Allgemeine Geschäftsbedingungen (AGB)

§ 1 Geltungsbereich

Diese AGB regeln das Vertragsverhältnis zwischen dem Kunden (Hotelbetreiber) und dem Betreiber der Plattform Climactra (nachfolgend „Anbieter“). Verbraucher im Sinne von § 13 BGB / Art. 3 D.Lgs. 206/2005 sind von der Nutzung ausgeschlossen. Abweichende AGB des Kunden finden keine Anwendung. Der Dienst richtet sich ausschließlich an Hotelbetreiber mit Sitz in Italien sowie im DACH-Raum (Deutschland, Österreich, Schweiz). Der Anbieter ist berechtigt, Registrierungen und Vertragsangebote von Kunden mit Sitz außerhalb dieses Zielmarkts ohne Angabe von Gründen abzulehnen oder bereits angelegte Accounts ohne Bestandsschutz zu deaktivieren.

§ 2 Vertragsgegenstand

Climactra ist eine webbasierte Nachhaltigkeitsplattform für Hotels. Der Dienst umfasst die Erfassung, Berechnung und Dokumentation von CO₂-Emissionen nach GHG Protocol und HCMI, einen gewichteten Nachhaltigkeits-Score, die Readiness-Prüfung für Nachhaltigkeitslabels, Maßnahmen-Empfehlungen mit Einsparpotenzial sowie PDF-Berichte, Label-Export-Vorlagen und Dashboard-Funktionen gemäß dem gewählten Plan. Climactra ist ein Reporting- und Vorbereitungswerkzeug; die Vergabe von Zertifizierungen oder Labels erfolgt ausschließlich durch die jeweils zuständigen Stellen.

§ 3 Registrierung, Account und Vertretungsmacht

• Für die Nutzung ist eine Registrierung mit gültiger geschäftlicher E-Mail-Adresse erforderlich. Die E-Mail-Adresse wird durch Versand eines Einmal-Codes (OTP) verifiziert; ohne erfolgreiche Verifizierung kann der Account nicht aktiviert werden.
• Der Kunde ist für die Sicherheit seiner Zugangsdaten verantwortlich und haftet für jede Nutzung unter seinem Account. Der Anbieter empfiehlt dringend die Aktivierung der Zwei-Faktor-Authentifizierung (TOTP).
• Mehrfach-Accounts für dieselbe natürliche Person sind nicht gestattet.
• Der Anbieter kann Accounts bei Verstoß gegen diese AGB nach vorheriger Abmahnung sperren oder löschen.
• Vertretungsmacht: Mit dem Anlegen jedes Hotels im Account bestätigt der Kunde, dass er befugt ist, im Namen der jeweiligen Hotelgesellschaft den Nutzungsvertrag einschließlich des Auftragsverarbeitungsvertrags (Anhang 1) abzuschließen. Bei einem Account, der mehrere Hotels unterschiedlicher juristischer Personen verwaltet, gilt diese Bestätigung pro Hotel.
• Eingeladene Mitarbeiter (Rollen EDITOR, VIEWER, AUDITOR): Die Akzeptanz dieser AGB und der Datenschutzerklärung durch eingeladene Benutzer ist Voraussetzung für die Plattformnutzung, begründet aber keinen eigenen Vertragsabschluss mit dem Anbieter. Vertragspartner bleibt der Account-Inhaber (OWNER), der das Hotel angelegt hat.

§ 4 Leistungsumfang

Der Funktionsumfang richtet sich nach dem gewählten Plan:

• Trial: 14 Tage kostenlos, keine Kreditkarte erforderlich. Vollständiger Funktionsumfang zur Erfassung und Analyse (Dateneingabe, Berechnung nach GHG Protocol Scope 1–3, Nachhaltigkeits-Score, Label-Readiness, Maßnahmen-Empfehlungen mit ROI). Nicht im Trial enthalten sind die offiziellen Exporte: alle PDF-Berichte (darunter der CO₂-Bericht mit Seriennummer), Label-Bewerbungsunterlagen und CSV-Export. Nach 14 Tagen wechselt der Account automatisch in den Lesemodus, sofern kein kostenpflichtiges Abonnement abgeschlossen wurde.
• Professional: Abonnement pro Hotel — jedes Hotel verfügt über ein eigenes Abonnement. Ein Account kann beliebig viele Hotels verwalten; jedes Hotel startet im 14-tägigen Trial und wird einzeln auf Professional umgestellt. Pro Hotel: unbegrenzt Benutzer, alle PDF-Berichtstypen (CO₂-Bericht mit Seriennummer und SHA-256-Prüfsumme), vollständiger Audit-Trail, historische Jahresvergleiche, CSV-Import/-Export, Label-Bewerbungsexporte für Green Key, GreenSign, EU Ecolabel und das Nachhaltigkeitslabel Südtirol sowie das Audit-Bundle für externe Prüfer.

Der genaue Funktionsumfang ergibt sich aus der jeweils aktuellen Leistungsbeschreibung auf der Website.

Der Anbieter kann den Funktionsumfang weiterentwickeln und verbessern. Wesentliche Einschränkungen bestehender Kernfunktionen des gebuchten Plans werden mindestens 30 Tage im Voraus per E-Mail angekündigt. In diesem Fall hat der Kunde ein Sonderkündigungsrecht zum Änderungszeitpunkt.

§ 5 Preise und Zahlung

• Der Professional-Plan kostet 89 €/Monat pro Hotel bei jährlicher Abrechnung (1.068 €/Jahr). Earlybird-Angebot: Für jedes einzelne Hotel-Abonnement, das bis zum 31.08.2026 erstmals auf den Professional-Plan upgegradet wird, gilt dauerhaft ein reduzierter Preis von 59 €/Monat (708 €/Jahr). Der Earlybird-Preis bindet sich an das jeweilige Hotel-Abonnement und gilt nur, solange dieses ununterbrochen fortbesteht; bei Kündigung und späterer Neuanlage entfällt der Vorzugspreis. Weitere Hotels, die nach dem 31.08.2026 hinzugefügt werden, werden zum dann jeweils aktuellen Regulärpreis abgerechnet. Die jeweils aktuellen Preise sind auf der Preisseite unter https://climactra.com/preise sowie in der App unter Account → Abonnement einsehbar. Climactra wird im Regime Forfettario gem. L. 190/2014 betrieben — Rechnungen werden gemäß Art. 1 Abs. 58 lit. d L. 190/2014 ohne Ausweis der italienischen Mehrwertsteuer ausgestellt. Der angegebene Preis ist somit gleichzeitig Netto- und Bruttopreis. Die nach italienischem Recht auf Rechnungen über 77,47 € anfallende Stempelgebühr (marca da bollo, derzeit 2,00 €) trägt der Anbieter und stellt sie dem Kunden nicht in Rechnung. Sollte Climactra den Forfettario-Umsatzschwellenwert überschreiten und in das reguläre Steuerregime wechseln, werden die Preise frühzeitig per E-Mail kommuniziert.
• Die Zahlung erfolgt per Kreditkarte über den Zahlungsdienstleister Stripe.
• Rechnungen werden elektronisch im Account bereitgestellt.
• Bei Zahlungsverzug kann der Anbieter den Zugang zum Professional-Plan nach Mahnung mit 14-tägiger Frist sperren; der Account wird dann in den Lesemodus versetzt — Daten bleiben einsehbar und über die Datenexport-Funktion im Konto herunterladbar (DSGVO Art. 20), neue Eingaben sowie Berichts- und CSV-Exporte sind gesperrt.

§ 6 Kostenlose Testphase

• Der Professional-Plan kann 14 Tage kostenlos getestet werden.
• Nach Ablauf der Testphase wird der Account automatisch in den Lesemodus versetzt, sofern kein kostenpflichtiges Abonnement abgeschlossen wurde. Im Lesemodus bleiben alle Daten einsehbar und über die Datenexport-Funktion im Konto herunterladbar (DSGVO Art. 20); neue Eingaben sowie Berichts- und CSV-Exporte sind gesperrt.
• Alle Daten bleiben bei der Umstellung vollständig erhalten.

§ 7 Laufzeit und Kündigung

• Ein Account ohne kostenpflichtiges Abonnement (Testphase oder Lesemodus) ist unbefristet und jederzeit durch Löschung des Accounts kündbar.
• Der Professional-Plan hat eine Mindestlaufzeit von einem Jahr (jährliche Zahlung) und verlängert sich automatisch um den gleichen Zeitraum.
• Kündigung ist jederzeit zum Ende der aktuellen Laufzeit möglich — per E-Mail an info@climactra.com oder über die Account-Einstellungen.
• Bei Kündigung des Professional-Abonnements wechselt das betroffene Hotel zum Ende der laufenden Abrechnungsperiode in den Lesemodus. In diesem Zustand bleiben sämtliche Daten unverändert einsehbar; der vollständige Download der eigenen Daten bleibt über die Datenexport-Funktion im Konto möglich (DSGVO Art. 20). Neue Eingaben sowie das Erstellen von Berichten und CSV-Exporte sind gesperrt. Es findet keine automatische Löschung statt — die Daten bleiben so lange erhalten, bis der Kunde das Hotel bzw. den Account aktiv löscht (DSGVO Art. 17, Recht auf Löschung).
• Bei aktiver Löschung eines Hotels oder Accounts (Konto → Einstellungen) erfolgt die Löschung sofort und unwiderruflich. Aktive Stripe-Abonnements werden vor der Löschung automatisch gekündigt. Belege unterliegen den Aufbewahrungsfristen der Datenschutzerklärung (vgl. dort § 4).

§ 8 Verfügbarkeit

• Der Anbieter betreibt die Plattform nach dem aktuellen Stand der Technik im Best-Effort-Modus. Eine bestimmte Mindestverfügbarkeit oder ein Service-Level wird nicht zugesichert. Geplante Wartungsfenster sind ausgenommen.
• Geplante Wartungen werden mindestens 48 Stunden im Voraus per E-Mail angekündigt.
• Kurzfristige Unterbrechungen für Sicherheitsupdates sind ohne Vorankündigung zulässig.

Der Anbieter haftet nicht für Unterbrechungen oder Datenverluste, die durch höhere Gewalt verursacht werden, insbesondere Naturkatastrophen, Krieg, Pandemie, behördliche Anordnungen, Ausfall von Drittanbietern (Hosting, DNS, Zahlungsdienstleister) oder Cyberangriffe, die trotz angemessener Sicherheitsmaßnahmen nicht abgewehrt werden konnten.

§ 9 Pflichten des Kunden

• Der Kunde stellt sicher, dass die eingegebenen Verbrauchsdaten korrekt und vollständig sind. Die Verantwortung für die Datenqualität liegt beim Kunden.
• Der Kunde ist für die Einhaltung seiner eigenen datenschutzrechtlichen Pflichten als Verantwortlicher im Sinne der DSGVO verantwortlich. Insbesondere informiert er seine Mitarbeiter und sonstigen Nutzer des Hotel-Accounts gemäß Art. 13 DSGVO über die Datenverarbeitung in Climactra, einschließlich des Audit-Trails (jede Datenänderung wird mit Benutzerzuordnung protokolliert) sowie über das Bestehen dieses Auftragsverarbeitungsvertrags (Anhang 1).
• Der Dienst darf nicht missbräuchlich genutzt werden, insbesondere nicht für automatisierte Massenanfragen, Reverse Engineering oder Versuche, die Sicherheitsmechanismen zu umgehen.

§ 10 Geistiges Eigentum

• Alle Rechte an der Software, dem Design, den Algorithmen und der Marke Climactra verbleiben beim Anbieter.
• Die vom Kunden eingegebenen Daten bleiben geistiges Eigentum des Kunden.
• Generierte PDF-Berichte dürfen vom Kunden frei verwendet, vervielfältigt und an Dritte weitergegeben werden.

§ 11 Haftungsbeschränkung

• Der Anbieter haftet unbeschränkt für Vorsatz, grobe Fahrlässigkeit sowie für Schäden aus der Verletzung von Leben, Körper und Gesundheit. Eine Haftungsbeschränkung für diese Fälle wäre gemäß Art. 1229 Codice Civile ohnehin unwirksam.
• Für leichte Fahrlässigkeit haftet der Anbieter nur bei Verletzung wesentlicher Vertragspflichten (Kardinalpflichten), begrenzt auf den vorhersehbaren, vertragstypischen Schaden.
• Soweit der Anbieter nur für leichte Fahrlässigkeit haftet, ist die Haftung der Höhe nach begrenzt auf die vom Kunden in den letzten 12 Monaten gezahlten Vergütungen, mindestens jedoch 500 €. Diese betragsmäßige Begrenzung gilt ausdrücklich nicht für die in § 11a genannten Fälle (Vorsatz, grobe Fahrlässigkeit, Personenschäden) sowie nicht im Anwendungsbereich des Art. 1229 Codice Civile.
• Climactra-Berichte ersetzen keine externe Wirtschaftsprüfung oder akkreditierte Zertifizierung. Der Anbieter haftet nicht für regulatorische, finanzielle oder geschäftliche Entscheidungen, die auf Basis der Berichte getroffen werden.

§ 12 Gewährleistung

• Der Anbieter gewährleistet, dass der Dienst im Wesentlichen der aktuellen Leistungsbeschreibung entspricht.
• Emissionsfaktoren werden aus anerkannten öffentlichen Quellen bezogen — insbesondere ISPRA, DESNZ/DEFRA, UBA (Umweltbundesamt), AIB (Strom-Residualmix), IPCC sowie der EU-F-Gas-Verordnung (EU) 2024/573, und Eurostat (HICP für die Inflationsanpassung). Ausgabenbasierte Scope-3-Faktoren (z. B. Lebensmittel) beruhen auf EEIO-Sektordurchschnitten als eigene Schätzung gemäß GHG-Protocol-Methodik. Die jeweils verwendete Faktor-Quelle ist im erzeugten Bericht ausgewiesen. Für die inhaltliche Richtigkeit der Quelldaten übernimmt der Anbieter keine Gewähr.
• Mängel werden nach Meldung in angemessener Frist behoben. Der Kunde hat Mängel unverzüglich nach Entdeckung zu melden.

§ 13 Datenschutz

Die Verarbeitung personenbezogener Daten regelt die Datenschutzerklärung (abrufbar unter /datenschutz). Soweit der Kunde dem Anbieter personenbezogene Daten zur Verarbeitung im Auftrag übergibt, gilt der Auftragsverarbeitungsvertrag (Anhang 1 dieser AGB). Alle Kundendaten werden auf Servern innerhalb der Europäischen Union gespeichert (Hetzner Online GmbH, Deutschland). Übermittlungen in Drittländer erfolgen ausschließlich an die in der Datenschutzerklärung benannten Empfänger (Stripe Inc. zur Zahlungsabwicklung, Functional Software Inc. zur Fehlerverfolgung, HaveIBeenPwned zur Passwort-Sicherheitsprüfung) auf den dort genannten Rechtsgrundlagen (EU-US Data Privacy Framework, Standard Contractual Clauses, K-Anonymity).

§ 14 Änderungen der AGB

• Der Anbieter kann diese AGB mit einer Frist von 30 Tagen ändern.
• Änderungen werden per E-Mail an die hinterlegte Adresse angekündigt und im Account angezeigt.
• Widerspricht der Kunde nicht innerhalb von 30 Tagen nach Zugang der Änderungsmitteilung, gelten die neuen AGB als akzeptiert. Auf diese Rechtsfolge wird in der Änderungsmitteilung hingewiesen.
• Bei Widerspruch kann der Anbieter den Vertrag zum Zeitpunkt des Inkrafttretens der neuen AGB kündigen.

§ 15 Schlussbestimmungen

• Es gilt das Recht der Republik Italien unter Ausschluss des UN-Kaufrechts (CISG) und unter Ausschluss kollisionsrechtlicher Verweisungsnormen.
• Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertragsverhältnis ist Bozen (Italien).
• Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
• Mündliche Nebenabreden bestehen nicht. Änderungen und Ergänzungen bedürfen der Textform (E-Mail genügt).
• Der Anbieter darf Rechte und Pflichten aus diesem Vertrag an einen Rechtsnachfolger übertragen. Der Kunde wird darüber 30 Tage im Voraus informiert und kann in diesem Fall zum Übertragungszeitpunkt kündigen. Der Kunde darf den Vertrag nur mit schriftlicher Zustimmung des Anbieters übertragen.
• Bei Abweichungen zwischen den Sprachfassungen dieser AGB ist die italienische Fassung maßgeblich.
• Die Angaben zum Anbieter gemäß D.Lgs. 70/2003 (italienisches E-Commerce-Gesetz) sind im Impressum abrufbar.

§ 16 Ausdrückliche Genehmigung besonderer Klauseln (Art. 1341–1342 Codice Civile)

Gemäß Art. 1341 und 1342 des italienischen Codice Civile genehmigt der Kunde mit der Registrierung ausdrücklich die folgenden Klauseln:

• § 7b — Automatische Vertragsverlängerung
• § 8d — Haftungsausschluss bei höherer Gewalt
• § 11 — Haftungsbeschränkung
• § 14c — Stillschweigende Annahme von AGB-Änderungen
• § 14d — Kündigungsrecht des Anbieters bei Widerspruch
• § 15b — Ausschließlicher Gerichtsstand Bozen
• § 15e — Recht zur Vertragsübertragung durch den Anbieter

§ 17 Datengrundlagen und Markenrechte

Climactras Berechnungen (Emissionsfaktoren, Score-Schwellen, Zertifizierungs-Kriterien) basieren ausschließlich auf öffentlich zugänglichen wissenschaftlichen und behördlichen Datenquellen. Eine vollständige Liste aller Quellen, deren Lizenzen und Pflicht-Quellenangaben ist auf der Seite Datengrundlagen verfügbar. /datenquellen

• Climactra ist ein internes Reporting- und Vorbereitungstool. Climactra ist KEINE Zertifizierungsstelle, vergibt keine Labels und ersetzt keine offizielle Prüfung im Sinne der ISO 14064-3 oder vergleichbarer Standards.
• Climactra ist nicht durch Foundation for Environmental Education (Green Key), GreenSign GmbH, EU Ecolabel, IDM Südtirol oder eine andere Zertifizierungsstelle akkreditiert oder mit diesen verbunden.
• Sämtliche Markennamen, Logos und Wortmarken sind Eigentum ihrer jeweiligen Inhaber. Climactra nutzt diese Namen ausschließlich im Sinne einer beschreibenden Bezugnahme nach § 23 MarkenG bzw. Art. 14 UMV (nominative use).
• Pflicht-Quellenangaben gemäß den verwendeten Lizenzen: "Contains public sector information licensed under the Open Government Licence v3.0" (UK DESNZ/DEFRA); "Extracts from ISPRA documents are reproduced on the condition that the source is acknowledged"; "Source: Eurostat"; JRC133332 unter CC BY 4.0; UBA Emissionsfaktoren unter CC0 1.0.
• Der Kunde erkennt an, dass die der Berechnung zugrunde liegenden Faktoren periodischen Aktualisierungen unterliegen. Climactra dokumentiert verwendete Faktoren mit Datenstand pro Aktivität (Frozen-Factor-Pattern), sodass historische Berechnungen reproduzierbar bleiben.

A§ 1 Gegenstand und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Climactra-Plattform. Die Dauer der Verarbeitung entspricht der Laufzeit des Nutzungsvertrags.

A§ 2 Art und Zweck der Verarbeitung

Die Verarbeitung umfasst die Speicherung, Berechnung und Darstellung von Verbrauchsdaten, Emissionswerten und Betriebskennzahlen im Rahmen der CO₂-Bilanzierung nach GHG Protocol und HCMI.

A§ 3 Art der personenbezogenen Daten

• Stammdaten der Benutzer-Accounts (Vorname, Nachname, E-Mail-Adresse, Sprachpräferenz)
• Hoteldaten (Name, Anschrift, Sterneklassifizierung, Zimmer-/Bettenanzahl, Betriebskennzahlen, Hauptkontakt-E-Mail) sowie bei italienischen Hotels die ggf. angegebenen steuerlichen Identifikationsmerkmale (Partita IVA, Codice Fiscale, PEC-E-Mail-Adresse, ATECO-Code) bzw. bei DACH-Hotels die USt-IdNr.
• Verbrauchsdaten, berechnete Emissionswerte und sonstige Umweltkennzahlen
• Sicherheits-Logs (IP-Adressen, User-Agent, Login-Zeitpunkte, Authentifizierungs-Hashes)
• Hochgeladene Belege und Dokumente (z.B. Energierechnungen, Lieferscheine, Audit-Nachweise), die ggf. personenbezogene Daten Dritter enthalten können (Lieferanten-Kontaktpersonen, Hotel-Mitarbeiter als Empfangsbestätigende)
• Audit-Trail-Einträge mit Benutzer-Zuordnung zu jeder Datenänderung (Reproduzierbarkeitspflicht historischer Berichte)
• Mitgliedschaftsdaten (Membership): Zuordnung von Benutzer-Accounts zu Hotels mit Rolle (OWNER, EDITOR, VIEWER, AUDITOR)

A§ 4 Kategorien betroffener Personen

• Benutzer des Hotels (Hotelmitarbeiter, Nachhaltigkeitsbeauftragte, Management)
• Indirekt: Hotelgäste (nur als aggregierte Kennzahl — Gästenächte; keine Einzelpersonendaten)

A§ 5 Pflichten des Auftragsverarbeiters

• Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO).
• Vertraulichkeitsverpflichtung aller mit der Datenverarbeitung betrauten Personen (Art. 28 Abs. 3 lit. b DSGVO).
• Umsetzung technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO (siehe A§ 7).
• Unterstützung des Verantwortlichen bei der Erfüllung von Betroffenenanfragen (Art. 28 Abs. 3 lit. e DSGVO).
• Unterstützung bei Datenschutz-Folgenabschätzungen auf Anfrage (Art. 35–36 DSGVO).
• Meldung von Datenschutzverletzungen an den Verantwortlichen ohne unangemessene Verzögerung, spätestens innerhalb von 48 Stunden nach Kenntniserlangung.

A§ 6 Unterauftragsverarbeitung

Der Auftragsverarbeiter setzt folgende Unterauftragsverarbeiter ein:

• Hetzner Online GmbH, Gunzenhausen, Deutschland — Hosting (VPS) und Backup-Storage (EU-Server)
• Stripe Payments Europe Ltd., Dublin, Irland (Muttergesellschaft Stripe Inc., USA) — Zahlungsabwicklung und Rechnungsstellung (Zahlungs- und Rechnungsstammdaten: Firmenname, USt-IdNr./Partita IVA, Rechnungsadresse, PEC, Codice Fiscale; keine Emissions-/Verbrauchsdaten; EU-US Data Privacy Framework + Standard Contractual Clauses)
• Functional Software Inc. (Sentry), San Francisco, USA — Fehlerverfolgung und Performance-Monitoring (nur technische Fehlerdaten, keine personenbezogenen Daten; Standard Contractual Clauses)
• Brevo SAS (ehemals Sendinblue), Paris, Frankreich — Versand transaktionaler E-Mails (Verifikations-Codes, Sicherheitswarnungen, Rechnungs-Benachrichtigungen). Verarbeitet ausschließlich E-Mail-Adresse, Betreff und Nachrichteninhalt. Sitz und primäre Verarbeitung in der EU (Frankreich); für die Mailing-Infrastruktur nutzt Brevo Sub-Auftragsverarbeiter u. a. in den USA (Amazon Web Services) auf Basis von Standard Contractual Clauses und dem EU-US Data Privacy Framework.
• IONOS SE, Montabaur, Deutschland — Domain-Registrar, DNS und E-Mail-Postfach (info@climactra.com) für den Empfang von Geschäftskorrespondenz. EU-Server, keine Drittlandsübermittlung.

Der Verantwortliche stimmt dem Einsatz der genannten Unterauftragsverarbeiter mit Akzeptanz dieser AGB zu.

Änderungen an den Unterauftragsverarbeitern werden 30 Tage im Voraus per E-Mail mitgeteilt. Bei Widerspruch kann der Verantwortliche den Vertrag zum Änderungszeitpunkt kündigen.

A§ 7 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

• Passwörter: bcrypt mit Kostenfaktor 12
• TOTP-Secrets: AES-256-GCM-Verschlüsselung
• Transport: HTTPS mit HSTS (1 Jahr, Preload)
• Datenbank: PostgreSQL auf dedizierten Servern in der EU (Hetzner, Deutschland)
• Backup: Tägliche verschlüsselte Backups (Rotation: 7 täglich, 4 wöchentlich, 6 monatlich)
• Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (OWNER, EDITOR, VIEWER, AUDITOR)
• Brute-Force-Schutz: Persistentes Rate-Limiting und Account-Lockout
• Audit-Trail: Vollständige Änderungshistorie aller Emissionsdaten mit Benutzer-Zuordnung

A§ 8 Unterstützung bei Betroffenenrechten

Der Auftragsverarbeiter unterstützt den Verantwortlichen durch:

• Datenexport (JSON) über die Account-Einstellungen (Art. 15, 20 DSGVO)
• Account-Löschung inklusive aller zugehöriger Daten (Art. 17 DSGVO)
• Auskunft über gespeicherte Daten auf schriftliche Anfrage (Art. 15 DSGVO)

A§ 9 Löschung und Rückgabe

• Nach Beendigung des Vertragsverhältnisses bleiben die Daten zunächst im Lesemodus erhalten und werden nicht automatisch gelöscht. Die Löschung erfolgt nach Wahl des Verantwortlichen (Art. 28 Abs. 3 lit. g DSGVO): Sobald dieser das Hotel bzw. den Account aktiv löscht, werden alle personenbezogenen Daten sofort und unwiderruflich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Der Verantwortliche kann vor der Löschung einen vollständigen Datenexport (JSON) über die Account-Einstellungen durchführen.

A§ 10 Kontrollrechte

• Der Verantwortliche hat das Recht, die Einhaltung dieses AVV zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO).
• Der Auftragsverarbeiter stellt auf Anfrage alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO zur Verfügung.
• Inspektionen vor Ort werden nach vorheriger schriftlicher Abstimmung mit mindestens 30 Tagen Vorlauf ermöglicht. Die Kosten der Inspektion trägt der Verantwortliche.