit Plausible Analytics

Wir nutzen Plausible Analytics für die statistische Auswertung der Websitenutzung (Self-Hosting auf eigenen Servern). Plausible setzt keine Cookies, speichert keine IP-Adressen und erhebt keine personenbezogenen Daten. Es werden ausschließlich aggregierte, anonyme Statistiken generiert. Eine Einwilligung ist nicht erforderlich. Da wir Plausible selbst hosten, verlassen die Daten nicht unsere Server in Deutschland.

Hotelbuchung über Apaleo

Für die Abwicklung von Hotelbuchungen setzen wir derzeit Apaleo GmbH, München ein. Bei einer Buchung werden Name, Kontaktdaten, Buchungsdetails und Zahlungsinformationen verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO. Datenverarbeitung in der EU: Apaleo verarbeitet Daten ausschließlich innerhalb der EU. Wir haben einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Speicherdauer: Gemäß handels- und steuerrechtlichen Aufbewahrungsfristen bis zu 10 Jahre.

Zahlungsabwicklung über Stripe

Für die Zahlungsabwicklung setzen wir derzeit Stripe Payments Europe Ltd., Dublin, Irland ein. Stripe ist PCI DSS Level 1 zertifiziert. Zahlungsdaten (Kartendaten, Name, Rechnungsadresse) werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO. Stripe verarbeitet Daten grundsätzlich innerhalb der EU. Soweit eine Übermittlung an die US-Muttergesellschaft stattfindet, ist diese durch SCCs abgesichert. Speicherdauer: Transaktionsreferenzen bis zu 10 Jahre.

Kontaktformular

Bei Nutzung unseres Kontaktformulars werden Ihre Angaben (Name, E-Mail, Nachricht) auf eigenen Servern in Deutschland verarbeitet. Es findet keine Übermittlung an Drittanbieter statt.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO bei Buchungsanfragen, Art. 6 Abs. 1 S. 1 lit. f DSGVO bei sonstigen Anfragen. Speicherdauer: Bis zur abschließenden Bearbeitung, bei vertraglichem Bezug bis zu 10 Jahre.

Newsletter über Brevo

Für den Newsletter-Versand nutzen wir derzeit Brevo (Sendinblue SAS), Paris, Frankreich. Die Anmeldung erfolgt im Double-Opt-In-Verfahren.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. a DSGVO. Brevo verarbeitet Daten innerhalb der EU. Widerruf: Jederzeit über den Abmeldelink in jeder Newsletter-E-Mail oder per E-Mail an info@sonnenhotels.de. Wir haben einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen.

Social Media Auftritte

Wir unterhalten Onlinepräsenzen auf Instagram und Facebook (Meta Platforms Ireland Ltd.). Beim Besuch unserer Profile werden durch Meta Daten erhoben. Wir und Meta sind insoweit gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO. Meta ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Wir binden auf unserer Website keine Social-Media-Plugins ein. Eine Datenübermittlung an Meta findet nur statt, wenn Sie aktiv unsere Social-Media-Profile besuchen.

Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Datenübermittlung in Drittländer

Einige Dienste haben ihren Sitz außerhalb der EU. Übersicht:

• Cloudinary (USA): SCCs
• Meta (Irland/USA): DPF + SCCs
• Stripe (Irland, ggf. USA): SCCs

Dienste ohne Drittlandtransfer: Website-Hosting (eigene Server in Deutschland), Strapi CMS, Plausible Analytics, Apaleo, Brevo, Kontaktformular, Google Fonts (lokal eingebunden).

Speicherdauer

• Server-Logfiles: bis zu 14 Tage
• Buchungsdaten: bis zu 10 Jahre (§ 147 AO)
• Zahlungsdaten: bis zu 10 Jahre (§ 147 AO)
• Kontaktanfragen: bis Abschluss der Bearbeitung, bei Vertragsbezug bis zu 10 Jahre
• Newsletter-Daten: bis Widerruf, Einwilligungsprotokolle bis 3 Jahre nach Abmeldung

Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.

Schriftarten

Wir verwenden Google Fonts lokal eingebunden auf eigenen Servern. Beim Aufruf unserer Website wird keine Verbindung zu Servern von Google hergestellt. Es findet keine Übermittlung personenbezogener Daten an Google statt.

Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Fassung ist stets auf unserer Website abrufbar.

Stand: April 2026. Diese Datenschutzerklärung wurde mit technischer Unterstützung erstellt. Eine Prüfung durch einen Datenschutzjuristen wird empfohlen.