Datenschutzerklärung

Stand: 2026-05-17. Diese Erklärung gilt für alle Verarbeitungen personenbezogener Daten im Rahmen von duk42a.com und der DUK42a-Apartments in der Killisfeldstraße 42a, 76227 Karlsruhe.

Mit dieser Datenschutzerklärung informieren wir Sie umfassend über die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb der Webseite duk42a.com sowie der Vermietung der DUK42a-Apartments. Wir nehmen den Schutz Ihrer Daten ernst und behandeln Ihre persönlichen Informationen vertraulich sowie entsprechend den geltenden gesetzlichen Datenschutzvorschriften (insbesondere DSGVO und BDSG).

Diese Erklärung gilt unabhängig davon, ob Sie unsere Webseite besuchen, eine Apartment-Buchung vornehmen, einchecken oder uns über einen anderen Kanal kontaktieren. Sie deckt sämtliche Datenflüsse ab, die für den Betrieb der Apartments und die Erfüllung der gesetzlichen Pflichten (insbesondere Beherbergungs-Meldepflicht und Übernachtungssteuer) erforderlich sind.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Für Datenschutzanfragen können Sie sich auch direkt per E-Mail an info@duk42a.com wenden.

2. Datenschutzbeauftragter

Aufgrund der Größe und Art unserer Geschäftstätigkeit besteht keine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten (§ 38 BDSG, Art. 37 DSGVO). Für alle Anliegen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Adresse.

3. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten in folgenden Kontexten:

1. Besuch dieser Webseite (duk42a.com)
2. Kontaktaufnahme per E-Mail, Telefon oder WhatsApp
3. Buchungen über unser Direkt-Buchungssystem (www.duk42a.com)
4. Buchungen über Plattformen Dritter (Booking.com, Airbnb, Monteurzimmer.de)
5. Check-in und gesetzliche Meldepflicht (Hotelmeldeschein)
6. Übernachtungssteuer (City Tax) der Stadt Karlsruhe
7. Zahlungsabwicklung

4. Besuch dieser Webseite

4.1 Server-Logfiles

Beim Aufruf dieser Webseite werden durch unseren Webhosting-Anbieter automatisch Informationen in sogenannten Server-Logfiles erfasst:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene Seite / Ressource (URL)
• Übertragene Datenmenge
• HTTP-Statuscode
• Referrer-URL (woher der Besucher kam)
• Browser-Typ und Betriebssystem (User-Agent)

Datenkategorien: technische Daten / Verkehrsdaten (IP-Adresse, Browser-Kennung, Zugriffszeit, Referrer-URL).
Zweck: technische Bereitstellung der Webseite, Sicherheit, Missbrauchsabwehr.
Rechtsgrundlage: Art. 6 (1) lit. f DSGVO (berechtigtes Interesse an stabiler, sicherer Bereitstellung).
Speicherdauer: max. 7 Tage durch den Hosting-Provider, danach automatische Löschung. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

4.2 Cookies und Tracking

Diese Webseite setzt keine eigenen Cookies und verwendet keine Tracking-Dienste (kein Google Analytics, kein Facebook-Pixel, kein Matomo o. ä.). Es werden lediglich technisch erforderliche Aufrufe an Bilder, Schriftarten und Stylesheets über dieselbe Domain durchgeführt.

Falls wir in Zukunft Analytics oder andere Cookie-basierte Funktionen einführen, wird vorab Ihre Einwilligung über ein Cookie-Banner eingeholt und diese Datenschutzerklärung entsprechend aktualisiert.

4.3 Hosting

Diese Webseite (Apex duk42a.com) wird gehostet bei:

Der Hosting-Anbieter verarbeitet die unter 4.1 genannten Daten in unserem Auftrag (Art. 6 (1) f DSGVO). Mit dem Provider besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

5. Kontaktaufnahme per E-Mail, Telefon oder WhatsApp

Wenn Sie uns per E-Mail (z. B. an info@duk42a.com), telefonisch oder per WhatsApp kontaktieren, werden die von Ihnen mitgeteilten Daten zur Bearbeitung Ihrer Anfrage gespeichert. Dazu gehören typisch:

• Name
• Kontaktdaten (E-Mail-Adresse, Telefonnummer)
• Inhalt Ihrer Anfrage
• Bei WhatsApp: ggf. Profilbild, Status-Informationen, Telefonnummer

Datenkategorien: Stammdaten (Name), Kontaktdaten (E-Mail, Telefonnummer, ggf. WhatsApp-Profilinformationen), Inhaltsdaten (Inhalt Ihrer Anfrage).
Zweck: Beantwortung Ihrer Anfrage, Anbahnung oder Durchführung eines Vertrages.
Rechtsgrundlage: Art. 6 (1) lit. b DSGVO (vertragliche Anbahnung / Erfüllung), Art. 6 (1) lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: Die Daten werden gelöscht, sobald sie für die Zwecke ihrer Erhebung nicht mehr erforderlich sind, spätestens nach Ablauf gesetzlicher Aufbewahrungspflichten (handelsrechtlich bis zu 10 Jahre, § 257 HGB / § 147 AO bei steuerrelevanter Korrespondenz).

5.1 WhatsApp im Besonderen

Wenn Sie uns über WhatsApp kontaktieren, werden Ihre Daten zusätzlich durch WhatsApp Ireland Ltd. (Meta-Konzern) verarbeitet. WhatsApp ist Auftragsverarbeiter bzw. eigenständig Verantwortlicher für die Übertragung der Nachrichten. Wir haben keinen Einfluss auf die Datenverarbeitung durch WhatsApp / Meta. Bitte beachten Sie die Datenschutzerklärung von WhatsApp. Wenn Sie diese Verarbeitung nicht wünschen, kontaktieren Sie uns bitte stattdessen per E-Mail oder Telefon.

6. Buchungen über unser Direkt-Buchungssystem (www.duk42a.com)

Auf www.duk42a.com betreiben wir ein Direkt-Buchungssystem für unsere Apartments. Technisch wird dies durch unseren Partner Guesty bereitgestellt.

Verarbeitete Daten:

• Name, Anschrift, E-Mail, Telefon
• Gewünschter Zeitraum, Apartment, Personenzahl
• Zahlungsdaten (siehe Abschnitt 9)
• Nachrichten zwischen Gast und Gastgeber im Buchungs-Chat

Datenkategorien: Stammdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertragsdaten (Aufenthaltszeitraum, Apartment, Personenzahl), Zahlungsdaten (siehe Abschnitt 10), Inhaltsdaten (Nachrichten im Buchungs-Chat).
Zweck: Abschluss und Durchführung des Beherbergungsvertrags.
Rechtsgrundlage: Art. 6 (1) lit. b DSGVO (Vertragserfüllung).
Empfänger / Auftragsverarbeiter:

Guesty stellt das Buchungssystem auf der Domain www.duk42a.com bereit. Guesty wiederum nutzt Amazon Web Services (AWS) als Hosting-Infrastruktur. Mit Guesty besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Eine etwaige Drittland-Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCC) sowie ggfs. dem EU-US Data Privacy Framework, soweit dieses zur Anwendung kommt.

Speicherdauer: Buchungsdaten werden für die Dauer des Aufenthalts und anschließend gemäß handels- und steuerrechtlichen Aufbewahrungspflichten gespeichert (bis zu 10 Jahre, § 147 AO, § 257 HGB).

7. Buchungen über Plattformen Dritter

Wir vermieten unsere Apartments zusätzlich über Drittplattformen. Die jeweilige Plattform fungiert dabei als eigenständig Verantwortlicher bis zur Übermittlung der Buchung an uns. Aktuell betroffen sind:

• Booking.com B.V., Herengracht 597, 1017 CE Amsterdam, Niederlande — Datenschutzerklärung Booking.com
• Airbnb Ireland UC, 8 Hanover Quay, Dublin 2, Irland — Datenschutzerklärung Airbnb
• Monteurzimmer.de (deinzimmer.de GmbH, Stuttgart) — Datenschutzerklärung Monteurzimmer.de

Datenkategorien: Stammdaten (Name), Kontaktdaten (E-Mail, Telefon), Vertragsdaten (Aufenthaltszeitraum, Personenzahl).
Zweck: Durchführung des Beherbergungsvertrags.
Rechtsgrundlage: Art. 6 (1) lit. b DSGVO (Vertragserfüllung).

Wir erhalten von der jeweiligen Plattform nach erfolgter Buchung die für die Durchführung des Beherbergungsvertrags notwendigen Daten. Die weitere Verarbeitung erfolgt durch uns und unterliegt im Übrigen dieser Datenschutzerklärung.

7.1 Herkunft der Daten (Art. 14 DSGVO)

Sofern Sie über eine Drittplattform (Booking.com, Airbnb, Monteurzimmer.de) bei uns buchen, erhalten wir Ihre Daten nicht direkt von Ihnen, sondern von der jeweiligen Plattform — Quelle der Daten sind die im genannten Buchungssystem von Ihnen angegebenen Informationen sowie die plattformeigene Buchungsabwicklung. Gegenüber uns als Verantwortlichem stehen Ihnen dieselben Rechte zu (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch) wie bei einer Direktbuchung — siehe Abschnitt zu Ihren Rechten weiter unten.

8. Check-in und gesetzliche Meldepflicht (Hotelmeldeschein)

Als Beherbergungsbetrieb sind wir gesetzlich verpflichtet, von ausländischen Gästen einen besonderen Meldeschein nach §§ 29, 30 Bundesmeldegesetz (BMG) zu erheben. Diese Verpflichtung gilt auch für ausländische Mitreisende eines deutschen Hauptgastes und unabhängig vom Buchungsweg (Direkt, OTA, Walk-in). Für deutsche Staatsangehörige entfällt die besondere Meldepflicht in Beherbergungsstätten seit dem 1. Januar 2025 (Viertes Bürokratieentlastungsgesetz – BEG IV).

Erhobene Daten gemäß § 30 BMG:

• Tag der Ankunft und der voraussichtlichen Abreise
• Familienname, Vorname(n)
• Geburtsdatum
• Staatsangehörigkeit (bei ausländischen Gästen)
• Anschrift
• Zahl der mitreisenden Personen
• Bei ausländischen Gästen: Art, Nummer und ausstellende Behörde des mitgeführten gültigen Identitätsdokuments (Personalausweis, Reisepass)
• Eigenhändige Unterschrift (handschriftlich oder digital, abhängig vom gewählten Authentifizierungsverfahren)

Die Identitätsfeststellung erfolgt nach § 29 (5) BMG. Wir setzen hierfür eine eigene digitale Check-in-Anwendung (Meldeschein-App) ein, die auf einem virtuellen Server bei der Hetzner Online GmbH in Deutschland betrieben wird.

Empfänger / Auftragsverarbeiter (Hosting Meldeschein-App):

Hetzner verarbeitet die Daten ausschließlich in Rechenzentren innerhalb der EU. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Datenkategorien: Stammdaten (Name, Anschrift, Geburtsdatum, Staatsangehörigkeit), Aufenthaltsdaten (An-/Abreise, Begleitpersonen), Identifikationsdaten (Art, Nummer und ausstellende Behörde des Identitätsdokuments), eigenhändige Unterschrift. Soweit Inhalt eines Ausweisdokuments verarbeitet wird, handelt es sich teilweise um besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO.
Zweck: Erfüllung gesetzlicher Melde- und Aufbewahrungspflichten nach BMG.
Rechtsgrundlage: Art. 6 (1) lit. c DSGVO (rechtliche Verpflichtung) i. V. m. §§ 29, 30 BMG. Bei der Verarbeitung von Identitätsdokument-Daten zusätzlich Art. 9 (2) lit. c DSGVO bzw. § 22 (1) Nr. 1 BDSG, soweit es sich um besondere Kategorien personenbezogener Daten handelt.
Speicherdauer: Meldescheine werden ein Jahr lang verwahrt (§ 30 (4) BMG) und anschließend innerhalb von drei Monaten gelöscht oder vernichtet, sofern keine längere Aufbewahrung nach handels- oder steuerrechtlichen Vorschriften erforderlich ist.

Auskunft an Behörden: Die Meldescheine sind den Behörden auf Verlangen vorzulegen (§ 30 (3) BMG). Eine generelle Übermittlung erfolgt nicht.

9. Übernachtungssteuer (City Tax / Beherbergungssteuer)

Die Stadt Karlsruhe erhebt eine Übernachtungssteuer auf entgeltliche kurzfristige Beherbergungen. Wir sind als Steuerschuldner verpflichtet, regelmäßig (quartalsweise) eine Steueranmeldung beim Stadtkämmereiamt einzureichen.

Datenkategorien: aggregierte Aufenthaltsdaten (Anzahl steuerpflichtiger Übernachtungen), bei konkreter behördlicher Anforderung ggf. einzelne Buchungs- und Stammdaten.
Übermittelte Daten: aggregierte Anzahl steuerpflichtiger Übernachtungen, ggf. mit Aufenthaltsnachweis. Personenbezogene Einzeldaten werden nur auf konkrete behördliche Anforderung herausgegeben.
Empfänger: Stadt Karlsruhe, Stadtkämmerei, Lammstr. 7a, 76133 Karlsruhe.
Rechtsgrundlage: Art. 6 (1) lit. c DSGVO i. V. m. der Satzung der Stadt Karlsruhe über die Erhebung einer Übernachtungssteuer.
Speicherdauer: 10 Jahre gemäß § 147 AO.

10. Zahlungsabwicklung

Die Bezahlung Ihrer Buchung erfolgt je nach Buchungsweg über unterschiedliche Dienstleister:

• Direkt-Buchung über www.duk42a.com: Abwicklung über die in Guesty integrierte Payment-Funktion (in der Regel über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland)
• Booking.com / Airbnb / Monteurzimmer.de: Zahlungsabwicklung über die jeweilige Plattform, siehe deren Datenschutzerklärungen (Abschnitt 7)
• Vor Ort: Barzahlung oder Kartenzahlung über SumUp Payments Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Irland

Datenkategorien: Zahlungsdaten (Karten-Pseudonyme, Transaktions-IDs, Beleg-Daten). Tatsächliche Zahlungsmittel-Daten (z. B. komplette Kreditkartennummern) werden ausschließlich durch den jeweiligen Zahlungsdienstleister verarbeitet und nicht durch uns gespeichert.
Rechtsgrundlage: Art. 6 (1) lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Zahlungsbelege werden gemäß § 257 HGB / § 147 AO 10 Jahre aufbewahrt.

11. Empfänger der personenbezogenen Daten

Wir übermitteln Ihre personenbezogenen Daten nur an die für die jeweilige Verarbeitung erforderlichen Empfänger. Dabei unterscheiden wir zwei Gruppen:

11.1 Auftragsverarbeiter (verarbeiten Daten in unserem Auftrag)

Diese Dienstleister sind an unsere Weisungen gebunden und durch einen Vertrag nach Art. 28 DSGVO zur Vertraulichkeit verpflichtet:

• Webhosting- und E-Mail-Dienstleister mit Sitz und Rechenzentren in Deutschland (für duk42a.com und die zugehörigen E-Mail-Postfächer)
• Hosting-Dienstleister für die Check-in-/Meldeschein-Anwendung mit Rechenzentrum in Deutschland
• Buchungssystem-Anbieter: Guesty Inc. (mit EU-Niederlassung in Frankreich), Bereitstellung der Buchungsoberfläche unter www.duk42a.com. Da Guesty Teile der Verarbeitung in den USA (Amazon Web Services) abwickelt, erfolgt eine Übermittlung in ein Drittland — siehe Sektion 12.
• Zahlungsdienstleister mit Sitz in der EU (Online-Zahlungen über das Buchungssystem; Vor-Ort-Kartenzahlung über separaten Dienstleister)

11.2 Eigenständig Verantwortliche (Empfänger, die selbst über die Verwendung entscheiden)

• Buchungsplattformen Dritter: Booking.com B.V. (Niederlande), Airbnb Ireland UC (Irland), deinzimmer.de GmbH / Monteurzimmer.de (Deutschland) — sofern Sie über diese Plattformen buchen, sind sie zunächst eigenständig Verantwortliche bis zur Übermittlung der Buchung an uns
• Messaging-Dienstleister: WhatsApp Ireland Ltd. (Meta-Konzern, Sitz Irland, Konzernzentrale USA) — sofern Sie uns über WhatsApp kontaktieren. Konzernweite Datenverarbeitung kann eine Drittland-Übermittlung in die USA beinhalten — siehe Sektion 12.
• Behörden: Stadt Karlsruhe (Stadtkämmerei) für die Übernachtungssteuer; auf konkrete Anfrage ggf. Meldebehörde nach BMG

Mit den unter 11.1 genannten Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine vollständige Liste der eingesetzten Auftragsverarbeiter führen wir intern im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO; diese Liste stellen wir Aufsichtsbehörden auf Anfrage zur Verfügung und beauskunften Sie als betroffene Person im Rahmen Ihres Auskunftsrechts nach Art. 15 DSGVO.

Eine Übermittlung an Dritte außerhalb der oben genannten Empfänger erfolgt nicht.

12. Übermittlung in Drittländer

Sofern personenbezogene Daten in Länder außerhalb der EU/des EWR übermittelt werden (insbesondere USA über Guesty / AWS sowie Meta), erfolgt dies auf Grundlage von:

• EU-Standardvertragsklauseln (Art. 46 (2) lit. c DSGVO), oder
• dem EU-US Data Privacy Framework, soweit der Empfänger zertifiziert ist (www.dataprivacyframework.gov), oder
• Ihrer ausdrücklichen Einwilligung gemäß Art. 49 (1) lit. a DSGVO im Einzelfall.

13. Datensicherheit (technische und organisatorische Maßnahmen)

Wir treffen geeignete technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten gegen zufällige oder vorsätzliche Manipulation, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen (Art. 32 DSGVO). Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. Hierzu zählen insbesondere:

• Verschlüsselte Übertragung: sämtliche Datenübertragungen zwischen Webseite und Endgerät erfolgen über TLS-verschlüsselte HTTPS-Verbindungen
• Zugriffsschutz: Zugang zu Verarbeitungssystemen ist auf den Verantwortlichen und ausdrücklich autorisierte Auftragsverarbeiter beschränkt; Passwortschutz und Zwei-Faktor-Authentifizierung wo verfügbar
• Datensparsamkeit: wir erheben nur die Daten, die für den jeweiligen Zweck erforderlich sind
• Aufbewahrungsdisziplin: Daten werden gelöscht oder anonymisiert, sobald keine gesetzliche Aufbewahrungspflicht und kein konkreter Verarbeitungszweck mehr besteht
• Auftragsverarbeiter-Sorgfalt: Auswahl der Auftragsverarbeiter (insbesondere all-inkl, Guesty, Hetzner) nach datenschutzrechtlichen Kriterien; Verträge nach Art. 28 DSGVO
• EU-Rechenzentren bevorzugt: für Daten mit hohem Schutzbedarf (insbesondere Meldeschein-Daten) nutzen wir Rechenzentren innerhalb der EU

14. Datenpannen und Meldepflicht

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO prüfen wir unverzüglich, ob eine Meldepflicht an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO besteht (Meldung innerhalb von 72 Stunden, sofern voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen besteht). Sollte ein voraussichtlich hohes Risiko für betroffene Personen bestehen, werden wir Sie zusätzlich gemäß Art. 34 DSGVO unverzüglich benachrichtigen.

Falls Sie als betroffene Person Hinweise auf eine mögliche Datenschutzverletzung haben oder vermuten, bitten wir Sie, sich umgehend an uns zu wenden: info@duk42a.com. Wir behandeln solche Meldungen vertraulich.

15. Ihre Rechte als betroffene Person

Sie haben uns gegenüber das Recht auf:

• Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten (Art. 16 DSGVO)
• Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung, die auf Art. 6 (1) lit. f DSGVO gestützt ist, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 (3) DSGVO)

Bei gesetzlich vorgeschriebenen Verarbeitungen (insbesondere Meldepflichten nach BMG und steuerrechtliche Aufbewahrung) kann ein Löschungs- oder Widerspruchsrecht eingeschränkt sein.

16. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns zuständig ist:

17. Pflicht zur Bereitstellung der Daten

Im Rahmen unserer Geschäftsbeziehung müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung einer Geschäftsbeziehung sowie für die Erfüllung der damit verbundenen vertraglichen oder gesetzlichen (z. B. melderechtlichen) Pflichten erforderlich sind. Ohne diese Daten können wir den Vertrag mit Ihnen nicht abschließen oder ausführen.

18. Automatisierte Entscheidungen / Profiling

Wir setzen keine vollautomatisierten Entscheidungssysteme im Sinne von Art. 22 DSGVO ein. Es findet kein Profiling statt.

19. Änderungen dieser Erklärung

Diese Datenschutzerklärung kann an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen angepasst werden. Die jeweils aktuelle Fassung ist unter https://duk42a.com/datenschutz.html abrufbar. Das Datum der letzten Aktualisierung finden Sie am Anfang dieser Erklärung.

20. Stand und Verweise von Dritt-Anwendungen

Diese Datenschutzerklärung ist die kanonische Fassung für alle DUK42a-Dienste. Sie wird unter anderem referenziert aus:

• der Direkt-Buchungs-Plattform unter www.duk42a.com (Guesty)
• der Check-in-/Meldeschein-Anwendung
• Listings auf Booking.com, Airbnb, Monteurzimmer.de
• E-Mail-Signaturen und Kontaktbestätigungen

← Zurück zur Startseite