Datenschutzerklärung

1. Verantwortliche Stellen und Geltungsbereich

1.1 Verantwortliche

Die Verantwortung für die Datenverarbeitung richtet sich nach Ihrem Standort. Für Nutzer im Europäischen Wirtschaftsraum und der Schweiz ist verantwortlich: Kotao UG (haftungsbeschränkt), Hohenzollernring 57, 50672 Köln, Deutschland, vertreten durch den Geschäftsführer Nico Miebach. Für Nutzer außerhalb des Europäischen Wirtschaftsraums ist verantwortlich: Kotao FZCO, Building A1, Dubai Silicon Oasis, Dubai, Vereinigte Arabische Emirate, vertreten durch den Geschäftsführer Nico Miebach.

1.2 Datenschutzbeauftragter

Für Datenschutzanfragen erreichen Sie uns unter legal@kotao.com. Die Geschäftsführung übernimmt derzeit die Funktion des Datenschutzbeauftragten und steht Ihnen für alle datenschutzrechtlichen Anliegen zur Verfügung.

1.3 Geltungsbereich

Diese Datenschutzerklärung gilt für alle von Kotao angebotenen Dienste, einschließlich Kotao (www.kotao.com), Kotao Workspaces (workspaces.kotao.com und app.workspaces.kotao.com), Kotao POS (pos.kotao.com und app.pos.kotao.com) sowie alle zugehörigen mobilen Anwendungen und API-Schnittstellen. Sie informiert über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten.

2. Grundsätze der Datenverarbeitung

2.1 Rechtliche Grundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis der Datenschutz-Grundverordnung (DSGVO) für Nutzer im Europäischen Wirtschaftsraum sowie vergleichbarer internationaler Datenschutzstandards für Nutzer außerhalb der EU. Die Rechtsgrundlagen für die Datenverarbeitung sind je nach Verarbeitungszweck: Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO, berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO, Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder rechtliche Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO.

2.2 Datensparsamkeit und Zweckbindung

Wir erheben und verarbeiten personenbezogene Daten nur im erforderlichen Umfang und ausschließlich zu den angegebenen Zwecken. Eine Weitergabe an Dritte erfolgt nur, soweit dies zur Vertragserfüllung notwendig ist, auf einer gesetzlichen Grundlage beruht oder Sie ausdrücklich eingewilligt haben.

2.3 Datenlokalisation

Für Kunden im Europäischen Wirtschaftsraum werden alle personenbezogenen Daten ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert. Für Kunden außerhalb des EWR erfolgt die Verarbeitung in der jeweils geografisch nächstgelegenen Region zur Optimierung der Servicequalität.

3. Kategorien verarbeiteter Daten

3.1 Stammdaten

Bei der Registrierung und Nutzung unserer Dienste erheben wir Stammdaten wie Name, E-Mail-Adresse, Anschrift, Telefonnummer, Firmenname und Firmendaten. Bei privaten Nutzern beschränkt sich die Erhebung auf die für die Diensterbringung notwendigen Informationen.

3.2 Vertragsdaten

Im Rahmen der Vertragsbeziehung verarbeiten wir Daten zu Ihrem gewählten Tarif, gebuchten Zusatzleistungen, Vertragsbeginn und -laufzeit sowie Kündigungsdaten. Diese Informationen sind erforderlich für die ordnungsgemäße Vertragsabwicklung.

3.3 Zahlungsdaten

Zahlungsinformationen wie Kreditkartendaten oder Bankverbindungen werden ausschließlich über unseren Zahlungsdienstleister Stripe verarbeitet. Wir selbst speichern keine vollständigen Zahlungsdaten, sondern lediglich Referenzen und die letzten vier Ziffern der Zahlungsmethode zur Identifikation.

3.4 Nutzungsdaten

Bei der Nutzung unserer Dienste erfassen wir automatisch technische Daten wie IP-Adresse, Browser-Typ und -Version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners sowie Uhrzeit der Serveranfrage. Diese Daten sind für die Bereitstellung und Sicherheit unserer Dienste erforderlich.

3.5 Kommunikationsdaten

Wenn Sie mit uns in Kontakt treten, speichern wir die dabei anfallenden Daten wie E-Mail-Adressen, Nachrichten und Anhänge zur Bearbeitung Ihrer Anfrage und für eventuelle Anschlussfragen.

3.6 Dienstspezifische Daten

Je nach genutztem Dienst verarbeiten wir zusätzliche Daten. Bei Kotao Workspaces umfasst dies Dokumente, E-Mails, Kalenderdaten, Aufgaben und CRM-Einträge. Bei Kotao POS fallen Transaktionsdaten, Produktinformationen und Verkaufsstatistiken an. Auf der Kotao-Plattform verarbeiten wir Buchungsdaten, Reservierungen, Präferenzen und Bewertungen.

3.7 Besondere Datenkategorien

In bestimmten Kontexten können besondere Datenkategorien anfallen. Diätetische Präferenzen oder Zugänglichkeitsanforderungen bei Hotel- oder Restaurantbuchungen werden nur verarbeitet, wenn Sie diese freiwillig angeben. Bei Hotelbuchungen können Daten von Mitreisenden einschließlich Minderjähriger erfasst werden, wobei die Verantwortung für die rechtmäßige Weitergabe dieser Daten beim Buchenden liegt.

4. Zwecke der Datenverarbeitung

4.1 Vertragserfüllung

Der Hauptzweck der Datenverarbeitung ist die Erfüllung unserer vertraglichen Leistungen. Dies umfasst die Bereitstellung der gebuchten Dienste, die Verwaltung Ihres Nutzerkontos, die Abwicklung von Zahlungen und die Erbringung von Supportleistungen.

4.2 Kommunikation

Wir nutzen Ihre Kontaktdaten zur Kommunikation im Rahmen der Vertragsbeziehung, einschließlich wichtiger Systemmitteilungen, Ankündigungen von Wartungsarbeiten und Informationen zu Vertragsänderungen.

4.3 Sicherheit und Missbrauchsprävention

Zur Gewährleistung der IT-Sicherheit und zum Schutz vor Missbrauch verarbeiten wir technische Daten. Dies umfasst die Erkennung und Abwehr von Cyberangriffen, die Verhinderung von Betrug und die Durchsetzung unserer Nutzungsbedingungen.

4.4 Verbesserung der Dienste

Auf Basis aggregierter und anonymisierter Daten analysieren wir die Nutzung unserer Dienste zur kontinuierlichen Verbesserung der Funktionalität, Benutzerfreundlichkeit und Performance.

4.5 Rechtliche Verpflichtungen

Bestimmte Daten müssen wir aufgrund gesetzlicher Aufbewahrungspflichten speichern, insbesondere im Bereich der Buchhaltung und Steuergesetzgebung. Bei Kotao POS erfolgt die Datenverarbeitung auch zur Erfüllung der Anforderungen der Kassensicherungsverordnung.

4.6 Marketing

Sofern Sie eingewilligt haben oder es gesetzlich zulässig ist, nutzen wir Ihre Daten zur Information über neue Funktionen, Produkte oder Sonderangebote. Sie können dieser Nutzung jederzeit widersprechen.

5. Eingesetzte Dienstleister und Drittanbieter

5.1 Hosting und Infrastruktur

Unsere primäre Infrastruktur wird von Cloudflare bereitgestellt, einem führenden Anbieter für Web-Performance und Sicherheit. Für EU-Kunden erfolgt die Datenverarbeitung ausschließlich in europäischen Rechenzentren. Die Datenbankinfrastruktur wird von AWS bereitgestellt, wobei auch hier für EU-Kunden eine Verarbeitung innerhalb der EU gewährleistet ist.

5.2 E-Mail-Versand

Für den Versand von E-Mails nutzen wir Resend. EU-Kunden erhalten E-Mails ausschließlich über Server in Irland. Für Kunden außerhalb der EU wird automatisch die geografisch nächstgelegene Region (North Virginia, São Paulo oder Tokyo) genutzt, um optimale Zustellraten zu gewährleisten.

5.3 Zahlungsabwicklung

Die Verarbeitung von Zahlungen erfolgt durch Stripe, Inc., einen PCI-DSS-zertifizierten Zahlungsdienstleister. Stripe verarbeitet Zahlungsdaten gemäß höchsten Sicherheitsstandards. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe unter https://stripe.com/de/privacy.

5.4 Analyse und Monitoring

Zur Analyse des Nutzerverhaltens und zur Verbesserung unserer Dienste setzen wir PostHog ein. Für EU-Kunden erfolgt die Datenverarbeitung ausschließlich in der EU-Region. Die Fehlerüberwachung und Performance-Analyse erfolgt mittels Sentry, wobei nur technische Daten ohne Personenbezug übermittelt werden.

5.5 Vertragliche Vereinbarungen

Mit allen genannten Dienstleistern haben wir Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen, die die konforme Verarbeitung Ihrer Daten sicherstellen.

6. Internationale Datenübermittlung

6.1 Grundsätze

Eine Übermittlung personenbezogener Daten in Länder außerhalb der EU erfolgt nur, wenn ein angemessenes Datenschutzniveau gewährleistet ist oder geeignete Garantien vorliegen. Für EU-Kunden findet grundsätzlich keine Datenübermittlung außerhalb der EU statt.

6.2 Trennung der Verarbeitung

Die Datenverarbeitung erfolgt strikt getrennt nach Kundenstandort. Der Support in Deutschland betreut ausschließlich EU-Kunden, während der Support in Dubai für alle anderen Regionen zuständig ist. Ein internationaler Datenaustausch zwischen den Gesellschaften findet nicht statt.

6.3 Standardvertragsklauseln

Sollte in Ausnahmefällen eine Datenübermittlung in Drittländer erforderlich sein, erfolgt diese auf Basis von EU-Standardvertragsklauseln oder vergleichbaren Garantien.

7. Speicherdauer und Löschung

7.1 Grundsätze der Datenlöschung

Personenbezogene Daten werden gelöscht, sobald sie für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten bestehen.

7.2 Löschung bei Kontolöschung

Bei Löschung eines Nutzerkontos werden alle personenbezogenen Daten des Nutzers innerhalb von 30 Tagen vollständig aus unseren Systemen entfernt. Dies umfasst auch alle Verweise in Organisationsdaten, die durch neutrale Platzhalter wie "Nutzer gelöscht" ersetzt werden.

7.3 Aufbewahrungspflichten

Bestimmte Daten unterliegen gesetzlichen Aufbewahrungspflichten. Buchungsbelege und Rechnungen müssen gemäß steuerrechtlichen Vorschriften 10 Jahre aufbewahrt werden. Geschäftsbriefe und Handelskorrespondenz unterliegen einer 6-jährigen Aufbewahrungsfrist.

7.4 Organisationsdaten

Beim Austritt aus einer Organisation werden Ihre persönlichen Daten aus dem Organisationskontext entfernt, während Ihre erstellten Inhalte der Organisation erhalten bleiben. Bei vollständiger Löschung einer Organisation werden alle zugehörigen Daten unwiderruflich gelöscht.

8. Ihre Rechte als betroffene Person

8.1 Auskunftsrecht

Sie haben das Recht, jederzeit unentgeltlich Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten. Dies umfasst Informationen über Herkunft, Empfänger, Verarbeitungszwecke und Speicherdauer der Daten.

8.2 Berichtigungsrecht

Sie können die unverzügliche Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.

8.3 Löschungsrecht

Unter bestimmten Voraussetzungen haben Sie das Recht auf Löschung Ihrer personenbezogenen Daten, insbesondere wenn diese nicht mehr für die Zwecke erforderlich sind, für die sie erhoben wurden.

8.4 Einschränkung der Verarbeitung

Sie können unter bestimmten Umständen die Einschränkung der Verarbeitung Ihrer Daten verlangen, beispielsweise wenn Sie die Richtigkeit der Daten bestreiten.

8.5 Datenübertragbarkeit

Sie haben das Recht, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese an einen anderen Verantwortlichen zu übermitteln.

8.6 Widerspruchsrecht

Sie können der Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke widersprechen, insbesondere bei Verarbeitung für Direktwerbung.

8.7 Widerruf der Einwilligung

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

8.8 Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für EU-Kunden ist dies die jeweils zuständige Landesdatenschutzbehörde oder der Europäische Datenschutzbeauftragte.

8.9 Automatisierte Ausübung der Rechte

Viele Ihrer Rechte können Sie direkt über Ihr Nutzerkonto ausüben. Für darüber hinausgehende Anfragen kontaktieren Sie uns unter legal@kotao.com. Die Bearbeitung erfolgt automatisiert mit anschließender Mitteilung des Ergebnisses.

9. Cookies und Tracking

9.1 Notwendige Cookies

Wir verwenden technisch notwendige Cookies, um die Grundfunktionalität unserer Dienste zu gewährleisten. Diese umfassen Session-Cookies zur Aufrechterhaltung Ihrer Anmeldung und Sicherheits-Cookies zum Schutz vor Angriffen.

9.2 Analyse-Cookies

Mit Ihrer Einwilligung setzen wir Analyse-Cookies von PostHog ein, um die Nutzung unserer Dienste zu verstehen und zu verbessern. Sie können Ihre Einwilligung jederzeit in den Kontoeinstellungen widerrufen.

9.3 Cookie-Verwaltung

Sie können die Verwendung von Cookies in Ihren Browsereinstellungen kontrollieren. Beachten Sie, dass die Deaktivierung bestimmter Cookies die Funktionalität unserer Dienste einschränken kann.

10. Sicherheit

10.1 Technische und organisatorische Maßnahmen

Wir setzen umfangreiche technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Dies umfasst Verschlüsselung bei der Übertragung (TLS) und Speicherung (Encryption at Rest), mehrstufige Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.

10.2 Mitarbeiterschulung

Alle Mitarbeiter mit Zugang zu personenbezogenen Daten werden regelmäßig in Datenschutz und Datensicherheit geschult und sind zur Vertraulichkeit verpflichtet.

10.3 Penetrationstests und Audits

Wir führen regelmäßige Penetrationstests und Sicherheitsaudits durch, um potenzielle Schwachstellen zu identifizieren und zu beheben.

10.4 Datenschutzverletzungen

Im Fall einer Datenschutzverletzung werden wir unseren gesetzlichen Meldepflichten nachkommen und betroffene Nutzer unverzüglich informieren, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.

11. Minderjährigenschutz

11.1 Altersbeschränkung

Unsere Dienste richten sich grundsätzlich an volljährige Nutzer. Minderjährige zwischen 16 und 18 Jahren dürfen die Dienste nur mit Zustimmung ihrer Erziehungsberechtigten nutzen.

11.2 Daten von Minderjährigen

Bei Hotelbuchungen oder ähnlichen Diensten können Daten von minderjährigen Mitreisenden erfasst werden. Die Verantwortung für die rechtmäßige Angabe dieser Daten liegt beim buchenden Erwachsenen.

12. Änderungen der Datenschutzerklärung

12.1 Aktualisierungen

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die aktuelle Version ist stets unter policies.kotao.com/privacy-policy abrufbar.

12.2 Mitteilung über Änderungen

Bei wesentlichen Änderungen informieren wir Sie per E-Mail oder durch einen deutlichen Hinweis in unseren Diensten.

13. Kontakt

Für Datenschutzanfragen erreichen Sie uns unter:

Kotao UG (haftungsbeschränkt)
Hohenzollernring 57
50672 Köln
Deutschland
E-Mail: legal@kotao.com Telefon: +49 221 95019148