homatoStartseite

Datenschutzerklärung

Informationen zur Verarbeitung Ihrer personenbezogenen Daten

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können. Ausführliche Informationen zum Thema Datenschutz entnehmen Sie unserer nachfolgenden Datenschutzerklärung.

2. Verantwortliche Stelle

PrPVV GmbH
Rutenberger Straße 6
17279 Lychen

Vertreten durch: Gerald Steiner
E-Mail: info@homato.de

3. Datenerfassung auf dieser Website

Cookies

Unsere Website verwendet Cookies. Dabei handelt es sich um kleine Textdateien, die Ihr Webbrowser auf Ihrem Endgerät speichert. Cookies helfen uns dabei, unser Angebot nutzerfreundlicher und sicherer zu machen.

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website und die Authentifizierung erforderlich sind. Eine Einwilligung ist hierfür nicht erforderlich (Art. 6 Abs. 1 lit. f DSGVO).

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in sogenannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Registrierung und Nutzerkonto

Für die Nutzung unserer Plattform ist eine Registrierung erforderlich. Dabei werden folgende Daten erhoben:

  • E-Mail-Adresse
  • Passwort (verschlüsselt gespeichert)
  • Name und zugewiesene Rolle (Admin, Manager, Service)

Die Verarbeitung erfolgt zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

4. Webanalyse und Werbung

Google Analytics

Diese Website nutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited ("Google"), Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Wir nutzen Google Analytics mit der Erweiterung IP-Anonymisierung. Dadurch wird Ihre IP-Adresse von Google innerhalb der EU gekürzt. Google Analytics wird nur nach Ihrer ausdrücklichen Einwilligung geladen (Cookie-Banner). Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Cookie-Einstellungen zurücksetzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Google Ads Conversion-Tracking

Wir nutzen Google Ads Conversion-Tracking, um die Wirksamkeit unserer Werbeanzeigen zu messen. Wenn Sie über eine Google-Anzeige auf unsere Website gelangen, wird ein Cookie für das Conversion-Tracking gesetzt — ebenfalls nur nach Ihrer Einwilligung über den Cookie-Banner.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

5. Hosting

Diese Website wird bei einem externen Dienstleister gehostet (Hoster). Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich v.a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten, die über eine Website generiert werden, handeln.

Die Nutzung des Hosters erfolgt im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. f DSGVO).

6. Verarbeitung von Gästedaten

Im Rahmen der Hotelgastverwaltung werden folgende Daten verarbeitet:

  • Name, Kontaktdaten und Anschrift der Hotelgäste
  • Zimmernummer und Aufenthaltszeitraum
  • Ernährungsanforderungen und Menüauswahl
  • Besondere Hinweise (z.B. Allergien)
  • Reservierungs- und Abrechnungsdaten
  • Korrespondenz (E-Mails im Zusammenhang mit dem Aufenthalt)

Diese Daten werden ausschließlich im Auftrag des jeweiligen Hotelbetriebs verarbeitet. Die Rechtsgrundlage ergibt sich aus dem Vertragsverhältnis mit dem Hotel (Art. 6 Abs. 1 lit. b DSGVO) bzw. dem berechtigten Interesse an der ordnungsgemäßen Gästeversorgung (Art. 6 Abs. 1 lit. f DSGVO).

7. Verarbeitung von Gesundheitsdaten (Art. 9 DSGVO)

Im Rahmen von Kur- und Rehabilitationsaufenthalten werden besondere Kategorien personenbezogener Daten verarbeitet:

  • Medizinische Anamnese (Vorerkrankungen, Medikamente, Diagnosen)
  • Therapiepläne und -sitzungen
  • Ärztliche Berichte und Entlassungsberichte
  • PVA-Bewilligungsdaten (xEDIKUR-Schnittstelle)
  • Schmerzskalen, Befindlichkeitswerte und Selbsteinschätzungen

Die Verarbeitung erfolgt auf Grundlage von Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung) bzw. Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung). Gesundheitsdaten werden verschlüsselt gespeichert und nur autorisierten Personen zugänglich gemacht.

8. Therapie- und Behandlungsdaten

Für die Planung und Durchführung von Therapien werden verarbeitet:

  • Therapiezuweisungen und Terminpläne
  • Therapeutennamen und Qualifikationen
  • Teilnahme- und Anwesenheitsprotokolle
  • Behandlungsdokumentation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) in Verbindung mit Art. 9 Abs. 2 lit. h DSGVO (Gesundheitsversorgung).

9. Verarbeitung von Mitarbeiterdaten

Im Rahmen der Personalverwaltung werden folgende Daten verarbeitet:

  • Name, Kontaktdaten und Anschrift
  • Arbeitszeiterfassung und Schichtpläne
  • Abwesenheiten und Urlaubsdaten
  • Qualifikationen und Zertifikate
  • Lohn- und Gehaltsrelevante Daten

Die Verarbeitung erfolgt zur Erfüllung des Arbeitsvertrags (Art. 6 Abs. 1 lit. b DSGVO) sowie zur Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO, z.B. Arbeitszeitgesetz, Steuerrecht).

10. Zahlungs- und Abrechnungsdaten

Für die Abrechnung von Aufenthalten und Zusatzleistungen werden verarbeitet:

  • Rechnungsdaten und Zahlungshistorie
  • Versicherungsträgerdaten (PVA, Krankenkassen)
  • Kreditkarteninformationen (über Stripe — wir speichern keine vollständigen Kartendaten)
  • Anzahlungen und offene Posten

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

11. KI-gestützte Dokumentenverarbeitung

Wir setzen künstliche Intelligenz (Claude von Anthropic) ein, um gescannte Papierformulare automatisiert auszuwerten:

  • Anamnesebögen (PVA-Fragebögen)
  • Bestätigungsformulare für Kuraufenthalte
  • Menüauswahl-Formulare
  • Gästelisten

Die Verarbeitung erfolgt über den EU-Endpunkt von Anthropic (api.eu.anthropic.com). Die Daten werden ausschließlich innerhalb der EU verarbeitet und nicht für das Training von KI-Modellen verwendet. Es erfolgt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO — alle KI-Extraktionen werden von Personal überprüft und bestätigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Datenverarbeitung) in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten).

12. Drittanbieter und Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:

  • Supabase Inc. — Datenbankhosting und Authentifizierung (EU-Region)
  • Vercel Inc. — Webhosting und Content Delivery
  • Anthropic PBC — KI-Dokumentenverarbeitung (EU-Endpunkt)
  • Stripe Inc. — Zahlungsabwicklung (PCI-DSS zertifiziert)
  • Google Ireland Limited — Webanalyse (Google Analytics) und Conversion-Tracking (Google Ads), nur nach Einwilligung

Mit allen Auftragsverarbeitern wurden Verträge gemäß Art. 28 DSGVO (Auftragsverarbeitungsverträge) abgeschlossen. Soweit eine Datenübermittlung in Drittländer erfolgt, geschieht dies auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder Angemessenheitsbeschlüssen der EU-Kommission.

13. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein:

  • Verschlüsselung aller Daten bei Übertragung (TLS) und Speicherung
  • Verschlüsselung sensibler Zugangsdaten (AES-256-GCM)
  • Rollenbasierte Zugriffskontrolle auf Datenbankebene (Row-Level Security)
  • Mandantentrennung — Hotels können nur auf eigene Daten zugreifen
  • Protokollierung aller Zugriffe auf Gesundheitsdaten (Audit-Trail)
  • Regelmäßige Sicherheitsupdates und Schwachstellenprüfungen

14. Aufbewahrungsfristen

Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist:

  • Gästedaten: Dauer des Aufenthalts + 3 Jahre (Gewährleistung)
  • Gesundheitsdaten: 10 Jahre (ärztliche Aufbewahrungspflicht)
  • Rechnungsdaten: 7 Jahre (steuerliche Aufbewahrungspflicht nach BAO)
  • Mitarbeiterdaten: Dauer des Dienstverhältnisses + 3 Jahre
  • Log-Dateien: 90 Tage

Nach Ablauf der Fristen werden die Daten automatisiert gelöscht oder anonymisiert.

15. Ihre Rechte

Sie haben jederzeit das Recht:

  • Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu erhalten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
  • Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
  • Datenübertragbarkeit zu verlangen (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung einzulegen (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@homato.de

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Zuständige Aufsichtsbehörde in Österreich:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
dsb@dsb.gv.at | www.dsb.gv.at