Datenschutzerklärung

Zuletzt aktualisiert: April 2026 (Marktplatz & Buchungsdaten ergänzt) · Gemäß DSGVO, BDSG und TTDSG

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Urlaubfinder365.de
Andre Meier
Dieselstraße 18, 74372 Sersheim, Deutschland
E-Mail: info@urlaubfinder365.de

2. Erhobene Daten & Zweck

a) Server-Logfiles

Bei jedem Aufruf unserer Website erhebt unser Hosting-Anbieter (Vercel Inc., USA) automatisch Informationen, die dein Browser übermittelt: IP-Adresse, Datum/Uhrzeit, aufgerufene Seite, Browsertyp, Betriebssystem. Diese Daten dienen der technischen Bereitstellung und Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

b) Registrierung & Benutzerkonto

Wenn du ein Konto erstellst, verarbeiten wir E-Mail-Adresse und Passwort (verschlüsselt). Grundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Für Authentifizierung und Datenspeicherung nutzen wir Supabase (Supabase Inc., 970 Toa Payoh North, Singapur) mit Datenbankservern in der EU (Frankfurt, AWS eu-central-1). Supabase ist als Auftragsverarbeiter gemäß Art. 28 DSGVO eingebunden. Daten werden gelöscht, sobald du dein Konto löschst (Anfrage an info@urlaubfinder365.de). Weitere Infos: supabase.com/privacy.

Für Push-Benachrichtigungen (App) nutzen wir Firebase Cloud Messaging der Google LLC. Dabei werden ausschließlich anonymisierte Geräte-Token übertragen.

Verarbeitete Daten: E-Mail-Adresse, verschlüsseltes Passwort, Zeitstempel der Registrierung, gespeicherte Reisepräferenzen und Wunschlisten. Speicherdauer: Bis zur Kontolöschung auf Anfrage.

b2) Anbieter-Registrierung (Marktplatz)

Lokale Guides und Veranstalter können sich als Anbieter auf unserem Marktplatz registrieren. Bei der Registrierung verarbeiten wir: Name, E-Mail-Adresse, Passwort (verschlüsselt), Telefonnummer (freiwillig), Standort, Kategorie der Angebote sowie eine Kurzbeschreibung. Diese Daten werden benötigt, um das Anbieter-Profil zu erstellen und die Freischaltung zu prüfen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Speicherdauer: Bis zur Löschung des Anbieter-Accounts auf Anfrage.

c) Newsletter (Brevo)

Mit deiner ausdrücklichen Einwilligung kannst du unseren kostenlosen Newsletter mit Urlaubsangeboten, Preisalarmen und Urlaubstipps abonnieren. Für den Versand nutzen wir Brevo (ehemals Sendinblue), betrieben von der Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin.

Verarbeitete Daten: E-Mail-Adresse, Name (freiwillig), Zeitstempel der Anmeldung und Bestätigung, IP-Adresse.

Double-Opt-in: Nach Eingabe deiner Adresse erhältst du eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wirst du eingetragen.

Rechtsgrundlage: Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO. Du kannst diese jederzeit widerrufen – über den Abmelde-Link in jeder Newsletter-E-Mail oder per E-Mail an info@urlaubfinder365.de.

Mit Brevo besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Weitere Infos: brevo.com/de/legal/privacypolicy. Unsere Newsletter enthalten Öffnungs- und Klick-Tracking zur Optimierung des Angebots (Art. 6 Abs. 1 lit. f DSGVO). Das Tracking kannst du durch Deaktivieren des Bildladens in deinem E-Mail-Programm verhindern.

c2) Buchungen über den Aktivitäten-Marktplatz

Wenn du eine Tour oder Aktivität über unseren Marktplatz buchst, verarbeiten wir folgende Daten zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):

Name, E-Mail-Adresse, Telefonnummer (freiwillig)
Buchungsdatum, Anzahl der Personen, gebuchte Aktivität
Buchungspreis, Zahlungsstatus
Individueller QR-Code (Buchungsnachweis)

Weitergabe an den lokalen Anbieter: Zur Durchführung der gebuchten Leistung übermitteln wir Name, E-Mail-Adresse, Buchungsdatum und Personenanzahl an den jeweiligen lokalen Anbieter. Die Weitergabe ist zur Vertragserfüllung erforderlich (Art. 6 Abs. 1 lit. b DSGVO).

Zahlungsabwicklung (Stripe): Zahlungen werden über Stripe, Inc.(354 Oyster Point Blvd, South San Francisco, CA 94080, USA) abgewickelt. Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Die Übertragung erfolgt auf Basis der EU-Standardvertragsklauseln. Weitere Infos: stripe.com/de/privacy.

Speicherdauer Buchungsdaten: 10 Jahre gemäß § 147 AO (steuerrechtliche Aufbewahrungspflicht).

d) Cookies, localStorage & Einwilligung

Wir setzen keine Drittanbieter-Tracking-Cookies ohne Einwilligung. Beim ersten Besuch wird ein Cookie-Banner angezeigt, über den du deine Einwilligung erteilen, einschränken oder ablehnen kannst. Deine Wahl wird im localStorage deines Browsers unter dem Schlüssel uf365-consent gespeichert. Die Einwilligung gilt für 12 Monate und kann jederzeit über das Cookie-Banner (erneuter Aufruf über den Link in der Fußzeile) oder durch Löschen des Browser-Speichers widerrufen werden.

Verwendete Speichereinträge:

Schlüssel	Typ	Zweck	Laufzeit	Rechtsgrundlage
uf365-consent	localStorage	Speichert deine Cookie-Einwilligung (notwendig / statistik / marketing)	12 Monate	Art. 6 Abs. 1 lit. c DSGVO, § 25 TTDSG
uf365-a11y	localStorage	Barrierefreiheits-Einstellungen (Textgröße, Kontrast, Filter) – rein lokal, keine Übertragung	Bis zur manuellen Löschung	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Cookie-Kategorien:

Notwendig – technisch erforderlich für den Betrieb (immer aktiv, keine Einwilligung nötig)
Statistik – anonymisierte Nutzungsanalyse via Vercel Analytics (kein Cookie, kein personenbezogenes Tracking; Art. 6 Abs. 1 lit. f DSGVO). Nur bei Einwilligung aktiv.
Marketing – Werbe-Cookies von Google AdSense zur Anzeige personalisierter Werbung. Wird nur mit ausdrücklicher Einwilligung aktiviert.

Du kannst deine Einwilligung jederzeit widerrufen, indem du die Seite neu lädst und im erneut erscheinenden Cookie-Banner „Nur notwendige" wählst, oder indem du den localStorage-Eintrag uf365-consent über die Browser-Entwicklertools (F12 → Anwendung → Lokaler Speicher) löschst.

2e. Barrierefreiheits-Widget

Über das ♿ Barrierefreiheits-Symbol (unten rechts auf jeder Seite) kannst du Anzeigeeinstellungen wie Textgröße, Kontrast oder Farbblindheitsfilter anpassen. Diese Einstellungen werden ausschließlich lokal im localStorage deines Browsers gespeichert (Schlüssel: uf365-a11y) und werden nicht an unsere Server oder Dritte übertragen. Es werden keinerlei personenbezogene Daten erhoben. Die Einstellungen kannst du jederzeit über „Alle Einstellungen zurücksetzen" im Widget löschen.

3. Drittanbieter & Dienste

Vercel Analytics & Speed Insights

Anonymisierte Performance-Daten; kein personenbezogenes Tracking. Anbieter: Vercel Inc., San Francisco, USA.

Supabase (Authentifizierung & Datenbank)

Nutzerkonten, Buchungsdaten, Anbieterprofile und Community-Inhalte werden in der Supabase-Datenbank gespeichert (Serverstandort: EU / Frankfurt, AWS eu-central-1). Supabase Inc. ist als Auftragsverarbeiter gemäß Art. 28 DSGVO eingebunden. Weitere Infos: supabase.com/privacy.

Stripe (Zahlungsabwicklung)

Buchungszahlungen über den Marktplatz werden über Stripe, Inc. (USA) abgewickelt. Stripe ist PCI-DSS-zertifiziert. Zahlungsdaten werden nicht auf unseren Servern gespeichert. Die Übertragung erfolgt auf Basis der EU-Standardvertragsklauseln. Weitere Infos: stripe.com/de/privacy.

specials.de (Ypsilon.Net AG) – Pauschalreisen, Last Minute & All Inclusive

Urlaubsangebote für Pauschalreisen, Last Minute, All Inclusive und Frühbucher werden über die API von specials.de, einer Marke der Ypsilon.Net AG, geladen. Dabei werden technische Anfragedaten (IP-Adresse, Anfrageparameter) an deren Server übertragen. Buchungen erfolgen direkt beim jeweiligen Reiseveranstalter. Es gelten die Datenschutzbestimmungen des jeweiligen Veranstalters und der Ypsilon.Net AG.

travianet GmbH – Kreuzfahrten

Kreuzfahrtenangebote und das zugehörige Buchungssystem werden von der travianet GmbH (travianet.de) bereitgestellt. Beim Aufruf der Kreuzfahrten-Seite und beim Buchungsvorgang werden technische Daten (IP-Adresse, Buchungsparameter) an travianet übertragen. Für den Buchungsvorgang gelten die Datenschutzbestimmungen der travianet GmbH und des jeweiligen Kreuzfahrtveranstalters.

Tiqets B.V. – Aktivitäten & Erlebnisse

Auf Städtereise- und Aktivitäten-Seiten werden Touren, Tickets und Erlebnisse über die API der Tiqets B.V., Singel 540, 1017 AZ Amsterdam, Niederlande, geladen. Beim Laden von Tiqets-Inhalten werden technische Anfragedaten (IP-Adresse, Seitenparameter) an Tiqets übertragen. Buchungen erfolgen direkt auf der Tiqets-Plattform und unterliegen deren Datenschutzrichtlinie.

Google AdSense (Werbung)

Wir nutzen Google AdSense, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, zur Einblendung von Werbeanzeigen. Google AdSense verwendet Cookies und Web Beacons, um Werbung auf Basis deiner bisherigen Besuche auf unserer und anderen Websites zu schalten (personalisierte Werbung).

Verarbeitete Daten: IP-Adresse, Cookie-Kennungen, Geräte- und Browser-Informationen, Seitenaufruf-Daten. Google kann diese Informationen mit deinem Google-Konto verknüpfen, falls du eingeloggt bist.

Rechtsgrundlage: Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO über unser Cookie-Banner (Kategorie „Marketing"). Ohne deine Einwilligung werden keine personalisierten Werbeanzeigen geschaltet.

Opt-out: Du kannst die personalisierte Werbung in den Google Ads-Einstellungen deaktivieren oder unter aboutads.info verwalten.

Weitere Informationen zum Datenschutz bei Google: policies.google.com/privacy.

adup Technology GmbH (Werbung)

Auf einigen Seiten werden Werbeanzeigen über adup Technology GmbH, Schönhauser Allee 141, 10437 Berlin, eingebunden. Dabei werden technische Anfragedaten (IP-Adresse, Seitenkontext) an deren Server übertragen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Weitere Infos: adup-tech.com/datenschutz.

Unsplash (Bilder)

Einige Bilder werden von Unsplash-Servern geladen. Dabei kann deine IP an Unsplash (USA) übertragen werden.

Google Fonts / Schriftarten

Die Hauptschrift (Inter) wird lokal eingebettet (self-hosted). Ergänzende Schriften (Plus Jakarta Sans, Font Awesome) werden asynchron von Google Fonts bzw. Cloudflare CDN geladen. Dabei kann deine IP an Google (USA) übertragen werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einheitlicher Darstellung).

Anthropic Claude API (KI-Inhaltserstellung – nur Admin)

Im internen Admin-Bereich nutzen wir die Claude API der Anthropic, PBC (548 Market St, San Francisco, CA 94104, USA), um SEO-Texte und Konkurrenz-Analysen zu generieren. Dabei werden ausschließlich redaktionelle Eingaben (z.B. Reisezielnamen, Keywords) an Anthropic übertragen — keine personenbezogenen Daten von Website-Besuchern.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Content-Pflege). Übertragung in die USA auf Basis der EU-Standardvertragsklauseln.

Weitere Infos: anthropic.com/legal/privacy

Brevo (Newsletter-Versand)

Newsletter-Anmeldungen werden über die Sendinblue/Brevo SAS, 7 rue de Madrid, 75008 Paris, Frankreich, verarbeitet. Brevo speichert E-Mail und Anmelde-Zeitstempel. Wir nutzen Double-Opt-In: Du erhältst eine Bestätigungsmail vor Aktivierung. Eine Abmeldung ist jederzeit über den Link in jeder Mail möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Weitere Infos: brevo.com/de/legal/privacypolicy

4. Datenübertragung in Drittländer

Einige der genannten Dienstleister sitzen in den USA. Die Übertragung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCC) sowie des EU-US Data Privacy Framework, soweit anwendbar.

5. Deine Rechte

Du hast gemäß DSGVO folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)

Zur Ausübung deiner Rechte wende dich an: info@urlaubfinder365.de

6. Beschwerderecht bei der Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren. Die für deinen Wohnort zuständige Behörde findest du unter: bfdi.bund.de.

7. Datensicherheit

Unsere Website nutzt SSL/TLS-Verschlüsselung (HTTPS). Passwörter werden ausschließlich verschlüsselt gespeichert. Wir ergreifen technische und organisatorische Maßnahmen, um deine Daten vor unbefugtem Zugriff zu schützen.

8. Automatisierte Entscheidungsfindung

Wir treffen keine automatisierten Einzelentscheidungen gemäß Art. 22 DSGVO, die rechtliche oder ähnlich erhebliche Auswirkungen auf dich haben. Es findet kein automatisiertes Profiling statt.

9. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen – etwa bei neuen Diensten oder Gesetzesänderungen. Die jeweils aktuelle Version ist stets unter urlaubfinder365.de/datenschutz/ abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Impressum AGB Zurück zur Startseite