WER WIR SIND
Yellow Molly Aktiebolag (handelnd unter Private Tours)
Org. nr 559577-5080
Wie Private Tours Ihre personenbezogenen Daten erfasst, verwendet und schützt — verständlich erklärt, im Einklang mit der DSGVO.
WER WIR SIND
Yellow Molly Aktiebolag (handelnd unter Private Tours)
Org. nr 559577-5080
Diese Datenschutzerklärung gilt für personenbezogene Daten, die von Private Tours ("wir", "uns") über diese Website, unseren Buchungsablauf und jegliche direkte Kommunikation mit uns verarbeitet werden. Sie gilt nicht für verlinkte Drittanbieter-Dienste, die nicht von uns betrieben werden.
"Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. "Verarbeitung" bezeichnet jeden Vorgang, den wir mit personenbezogenen Daten durchführen — Erfassung, Speicherung, Nutzung, Offenlegung oder Löschung. "Verantwortlicher" ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet; im Sinne dieser Erklärung sind das wir.
Wir erheben folgende Kategorien personenbezogener Daten:
| Tätigkeit | Datenkategorien | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|
| Tourbuchungen über Bokun verarbeiten | Name, E-Mail, Telefon, Buchungsmetadaten | Art. 6(1)(b) — Vertrag | 7 Jahre (Bokföringslag) |
| Gruppenanfrage-Formular | Name, E-Mail, Telefon, Gruppengröße, Anforderungen | Art. 6(1)(b) — Vorvertraglich | 24 Monate |
| Antworten aus Kontaktformular | Name, E-Mail, Nachricht | Art. 6(1)(f) — Berechtigtes Interesse | 24 Monate |
| Buchungsbestätigungs-E-Mails | E-Mail, Buchungsdetails | Art. 6(1)(b) — Vertrag | An Buchung gebunden |
| Concierge-Assistent-Präferenzen | Auswahl von Zielgruppe + Interessen | Art. 6(1)(a) — Einwilligung (nur localStorage) | Bis zur Löschung |
| Web-Vitals-Messwerte | Anonymisierte Performance-Daten, gekürzte IP | Art. 6(1)(f) — Berechtigtes Interesse | 90 Tage |
| Semantische Tour-Katalog-Suche | Nur Embeddings der Tour-Inhalte — keine Nutzerdaten | Art. 6(1)(f) — Berechtigtes Interesse | Bei Inhaltsänderung neu erstellt |
| Spam- / Missbrauchsprävention | IP, Anfragefrequenz | Art. 6(1)(f) — Berechtigtes Interesse | 30 Tage |
| Aufbewahrung steuerlicher Unterlagen | Buchungs- + Rechnungsdaten | Art. 6(1)(c) — Rechtliche Verpflichtung | 7 Jahre (Bokföringslag) |
Tourbuchungen über Bokun verarbeiten
Gruppenanfrage-Formular
Antworten aus Kontaktformular
Buchungsbestätigungs-E-Mails
Concierge-Assistent-Präferenzen
Web-Vitals-Messwerte
Semantische Tour-Katalog-Suche
Spam- / Missbrauchsprävention
Aufbewahrung steuerlicher Unterlagen
Wir geben Daten nur an Anbieter weiter, die zur Bereitstellung des Dienstes notwendig sind. Jeder davon ist durch einen Auftragsverarbeitungsvertrag gebunden.
| Anbieter | Rolle | Standort | Übermittlungsmechanismus |
|---|---|---|---|
Bokun (Tripadvisor LLC) | Buchungsplattform | Island / USA | EU SCCs |
Stripe (über Bokun Pay) | Zahlungsabwicklung | Irland (EU) / USA | EU SCCs + DPF |
Vercel Inc. | Webhosting + Blob-Speicher | USA (EU-Edge-Regionen) | EU SCCs + DPF |
Supabase Inc. | PostgreSQL-Datenbank (EU-Region) | Europäische Union | DPA + EU-Region |
OpenAI | Embeddings — nur Tour-Katalog-Inhalte, keine Nutzerdaten | USA | EU SCCs |
Google Workspace | Transaktionale E-Mails (SMTP) | USA (EU-Region) | EU SCCs + DPF |
Meta Platforms (WhatsApp) | Nur Deep-Link — vom Nutzer initiierter Chat | EU / USA | Vom Nutzer initiiert; keine Verarbeitung durch uns |
Einige unserer Auftragsverarbeiter agieren aus Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere den USA. Wo Übermittlungen stattfinden, stützen wir uns auf die EU-Standardvertragsklauseln (SCCs) und, sofern anwendbar, das EU–US-Datenschutzrahmen-Abkommen (DPF).
Wir wählen Anbieter mit EU-Regionen oder EU-vorgelagerter Edge-Präsenz, wo dies praktikabel ist — beispielsweise liegt unsere Datenbank in einer EU-Region, und unsere Hosting-Plattform bedient EU-Verkehr über europäische Edge-Knoten.
Wir speichern personenbezogene Daten nur so lange wie nötig:
Erhalten Sie eine Kopie der personenbezogenen Daten, die wir über Sie speichern.
Schreiben Sie uns eine E-Mail mit dem unten angegebenen Betreff.
Auskunft anfragenKorrektur unrichtiger oder unvollständiger Daten.
Schreiben Sie uns mit der gewünschten Korrektur.
Berichtigung anfragenLöschen Ihrer Daten, sofern keine vorrangige rechtliche Aufbewahrungspflicht besteht.
Schreiben Sie uns; steuerrelevante Unterlagen müssen wir ggf. 7 Jahre aufbewahren.
Löschung anfragenBegrenzen, wie wir Ihre Daten während eines Streitfalls verwenden.
Schreiben Sie uns mit der Begründung der Einschränkung.
Einschränkung anfragenErhalten Sie Ihre Daten in einem maschinenlesbaren Format.
Schreiben Sie uns; wir liefern einen strukturierten Export.
Export anfragenWidersprechen Sie der auf unserem berechtigten Interesse beruhenden Verarbeitung.
Schreiben Sie uns mit Ihrer konkreten Situation.
Widerspruch einlegenWiderrufen Sie eine Einwilligung jederzeit, ohne die Rechtmäßigkeit vorheriger Verarbeitung zu berühren.
Schreiben Sie uns; einwilligungsbasierte Verarbeitung endet beim Widerruf.
Einwilligung widerrufenWir treffen über Sie keine rein automatisierten Entscheidungen mit rechtlicher Wirkung.
Schreiben Sie uns bei Fragen zu unserem Concierge-Assistenten.
Mehr erfahrenWir beantworten alle Anfragen zu Betroffenenrechten innerhalb von 30 Tagen. Kostenlos.
Unser Angebot richtet sich an Erwachsene ab 16 Jahren. Kinder unter 16 Jahren können auf dieser Website keine Buchungen vornehmen. Kinder können als begleitete Gäste eines volljährigen Buchers an Touren teilnehmen. Erfahren wir, dass wir personenbezogene Daten einer Person unter 16 erfasst haben, löschen wir diese innerhalb von 30 Tagen.
Unser Concierge-Assistent schlägt Touren basierend auf Ihrer Zielgruppen- und Interessenwahl vor. Diese Auswahl wird ausschließlich im localStorage Ihres Browsers gespeichert — sie erreicht unsere Server nicht. Der Assistent gibt nur Empfehlungen; die Entscheidungshoheit bleibt vollständig bei Ihnen. Es liegt keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO vor.
Wir schützen personenbezogene Daten mit Industriestandards: TLS-Verschlüsselung bei der Übertragung, Verschlüsselung im Ruhezustand, rollenbasierte Zugriffskontrolle und Audit-Protokollierung. Bei einer Datenschutzverletzung mit Auswirkung auf Ihre Rechte benachrichtigen wir die Aufsichtsbehörde innerhalb von 72 Stunden und informieren betroffene Personen unverzüglich.
Wir aktualisieren diese Erklärung, wenn sich unsere Verarbeitung ändert. Das "Aktualisiert"-Datum im Header zeigt die jüngste Revision. Wesentliche Änderungen kommunizieren wir per Hinweis auf der Website. Frühere Versionen sind in der öffentlichen Git-Historie des Projekts einsehbar.
Wenn Sie der Auffassung sind, dass wir Ihre personenbezogenen Daten unrichtig behandelt haben, kontaktieren Sie uns bitte zuerst — wir bemühen uns um eine Lösung. Sie haben außerdem das Recht, sich direkt bei der schwedischen Datenschutzbehörde (IMY) zu beschweren.
Wir antworten innerhalb von 12 Stunden.