Puede ejercer los siguientes derechos en cualquier momento utilizando los datos de contacto facilitados:

• Información sobre sus datos almacenados por nosotros y su tratamiento (Art. 15 RGPD),
• Rectificación de datos personales incorrectos (Art. 16 RGPD),
• Supresión de sus datos almacenados por nosotros (Art. 17 RGPD),
• Restricción del tratamiento de datos si todavía no se nos permite eliminar sus datos debido a obligaciones legales (Art. 18 RGPD),
• Oposición al tratamiento de sus datos por nuestra parte (Art. 21 RGPD) y
• La portabilidad de los datos, siempre que usted haya consentido el tratamiento de los datos o haya celebrado un contrato con nosotros (Art. 20 RGPD).

Si nos ha dado su consentimiento, puede retirarlo en cualquier momento con efecto para el futuro.

Puede presentar una reclamación ante una autoridad de control en cualquier momento, por ejemplo, la autoridad de control competente de su lugar de residencia o la autoridad responsable de nosotros como controlador:

Comisionado para la Protección de Datos y Libertad de Información del Estado alemán de Hesse
Correo postal 3163
DE 65021 Wiesbaden

https://datenschutz.hessen.de/

De acuerdo con los requisitos del RGPD, todas las actividades de procesamiento deben asignarse a una base legal del catálogo del Art. 6 (1). Aquí mencionaremos una sola vez los lugares exactos de la ley, por si quiere leerla. A continuación, sólo mencionaremos la “base legal” coloquial en cursiva.

El RGPD ofrece un total de seis variantes o bases legales, de las cuales sólo cuatro son relevantes para nosotros:

• Tratamiento de datos basado en el consentimiento; Art. 6 (1) a.
• Tratamiento necesario para la preparación o ejecución de un contrato; art. 6 (1) b.
• Tratamiento necesario para cumplir una ley o reglamento obligatorio; art. 6 (1) c.
• Tratamiento necesario para proteger intereses legítimos y justificados; art. 6 (1) f.

La base legal respectiva da lugar a regulaciones sobre lo que puede tener que hacerse por adelantado o qué derechos especiales surgen para usted. En este caso hay que destacar especialmente el interés legítimo.

Siempre que tratamos sus datos sobre la base de un interés legítimo, hemos tenido que sopesar de antemano si esto es en absoluto permisible y razonable para usted. Dado que no somos infalibles, el RGPD le otorga el derecho a oponerse a dicho tratamiento en cualquier momento para el futuro. Entonces tendríamos que aprovechar la ocasión para revisar nuestro equilibrio de intereses. Para que podamos llevar a cabo esta revisión de manera significativa, tendría que justificar su oposición.

Si no llegamos a un acuerdo (¡que no creemos que sea el caso!), el siguiente paso lógico sería presentar una reclamación ante una autoridad de supervisión de la protección de datos.

Si su oposición se refiere a la publicidad directa, un simple aviso es suficiente para una interrupción inmediata.

Siempre que transmitamos sus datos a terceros, se lo explicaremos en lo sucesivo en cada caso e indicaremos el motivo/la finalidad y el destinatario.

A partir de la transferencia a terceros, que a su vez procesan sus datos bajo su propia responsabilidad (y por ende también son sus personas de contacto), también transferimos sus datos a los llamados encargados del tratamiento de datos.

Los encargados del tratamiento son proveedores de servicios que nos ayudan a procesar los datos en nuestro nombre. Dichos encargados del tratamiento no están autorizados a procesar los datos para sus propios fines, es decir, sólo están autorizados a procesar los datos de acuerdo con nuestras instrucciones, y no están autorizados a evaluar los datos o incluso transferirlos a terceros. Dado que aquí mantenemos la soberanía sobre los datos, seguimos siendo los responsables bajo las normas del RGPD y, por lo tanto, su persona de contacto, aunque también podría hacer valer sus derechos con estos proveedores de servicios, pero entonces tendrían que volver ponerse en contacto con nosotros.

Utilizamos ayuda externa cuando se trata de operar nuestro servidor web o servicios de correo electrónico. Hemos seleccionado cuidadosamente a nuestros proveedores de servicios, los que también son controlados por nosotros. Utilizamos proveedores de servicios especializados porque de esa manera podemos garantizar una mejor seguridad de sus datos. Su arrendador (Joerg) puede configurar los servidores, pero gestionar un servidor de correo electrónico de forma cibersegura es algo que pueden hacer mejor las empresas especializadas. Y queremos que sea seguro.

En general

Cuando usted accede a nuestro sitio web, se recoge y procesa automáticamente información de carácter general, incluso cuando simplemente ingresa a nuestro sitio web; de lo contrario, nuestro servidor web no podría presentarle ninguna página en su smartphone o en su PC. Esta información incluye, por ejemplo, el tipo de navegador web, el sistema operativo utilizado, el nombre de dominio de su proveedor de servicios de Internet, su dirección IP y otros datos similares.

Además de la carga de la página en sí, estos datos también se procesan para los siguientes fines en particular y son necesarios para este propósito:

• Garantizar una configuración de la conexión del sitio web sin problemas,
• Garantizar el buen uso de nuestro sitio web,
• Evaluar la seguridad y la estabilidad del sistema, y
• Para optimizar nuestro sitio web.

No utilizamos sus datos para sacar conclusiones sobre su persona. Nosotros evaluamos esta información estadísticamente de forma anónima, si es necesario, con el fin de optimizar nuestro sitio web y la tecnología que lo sustenta.

Todas las actividades de tratamiento mencionadas anteriormente se llevan a cabo en el interés legítimo de operar el sitio web de forma segura y eficiente.

Sólo para huéspedes (Atención: Cookie)

En la página web ofrecemos a nuestros huéspedes información adicional: el manual del apartamento, consejos sobre restaurantes, un inventario, etc. Estas páginas están destinadas únicamente a los huéspedes con reserva y, por lo tanto, están protegidas con una contraseña contra el acceso general.

Para que no tenga que ingresar la contraseña cada vez que navegue por las páginas o cuando las visite de nuevo durante su estancia, nuestro servidor web coloca una llamada cookie en su PC / smartphone / tablet – si no la ha bloqueado en su navegador (Firefox, Edge, etc.). Cuando usted navega o accede al sitio web, el servidor web utiliza su navegador para comprobar si se le permite ver las páginas sin volver a ingresar la contraseña. Si se encuentra la cookie, podrá acceder sin tener que volver a ingresar la contraseña.

Una cookie es un pequeño archivo que contiene una cadena críptica de caracteres. Utilizamos la cookie exclusivamente para el propósito descrito aquí. No hay ningún rastreo o seguimiento del usuario.

Por cierto, todos los invitados reciben la misma contraseña. Si creáramos una cuenta individual para cada huésped, el seguimiento sería posible fácilmente, pero no queremos eso. Y aunque la información que hay detrás del registro no debe ser accesible al público, tampoco es secreta. Así que esta solución técnicamente sencilla nos pareció adecuada. La cookie es necesaria para controlar este acceso tan sencillo y que preserva la privacidad. Así pues, perseguimos un interés legítimo.

Aunque instalamos una cookie, usted no verá un banner de cookies. Dicho banner sería necesario si quisiéramos rastrearle o perseguir otros fines que no son necesarios. Sin embargo, esto es exactamente lo que no hacemos. O dicho de otro modo: si ve banners de cookies, es evidente que alguien quiere hacer cosas con sus datos que van más allá de lo necesario. Por lo tanto, los banners de cookies deben entenderse siempre como una advertencia.

La duración de las cookies se limita automáticamente a 10 días y se basa en la duración típica de la estancia de nuestros huéspedes.

¿Tampoco quiere nuestra cookie? Simplemente desactive las cookies en el navegador y elimine las existentes.

Accesos a los accesos administrativos

Los intentos de entrar en nuestros accesos administrativos no se registran de forma anónima. Almacenamos y procesamos estos datos para evitar un posible uso indebido, por ejemplo bloqueando el acceso, o para apoyar a las autoridades policiales en sus investigaciones; después de todo, piratear sitios web es ilegal (incluso en grado de tentativa).

Solemos conservar estos archivos de registro durante al menos cuatro meses, ya que los ciberataques suelen ser de larga duración. Basamos el periodo máximo de almacenamiento en las directrices que la BDSG (Ley Federal de Protección de Datos, por sus siglas en alemán) prescribe para los operadores de servidores web estatales (la BDSG no proporciona ninguna directriz para los servidores web privados). Artículo 76 (4) de la BDSG: “Los datos de registro se eliminarán al final del año siguiente a su generación”.

Todas las actividades de tratamiento mencionadas anteriormente se llevan a cabo sobre la base de un equilibrio de intereses, es decir, el interés legítimo para el funcionamiento de un sitio web seguro.

Reserva a través de nuestra página web

Para responder a las solicitudes, necesitamos procesar sus datos. Dado que usted ha pedido una respuesta, ciertamente estamos actuando en su y en nuestro legítimo interés. Para asegurarnos de saber más tarde qué respuestas hemos dado a quién, las almacenamos durante un máximo de dos años*.

Si las solicitudes conducen a una reserva vinculante a través de nuestro sitio web, entonces procesamos y almacenamos los datos para poder concluir y ejecutar el contrato.

Tan pronto como se haya cumplido el contrato por completo, tenemos que almacenar todos los datos comercialmente relevantes durante otros diez años* por razones de derecho comercial y fiscal para posibles auditorías fiscales y, si es necesario, revelarlos a un auditor fiscal (leyes alemanas y españolas).

También utilizamos la información de contacto de nuestros antiguos huéspedes luego de su salida durante los siguientes tres años* con el fin de poder contactarlos de nuevo para realizar controles de calidad y/o publicidad para posibles reservas futuras (interés legítimo). Si no desea que sus datos se utilicen de esta manera, sólo tiene que comunicárnoslo; entonces sólo los almacenaremos para cumplir con la legislación comercial y fiscal que nos es aplicable y no los utilizaremos con ningún enfoque promocional.

*] Rutinas de borrado; la información detallada sobre las rutinas de borrado está fuera del alcance de este artículo. Estaremos encantados de enviarle más información si lo solicita.

Reservas a través de portales

Si la reserva se realiza a través de un portal como Airbnb, su primer contacto suele ser el portal. Esto significa que la decisión de utilizar este portal proviene de usted. El tratamiento de sus datos es entonces responsabilidad exclusiva del portal. Aquí se aplica la información sobre protección de datos del operador del portal.

Si se realiza una consulta o una reserva con nosotros a través del portal, en última instancia usted solicita que el portal también nos transmita sus datos para que podamos responder a la consulta y/o confirmar una reserva. En este momento, también transferimos sus datos a nuestros sistemas y somos responsables de ello. Si la comunicación con usted continúa (por el momento) a través del portal, somos usuarios conjuntos del mismo.

De hecho, no tenemos ninguna influencia sobre cómo los portales de reservas procesan sus (y nuestros) datos en detalle. Por lo tanto, se sigue aplicando el aviso sobre protección de datos del portal (que usted seleccionó originalmente) para el tratamiento de sus datos, incluso si ya ha celebrado un contrato con nosotros. Somos los únicos responsables según la ley de protección de datos del tratamiento de datos en nuestro sitio web. En cuanto a las bases legales y los períodos de conservación, se aplica lo mismo que hemos explicado anteriormente para la reserva a través de nuestro sitio web.

Informar de su reserva

La ley española nos obliga a comunicar al Ministerio del Interior español todas las reservas turísticas* en un plazo de 24 horas tras la realización de la reserva. Para ello, se recopilan datos completos sobre la reserva y los huéspedes. Muchos datos son voluntarios, pero solo facilitamos al Estado español los datos que son obligatorios (requisito legal): el nombre completo de todos los huéspedes y un número de teléfono o una dirección de correo electrónico. Además, debemos indicar la forma de pago de la reserva, la fecha en que se realizó y el periodo exacto para el que se ha realizado la reserva.

*] Si el alquiler del apartamento se realiza en virtud de la Ley de Arrendamientos Urbanos (LAU), es decir, por periodos prolongados (mensuales), se aplican otras normas de registro; esto se detalla en el contrato de alquiler correspondiente, en caso de que debamos realizar alguna notificación al respecto.

Pre Check-In y notificación a la Ministerio del Interior

Le rogamos que nos facilite los datos de todas las personas que se alojarán durante el periodo en el que haya alquilado Xabia Refugio. Estos datos deben ser comunicados al Ministerio del Interior español tras el check-in (Real Decreto 933/2021).

Dado que el registro y la transmisión de estos datos de las personas que se alojan en Xabia Refugio es obligatorio por ley, no se realizará el check-in si los datos no se acreditan a más tardar a la llegada de cada persona con un documento de identidad o pasaporte (para conocer las consecuencias contractuales, consulte nuestros términos y condiciones, que encontrará en nuestras páginas de reservas). Recopilamos los datos antes de su llegada a través de un formulario web. Los datos se imprimen en un formulario en papel que el personal utiliza durante el check-in para cotejarlos con su documento de identidad. Finalmente, deberá firmar este documento para confirmar la veracidad de los datos. La firma de confirmación y la comprobación durante el check-in se realizan para garantizar que realmente transmitimos los datos correctos al Ministerio del Interior (interés legítimo). Debido a los requisitos legales, debemos conservar los datos facilitados durante tres años. Lo hacemos en formato digital y con ayuda de las copias impresas firmadas, para poder documentar nuestro esfuerzo por garantizar la veracidad de los datos ante las autoridades españolas (interés legítimo).

Debemos comunicar los siguientes datos: nombre completo, fecha de nacimiento, nacionalidad, número y tipo de documento de identidad, teléfono o correo electrónico, domicilio (completo), datos de la estancia (fecha, datos exactos de nuestro Xabia-Refugio, etc.). Para la notificación, utilizamos en parte los datos que ya hemos recibido/recogido durante la reserva. Sin embargo, solicitamos algunos datos de nuevo (en particular, el nombre); al hacer el check-in, es importante que el nombre se indique exactamente como figura en los documentos de identidad que se utilizarán para el check-in. El Estado español solicita una gran cantidad de información sobre nuestros huéspedes. Solo transmitimos al Estado español los datos que son obligatorios, sin cuya transmisión infringiríamos la ley.

KYC (Conozca a su cliente): Además de la mera obligación legal de recopilar y transmitir los datos personales de nuestros huéspedes, nos gustaría saber también quién se aloja realmente en nuestra casa y quién nos paga dinero por ello. En caso de que estemos sujetos a investigaciones de otras autoridades gubernamentales en España o en Alemania, es posible que (tengamos que) transmitir los datos a estas entidades también (por ejemplo, la oficina de impuestos). Además, en caso de que los huéspedes nos causen daños y perjuicios, utilizaremos los datos para reclamar una indemnización (nunca ha ocurrido; probablemente no ocurrirá; ¡hasta ahora todos los huéspedes han sido personas muy amables!) No obstante, consideramos que estos fines constituyen un interés legítimo, si no lo impone la ley.

Todos los datos sobre su estancia que tengan alguna relevancia para la fiscalidad en Alemania (es decir, donde su arrendador tiene su domicilio legal) deben conservarse y se conservarán hasta 12 años para cumplir con la legislación fiscal alemana. Los datos sobre sus documentos de identidad no tienen relevancia fiscal, pero deben conservarse durante tres años, según la legislación española. Una vez transcurridos estos periodos, los datos se suprimirán en consecuencia.

Ingreso (Check-in) y servicios

El check-in propiamente dicho puede ser realizado por una empresa local de nuestra confianza. Tras una cuidadosa selección, hemos contratado a MNR Property Management & Holiday Rentals SL, con sede en Xàbia / Jávea, como nuestro socio (presencia en el mercado como BonCasa by MMC Property Service; en resumen: BonCasa). Además del check-in, BonCasa también puede realizar el check-out, gestionar el teléfono de atención al cliente, atender llamadas de emergencia las 24 horas del día, los 7 días de la semana, o coordinar reparaciones urgentes durante su estancia. BonCasa recibe todos los datos necesarios para prestar estos servicios. Hemos contratado a BonCasa como encargado del tratamiento en el sentido del artículo 28 del RGPD, sobre la base de las cláusulas contractuales tipo publicadas por la Comisión Europea (2021-915). Este contrato obliga a BonCasa a utilizar sus datos exclusivamente para los fines que le hemos indicado y que se describen aquí.

Si durante su estancia desea servicios adicionales, como ropa de cama limpia o limpieza, también le remitiremos a BonCasa. En estos casos, BonCasa es su socio contractual y, por lo tanto, el responsable del tratamiento de sus datos en el sentido del RGPD. Para simplificar este proceso, hemos autorizado a BonCasa a utilizar sus datos de contacto (nombre, teléfono, etc.) en estos casos para ofrecerle los servicios que ha solicitado y, si procede, para prestarlos. Creemos que esto sirve a los intereses legítimos de todas las partes implicadas.

Acceso a Internet

En Refugio Xàbia ofrecemos acceso a Internet. Los proveedores españoles a veces informan a sus clientes (nosotros) de forma muy diferenciada y a diario de hasta qué punto (tráfico/volumen) se ha utilizado Internet. No recibimos información sobre los servicios a los que se ha accedido en Internet. Podemos ver en la factura si se ha utilizado Internet por día calendario y con qué intensidad. No utilizamos esta información, pero tenemos que conservar las facturas por motivos fiscales. Si las estadísticas de uso son separables de la factura real, las destruiremos. Todas las funciones del protocolo están desactivadas en el router (el dispositivo que establece la conexión a Internet por nuestra parte).

Contadores inteligentes

En España los contadores inteligentes son habituales para medir el consumo de electricidad. El proveedor de electricidad (en este caso: Iberdrola) puede leer online prácticamente en cualquier momento cuánta electricidad se está consumiendo actualmente en el apartamento. Los proveedores de electricidad utilizan los datos para crear facturas mensuales a detalle. Además, como cliente, se puede leer en un portal en línea con unos días de retraso el nivel de su consumo en días concretos. Utilizamos esta información para determinar si el consumo de nuestros inquilinos está muy por encima de la media y así poder facturarlo según las normas de las condiciones de reserva. Sin analizar los datos de consumo diariamente, no podemos cumplir la normativa del contrato.

El consumo de agua se determina con la ayuda de contadores centrales en el complejo. Leemos estos contadores al principio y al final del periodo de alquiler para poder cobrar los costos adicionales regulados en el contrato en caso de un consumo muy superior a la media.

Smart TV

Al igual que muchos aparatos modernos, nuestro televisor es un televisor inteligente porque, además de la recepción real de televisión a través de una antena, el aparato también ofrece servicios a través de Internet. En cuanto se accede a los servicios desde Internet, los datos personales son tratados por terceros (a veces también fuera de la UE). En el caso de los televisores inteligentes, esto suele ser muy amplio (por ejemplo, el rastreo de los hábitos de uso).

Nosotros sólo utilizamos el aparato como televisor; por lo tanto, el aparato no tiene conexión a Internet. Para utilizar los servicios de streaming, conectamos nuestra laptop al televisor y utilizamos éste como monitor. Hemos elegido esta forma, porque para nosotros personalmente así es más fácil gestionar el tema de la protección de datos (rastreo, actualización del sistema operativo, etc.). También puede conectar su ordenador portátil; para ello se necesita un cable HDMI.

Formalmente (y también técnicamente), con esta solución el tratamiento de datos personales tiene lugar principalmente en su ordenador portátil bajo su propia responsabilidad. El televisor no se conectará así a Internet.

Si, a pesar de todo, desea establecer una conexión directa a Internet con el televisor, consulte la información sobre protección de datos del televisor (disponible allí). Tenga en cuenta que cualquier consentimiento solicitado por el dispositivo puede haber sido ya dado por un usuario anterior. En este caso, sería de ayuda si restablece el dispositivo a su estado inicial. Sin embargo, tendría que volver a almacenar los canales de televisión que se pueden recibir para que el aparato siga funcionando como un televisor.

Para el uso que, nosotros y usted como huésped, pretendemos darle al aparato como televisor y, posiblemente, como monitor para un ordenador portátil, no se requiere una conexión a Internet. Si usted conecta el dispositivo a Internet, lo hace voluntariamente y más allá del uso previsto por nosotros; formalmente, esto se hace así desde nuestro punto de vista sobre la base del consentimiento, que usted puede revocar en cualquier momento desconectándose de Internet en el futuro.

El televisor también puede almacenar datos de utilización offline. Obviamente, no utilizamos estos datos. Si el aparato está conectado a Internet, los datos del usuario, posiblemente agregados, podrían ser transferidos al fabricante o a terceros. Si usted mismo no establece esta conexión y, por lo tanto, se hace identificable, sus datos históricos pierden entonces su carácter personal, por lo que estamos convencidos de que puede utilizar el aparato sin preocupaciones, incluso si le da gran importancia a la protección de datos.

Cámara de vídeo

Hay momentos en los que ni nosotros ni los huéspedes/inquilinos utilizamos el apartamento. Para poder echar un vistazo de vez en cuando, hemos instalado una pequeña cámara de vídeo detrás del televisor. Con la cámara queremos poder comprobar si ha entrado agua por las ventanas en caso de tormentas muy fuertes (ya ha ocurrido). En tales casos, encargaríamos a alguien que retirara el agua para que no causara más daños.

Al mismo tiempo, la cámara (y el sensor de audio) también nos indican si hay personas no autorizadas en el apartamento, para que podamos tomar las medidas oportunas con la mayor brevedad posible. El tratamiento de los datos personales asociado a ello se realiza por el interés legítimo de identificar a tiempo la intrusión de personas no autorizadas y nos parece necesario para proteger nuestra propiedad y mantener el apartamento en buen estado para todos los usuarios legítimos.

Los operarios y equipos de limpieza deben coordinar sus intervenciones con nosotros con antelación para que podamos desactivar la cámara y evitar el tratamiento de sus datos. Si no se nos avisa, desactivaremos la cámara de forma regular cuando se active la alarma. El tratamiento realizado hasta ese momento no puede evitarse sin poner en peligro el funcionamiento de la finalidad de control descrita anteriormente (agua, robo) y, por lo tanto, es necesario (interés legítimo). En este caso, los datos no se almacenarán.

La cámara se desinstalará antes de que los huéspedes/inquilinos utilicen el apartamento. Si, excepcionalmente, esto no se hubiera hecho debido a un malentendido, se puede acercarse a la cámara sin que se generen imágenes. La cámara enfoca la zona entre la ventana y la mesa del comedor. La desactivación se puede realizar simplemente desconectando el enchufe de la red.

La descripción de la desactivación no pretende ser una guía para ladrones. Si se desactiva la cámara sin avisar a los huéspedes, inquilinos, personal de mantenimiento o equipos de limpieza, en caso de duda, solicitaremos a la policía que compruebe la avería.

Tratamos los datos como deben hacerlo todos los arrendadores. Sin embargo, no todos ellos proporcionan información tan detallada, aunque así debería ser según el art. 13 / 14 del RGPD (!). Joerg (su casero⁺) trabaja como consultor y auditor de protección de datos (esquilin GmbH ^[>]). Así que puede estar seguro de que sus datos están realmente en buenas manos con nosotros.

⁺] Formalmente, su propietario es el esquilin holding UG (ver persona responsable). Joerg es el propietario de esta empresa y su director gerente.

Nos reservamos el derecho de adaptar esta declaración de protección de datos para que se ajuste siempre a los requisitos legales vigentes o para realizar cambios en nuestros servicios en la declaración de protección de datos, por ejemplo, al introducir nuevos servicios. La nueva declaración de protección de datos se aplicará entonces a su próxima visita.

You can exercise the following rights at any time using the contact details provided:

• Information about your data stored by us and its processing (Art. 15 GDPR),
• Correction of incorrect personal data (Art. 16 GDPR),
• Deletion of your data stored by us (Art. 17 GDPR),
• Restriction of data processing if we are not yet allowed to delete your data due to legal obligations (Art. 18 GDPR),
• Objection to the processing of your data by us (Art. 21 GDPR) and
• Data portability, insofar as you have consented to the data processing or have concluded a contract with us (Art. 20 GDPR).

If you have given us consent, you can revoke it at any time with effect for the future.

You may at any time lodge a complaint with a supervisory authority, e.g. the competent supervisory authority of your place of residence or the authority responsible for us as the controller:

The Hessian Commissioner for Data Protection and Freedom of Information
PO Box 3163
DE 65021 Wiesbaden
Tel +49-611-1408-0

https://datenschutz.hessen.de/

According to the requirements of the GDPR, all processing activities must be assigned to a legal basis from the catalog from Art. 6 (1). We mention here once the exact places in the law, if you want to read it there. In the following, we will only mention the colloquial ‘legal basis’ in italics.

The GDPR offers a total of six variants or legal bases, of which, however, only four are relevant for us:

• Processing of data based on consent; Art. 6 (1) a.
• Processing necessary for the preparation or performance of a contract; Art. 6 (1) b.
• Processing necessary to process a compelling law or regulation; Art. 6 (1) c.
• Processing necessary to protect justified and legitimate interests; Art. 6 (1) f.

The respective legal basis gives rise to rules on what, if any, must be done in advance or what special rights arise for you. Above all, the legitimate interest should be emphasized here.

Whenever we process your data on the basis of a legitimate interest, we had to weigh up in advance whether this is at all permissible and reasonable for you. Since we are not infallible, the GDPR grants you the right to object to such processing at any time for the future. We would then have to take this as an opportunity to review our balancing of interests. In order for us to carry out this review in a meaningful way, you would have to justify your objection.

If we do not reach an agreement here (which we do not believe to be the case!), a logical further step would be a complaint to a data protection supervisory authority.

If your objection relates to direct advertising, a simple notice is sufficient for an immediate stop.

If we pass on your data to third parties, we explain this below in each case and state the reason / purpose and the recipient.

From the transfer to third parties, who then in turn process your data on their own responsibility (and are consequently then also your contact persons), we also transfer your data to so-called order processors.

Processors are service providers who assist us with data processing on our behalf. Such processors are not allowed to process the data for their own purposes, i.e. to process it only and exclusively according to our instructions, not to evaluate it or even transfer it to third parties. Since we retain sovereignty over the data here, we remain the controller under the rules of the GDPR and thus your contact person, although you could also assert your rights with these service providers – who would then, however, have to contact us again.

We use outside help when it comes to operating our web server or email services. Our service providers are carefully selected and controlled by us. We use specialized service providers because we can better guarantee the security of your data. Your landlord (Joerg) can configure servers, but running an email server in a cyber-secure way is something specialized companies can do better. And we want it to be secure.

In general

When you access our website, information of a general nature is automatically collected and processed, even for a simple call – otherwise our web server could not even present a page to you in your smartphone or on your PC. This information includes, for example, the type of web browser, the operating system used, the domain name of your Internet service provider, your IP address and the like.

In addition to the actual page layout, this data is also processed for the following purposes in particular and is required for this purpose:

• Ensuring a smooth connection of the website,
• Ensuring a smooth use of our website,
• Evaluating system security and stability, and
• to optimize our website.

We do not use your data to draw conclusions about your person. Information of this kind is statistically evaluated anonymously by us, if necessary, in order to optimize our website and the technology behind it.

All of the aforementioned processing activities are carried out for the legitimate interest of operating the website securely and with high performance.

Guests Only (Attention: Cookie)

On the website we provide our guests with additional information: the manual for the apartment, restaurant tips, an inventory etc. These pages are intended only for booked guests and are therefore protected with a password against general access.

So that you do not have to enter the password every time you browse through the pages or when you call them up again during your stay, our web server places a so-called cookie on your PC / smartphone / tablet – if you have not blocked this in your browser (Firefox, Edge etc.). When you browse or call up the site again, the web server uses your browser to check whether you are allowed to view the pages without re-entering the password. If the cookie is found, you will get access without entering the password again.

A cookie is a small file containing a cryptic string of characters. We use the cookie exclusively for the purpose described here. User tracking does not take place.

By the way, every guest receives the same password. If we would set up an individual account for each guest, tracking would be possible easily. But we do not want that. And although the information behind the registration should not be accessible to the public, it is not secret either. So a technically simple solution seemed appropriate to us. The cookie is necessary to control this very simple and privacy-preserving access. We are thus pursuing a legitimate interest.

Although we set a cookie, you will not see a cookie banner. Such a banner would be necessary if we wanted to track you or pursue other purposes that are not necessary. However, this is exactly what we do not do. Or to put it another way: if you see cookie banners, someone obviously wants to do things with your data that go beyond what is necessary. Cookie banners should therefore always be understood as a warning.

The cookie lifetime is automatically limited to 10 days and is based on the typical length of stay of our guests.

You don’t want our cookie either? Simply disable cookies in the browser and delete existing ones.

Administrative accesses

Attempts to log in to our administrative accesses are not logged anonymously. We store and process this data in order to prevent possible misuse, for example by blocking access, or to support law enforcement agencies in their investigations; after all, hacking websites is illegal (even attempted).

We generally keep such log files for at least four months, as cyberattacks are often long-term in nature. We base the maximum storage period on the specifications that the BDSG (national German data privacy legislation) prescribes for operators of government web servers (the BDSG or the GDPR does not provide any specifications for private-sector web servers). Section 76 (4) BDSG: “The log data shall be deleted at the end of the year following its generation.”

All of the aforementioned processing activities are carried out on the basis of a balancing of interests, i.e. the legitimate interest in operating a secure website.

Booking through our website

In order to respond to requests, we need to process your data. Since you had asked for an answer, we are certainly acting here in your as well as in our legitimate interest. So that we still know later to whom we had given which answers, we store these for max. two years*.

If the inquiries lead to a binding booking via our website, then we process and store the data in order to be able to conclude and execute the contract.

Once the contract has been completely fulfilled, we have to store all commercially relevant data for another ten years* for commercial and tax law reasons for possible tax audits and, if necessary, disclose it to a tax auditor (German and Spanish laws).

We also use the contact information of our former guests after check-out for the following three years* to be able to contact you again for quality control purposes and or advertising for possible future bookings (legitimate interest). If you do not wish your data to be used in this way, simply let us know; we will then store the data exclusively to comply with the commercial and tax laws applicable to us and will not use it for any promotional approach.

*] Deletion routines; detailed information about the deletion routines is beyond the scope of this article. We will be happy to send you more information on request.

Bookings via portals

If the booking is made via a portal such as Airbnb, your first contact is usually the portal. This means that the decision to use this portal comes from you. The processing of your data is then also first of all the sole responsibility of the portal. The data protection information of the portal operator applies.

If an inquiry or a booking is made with us via the portal, you ultimately request the portal to also transmit your data to us so that we can answer the inquiry and/or confirm a booking. At this point, we also transfer your data to our systems and are responsible for this. If further communication with you continues (for the time being) via the portal, we are joint users of the portal.

In fact, we have no influence on how booking portals process your (and our) data in detail. For the processing of your data there, therefore, the privacy policy of the portal (which you originally selected) continues to apply, even if you have already concluded a contract with us. For processing on our site, we are the sole data controller. With regard to the legal basis and retention periods, the same then applies as we have already explained above for the booking via our website.

Reporting your reservation

Spanish law requires us to report every tourist reservation* to the Spanish Ministry of the Interior within 24 hours of the reservation being made. This involves collecting comprehensive data about the booking and the guests. Much of the information is voluntary, but we only provide the Spanish government with data that is considered mandatory (legal requirement): For all guests, this includes their full name and either a telephone number or email address. We must also specify how the booking was paid for, when the booking was made, and the exact dates of the reservation.

*] If the apartment is rented on the basis of the Ley de Arrendamientos Urbanos (LAU), i.e., for longer periods (monthly), different registration requirements apply; we explain these in the respective lease agreement, provided that we are required to make such notifications.

Pre Check-In and Notification to the Ministry of the Interior

We kindly request that you provide us with the details of all persons who will be staying at Xabia Refugio during your rental period. This information must be forwarded to the Spanish Ministry of the Interior after check-in (Royal Decree 933/2021).

As the collection and transmission of this information about guests staying at Xabia Refugio is required by law, check-in will not be possible unless the information is provided upon arrival of each guest, together with a national identity card or passport (for the contractual consequences, please see our terms and conditions, which can be found on our booking pages). We collect the data before your arrival via a web form. The data is printed on a paper form, which is used by staff at check-in to verify your identity. You must then sign this document to confirm that the information is correct. We take the confirming signature and carry out the verification at check-in to ensure that we actually transmit the correct data to the Ministry of the Interior (legitimate interest). We are required by law to retain the data provided for three years. We do this in digital form and with the help of the signed printouts in order to be able to document our efforts to ensure the accuracy of the data to the Spanish authorities (legitimate interest).

We must report the following data: full name, date of birth, nationality, ID number and type, telephone number or email address, residential address (full), details of your stay (time, exact details of our Xabia-Refugio, etc.). When reporting, we also use some of the data that we already received/collected during the booking process. However, we will ask for some information again (especially the name); when checking in, it is important that the name is entered exactly as it appears on the identity documents that will actually be used at check-in. The Spanish government requests a lot of information about our guests. We only pass on to the Spanish government the information that is considered mandatory, without which we would be in breach of the law.

KYC (Know your customer): Beside the pure legal requirement to collect and transmit the personal data of our guests, we would like to know as well who is actually staying in our home and who is paying us money to do so. In case we are subject to investigations of other governmental authorities in Spain or in Germany we may (have to) transmit the data to these entities as well (e.g. tax office). Plus, in case guests will leave us with damages we will use the data to claim compensation (never happened; will probably not happen; all guests have been very nice people so far!). However, we consider these purposes as a legitimate interest, if not enforced by law.

All data about your stay which have any relevance for taxation in Germany (that is, where your landlord has its legal home base) must and will be kept up to 12 years to comply with the German tax law. Details about your ID documents do not have any relevance for taxation but must be kept for three years, according to the Spanish law. Once these periods are passed, the data will be deleted accordingly.

Check-in and services

The actual check-in can be carried out by a local company we trust. After careful selection, we have engaged MNR Property Management & Holiday Rentals SL from Xàbia / Jávea as our partner (market presence as BonCasa by MMC Property Service; BonCasa for short). In addition to check-in, BonCasa can also carry out check-out, operate the service telephone, take 24/7 emergency calls, or coordinate urgent repairs during your stay. BonCasa receives all data necessary to provide these services. We have contractually bound BonCasa as a processor within the meaning of Art. 28 GDPR on the basis of the standard contractual clauses issued by the European Commission (2021/915). This contract obliges BonCasa to use your data exclusively for the purpose specified by us and described here.

If you require additional services such as fresh bed linen or cleaning during your stay, we will also refer you to BonCasa. In these cases, BonCasa is your contractual partner and therefore the controller responsible for processing your data within the meaning of the GDPR. To simplify this process, we have allowed BonCasa to use your contact details (name, telephone number, etc.) in these cases in order to offer you the services you have requested and, if necessary, to perform them. We believe that this serves the legitimate interests of all parties involved.

Internet access

At Refugio Xàbia we provide internet access. Spanish providers report to their customers (us) sometimes very differentiated and on a daily basis, to what extent (traffic/volume) the Internet was used. We do not receive information about which services were accessed on the Internet. We may see on the invoice whether and how intensively the Internet was used per calendar day. We do not use this information, but we must keep the invoices for tax reasons. If the usage statistics are separable from the actual bill, we will destroy them. All logging functions are disabled in the router (the device that connects to the Internet on our end).

Smart meter

In Spain, smart meters are common for measuring electricity consumption. The electricity supplier (here: Iberdrola) can read online virtually at any time how much electricity is currently being consumed in the apartment. The electricity suppliers use the data to create detailed monthly bills. In addition, as a customer, you can read in an online portal with a few days delay how high your consumption was on individual days. We use this information to determine if our tenants’ consumption was significantly above average and then bill them for this according to the rules of the booking conditions. Without analyzing the consumption data on a daily basis, we cannot fulfill the regulation from the contract.

Water consumption is determined with the help of central meters in the facility. We read these meters at the beginning and at the end of the rent, in order to be able to invoice the additional costs regulated in the contract in case of strongly above-average consumption here as well.

Smart TV

Like many modern devices, our TV is considered a so-called smart TV because, in addition to the actual TV reception via an antenna, the device also offers services via the Internet. As soon as services are accessed from the Internet, personal data are processed by third parties (in some cases also outside the EU). In the case of smart TVs, this is often very extensive (e.g., tracking of usage habits).

We only use the device as a TV; therefore, the device has no connection to the Internet. To use streaming services, we connect our notebook to the TV and use the TV as a monitor. We chose this way because for us personally, it is easier to manage the issue of data protection (tracking, operating system updates, etc). You are also welcome to connect your notebook; an HDMI cable is required to do so.

Formally (and also technically), with this solution the processing of personal data takes place primarily on your notebook under your own responsibility. The TV doesn’t receive any connection to the Internet through this.

If you nevertheless want to connect the TV directly to the Internet, please read the privacy policy of the TV (available there). Please remember that any consent requested by the device may already have been given by a previous user. In this case, it would help if you reset the device to its initial state. However, you would then have to store the receivable TV channels again so that the device can continue to function as a TV.

For our, like owners and like you as guest, intended use of the device as a TV and possibly as a monitor for a notebook, a connection to the Internet isn’t required. If you connect the device to the Internet, you do so voluntarily and beyond the use intended by us; formally, this is thus done from our point of view on the basis of consent, which you can be revoked at any time by disconnecting from the Internet in the future.

The TV device may also store data from offline use. We don’t use this data, of course. If the device is connected to the Internet, this possibly aggregated user data could be transmitted to the manufacturer or third parties. However, if you don’t establish this connection yourself and thus become identifiable, your historical data then loses its personal reference to you, so that we are convinced that you can use the device without worrying – even if you should attach great importance to data protection.

Video camera

There are times when neither we nor guests/tenants are using the apartment. To enable us to check on the apartment from time to time, a small video camera is mounted behind the TV during these periods. We want to use the camera to check whether any water has entered through the windows during very severe storms (this has happened before). In such cases, we would then ask someone to mop up the water so that it cannot cause any further damage.

At the same time, the camera (and the audio sensor) also alerts us if unauthorized persons are in the apartment so that we can take appropriate measures in a timely manner. The processing of personal data associated with this is carried out in the legitimate interest of identifying unauthorized persons at an early stage and appears to us to be necessary for the protection of our property and for the maintenance of the apartment for all legitimate users.

Tradespeople and cleaning teams should coordinate their visits with us in advance so that we can deactivate the camera to prevent the processing of their data. If no notification is made, we will regularly deactivate the camera when the alarm is triggered. The processing that has taken place up to this point cannot be prevented without jeopardizing the functioning of the control purpose described above (water, intruders) and is therefore necessary (legitimate interest). In this case, the data will not be stored.

The camera will be uninstalled before guests/tenants use the apartment. If, in exceptional cases, this has not been done due to a misunderstanding, it is possible to approach the camera without images being generated. The camera focuses on the area between the window front and the dining table. The camera can then be deactivated by simply pulling out the power plug.

The description of how to deactivate the camera is not intended as instructions for break-ins. If the camera is deactivated without guests/tenants/tradespeople/cleaning teams being notified, we will have the failure checked by the police in case of doubt.

We process the data as all landlords (must) process them. However, not all of them inform about it in such detail – although it should be like this according to Art. 13 / 14 GDPR. Joerg (your landlord⁺) works as a data protection consultant and auditor (esquilin GmbH^[>]). So you can be sure that your data is really in good hands with us.

⁺) Formally, your landlord is the esquilin holding UG (see responsible person). Joerg is the owner of this company and its managing director.

We reserve the right to adapt this privacy policy to ensure that it always complies with current legal requirements or to implement changes to our services in the privacy policy, e.g. when introducing new services. The new privacy policy will then apply to your next visit.

Unter den angegebenen Kontaktdaten können Sie jederzeit folgende Rechte ausüben:

• Auskunft über Ihre bei uns gespeicherten Daten und deren Verarbeitung (Art. 15 DSGVO),
• Berichtigung unrichtiger personenbezogener Daten (Art. 16 DSGVO),
• Löschung Ihrer bei uns gespeicherten Daten (Art. 17 DSGVO),
• Einschränkung der Datenverarbeitung, sofern wir Ihre Daten aufgrund gesetzlicher Pflichten noch nicht löschen dürfen (Art. 18 DSGVO),
• Widerspruch gegen die Verarbeitung Ihrer Daten bei uns (Art. 21 DSGVO) und
• Datenübertragbarkeit, sofern Sie in die Datenverarbeitung eingewilligt haben oder einen Vertrag mit uns abgeschlossen haben (Art. 20 DSGVO).

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Sie können sich jederzeit mit einer Beschwerde an eine Aufsichtsbehörde wenden, z. B. an die zuständige Aufsichtsbehörde Ihres Wohnsitzes oder an die für uns als verantwortliche Stelle zuständige Behörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
DE 65021 Wiesbaden
Tel +49-611-1408-0

https://datenschutz.hessen.de/

Nach den Vorgaben der DSGVO sind alle Verarbeitungstätigkeiten einer Rechtsgrundlage aus dem Katalog aus Art. 6 (1) zuzuordnen. Wir nennen hier einmalig die genauen Stellen im Gesetz, falls Sie es dort nachlesen wollen. Im Folgenden nennen wir dann nur noch die umgangssprachliche ‚Rechtsgrundlage‘ jeweils in kursiv.

Die DSGVO bietet insgesamt sechs Varianten bzw. Rechtsgrundlagen an, von denen für uns jedoch nur vier relevant sind:

• Verarbeitung der Daten aufgrund einer Einwilligung; Art. 6 (1) a.
• Erforderliche Verarbeitung zur Vorbereitung oder Durchführung eines Vertrages; Art. 6 (1) b.
• Erforderliche Verarbeitung, um ein zwingendes Gesetz oder eine Verordnung zu verarbeiten; Art. 6 (1) c.
• Erforderliche Verarbeitung zur Wahrung legitimer und berechtigter Interessen; Art. 6 (1) f.

Aus der jeweiligen Rechtsgrundlage ergeben sich Vorschriften, was ggf. im Vorfeld zu tun ist bzw. welche besonderen Rechte sich für Sie ergeben. Hervorzuheben ist hier vor allem das berechtigte Interesse.

Wann immer wir Ihre Daten auf Basis eines berechtigten Interesses verarbeiten, mussten wir im Vorfeld abwägen, ob das überhaupt zulässig und für Sie zumutbar ist. Da wir nicht unfehlbar sind, räumt die DSGVO Ihnen das Recht ein, einer solchen Verarbeitung jederzeit für die Zukunft zu widersprechen. Wir müssten das dann zum Anlass nehmen, unsere Interessenabwägung zu überprüfen. Damit wir diese Prüfung sinnvoll durchführen können, müssten Sie Ihren Widerspruch begründen.

Sollten wir hier nicht einig werden (was wir nicht glauben!), wäre ein konsequenter weiterer Schritt, eine Beschwerde bei einer Datenschutzaufsichtsbehörde.

Falls sich Ihr Widerspruch auf eine Direktwerbung bezieht, genügt ein einfacher Hinweis für einen sofortigen Stopp.

Sofern wir Ihre Daten an Dritte weitergeben, erläutern wir dies im Folgenden jeweils und nennen den Grund / Zweck und den Empfänger.

Von der Weitergabe an Dritte, die dann wiederum in eigener Verantwortung Ihre Daten weiterverarbeiten (und folglich dann auch Ihre Ansprechpartner sind), übermitteln wir Ihre Daten auch an sog. Auftragsverarbeiter.

Auftragsverarbeiter sind Dienstleister, die in unserem Auftrag uns bei der Datenverarbeitung behilflich sind. Solche Auftragsverarbeiter dürfen die Daten nicht zu eigenen Zwecken verarbeiten, also nur und ausschließlich nach unseren Weisungen verarbeiten, nicht auswerten oder gar an Dritte übermitteln. Da wir hier die Hoheit über die Daten behalten, bleiben wir nach den Regeln der DSGVO Verantwortlicher und somit Ihre Ansprechpartner, wenngleich Sie Ihre Rechte auch bei diesen Dienstleistern geltend machen könnten – die sich dann jedoch wieder an uns wenden müssen.

Wir nutzen fremde Hilfe, wenn es um den Betrieb unseres Webservers oder E-Mail-Services geht. Unsere Dienstleister sind sorgfältig ausgewählt und werden von uns kontrolliert. Wir nutzen spezialisierte Dienstleister, weil wir so die Sicherheit Ihrer Daten besser gewährleisten können. Ihr Vermieter (Joerg) kann Server konfigurieren, einen E-Mail-Server cybersicher zu betreiben, können spezialisierte Unternehmen aber besser. Und wir wollen, dass es sicher ist.

Allgemeines

Wenn Sie auf unsere Website zugreifen, werden auch bei einem einfachen Aufruf automatisch Informationen allgemeiner Natur erfasst und verarbeitet – anders könnte unser Webserver Ihnen gar keine Seite in Ihrem Smartphone oder auf Ihrem PC präsentieren. Diese Informationen beinhalten etwa die Art des Webbrowsers, das verwendete Betriebssystem, den Domainnamen Ihres Internet-Service-Providers, Ihre IP-Adresse und ähnliches.

Neben dem eigentlichen Seitenaufbau werden diese Daten insb. auch zu folgenden Zwecken verarbeitet und sind hierfür erforderlich:

• Sicherstellung eines problemlosen Verbindungsaufbaus der Website,
• Sicherstellung einer reibungslosen Nutzung unserer Website,
• Auswertung der Systemsicherheit und -stabilität sowie
• zur Optimierung unserer Website.

Wir verwenden Ihre Daten nicht, um Rückschlüsse auf Ihre Person zu ziehen. Informationen dieser Art werden von uns ggfs. anonymisiert statistisch ausgewertet, um unseren Internetauftritt und die dahinterstehende Technik zu optimieren.

Alle genannten Verarbeitungstätigkeiten erfolgen aus dem berechtigten Interesse, die Website sicher und performant zu betreiben.

Guests Only (Vorsicht: Cookie)

Auf der Website stellen wir unseren Gästen weiterführende Informationen bereit: die Bedienungsanleitung für die Wohnung, Restaurant-Tipps, ein Inventar usw. Diese Seiten sind nur für gebuchte Gäste vorgesehen und deshalb mit einem Kennwort gegen allgemeine Zugriffe geschützt.

Damit Sie beim Blättern in den Seiten oder bei einem erneuten Aufruf während Ihres Auftenthaltes nicht jedesmal das Kennwort eingeben müssen, legt unser Webserver auf Ihrem PC / Smartphone / Tablet einen sog. Cookie ab, wenn Sie in ihrem Browser (Firefox, Edge etc.) dies nicht blockiert haben. Beim Blättern oder beim erneuten Aufruf prüft der Webserver mithilfe Ihres Browsers, ob Sie die Seiten ohne erneute Eingabe des Kennwortes sehen dürfen. Wird der Cookie gefunden, bekommen Sie Zugang ohne erneute Eingabe des Kennworts.

Beim Cookie handelt es sich um eine kleine Datei mit einer kryptischen Zeichenfolge. Wir nutzen den Cookie ausschließlich für den hier beschriebenen Zweck. Ein Nutzertracking findet nicht statt.

Jeder Gast erhält übrigens dasselbe Passwort. Würden wir jedem Gast ein individuelles Account einrichten, wäre hierüber ein Tracking einfach möglich. Das wollen wir aber nicht. Und die Infos hinter der Anmeldung sollen zwar nicht der Öffentlichkeit zugänglich sein, sind aber auch nicht geheim. Eine technisch so einfache Lösung erschien uns somit angemessen. Der Cookie ist erforderlich, um diesen sehr einfachen und die Privatsphäre wahrenden Zugriff zu steuern. Wir verfolgen damit ein berechtigtes Interesse.

Obwohl wir einen Cookie setzen, sehen Sie keinen Cookie-Banner. So ein Banner wäre notwendig, wenn wir Sie tracken wollten oder andere, nicht erforderliche Zwecke verfolgen würden. Genau das tun wir aber ja genau nicht. Oder anders ausgedrückt: Wenn Sie Cookie-Banner sehen, will jemand mit Ihren Daten offensichtlich Dinge tun, die über das Erforderliche hinausgehen. Cookie-Banner sind also immer auch als Warnung zu verstehen.

Die Lebensdauer des Cookie ist automatisch auf 10 Tage beschränkt und orientiert sich an der typischen Aufenthaltsdauer unserer Gäste.

Sie wollen auch unseren Cookie nicht? Einfach Cookies im Browser deaktivien und vorhandene löschen.

Zugriffe auf administrative Zugänge

Versuche, sich bei unseren Administrationszugängen anzumelden, werden nicht anonymisiert protokolliert. Diese Daten speichern und verarbeiten wir, um einen möglichen Missbrauch etwa durch Sperren zu verhindern oder Strafverfolgungsbehörden bei der Aufklärung zu unterstützen; denn das Hacking von Websites ist illegal (auch der Versuch).

Derartige LogFiles bewahren wir in der Regel mindestens vier Monate auf, da Cyberangriffe vielfach langfristig angelegt sind. Die maximale Speicherdauer lehnen wir an den Vorgaben an, die das BDSG für Betreiber von staatlichen Webservern in Deutschland vorschreibt (für privatwirtschaftliche Webserver liefert das BDSG und die DSGVO keine konkrete Vorgabe). § 76 (4) BDSG: „Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.“

Alle vorgenannten Verarbeitungstätigkeiten erfolgen auf Basis einer Interessenabwägung, also des berechtigten Interesses am Betrieb einer sicheren Website.

Buchung über unsere Website

Zur Beantwortung von Anfragen müssen wir Ihre Daten verarbeiten. Da Sie um eine Antwort gebeten hatten, handeln wir hier sicherlich in ihrem als auch in unserem berechtigten Interesse. Damit wir auch später noch wissen, wem wir welche Antworten gegeben hatten, speichern wir diese für max. zwei Jahre*.

Führen die Anfragen zu einer verbindlichen Buchung über unsere Website, dann verarbeiten und speichern wir die Daten, um den Vertrag abschließen und durchführen zu können.

Sobald der Vertrag vollständig erfüllt wurde, müssen wir alle kaufmännisch relevanten Daten aus handels- und steuerrechtlichen Gründen noch zehn Jahre* für eventuelle Steuerprüfungen speichern und ggf. einem Steuerprüfer offenlegen (deutsche und spanische Gesetze).

Die Kontaktinformationen unserer ehemaligen Gäste nutzen wir nach dem Check-Out in den folgenden drei Jahren* außerdem, um für Qualitätskontrollen und oder Werbung für eventuelle zukünftige Buchungen wieder Kontakt mit Ihnen aufzunehmen zu können (berechtigtes Interesse). Wenn Sie diese Art der Nutzung Ihrer Daten nicht wünschen, geben Sie uns einfach Bescheid; wir speichern die Daten dann ausschließlich, um die für uns geltenden Handels- und Steuergesetze einzuhalten und verwenden Sie nicht für eine werbliche Ansprache.

*) Löschroutinen; ausführliche Informationen zu den Löschroutinen sprengen hier den Rahmen. Infos senden wir gerne auf Anfrage.

Buchungen über Portale

Erfolgt die Buchung über ein Portal wie z.B. Airbnb, ist Ihr Erstkontakt gewöhnlich das Portal. Das heißt, die Entscheidung, dieses Portal zu nutzen, kommt von Ihnen. Die Verarbeitung Ihrer Daten erfolgt sodann auch erst einmal in alleiniger Verantwortung des Portals. Es gelten die Datenschutzhinweise des Portalbetreibers.

Kommt es über das Portal bei uns zu Anfragen oder einer Buchung, fordern Sie letztlich das Portal auf, Ihre Daten auch an uns zu übermitteln, damit wir die Anfrage beantworten und / oder eine Buchung bestätigen können. An dieser Stelle übernehmen wir Ihre Daten auch in unsere Systeme und sind hierfür Verantwortlicher. Erfolgt die weitere Kommunikation mit Ihnen (vorerst) weiter über das Portal, sind wir gemeinschaftlicher Nutzer des Portals.

Wir haben faktisch keinen Einfluss darauf, wie Buchungsportale im Detail Ihre (und unsere) Daten verarbeiten. Für die Verarbeitung Ihrer Daten dort gelten deshalb weiterhin die Datenschutzhinweise des Portals (welches Sie ursprünglich ausgewählt hatten), auch wenn Sie bereits mit uns einen Vertrag geschlossen haben sollten. Für die Verarbeitung auf unserer Seite sind wir die alleinigen datenschutzrechtlich Verantwortlichen. Bezüglich der Rechtsgrundlagen und Aufbewahrungsfristen gilt dann dasselbe wie wir es oben für die Buchung über unsere Website bereits erläutert haben.

Meldung Ihrer Reservierung

Das spanische Gesetz fordert von uns, jede touristische Reservierung* innerhalb von 24h nachdem die Reservierung vorgenommen wurde an das spanische Innenministerium zu melden. Hierbei werden umfassend Daten über die Buchung und die Gäste erhoben . Viele Angaben sind freiwillig, wobei wir nur die Daten dem spanischen Staat bereitstellen, die als Pflichtdaten gelten (gesetzliche Vorschrift): Von allen Gästen ist dies jeweils der vollständige Name und entweder jeweils eine Telefon-Nummer oder E-Mail Adresse. Außerdem müssen wir angeben, in welcher Form die Buchung bei uns bezahlt wird, wann die Buchung erfolgte und für welche Zeit die Reservierung genau vorgenommen wurde.

*] Erfolgt eine Vermietung der Wohnung auf Basis des Ley de Arrendamientos Urbanos (LAU), also für längere Zeiträume (monatsweise), gelten andere Meldevorschriften; diese erläutern wir im jeweiligen Mietvertrag, sofern hier durch uns Meldungen vorgenommen werden müssen.

Pre Check-In und Meldung an das Innenministerium

Wir bitten Sie, uns die Daten aller Personen zu übermitteln, die während der Zeit, in der Sie Xabia Refugio gemietet haben, übernachten werden. Diese Daten müssen nach dem Check-In an das spanische Innenministerium übermittelt werden (Königliches Dekret 933/2021).

Da die Erfassung und Übermittlung dieser Daten über die in Xabia Refugio übernachtenden Personen gesetzlich vorgeschrieben ist, erfolgt kein Check-In, wenn die Daten nicht spätestens bei der Ankunft jeder Person mit einem Personalausweis oder Reisepass nachgewiesen werden (zu den vertraglichen Folgen siehe unsere Bedingungen, welche auf unseren Buchungsseiten zu finden sind). Wir erheben die Daten vor Ihrer Ankunft über ein Webformular. Die Daten werden auf ein Papierformular gedruckt, das vom Personal beim Check-In für den Abgleich mit Ihrem Ausweis verwendet wird. Sie müssen dieses Dokument schließlich zur Bestätigung der Richtigkeit der Angaben unterschreiben. Die bestätigende Unterschrift und den Abgleich beim Check-In nehmen wir vor, um sicherzustellen, dass wir tatsächlich die richtigen Daten an das Innenministerium übermitteln (berechtigtes Interesse). Die gemeldeten Daten müssen wir aufgrund der gesetzlichen Vorgaben drei Jahre lang aufbewahren. Wir tun dies in digitaler Form und mithilfe der unterschriebenen Ausdrucke, um unser Bemühen um die Korrektheit der Daten gegenüber den spanischen Behörden dokumentieren zu können (berechtigtes Interesse).

Folgende Daten müssen wir melden: vollständiger Name, Geburtsdatum, Nationalität, Nummer und Art des Ausweises, Telefon oder E-Mail, Wohnsitz-Adresse (vollständig), Daten zum Aufenthalt (Zeit, genaue Angabe zu unserem Xabia-Refugio etc.). Bei der Meldung nutzen wir teilweise auch die Daten, die wir bereits im Rahmen der Buchung erhalten/erhoben hatten. Einige Daten erfragen wir jedoch erneut (insb. den Namen); beim Check-In ist es wichtig, dass der Name exakt so angegeben wird, wie er in den Ausweisdokumenten steht, die dann tatsächlich beim Check-In verwendet werden. Der spanische Staat erfragt eine Vielzahl von Informationen über unsere Gäste. Wir übermitteln nur die Daten dem spanischen Staat, die als Pflichtdaten gelten, ohne deren Übermittlung wir also gegen das Gesetz verstoßen würden.

KYC (Kenne deinen Kunden): Neben der rein gesetzlichen Verpflichtung, die persönlichen Daten unserer Gäste zu erfassen und zu übermitteln, möchten wir auch wissen, wer tatsächlich in unserem Zuhause wohnt und wer uns dafür Geld zahlt. Sollten wir Gegenstand von Ermittlungen anderer staatlicher Behörden in Spanien oder Deutschland sein, können (müssen) wir die Daten auch an diese Stellen übermitteln (z.B. an das Finanzamt). Außerdem werden wir die Daten verwenden, um Schadenersatzansprüche geltend zu machen, falls Gäste uns einen Schaden hinterlassen (ist noch nie passiert; wird wohl auch nicht passieren; alle Gäste waren bisher sehr nett!). Wie auch immer, wir betrachten diese Zwecke als ein berechtigtes Interesse, sofern sie nicht bereits gesetzlich vorgeschrieben sind.

Alle Daten über Ihren Aufenthalt, die für die Besteuerung in Deutschland relevant sind (d. h. dort, wo Ihr Vermieter seinen Sitz hat), müssen und werden bis zu 12 Jahre aufbewahrt, um dem deutschen Steuerrecht zu entsprechen. Angaben zu Ihren Ausweispapieren haben keine steuerliche Relevanz, müssen aber nach spanischem Recht drei Jahre lang aufbewahrt werden. Nach Ablauf dieser Fristen werden die Daten jeweils gelöscht.

Check-In und Services

Der eigentliche Check-In kann von einem lokalen Unternehmen unseres Vertrauens durchgeführt werden. Nach sorgfältiger Auswahl haben wir MNR Property Management & Holiday Rentals SL aus Xàbia / Jávea als unseren Partner engagiert (Marktauftritt als BonCasa by MMC Property Service; kurz: BonCasa). Neben dem Check-In kann BonCasa auch den Check-out durchführen, das Servicetelefon betreiben, 24/7 Notrufe entgegennehmen oder dringende Reparaturen während Ihres Aufenthalts koordinieren). BonCasa erhält alle Daten, die zur Erbringung dieser Dienstleistungen erforderlich sind. Wir haben BonCasa als Auftragsverarbeiter im Sinne von Art. 28 GDPR auf der Grundlage der von der Europäischen Kommission herausgegebenen Standardvertragsklauseln vertraglich gebunden (2021/915). Dieser Vertrag verpflichtet BonCasa, Ihre Daten ausschließlich zu dem von uns angegebenen und hier beschriebenen Zweck zu verwenden.

Falls Sie während Ihres Aufenthalts zusätzliche Dienstleistungen wie frische Bettwäsche oder eine Reinigung wünschen, werden wir Sie ebenfalls an BonCasa verweisen. In diesen Fällen ist BonCasa Ihr Vertragspartner und somit der Verantwortliche für die Verarbeitung Ihrer Daten im Sinne der DSGVO. Um diesen Prozess zu vereinfachen, haben wir BonCasa für diese Fälle erlaubt, Ihre Kontaktdaten (Namen, Telefon etc.) zu verwenden, um Ihnen die von Ihnen angefraten Dienstleistungen konkret anzubieten und ggf. auszuführen. Wir glauben, dass dies den legitimen Interessen aller beteiligten Parteien dient.

Internetzugang

Im Refugio Xàbia stellen wir Ihnen einen Internetzugang zur Verfügung. Spanische Provider berichten ihren Kunden (uns) teilweise sehr differenziert und auf Tagesbasis, in welchem Umfang (Traffic/Volumen) das Internet genutzt wurde. Informationen, welche Services im Internet aufgerufen wurden, erhalten wir nicht. Wir sehen auf der Rechnung ggf., ob und wie intensiv je Kalendertag das Internet verwendet wurde. Wir verwenden diese Informationen nicht, müssen die Rechnungen jedoch aus steuerlichen Gründen aufbewahren. Sofern die Nutzungsstatistiken von der eigentlichen Rechnung abtrennbar sind, werden wir sie vernichten. Im Router (dem Gerät, das auf unserer Seite die Internetverbindung herstellt) sind alle Protokollfunktionen deaktiviert.

Smart Meter

In Spanien sind Smart Meter für die Messung des Stromverbrauchs üblich. Der Stromversorger (hier: Iberdrola) kann online quasi jederzeit ablesen, wieviel Strom in der Wohnung gerade verbraucht wird. Aus den Daten erstellen die Stromversorger monatlich detaillierte Abrechnungen. Zusätzlich kann man als Kunde in einem Onlineportal mit wenigen Tagen Versatz ablesen, wie hoch der Verbrauch an einzelnen Tagen war. Wir nutzen diese Information, um einen ggf. stark überdurchschnittlichen Verbrauch durch unsere Mieter festzustellen und dies dann nach den Regeln der Buchungsbedingungen in Rechnung stellen zu können. Ohne eine Analyse der Verbrauchsdaten auf Tagesbasis können wir die Regelung aus dem Vertrag nicht erfüllen.

Der Wasserverbrauch wird mithilfe von zentralen Zählern in der Anlage ermittelt. Wir lesen diese Zähler zu Beginn und zum Ende der Miete ab, um auch hier bei stark überdurchschnittlichen Verbrauch die im Vertrag geregelten zusätzlichen Kosten abrechnen zu können.

Smart TV

Unser Fernseher gilt wie viele moderne Geräte als sog. Smart TV, weil das Gerät neben dem eigentlichen Fernsehempfang über eine Antenne auch Services über das Internet anbietet. Sobald Services aus dem Internet angesprochen werden, kommt es zur Verarbeitung von personenbezogenen Daten bei Dritten (teilweise auch außerhalb der EU). Bei Smart TVs ist dies oft sehr umfangreich (z.B. Tracking der Nutzungsgewohnheiten, Sprachaufzeichnung).

Wir nutzen das Gerät nur als TV; das Gerät hat deshalb keinen Anschluss an das Internet. Für die Nutzung von Streaming-Diensten verbinden wir unser Notebook mit dem TV und nutzen den TV als Monitor. Wir haben uns für diesen Weg entschieden, weil wir für uns persönlich so das Thema Datenschutz (Tracking, Aktualität des Betriebssystems etc.) einfacher managen können. Auch Sie dürfen gerne Ihr Notebook anschließen; hierfür ist ein HDMI-Kabel notwendig.

Formell (und auch technisch) findet bei dieser Lösung die Verarbeitung der personenbezogenen Daten vor allem auf Ihrem Notebook in Ihrer eigenen Verantwortung statt. Der TV erhält hierdurch keine Verbindung zum Internet.

Falls Sie selbst dennoch mit dem TV direkt eine Verbindung zum Internet herstellen wollen, beachten Sie bitte die Datenschutzhinweise des TV-Geräts (dort abrufbar). Bedenken Sie herbei bitte, dass eventuell vom Gerät abgefragte Einwilligungen ggf. von einem vorherigen Nutzer bereits gegeben wurden. Hier würde es helfen, wenn Sie das Gerät in den initialen Zustand versetzen. Dann müssten Sie allerdings bitte die empfangbaren TV-Kanäle erneut einspeichern, damit das Gerät auch weiterhin seine Funktion als TV hat.

Die für uns und für Sie als Gast vorgesehene Nutzung des Geräts ist die als TV und ggf. als Monitor für ein Notebook; dies macht keine Verbindung zum Internet erforderlich. Falls Sie das Gerät an das Internet anschließen, tun Sie dies freiwillig und jenseits der von uns vorgesehenen Nutzung; formell erfolgt dies somit aus unserer Sicht auf Basis einer Einwilligung, die Sie jederzeit durch Trennung vom Internet für die Zukunft widerrufen können.

Das TV Gerät speichert ggf. auch Daten aus einer Offline-Nutzung. Wir verwenden diese Daten selbstverständlich nicht. Wird das Gerät an das Internet angeschlossen, könnte es zu einer Übermittlung dieser ggf. aggregierten Nutzer-Daten an den Hersteller oder Dritte kommen. Sofern Sie diese Verbindung nicht selbst herstellen und damit ggf. identifizierbar würden, verlieren Ihre historischen Daten dann jedoch ihren Personenbezug zu Ihnen, sodass Sie nach unserer Überzeugung unbesorgt das Gerät nutzen können – selbst, wenn Sie großen Wert auf Datenschutz legen sollten.

Video-Kamera

Es gibt Zeiten, in denen weder wir selbst noch Gäste / Mieter das Apartment nutzen. Damit wir ab und an einen Blick hineinwerfen können, ist zu diesen Zeiten eine kleine Video-Kamera hinter dem Fernseher montiert. Wir wollen mit der Kamera kontrollieren können, ob bei sehr starken Unwettern durch die Fenster etwas Wasser eingedrungen ist (schon vorgekommen). In solchen Fällen würden wir dann jemanden beauftragen, das Wasser aufzunehmen, damit es keinen weiteren Schaden anrichten kann.

Gleichzeitig gibt uns die Kamera (und der Audio-Sensor) auch Hinweise darauf, ob sich eventuell Unberechtigte sich in der Wohnung aufhalten, damit wir zeitnah entsprechende Maßnahmen ergreifen können. Die hiermit verbundene Verarbeitung personenbezogener Daten erfolgt aus dem berechtigten Interesse, das Eindringen unberechtigter Personen frühzeitig zu identifizieren und erscheint uns zum Schutz unseres Eigentums und zum Erhalt der Wohnung auch für alle legitimen Nutzer erforderlich.

Handwerker und Reinigungsteams sollten ihre Einsätze bitte im Vorfeld mit uns abstimmen, sodass wir die Kamera deaktiven, um die Verarbeitung ihrer Daten zu verhindern. Erfolgt keine Meldung, nehmen wir den Alarm der Kamera regelmäßig als Anlass zur Deaktivierung. Die bis zu diesem Zeitpunkt erfolgte Verarbeitung kann ohne Gefährdung des Funktionieren des vorstehend beschriebenen Kontrollzwecks (Wasser, Einbruch) nicht verhindert werden und ist insogern erforderlich (berechtigtes Interesse). Eine Speicherung der Daten erfolgt in diesem Fall nicht.

Die Kamara wird deinstalliert, bevor Gäste / Mieter die Wohnung nutzen. Sollte dies ausnahmsweise durch ein Missverständnis nicht erfolgt sein, kann man sich der Kamera nähern, ohne dass Bilder erzeugt werden. Die Kamera fokussiert den Bereich zwischen Fensterfront und Esstisch. Die Deaktivierung kann sodann durch einfaches Ziehen des Netzsteckers erfolgen.

Die Beschreibung zur Deaktivierung soll keine Anleitung für Einbrecher sein. Sollte eine Deaktivierung der Kamera erfolgen, ohne dass Gäste / Mieter / Handwerker / Reinigungsteams avisiert sind, würden wir den Ausfall im Zweifel von der Polizei prüfen lassen.

Wir verarbeiten die Daten, wie sie alle Vermieter verarbeiten (müssen). Allerdings informieren wohl nicht alle Vermieter so ausführlich darüber – obwohl sie es eigentlich nach Art. 13 / 14 DSGVO tun müssten (!). Joerg (Ihr Vermieter⁺) arbeitet mit einer eigenen Firma als Datenschutzberater und -Auditor (esquilin GmbH ^[>]). Sie dürfen also gewiss sein, dass Ihre Daten bei uns wirklich in guten Händen sind.

⁺] Formell ist Ihr Vermieter die esquilin holding UG (siehe Verantwortlicher). Joerg ist Eigentümer dieser Firma und ihr Geschäftsführer.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.