Datenschutzerklärung
Diese Datenschutzerklärung erläutert, wie personenbezogene Daten verarbeitet werden, wenn Sie die PlanMyTrip-App und die Website planmytrip24.com (zusammen der „Dienst“) nutzen. Sie ist an der EU-/UK-Datenschutz-Grundverordnung (DSGVO), dem schweizerischen DSG, dem kalifornischen CCPA/CPRA, dem japanischen APPI, dem südkoreanischen PIPA und dem mexikanischen Datenschutzrecht ausgerichtet und dient zugleich als mexikanischer Aviso de Privacidad.
1. Verantwortlicher
[VOLLSTÄNDIGER NAME], eine natürliche Person (persona física) mit Wohnsitz in Mexiko
[POSTANSCHRIFT]
E-Mail: [email protected]
Ein Datenschutzbeauftragter ist nicht bestellt (bei der aktuellen Größe nicht erforderlich). Datenschutzanfragen richten Sie bitte an die genannte E-Mail-Adresse.
2. Welche Daten wir verarbeiten, wozu & auf welcher Rechtsgrundlage
| Kategorie | Daten | Zweck | Rechtsgrundlage (DSGVO) |
|---|---|---|---|
| Konto | E-Mail, Benutzername, Vor-/Nachname, Geburtsdatum, Geschlecht (optional), Heimatland/-stadt, Passwort (nur als gesalzener Hash gespeichert), Profilbild, bevorzugte Sprache/Währung/Einheiten | Konto erstellen und betreiben; Prüfung der Volljährigkeit (18+); Personalisierung | Art. 6 Abs. 1 lit. b (Vertrag); Altersprüfung: lit. c (rechtliche Verpflichtung) |
| Reisen & Planung | Reiseziele, Daten, Reisepläne, Notizen, Reservierungen, verfolgte Flüge, Präferenzen (z. B. Interessen, Ernährung), Reisemitglieder | Bereitstellung der genutzten Planungsfunktionen | Art. 6 Abs. 1 lit. b |
| Dateien & Belege | Von Ihnen hochgeladene Dateien (Tickets, Bestätigungen, Belege, Fotos) | Speicherung und Anzeige in Ihren Reisen; Schadsoftware-Prüfung | Art. 6 Abs. 1 lit. b; Prüfung: lit. f (berechtigtes Interesse: Sicherheit) |
| Sicherer Tresor | Ende-zu-Ende-verschlüsselte Dateien und Metadaten | Verschlüsselte Speicherung. Zero-Knowledge: Wir speichern nur Geheimtext und können ihn nicht lesen | Art. 6 Abs. 1 lit. b |
| Ausgaben | Ausgabenbeträge, Aufteilungen, Gruppenmitglieder, Belegbilder | Ausgabenteilungs-Funktionen | Art. 6 Abs. 1 lit. b |
| KI-Funktionen | Ihre Chat-Nachrichten an den Reiseassistenten, Reiseparameter und Inhalte zur Erzeugung von Reiseplänen/Tipps/Übersetzungen | Erzeugung der von Ihnen angeforderten KI-Inhalte (Verarbeitung durch die KI-Anbieter in Abschnitt 4) | Art. 6 Abs. 1 lit. b |
| Gerätestandort | Ungefährer Standort (nur mit Ihrer Betriebssystem-Erlaubnis) | Vorschlag Ihrer Abflugstadt. Wird nicht auf unseren Servern gespeichert | Art. 6 Abs. 1 lit. a (Einwilligung, in den OS-Einstellungen widerrufbar) |
| Sicherheits- & Prüfprotokolle | IP-Adresse, Gerät/User-Agent, Zeitstempel bei Anmeldungen, sicherheitsrelevanten Änderungen (E-Mail-/Benutzernamensänderungen), Annahme der Nutzungsbedingungen | Sicherheit, Missbrauchs- und Betrugsprävention, Ratenbegrenzung, rechtlicher Nachweis der Einwilligung | Art. 6 Abs. 1 lit. f; lit. c |
| Abonnementstatus | App-Store-Transaktionskennungen und Berechtigungsstatus (keine Kartendaten — Zahlungen laufen über Apple/Google) | Aktivierung und Prüfung von Premium | Art. 6 Abs. 1 lit. b |
| Benachrichtigungen | Push-Token (falls aktiviert), Benachrichtigungseinstellungen | Zustellung der von Ihnen gewählten Benachrichtigungen (z. B. Flugalarme) | Art. 6 Abs. 1 lit. a/b |
| E-Mails | E-Mail-Adresse, Zustellereignisse für Transaktionsmails (Bestätigungscodes, Passwort-Zurücksetzung, Kontoaktivität); Marketing nur nach Ihrer Einwilligung | Kontobetrieb; optionale Produktneuigkeiten | Art. 6 Abs. 1 lit. b; Marketing: lit. a |
| Support & Feedback | Ihre Nachrichten an uns, Feedback-Texte | Beantwortung; Verbesserung des Dienstes | Art. 6 Abs. 1 lit. b/f |
| Website-Warteliste | Auf planmytrip24.com eingetragene E-Mail-Adresse | Benachrichtigung zum Start | Art. 6 Abs. 1 lit. a |
Wir treffen keine automatisierten Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung und verarbeiten nicht gezielt besondere Datenkategorien (laden Sie Gesundheitsdaten und ähnlich sensible Daten bitte nur in den verschlüsselten Tresor hoch).
3. Was wir bewusst nicht tun
- Wir verkaufen keine personenbezogenen Daten und geben sie nicht für kontextübergreifende Werbung weiter (CCPA: kein „sale“/„sharing“).
- Wir betreiben in der App keine Werbe- oder Tracking-SDKs von Drittanbietern.
- Wir speichern Ihre GPS-Koordinaten nicht auf unseren Servern.
- Wir lesen Ihren verschlüsselten Tresor nicht — ohne Ihre Passphrase technisch unmöglich.
4. Auftragsverarbeiter & Empfänger
Wir setzen zur Erbringung des Dienstes folgende Dienstleister ein (Auftragsverarbeiter oder teils eigenständig Verantwortliche):
| Anbieter | Zweck | Betroffene Daten | Standort |
|---|---|---|---|
| Google Cloud (Google Ireland/LLC) | Hosting: Server, Datenbank, Dateispeicher, Warteschlangen (Region europe-west1, Belgien) | Alle serverseitigen Daten | EU (Hosting); Support durch Google LLC (USA) |
| Google (Gemini / Vertex AI) | KI-Inhaltserzeugung (Reisepläne, Chat, Tipps, Übersetzungen, Angebote) | Chat-Nachrichten, Reiseparameter, zu übersetzende Inhalte | EU/USA |
| xAI, OpenAI, Groq | Ersatz-/Zusatz-KI-Anbieter für bestimmte Aufgaben | Gleiche Kategorien wie oben (keine Kontokennungen) | USA |
| Langfuse (Langfuse GmbH) | Technische Protokollierung von KI-Anfragen (Qualitäts- und Kostenüberwachung); Eingaben/Ausgaben werden aufgezeichnet | KI-Ein-/Ausgaben, pseudonyme Kennungen | EU |
| Google Places / Distance Matrix | Ortssuche, Details, Fotos, Fahrzeiten | Suchbegriffe, Ortsabfragen | USA/weltweit |
| Mapbox | Karten und Routen | Kartenkachel-Anfragen, Routenkoordinaten | USA |
| Open-Meteo | Wettervorhersagen | Zielkoordinaten (keine persönlichen Kennungen) | EU |
| AeroDataBox (über MagicAPI) | Flugstatus für von Ihnen verfolgte Flüge | Flugnummern, Daten | USA/EU |
| MailerSend | Transaktions- und (nach Einwilligung) Produkt-E-Mails | E-Mail-Adresse, Name, Zustellereignisse | EU/USA |
| Firebase Cloud Messaging (Google) | Push-Benachrichtigungen (falls aktiviert) | Push-Token, Benachrichtigungsinhalte | USA/weltweit |
| Apple / Google Play | App-Vertrieb, Abonnement-Abrechnung | Kauf-/Transaktionsdaten (eigenständig Verantwortliche) | USA/weltweit |
| Cloudflare | Inhaltsauslieferung (Bilder) | IP-Adresse, angefragte URLs | Weltweit |
| VirusTotal (Google) / selbst betriebenes ClamAV | Schadsoftware-Prüfung von Uploads | Datei-Hashes / Dateiinhalte von Uploads (nicht: Tresordateien) | USA / EU |
| exchangerate-api.com | Wechselkurse | Keine (generische Kursabfragen) | USA |
| submit-form.com (Formspark) | Verarbeitung des Website-Wartelisten-Formulars | E-Mail-Adresse | USA/EU |
Wenn Sie über einen Link im Dienst die Website oder App eines Buchungspartners öffnen (z. B. Expedia, Trip.com, Check24, GetYourGuide, Viator, Klook, Tiqets, Civitatis), verarbeitet dieser Partner Ihre Daten als eigenständig Verantwortlicher nach seiner eigenen Datenschutzerklärung. Ausgehende Links können eine Affiliate-Kennung enthalten, damit der Partner die Vermittlung zuordnen kann; Ihre Buchungsdaten erhalten wir von Partnern nicht.
5. Internationale Datenübermittlungen
Unsere Server stehen in der EU (Belgien). Einige der genannten Anbieter verarbeiten Daten in den USA oder weltweit. Verlassen Daten die EU/das Vereinigte Königreich/die Schweiz, stützen wir uns auf Angemessenheitsbeschlüsse der Europäischen Kommission (einschließlich des EU-US Data Privacy Framework für zertifizierte Anbieter) und/oder Standardvertragsklauseln mit ergänzenden Maßnahmen. Der Betreiber mit Sitz in Mexiko greift zu Verwaltungszwecken auf die Systeme zu; hierfür gelten das mexikanische Datenschutzrecht und unsere vertraglichen Schutzmaßnahmen.
6. Speicherdauer
- Kontodaten und Inhalte: Aufbewahrung, solange Ihr Konto besteht. Löschen Sie Ihr Konto in der App, werden Ihre Reisen, Dateien, Ausgaben, Push-Token, Einladungslinks, Ihr Profilbild und Ihr Tresor endgültig gelöscht (geteilte Reisen in Ihrem Eigentum werden nach Ihrer Wahl beim Löschvorgang übertragen oder gelöscht).
- Was die Kontolöschung überdauert: (a) Ihr angegebener Löschgrund mit Ihrer E-Mail-Adresse für Produktanalysen; (b) Sicherheitsprotokolle von Identitätsänderungen (IP, User-Agent) und (c) Nachweise Ihrer Annahme von Nutzungsbedingungen/Datenschutzerklärung — als rechtliche Nachweise, gelöscht, sobald nicht mehr erforderlich (höchstens für die Dauer der einschlägigen Verjährungsfristen); (d) kurzlebige verschlüsselte Sicherungskopien (automatisch rotierend).
- Deaktivierung (im Unterschied zur Löschung) bewahrt Ihre Daten für eine Rückkehr auf; die vollständige Löschung können Sie jederzeit verlangen.
- E-Mail-Zustellprotokolle und Serverprotokolle werden für kurze technische Zeiträume aufbewahrt.
7. Ihre Rechte
EU/UK/Schweiz (DSGVO/DSG): Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch (auch gegen Verarbeitung auf Grundlage berechtigter Interessen) sowie das Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen. Sie können sich bei Ihrer örtlichen Aufsichtsbehörde beschweren.
Kalifornien (CCPA/CPRA): Rechte auf Auskunft, Löschung, Berichtigung und Nichtdiskriminierung. Wir verkaufen und teilen keine personenbezogenen Daten; ein Opt-out ist daher gegenstandslos.
Japan (APPI) / Südkorea (PIPA) / Mexiko (ARCO-Rechte): Ihnen stehen nach Ihrem örtlichen Recht entsprechende Rechte auf Zugang, Berichtigung, Löschung und Widerspruch/Widerruf zu. Nutzer in Mexiko können ihre ARCO-Rechte über die unten stehende E-Mail-Adresse ausüben und sich bei Unzufriedenheit an die zuständige mexikanische Datenschutzbehörde wenden.
Ausübung: Die meisten Rechte können Sie direkt in der App wahrnehmen (Profil bearbeiten; Konto → Konto löschen). Für alles Weitere schreiben Sie an [email protected]; wir prüfen Ihre Identität und antworten innerhalb der gesetzlichen Frist (nach DSGVO ein Monat, verlängerbar soweit zulässig).
8. Sicherheit
Zu den Maßnahmen gehören: TLS für alle Übertragungen (mit Zertifikats-Pinning in der App), bcrypt-Passwort-Hashing, verschlüsselte Speicherung, EU-Datenresidenz, strenge Zugriffskontrollen, Ratenbegrenzung und Brute-Force-Sperren, Schadsoftware-Prüfung von Uploads über eine isolierte Quarantäne-Pipeline, unveränderliche Prüfprotokolle und ein Zero-Knowledge-verschlüsselter Tresor (AES-256-GCM, argon2id-Schlüsselableitung auf Ihrem Gerät). Kein Internetdienst ist zu 100 % sicher; verwenden Sie ein einzigartiges, vertrauliches Passwort.
9. Kinder und Jugendliche
Der Dienst richtet sich an Erwachsene (18+). Wir verarbeiten wissentlich keine Daten von Minderjährigen; die Registrierung weist Geburtsdaten unter 18 Jahren ab. Wenn Sie glauben, dass eine minderjährige Person ein Konto besitzt, kontaktieren Sie uns — wir löschen es.
10. Cookies & Website
Die App verwendet keine Cookies und keine Werbe-Tracker von Drittanbietern.
Die Website planmytrip24.com nutzt neben technisch notwendiger Verarbeitung: Google Fonts (von Google-Servern geladen — dabei wird Ihre IP-Adresse an Google übermittelt), das Wartelisten-Formular (submit-form.com) und ein Partner-Verifizierungsskript. Werbe-Cookies setzen wir nicht. Sollte sich das ändern, schalten wir zuerst einen Einwilligungsbanner vor.
11. Aviso de Privacidad (Mexiko)
Para usuarios en México: el responsable del tratamiento es [VOLLSTÄNDIGER NAME], con domicilio en [POSTANSCHRIFT]. Los datos personales descritos en la Sección 2 se tratan para las finalidades primarias de crear y operar su cuenta y prestar las funciones de planificación de viajes, y — solo con su consentimiento — para comunicaciones promocionales. Las transferencias descritas en las Secciones 4 y 5 se realizan con proveedores de servicios (encargados) necesarios para operar el Servicio. Usted puede ejercer sus derechos ARCO, limitar el uso o divulgación de sus datos y revocar su consentimiento escribiendo a [email protected].
12. Änderungen dieser Erklärung
Wir aktualisieren diese Erklärung, wenn sich der Dienst weiterentwickelt. Version und Gültigkeitsdatum stehen oben; wesentliche Änderungen kündigen wir in der App an. Wir dokumentieren, welche Fassung Sie zur Kenntnis genommen haben.
13. Kontakt
[email protected] — [VOLLSTÄNDIGER NAME], [POSTANSCHRIFT]