Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
LMH Last Minute Holiday GmbH
Chausseestrasse 1
15745 Wildau
Deutschland
Telefon: 03375 507131
E-Mail: compliance@lmh-holiday.de
2. Hosting
Diese Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Vercel verarbeitet bei jedem Seitenaufruf automatisch die IP-Adresse des Nutzers sowie technische Metadaten (Browser-Typ, Betriebssystem, Referrer-URL, Zeitstempel). Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen Betrieb der Website). Vercel ist unter dem EU-US Data Privacy Framework zertifiziert.
3. Cookies & Consent
Wir verwenden ein eigenes Consent-Management. Beim ersten Besuch werden Sie gefragt, welche Cookie-Kategorien Sie zulassen möchten:
- Essenziell — für den technischen Betrieb der Seite (immer aktiv). Dazu gehören Supabase-Session-Cookies und Consent-Speicherung.
- Funktional — z.B. gespeicherte Präferenzen
- Statistik — anonymisierte Nutzungsanalyse (Umami) und serverseitige Ereignisprotokollierung
- Marketing — derzeit nicht verwendet
Ihre Einwilligung können Sie jederzeit über den Link "Cookie-Einstellungen" im Footer der Website widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
4. Webanalyse (Umami Cloud)
Wir nutzen Umami Cloud zur anonymisierten Besucheranalyse. Umami speichert keine Cookies und erhebt keine personenbezogenen Daten. Es werden keine IP-Adressen gespeichert. Die Datenverarbeitung erfolgt auf Servern in der EU. Umami wird nur geladen, wenn Sie der Kategorie "Statistik" zugestimmt haben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
5. Aggregierte Seitenaufrufe (ohne Cookies, ohne Einwilligung)
Zur Messung der Gesamtreichweite unserer Website betreiben wir einen eigenen, vollständig aggregierten Zähler. Pro Seitenaufruf wird ausschließlich die folgende Kombination um einen Wert erhöht:
- Aufgerufene Seite (z.B.
/kontakt) - Datum (Tagesgenauigkeit, keine Uhrzeit)
- Grobes Land (aus den Routing-Headern unseres Hosters abgeleitet, z.B.
DE) - Gerätetyp (Desktop, Mobile, Tablet — aus dem User-Agent abgeleitet)
- Hostname der verweisenden Seite (z.B.
google.com, ohne vollständige URL)
Es wird keine IP-Adresse gespeichert, kein Cookie gesetzt, kein Browser-Fingerabdruck erstellt und keine Session- oder Nutzer-ID zugeordnet. Einzelne Besucher sind technisch nicht unterscheidbar; es existieren ausschließlich Tagessummen pro Seite und Kohorte. Da hierbei keine personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet werden, ist keine Einwilligung erforderlich. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweitenmessung des Angebots).
6. Serverseitige Ereignisprotokollierung
Zur Verbesserung unseres Angebots erfassen wir serverseitig pseudonymisierte Nutzungsereignisse (z.B. Suchvorgänge, Funnel-Schritte) zusammen mit einer anonymen Session-ID. Sofern Sie eingeloggt sind, wird die Nutzer-ID zugeordnet. Browser-Typ (User-Agent) wird bei bestimmten Formularen mitgespeichert. Diese Daten werden nur erhoben, wenn Sie der Kategorie "Statistik" zugestimmt haben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
7. Datenbank & Authentifizierung (Supabase)
Für Benutzerkonten und Reisedaten nutzen wir Supabase(929 108th Ave NE, Suite 800, Bellevue, WA 98004, USA). Bei der Registrierung werden E-Mail-Adresse und ein gehashtes Passwort gespeichert. Gespeicherte Reisepläne enthalten die von Ihnen eingegebenen Reisedaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Der Datentransfer in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
8. Flugsuche (Amadeus API)
Für die Flugsuche übermitteln wir Suchanfragen (Abflugort, Zielort, Datum, Personenanzahl) an die Amadeus IT Group SA (C/ Salvador de Madariaga 1, 28027 Madrid, Spanien). Es werden keine personenbezogenen Daten übermittelt — die Suche erfolgt ohne Nutzerkonto-Verknüpfung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
9. Hotelsuche (Booking.com API)
Für die Hotelsuche übermitteln wir Suchanfragen an die Booking.com B.V. (Herengracht 597, 1017 CE Amsterdam, Niederlande). Auch hier werden keine personenbezogenen Nutzerdaten übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
10. Affiliate-Links (Travelpayouts)
Für Buchungslinks nutzen wir den Dienst Travelpayouts(Travelpayouts Limited). Beim Klick auf einen Affiliate-Link werden Sie auf die Seite des jeweiligen Anbieters weitergeleitet. Travelpayouts kann dabei Cookies setzen, um die Vermittlung nachzuverfolgen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Finanzierung des Angebots).
11. Bot-Schutz (Cloudflare Turnstile)
Zum Schutz unserer Formulare vor automatisierten Zugriffen nutzen wir Cloudflare Turnstile (Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA). Turnstile verarbeitet technische Daten (IP-Adresse, Browser-Informationen) zur Bot-Erkennung. Es werden keine sichtbaren CAPTCHAs angezeigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch). Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
12. WhatsApp-Kontakt
Wenn Sie uns per WhatsApp kontaktieren, werden Ihre Nachricht und Telefonnummer über Meta Platforms Ireland Ltd. (4 Grand Canal Square, Dublin 2, Irland) verarbeitet. Die Nutzung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wir empfehlen, keine sensiblen Daten per WhatsApp zu senden.
13. Rückruf-Anfragen
Wenn Sie eine Rückruf-Anfrage stellen, speichern wir Ihren Namen, Telefonnummer und ggf. E-Mail-Adresse, bevorzugte Uhrzeit, Reiseziel und Nachricht. Zusätzlich speichern wir einen gehashten Wert Ihrer IP-Adresse (SHA-256, gekürzt) sowie Ihren Browser-Typ (User-Agent), ausschließlich zur Abwehr von Missbrauch. Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Im Rahmen der Bearbeitung wird eine Benachrichtigung an unser Team über Slack (Salesforce Inc., USA) gesendet, die Ihren Namen und Ihre Kontaktdaten enthält. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) für die Bearbeitung, Art. 6 Abs. 1 lit. f DSGVO für den IP-Hash zum Missbrauchsschutz.
14. Terminbuchungen
Wenn Sie einen Beratungstermin buchen, speichern wir den gewählten Zeitpunkt, Ihren Namen, Telefonnummer, ggf. E-Mail-Adresse, Reiseziel und Nachricht. Zusätzlich speichern wir einen gehashten Wert Ihrer IP-Adresse (SHA-256, gekürzt) und Ihren Browser-Typ (User-Agent) zur Missbrauchsabwehr sowie einen technischen Bestätigungs-Token. Es wird eine Benachrichtigung an unser Team über Slack gesendet. Wenn Sie eine E-Mail-Adresse angeben, versenden wir eine Buchungsbestätigung per E-Mail. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), für den IP-Hash Art. 6 Abs. 1 lit. f DSGVO.
15. Google Ads (Offline-Conversion-Upload)
Wenn Sie über eine Google-Ads-Anzeige auf unsere Website gelangen, übergibt Google in der URL einen anonymen Klick-Identifier ("gclid"). Dieser Wert wird ausschließlich in Ihrem Browser gespeichert (sessionStorage, gelöscht beim Schließen des Tabs) und beim Absenden eines Kontaktformulars an unseren Server übermittelt.
Schließt eine Anfrage erfolgreich ab, übermittelt unser Server den gclid ohne Ihre Kontaktdaten an Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland), ausschließlich zur Konversionsmessung unserer eigenen Werbeanzeigen. Es werden weder Name, Telefon, E-Mail noch IP-Adresse an Google übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung der Werbeausgaben).
Sie können dieser Verarbeitung jederzeit widersprechen, indem Sie unsere Website mit deaktivierten URL-Parametern aufrufen oder den gclid manuell aus der URL entfernen. Eine clientseitige Tracking-Pixel-Integration (Google gtag.js) findet derzeit nicht statt.
16. Reisehinweise (Auswärtiges Amt)
Zur Anzeige von Reise- und Sicherheitshinweisen rufen wir Daten von der API des Auswärtigen Amtes der Bundesrepublik Deutschland ab. Dabei werden keine personenbezogenen Daten Ihrer Nutzer an das Auswärtige Amt übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information der Nutzer).
17. Medienspeicher (Cloudflare R2)
Hochgeladene Bilder und Videos werden bei Cloudflare R2(Cloudflare Inc., USA) gespeichert. Es werden keine personenbezogenen Nutzerdaten an Cloudflare übermittelt. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
18. E-Mail-Versand
Für den Versand transaktionaler E-Mails (z.B. Buchungsbestätigungen) nutzen wir je nach Konfiguration Resend Inc. (USA) oder einen SMTP-Server unseres Mailanbieters. Dabei wird Ihre E-Mail-Adresse sowie der Inhalt der E-Mail an den jeweiligen Dienstleister übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Bei Anbietern außerhalb der EU erfolgt der Datentransfer auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).
19. Feedback
Unser Feedback-Formular erfasst eine Bewertung (1-5 Sterne), optional einen NPS-Score (0-10), eine Freitext-Nachricht, eine anonyme Session-ID sowie den Browser-Typ (User-Agent). Sofern Sie eingeloggt sind, wird Ihre Nutzer-ID zugeordnet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Angebots).
20. Aufbewahrungsfristen
Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist:
- Benutzerkonten — bis zur Kontolöschung durch den Nutzer; danach werden alle verknüpften Daten gelöscht (Kaskadenlöschung)
- Rückruf-Anfragen — 90 Tage nach Abschluss der Bearbeitung
- Terminbuchungen — 12 Monate nach dem Termin (steuerliche Aufbewahrungsfristen vorbehalten)
- Aggregierte Seitenaufrufe — 24 Monate (keine personenbezogenen Daten enthalten)
- Consent-Einträge — 3 Jahre (Nachweis der Einwilligung gemäß DSGVO)
- Nutzungsereignisse — 12 Monate
- Feedback — 12 Monate
- Geteilte Reisen — automatischer Ablauf nach 90 Tagen (konfigurierbar)
21. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO statt.
22. Ihre Rechte (Betroffenenrechte)
Sie haben folgende Rechte gegenüber dem Verantwortlichen:
- Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie gespeichert haben
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer personenbezogenen Daten
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) — Export Ihrer Daten
- Widerspruch (Art. 21 DSGVO) — Widerspruch gegen die Verarbeitung
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter compliance@lmh-holiday.de.
Sie haben zudem das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren. Zuständig ist:
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Stahnsdorfer Damm 77
14532 Kleinmachnow
www.lda.brandenburg.de
23. Datenschutzbeauftragter
Kathrin Burghaus
E-Mail: compliance@lmh-holiday.de
24. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung gilt.