Zum Inhalt springen

Rechtliches

Datenschutzerklärung

Stand: 27.06.2026

1. Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z. B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als „Onlineangebot").

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

2. Verantwortlicher

MOMENTUM OHANA LIMITED

Palaion Patron Germanou 11

8011 Paphos

Republik Zypern

Handelsregister
Cyprus Companies Register, HE-Nr. 490867
USt-IdNr.
CY60345306X

Gesetzlich vertreten durch den Director: Marcel Brylka

Ansprechpartner für Datenschutzanfragen und allgemeine Anfragen: Giuliano Prestifilippo

E-Mail
[email protected]
Telefon
+49 151 42085251

3. Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

  • Bestandsdaten
  • Zahlungsdaten
  • Kontaktdaten
  • Inhaltsdaten
  • Vertragsdaten
  • Nutzungsdaten
  • Meta-, Kommunikations- und Verfahrensdaten
  • Protokolldaten
  • Gesundheitsdaten (z. B. Allergien/Ernährung), soweit diese im Rahmen der Reiseorganisation erforderlich sind.

Kategorien betroffener Personen

  • Kommunikationspartner
  • Nutzer
  • Gewinnspiel- und Wettbewerbsteilnehmer
  • Geschäfts- und Vertragspartner
  • Teilnehmer

Zwecke der Verarbeitung

  • Erbringung vertraglicher Leistungen und Erfüllung vertraglicher Pflichten
  • Kommunikation
  • Sicherheitsmaßnahmen
  • Direktmarketing
  • Reichweitenmessung
  • Tracking
  • Büro- und Organisationsverfahren
  • Zielgruppenbildung
  • Organisations- und Verwaltungsverfahren
  • Durchführung von Gewinnspielen und Wettbewerben
  • Feedback
  • Umfragen und Fragebögen
  • Marketing
  • Profile mit nutzerbezogenen Informationen
  • Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit
  • Informationstechnische Infrastruktur
  • Öffentlichkeitsarbeit
  • Absatzförderung
  • Geschäftsprozesse und betriebswirtschaftliche Verfahren

4. Maßgebliche Rechtsgrundlagen

Maßgebliche Rechtsgrundlagen nach der DSGVO: Im Folgenden erhalten Sie eine Übersicht der Rechtsgrundlagen der DSGVO, auf deren Basis wir personenbezogene Daten verarbeiten. Bitte nehmen Sie zur Kenntnis, dass neben den Regelungen der DSGVO nationale Datenschutzvorgaben in Ihrem bzw. unserem Sitzland gelten können.

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a) DSGVO): Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.
  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b) DSGVO): Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c) DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f) DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten notwendig, vorausgesetzt, dass die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten verlangen, nicht überwiegen.

Nationale Datenschutzregelungen am Sitz des Verantwortlichen: Da der Verantwortliche seinen Sitz in der Republik Zypern hat, finden ergänzend zur DSGVO die nationalen Datenschutzvorschriften Zyperns Anwendung, insbesondere das zypriotische Gesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Νόμος 125(I)/2018).

Nationale Datenschutzregelungen in Deutschland: Soweit Daten von Personen mit Wohnsitz in Deutschland verarbeitet werden, gelten zusätzlich nationale Regelungen zum Datenschutz in Deutschland, insbesondere das Bundesdatenschutzgesetz (BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

5. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs sowie des Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Sicherung von Online-Verbindungen durch TLS-/SSL-Verschlüsselungstechnologie (HTTPS): Um die Daten der Nutzer vor unerlaubten Zugriffen zu schützen, setzen wir auf die TLS-/SSL-Verschlüsselungstechnologie. Secure Sockets Layer (SSL) und Transport Layer Security (TLS) sind die Eckpfeiler der sicheren Datenübertragung im Internet. Diese Technologien verschlüsseln die Informationen, die zwischen der Website oder App und dem Browser des Nutzers übertragen werden. TLS gewährleistet als weiterentwickelte Version von SSL, dass alle Datenübertragungen den höchsten Sicherheitsstandards entsprechen. Wenn eine Website durch ein SSL-/TLS-Zertifikat gesichert ist, wird dies durch die Anzeige von HTTPS in der URL signalisiert. Dies dient als Indikator für die Nutzer, dass ihre Daten sicher und verschlüsselt übertragen werden.

6. Übermittlung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass diese an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt beziehungsweise ihnen gegenüber offengelegt werden. Zu den Empfängern können z. B. mit IT-Aufgaben beauftragte Dienstleister, Anbieter von eingebundenen Diensten und Inhalten, Steuerberater, Wirtschaftsprüfer, der gesellschaftsrechtliche Sekretär (Company Secretary) der Momentum Ohana Ltd. in Zypern sowie Reiseleistungserbringer (z. B. Hotels, Transportunternehmen, lokale Aktivitätenanbieter) gehören. In solchen Fällen beachten wir die gesetzlichen Vorgaben und schließen entsprechende Verträge bzw. Vereinbarungen ab, die dem Schutz Ihrer Daten dienen.

7. Internationale Datentransfers

Datenverarbeitung innerhalb des EWR: Der Verantwortliche hat seinen Sitz in Zypern. Eine Datenverarbeitung innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EWR) stellt keinen Drittlandtransfer im Sinne der DSGVO dar.

Datenverarbeitung in Drittländern: Sofern wir Daten in ein Drittland (außerhalb der EU oder des EWR) übermitteln oder dies im Rahmen der Nutzung von Diensten Dritter geschieht, erfolgt dies stets im Einklang mit den gesetzlichen Vorgaben.

Für Datenübermittlungen in die USA stützen wir uns vorrangig auf das Data Privacy Framework (DPF), welches durch einen Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 als sicherer Rechtsrahmen anerkannt wurde. Zusätzlich haben wir mit den Anbietern Standardvertragsklauseln abgeschlossen. Diese zweifache Absicherung gewährleistet einen umfassenden Schutz Ihrer Daten. Sollten sich Änderungen im DPF ergeben, greifen die Standardvertragsklauseln als Rückfalloption. So stellen wir sicher, dass Ihre Daten stets angemessen geschützt bleiben. Bei den einzelnen Diensteanbietern informieren wir Sie darüber, ob sie nach dem DPF zertifiziert sind. Weitere Informationen zum DPF finden Sie unter dataprivacyframework.gov.

Für Datenübermittlungen in andere Drittländer gelten entsprechende Sicherheitsmaßnahmen, insbesondere Standardvertragsklauseln, ausdrückliche Einwilligungen oder gesetzlich erforderliche Übermittlungen. Informationen zu Drittlandtransfers finden Sie bei der EU-Kommission.

8. Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten, sobald der Zweck der Verarbeitung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Soweit Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird ihre Verarbeitung auf diese Zwecke beschränkt. Sofern wir im Rahmen dieser Datenschutzerklärung keine spezielleren Angaben zur Speicherdauer machen, gelten die folgenden Aufbewahrungs- und Löschfristen:

  • Buchhaltungs- und steuerrelevante Unterlagen werden gemäß zypriotischem und gegebenenfalls deutschem Recht bis zu 10 Jahre aufbewahrt.
  • Vertragsbezogene Daten werden in der Regel bis zu 4 Jahre nach Vertragsende aufbewahrt, soweit keine längere gesetzliche Pflicht besteht.
  • Daten zu Reiseteilnehmern (inkl. Gesundheitsdaten zur Reisedurchführung) werden nach Abschluss der Reise und Ablauf etwaiger Gewährleistungsfristen gelöscht, spätestens nach 4 Jahren.

9. Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, insbesondere aus Art. 15 bis 21 DSGVO:

  • Widerspruchsrecht: Sie haben das Recht, aus Gründen Ihrer besonderen Situation jederzeit gegen die Verarbeitung Ihrer Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für Profiling. Bei Direktwerbung können Sie jederzeit Widerspruch einlegen; dies gilt auch für damit verbundenes Profiling.
  • Widerrufsrecht bei Einwilligungen: Sie können erteilte Einwilligungen jederzeit widerrufen.
  • Auskunftsrecht: Sie haben das Recht auf Bestätigung, ob Daten verarbeitet werden, sowie auf Auskunft und Kopie der Daten.
  • Recht auf Berichtigung: Sie können die Vervollständigung oder Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung und Einschränkung: Sie können unter gesetzlichen Voraussetzungen die unverzügliche Löschung oder die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit: Sie können Ihre bereitgestellten Daten in einem gängigen Format erhalten oder die Übermittlung an andere Verantwortliche fordern.
  • Beschwerde bei Aufsichtsbehörde: Sie haben das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde am Sitz des Verantwortlichen ist der Office of the Commissioner for Personal Data Protection (Republic of Cyprus). Sie können sich darüber hinaus an die für Ihren Wohnsitz zuständige Aufsichtsbehörde wenden.

10. Geschäftliche Leistungen

Wir verarbeiten Daten unserer Vertrags- und Geschäftspartner (Kunden, Interessenten, Reiseteilnehmer) zur Erbringung vertraglicher Leistungen, insbesondere zur Organisation und Durchführung von Gruppenreisen sowie damit verbundenen Events, und zur Kommunikation. Wir verwenden diese Daten zur Erfüllung unserer Pflichten, zur Wahrung unserer Rechte und für Verwaltungsaufgaben. Zudem verarbeiten wir Daten aufgrund berechtigter Interessen an ordnungsgemäßer Geschäftsführung und Sicherheitsmaßnahmen. Eine Weitergabe an Dritte (z. B. Hotels, Fluggesellschaften, Transportdienstleister, lokale Aktivitätenanbieter) erfolgt nur, soweit dies zur Durchführung der gebuchten Reiseleistung erforderlich ist.

Die Daten löschen wir nach Ablauf gesetzlicher Gewährleistungs- und vergleichbarer Pflichten (grundsätzlich nach vier Jahren), es sei denn, eine längere Archivierung ist gesetzlich vorgeschrieben (z. B. 10 Jahre für Steuerzwecke).

  • Verarbeitete Datenarten: Bestandsdaten, Zahlungsdaten, Kontaktdaten, Vertragsdaten, Gesundheitsdaten (z. B. Allergien, Ernährungspräferenzen), soweit zur Reisedurchführung erforderlich.
  • Betroffene Personen: Leistungsempfänger, Auftraggeber, Interessenten, Geschäfts- und Vertragspartner, Reiseteilnehmer.
  • Zwecke: Vertragliche Leistungen, Kommunikation, Büro- und Verwaltungsverfahren, Geschäftsprozesse, Organisation und Durchführung von Reisen.
  • Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO), Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO), bei Gesundheitsdaten zusätzlich Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

Eventmanagement: Wir verarbeiten Teilnehmerdaten für Veranstaltungen. Gesundheitsbezogene oder besondere Daten werden nur verarbeitet, wenn dies offenkundig ist oder der Sicherheit dient. Erforderliche Angaben sind gekennzeichnet. Basis: Vertragserfüllung, bei besonderen Kategorien ergänzend Einwilligung.

11. Zahlungsverfahren

Wir setzen Zahlungsdienstleister ein, um effiziente und sichere Zahlungsmöglichkeiten anzubieten. Der Zahlungsverkehr erfolgt über verschlüsselte Verbindungen. Die Zahlungsdienstleister verarbeiten Bestandsdaten und Bankdaten (Kontonummern, Kreditkartennummern, Passwörter, TANs). Wir erhalten keine konto- oder kreditkartenbezogenen Informationen, sondern nur Bestätigungen. Es können Identitäts- und Bonitätsprüfungen stattfinden. Es gelten die AGB und Datenschutzhinweise der Zahlungsdienstleister.

  • Verarbeitete Datenarten: Bestands-, Zahlungs-, Vertrags-, Nutzungs-, Meta-, Kommunikations- und Kontaktdaten
  • Betroffene Personen: Leistungsempfänger, Auftraggeber, Geschäfts- und Vertragspartner, Interessenten
  • Zwecke: Vertragliche Leistungen, Geschäftsprozesse
  • Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Dienstanbieter

  • Stripe: Stripe Payments Europe, Ltd. (Irland) bzw. Stripe, Inc. (USA). Eingesetzt zur Abwicklung von Zahlungen im Rahmen von Buchungen, sobald die Buchungs- und Zahlungsfunktion aktiv ist. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Grundlage für Drittlandübermittlungen in die USA: Data Privacy Framework (DPF) sowie Standardvertragsklauseln.

12. Bereitstellung des Onlineangebots und Webhosting

Wir verarbeiten Nutzerdaten (insb. IP-Adresse sowie technische Zugriffsdaten), um unsere Website bereitzustellen, ihre Stabilität und Sicherheit zu gewährleisten und Missbrauch zu verhindern.

  • Verarbeitete Datenarten: Nutzungsdaten, Meta-/Kommunikationsdaten, Protokolldaten, Inhaltsdaten
  • Zwecke: Bereitstellung, Nutzerfreundlichkeit, IT-Infrastruktur, Sicherheit
  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO)

Hosting und Infrastruktur

Unser Onlineangebot wird auf Servern der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) innerhalb der EU betrieben. Hetzner verarbeitet personenbezogene Daten in unserem Auftrag (Auftragsverarbeitung nach Art. 28 DSGVO); ein entsprechender Vertrag ist abgeschlossen.

Content-Delivery-Network, Reverse-Proxy und Bild-Speicher (Cloudflare)

Zur sicheren und performanten Auslieferung unseres Onlineangebots sowie zur Angriffsabwehr nutzen wir Dienste der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Cloudflare ist unserem Angebot als Reverse-Proxy/Content-Delivery-Network vorgelagert und verarbeitet dabei technische Verbindungsdaten (insbesondere IP-Adresse, Datum/Uhrzeit, abgerufene Inhalte, Browser-/Geräteinformationen) zur Auslieferung, Lastverteilung, TLS-Verschlüsselung und Sicherheit. Von Nutzern hochgeladene Bilddateien (z. B. Profil- und Reisebilder) speichern wir im EU-Objektspeicher Cloudflare R2. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) an einem sicheren, leistungsfähigen Angebot. Grundlage für Drittlandübermittlungen in die USA: Data Privacy Framework (DPF) sowie Standardvertragsklauseln.

Schriftarten (Adobe Fonts)

Zur einheitlichen und ansprechenden Darstellung unserer Inhalte verwenden wir Web-Schriftarten des Dienstes Adobe Fonts (vormals Typekit), bereitgestellt durch die Adobe Inc. (345 Park Avenue, San Jose, CA 95110, USA) bzw. die Adobe Systems Software Ireland Limited (4‑6 Riverwalk, Citywest Business Campus, Dublin 24, Irland). Beim Aufruf unserer Seiten werden die Schriftdateien von Servern von Adobe geladen. Dabei wird technisch bedingt Ihre IP-Adresse an Adobe übermittelt, da die Schriften sonst nicht an Ihren Browser ausgeliefert werden könnten; ferner können weitere Verbindungsdaten (z. B. abrufende Seite, Browser-/Geräteinformationen) verarbeitet werden. Adobe Fonts setzt nach Angaben des Anbieters keine Cookies und nutzt die Daten nicht zu Werbezwecken. Eine Selbst-Auslieferung dieser lizenzierten Schriften ist nicht gestattet. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) an einem einheitlichen, professionellen Erscheinungsbild unseres Onlineangebots. Grundlage für Drittlandübermittlungen in die USA: Data Privacy Framework (DPF) sowie Standardvertragsklauseln.

Versand von Transaktions-E-Mails

Für den Versand systembedingter E-Mails (z. B. Bestätigung der E-Mail-Adresse, Zurücksetzen des Passworts, Anmelde-Links sowie Benachrichtigungen im Rahmen des Bewerbungs-/Buchungsprozesses) setzen wir den E-Mail-Dienst Mailjet (Mailjet SAS, 13-13bis Rue de l'Aubrac, 75012 Paris, Frankreich) ein. Verarbeitet werden insbesondere E-Mail-Adresse, Name sowie der Inhalt der jeweiligen Nachricht zur Zustellung; die Verarbeitung erfolgt auf Servern innerhalb der EU. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) bzw. berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) an einer zuverlässigen Zustellung.

Zugriffsdaten und Logfiles

Bei Aufruf unserer Website können Server-Logfiles (z. B. IP-Adresse, Datum/Uhrzeit, abgerufene Seite/URL, Referrer, Browser/OS) verarbeitet werden. Die Verarbeitung erfolgt zu Sicherheitszwecken sowie zur Stabilität/Fehleranalyse. Eine Löschung erfolgt grundsätzlich nach einer angemessenen Frist, sofern keine Aufbewahrung zu Beweiszwecken erforderlich ist.

13. Einsatz von Cookies

Wir setzen auf unserer Plattform ausschließlich technisch notwendige Cookies ein. Insbesondere verwenden wir ein essentielles Erstanbieter-Cookie zur Verwaltung Ihrer Anmeldung bzw. Sitzung (Login). Dieses Cookie ist für den Betrieb des geschützten Mitgliederbereichs erforderlich und wird nicht für Tracking- oder Werbezwecke genutzt.

Wir setzen keine Marketing- oder Tracking-Cookies und binden keine Dienste ein, die nicht notwendige Informationen auf Ihrem Endgerät speichern. Unsere Reichweitenmessung erfolgt cookieless (siehe Abschnitt „Webanalyse, Monitoring und Optimierung"). Aus diesem Grund ist für die von uns eingesetzten Cookies keine Einwilligung erforderlich; wir setzen daher auch kein Cookie-Einwilligungs-Banner ein.

Speicherdauer: Das Sitzungs-Cookie wird nach Ablauf der Sitzung bzw. nach Ihrer Abmeldung gelöscht. Sie können Cookies zudem jederzeit über die Einstellungen Ihres Browsers löschen oder blockieren; der Login-Bereich ist dann gegebenenfalls nicht nutzbar.

Rechtsgrundlagen: Berechtigte Interessen am sicheren Betrieb (Art. 6 Abs. 1 S. 1 lit. f DSGVO) bzw. Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) für den Mitgliederbereich.

14. Nutzerkonten, Kontakt- und Anfrageverwaltung

Wenn Sie uns kontaktieren (z. B. per Formular auf der Website, per E-Mail an [email protected] oder via Instagram Direct Message), verarbeiten wir die von Ihnen übermittelten Angaben zur Bearbeitung Ihrer Anfrage und zur weiteren Kommunikation.

Website-Formulare / Bewerbungsprozess

Unsere Formulare (z. B. Newsletter-Anmeldung sowie der Start des Bewerbungs-/Verifizierungsprozesses) sind Bestandteil unserer eigenen Plattform. Die dort eingegebenen Daten (typischerweise Vorname, Nachname, E-Mail-Adresse sowie Einwilligungs-Checkboxen) werden in unserer eigenen, innerhalb der EU gehosteten Datenbank verarbeitet und zur weiteren Bearbeitung ggf. an unser CRM-System übergeben.

Registrierung und Nutzerkonten

Für die Nutzung des Mitgliederbereichs können Sie ein Nutzerkonto anlegen. Dabei verarbeiten wir die von Ihnen angegebenen Bestands- und Kontaktdaten (z. B. Name, E-Mail-Adresse, Passwort in verschlüsselter Form), die im Rahmen Ihres Profils gemachten Angaben (z. B. Profilbild, Kurzbeschreibung, verknüpfte Social-Media-Profile) sowie Ihren Status im Bewerbungs- bzw. Mitgliedschaftsprozess. Authentifizierung und Sitzungsverwaltung erfolgen über ein von uns selbst betriebenes System; die Sitzungsdaten werden in unserer eigenen Datenbank innerhalb der EU gespeichert. Abhängig von Ihren Sichtbarkeitseinstellungen können bestimmte Profilangaben (z. B. Anzeigename, Kurzbeschreibung, Profilbild) für andere Nutzer oder öffentlich sichtbar sein; Kontaktdaten (z. B. Ihre E-Mail-Adresse) veröffentlichen wir nicht. Soweit Sie im Rahmen der Reiseteilnahme Gesundheitsangaben (z. B. Allergien, Ernährungspräferenzen) machen, verarbeiten wir diese ausschließlich auf Grundlage Ihrer Einwilligung. Rechtsgrundlagen: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b DSGVO), bei Gesundheitsdaten zusätzlich Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

Anmeldung über Drittanbieter (Single-Sign-On)

Optional können Sie sich über Single-Sign-On-Verfahren anmelden. Wir bieten die Anmeldung über Google (Google Ireland Limited, Irland) und Apple (Apple Inc., USA) an. Dabei übermittelt uns der jeweilige Anbieter die zur Konto­erstellung erforderlichen Daten (insbesondere Name und E-Mail-Adresse). Ergänzend gelten die Datenschutzhinweise des jeweiligen Anbieters. Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Grundlage für etwaige Drittlandübermittlungen in die USA: Data Privacy Framework (DPF) sowie Standardvertragsklauseln.

Terminvereinbarung für Verifizierungsgespräche

Für die Buchung von Video- bzw. Telefongesprächen im Rahmen unseres Verifizierungsprozesses nutzen wir den Terminbuchungsdienst Cal.com (Cal.com, Inc., USA; Datenverarbeitung innerhalb der EU, soweit verfügbar). Verarbeitet werden Name, E-Mail-Adresse, der ausgewählte Termin sowie Ihre Zeitzone. Rechtsgrundlage: vorvertragliche Maßnahmen bzw. Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Grundlage für Drittlandübermittlungen in die USA: Data Privacy Framework (DPF) sowie Standardvertragsklauseln.

CRM-System

Zur zentralen Kontaktverwaltung sowie zur Bearbeitung von Bewerbungs- und Buchungsprozessen nutzen wir das CRM-System GoHighLevel / LeadConnector (betrieben durch die HighLevel Inc., USA). Dort werden Kontaktdaten, Kommunikationsverläufe, interne Notizen sowie der Status im Bewerbungs- bzw. Buchungsprozess verarbeitet. Rechtsgrundlage: berechtigte Interessen bzw. Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b und f DSGVO). Grundlage für Drittlandübermittlungen in die USA: Data Privacy Framework (DPF) sowie Standardvertragsklauseln.

  • Verarbeitete Datenarten: Bestandsdaten, Kontaktdaten, Inhaltsdaten, Meta-/Kommunikationsdaten, Protokolldaten (z. B. Einwilligungsnachweise)
  • Betroffene Personen: Interessenten, Kommunikationspartner, Teilnehmer/Bewerber, Nutzer
  • Zwecke: Kommunikation, Organisation und Verwaltung, Bearbeitung von Bewerbungen/Anfragen, Geschäftsprozesse
  • Rechtsgrundlagen: Vertragserfüllung / vorvertragliche Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b DSGVO), berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO); soweit Einwilligungen erteilt werden (z. B. Newsletter): Art. 6 Abs. 1 S. 1 lit. a DSGVO

15. Newsletter und elektronische Benachrichtigungen

Wir versenden Newsletter/Benachrichtigungen nur, wenn Sie hierfür eine ausdrückliche Einwilligung erteilt haben. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Sie erhalten nach der Anmeldung eine E-Mail, in der Sie Ihre Anmeldung bestätigen müssen. Erst danach erfolgt der Versand.

Zum Zweck des Nachweises Ihrer Einwilligung protokollieren wir den Anmeldeprozess (z. B. Zeitpunkt der Anmeldung und Bestätigung sowie technische Nachweisdaten). Die Abmeldung ist jederzeit möglich, z. B. über den Abmeldelink in jeder Newsletter-E-Mail.

Dienstleister

Für Newsletter-Versand, Automationen und Kontaktverwaltung nutzen wir unser CRM-System GoHighLevel / LeadConnector.

Speicherung nach Abmeldung

Ausgetragene E-Mail-Adressen können wir bis zu drei Jahre speichern, um eine ehemals erteilte Einwilligung nachweisen und Widersprüche dauerhaft beachten zu können (Sperrliste/Blocklist).

  • Verarbeitete Datenarten: Kontaktdaten (E-Mail, ggf. Name), Protokolldaten (DOI-Nachweis), Nutzungs-/Meta-Daten (technische Zustellinformationen)
  • Betroffene Personen: Newsletter-Empfänger, Interessenten
  • Zwecke: Newsletter-Versand, Einwilligungsmanagement, Nachweis/Compliance
  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO); Nachweis/Sperrliste: berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO)

16. Werbliche Kommunikation via E-Mail, Post, Fax oder Telefon

Wir verarbeiten Daten für werbliche Kommunikation gemäß gesetzlichen Vorgaben. Widerruf oder Widerspruch ist jederzeit möglich. Zum Nachweis der Berechtigung speichern wir Daten bis zu drei Jahre nach Widerspruch. Zur Vermeidung erneuter Kontaktaufnahme speichern wir Sperrdaten.

  • Verarbeitete Datenarten: Bestands-, Kontakt-, Inhaltsdaten
  • Zwecke: Direktmarketing, Absatzförderung
  • Rechtsgrundlagen: Einwilligung, Berechtigte Interessen

17. Gewinnspiele und Wettbewerbe

Verarbeitung erfolgt zur Durchführung des Gewinnspiels. Namen von Teilnehmern können veröffentlicht werden (Widerspruch möglich). Bei Online-Plattformen gelten deren Bedingungen zusätzlich.

Löschung: Grundsätzlich 6 Monate nach Ende. Bei Gewinnern bis zu drei Jahre (Gewährleistung) oder länger (z. B. Berichterstattung).

Rechtsgrundlagen: Vertragserfüllung, Berechtigte Interessen

18. Umfragen und Befragungen

Umfragen werden anonym ausgewertet. Personenbezogene Daten (z. B. IP) nur für technische Durchführung.

Rechtsgrundlagen: Berechtigte Interessen

19. Webanalyse, Monitoring und Optimierung

Zur Reichweitenmessung und Verbesserung unseres Onlineangebots setzen wir das Produktanalyse-Werkzeug PostHog (PostHog, Inc.) in der EU-Cloud ein. Die Daten werden in einem Rechenzentrum innerhalb der Europäischen Union (Frankfurt am Main) verarbeitet.

Die Reichweitenmessung erfolgt cookieless: Es werden keine Cookies gesetzt und keine Informationen dauerhaft auf Ihrem Endgerät gespeichert. Es werden keine Klardaten (wie Namen oder E-Mail-Adressen) und keine Sitzungsaufzeichnungen erfasst. Die IP-Adresse wird nicht gespeichert; beim Empfang kann lediglich eine grobe, länderbezogene Verortung abgeleitet werden. Aus diesem Grund ist hierfür keine Einwilligung erforderlich.

Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) an einer datensparsamen Reichweitenmessung.

20. Foto- und Videoaufnahmen auf Reisen

Während unserer Reisen und Events entstehen Foto- und Videoaufnahmen, die wir zu Marketing- und Öffentlichkeitsarbeitszwecken verwenden möchten (z. B. auf unserer Website, in sozialen Netzwerken und in Werbematerial). Soweit auf diesen Aufnahmen einzelne Teilnehmer erkennbar sind, erfolgt eine Veröffentlichung ausschließlich auf Grundlage einer gesonderten, freiwilligen Einwilligung.

Diese Einwilligung ist von der Buchung und Durchführung der Reise entkoppelt: Die Teilnahme an der Reise ist nicht davon abhängig, dass du der Veröffentlichung von Aufnahmen zustimmst (Art. 7 Abs. 4 DSGVO). Du kannst eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (z. B. per E-Mail an [email protected]); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Aufnahmen, auf denen Personen lediglich als Beiwerk neben einer Landschaft oder Örtlichkeit erscheinen oder die Versammlungen und Aufzüge zeigen, können nach Maßgabe der gesetzlichen Vorgaben (insb. § 23 KUG) auch ohne gesonderte Einwilligung verwendet werden.

  • Verarbeitete Datenarten: Bilddaten, Videodaten (ggf. mit Tonaufnahmen)
  • Betroffene Personen: Reiseteilnehmer, Hosts, weitere abgebildete Personen
  • Zwecke: Marketing, Öffentlichkeitsarbeit, Dokumentation
  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO); für Beiwerk-/Übersichts­aufnahmen berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO) i. V. m. § 23 KUG.

22. Präsenzen in sozialen Netzwerken (Social Media)

Wir unterhalten Onlinepräsenzen, um mit Nutzern zu kommunizieren. Diese Profile werden von der Momentum Ohana Ltd. betrieben. Daten können außerhalb der EU verarbeitet werden. Daten werden oft für Marktforschungs- und Werbezwecke (Profile) genutzt.

Betroffenenrechte: Am effektivsten bei den Anbietern direkt geltend zu machen.

Rechtsgrundlagen: Berechtigte Interessen.

Instagram: Meta Platforms Ireland Limited. Basis: Berechtigte Interessen. Drittlandtransfer: DPF.

Verknüpfung des Instagram-Kontos: Nutzer können optional ihr Instagram-Konto verknüpfen, damit öffentliche Profilkennzahlen (z. B. Nutzername, Follower- und Beitragszahl, Profilbild) auf ihrem Profil bei uns angezeigt werden. Hierzu rufen wir über die Schnittstelle von Meta die entsprechenden öffentlich verfügbaren Angaben des verknüpften Kontos ab. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO).

23. Änderung und Aktualisierung

Wir passen die Datenschutzerklärung an, sobald Änderungen der Datenverarbeitung dies erforderlich machen. Wir informieren Sie bei wesentlichen Änderungen.

24. Begriffsdefinitionen

Bestandsdaten
Daten zur Identifikation (Name, Adresse)
Inhaltsdaten
Texte, Bilder, Videos und Metadaten dazu
Kontaktdaten
Telefonnummern, E-Mail, Adressen
Meta-, Kommunikations- und Verfahrensdaten
Daten über Daten (Kontext, Zeitstempel, IP)
Nutzungsdaten
Interaktionen, Besuchszeiten, Klickpfade
Personenbezogene Daten
Alle Infos zu einer identifizierten/identifizierbaren natürlichen Person
Profile mit nutzerbezogenen Informationen
Automatisierte Verarbeitung zur Analyse persönlicher Aspekte (Profiling)
Protokolldaten
Logfiles über Systemaktivitäten
Reichweitenmessung
Analyse von Besucherströmen
Tracking
Nachverfolgung über mehrere Angebote hinweg
Verantwortlicher
Entscheidungsträger über Zwecke/Mittel der Verarbeitung
Verarbeitung
Jeder Umgang mit Daten (Erheben, Speichern, Löschen)
Vertragsdaten
Vertragsbedingungen, Laufzeiten, Leistungen
Zahlungsdaten
Infos für Transaktionen (Bankdaten, Historie)
Zielgruppenbildung
Bestimmung von Zielgruppen für Werbung (Custom/Lookalike Audiences)