Skip to main content

Datenschutzerklärung

Zuletzt aktualisiert: Mai 2026

Mit der Nutzung der Rapid Hotel System App („App" und/oder „Service") oder anderer Dienste der visibleIT GmbH („visibleIT") stimmen Sie unseren Richtlinien zur Erhebung, Nutzung und Offenlegung personenbezogener Daten gemäß dieser Datenschutzerklärung zu.

Rollen nach DSGVO

Rapid Hotel System ist eine B2B-Plattform. Es bestehen zwei verschiedene Beziehungen:

  • Account-Daten (E-Mail, Passwort, Name, Sprache, Login-Protokolle, Push-Tokens): Die visibleIT GmbH ist Verantwortliche.
  • Hotel-verwaltete Daten innerhalb eines Hotel-Workspaces (Logbucheinträge, Gastinteraktionen, Reparaturberichte, Zimmerinspektionen, Personalakten, Verkaufsanfragen, hochgeladene Dokumente): Das Hotel, das den Workspace betreibt, ist Verantwortlicher; die visibleIT GmbH ist Auftragsverarbeiter nach Weisung des Hotels auf Grundlage eines Auftragsverarbeitungsvertrags (AVV). Hotels sind verantwortlich für Rechtsgrundlage, Aufbewahrung und Wahrnehmung von Betroffenenrechten der Daten, die in ihren Workspace eingegeben werden.

Informationen von Nutzern mit Account

Beim Anlegen eines Accounts erfassen wir grundlegende Informationen. Sie wählen ein eigenes Passwort und geben eine gültige E-Mail-Adresse an. Optional können Sie weitere Daten ergänzen, z. B. „Personenbezogene Nutzerdaten".

„Personenbezogene Nutzerdaten" sind Informationen, die – allein oder zusammen mit anderen Informationen – einen Nutzer persönlich identifizieren. Beispiele: Benutzername und Passwort, E-Mail-Adresse, echter Name, Foto. Personenbezogene Nutzerdaten umfassen personenbezogene Daten im Sinne der DSGVO.

Aggregierte, nicht-personenbezogene Daten gehören nicht dazu. Solche Daten dürfen wir zur Optimierung unserer Website und unseres Services verwenden.

Warum wir diese Informationen erheben

  • Um Ihren Account zu erstellen und die angeforderten Dienste bereitzustellen.
  • Um Sie auf Rapid Hotel System anhand Ihres Benutzernamens zu identifizieren.
  • Um Ihr Profil auszufüllen und auf Ihren Wunsch mit anderen Nutzern zu teilen.
  • Um mit Ihnen per E-Mail zu kommunizieren – nur wenn Sie zugestimmt haben und nur zu den vereinbarten Zwecken.
  • Um Empfehlungen für Sie zu generieren und die Nutzung des Dienstes besser zu verstehen.
  • Aus Sicherheitsgründen oder zur Untersuchung von Betrug bzw. Angriffen auf Rapid Hotel System oder unsere Nutzer.
  • Zur Erfüllung gesetzlicher Pflichten, zum Schutz unseres geistigen Eigentums und zur Durchsetzung unserer Nutzungsbedingungen.
  • Wir beschränken die Nutzung Ihrer personenbezogenen Daten auf die hier genannten Zwecke. Für andere Zwecke holen wir Ihre Einwilligung ein.

In Hotel-Workspaces verarbeitete Datenkategorien

Wenn ein Hotel den Service nutzt, können je nach aktivierten Modulen folgende Kategorien personenbezogener Daten im Workspace verarbeitet werden. Das Hotel ist Verantwortlicher; visibleIT verarbeitet im Auftrag.

  • Personalakte (HR-Modul): Stammdaten der Mitarbeiter (vollständiger rechtlicher Name, Geburtsdatum, Adresse, Notfallkontakt), Beschäftigungsdaten (Position, Abteilung, Gehalt, Vertragsart, Eintrittsdatum), Steuerkennzeichen (Steuer-ID, Sozialversicherungsnummer, US SSN, US Filing Status, Steuerklasse), Bankverbindung (IBAN, BIC, US ABA-Routing, Kontonummer), Krankenversicherungsdaten (Versicherer, Mitgliedsnummer), Arbeitserlaubnis und I-9-Dokumentation, Staatsangehörigkeit, Familienstand, Anzahl der Kinder sowie hochgeladene PDF-Dokumente (Verträge, Ausweiskopien, Zertifikate).
  • Besondere Kategorien (Art. 9 DSGVO): Das Feld „Religion" (für Kirchensteuerveranlagung) ist eine besondere Kategorie. Es wird nur erhoben, wenn das Hotel es zur Lohnsteuer-Verarbeitung benötigt, und nur mit Rechtsgrundlage Art. 9 Abs. 2 lit. b DSGVO (Arbeitsrecht). Krankenversicherungsdaten werden auf derselben Grundlage verarbeitet.
  • Audit-Protokolle: Jede Aktion an einer Personalakte wird mit Akteur, Zeitstempel und Vorher-/Nachher-Werten protokolliert. Aufbewahrung: 7 Jahre (gesetzliche Personalakten-Aufbewahrungspflicht).
  • Sales / CRM (sobald das Modul ausgeliefert wird): ein- und ausgehende E-Mails zwischen Hotel und Interessenten einschließlich Namen, Kontaktdaten und allen vom Kunden in der Anfrage übermittelten Daten.
  • Operative Module (Logbuch, Reparaturen, Aufgaben, Inspektionen, Fundsachen, Pakete, Umfragen, Dateien): können Gastnamen, Zimmernummern, Fotos, Kommentare des Personals und vom Personal hochgeladene Dateianhänge enthalten.
  • Account-Telemetrie: Anmelde-IP-Adresse, Geräte-Fingerabdruck für Inaktivitäts-Logout, Push-Notification-Tokens, Sprachpräferenz. Verantwortliche: visibleIT.

Aufbewahrung

  • Aktive Accounts: Account-Daten werden während der Aktivität des Accounts gespeichert.
  • Account-Löschung: Bei Selbst-Löschung werden Account-Daten innerhalb von 30 Tagen entfernt. Hotel-Workspaces, in denen der Nutzer Mitglied war, behalten die Personalakte bis zu 3 Jahre (gesetzliche Personalakten-Aufbewahrung), dann automatische Löschung – einschließlich Aktendaten, hochgeladener Dokumente und Speicherobjekte.
  • Audit-Protokolle: 7 Jahre (Personalakten-Audit), 2 Jahre (allgemeines Superadmin-Audit-Log).
  • Hotel-verwaltete Daten: Die Aufbewahrungsdauer für Workspace-Daten legt das Hotel als Verantwortlicher fest. visibleIT löscht Hotel-Daten nicht ohne Anweisung des Hotels oder gesetzliche Verpflichtung.
  • Inaktive Hotels: Hotels können als inaktiv markiert werden; Daten bleiben bestehen, bis der Hotel-Admin die Löschung anfordert oder 90 Tage nach finaler Schließungsmitteilung.

Definitionen nach DSGVO

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Betroffene Person: Eine identifizierte oder identifizierbare natürliche Person.

Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten.

Pseudonymisierung: Verarbeitung personenbezogener Daten so, dass diese ohne zusätzliche Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.

Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Empfänger: Eine natürliche oder juristische Person, der personenbezogene Daten offengelegt werden.

Dritter: Eine natürliche oder juristische Person außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und befugten Personen.

Einwilligung: Jede freiwillig, in informierter Weise und unmissverständlich abgegebene Willensbekundung der betroffenen Person.

Verantwortlicher

visibleIT GmbH
Hunoldstr. 13
34479 Breuna
Deutschland

E-Mail: [email protected]

Rechte der betroffenen Person

Für Account-Daten (visibleIT als Verantwortliche) können Betroffene ihre Rechte direkt bei uns geltend machen. Für Workspace-Daten (Hotel als Verantwortlicher) sollten Anfragen an das Hotel gerichtet werden; visibleIT unterstützt Hotels gemäß AVV bei der Erfüllung solcher Anfragen.

Auskunftsrecht

Jede betroffene Person hat das Recht, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Das Personalakte-Modul enthält einen integrierten DSGVO-Art.-15/20-Export: ein Ein-Klick-ZIP-Archiv mit dem vollständigen Datensatz (Stammdaten, Beschäftigung, alle hochgeladenen Dokumente, vollständiges Audit-Log) in maschinenlesbarer Form.

Recht auf Berichtigung

Jede betroffene Person hat das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen.

Recht auf Löschung („Recht auf Vergessenwerden")

Jede betroffene Person hat das Recht, Löschung zu verlangen – vorbehaltlich gesetzlicher Aufbewahrungspflichten (z. B. Personalakten-Aufbewahrung).

Recht auf Datenübertragbarkeit

Jede betroffene Person hat das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten. Der oben genannte ZIP-Export erfüllt dieses Recht.

Widerspruchsrecht

Jede betroffene Person hat das Recht, jederzeit aus Gründen ihrer besonderen Situation gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen.

Sicherheitsmaßnahmen

  • Nur authentifizierter Zugriff: Personalakte-Dokumente und andere sensible Medien werden über Firebase Storage mit der authentifizierten Sitzung des Nutzers abgerufen – keine teilbaren öffentlichen URLs.
  • Verschlüsselung im Transit: Alle Kommunikation per TLS 1.2 oder höher.
  • Verschlüsselung im Ruhezustand: Standardmäßige At-Rest-Verschlüsselung von Google Cloud für Firestore und Cloud Storage.
  • Audit-Protokoll: Jede Aktion in der Personalakte wird mit Akteur, Zeitstempel und Vorher-/Nachher-Werten protokolliert.
  • Zugriffskontrollen: Granulare CRUD-Berechtigungen pro Modul, hotelweiter Kill-Switch, optionale MFA (geplant).
  • Secrets-Management: Alle Drittanbieter-API-Tokens (Postmark etc.) im Google Cloud Secret Manager.

Internationale Datenübermittlung

Daten werden standardmäßig in Google Clouds Region europe-west3 (Frankfurt) gehostet. Einige operative Metadaten (Logging, Fehlerbericht) können in Googles globaler Infrastruktur verarbeitet werden, abgesichert durch Googles Standardvertragsklauseln für Übermittlungen außerhalb des EWR.

Drittanbieter-Dienste (Unterauftragsverarbeiter)

Google Cloud / Firebase

Wir nutzen Firebase Authentication, Firestore, Cloud Storage, Cloud Functions, Cloud Scheduler und Crashlytics für den Betrieb des Service. Alle Firebase-Dienste laufen auf Google Cloud Platform. Daten werden standardmäßig in europe-west3 (Frankfurt) gespeichert. Es gilt das Data Processing Addendum von Google.

Google Vertex AI (Gemini)

Wir nutzen Googles Vertex-AI-Gemini-Modelle für KI-gestützte Funktionen (Erstellung von Umfrage- und Inspektions-Templates und – sobald ausgeliefert – Analyse von Verkaufsanfragen). Prompts können Hotel-Inhalte enthalten; Ausgaben werden als strukturierte Daten zurückgegeben. An Vertex AI gesendete Daten werden gemäß den Datenschutzbestimmungen von Google Cloud verarbeitet und nicht von Google für das Modelltraining verwendet. Hosting in Google Clouds globaler Vertex-AI-Infrastruktur mit EU-Datenresidenz, sofern verfügbar.

Postmark E-Mail-Versand

Wir nutzen Postmark für transaktionalen E-Mail-Versand (Account-Verifizierung, Passwort-Reset, Personalakte-Zusammenfassungen, Hotel-Benachrichtigungen). Postmark verarbeitet E-Mail-Adressen und Nachrichteninhalte, soweit dies für den Versand in unserem Auftrag erforderlich ist. Es gilt das EU-Datenschutzprogramm von Postmark. Personalakte-Zusammenfassungs-E-Mails enthalten ausschließlich Zähler und einen Deep-Link – keine Namen oder Feldwerte.

Stripe Zahlungsabwicklung

Wir nutzen Stripe für Zahlungs-, Analyse- und andere Geschäftsdienste. Stripe erhebt Identifikationsinformationen über Geräte, die seine Dienste nutzen, u. a. zur Betrugserkennung.

Google Analytics

Diese Website nutzt Google Analytics. Wir verwenden die Funktion „_anonymizeIp" zur IP-Anonymisierung. Ihre IP-Adresse wird innerhalb der EU-/EWR-Mitgliedsstaaten gekürzt.

Datenschutzerklärungen Dritter

Auftragsverarbeitungsvertrag (AVV)

Hotels, die den Service zur Verwaltung von Personalakten, Verkaufsanfragen oder Gastdaten einsetzen, sind nach DSGVO Verantwortliche. Wir stellen auf Anfrage einen AVV zur Formalisierung des Auftragsverarbeiterverhältnisses bereit. Kontakt: [email protected] – einen unterzeichneten AVV anfordern, bevor der Service produktiv eingesetzt wird.

Kontakt

Bei Fragen zu dieser Datenschutzerklärung erreichen Sie uns unter [email protected].