Eine Bosporus-Kreuzfahrt-Buchung umfasst mehr als ein Ticket — ein Boot, eine Boarding-Zeit, einen Speiseplan für die Abendessen-Option, einen privaten Gastgeber für die Yacht. Diese Richtlinie behandelt, was wir erheben, um all das zu koordinieren, warum es nötig ist und wer es sonst sieht. Verständliche Sprache. DSGVO- + KVKK-konform.
Diese Site wird betrieben von Istanbul Tourist Information Ltd., TÜRSAB-Lizenz A-7812, USt-IdNr. 3470891204. Sitz: Sultanahmet Mah. Divan Yolu Cad. 17, 34122 Fatih, Istanbul. Datenschutzbeauftragter: privacy@istanbul-tourist-information.com.
Erfasst bosphorus-tour.com — die Buchungssite für die vier Kreuzfahrtprodukte (Standard, Sonnenuntergang, Abendessen, Private Yacht). Erfasst nicht die eigenen Sites der Bootsbetreiber oder Drittanbieter-Wiederverkäufer.
Vier Kategorien. Mehr für Buchungen der Privaten Yacht (der Gastgeber muss Ernährungspräferenzen und Gruppenprofil kennen), weniger für die normale Tagesfahrt.
Kontakt- & Buchungsdaten — Name des Karteninhabers, E-Mail, Telefon, Boarding-Datum + Slot, Kreuzfahrttyp, Gästezahl, Ernährungspräferenzen (Abendessen-Option), Anlass-Notizen (Private Yacht).
Zahlungsdaten — Karte bei Stripe eingegeben. Letzte vier + Marke werden für die Rechnung aufbewahrt.
Nutzungsdaten — welche Seiten, Referrer, Geräteklasse. Anonymisiert.
Support-Daten — E-Mail und Antwort, 36 Monate Aufbewahrung.
Vertragserfüllung — wir können Kapitän und Gastgeber ohne Buchungsdaten nicht informieren. Art. 6 Abs. 1 lit. b DSGVO.
Rechtliche Verpflichtung — türkisches Steuerrecht erfordert 10-jährige Transaktionsaufzeichnungen. Art. 6 Abs. 1 lit. c DSGVO.
Berechtigtes Interesse — Analyse, Betrugserkennung, Crash-Reports. Opt-out über das Cookie-Panel. Art. 6 Abs. 1 lit. f DSGVO.
Einwilligung — Marketing und Newsletter, ausdrückliches Opt-in. Art. 6 Abs. 1 lit. a DSGVO.
Direkt von Ihnen. Wir kaufen keine Datenlisten, reichern nicht mit Drittquellen an, machen kein Geräte-Fingerprinting. Kartendaten gehen an Stripe; sie geben einen Token zurück.
Buchungsdatensatz: Referenz (BO--Präfix), Kreuzfahrttyp, Boarding-Datum + Uhrzeit, Name des Karteninhabers, Kontakt-E-Mail, Telefon, Gästezahl, Ernährungspräferenzen (sofern zutreffend), Anlass-Notizen, MwSt.-Betrag, Gesamtbetrag, Erstattungshistorie.
Sichtbar für: Sie, unser Support-Team, Kapitän und Gastgeber am Tag (nur Vorname, Gästezahl, Ernährungs- + Anlass-Notizen — niemals Kontaktdaten).
Front als Helpdesk. 36 Monate. Nicht für KI-Training verwendet. Nicht mit Marketing geteilt.
GA4 mit IP-Anonymisierung, Werbe-Signale deaktiviert, Demografie aus. Sentry für Crash-Reports mit PII-Bereinigung. Wir sehen, was kaputt ist, nicht für wen es kaputt war.
| Anbieter | Zweck | Gespeicherte Daten | Region |
|---|---|---|---|
| Stripe | Zahlungen | Karten-Token | EU + US |
| Externe Verkaufs-API | Boots-Inventar + Slot-Reservierung | Kreuzfahrttyp, Slot, Anzahl | Türkiye |
| Transaktions-E-Mail | Bestätigung + Voucher | E-Mail, Zusammenfassung | EU |
| Google Analytics 4 | Anonymisierte Nutzung | Anonyme Sitzungs-ID | EU + US |
| Meta Pixel | Werbeattribution (Opt-in) | Opake ID | EU + US |
| Sentry | Bereinigte Crash-Reports | Fehler-Trace, keine PII | EU |
| Hosting & CDN | Bereitstellung der Site | IP, User-Agent (transient) | EU |
Mit jedem Anbieter ein DPA unterzeichnet, jährliches Audit.
Wir verkaufen, vermieten oder teilen keine Daten für Partner-Marketing. Nur die Anbieter aus Abschnitt 08, gemäß Auftragsverarbeitungs-Anweisungen. Ausnahme bei behördlicher Anordnung: Sie werden benachrichtigt, sofern nicht untersagt.
Buchungsdatensätze — 10 Jahre. Support — 36 Monate. Analyse — 24 Monate. Crash-Reports — 14 Tage. Marketing-Cookies — 90 Tage oder bis zum Widerruf.
Primäre Infrastruktur: EU (Frankfurt, Amsterdam). Stripe und Google leiten in die USA über das EU-US Data Privacy Framework + SCCs.
TLS 1.3. DB-Verschlüsselung im Ruhezustand. 2FA für alle Mitarbeiter. Quartalsweise Penetrationstests. 72-Stunden-Verpflichtung zur Verletzungsmeldung.
Acht Rechte gemäß DSGVO + KVKK.
Vollständige Kopie, 30-Tage-SLA.
Korrekturen am selben Tag.
Außerhalb der 10-Jahres-Aufbewahrung.
Einfrieren während Streitigkeiten.
JSON/CSV-Export.
Verarbeitung auf Basis berechtigter Interessen stoppen.
Keine. Kein Profiling.
KVKK oder EU-Datenschutzbehörde direkt.
Keine wissentliche Erhebung von Daten Minderjähriger unter 16. Eltern, die für Kinder buchen: Karteninhaber ist der Elternteil; nur Vornamen erscheinen auf dem Voucher.
Wesentliche Änderungen: 30-tägige E-Mail-Vorankündigung. Kleinere Änderungen: Versionsnummer im Header wird erhöht.
Eine Person, intern. Erste Antwort innerhalb von acht Werkstunden, 98 % der Fälle innerhalb von fünfzehn Werktagen gelöst.