KRONPLATZ TOURISTIK GMBH, mit Rechtssitz in Reischach, Seilbahnstraße 10, Bruneck (BZ) - 39031, Steuernummer/USt-IdNr IT02955150210, (im Folgenden „der Verantwortliche der Datenverarbeitung" oder „der Verantwortliche") ist ständig bestrebt, die Online-Privatsphäre natürlicher Personen während des Surfens und der Nutzung der Dienste auf die folgenden Webseiten https://hotelander.com, https://restaurant.hotelander.com (im Folgenden „Portal" oder „Website") zu schützen.

Dieses Dokument beschreibt alle Aspekte der Verarbeitung personenbezogener Daten der Website-Nutzer (im Folgenden die „betroffene Person"), die über die Website in Übereinstimmung mit den Bestimmungen von Art. 13 der Verordnung (EU) Nr. 2016/679 (im Folgenden „Verordnung") durchgeführt wird. Gemäß den Bestimmungen der Verordnung erfolgt die Verarbeitung durch den Verantwortlichen über die Website nach den Grundsätzen der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung und Aufbewahrung, Datenminimierung, Genauigkeit, Integrität und Vertraulichkeit.

1. Der Verantwortliche der Datenverarbeitung

Der Verantwortliche für die über das Portal durchgeführte Datenverarbeitung ist KRONPLATZ TOURISTIK GMBH wie oben angegeben, und kann über die im Abschnitt „Kontakte" angegebene Weise kontaktiert werden (siehe Art. 10).

2. Kategorien der verarbeiteten personenbezogenen Daten

Navigationsdaten / Nutzungsdaten:

Informationen, die während des Website-Besuchs des Nutzers gesammelt werden (z. B. IP-Adresse, URI-Notationsadressen, Browserverlauf, Informationen über Interaktionen mit der Website, Informationen über die Computerumgebung des Benutzers, Browsertyp und -sprache, Betriebssystem, Position, Datum und Uhrzeit der Anfrage). Diese Informationen werden nicht erhoben, um mit identifizierten betroffenen Parteien in Verbindung gebracht zu werden, könnten aber aufgrund der Art ihrer Verarbeitung und Verknüpfung mit Daten im Besitz Dritter eine Identifizierung der Benutzer ermöglichen;

Vom Benutzer freiwillig bereitgestellte Daten:

Personenbezogene Daten, die der Nutzer freiwillig über spezielle Formulare auf der Website bereitstellt (z. B. Anmeldung/Registrierung, Kontakt, Kommentare, Bewertungen, Beiträge usw.). Diese Informationen können unter anderem Folgendes umfassen: Identifikationsdaten (Vorname, Nachname, Steueridentifikationsnummer, Benutzername, Benutzer-ID, Passwort, Geburtsort und –datum usw.), persönliches Bild, Kontakt- und Standortdaten (Wohn-/Privatadresse, E-Mail-Adresse, Telefonnummer und Postanschrift usw.);

Geschäftsdaten:

Informationen, die für die Durchführung wirtschaftlicher und steuerlicher Verpflichtungen im Zusammenhang mit der Bereitstellung der Website-Dienste erforderlich sind (z. B. Zahlungsinformationen, USt-IdNr., Kaufhistorie, Informationen zur Verwendung des Produkts oder der Dienstleistung, Kredit- und Rechnungsinformationen, Hilfeanfragen usw.);

Sensible Daten:

sogenannte „besondere Kategorien personenbezogener Daten" gemäß Art. 9 der Verordnung, d. h. personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person.

Lokalisierungs- oder Ortungsdaten (oder Mobilitätsdaten):

Informationen, die den geografischen Standort (Breitengrad, Längengrad, Höhe, Bewegungsrichtung, Zeitpunkt der Standortaufzeichnung) des Endgeräts (z. B. Smartphone, PC) eines Benutzers des Website-Dienstes angeben.

3. Zweck der Datenverarbeitung

Der Verantwortliche verwendet die über diese Website erhobenen personenbezogenen Daten für folgende Zwecke:

Vertragserfüllung:

Verarbeitung personenbezogener Daten zur Erfüllung von Verträgen, deren Partei der Benutzer ist (z. B. Dienstleistungsverträge, Produktverkäufe, Registrierungen, Abonnements, Teilnahme an interaktiven Diensten usw.). Dieser Zweck betrifft die Verarbeitung von Daten, die notwendig sind, um die vertragliche Beziehung mit dem Benutzer aufrechtzuerhalten, die auf der Website angebotenen Dienste bereitzustellen und die daraus resultierenden Verpflichtungen zu erfüllen;

Erfüllung gesetzlicher Verpflichtungen:

Verarbeitung personenbezogener Daten zur Erfüllung von Rechtsvorschriften, denen der Verantwortliche unterliegt (z. B. Steuerverpflichtungen, Arbeitsschutzbestimmungen, Bestimmungen zur Dokumentenaufbewahrung, Bestimmungen zur Bekämpfung der Geldwäsche, Zivilhaftung, Datenschutzbestimmungen usw.);

Einhaltung rechtlicher Verpflichtungen:

Verarbeitung personenbezogener Daten, wenn dies zur Erfüllung der oben genannten gesetzlichen Verpflichtungen erforderlich ist;

Sicherheit und Betrugsprävention:

Verarbeitung personenbezogener Daten zum Schutz der Sicherheit von Daten, Informationssystemen und der technologischen Plattform des Verantwortlichen, sowie zur Vorbeugung, Erkennung und Bekämpfung betrügerischer Aktivitäten, Missbrauch, Cyberangriffen und aller anderen illegalen Aktivitäten;

Kontakt mit der betroffenen Person:

Verarbeitung personenbezogener Daten, um die betroffene Person über verschiedene Kommunikationskanäle (z. B. E-Mail, Telefon, SMS, WhatsApp) zu kontaktieren, um verschiedene Zwecke zu verfolgen, z. B. Anfrage um Feedback, Kundenumfragen, Servicekommunikationen, Kontoaktualisierungen, technische Unterstützung usw.;

4. Rechtsgrundlage der Verarbeitung

Die Verarbeitung personenbezogener Daten ist aufgrund der folgenden Rechtsgrundlagen zulässig, wie in Art. 6 der Verordnung vorgesehen:

Vertragserfüllung:

Art. 6(1)(b) der Verordnung – Die Daten sind zur Erfüllung eines Vertrags erforderlich, dessen Partei die betroffene Person ist;

Einhaltung gesetzlicher Verpflichtungen:

Art. 6(1)(c) der Verordnung – Die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

Berechtigte Interessen:

Art. 6(1)(f) der Verordnung – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich;

Schutz lebenswichtiger Interessen:

Art. 6(1)(d) der Verordnung – Die Verarbeitung ist zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich;

Erfüllung von Aufgaben im öffentlichen Interesse:

Art. 6(1)(e) der Verordnung – Die Verarbeitung ist zur Erfüllung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt liegt;

Zustimmung:

Art. 6(1)(a) der Verordnung – Die betroffene Person hat der Verarbeitung ihrer personenbezogenen Daten zugestimmt;

5. Verarbeitungsmethoden

Die Verarbeitung erfolgt durch manuelle und/oder automatische Mittel, einschließlich durch die Verwendung von Informations- und Computertechnologien (z. B. CRM, Verwaltungssoftware und Mailing-List-Dienste), vorbehaltlich der Anwendung angemessener technischer und organisatorischer Sicherheitsmaßnahmen, um die Sicherheit, Integrität und Vertraulichkeit personenbezogener Daten zu gewährleisten, um das Risiko von Vernichtung, Verlust, unbefugtem Zugriff, Änderung und unbefugter Offenlegung auf ein Minimum zu beschränken, in Übereinstimmung mit den Artikeln 6 und 32 der DSGVO.

6. Übermittlung personenbezogener Daten außerhalb der EU/EWR

Der Verantwortliche beabsichtigt nicht, personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums zu übermitteln. Sollte es jedoch notwendig werden, organisatorische/produktionsbezogene Anforderungen zu erfüllen (durch nicht ausschließlich beispielhafte Verwendung von Anbietern und/oder Cloud-Diensten, die die Übermittlung von Daten ins Ausland erfordern), werden angemessene Garantien für die Übermittlung personenbezogener Daten in ein Drittland ermittelt, die je nach Umstand Folgendes umfassen können: Überprüfung der Existenz von Angemessenheitsbeschlüssen der Europäischen Kommission, Ausführung von Standardvertragsklauseln und/oder verbindlichen Unternehmensregeln, Überprüfung der Annahme ergänzender Maßnahmen in Umsetzung der Empfehlung 01/2020 EDPB.

7. Aufbewahrungszeiträume für Daten

Der Verantwortliche behält personenbezogene Daten nur für die Zeiträume, die notwendig sind, um die in diesem Dokument angegebenen Zwecke zu verfolgen, oder für die in bestimmten Vorschriften vorgesehenen Zeitrahmen.

Personenbezogene Daten, die zum Zwecke der "Erbringung der Dienstleistung" verarbeitet werden, werden für einen Zeitraum von nicht mehr als 10 Jahren aufbewahrt;
Personenbezogene Daten, die zum Zwecke der "Zahlungen und Abrechnung" verarbeitet werden, werden für einen Zeitraum von nicht mehr als 10 Jahren aufbewahrt (art. 2220 c.c.)
Personenbezogene Daten, die zu Direct-Marketing-Zwecken verarbeitet werden, werden für einen Zeitraum von nicht mehr als 2 Jahren aufbewahrt, oder bis der Datensubjekt der Verarbeitung widerspricht.
Die Dauer der Persistierung einzelner Cookies wird in der "Cookie-Richtlinie" mitgeteilt;
Ungeachtet der Möglichkeit des Verantwortlichen, personenbezogene Daten für den Zeitraum aufzubewahren, der nach italienischem Recht zum Zwecke des "Rechtsschutzes" seiner Interessen vorgesehen und zulässig ist (art. 2946 und 2947 c1, c.3 c.c.).

Nach Ablauf solcher Aufbewahrungszeiträume werden personenbezogene Daten gelöscht oder anonymisiert, sofern sie nicht für weitere Zwecke aufgrund angemessener rechtlicher Grundlagen aufbewahrt werden.

8. Empfänger

Personenbezogene Daten, die vom Verantwortlichen erhoben wurden, können zu Zwecken der Ausführung der oben angegebenen Ziele an die folgenden Kategorien von Personen mitgeteilt oder zugänglich gemacht werden:

Mitarbeiter und Mitarbeiter, die den Verantwortlichen bei Verarbeitungsvorgängen unterstützen, vorbehaltlich ausdrücklicher Genehmigung für die Verarbeitung und möglicherweise unter Ausführung von Vertraulichkeitsvereinbarungen;
Personen, die Outsourcing-Dienste im Namen des Verantwortlichen erbringen, als Auftragsverarbeiter: Cloud-Computing-Dienstanbieter, Freiberufler, Unternehmen oder professionelle Firmen, die Assistenz- und Beratungsleistungen für den Verantwortlichen erbringen, oder Personen, die mit Hosting- und technischen Wartungsarbeiten beauftragt sind, einschließlich Softwarewartung, Netzwerkgeräte und elektronische Kommunikationsnetze;
Unabhängige Datenverantwortliche, an die die Weitergabe von Daten erforderlich ist, um den von der betroffenen Person angeforderten Dienst zu erbringen.
Unabhängige Datenverantwortliche in Verfolgung ihrer eigenen Zwecke (vorbehaltlich der Zustimmung der betroffenen Person);
Öffentliche Behörden, falls eine solche Mitteilung gesetzlich vorgeschrieben ist.

9. Rechte der betroffenen Person

Jederzeit kann die betroffene Person auf die Informationen über sie zugreifen und deren Berichtigung, Löschung, Einschränkung der Verarbeitung und Portabilität anfordern. Sie können auch ganz oder teilweise gegen die Verarbeitung Einspruch erheben und haben das Recht, nicht automatisierter Entscheidungsfindung in Bezug auf natürliche Personen unterworfen zu werden, einschließlich Profiling.

Um die in den Artikeln 15-22 der DSGVO genannten Rechte auszuüben, kann die betroffene Person den Verantwortlichen in der im Abschnitt "Kontakte" angegebenen Weise kontaktieren (siehe art. 10). Der Verantwortliche muss auf die Anfrage innerhalb von 1 Monat antworten oder mögliche Verzögerungen in der Antwort mitteilen, falls es sich um zahlreiche und/oder komplexe Anfragen handelt (die Verlängerung darf auf keinen Fall 2 Monate überschreiten). In jedem Fall hat die betroffene Person immer das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde (Datenschutzbehörde) gemäß Artikel 77 der Verordnung einzureichen, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen die geltenden Vorschriften verstößt.

Kontakte

Weitere Informationen über die Verarbeitung personenbezogener Daten oder die Einreichung einer Anfrage zur Ausübung von Rechten erhalten Sie vom Verantwortlichen unter der E-Mail-Adresse: kronplatztouristik@pec.bz.it

AI Kosmo

[X]. Verarbeitung personenbezogener Daten über den virtuellen Assistenten KOSMO

Auf unserer Website ist ein virtueller Assistent aktiv, um Sie während der Navigation zu unterstützen, Ihnen Informationen über unsere Dienstleistungen bereitzustellen und Ihre Fragen zu beantworten. Dieser Dienst wird von AI KOSMO S.R.L. entwickelt, die gemäß Art. 28 DSGVO auf Grundlage eines entsprechenden Vertrags, der Aufgaben und Verantwortlichkeiten regelt, als Auftragsverarbeiter tätig ist. Verantwortlicher für die über den Chatbot von Ihnen bereitgestellten Daten bleibt hotelander.com

Der Chatbot nutzt KI-Systeme auf Basis von Large Language Models (LLM), um Ihre Anfragen zu verstehen und Ihnen relevante Antworten zu liefern.

a. Kategorien der verarbeiteten Daten

Die Personenbezogenen Daten:

· Vom Nutzer aktiv bereitgestellte Daten: sämtliche Informationen, die Sie freiwillig in das Chatfenster eingeben, wie z. B. Fragen, Informationsanfragen, Vor- und Nachname, Kontaktdaten oder Aufenthaltspräferenzen;

· Sitzungsbezogene technische Daten: IP-Adresse, Browsertyp, Betriebssystem sowie weitere technische Daten, die für das ordnungsgemäße technische Funktionieren des Chats erforderlich sind;

· Inhalt der Konversationen: der vollständige Text Ihrer Interaktionen mit dem Chatbot.

b. Zwecke und Rechtsgrundlage der Verarbeitung Ihre personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

· Erbringung von Chat-Unterstützungs- und Supportleistungen: zur Beantwortung Ihrer Anfragen, zur Unterstützung bei der Navigation und zur Bereitstellung der erforderlichen Informationen über unsere Dienstleistungen. Rechtsgrundlage dieser Verarbeitung ist das berechtigte Interesse des Verantwortlichen an der Bereitstellung eines effizienten und unmittelbaren Kundenservices. Bei vorvertraglichen Anfragen (z. B. Angebote, Verfügbarkeiten für Buchungen) ist die Rechtsgrundlage die Durchführung vorvertraglicher Maßnahmen.

· Verbesserung des Dienstes und Training von KI-Algorithmen: zur Analyse der Konversationen (soweit möglich in aggregierter und anonymisierter Form), um die Genauigkeit der Antworten des Chatbots und die Effektivität des Dienstes zu verbessern. Rechtsgrundlage dieser Verarbeitung ist das berechtigte Interesse des Verantwortlichen und des Auftragsverarbeiters an der Verbesserung der Technologie und der Qualität des angebotenen Dienstes, sofern nicht Ihre Interessen oder Grundrechte und Grundfreiheiten überwiegen.

Die Bereitstellung der Daten für Zweck Nr. 1 ist freiwillig, jedoch erforderlich, um den Chatbot-Dienst nutzen zu können. Für Zweck Nr. 2 können Sie jederzeit Widerspruch einlegen, ohne dass dadurch die Möglichkeit beeinträchtigt wird, den Chatdienst weiterhin zu nutzen.

c. Verarbeitung Modalitäten und Sicherheitsmaßnahmen

Die Verarbeitung erfolgt mittels IT- und telematischer Instrumente. In Übereinstimmung mit den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) werden geeignete technische und organisatorische Maßnahmen ergriffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich der Pseudonymisierung oder Anonymisierung der Daten, soweit möglich, insbesondere für die Zwecke des Algorithmus-Trainings.

d. Speicherdauer der Daten

Ihre personenbezogenen Daten werden gemäß dem Grundsatz der Speicherbegrenzung aufbewahrt:

· Für Zwecke der Unterstützung werden die Konversationsprotokolle für den Zeitraum aufbewahrt, der strikt erforderlich ist, um Ihre Anfrage zu bearbeiten, und in jedem Fall nicht länger als 6 Monate ab Beendigung der Chatsitzung, es sei denn, das Entstehen eines Rechtsstreits rechtfertigt eine weitere Aufbewahrung.

· Für Zwecke des Algorithmus-Trainings werden personenbezogene Daten in einer Form gespeichert, die Ihre Identifizierung nur für den Zeitraum ermöglicht, der für die Analyse und die Gewinnung von Informationen zur Verbesserung des Models unbedingt erforderlich ist; anschließend werden sie irreversibel anonymisiert oder gelöscht. Dieser Zeitraum überschreitet in keinem Fall 90 Tage.

e. Weitergabe der Daten und Datenübermittlungen

Die über den Chatbot erhobenen Daten werden von unserem Anbieter AI KOSMO verarbeitet, der als Auftragsverarbeiter benannt ist. AI KOSMO kann sich zur Erbringung des Dienstes weiterer Unterauftragsverarbeiter (z. B. Cloud-Dienstleister) bedienen, unter Einhaltung der in Art. 28 DSGVO vorgesehenen Verpflichtungen. Die Nutzung solcher Dienste kann die Übermittlung Ihrer personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums (EWR) beinhalten. Eine solche Übermittlung erfolgt ausschließlich bei Vorliegen geeigneter Garantien, wie etwa Angemessenheitsbeschlüssen der Europäischen Kommission oder dem Abschluss von Standardvertragsklauseln.

f. Einsatz von Systemen künstlicher Intelligenz

Der Chatbot-Dienst nutzt Technologien der künstlichen Intelligenz, insbesondere LLMs. Im Einklang mit den Transparenzgrundsätzen der europäischen KI-Verordnung (AI-Act), der DSGVO sowie des nationalen Gesetzes Nr. 132/2025 möchten wir Ihnen folgende Informationen bereitstellen:

· Transparenzpflicht: Wir informieren Sie darüber, dass Sie mit einem System interagieren, das KI-Komponenten verwendet. Dieses System wurde entwickelt, um das Hotelpersonal bei der Auslegung und Weiterleitung Ihrer Anfragen zu unterstützen.

· Funktionsweise und Systemlogik: Das KI-System analysiert den Text Ihrer Anfragen, um deren Inhalt und Zweck zu verstehen und sie an die zuständige Abteilung weiterzuleiten.

· Menschliche Aufsicht und keine automatisierten Entscheidungen: Wir garantieren, dass das KI-System als unterstützendes Instrument für unser Personal fungiert. Es werden keine Entscheidungen, die rechtliche Wirkungen entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen (gemäß Art. 22 DSGVO), ausschließlich automatisiert getroffen. Jede komplexe Anfrage, Belastung oder relevante Entscheidung unterliegt der Überprüfung und Validierung durch einen menschlichen Mitarbeiter.

· Fairness und Nichtdiskriminierung: Die KI-Systeme wurden entwickelt und werden regelmäßig überwacht, um das Risiko von Fehlern und diskriminierenden Effekten zu minimieren, im Einklang mit bewährten Verfahren und den gesetzlichen Anforderungen

g. Rechte der betroffenen Person im Zusammenhang mit dem Einsatz von KI

Zusätzlich zu den allgemeinen Rechten gemäß DSGVO (Auskunft, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch) weisen wir darauf hin, dass Ihnen im Zusammenhang mit dem Einsatz von Systemen künstlicher Intelligenz besondere Rechte zustehen, im Einklang mit den Vorgaben der Aufsichtsbehörden:

· Recht auf Berichtigung: Solten Sie feststellen, dass die vom Chatbot generierten, Sie betreffenden Informationen unrichtig sind, haben Sie das Recht, deren Berichtigung zu verlangen;

· Recht auf Löschung: Ist eine Berichtigung der unrichtigen Daten technisch nicht möglich, haben Sie das Recht, deren Löschung zu verlangen;

· Widerspruchsrecht: Sie können jederzeit der Verarbeitung Ihrer Daten zum Zweck des Algorithmus-Trainings auf Grundlage des berechtigten Interesses widersprechen. Zur Ausübung Ihrer Rechte können Sie sich an hotelander.com unter den in dieser Datenschutzerklärung angegebenen Kontaktdaten wenden.