Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Carl.22 GmbH & Co. KG
vertreten durch die persönlich haftende Gesellschafterin FCH Management GmbH
Geschäftsführer: Sandro Felber
Karlsplatz 22, 99817 Eisenach
Telefon: +49 (0) 3691 8193300
E-Mail: hello@carl22.de | Website: www.carl22.de
Handelsregister: HRA 505220, Amtsgericht Jena | USt-IdNr.: DE328391321

2. Überblick über die Datenverarbeitung

Wir betreiben unter carl22.de eine Website zur Präsentation und Buchung unserer Boutique Appartements in Eisenach. Darüber hinaus verarbeiten wir personenbezogene Daten im Rahmen des Beherbergungsbetriebs, insbesondere bei der Buchungsabwicklung, dem digitalen Check-in, der Zahlungsabwicklung, der Kautionsabwicklung, der Abführung der Tourismusförderabgabe und der Erfüllung gesetzlicher Meldepflichten. Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten.

2.1 Arten der verarbeiteten Daten

Wir verarbeiten insbesondere folgende Kategorien personenbezogener Daten: Bestandsdaten (z. B. Name, Adresse, Staatsangehörigkeit), Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer), Identifikationsdaten (z. B. Passnummer und Staatsangehörigkeit bei ausländischen Gästen gemäß Bundesmeldegesetz), Buchungs- und Vertragsdaten (z. B. Reisedaten, Appartementwahl, Tarifwahl, Zahlungsinformationen), Check-in-Daten (z. B. Personalien aller Gäste, Anreisezeit), Zugangsdaten (z. B. Zeitstempel der Zugangssystemnutzung), Zahlungsdaten (z. B. Kreditkartenautorisierungen, PayPal-Transaktionen), Nutzungsdaten (z. B. besuchte Seiten, Zugriffszeiten) sowie Meta- und Kommunikationsdaten (z. B. IP-Adressen, Geräteinformationen).

2.2 Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt stets auf Grundlage einer Rechtsgrundlage. Soweit wir für Verarbeitungsvorgänge eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Für die Verarbeitung zur Erfüllung vertraglicher Leistungen (z. B. Buchungsabwicklung, Check-in, Zahlungsabwicklung, Kautionserhebung) ist Art. 6 Abs. 1 lit. b DSGVO maßgeblich. Verarbeitungen zur Erfüllung rechtlicher Verpflichtungen (z. B. Meldeschein für ausländische Gäste gemäß BMG, steuerliche Aufbewahrungspflichten, Abführung der Tourismusförderabgabe) basieren auf Art. 6 Abs. 1 lit. c DSGVO. Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erforderlich ist, stützen wir uns auf Art. 6 Abs. 1 lit. f DSGVO.

3. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer Daten verlangen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, insbesondere wenn diese auf berechtigten Interessen basiert oder zu Zwecken der Direktwerbung erfolgt.

Recht auf Widerruf (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI), Häßlerstraße 8, 99096 Erfurt | https://www.tlfdi.de

4. SSL- bzw. TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung personenbezogener Daten eine SSL- bzw. TLS-Verschlüsselung.

5. Hosting

Unsere Website wird bei IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland gehostet. Beim Aufruf unserer Website erhebt IONOS automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies umfasst insbesondere: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite/Datei, Referrer-URL, verwendeter Browser und Betriebssystem sowie den Hostnamen des zugreifenden Rechners.

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses an der sicheren und effizienten Bereitstellung unserer Website gemäß Art. 6 Abs. 1 lit. f DSGVO. Mit IONOS haben wir einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen. Die Server befinden sich in Deutschland.

6. Cookies und Einwilligungsmanagement

6.1 Cookies

Unsere Website verwendet Cookies. Einige Cookies sind technisch notwendig für den Betrieb der Website. Andere Cookies dienen der Analyse oder Optimierung und werden nur mit Ihrer Einwilligung gesetzt. Sie können Ihren Browser so einstellen, dass Cookies nur im Einzelfall erlaubt oder generell ausgeschlossen werden. Die Deaktivierung von Cookies kann die Funktionalität dieser Website einschränken.

6.2 Real Cookie Banner (Einwilligungsmanagement)

Wir verwenden Real Cookie Banner als Consent Management Platform (CMP), um Ihre Einwilligung zur Speicherung von Cookies und zur Datenverarbeitung durch Drittanbieter einzuholen und zu verwalten. Ihre Einwilligungsentscheidung wird in einem Cookie auf Ihrem Endgerät gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO.

7. Buchungssystem (eviivo)

Für die Buchung unserer Appartements nutzen wir das Buchungssystem von eviivo Limited, 154 Pentonville Road, London N1 9JE, Vereinigtes Königreich. Über ein auf unserer Website eingebundenes Buchungs-Widget können Sie Verfügbarkeiten prüfen und Reservierungen vornehmen.

Bei einer Buchung werden insbesondere folgende Daten verarbeitet: Name, E-Mail-Adresse, Telefonnummer, Anschrift, Reisedaten, Anzahl der Gäste, Zahlungsinformationen sowie ggf. besondere Wünsche.

Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO. Da eviivo seinen Sitz im Vereinigten Königreich hat, erfolgt eine Datenübermittlung in ein Drittland. Die Übermittlung ist durch den Angemessenheitsbeschluss der EU-Kommission für das Vereinigte Königreich gedeckt.

Über eviivo werden auch Buchungen verarbeitet, die über externe Plattformen wie Booking.com, Airbnb und Expedia/Vrbo eingehen. Die Datenschutzbestimmungen dieser Plattformen gelten für die dort getätigten Buchungen zusätzlich.

Weitere Informationen: https://eviivo.com/privacy-policy/

8. Digitaler Check-in und Meldepflichten

8.1 Digitaler Check-in

Vor der Anreise ist ein digitaler Check-in über unser Online-System obligatorisch. Dabei werden insbesondere folgende Daten erhoben: vollständiger Name, Anschrift, E-Mail-Adresse, Telefonnummer, Anzahl und Personalien mitreisender Personen sowie Anreisezeit.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden für die Dauer des Aufenthalts und anschließend gemäß den gesetzlichen Aufbewahrungspflichten gespeichert.

8.2 Meldeschein für ausländische Gäste

Gäste ohne deutsche Staatsangehörigkeit sind gemäß §§ 29, 30 Bundesmeldegesetz (BMG) verpflichtet, am Tag der Ankunft einen Meldeschein auszufüllen und handschriftlich zu unterschreiben. Dabei werden zusätzlich Staatsangehörigkeit und Daten des Identitätsdokuments (Pass oder Passersatz) erhoben.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung). Die Meldescheine werden 12 Monate aufbewahrt und spätestens nach weiteren 3 Monaten vernichtet bzw. gelöscht. Die Meldescheine können von Polizeibehörden, Staatsanwaltschaften, Gerichten, Justizvollzugsbehörden, dem Zollfahndungsdienst, Hauptzollämtern sowie strafverfolgend tätigen Finanzbehörden eingesehen werden.

8.3 Tourismusförderabgabe

Die Stadt Eisenach erhebt eine Tourismusförderabgabe für alle Gäste ab 18 Jahren. Zur Abführung dieser Abgabe übermitteln wir die hierfür erforderlichen Daten (Name, Aufenthaltszeitraum, Anzahl der Personen) an die zuständige Stelle der Stadt Eisenach.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung zur Erhebung und Abführung kommunaler Abgaben).

9. Zugangssystem

Wir setzen ein elektronisches Zugangssystem ein, um Gästen nach erfolgreichem Check-in den Zugang zum Appartement zu ermöglichen. Dabei können technische Daten wie Zeitstempel der Zugangsnutzung verarbeitet werden.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Gebäudesicherheit). Die Daten werden nach Abreise des Gastes gelöscht, sofern keine berechtigten Interessen (z. B. Schadensermittlung) einer früheren Löschung entgegenstehen.

10. Zahlungsabwicklung

Wir bieten folgende Zahlungsarten an: Kreditkarte, PayPal sowie in Einzelfällen Vorkasse/Überweisung.

Bei der Zahlung per Kreditkarte werden Ihre Zahlungsdaten über das Buchungssystem eviivo verarbeitet. Wir selbst speichern keine vollständigen Kreditkartendaten.

Bei Zahlung über PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg, werden Sie auf die Website von PayPal weitergeleitet. PayPal verarbeitet Ihre Zahlungsdaten gemäß den eigenen Datenschutzbestimmungen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

Die Verarbeitung der Zahlungsdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

10.1 Kreditkarten-Vorautorisierung (Kaution)

Soweit eine Kaution gemäß unseren AGB erhoben wird, erfolgt dies per Kreditkarten-Vorautorisierung. Dabei wird ein Betrag auf der Kreditkarte des Gastes als Sicherheit reserviert, ohne dass eine tatsächliche Belastung erfolgt. Die Vorautorisierung wird nach ordnungsgemäßer Rückgabe des Appartements unverzüglich freigegeben.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und Sicherungsvereinbarung).

11. Kontaktaufnahme

Wenn Sie uns per E-Mail, Telefon oder WhatsApp kontaktieren, werden Ihre Angaben einschließlich der von Ihnen mitgeteilten Kontaktdaten zur Bearbeitung Ihrer Anfrage bei uns gespeichert.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Ihre Daten werden gelöscht, sobald Ihre Anfrage abschließend bearbeitet wurde und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

11.1 WhatsApp

Wir bieten die Möglichkeit der Kontaktaufnahme über WhatsApp (Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland). Bitte beachten Sie, dass WhatsApp Zugriff auf das Adressbuch des verwendeten Endgeräts erhält und Metadaten der Kommunikation verarbeitet. Es kann dabei zu einer Datenübermittlung in die USA kommen. Grundlage hierfür ist das EU-U.S. Data Privacy Framework. Die Nutzung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Datenschutzhinweise von WhatsApp: https://www.whatsapp.com/legal/privacy-policy-eea

12. Webanalyse

12.1 Google Analytics 4

Wir verwenden Google Analytics 4, einen Webanalysedienst der Google Ireland Limited. Google Analytics verwendet Cookies und ähnliche Technologien. Google Analytics 4 verwendet standardmäßig keine vollständigen IP-Adressen mehr. Die IP-Anonymisierung erfolgt auf Erhebungsebene. Eine Übermittlung in die USA ist möglich; Grundlage ist das EU-U.S. Data Privacy Framework.

Die Nutzung erfolgt ausschließlich mit Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG.

Weitere Informationen: https://policies.google.com/privacy | Opt-Out: https://tools.google.com/dlpage/gaoptout

12.2 Jetpack Stats (WordPress.com Stats)

Unsere Website nutzt Jetpack Stats von Automattic Inc., San Francisco, USA. Jetpack Stats verwendet ein Tracking-Pixel und ggf. Cookies. Die Nutzung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Datenübermittlungen in die USA erfolgen auf Grundlage des EU-U.S. Data Privacy Framework.

Datenschutzerklärung von Automattic: https://automattic.com/privacy/

13. Weitere Google-Dienste

13.1 Google Maps

Wir binden auf unserer Website den Kartendienst Google Maps der Google Ireland Limited ein. Beim Aufruf der betreffenden Seiten wird eine Verbindung zu den Servern von Google hergestellt. Die Einbindung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG.

13.2 Google Fonts

Unsere Website nutzt Google Fonts zur einheitlichen Darstellung von Schriftarten. Die Schriftarten sind lokal auf unserem Server gespeichert. Eine Verbindung zu Servern von Google wird dabei nicht hergestellt.

13.3 Google Bewertungs-Widget

Wir binden ein Widget zur Darstellung von Google-Bewertungen ein. Die Einbindung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG.

14. Weitere eingebundene Drittdienste

14.1 Gravatar

Wir nutzen den Dienst Gravatar von Automattic Inc. zur Anzeige von Benutzer-Avataren. Die Nutzung erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

14.2 WordPress.org CDN

Unsere Website nutzt das Content Delivery Network (CDN) von WordPress.org. Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

14.3 Jetpack Notifications

Wir verwenden Jetpack Notifications von Automattic Inc. für interne Benachrichtigungen. Die Nutzung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

15. Social-Media-Präsenzen

Wir unterhalten Onlinepräsenzen auf Facebook und Instagram (Meta Platforms Ireland Limited). Beim Aufruf unserer Social-Media-Profile werden durch den Plattformbetreiber Daten verarbeitet. Wir verarbeiten die Daten von Nutzern, die mit uns über die sozialen Netzwerke kommunizieren, auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO.

Hinsichtlich der durch Meta durchgeführten Datenverarbeitung auf unseren Facebook- und Instagram-Seiten sind wir gemeinsam mit Meta Platforms Ireland Ltd. gemäß Art. 26 DSGVO verantwortlich.

Datenschutzhinweise von Meta: https://www.facebook.com/privacy/policy/

16. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Nach Wegfall des Zwecks oder Ablauf der Aufbewahrungsfrist werden die Daten routinemäßig gelöscht oder gesperrt.

Für Buchungs- und Vertragsdaten gelten insbesondere folgende Fristen: 10 Jahre für Buchungsbelege, Rechnungen und steuerrelevante Unterlagen gemäß §§ 147 Abs. 1 AO, 257 Abs. 1 Nr. 1 und 4 HGB; 6 Jahre für Geschäftsbriefe und Handelskorrespondenz gemäß § 257 Abs. 1 Nr. 2 und 3 HGB. Meldescheine ausländischer Gäste werden 12 Monate aufbewahrt und spätestens nach weiteren 3 Monaten vernichtet.

17. Übermittlung in Drittländer

Einige der von uns eingesetzten Dienste haben ihren Sitz außerhalb der EU/des EWR. Für Übermittlungen in die USA stützen wir uns auf das EU-U.S. Data Privacy Framework, soweit die Empfänger hierunter zertifiziert sind. Für Übermittlungen in das Vereinigte Königreich besteht ein Angemessenheitsbeschluss der EU-Kommission. Im Übrigen erfolgen Drittlandübermittlungen auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.

18. Sicherheitsmaßnahmen

Wir treffen nach Maßgabe des Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere die Verschlüsselung der Datenübertragung (SSL/TLS), der Schutz vor unbefugtem Zugang sowie Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslage, behördliche Vorgaben oder Änderungen unserer Dienste und Datenverarbeitungsprozesse anzugleichen. Es gilt die jeweils unter https://carl22.de/datenschutz/ veröffentlichte aktuelle Fassung.