Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Lambus GmbH
Albert-Einstein-Straße 1, 49076 Osnabrück
Deutschland
E-Mail: privacy@lambus.com

2. Gegenstand dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Software Lambus for Business einer cloudbasierten B2B-Lösung zur Digitalisierung, Strukturierung und Darstellung von Reise- und Buchungsinformationen.

Die Erklärung gilt für:

• die Nutzung der Website (lambus.ai),
• die Nutzung der Software Lambus for Business (app.lambus.ai, inkl. Registrierung und Produktdaten) sowie
• die PIN-geschützte Reiseansicht (Trip-Webansicht), die ausschließlich über einen individuellen Zugriffslink unter kundenspezifischen Subdomains von lambus.ai erreichbar ist (siehe Abschnitt 14).

3. Rollenverteilung nach DSGVO

3.1 Kunde als Verantwortlicher

Unsere Kunden (z. B. Reiseveranstalter, Reisebüros, OTAs) sind im datenschutzrechtlichen Sinne Verantwortliche gemäß Art. 4 Nr. 7 DSGVO für die personenbezogenen Daten ihrer Endkunden.

3.2 Anbieter als Auftragsverarbeiter

Wir verarbeiten personenbezogene Daten ausschließlich im Auftrag und nach Weisung unserer Kunden gemäß Art. 28 DSGVO.

Ein entsprechender Auftragsverarbeitungsvertrag (AVV) wird im Rahmen des Self-Onboardings oder separat abgeschlossen.

3.3 Erhebung der Daten nicht bei der betroffenen Person

Personenbezogene Daten der Endkunden werden nicht direkt beim Betroffenen erhoben, sondern vom jeweiligen Kunden im Rahmen der Auftragsverarbeitung übermittelt.

Der Kunde ist als Verantwortlicher verpflichtet, die betroffenen Personen gemäß Art. 13 bzw. Art. 14 DSGVO über die Datenverarbeitung zu informieren.

3.3 Eigene Verantwortlichkeit des Anbieters

Soweit personenbezogene Daten im Zusammenhang mit der Marketingwebsite, der Vertragsbegründung, der Vertragsdurchführung gegenüber dem B2B-Kunden oder im Rahmen von Webanalyse- und Trackingmaßnahmen verarbeitet werden, erfolgt dies in eigener datenschutzrechtlicher Verantwortlichkeit des Anbieters gemäß Art. 4 Nr. 7 DSGVO.

4. Verarbeitete Datenkategorien

Je nach Nutzung der Software können insbesondere folgende personenbezogene Daten verarbeitet werden:

4.1 Endkundendaten (Reisende)

• Vor- und Nachname
• Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer)
• Reisedaten (Reisezeiten, Orte, Unterkünfte, Transportmittel)
• Buchungs- und Referenznummern
• Weitere reisebezogene Informationen aus Buchungsunterlagen

4.2 Kundendaten (B2B-Nutzer)

• Name
• Geschäftsadresse
• Telefonnummer
• geschäftliche E-Mail-Adresse
• Unternehmenszugehörigkeit
• Unternehmenstyp und -website
• Produktinteressen und geschätztes Reisevolumen
• Login- und Nutzungsdaten

Die Bereitstellung der unter Abschnitt 4.2 genannten Daten ist für die Begründung und Durchführung des Vertragsverhältnisses erforderlich. Ohne diese Daten kann die Software nicht bereitgestellt werden.

5. Zwecke der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zu folgenden Zwecken:

• Bereitstellung und Betrieb der Software
• Bedarfsermittlung und Produktempfehlung im Rahmen des Onboardings
• Automatisierte Extraktion und Strukturierung von Reisedaten
• Digitale Darstellung von Reiseplänen (in der App sowie über die PIN-geschützte Trip-Webansicht)
• Support, Fehleranalyse und Produktverbesserung
• Abrechnung und Nutzungsanalyse (B2B)
• Bearbeitung von Kontaktanfragen

Eine Verarbeitung zu anderen Zwecken findet nicht statt.

6. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung erfolgt auf Basis folgender Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Kunden, insbesondere Bereitstellung der Software, Support und Abrechnung sowie Durchführung vorvertraglicher Maßnahmen auf Anfrage, z. B. bei Kontaktanfragen über die Website)
• Art. 28 DSGVO (Verarbeitung im Auftrag der Kunden hinsichtlich Endkundendaten)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Systemstabilität, Fehleranalyse und Missbrauchsprävention)
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern im Einzelfall erforderlich)

7. Self-Onboarding

Im Rahmen des Self-Onboardings können Kunden die Software mit echten Buchungsunterlagen testen.

Der Kunde stellt sicher, dass:

• er zur Verarbeitung der Daten berechtigt ist,
• erforderliche Einwilligungen der Endkunden vorliegen,
• keine unzulässigen oder rechtswidrigen Daten verarbeitet werden.

Der Anbieter übernimmt keine Verantwortung für die Rechtmäßigkeit der vom Kunden bereitgestellten Inhalte.

8. Empfänger & Subunternehmer

Zur Bereitstellung und zum Betrieb der Software setzt der Anbieter im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO sorgfältig ausgewählte Unterauftragsverarbeiter ein. Diese werden vertraglich zur Einhaltung der geltenden datenschutzrechtlichen Vorschriften verpflichtet.

Derzeit werden insbesondere folgende Dienstleister eingesetzt:

• Amazon Web Services (AWS): Empfang von E-Mails, Cloud-Infrastruktur und Speicherung von Dokumenten
• Supabase, Inc.: Bereitstellung der Datenbankinfrastruktur
• Fly.io, Inc.: Hosting und Betrieb der Anwendungsumgebung
• Plus Five Five, Inc. (Resend): Versand systembezogener E-Mails
• Google Cloud EMEA Limited: Verarbeitung von Dokumenteninhalten zur strukturierten Auswertung mittels KI-Modellen
• Braintrust Data, Inc.: Logging und Monitoring von KI-Agenten
• Inngest, Inc.: Steuerung und Verarbeitung von Hintergrundprozessen (Job Queue)
• BunnyWay d.o.o. (bunny.net): Content Delivery Network und Bildauslieferung
• Functional Software, Inc. (Sentry): Fehler- und Performance-Monitoring

Die Verarbeitung erfolgt grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums. Sofern einzelne Dienstleister Daten außerhalb der EU/des EWR verarbeiten oder ein Zugriff aus einem Drittstaat nicht ausgeschlossen werden kann, erfolgt dies ausschließlich unter Einhaltung der gesetzlichen Voraussetzungen gemäß Art. 44 ff. DSGVO, insbesondere auf Grundlage von EU-Standardvertragsklauseln oder eines Angemessenheitsbeschlusses der Europäischen Kommission.

9. Drittlandübermittlung

Im Rahmen der Bereitstellung der Software können personenbezogene Daten durch eingesetzte Unterauftragsverarbeiter auch in Staaten außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, insbesondere in den Vereinigten Staaten von Amerika.

Eine solche Übermittlung erfolgt ausschließlich unter Einhaltung der gesetzlichen Voraussetzungen gemäß Art. 44 ff. DSGVO.

Sofern kein Angemessenheitsbeschluss der Europäischen Kommission für das betreffende Drittland besteht, erfolgt die Übermittlung auf Grundlage geeigneter Garantien im Sinne des Art. 46 DSGVO, insbesondere durch den Abschluss von EU-Standardvertragsklauseln (SCC).

Soweit ein Dienstleister unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Datenübermittlung auf Grundlage des entsprechenden Angemessenheitsbeschlusses der Europäischen Kommission.

Der Anbieter stellt sicher, dass bei allen Drittlandübermittlungen ein angemessenes Datenschutzniveau gewährleistet ist.

10. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO, um personenbezogene Daten zu schützen, insbesondere:

• Verschlüsselung bei Übertragung (TLS)
• Zugriffsbeschränkungen und Rollenmodelle
• Mandantentrennung
• Regelmäßige Backups
• Protokollierung und Monitoring

Details sind im TOMs-Dokument beschrieben.

11. Speicherdauer & Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung der vertraglichen Zwecke erforderlich ist.

Nach Beendigung des Vertragsverhältnisses werden produktive Kundendaten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Daten aus Kontaktanfragen über die Website (z. B. über ein Kontakt- oder Anfrageformular) werden ausschließlich zur Bearbeitung der Anfrage verwendet und nach abschließender Bearbeitung der Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.

Gesetzliche Aufbewahrungspflichten (z. B. handels- oder steuerrechtliche Vorgaben) bleiben unberührt.

12. Rechte der betroffenen Personen

Betroffene Personen haben gemäß DSGVO folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Beschwerde (Art. 77 i.V.m. Art. 13 Abs. 2 lit. d)

Die Ausübung der Betroffenenrechte erfolgt grundsätzlich gegenüber dem jeweiligen Verantwortlichen (Kunden).

Der Anbieter unterstützt den Verantwortlichen im Rahmen des bestehenden Auftragsverarbeitungsverhältnisses bei der Erfüllung von Betroffenenrechten gemäß Art. 28 Abs. 3 lit. e DSGVO.

Betroffene Personen haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde ist insbesondere die

Landesbeauftragte für den Datenschutz Niedersachsen:
Prinzenstraße 5, 30159 Hannover
Telefon: 0511 120-4500, E-Mail: poststelle@lfd.niedersachsen.de
Website: https://www.lfd.niedersachsen.de

Sofern eine Verarbeitung auf einer Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

13. Cookies & Tracking

13.1 Allgemeines

Auf unserer Website (lambus.ai) und in der B2B-Software (app.lambus.ai) setzen wir Cookies und vergleichbare Technologien ein. Die Speicherung und der Zugriff auf Informationen auf Ihrem Endgerät erfolgen ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit widerrufen (siehe Abschnitt 13.6).

13.2 Google Analytics 4

Wir verwenden Google Analytics 4 zur Analyse der Nutzung unserer Dienste, sowohl auf der Website (lambus.ai) als auch in der B2B-App (app.lambus.ai).

• Anbieter: Google LLC, Mountain View, CA 94043, USA
• Zweck: Analyse der Nutzung (Seitenaufrufe, Verweildauer, Interaktionen)
• Verarbeitete Daten: IP-Adresse (anonymisiert), Geräte- und Browserinformationen, Seiteninteraktionen
• Speicherdauer der Analysedaten: 14 Monate
• Drittlandübermittlung: Eine Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework, sofern der Anbieter entsprechend zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

13.3 Microsoft Clarity (nur lambus.ai)

Wir verwenden Microsoft Clarity zur Analyse des Nutzerverhaltens auf unserer Website (lambus.ai).

• Anbieter: Microsoft Corporation, Redmond, WA 98052, USA
• Zweck: Analyse des Nutzerverhaltens mittels Heatmaps und Session Recordings
• Verarbeitete Daten: Mausbewegungen, Klicks, Scrollverhalten, Geräte- und Browserinformationen
• Speicherdauer der Analysedaten: 13 Monate
• Drittlandübermittlung: Eine Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework, sofern der Anbieter entsprechend zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

13.4 Calendly (nur lambus.ai)

Auf unserer Website (lambus.ai) bieten wir die Möglichkeit, über das eingebettete Terminbuchungstool Calendly einen Demo-Termin zu vereinbaren. Calendly wird erst nach Ihrer ausdrücklichen Einwilligung geladen; bis dahin wird statt des Tools ein Platzhalter angezeigt.

• Anbieter: Calendly LLC, 271 17th St NW, Atlanta, GA 30363, USA
• Zweck: Bereitstellung des Buchungstools sowie Vereinbarung und Durchführung von Demo-Terminen
• Verarbeitete Daten bei der Terminbuchung: Name, E-Mail-Adresse, Unternehmensname, Produktinteresse (Auswahl aus vorgegebenen Optionen) sowie der gewählte Termin
• Rechtsgrundlage: Das Laden des Tools erfolgt auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG. Die Verarbeitung der bei der Buchung angegebenen Daten erfolgt zur Durchführung vorvertraglicher Maßnahmen bzw. auf Grundlage unseres berechtigten Interesses an der Kontaktaufnahme und Vorbereitung der Demo gemäß Art. 6 Abs. 1 lit. b und lit. f DSGVO.
• Speicherdauer: Die Buchungsdaten werden gelöscht, sobald sie für die Bearbeitung Ihrer Anfrage nicht mehr erforderlich sind, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Drittlandübermittlung: Eine Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework, sofern der Anbieter entsprechend zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.

13.5 Technisch notwendige Cookies

Zur Speicherung Ihrer Cookie-Einwilligungsentscheidung setzen wir folgenden technisch notwendigen Cookie:

Der Cookie enthält keine personenbezogenen Daten und erfordert keine Einwilligung.

Der in der PIN-geschützten Reiseansicht gesetzte technisch notwendige Cookie ist in Abschnitt 14.2 beschrieben.

13.6 Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern. Die Einwilligung wird pro Domain separat gespeichert. Sie müssen den Widerruf bzw. die Änderung daher auf jeder Domain einzeln vornehmen, auf der Sie zuvor eingewilligt haben:

• Für die Website (lambus.ai): Öffnen Sie lambus.ai und klicken Sie dort im Footer auf den Link „Cookie-Einstellungen".
• Für die B2B-App (app.lambus.ai): Öffnen Sie app.lambus.ai und klicken Sie am Ende dieser Datenschutzerklärung auf „Cookie-Einstellungen ändern".

Nach dem Widerruf werden die gesetzten Cookies auf der jeweiligen Domain gelöscht und die Analysedienste deaktiviert.

14. PIN-geschützte Reiseansicht (Trip-Webansicht)

14.1 Beschreibung und Rollenverteilung

Reisende können die für sie erstellte Reise über einen individuellen, PIN-geschützten Link im Browser aufrufen. Die Reiseansicht ist unter einer kundenspezifischen Subdomain von lambus.ai erreichbar. Der Zugriffslink und die zugehörige PIN werden ausschließlich per Einladungs-E-Mail an die vom jeweiligen Kunden angegebenen Empfänger versendet. Die Reiseansicht ist nicht öffentlich zugänglich; ein Zugriff ist nur mit dem individuellen Zugriffslink und der zugehörigen PIN möglich.

Die in der Reiseansicht dargestellten Reisedaten (insbesondere Namen der Reisenden, Reisezeiten, Reiseziele, Unterkünfte, Transportmittel, Aktivitäten und Reisedokumente) verarbeiten wir als Auftragsverarbeiter im Auftrag des jeweiligen Kunden (siehe Abschnitt 3). Verantwortlicher für diese Daten ist der Kunde, dessen Name in der Reiseansicht angezeigt wird. Betroffenenrechte hinsichtlich der Reisedaten richten Sie bitte an diesen Kunden; wir unterstützen ihn bei der Beantwortung gemäß Art. 28 Abs. 3 lit. e DSGVO.

Für die technische Bereitstellung der Reiseansicht (Hosting, Server-Logfiles, Zugriffsschutz und Fehler-Monitoring) ist die Lambus GmbH als technischer Betreiber verantwortlich. Rechtsgrundlage dieser Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb sowie am Schutz der Reisedaten vor unbefugtem Zugriff).

14.2 Zugriffsschutz und technisch notwendiger Cookie

Der Zugriff auf die Reiseansicht ist durch eine PIN geschützt. Nach erfolgreicher PIN-Eingabe setzen wir folgenden technisch notwendigen Cookie:

Die Speicherung ist für die Bereitstellung des ausdrücklich angeforderten Dienstes unbedingt erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG) und bedarf keiner Einwilligung.

14.3 Kein Tracking

In der Reiseansicht setzen wir keine Analyse- oder Tracking-Dienste ein; Abschnitt 13 gilt für die Reiseansicht nicht. Es werden ausschließlich technisch notwendige Cookies gesetzt. Zur Fehleranalyse kommt Sentry zum Einsatz (siehe Abschnitt 15).

Die Reiseansicht ist von der Indexierung durch Suchmaschinen ausgenommen (noindex/nofollow).

15. Fehler- und Performance-Monitoring (Sentry)

Zur Sicherstellung der Stabilität, Sicherheit und Funktionsfähigkeit unserer Dienste setzen wir auf unserer Website (lambus.ai), in der B2B-Software (app.lambus.ai) und in der PIN-geschützten Reiseansicht (Trip-Webansicht) den Dienst Sentry der Functional Software, Inc., USA, ein.

• Zweck: Automatisierte Erkennung und Analyse technischer Fehler sowie Performance- und Stabilitätsüberwachung
• Verarbeitete Daten: Technische Fehler- und Nutzungsdaten (insbesondere Zeitstempel, Fehlertyp, Stacktrace, aufgerufene URL)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht in einem sicheren, stabilen und störungsfreien Betrieb unserer Dienste. Geeignete technische Schutzmaßnahmen zur Datenminimierung sind implementiert.
• Speicherdauer: maximal 90 Tage
• Drittlandübermittlung: Eine Übermittlung personenbezogener Daten in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission zum EU-US Data Privacy Framework, sofern der Anbieter entsprechend zertifiziert ist. Andernfalls erfolgt die Übermittlung auf Grundlage von EU-Standardvertragsklauseln gemäß Art. 46 DSGVO.
• Widerspruchsrecht: Sie haben gemäß Art. 21 DSGVO das Recht, der Verarbeitung jederzeit zu widersprechen (privacy@lambus.com).

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an rechtliche oder technische Änderungen anzupassen.

Bei wesentlichen Änderungen, die die Verarbeitung personenbezogener Daten betreffen, informieren wir registrierte Nutzer in geeigneter Weise (z. B. per E-Mail oder In-App-Hinweis).

Die jeweils aktuelle Version ist jederzeit auf der Website abrufbar.

17. Kontakt

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

E-Mail: privacy@lambus.com

Hinweis: Diese Datenschutzerklärung richtet sich an Geschäftskunden sowie an Reisende, die die PIN-geschützte Reiseansicht nutzen, und bildet die Grundlage für einen DSGVO-konformen Betrieb der Software.