landing.nav.privacy

Datenschutzerklärung

Zuletzt aktualisiert: 2. Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO (Art. 13 Abs. 1 lit. a): Jacob Wieser, Widumacker 16, 39050 Jenesien (BZ), Italien. Kontakt: info@climactra.com. Weitere Angaben im Impressum. Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht erfüllt sind.

2. Erhobene Daten

Wir erheben und verarbeiten folgende personenbezogene Daten:

  • Account-Daten: Vorname, Nachname, E-Mail-Adresse (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
  • Authentifizierung: Passwort-Hash (bcrypt mit Kostenfaktor 12), gehashter Einmal-Code für E-Mail-Verifizierung (OTP, max. 5 Versuche, automatische Invalidierung nach Ablauf), optional TOTP-Secret (AES-256-GCM-verschlüsselt) und gehashte Recovery-Codes für die Zwei-Faktor-Authentifizierung sowie Reset-Token-Hashes für Passwort-Wiederherstellung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO — Vertragserfüllung und Account-Sicherheit.
  • Sicherheits-Logs: IP-Adresse, User-Agent bei Login-Versuchen (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Schutz vor Brute-Force-Angriffen)
  • Hotel-Daten: Hotelname, Adresse, Sterneklassifizierung, Zimmer-/Bettenzahl, Vollzeitäquivalente, Saison- und Betriebskennzahlen, Verbrauchsdaten, Hauptkontakt-E-Mail. Für italienische Hotels zusätzlich (sofern vom Kunden angegeben): Partita IVA, Codice Fiscale, PEC-E-Mail-Adresse, ATECO-Code. Für DACH-Hotels ggf. USt-IdNr. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung.
  • Einwilligungsnachweis: IP-Adresse und Zeitpunkt bei Akzeptanz der AGB/DSE (Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO — Nachweispflicht nach Art. 7 Abs. 1 DSGVO)
  • Zahlungsdaten: Stripe-Kunden-ID (pro Nutzer; ein zahlender Customer-Record) und Stripe-Abonnement-IDs (pro Hotel — jedes Hotel hat ein eigenes Abonnement) sowie Abrechnungszeitraum-Daten (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung). Kreditkarten-, Kontodaten und Rechnungshistorie werden ausschließlich bei Stripe gespeichert, nicht in unserem System. Bei Account-Löschung wird der zugehörige Stripe-Customer-Record automatisch ebenfalls gelöscht (DSGVO Art. 17).
  • Belege: Hochgeladene Dokumente (Rechnungen, Lieferscheine) als Nachweis für Verbrauchsdaten (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
  • Einladungen: E-Mail-Adressen eingeladener Teammitglieder (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Teamfunktion). Die E-Mail-Adresse wird vom einladenden Owner eingegeben (Datenquelle gem. Art. 14 Abs. 2 lit. f DSGVO). Die eingeladene Person wird mit der Einladungs-E-Mail über die Verarbeitung informiert und kann die Einladung jederzeit ablehnen oder die Verarbeitung per E-Mail an info@climactra.com untersagen. Nicht angenommene Einladungen werden nach 7 Tagen automatisch gelöscht.
  • Waitlist-Eintragungen (AT/DE/CH): Bei Eintragung in die Warteliste für Märkte außerhalb Italiens speichern wir: E-Mail-Adresse, Hotelname, ausgewähltes Land, Sprache, IP-Adresse und gekürzten User-Agent. Zweck: Benachrichtigung beim Marktstart in dem jeweiligen Land. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Absenden des Formulars). IP-Adresse und User-Agent dienen ausschließlich der Spam-Erkennung und werden nicht für Profiling verwendet. Die Einwilligung kann jederzeit per E-Mail an info@climactra.com mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
  • Kontaktformular: Bei Absenden des Kontaktformulars unter /kontakt verarbeiten wir Name, E-Mail-Adresse, optional den Hotelnamen sowie Ihre Nachricht. Diese Angaben werden per E-Mail an info@climactra.com übermittelt. Zusätzlich verarbeiten wir Ihre IP-Adresse temporär und ausschließlich serverseitig für ein Rate-Limit (max. 3 Anfragen pro Stunde, Spam-Schutz). Die IP-Adresse ist nicht Teil der E-Mail und wird nach Ablauf des Zeitfensters (60 Minuten) automatisch gelöscht. Rechtsgrundlage für die Mail-Übermittlung: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktives Anklicken der Datenschutz-Checkbox); ergänzend Art. 6 Abs. 1 lit. b DSGVO bei Anbahnung eines Vertragsverhältnisses. Rechtsgrundlage für die Rate-Limit-Verarbeitung der IP: Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse am Schutz vor Spam und automatisierten Anfragen. Die Einwilligung ist jederzeit per E-Mail an info@climactra.com mit Wirkung für die Zukunft widerrufbar (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
  • Änderungshistorie (Audit-Trail): Jede Änderung an Verbrauchs-, Emissions- oder Stammdaten wird mit Zeitstempel und Zuordnung zum auslösenden Benutzer-Account protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO — Vertragserfüllung und Nachweispflicht für die Reproduzierbarkeit historischer Berechnungen und Berichte. Wichtig für Mitarbeiter-Accounts (Membership): Der OWNER ist als Verantwortlicher verpflichtet, seine Mitarbeiter gemäß Art. 13 DSGVO über dieses Tracking zu informieren.

Die Angabe der Account-Daten ist vertragliche Voraussetzung für die Nutzung des Dienstes. Ohne diese Daten kann kein Account erstellt werden. Die Erfassung von Sicherheits-Logs erfolgt automatisch und ist für den Betrieb technisch erforderlich. Die Waitlist-Eintragung und die Nutzung des Kontaktformulars sind freiwillig und basieren ausschließlich auf der erteilten Einwilligung.

3. Passwort-Sicherheitsprüfung

Bei Registrierung und Passwort-Änderung prüfen wir Ihr Passwort gegen eine Datenbank bekannter kompromittierter Passwörter (HaveIBeenPwned). Dabei wird nicht Ihr Passwort übertragen, sondern nur die ersten 5 Zeichen eines SHA-1-Hash-Wertes (K-Anonymity-Verfahren). Der Dienst wird von Troy Hunt (Australien/USA) betrieben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse: Schutz Ihres Accounts). Der Transfer erfolgt verschlüsselt (HTTPS). Auf Basis des K-Anonymity-Modells ist eine Identifizierung Ihres Passworts technisch nicht möglich.

4. Aufbewahrungsfristen

  • Login-Protokolle (IP, User-Agent): 90 Tage, dann automatisch gelöscht
  • Aktive Sessions: 30 Tage Inaktivität, dann automatisch gelöscht
  • Sicherheits-Audit-Logs: 365 Tage, dann automatisch gelöscht
  • Account-Daten: Bis zur Löschung des Accounts durch den Nutzer
  • Hotel- und Verbrauchsdaten: Verbrauchsdaten, Berichte und Hotel-Stammdaten bleiben gespeichert, bis der OWNER das Hotel löscht oder der zugehörige Account gelöscht wird.
  • Belege/Dokumente: 10 Jahre ab Upload-Datum (entsprechend der handelsrechtlichen Aufbewahrungspflicht nach Art. 2220 Codice Civile, anwendbar da der Verantwortliche in Italien niedergelassen ist). Bei vorzeitiger Account- oder Hotel-Löschung erfolgt eine Soft-Löschung — die Datei bleibt verschlüsselt im Storage bis zum Ablauf der Retention-Frist und wird anschließend automatisch endgültig gelöscht.
  • Einladungen: 7 Tage nach Erstellung, dann automatisch gelöscht
  • Waitlist-Eintragungen: Längstens 24 Monate ab Eintragung (zur Versendung der Launch-Benachrichtigung im jeweiligen Land), danach automatische Löschung. Bei Widerruf der Einwilligung sofortige Löschung.
  • Kontaktformular-Nachrichten: (E-Mail im Postfach des Verantwortlichen): bis zur abschließenden Bearbeitung Ihrer Anfrage, spätestens nach 6 Monaten Löschung — sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen. Bei Widerruf der Einwilligung sofortige Löschung.
  • E-Mail-Protokolle: (Empfänger, Betreff, Typ, Zustellstatus): 90 Tage, dann automatisch gelöscht
  • Rate-Limit-Einträge: (IP-basiert, betrifft auch das Kontaktformular): Wenige Stunden, automatisch nach Ablauf gelöscht
  • System-Logs: (Fehlerprotokolle): 180 Tage, dann automatisch gelöscht
  • Verbrauchsdaten-Änderungshistorie: 7 Jahre (gesetzliche Aufbewahrungspflicht nach Art. 2220 Codice Civile)
  • Emissionsfaktor-Änderungshistorie: 10 Jahre (Reproduzierbarkeit historischer Berichte)

5. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15): Export aller Ihrer Daten als JSON unter Account-Einstellungen
  • Berichtigung (Art. 16): Profildaten (Name, E-Mail, Passwort) können jederzeit in den Account-Einstellungen geändert werden
  • Löschung (Art. 17): Vollständige Kontolöschung inkl. aller zugehörigen Daten unter Account-Einstellungen
  • Einschränkung der Verarbeitung (Art. 18): Kontaktieren Sie uns per E-Mail an info@climactra.com
  • Datenübertragbarkeit (Art. 20): Maschinenlesbarer JSON-Export
  • Widerspruch (Art. 21): Kontaktieren Sie uns per E-Mail an info@climactra.com
  • Beschwerderecht (Art. 77): Sie haben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Für Italien: Garante per la protezione dei dati personali, www.garanteprivacy.it. Für Österreich: Österreichische Datenschutzbehörde, www.dsb.gv.at. Für Deutschland: Der/die Landesbeauftragte für Datenschutz Ihres Bundeslandes.

6. Cookies und lokale Speicherung

Wir setzen ausschließlich technisch notwendige Cookies und nutzen lokalen Browser-Speicher für komfortbezogene Voreinstellungen. Alle Setz-Vorgänge erfolgen entweder automatisch im Rahmen der Authentifizierung oder nach aktiver Nutzeraktion — kein automatisches Tracking, keine Marketing- oder Werbe-Cookies.

Eingesetzte Cookies

  • Session-Cookie (next-auth, JWT, 30 Tage, HttpOnly, Secure, SameSite=Lax) — gesetzt nach Login, erforderlich für die Authentifizierung.
  • CSRF-Token-Cookie (next-auth, Session-Dauer, HttpOnly) — Schutz vor Cross-Site-Request-Forgery, erforderlich für sicheres Formular-Posting.
  • Sprachpräferenz-Cookie (NEXT_LOCALE, 1 Jahr) — gesetzt, wenn Sie die Sprache wechseln oder die erste Seite besuchen.
  • Sprachwechsel-Marker (locale_decided, 1 Jahr) — verhindert wiederholte automatische Sprach-Weiterleitungen.

LocalStorage (kein Cookie)

  • Theme-Voreinstellung (theme = light | dark) — gesetzt, wenn Sie den Dark-Mode-Schalter im Dashboard betätigen. Verbleibt nur in Ihrem Browser, wird nicht an unsere Server übertragen.

Reichweitenmessung

Sofern aktiviert, nutzen wir ausschließlich eine selbst gehostete, cookielose Reichweitenmessung (Umami). Es werden keine Cookies gesetzt, keine User-IDs vergeben und keine Cross-Site-Verfolgung durchgeführt. Stattdessen erzeugt der Browser einen anonymisierten, täglich rotierenden Hash aus IP-Adresse und User-Agent, der ausschließlich tagesweise zur Unterscheidung von Sitzungen dient. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung). Da kein Speicher- oder Zugriffsvorgang im Sinne von Art. 5 Abs. 3 ePrivacy-Richtlinie stattfindet, ist eine Einwilligung nicht erforderlich.

Eine gesonderte Cookie-Einwilligung wird derzeit nicht erhoben (Art. 5 Abs. 3 ePrivacy-Richtlinie — alle gesetzten Cookies sind unbedingt erforderlich für die jeweils vom Nutzer ausdrücklich gewünschte Dienstleistung).

7. Sicherheitsmaßnahmen (Art. 32 DSGVO)

  • Passwörter: bcrypt mit Kostenfaktor 12
  • TOTP-Secrets: AES-256-GCM Verschlüsselung
  • Tokens: SHA-256 Hash + Timing-safe Vergleich
  • Transport: HTTPS mit HSTS (1 Jahr, Preload)
  • Brute-Force-Schutz: Persistentes Rate-Limiting + Account-Lockout
  • Breach-Detection: Automatische Erkennung verdächtiger Login-Muster
  • CSRF-Schutz: Origin-Validierung + Content-Type-Enforcement
  • Content Security Policy: Restriktive CSP-Header ohne unsafe-eval

8. Drittanbieter und Datenübermittlung

Für klar abgegrenzte Zwecke setzen wir folgende externe Dienste ein. Drei davon haben ihren Sitz in den USA, auf den jeweils unten genannten Rechtsgrundlagen:

  • Hetzner Online GmbH (Gunzenhausen, Deutschland): Hosting (VPS) und verschlüsselte Backup-Speicherung sämtlicher Hotel-Stamm- und Verbrauchsdaten. Ausschließlich EU-Server (Rechenzentren in Deutschland und Finnland), keine Drittlandsübermittlung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO. Auftragsverarbeitungsvertrag besteht.
  • HaveIBeenPwned API: Prüfung auf kompromittierte Passwörter bei Registrierung/Änderung (siehe Abschnitt 3). Transfer: USA, auf Basis von K-Anonymity — kein personenbezogener Datentransfer.
  • Stripe Payments Europe Ltd. (Irland): Zahlungsabwicklung (Kreditkarte) und Rechnungsstellung. An Stripe werden Zahlungsdaten sowie die für die Rechnung erforderlichen Stammdaten übermittelt: Firmenname (Rechtsträger), USt-IdNr./Partita IVA, Rechnungsadresse, PEC und Codice Fiscale. Keine Emissions-/Verbrauchsdaten und keine Login-/Zugangsdaten werden an Stripe übermittelt. Vertragspartner ist Stripe Payments Europe Ltd. (Dublin, Irland); für Teile der Infrastruktur nutzt Stripe Sub-Auftragsverarbeiter in den USA (Stripe Inc.) auf Basis des EU-US Data Privacy Framework und der Standard Contractual Clauses.
  • Sentry (Functional Software Inc., USA): Fehlerverfolgung und Performance-Monitoring. Sentry empfängt technische Fehlerdaten (Stack-Traces, Browser-Typ, URL). IP-Adressen werden serverseitig anonymisiert; es werden keine personenbezogenen Daten gezielt übermittelt. Transfer: USA, auf Basis von Standard Contractual Clauses (SCCs).
  • Brevo SAS (Paris, Frankreich): Versand transaktionaler E-Mails und Waitlist-Benachrichtigungen (Verifikations-Codes, Sicherheitswarnungen, Rechnungs-Benachrichtigungen, Markteintritts-Hinweise). Brevo verarbeitet ausschließlich Empfänger-E-Mail-Adresse, Betreff und Nachrichteninhalt. Sitz und primäre Verarbeitung in der EU (Frankreich); Brevo nutzt für seine Mailing-Infrastruktur Sub-Auftragsverarbeiter unter anderem in den USA (Amazon Web Services) auf Basis von Standard Contractual Clauses und dem EU-US Data Privacy Framework. Auftragsverarbeitungsvertrag mit Brevo besteht.
  • IONOS SE (Montabaur, Deutschland): Domain-Registrar, DNS-Auflösung sowie E-Mail-Postfach für info@climactra.com (Empfang von Geschäftskorrespondenz). EU-Server, keine Drittlandsübermittlung. Auftragsverarbeitungsvertrag besteht.

Es erfolgt keine Weitergabe personenbezogener Daten an Dritte zu Werbe- oder Marketingzwecken.

9. Automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO statt. Die CO₂-Berechnungen sind rein mathematische Operationen auf Basis der vom Nutzer eingegebenen Verbrauchsdaten und öffentlich zugänglicher Emissionsfaktoren.

10. Rolle bei der Datenverarbeitung

Climactra tritt je nach Datenkategorie in unterschiedlichen datenschutzrechtlichen Rollen auf:

  • Verantwortlicher (Art. 4 Nr. 7 DSGVO): Für alle in dieser Datenschutzerklärung beschriebenen Verarbeitungen — also Marketing-Website-Besuche, Account- und Authentifizierungsdaten, Stripe-Zahlungsdaten, Waitlist-Eintragungen, Sicherheits-Logs sowie alle weiteren in den Abschnitten 2 bis 8 genannten Daten. Anbieter und Verantwortlicher: Jacob Wieser (Anschrift im Impressum).
  • Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO): Für die personenbezogenen Daten, die Sie als Kunde (Hotel) im Rahmen der Vertragsausführung in die Plattform hochladen oder dort verarbeiten — insbesondere Mitarbeiter- und Belegungsdaten. Hierbei sind Sie (das Hotel) Verantwortlicher, Climactra ist Auftragsverarbeiter. Die Rechte und Pflichten beider Parteien regelt der Auftragsverarbeitungsvertrag (AVV), der als Anhang 1 fester Bestandteil der AGB ist und mit Vertragsschluss vereinbart wird.

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen am Dienst oder bei neuen gesetzlichen Anforderungen anzupassen. Die aktuelle Fassung ist jederzeit unter /datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Kunden per E-Mail.