Datenschutzerklärung

• weniger als 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt,
• es findet keine Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) als Kerntätigkeit statt,
• es erfolgt keine systematische Profilbildung im Sinne des Art. 35 DSGVO, die eine Datenschutz-Folgenabschätzung erforderlich machen würde.

• Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
• Die Server befinden sich in Deutschland (EU). Beim Aufruf der Website wird Ihre IP-Adresse an Hetzner übermittelt.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb)
• Datenschutzerklärung von Hetzner: hetzner.com/de/rechtliches/datenschutz
• Mit Hetzner besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

• Beim Aufrufen der Website werden automatisch IP-Adresse, Datum und Uhrzeit, aufgerufene URL sowie Browser-Typ erfasst.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb)
• Speicherdauer: 7 Tage, danach automatische Löschung

• Bei der Registrierung werden E-Mail-Adresse und Passwort (als bcrypt-Hash) gespeichert.
• Gespeicherte Suchen, Preisalarme und API-Keys werden Ihrem Konto zugeordnet und verschlüsselt gespeichert.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen)
• Speicherdauer: Bis zur Löschung des Nutzerkontos auf Anfrage

• Nach dem Login wird ein technisch notwendiges Session-Cookie (session) gesetzt, das Sie eingeloggt hält.
• Das Cookie ist HttpOnly und wird nicht für Tracking verwendet.
• Gültigkeitsdauer: 7 Tage (Standard) oder 30 Tage bei „Angemeldet bleiben"
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig)

• Individuelle Einstellungen (z. B. bevorzugte Abflughäfen) werden serverseitig in einer SQLite-Datenbank gespeichert.
• Diese Daten werden nicht an Dritte weitergegeben.

• Pro-Nutzer können ihren seats.aero-Account via OAuth2 verbinden. Dabei werden access_token + refresh_token AES-verschlüsselt in der Datenbank gespeichert (Tabelle user_seatsaero_oauth).
• Tokens werden ausschließlich serverseitig zur Authentifizierung gegenüber seats.aero verwendet — niemals ans Frontend übertragen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Pro-Feature)
• Speicherdauer: bis zur Trennung der Verbindung in den Einstellungen oder Konto-Löschung

• Eigene Reisen (für alle eingeloggten Nutzer verfügbar) werden mit Datum, Zielen, Items (Flüge, Hotels, Aktivitäten) und Kosten in der Datenbank gespeichert.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Speicherdauer: bis zur manuellen Löschung durch den Nutzer oder Konto-Löschung

• Bei Nutzung des KI-Reiseplaners werden Eingaben (Abflughafen, Meilenprogramm, Kabine, Reisezeitraum, optionale „Besondere Wünsche") an Anthropic übermittelt — siehe Abschnitt 5.1.
• Wir speichern die Eingaben NICHT dauerhaft. Geloggt werden ausschließlich technische Metadaten (User-ID, Programm, Abflughafen, Anzahl Destinations) — KEIN Inhalt der „Besondere Wünsche".
• Tages-Counter (verbrauchte Reisepläne pro Tag) werden in der Datenbank persistiert (Tabelle daily_itinerary_counts) und automatisch nach 24h obsolet.

• Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA
  sowie Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Dublin 2, Irland
• Bei Abschluss eines Abonnements werden Ihre E-Mail-Adresse und Zahlungsdaten (Kreditkarte o. ä.) an Stripe übermittelt.
• Stripe verarbeitet diese Daten auch in den USA. Die Datenübertragung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Stripe ist nach dem EU-US Data Privacy Framework zertifiziert.
• Datenschutzerklärung von Stripe: stripe.com/de/privacy
• Mit Stripe besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Stripe Data Processing Addendum).

• Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA
• Bei Erstellung eines KI-Reiseplans werden Eingaben (Abflughafen, Meilenprogramm, Budget, Kabine, Reisezeitraum, optionale „Besondere Wünsche") an Anthropic in den USA übermittelt.
• Keine direkten Personendaten: wir senden keine Namen, E-Mail-Adressen oder User-IDs mit. Das Feld „Besondere Wünsche" kann jedoch nutzergenerierte Texte enthalten — bitte vermeiden Sie dort die Eingabe personenbezogener Daten.
• Anthropic erklärt vertraglich, API-Eingaben standardmäßig nicht zu Trainingszwecken zu verwenden (Anthropic Commercial Terms).
• Datenübertragung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Anthropic ist nach dem EU-US Data Privacy Framework zertifiziert.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Pro-Feature) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Free-Preview-Nutzung)
• Datenschutzerklärung von Anthropic: anthropic.com/legal/privacy
• Mit Anthropic besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO (Anthropic Data Processing Addendum).

• seats.aero API – Verfügbarkeit von Prämienflügen. Bei Pro-Nutzern, die ihren seats.aero-Account via OAuth2 verbunden haben, wird der OAuth-Token mitgesendet (zur Quota-Zuordnung). Free-Nutzer und Pro-Nutzer ohne OAuth nutzen einen Server-seitigen Shared-Key. Keine direkten Personendaten in den Suchanfragen.
• LiteAPI / Nuitée – Hoteldaten und -verfügbarkeit. Keine personenbezogenen Daten.
• Exchangerate-API – Aktuelle Wechselkurse. Keine personenbezogenen Daten.
• OpenHolidays API – Schulferien- und Feiertagekalender. Keine personenbezogenen Daten.
• Leaflet.js / CARTO – Kartendarstellung. Kartenkacheln werden von Servern von fastly.net geladen; dabei wird Ihre IP-Adresse an CARTO/Fastly übermittelt.
• Google Fonts / Fontshare – Schriftarten. Beim Laden der Seite wird Ihre IP-Adresse an die jeweiligen Server übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• OpenFlights.org – Flughafen- und Routendaten, lizenziert unter der Open Database License (ODbL). Daten werden lokal vorgehalten; keine aktiven Anfragen.

Wir nutzen Umami Cloud (Umami Software, Inc.) zur cookielosen Reichweitenmessung. Erfasst werden anonymisierte technische Daten: aufgerufene Seite, Referrer, Browser-Typ, ungefährer Standort (Land/Region — abgeleitet aus IP, IP wird selbst nicht gespeichert).

Es werden keine Cookies gesetzt und keine Geräte-Fingerprints erstellt. Eine Identifikation einzelner Nutzer ist nicht möglich. Aus diesem Grund ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aggregierten Nutzungsstatistiken).

Datenschutzerklärung: umami.is/privacy

Mit Umami Software, Inc. besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA

Resend versendet die E-Mails über eigene SMTP-Server in den USA bzw. der EU. Bei der Übermittlung an Resend werden Empfänger-E-Mail-Adresse, Absenderadresse, Betreff und Inhalt der Mail an Resend übergeben.

Anlässe für E-Mail-Versand:

• E-Mail-Bestätigung nach Registrierung (Verify-Link, 24 h gültig, einmal-konsumierbar). Inhalt: Bestätigungs-Link. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme).
• Begrüßungs-E-Mail (Welcome) nach erfolgreicher E-Mail-Bestätigung, einmalig pro Konto. Inhalt: Begrüßung, Funktionsübersicht, Pro-Hinweis. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Onboarding-Information).
• Passwort-Reset-Mails bei Anforderung über die "Passwort vergessen"-Funktion (Reset-Link, 1 h gültig, einmal-konsumierbar). Inhalt: Reset-Link. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Account-Wiederherstellung).
• Preisalarm-Benachrichtigungen für Pro-Nutzer (nur bei aktiver Alert-Konfiguration). Inhalt: Strecke, Kabine, Meilenpreis, Datum. Keine sonstigen Personendaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• System-Alerts an Administratoren bei Erreichen interner API-Quota-Schwellwerte (max. 1×/Tag/API). Enthält keine Nutzerdaten.

Drittlandtransfer: Resend hat seinen Hauptsitz in den USA. Die Datenübertragung erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Resend ist nach dem EU-US Data Privacy Framework zertifiziert. Mit Resend besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Mail-Inhalte werden bei Resend für Logging-/Reporting-Zwecke max. 30 Tage gespeichert und danach gelöscht. Wir selbst speichern auf unseren Servern keinen Mail-Inhalt nach Versand.

Datenschutzerklärung von Resend: resend.com/legal/privacy-policy

So funktioniert das Verfahren (k-Anonymity):

• Auf unserem Server (nicht in Ihrem Browser!) wird ein SHA-1-Hash Ihres Passworts berechnet.
• An die HaveIBeenPwned-API werden ausschließlich die ersten 5 Zeichen dieses Hashes übermittelt. Das vollständige Passwort, der vollständige Hash und Ihre IP-Adresse verlassen unseren Server nicht.
• Die API antwortet mit einer Liste aller bei ihr bekannten Passwort-Hashes, deren Hash mit demselben Präfix beginnt. Der lokale Abgleich, ob Ihr Passwort darunter ist, erfolgt ausschließlich auf unserem Server.
• Bei einem Treffer wird Ihr Passwort abgelehnt; Sie wählen ein anderes. Bei keinem Treffer wird es gespeichert (als bcrypt-Hash, niemals im Klartext).

Da nur ein 5-Zeichen-Präfix übermittelt wird, kann HaveIBeenPwned weder Ihr Passwort noch Ihre Identität ermitteln. Es findet kein personenbezogener Datentransfer statt — die Verarbeitung ist datenschutzrechtlich wie ein abstrakter Sicherheits-Lookup zu behandeln.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz Ihres Kontos vor Übernahme durch Wiederverwendung geleakter Passwörter).

Drittlandtransfer: Cloudflare hostet die API auf einem global verteilten Netzwerk; ein Standort-spezifischer Transfer ist nicht zuordenbar. Da kein personenbezogenes Datum übertragen wird, sind Drittland-Standardvertragsklauseln rechtlich nicht erforderlich; Cloudflare ist gleichwohl nach dem EU-US Data Privacy Framework zertifiziert.

Bei Server-seitigem Ausfall der HaveIBeenPwned-API wird das Passwort durchgelassen (Fail-open) — die Registrierung bzw. Passwort-Änderung wird also nicht durch einen API-Ausfall blockiert.

Datenschutzerklärung von HaveIBeenPwned: haveibeenpwned.com/Privacy

Diese Website enthält Affiliate-Links zu Booking.com, Trivago, Kayak, HRS, Google Hotels und weiteren Reiseanbietern. Die Vermittlung erfolgt über das Affiliate-Netzwerk Awin AG (Eichhornstraße 3, 10785 Berlin). Wenn Sie auf einen dieser Links klicken, leitet Awin Sie zum Anbieter weiter und setzt zur Provisions-Zuordnung Tracking-Cookies (sowohl von Awin als auch vom Endanbieter).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktiven Klick auf den Affiliate-Link).

Datenschutzerklärung von Awin: awin.com/de/rechtliches/privacy-policy-advertiser. Bitte beachten Sie zudem die Datenschutzerklärungen der jeweiligen Endanbieter.

Mit Awin AG besteht ein Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Awin handelt als gemeinsam Verantwortlicher (Art. 26 DSGVO) im Verhältnis zu den Endanbietern (Booking.com, Trivago etc.) — die jeweiligen Endanbieter agieren nach dem Klick auf einen Affiliate-Link als eigenständige Verantwortliche.

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO + EU Data Act Art. 4-5) — siehe Self-Service-Export unten
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
www.datenschutz-berlin.de

Personenbezogene Daten werden nur in folgenden Fällen an Dritte weitergegeben: (1) an Stripe zur Zahlungsabwicklung (siehe Abschnitt 4), (2) bei gesetzlicher Verpflichtung. Eine Weitergabe zu Werbezwecken findet nicht statt.

Die Europäische Kommission stellt eine Plattform zur Online-Streitbeilegung (OS) bereit:
https://ec.europa.eu/consumers/odr

Unsere E-Mail-Adresse für Verbraucherbeschwerden: info@itsrs.de

Wir sind nicht bereit und nicht verpflichtet, an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.