Lambus For Business

Datenschutzerklärung

für die Nutzung der B2B-Software Lambus for Business

Stand: 10.03.2026

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Lambus GmbH
Albert-Einstein-Straße 1, 49076 Osnabrück
Deutschland
E-Mail: privacy@lambus.com

2. Gegenstand dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Software Lambus for Business einer cloudbasierten B2B-Lösung zur Digitalisierung, Strukturierung und Darstellung von Reise- und Buchungsinformationen.

Die Erklärung gilt sowohl für:

  • die Nutzung der Website (lambus.ai) als auch
  • die Nutzung der Software Lambus for Business (app.lambus.ai, inkl. Registrierung und Produktdaten).

3. Rollenverteilung nach DSGVO

3.1 Kunde als Verantwortlicher

Unsere Kunden (z. B. Reiseveranstalter, Reisebüros, OTAs) sind im datenschutzrechtlichen Sinne Verantwortliche gemäß Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten ihrer Endkunden.

3.2 Anbieter als Auftragsverarbeiter

Wir verarbeiten personenbezogene Daten ausschließlich im Auftrag und nach Weisung unserer Kunden gemäß Art. 28 DSGVO.

Ein entsprechender Auftragsverarbeitungsvertrag (AVV) wird im Rahmen des Self-Onboardings oder separat abgeschlossen.

3.3 Erhebung der Daten nicht bei der betroffenen Person

Personenbezogene Daten der Endkunden werden nicht direkt beim Betroffenen erhoben, sondern vom jeweiligen Kunden im Rahmen der Auftragsverarbeitung übermittelt.

Der Kunde ist als Verantwortlicher verpflichtet, die betroffenen Personen gemäß Art. 13 bzw. Art. 14 DSGVO über die Datenverarbeitung zu informieren.

3.3 Eigene Verantwortlichkeit des Anbieters

Soweit personenbezogene Daten im Zusammenhang mit der Marketingwebsite, der Vertragsbegründung, der Vertragsdurchführung gegenüber dem B2B-Kunden oder im Rahmen von Webanalyse- und Trackingmaßnahmen verarbeitet werden, erfolgt dies in eigener datenschutzrechtlicher Verantwortlichkeit des Anbieters gemäß Art. 4 Nr. 7 DSGVO.

4. Verarbeitete Datenkategorien

Je nach Nutzung der Software können insbesondere folgende personenbezogene Daten verarbeitet werden:

4.1 Endkundendaten (Reisende)

  • Vor- und Nachname
  • Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer)
  • Reisedaten (Reisezeiten, Orte, Unterkünfte, Transportmittel)
  • Buchungs- und Referenznummern
  • Weitere reisebezogene Informationen aus Buchungsunterlagen

4.2 Kundendaten (B2B-Nutzer)

  • Name
  • Geschäftsadresse
  • Telefonnummer
  • geschäftliche E-Mail-Adresse
  • Unternehmenszugehörigkeit
  • Unternehmenstyp und -website
  • Produktinteressen und geschätztes Reisevolumen
  • Login- und Nutzungsdaten

Die Bereitstellung der unter Abschnitt 4.2 genannten Daten ist für die Begründung und Durchführung des Vertragsverhältnisses erforderlich. Ohne diese Daten kann die Software nicht bereitgestellt werden.

5. Zwecke der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

  • Bereitstellung und Betrieb der Software
  • Bedarfsermittlung und Produktempfehlung im Rahmen des Onboardings
  • Automatisierte Extraktion und Strukturierung von Reisedaten
  • Digitale Darstellung von Reiseplänen
  • Support, Fehleranalyse und Produktverbesserung
  • Abrechnung und Nutzungsanalyse (B2B)
  • Bearbeitung von Kontaktanfragen

Eine Verarbeitung zu anderen Zwecken findet nicht statt.

6. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden, insbesondere Bereitstellung der Software, Support und Abrechnung sowie Durchführung vorvertraglicher Maßnahmen auf Anfrage, z. B. bei Kontaktanfragen über die Website)
  • Art. 28 DSGVO (Verarbeitung im Auftrag der Kunden hinsichtlich Endkundendaten)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Systemstabilität, Fehleranalyse und Missbrauchsprävention)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern im Einzelfall erforderlich)

7. Self-Onboarding

Im Rahmen des Self-Onboardings können Kunden die Software mit echten Buchungsunterlagen testen.

Der Kunde stellt sicher, dass:

  • er zur Verarbeitung der Daten berechtigt ist,
  • erforderliche Einwilligungen der Endkunden vorliegen,
  • keine unzulässigen oder rechtswidrigen Daten verarbeitet werden.

Der Anbieter übernimmt keine Verantwortung für die Rechtmäßigkeit der vom Kunden bereitgestellten Inhalte.

8. Empfänger & Subunternehmer

Zur Bereitstellung und zum Betrieb der Software setzt der Anbieter im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO sorgfältig ausgewählte Unterauftragsverarbeiter ein. Diese werden vertraglich zur Einhaltung der geltenden datenschutzrechtlichen Vorschriften verpflichtet.

Derzeit werden insbesondere folgende Dienstleister eingesetzt:

  • Amazon Web Services (AWS) – Empfang von E-Mails, Cloud-Infrastruktur und Speicherung von Dokumenten
  • Supabase, Inc. – Bereitstellung der Datenbankinfrastruktur
  • Fly.io, Inc. – Hosting und Betrieb der Anwendungsumgebung
  • Plus Five Five, Inc. (Resend) – Versand systembezogener E-Mails
  • Google LLC (Gemini AI über Google AI Services) – Verarbeitung von Dokumenteninhalten zur strukturierten Auswertung mittels KI-Modellen
  • Braintrust Data, Inc. – Logging und Monitoring von KI-Agenten
  • Inngest, Inc. – Steuerung und Verarbeitung von Hintergrundprozessen (Job Queue)
  • BunnyWay d.o.o. (bunny.net) – Content Delivery Network und Bildauslieferung

Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Sofern einzelne Dienstleister Daten außerhalb der EU/des EWR verarbeiten oder ein Zugriff aus einem Drittstaat nicht ausgeschlossen werden kann, erfolgt dies ausschließlich unter Einhaltung der gesetzlichen Voraussetzungen gemäß Art. 44 ff. DSGVO, insbesondere auf Grundlage von EU-Standardvertragsklauseln oder eines Angemessenheitsbeschlusses der Europäischen Kommission.

9. Drittlandübermittlung

Im Rahmen der Bereitstellung der Software können personenbezogene Daten durch eingesetzte Unterauftragsverarbeiter auch in Staaten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, insbesondere in den Vereinigten Staaten von Amerika.

Eine solche Übermittlung erfolgt ausschließlich unter Einhaltung der gesetzlichen Voraussetzungen gemäß Art. 44 ff. DSGVO.

Sofern kein Angemessenheitsbeschluss der Europäischen Kommission für das betreffende Drittland besteht, erfolgt die Übermittlung auf Grundlage geeigneter Garantien im Sinne des Art. 46 DSGVO, insbesondere durch den Abschluss von EU-Standardvertragsklauseln (SCC).

Soweit ein Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Datenübermittlung auf Grundlage des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission.

Der Anbieter stellt sicher, dass bei allen Drittlandübermittlungen ein angemessenes Datenschutzniveau gewährleistet ist.

10. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um personenbezogene Daten zu schützen, insbesondere:

  • Verschlüsselung bei Übertragung (TLS)
  • Zugriffsbeschränkungen und Rollenmodelle
  • Mandantentrennung
  • Regelmäßige Backups
  • Protokollierung und Monitoring

Details sind im TOMs-Dokument beschrieben.

11. Speicherdauer & Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung der vertraglichen Zwecke erforderlich ist.

Nach Beendigung des Vertragsverhältnisses werden produktive Kundendaten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Daten aus Kontaktanfragen über die Website (z. B. über ein Kontakt- oder Anfrageformular) werden ausschließlich zur Bearbeitung der Anfrage verwendet und nach abschließender Bearbeitung der Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Gesetzliche Aufbewahrungspflichten (z. B. handels- oder steuerrechtliche Vorgaben) bleiben unberührt.

12. Rechte der betroffenen Personen

Betroffene Personen haben gemäß DSGVO folgende Rechte:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch (Art. 21 DSGVO)
  • Recht auf Beschwerde (Art. 77 i.V.m. Art. 13 Abs. 2 lit. d)

Die Ausübung der Betroffenenrechte erfolgt grundsätzlich gegenüber dem jeweiligen Verantwortlichen (Kunden).

Der Anbieter unterstützt den Verantwortlichen im Rahmen des bestehenden Auftragsverarbeitungsverhältnisses bei der Erfüllung von Betroffenenrechten gemäß Art. 28 Abs. 3 lit. e DSGVO.

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde ist insbesondere die

Landesbeauftragte für den Datenschutz Niedersachsen:
Prinzenstraße 5, 30159 Hannover
Telefon: 0511 120-4500, E-Mail: poststelle@lfd.niedersachsen.de
Website: https://www.lfd.niedersachsen.de

Sofern eine Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

13. Cookies & Tracking

13.1 Allgemeines

Auf der Website (lambus.ai) setzen wir Cookies und vergleichbare Technologien ein. Die Speicherung und der Zugriff auf Informationen auf Ihrem Endgerät erfolgen ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit widerrufen (siehe Abschnitt 13.4).

13.2 Google Analytics 4

  • Anbieter: Google LLC, Mountain View, CA 94043, USA
  • Zweck: Analyse der Websitenutzung (Seitenaufrufe, Verweildauer, Interaktionen)
  • Verarbeitete Daten: IP-Adresse (anonymisiert), Geräte- und Browserinformationen, Seiteninteraktionen
  • Speicherdauer der Analysedaten: 14 Monate
  • Drittlandübermittlung: Eine Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework, sofern der Anbieter entsprechend zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

13.3 Microsoft Clarity

  • Anbieter: Microsoft Corporation, Redmond, WA 98052, USA
  • Zweck: Analyse des Nutzerverhaltens mittels Heatmaps und Session Recordings
  • Verarbeitete Daten: Mausbewegungen, Klicks, Scrollverhalten, Geräte- und Browserinformationen
  • Speicherdauer der Analysedaten: 13 Monate
  • Drittlandübermittlung: Eine Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework, sofern der Anbieter entsprechend zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

13.4 Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie im Footer der Website (lambus.ai) auf den Link „Cookie-Einstellungen" klicken. Nach dem Widerruf werden die gesetzten Cookies gelöscht und die Analysedienste deaktiviert.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an rechtliche oder technische Änderungen anzupassen.

Bei wesentlichen Änderungen, die die Verarbeitung personenbezogener Daten betreffen, informieren wir registrierte Nutzer in geeigneter Weise (z. B. per E-Mail oder In-App-Hinweis).

Die jeweils aktuelle Version ist jederzeit auf der Website abrufbar.

15. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

E-Mail: privacy@lambus.com

Hinweis: Diese Datenschutzerklärung richtet sich an Geschäftskunden und bildet die Grundlage für einen DSGVO-konformen Betrieb der Software.