Inselbahn Helgoland
Zur Startseite

Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Helgoländer Dienstleistungs GmbH
Von-Aschen-Str. 594
27498 Helgoland
Telefon: +49 160 4170905
E-Mail: info@helgolandbahn.de

Geschäftsführer: Kay Martens

2. Hosting

Unsere Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Besuch unserer Website werden automatisch Informationen (z. B. IP-Adresse, Zeitpunkt des Zugriffs, verwendeter Browser) in sogenannten Server-Logfiles gespeichert. Diese Daten sind technisch notwendig, um die Website korrekt auszuliefern, und werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO verarbeitet (berechtigtes Interesse an einer stabilen und sicheren Bereitstellung der Website).

Vercel kann Daten in die USA übertragen. Die Datenübermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln. Weitere Informationen finden Sie in der Datenschutzerklärung von Vercel unter vercel.com/legal/privacy-policy.

3. Webanalyse mit Plausible Analytics

Wir verwenden Plausible Analytics, einen datenschutzfreundlichen Webanalysedienst. Plausible setzt keine Cookies, verwendet kein Fingerprinting und erhebt keine personenbezogenen Daten. Alle erfassten Daten sind vollständig anonymisiert und lassen keinen Rückschluss auf einzelne Personen zu. Die Nutzung von Plausible erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der statistischen Analyse des Nutzungsverhaltens zur Verbesserung unseres Angebots).

Da Plausible keine personenbezogenen Daten erhebt und keine Cookies setzt, ist keine Einwilligung gemäß DSGVO oder ePrivacy-Richtlinie erforderlich. Weitere Informationen finden Sie unter plausible.io/data-policy.

4. Kontaktformular & Kontaktaufnahme

Wenn Sie uns über das Kontaktformular, per E-Mail oder WhatsApp kontaktieren, werden die von Ihnen mitgeteilten Daten (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachrichteninhalt) zum Zweck der Bearbeitung Ihrer Anfrage verarbeitet und gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung bzw. Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

Ihre Daten werden gelöscht, sobald die Anfrage abschließend bearbeitet wurde und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

5. Buchungsdaten & Zahlungsabwicklung

Bei der Buchung einer Tour erheben wir die für die Vertragserfüllung notwendigen Daten (Name, E-Mail-Adresse, Buchungsdetails). Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Die Zahlungsabwicklung erfolgt über Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA. Im Rahmen der Zahlung werden Ihre Zahlungsdaten direkt an Stripe übermittelt und dort verarbeitet. Wir haben keinen Zugriff auf vollständige Kreditkarten- oder Bankdaten. Die Datenübermittlung an Stripe erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe unter stripe.com/de/privacy.

6. SSL/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

7. Rechte der betroffenen Personen

Als betroffene Person haben Sie nach der DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, die Sie betreffenden Daten in einem gängigen, maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einlegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit an uns wenden unter: info@helgolandbahn.de

8. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD)
Holstenstraße 98
24103 Kiel
www.datenschutzzentrum.de

9. Cookies

Diese Website verwendet keine Cookies. Wir setzen weder eigene noch Drittanbieter-Cookies ein. Es findet kein Tracking mittels Cookies, Fingerprinting oder vergleichbarer Technologien statt. Eine Einwilligung gemäß Art. 7 DSGVO i. V. m. § 25 TDDDG (ehemals TTDSG) ist daher nicht erforderlich.

10. Datenbank & Datenspeicherung (Supabase)

Für die Speicherung von Buchungsdaten, Tourverfügbarkeiten und anonymisierten Chat-Zusammenfassungen nutzen wir Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992. Supabase betreibt die Datenbank auf Basis von PostgreSQL in EU-Rechenzentren (Frankfurt/Main).

Gespeicherte Daten:

  • Buchungsdaten: Name, E-Mail, Telefon (optional), Buchungsdetails, Zahlungsstatus
  • Tour- und Fahrplandaten (keine personenbezogenen Daten)
  • Anonymisierte Chat-Zusammenfassungen (siehe Abschnitt 11)

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Buchungsdaten und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für anonymisierte Analysen. Buchungsdaten werden nach Ablauf der gesetzlichen Aufbewahrungsfristen (6 bzw. 10 Jahre gemäß HGB/AO) gelöscht. Weitere Informationen: supabase.com/privacy.

11. KI-Chatbot

Auf unserer Website bieten wir einen KI-gestützten Chatbot an.

a) Zweck

Beantwortung von Fragen zu Touren, Preisen, Abfahrtszeiten und allgemeinen Informationen über Helgoland.

b) Rechtsgrundlage

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) via Consent-Screen vor Chatbeginn. Für die Speicherung anonymisierter Themenzusammenfassungen: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Analyse und Verbesserung unseres Kundenservices.

c) Verarbeitete Daten

Ihre Texteingaben im Chat.

d) Empfänger & Drittlandtransfer

Ihre Chat-Nachrichten werden zur Verarbeitung an OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA übermittelt. Es wird das Modell „GPT-5.4-mini“ verwendet. Die Datenübermittlung erfolgt auf Basis von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) und dem Data Processing Agreement von OpenAI. OpenAI nutzt API-Daten nicht für Modelltraining. Zusätzlich wird der Parameter store: falsegesetzt, sodass OpenAI die übermittelten Daten nicht speichert.

Weitere Informationen: openai.com/policies/privacy-policy

e) Speicherdauer

Ihre Chatnachrichten werden nicht persistent gespeichert. Sobald Sie den Chat schließen oder die Seite verlassen, werden alle Nachrichten im Browser unwiderruflich gelöscht. Auf unseren Servern werden keine vollständigen Konversationen vorgehalten.

Lediglich anonymisierte Themenzusammenfassungen (z. B. „Frage zu Hunden“) werden zur Serviceverbesserung erfasst. Diese enthalten:

  • Das Thema der Anfrage (max. 2–3 Sätze)
  • Thematische Kategorien (z. B. „preise“, „hunde“, „stornierung“)
  • Einen Erfolgsstatus (ob die Anfrage beantwortet werden konnte)
  • Die Anzahl der Nachrichten

Keine personenbezogenen Daten: Die Zusammenfassungen enthalten keine Namen, E-Mail-Adressen, Telefonnummern, IP-Adressen oder sonstige personenbezogene Daten.

f) Widerruf

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie den Chat schließen und die Seite neu laden. Die Einwilligung wird nur für die Dauer der Browser-Sitzung gespeichert (sessionStorage) und verfällt automatisch.

g) KI-Kennzeichnung (EU-KI-Verordnung)

Alle Antworten des Chatbots sind als „KI-generierte Antwort“ gekennzeichnet. Dies erfolgt gemäß den Transparenzanforderungen der EU-KI-Verordnung (KI-VO / AI Act).

h) Keine Erhebung personenbezogener Daten

Der Chatbot erfragt und speichert keine personenbezogenen Daten. Bitte geben Sie im Chat keine persönlichen Informationen wie Namen, Adressen, Telefonnummern oder Zahlungsdaten ein. Sollten Sie versehentlich personenbezogene Daten im Chat eingeben, werden diese mit dem Schließen des Chats gelöscht und erscheinen nicht in der anonymisierten Zusammenfassung.

i) Missbrauchsschutz

Zum Schutz vor Missbrauch werden folgende Maßnahmen eingesetzt:

  • Rate-Limiting: Begrenzung auf 20 Nachrichten pro Minute pro IP-Adresse
  • Eingabebegrenzung: Nachrichten sind auf 500 Zeichen limitiert
  • Konversationsverlauf: Nur die letzten 10 Nachrichten werden zur Verarbeitung gesendet
  • Prompt-Injection-Erkennung: Automatische Erkennung und Abwehr von Manipulationsversuchen (25+ Regex-Filter)

Dabei wird die IP-Adresse temporär im Arbeitsspeicher verarbeitet (max. 1 Minute) und nicht dauerhaft gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch).

12. Aufbewahrungsfristen

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Buchungsdaten:10 Jahre (gesetzliche Aufbewahrungspflicht gem. § 147 AO, § 257 HGB)
  • Kontaktanfragen:Bis zur abschließenden Bearbeitung, danach Löschung
  • Chat-Zusammenfassungen: 12 Monate (anonymisiert, keine personenbezogenen Daten)
  • Server-Logfiles: 30 Tage (Vercel)

13. Änderung der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen unseres Angebots anzupassen. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Stand: April 2026