Datenschutzerklärung
Version: 2026-05-19
Datenschutzerklärung
Stand: 19.05.2026
1. VERANTWORTLICHER UND DATENSCHUTZBEAUFTRAGTER
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
4S Aachen GmbH
Horngasse 19
52064 Aachen
E-Mail: info@4s-aachen.de
Datenschutzkontakt:
Florian Köhler
E-Mail: datenschutz@4s-aachen.de
2. GRUNDSÄTZE DER DATENVERARBEITUNG
Wir erheben und verarbeiten personenbezogene Daten nach den Grundsätzen der Datensparsamkeit und Transparenz. Es werden nur Daten erhoben, die für die Bereitstellung und Abwicklung unserer Dienstleistungen erforderlich sind.
Wir verwenden keine Tracking-Cookies, keine Analytics-Tools und kein Werbe-Tracking. Die Privatsphäre unserer Nutzer hat höchste Priorität.
3. ZWECKE UND RECHTSGRUNDLAGEN DER DATENVERARBEITUNG
3.1 Registrierung (optional für Gäste, verpflichtend für Hosts) Verarbeitete Daten: Name, E-Mail-Adresse, Geburtsdatum (freiwillig) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Zweck: Erstellung und Verwaltung des Nutzerkontos Hinweis: Das Geburtsdatum kann freiwillig angegeben werden und dient der eindeutigen Identifizierung, insbesondere im Rahmen der Durchsetzung vertraglicher Ansprüche.
3.2 Buchungsabwicklung Verarbeitete Daten: Name, E-Mail-Adresse, Buchungsdetails (Unterkunft, Zeitraum, Preis) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Zweck: Vermittlung und Abwicklung von Unterkunftsbuchungen Besonderheit: Auch Gäste ohne Registrierung müssen diese Daten für die Buchung angeben
3.3 Zahlungsabwicklung Verarbeitete Daten: Zahlungsinformationen (Kreditkartendaten, Bankverbindung), Transaktionsdaten Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Zweck: Zahlungsabwicklung über unseren Zahlungsdienstleister Mollie Empfänger: Mollie B.V., Niederlande (EU) Hinweis: Zahlungsdaten werden direkt von Mollie verarbeitet und nicht auf unseren Servern gespeichert
3.4 Kommunikation Verarbeitete Daten: E-Mail-Adresse, Nachrichteninhalte, Buchungsbezug Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Zweck: Buchungsbestätigungen, Kommunikation zwischen Gast und Host, Plattform-Benachrichtigungen
3.5 Bewertungssystem Verarbeitete Daten: E-Mail-Adresse (auch von nicht registrierten Gästen), Bewertungstext, Bewertungszeitpunkt Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Qualitätssicherung) Zweck: Authentifizierung von Bewertungen, Vertrauensbildung auf der Plattform Speicherdauer E-Mail: 60 Tage nach Check-out für Versand des Bewertungslinks, danach automatische Löschung Speicherdauer Bewertung: Dauerhaft bis zur Löschung des bewerteten Accounts oder begründeten Löschungsantrags
3.6 Sperrungen und Betrugsprävention Verarbeitete Daten: E-Mail-Adresse, Zahlungsdaten, Verstoßdokumentation Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform und anderer Nutzer) Zweck: Verhinderung von Missbrauch, Betrug und wiederholten Verstößen gegen Plattformregeln Speicherdauer: Dauerhaft bis zur Aufhebung der Sperre oder nachweislicher Rehabilitation
3.7 Vertragsabwicklung und Rechtsansprüche Verarbeitete Daten: Alle vertragsrelevanten Daten Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO (Vertragserfüllung und gesetzliche Aufbewahrungspflichten) Zweck: Erfüllung steuerrechtlicher und handelsrechtlicher Aufbewahrungspflichten, Geltendmachung und Verteidigung von Rechtsansprüchen Speicherdauer: 10 Jahre gemäß § 147 AO (steuerrechtliche Aufbewahrungspflicht)
3.8 Meldepflicht bei Beherbergung (BMG) – nur für Unterkünfte in Deutschland Verarbeitete Daten: Staatsangehörigkeit sowie – bei Gästen ohne deutsche Staatsangehörigkeit – Geburtsdatum und Ausweis-/Passnummer; außerdem An- und Abreisedaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 29, 30 BMG. Zweck: Erfüllung gesetzlicher Meldepflichten für Unterkünfte in Deutschland. Hinweis: Sofern die Meldepflicht greift, sind diese Angaben verpflichtend.
3.9 Sicherheitsmechanismen bei Login und Magic-Link Verarbeitete Daten: IP-Adresse, Zeitpunkt und Anzahl von Login- bzw. Magic-Link-Anfragen Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform vor Missbrauch und automatisierten Anfragen) Zweck: Verhinderung von Missbrauch, Brute-Force-Angriffen und automatisierten Anfragen
3.10 Support-Chat Verarbeitete Daten: Name (optional), E-Mail-Adresse (optional), Nachrichteninhalte, IP-Adresse Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung von Kundenbetreuung) Zweck: Beantwortung von Supportanfragen über den Live-Chat auf unserer Plattform Hinweis: Wird eine E-Mail-Adresse angegeben, können Benachrichtigungen über neue Antworten per E-Mail versendet werden. Die Angabe ist freiwillig.
3.11 Durchsetzung von Schadensersatzansprüchen Verarbeitete Daten: Name, Adresse, Kontaktdaten, Buchungsdetails, Schadensdokumentation Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung von Rechtsansprüchen) Zweck: Geltendmachung von Schadensersatzansprüchen des Hosts gegenüber dem Gast im Auftrag des Hosts
3.12 API-Zugang (Programmatische Schnittstelle) Verarbeitete Daten: API-Schlüssel (kryptografisch gehasht gespeichert), Zeitpunkt der letzten Nutzung, optional konfigurierte Webhook-URLs und zugehörige Signaturschlüssel Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) Zweck: Bereitstellung eines programmatischen Zugangs zur Verwaltung von Unterkünften, Buchungen und Kontodaten für registrierte Hosts Hinweis: API-Schlüssel werden ausschließlich als kryptografischer Hash gespeichert; der Klartext-Schlüssel wird nur einmalig bei der Erstellung angezeigt. Bei Konfiguration eines Webhooks werden Buchungsereignisse an die vom Host hinterlegte URL übermittelt.
4. EMPFÄNGER UND KATEGORIEN VON EMPFÄNGERN
Ihre Daten werden an folgende Empfänger weitergegeben oder diesen zugänglich gemacht:
4.1 Zahlungsdienstleister Mollie B.V., Niederlande (EU) Zweck: Abwicklung von Zahlungen Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Weitere Informationen: https://www.mollie.com/legal/privacy
4.2 Hosting-Anbieter netcup GmbH, Deutschland Zweck: Betrieb der technischen Infrastruktur Rechtsgrundlage: Art. 28 DSGVO (Auftragsverarbeitung)
4.3 Vertragspartner (Host und Gast) Im Rahmen der Buchungsabwicklung werden notwendige Daten zwischen Gast und Host ausgetauscht (Name, E-Mail, Buchungsdetails). Der Host ist dabei eigenständiger Verantwortlicher im Sinne der DSGVO für die Verarbeitung personenbezogener Daten aus dem Unterkunftsvertrag.
4.4 Meldedaten für Gastgeber (BMG) Soweit gesetzlich erforderlich (Unterkünfte in Deutschland), können Meldedaten über eine Self-Service-Funktion dem jeweiligen Gastgeber bereitgestellt werden. Der Gastgeber ist für die Verarbeitung dieser Meldedaten eigenständiger Verantwortlicher.
4.5 Gesetzliche Behördenanfragen (BMG) Meldedaten können im gesetzlich vorgesehenen Umfang an zuständige Behörden übermittelt werden, soweit dies nach dem BMG erforderlich ist.
4.6 Inkassodienstleister und Rechtsanwälte Im Rahmen der Durchsetzung berechtigter Schadensersatzansprüche können personenbezogene Daten an beauftragte Inkassodienstleister oder Rechtsanwälte weitergegeben werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Durchsetzung von Rechtsansprüchen)
4.7 Vom Host konfigurierte Webhook-Empfänger Hosts können über die API einen Webhook-Endpunkt konfigurieren, an den Buchungsereignisse (Buchungs-ID, Status, Zeitraum, Gastname) automatisch übermittelt werden. Der Host ist für die Wahl und Sicherheit des Empfänger-Endpunkts eigenverantwortlich.
4.8 Vermittlungspartner (Partnerunterkünfte) Ein Teil der auf der Plattform angebotenen Unterkünfte wird über Vermittlungspartner (Channel-Manager wie z.B. Destination Solutions) bereitgestellt. Solche Unterkünfte sind im Listing als „Partnerunterkunft" gekennzeichnet. Bei einer Buchung einer Partnerunterkunft werden die für die Buchungsabwicklung erforderlichen personenbezogenen Daten (Name, Anschrift, E-Mail, Telefonnummer, Buchungszeitraum, ggf. Mitreisende und Bemerkungen des Gastes) an den jeweiligen Vermittlungspartner sowie an den Datenhalter (Gastgeber bzw. dessen Sourcing-Partner) übermittelt. Diese Empfänger sind eigenständige Verantwortliche im Sinne der DSGVO und verarbeiten die Daten nach ihren eigenen Datenschutzbestimmungen. Zweck: Vermittlung, Vertragsabwicklung, Zahlungsabwicklung, Bestätigung und Kommunikation zur Buchung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Vertragserfüllung). Der Plattformbetreiber tritt bei diesen Buchungen ausschließlich als Vermittler auf und hat keinen Einfluss auf die Datenverarbeitung beim Vermittlungspartner oder beim Datenhalter nach erfolgter Buchung. Die Datenschutzerklärung des Vermittlungspartners ist auf der Detailseite der jeweiligen Unterkunft als Dokumenten-Link verfügbar.
4.9 Übersetzungsdienst (DeepL) DeepL SE, Köln, Deutschland Zweck: Maschinelle Übersetzung von benutzergenerierten Inhalten (z.B. Unterkunftsbeschreibungen, Kommunikationsinhalte) in andere Sprachen, um diese mehrsprachig auf der Plattform bereitstellen zu können. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer mehrsprachigen Plattform); Auftragsverarbeitung gemäß Art. 28 DSGVO. Hinweis: Es werden keine sensiblen Bestands- oder Buchungsdaten (Name, E-Mail, Anschrift, Zahlungsdaten) an DeepL übermittelt. Weitere Informationen: https://www.deepl.com/de/privacy
4.10 Kartendienst (HERE Maps) HERE Europe B.V., Eindhoven, Niederlande (EU) Zweck: Darstellung von Karten, Standort-Markierungen für Unterkünfte, Adresssuche (Geocoding) sowie Bereitstellung von Wetterdaten zur Anzeige im Umgebungsguide. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, Anzeige der Unterkunftslage); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer kartenbasierten Darstellung der Plattform). Hinweis: Beim Aufruf einer Karte können technische Verbindungsdaten (z.B. IP-Adresse, Browser-Informationen) an HERE übertragen werden. Es werden keine Bestands- oder Buchungsdaten weitergegeben. Weitere Informationen: https://legal.here.com/privacy/policy
4.11 Routing- und Geo-Dienst (openrouteservice / HeiGIT) HeiGIT gGmbH, Heidelberg, Deutschland Zweck: Berechnung von Routen, Erreichbarkeitsanalysen (Isochronen) und Distanzen zwischen Unterkünften und Points of Interest im Umgebungsguide. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer aussagekräftigen Darstellung der Umgebung einer Unterkunft). Hinweis: An openrouteservice werden ausschließlich Koordinaten von Unterkünften bzw. Points of Interest übermittelt, keine personenbezogenen Bestands- oder Buchungsdaten. Weitere Informationen: https://heigit.org/privacy-policy/
Keine Weitergabe an: - Marketing-Partner - Analytics-Dienste - Werbenetzwerke - Social-Media-Plattformen - Auskunfteien
5. SPEICHERDAUER
Account-Daten Bis zum Eingang eines Löschungsantrags, danach Löschung nach Abwicklung bestehender Buchungen und unter Berücksichtigung gesetzlicher Aufbewahrungsfristen.
Buchungsdaten Für die Dauer der Vertragsabwicklung und danach 10 Jahre gemäß steuerrechtlicher Aufbewahrungspflichten (§ 147 AO).
Meldedaten (BMG) Staatsangehörigkeit, Geburtsdatum und Ausweisnummer werden im Nutzerprofil gespeichert und können dort jederzeit vom Nutzer gelöscht werden. Bei Kontolöschung werden diese Daten im Profil anonymisiert. Soweit die Meldepflicht greift, werden Geburtsdatum und Ausweisnummer zusätzlich im Buchungsdatensatz gespeichert und dem Gastgeber als eigenständigem Verantwortlichen zur Erfüllung der Meldepflicht bereitgestellt (siehe Abschnitt 4.4). Diese buchungsbezogenen Daten unterliegen der steuerrechtlichen Aufbewahrungspflicht (§ 147 AO).
Kommunikationsdaten Für die Dauer der Vertragsabwicklung und danach 3 Jahre für mögliche Rechtsansprüche.
Bewertungs-E-Mails 60 Tage nach Check-out für den Versand des Bewertungslinks, danach automatische Löschung. Veröffentlichte Bewertungen bleiben dauerhaft gespeichert.
Sperrungsdaten Dauerhaft bis zur Aufhebung der Sperre.
Sicherheitsdaten (Rate-Limiting) Speicherdauer: Anfragezähler werden für 60 Sekunden gespeichert; bei Überschreitung wird ein Sperreintrag für 180 Sekunden gesetzt. Danach automatische Löschung durch Ablauf im Cache.
API-Schlüssel und Zugriffsdaten API-Schlüssel und Nutzungszeitpunkte werden für die Dauer des Nutzerkontos gespeichert. Einzelne Schlüssel können jederzeit vom Host gelöscht werden. Bei Kontolöschung werden alle API-Schlüssel automatisch entfernt.
Support-Chat-Daten Anfragen ohne Nutzerkonto: 90 Tage nach der letzten Nachricht, danach automatische Löschung. Anfragen mit Nutzerkonto: Für die Dauer des Nutzerkontos; Löschung bei Kontolöschung.
Zahlungsdaten Werden ausschließlich von Mollie verarbeitet und nicht auf unseren Servern gespeichert.
Audit-Protokolle (Audit-Log) Zur Erfüllung handels- und steuerrechtlicher Aufbewahrungs- sowie Nachweispflichten und zur Sicherstellung der Nachvollziehbarkeit geldfluss- und datenschutzrelevanter Vorgänge protokollieren wir bestimmte Systemereignisse (z.B. Buchungs- und Zahlungsstatus, Provisionsabrechnungen, Sperrungen, Lösch- und Anonymisierungsvorgänge). Die Protokolle enthalten neben Zeitpunkt und Ereignistyp typischerweise eine Nutzer- bzw. Buchungs-Referenz und – soweit für die Nachvollziehbarkeit erforderlich – die IP-Adresse des handelnden Nutzers. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 257 HGB und § 147 AO sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Compliance, Betrugsprävention und Sicherheit der Plattform). Speicherdauer: 10 Jahre gemäß § 257 HGB und § 147 AO.
6. BETROFFENENRECHTE
Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:
6.1 Auskunftsrecht (Art. 15 DSGVO) Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.
6.2 Berichtigungsrecht (Art. 16 DSGVO) Sie haben das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen.
6.3 Löschungsrecht (Art. 17 DSGVO) Sie haben das Recht auf Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigte Interessen (z.B. laufende Vertragsabwicklung, Sperrungen) entgegenstehen.
6.4 Einschränkung der Verarbeitung (Art. 18 DSGVO) Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer Daten zu verlangen.
6.5 Widerspruchsrecht (Art. 21 DSGVO) Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen.
6.6 Datenübertragbarkeit (Art. 20 DSGVO) Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Self‑Service‑Export über Ihr Nutzerkonto).
6.7 Widerruf von Einwilligungen Soweit die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, diese jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
Ausübung der Rechte Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@4s-aachen.de
7. DATENSICHERHEIT
Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen.
Dazu gehören: - Verschlüsselte Datenübertragung (SSL/TLS) - Regelmäßige Sicherheitsupdates - Zugriffsbeschränkungen auf Datenbanken - Hosting in deutschen Rechenzentren (netcup)
Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.
8. KEINE TRACKING-COOKIES UND ANALYTICS
Wir verwenden auf unserer Plattform keine Tracking-Cookies, keine Analytics-Tools (wie Google Analytics) und kein Werbe-Tracking. Die Privatsphäre unserer Nutzer hat für uns höchste Priorität.
Wir verwenden ausschließlich technisch notwendige Cookies (z.B. Session-Cookies zur Anmeldung). Es findet kein Tracking, keine Werbung und keine Analyse zu Marketing-Zwecken statt.
9. BESCHWERDERECHT BEI AUFSICHTSBEHÖRDE
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
Zuständige Aufsichtsbehörde: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Kavalleriestraße 2-4 40213 Düsseldorf Telefon: 0211 38424-0 E-Mail: poststelle@ldi.nrw.de Website: https://www.ldi.nrw.de
10. ÄNDERUNGEN DER DATENSCHUTZERKLÄRUNG
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen sowie der Datenverarbeitung anzupassen.
Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen werden wir Sie per E-Mail informieren.