Pflichtinformationen nach Art. 13 / 14 DSGVO
Datenschutzerklärung
Wie wir Ihre personenbezogenen Daten in TravelControl verarbeiten — welche, wofür, wie lange.
1. Verantwortlicher
Intertours Reisen & Events GmbH
Hanauer Landstr. 172
60314 Frankfurt am Main
Telefon: +49 69 20747
E-Mail: security@intertours.de
Geschäftsführung: Katrin Will, Marc Will
HRB 118016 Amtsgericht Frankfurt am Main
2. Datenschutzbeauftragter
Externer Datenschutzbeauftragter: Datagap (datagap.de). Anfragen bitte an security@intertours.de.
3. Verarbeitungen, Zwecke und Rechtsgrundlagen
3.1 Plattform-Konten und Login
- Datenkategorien
- E-Mail-Adresse, Passwort-Hash, Login-Zeitstempel, Session-Cookies (technisch erforderlich, §25 Abs. 2 Nr. 2 TDDDG).
- Zweck
- Bereitstellung des Login-Zugangs zur TravelControl-Plattform.
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) bzw. lit. f (berechtigtes Interesse an sicherer Authentifizierung).
- Speicherdauer
- Bis Beendigung des Vertragsverhältnisses oder Konto-Löschung; Audit-Trails 12 Monate.
3.2 Stakeholder- und Hauptkontakt-Verwaltung
- Datenkategorien
- Anrede, Vorname, Nachname, Rolle, E-Mail, Telefon, Notizen pro Kontaktperson; Audit-Trail bei Hauptkontakt-Wechsel.
- Zweck
- Account-Management der Kundenbeziehungen, Kontakt-Pflege durch Intertours-CSM.
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an Beziehungs-Pflege; Interessenabwägung dokumentiert.
- Speicherdauer
- Während aktiver Kundenbeziehung; nach Ende: Audit-Trail 12 Monate, Stammdaten Löschung nach Sperrfristen.
3.3 Support-Ticket-Sentiment-Analyse
- Datenkategorien
- Ticket-Subject, Body-Auszug (max. 2000 Zeichen, PII vorab entfernt), abgeleiteter Sentiment-Score (-1 bis +1) und Label.
- Zweck
- Aggregierte Auswertung der Kundenzufriedenheit für das Account-Management; Frühwarnung bei sinkender Kundenstimmung.
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO mit dokumentierter Interessenabwägung. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist in Vorbereitung.
- Speicherdauer
- Sentiment-Score bis 90 Tage, danach in aggregierter Form (kein Einzelticket-Bezug). Roh-Tickets werden vor LLM-Call PII-bereinigt.
- Besonderheit
- Drittlandtransfer: Verarbeitung erfolgt durch Anthropic PBC (USA). Siehe Abschnitt 5.
3.4 Account-Health-Snapshot
- Datenkategorien
- 7 Signale pro Kunden-Org (Plattform-Login-Frequenz, Initiativen-Status, QBR-Adherence, Sentiment, Ticket-Trend, Hauptkontakt-Wechsel-Anzahl). Daten primär aggregiert pro Kunden-Org, nicht pro Person.
- Zweck
- Risiko-Erkennung (Churn-Prevention) im Account-Management; tägliche Snapshot-Berechnung durch Cron.
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse. Keine ausschließlich automatisierte Einzel-Entscheidung im Sinne von Art. 22; menschliche CSM-Bewertung ist immer dazwischen.
- Speicherdauer
- Tägliche Snapshots in account_health, Aufbewahrung max. 24 Monate für Trend-Analyse.
3.5 Dokumenten-Erinnerungs-Cron
- Datenkategorien
- Vertragsdaten + Erinnerungs-Activities; ggf. E-Mail-Versand an verantwortliche Personen.
- Zweck
- Vertragsverlängerungs-Erinnerungen automatisch erzeugen.
- Rechtsgrundlage
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an fristgerechter Vertragspflege.
- Speicherdauer
- Bis zur Erledigung; Audit-Spur in customer_activities erhalten.
4. Empfänger / Auftragsverarbeiter
Eine vollständige, aktuelle Liste aller eingesetzten Auftragsverarbeiter und Subprozessoren finden Sie unter /subprocessors.
5. Drittlandsübermittlungen
Folgende Auftragsverarbeiter haben ihren Sitz außerhalb der EU/EWR:
- Anthropic PBC (USA) — KI-basierte Sentiment-Analyse. Ergänzende Maßnahme: PII-Stripping und Hashing der Eingaben vor Übertragung. Rechtsgrundlage des Transfers: ggf. EU-US Data Privacy Framework (Adequacy) oder Standard- vertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO mit Transfer- Folgenabschätzung.
- Vercel Inc. (USA) — Hosting/CDN. Server-Region primär EU; Gesellschafter-/Hosting-Holding USA. Standard- vertragsklauseln in Pro-Plan-AVV.
- Sentry Inc. (USA, falls aktiv) — Error-Tracking. Verarbeitung in EU-Region (de.sentry.io); Unternehmenssitz USA.
- Resend, Inc. (USA, Delaware) — Transaktions-E-Mail- Versand (Welcome-Mail, Magic-Link, Termin-Bestätigung). DPA mit SCC nach Art. 46 Abs. 2 lit. c DSGVO + EU-US Data Privacy Framework als ergänzende Garantie. Speicherung max. 30 Tage in Resend-Logs.
6. Speicherdauer
Konkrete Speicherdauern sind je Verarbeitung in den Abschnitten 3.1 bis 3.5 beschrieben. Generell gilt: personenbezogene Daten werden gelöscht, sobald der Zweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z.B. handelsrechtliche Aufbewahrung 6/10 Jahre).
7. Ihre Rechte
Sie haben das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen aus berechtigtem Interesse (Art. 21 DSGVO)
- Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)
Anfragen bitte an security@intertours.de — wir antworten innerhalb der gesetzlichen Frist (max. 30 Tage).
8. Aufsichtsbehörde
Zuständige Datenschutz-Aufsichtsbehörde: [Bayerisches Landesamt für Datenschutzaufsicht / je nach Sitz Intertours]. Die genaue Behörde wird im Rahmen der Datagap-Final-Freigabe ergänzt.
⚠ Status dieser Seite
Diese Datenschutzerklärung ist ein Strukturentwurf mit Stand 2026-05-02. Die juristische Final-Formulierung, Aufsichtsbehörden-Angabe und endgültige Aufbewahrungs-Fristen werden durch unseren externen DSB Datagap (datagap.de) ergänzt und freigegeben.