Last Updated: 15/05/2023

DATENSCHUTZERKLÄRUNG FÜR SCENIC CRUISES INTERNATIONAL GmbH 
 

Vorwort 

 

Wir, die Scenic Cruises International GmbH, Wallbrunnstr. 24, 79539 Lörrach (nachfolgend gemeinsam: "das Unternehmen", "wir" oder "uns"), nehmen den Schutz Ihrer personenbezogenen Daten ernst und möchten Sie an dieser Stelle über den Datenschutz in unserem Unternehmen informieren. 

 
Uns sind im Rahmen unserer datenschutzrechtlichen Verantwortlichkeit durch das Inkrafttreten der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679; nachfolgend: "DS-GVO") zusätzliche Pflichten auferlegt worden, um den Schutz personenbezogener Daten der von einer Verarbeitung betroffenen Person (wir sprechen Sie als betroffene Person nachfolgend auch mit "Kunde", "Nutzer", "Sie", "Ihnen" oder "Betroffener" an) sicherzustellen. 

 
Soweit wir entweder alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheiden, umfasst dies vor allem die Pflicht, Sie transparent über Art, Umfang, Zweck, Dauer und Rechtsgrundlage der Verarbeitung zu informieren (vgl. Art. 13 und 14 DS-GVO). Mit dieser Erklärung (nachfolgend: "Datenschutzhinweise") informieren wir Sie darüber, in welcher Weise Ihre personenbezogenen Daten von uns verarbeitet werden. 
 
Unsere Datenschutzhinweise sind modular aufgebaut. Sie bestehen aus einem allgemeinen Teil für jegliche Verarbeitung personenbezogener Daten und Verarbeitungssituationen, die bei jedem Aufruf einer Webseite oder Online-Buchung und/oder der Teilnahme an einer unserer Reisen zum Tragen kommen (A. Allgemeines) und einem besonderen Teil, dessen Inhalt sich jeweils nur auf die dort angegebene Verarbeitungssituation mit Bezeichnung des jeweiligen Angebots oder Produkts bezieht, insbesondere den hier näher ausgestalteten Besuch von Webseiten (B. Besuch von Webseiten und Online-Buchung) sowie der Teilnahme an einer unserer Reisen (C. Teilnahme an einer Reise). 
 
A. Allgemeines 
 
(1) Begriffsbestimmungen 
 
Nach dem Vorbild des Art. 4 DS-GVO liegen dieser Datenschutzhinweise folgende Begriffsbestimmungen zugrunde: 
 
– "Personenbezogene Daten" (Art. 4 Nr. 1 DS-GVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("Betroffener") beziehen. Identifizierbar ist eine Person, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Online-Kennung, Standortdaten oder mithilfe von Informationen zu ihren physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitätsmerkmalen identifiziert werden kann. Die Identifizierbarkeit kann auch mittels einer Verknüpfung von derartigen Informationen oder anderem Zusatzwissen gegeben sein. Auf das Zustandekommen, die Form oder die Verkörperung der Informationen kommt es nicht an (auch Fotos, Video- oder Tonaufnahmen können personenbezogene Daten enthalten). 
 
– "Verarbeiten" (Art. 4 Nr. 2 DS-GVO) ist jeder Vorgang, bei dem mit personenbezogenen Daten umgegangen wird, gleich ob mit oder ohne Hilfe automatisierter (d.h. technikgestützter) Verfahren. Dies umfasst insbesondere das Erheben (d.h. die Beschaffung), das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder sonstige Bereitstellung, den Abgleich, die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten sowie die Änderung einer Ziel- oder Zweckbestimmung, die einer Datenverarbeitung ursprünglich zugrunde gelegt wurde. 
 
– "Verantwortlicher" (Art. 4 Nr. 7 DS-GVO) ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. 
 
– "Dritter" (Art. 4 Nr. 10 DS-GVO) ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer dem Betroffenen, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; dazu gehören auch andere konzernangehörige juristische Personen. 
 
– "Auftragsverarbeiter" (Art. 4 Nr. 8 DS-GVO) ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen, insbesondere gemäß dessen Weisungen, verarbeitet (z. B. IT-Dienstleister). Im datenschutzrechtlichen Sinne ist ein Auftragsverarbeiter insbesondere kein Dritter. 
 
– "Einwilligung" (Art. 4 Nr. 11 DS-GVO) der betroffenen Person bezeichnet jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 
 
(2) Name und Anschrift des für die Verarbeitung Verantwortlichen 
 
Die für die Verarbeitung Ihrer personenbezogenen Daten verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DS-GVO sind wir: 
Scenic Cruises International GmbH 
Wallbrunnstr. 24 
79539 Lörrach 
Telefon 0800 554 1415, E-Mail: cruises@scenic.eu   
 
(3) Kontaktdaten des Datenschutzbeauftragten 
 
Bei allen Fragen und als Ansprechpartner zum Thema Datenschutz bei uns steht Ihnen unser betrieblicher Datenschutzbeauftragter jederzeit zur Verfügung. Seine Kontaktdaten sind: 
Damien Thomas 
Scenic Tours Europe AG 
Dammstrasse 21 
6300 Zug 
Schweiz 
E-Mail: cruises@scenic.eu   
 
(4) Rechtsgrundlagen der Datenverarbeitung 
 
Von Gesetzes wegen ist im Grundsatz jede Verarbeitung personenbezogener Daten verboten und nur dann erlaubt, wenn die Datenverarbeitung unter einen der folgenden Rechtfertigungstatbestände fällt: 
 
– Art. 6 Abs. 1 S. 1 lit. a DS-GVO ("Einwilligung"): Wenn der Betroffene freiwillig, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung zu verstehen gegeben hat, dass er mit der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden ist; 
 
– Art. 6 Abs. 1 S. 1 lit. b DS-GVO: Wenn die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist, oder zur Durchführung vorvertraglicher Maßnahmen (etwa eine Buchungsanfrage) erforderlich ist, die auf die Anfrage des Betroffenen erfolgen; 
 
– Art. 6 Abs. 1 S. 1 lit. c DS-GVO: Wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (z. B. eine gesetzliche Aufbewahrungspflicht); 
 
– Art. 6 Abs. 1 S. 1 lit. d DS-GVO: Wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen; 
 
– Art. 6 Abs. 1 S. 1 lit. e DS-GVO: Wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder 
 
– Art. 6 Abs. 1 S. 1 lit. f DS-GVO ("Berechtigte Interessen"): Wenn die Verarbeitung zur Wahrung berechtigter (insbesondere rechtlicher oder wirtschaftlicher) Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die gegenläufigen Interessen oder Rechte des Betroffenen überwiegen (insbesondere dann, wenn es sich dabei um einen Minderjährigen handelt). 
 
Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils die anwendbare Rechtsgrundlage an. Eine Verarbeitung kann auch auf mehreren Rechtsgrundlagen beruhen. 
 
(5) Datenlöschung und Speicherdauer 
 
Für die von uns vorgenommenen Verarbeitungsvorgänge geben wir im Folgenden jeweils an, wie lange die Daten bei uns gespeichert und wann sie gelöscht oder gesperrt werden. Soweit nachfolgend keine ausdrückliche Speicherdauer angegeben wird, werden Ihre personenbezogenen Daten gelöscht oder gesperrt, sobald der Zweck oder die Rechtsgrundlage für die Speicherung entfällt. Eine Speicherung Ihrer Daten erfolgt grundsätzlich nur auf unseren Servern in Deutschland, vorbehaltlich einer ggf. erfolgenden Weitergabe nach den Regelungen in A.(7) und A.(8). 
 
Eine Speicherung kann jedoch über die angegebene Zeit hinaus im Falle einer (drohenden) Rechtsstreitigkeit mit Ihnen oder eines sonstigen rechtlichen Verfahrens erfolgen oder wenn die Speicherung durch gesetzliche Vorschriften, denen wir als Verantwortlicher unterliegen (zB § 257 HGB, § 147 AO), vorgesehen ist. Wenn die durch die gesetzlichen Vorschriften vorgeschriebene Speicherfrist abläuft, erfolgt eine Sperrung oder Löschung der personenbezogenen Daten, es sei denn, dass eine weitere Speicherung durch uns erforderlich ist und dafür eine Rechtsgrundlage besteht. 
 
(6) Datensicherheit 
 
Wir bedienen uns geeigneter technischer und organisatorischer Sicherheitsmaßnahmen, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen (z.B. TLS (Transport layer security) -Verschlüsselung für unsere Webseite) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Natur, des Umfangs, des Kontextes und des Zwecks der Verarbeitung sowie der bestehenden Risiken einer Datenpanne (inklusive von deren Wahrscheinlichkeit und Auswirkungen) für den Betroffenen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert. 
 
Nähere Informationen hierzu erteilen wir Ihnen auf Anfrage gerne. Wenden Sie sich hierzu bitte an unseren Datenschutzbeauftragten (siehe unter A.(3)). 
 
(7) Zusammenarbeit mit Auftragsverarbeitern 
 
Wie bei jedem größeren Unternehmen, setzen auch wir zur Abwicklung unseres Geschäftsverkehrs externe in- und ausländische Dienstleister ein (z. B. für die Bereiche IT, Logistik, Telekommunikation, Vertrieb und Marketing). Diese werden nur nach unserer Weisung tätig und wurden iSv Art. 28 DS-GVO vertraglich dazu verpflichtet, die datenschutzrechtlichen Bestimmungen einzuhalten. 
 
Sofern personenbezogene Daten von Ihnen durch uns an unsere Tochtergesellschaften weitergegeben werden oder von unseren Tochtergesellschaften an uns weitergegeben werden (z.B. zu werblichen Zwecken), geschieht dies aufgrund von bestehenden Auftragsverarbeitungsverhältnissen. 

(8) Voraussetzungen der Weitergabe von personenbezogenen Daten in Drittländer    Im Rahmen unserer Geschäftsbeziehungen können Ihre personenbezogenen Daten an Drittgesellschaften weitergegeben oder offengelegt werden. Diese können sich auch außerhalb des Europäischen Wirtschaftsraums (EWR), also in Drittländern, befinden. Eine derartige Verarbeitung erfolgt ausschließlich zur Erfüllung der vertraglichen und geschäftlichen Verpflichtungen und zur Pflege Ihrer Geschäftsbeziehung zu uns. Über die jeweiligen Einzelheiten der Weitergabe unterrichten wir Sie nachfolgend an den dafür relevanten Stellen.    Einigen Drittländern bescheinigt die Europäische Kommission durch sog. Angemessenheitsbeschlüsse einen Datenschutz, der dem EWR-Standard vergleichbar ist (eine Liste dieser Länder sowie eine Kopie der Angemessenheitsbeschlüsse erhalten Sie hier: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en). In anderen Drittländern, in die ggf. personenbezogene Daten übertragen werden, herrscht aber unter Umständen wegen fehlender gesetzlicher Bestimmungen kein durchgängig hohes Datenschutzniveau. Soweit dies der Fall ist, werden wir Sorge dafür tragen, dass der notwendige Datenschutz ausreichend gewährleistet ist.    1. Datenübermittlung auf Grundlage von Artikel 49 DS-GVO  Zur Erfüllung eines Vertrages (oder vorvertraglicher Beziehungen) zwischen Ihnen und SCENIC arbeiten wir mit Dritten zusammen, die Dienstleistungen für uns erbringen, und können Ihre personenbezogenen Daten an diese weitergeben, z. B. an IT-Anbieter, die im Rahmen der Software- oder Systemunterstützung begrenzten Zugriff auf Ihre personenbezogenen Daten haben können.  Bei der Dateneingabe von persönlichen Daten auf unserer Webseite und dem freiwilligen Markieren der Checkbox „Einverständnis zur Datenübermittlung in die USA und Australien“ werden Sie darüber informiert, dass  (i) Ihre Daten an ein Drittland (USA und Australien) gehen können,  (ii) die Bestimmungen der DS-GVO in diesen Ländern nicht gelten,  (iii) und dass die Daten zum Zweck der IT-Verarbeitung und Vertragsanbahnung/-abwicklung notwendig sind.    Durch das Aktivieren der Checkbox „Einverständnis zur Datenübermittlung in die USA und Australien“ (und dem Aktivieren der weiteren Checkboxen bei zusätzlichen Reisenden durch diese) und dem Absenden / Übermitteln der personenbezogenen Daten erteilen Sie (und ggfs. die zusätzlichen Reisenden) uns die Zustimmung zur Übermittlung der personenbezogenen Daten in Drittländer und nehmen zur Kenntnis, dass die Kundendaten von US-Server des US-Providers Amazon Web Services, Acoustic, Sales Force, Microsoft Azure gespeichert werden.    Die US Providers Amazon Web Services, Acoustic, Salesforce, Microsoft Azure sind Softwareunternehmen aus den USA mit Niederlassung in der EU.  Weitere Informationen über die Arbeitsweise von US Provides finden Sie in der Datenschutzerklärung von der Webseite von US Providers siehe folgende Links: 

Salesforce: https://www.salesforce.com/data-processing-addendum.pdf
 
Microsoft Azure: https://servicetrust.microsoft.com/ViewPage/GDPRGetStarted 
 
Acoustic: https://help.goacoustic.com/hc/en-us/sections/360009719473-General-Data-Protection-Regulation-GDPR-and-California-Consumer-Privacy-Act-CCPA- 
 
Amazon Web Services: GDPR - Amazon Web Services (AWS) 
 
2. Datenübermittlung auf anderer Grundlage 
Vor dem Hintergrund des Urteils C-311/18 (Schrems-II) des Europäischen Gerichtshofs (EuGH) halten wir uns an die Empfehlungen des Europäischen Datenschutzausschusses (EDPB) zur Übermittlung von personenbezogenen Daten in Nicht-EWR-Länder. Wir befolgen und setzen die Empfehlungen des EDPB wie folgt um: 
 
a) Wir bewerten und analysieren alle Fälle, in denen wir personenbezogene Daten in Nicht-EWR-Länder (Drittländer) exportieren, und analysieren die Notwendigkeit, Daten im Klartext oder pseudonymisiert oder verschlüsselt offenzulegen; 
 
b) Wir prüfen, auf welches der in Kapitel V. DS-GVO aufgeführten Übermittlungsinstrumente wir uns bei der Übermittlung stützen und ob für das Drittland ein Angemessenheitsbeschluss gemäß Art. 45 der DS-GVO vorliegt. (eine detaillierte Liste finden Sie unter: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en  
Soweit das Betroffene Drittland unter den Angemessenheitsbeschluss fällt, erfolgt die Übertragung in dieses Drittland auf Grundlage von Art. 45 DS-GVO. 
 
- andernfalls - 
 
c) Bewerten wir, ob es in der Gesetzgebung oder Praxis des benannten Drittlandes für die spezifische Übermittlung personenbezogener Daten etwas gibt, das die Wirksamkeit der angemessenen Garantien der Übermittlungsinstrumente, auf die wir uns verlassen, im Kontext der spezifischen Übermittlung beeinträchtigen könnte. Wir konzentrieren uns auf die Gesetzgebung des Drittlandes, die für unsere Übermittlung und das Übermittlungsinstrument nach Artikel 46 DS-GVO, auf das wir uns verlassen, relevant ist und die dessen Schutzniveau beeinträchtigen könnte. 
 
d) Wir prüfen dann, ob wir die Standardvertragsklauseln (SCC) für das jeweilige Land verwenden können (Art. 46 (2c) DS-GVO). Wir übermitteln Daten nur dann in Drittländer, wenn sichergestellt ist, dass der Empfänger der Daten ein angemessenes Datenschutzniveau im Sinne des Kapitels V der DS-GVO gewährleistet und keine anderen schutzwürdigen Interessen gegen die Übermittlung der Daten sprechen. Um ein angemessenes Schutzniveau beim Empfänger der Daten zu gewährleisten, verwenden wir insbesondere die Musterverträge der EU-Kommission (SCC`s) für die Übermittlung personenbezogener Daten in Drittländer und ggf. zusätzlich Binding Corporate Rules (BCR's). 
 
e) Wir prüfen, ob wir die Daten unter Verwendung der SCC in das betreffende Land übertragen können und verhandeln zusätzliche Schutzmaßnahmen für die Übertragung der Daten in das jeweilige Land. Dazu gehören insbesondere Maßnahmen zur Vermeidung der Weitergabe oder des Zugriffs durch andere (Verschlüsselung, Vereinbarung, dass die Daten in der EU gehostet werden oder dass kein Datentransfer in die USA erfolgt). 
 
f) Darüber hinaus setzen wir uns mit dem jeweiligen Empfänger der Daten in Verbindung und versuchen, die Bestimmungen des SCC zu verhandeln: 

  • Klausel 4f des SCC so zu ändern, dass der Betroffene nicht nur informiert wird, wenn besondere Kategorien von Daten betroffen sind, sondern wenn jede Art von personenbezogenen Daten betroffen ist Änderung der Klausel 5d i), so dass die Verpflichtung zur Information des Datenimporteurs nicht nur auf den Datenexporteur über behördliche Durchsetzungsmaßnahmen ausgedehnt wird, sondern auch auf die unverzügliche Information der betroffenen Person 
  • Änderung der Klausel 5 d durch eine zusätzliche Verpflichtung des Datenimporteurs, gegen die Anordnung der Offenlegung personenbezogener Daten gerichtlich vorzugehen und sich gegen eine solche Aufforderung zur Offenlegung der personenbezogenen Daten zu wehren, bis ein zuständiges Gericht in letzter Instanz die Offenlegung der personenbezogenen Daten anordnet. 
  • Änderung der Klausel 7 Abs. 1 durch Streichung der Option Schiedsgerichtsbarkeit 
  • Aufnahme des Beispiels für eine Freistellungsklausel aus Anhang 2 der SCC-Standardvorlage 

g) Wo möglich, werden wir auch technische Maßnahmen wie die Verwendung von Pseudonymisierung, Verschlüsselung, die auch gegenüber dem Empfänger wirksam ist, oder die Wahl eines Empfängers, der durch das Recht des Ziellandes der personenbezogenen Daten vor dem Zugriff geschützt ist, einsetzen. 
 
h) Schließlich werden wir die getroffenen Maßnahmen von Zeit zu Zeit neu bewerten und gegebenenfalls anpassen. 
 
i) Sollte durch die vorgenannten Maßnahmen kein ausreichendes, der DS-GVO vergleichbares Datenschutzniveau erreicht werden können, werden wir von der Übermittlung personenbezogener Daten an Empfänger in Drittländern absehen. 
 
Bitte wenden Sie sich an unseren Datenschutzbeauftragten (siehe unter A.(3)), wenn Sie hierzu nähere Informationen erhalten möchten. 
 
Abhängig von dem Land, aus dem die Buchung erfolgt, und um Ihnen spezifische Dienstleistungen anbieten zu können, geben wir mit Ihrer Zustimmung (vgl. A. (8) Nr. 1) bzw. auf Grundlage des Angemessenheitsbeschlusses gem. Art. 45 DS-GVO Informationen über Sie an die Unternehmen unserer Gruppe weiter, welche Ihre personenbezogenen Daten in Übereinstimmung mit der DS-GVO weiterverarbeitet. An folgende Gesellschaften im Unternehmensverbund SCENIC können Ihre personenbezogenen Daten weitergeleitet werden: 

  • Scenic Tours (USA) Inc, (auf Grundlage Art. 49 DS-GVO) 
  • Mayflower Cruises and Tours LLC USA, (auf Grundlage Art. 49 DS-GVO) 
  • Scenic Tours Pty Ltd Australia, (auf Grundlage Art. 49 DS-GVO) 
  • Scenic Tours (UK) Ltd UK, (auf Grundlage Art. 49 DS-GVO) 
  • ST Touring Canada Ltd Canada. (auf Grundlage des Angemessenheitbeschlusses, Art. 45 DS-GVO) 
  • Scenic Tours Europe AG, (auf Grundlage Art. 49 DS-GVO) 
  • Scenic Ship Services CH & France, (auf Grundlage Art. 49 DS-GVO) 

Innerhalb unserer Unternehmensstruktur wird der Schutz der übermittelten personenbezogenen Daten auch durch Unternehmensverträge, SCC`s, erforderliche zusätzliche Garantien und Binding Corporate Rules sichergestellt. 
 
(9) Keine automatisierte Entscheidungsfindung (einschließlich Profiling) 
Wir haben nicht die Absicht, von Ihnen erhobene personenbezogene Daten für ein Verfahren zur automatisierten Entscheidungsfindung (einschließlich Profiling) zu verwenden. 
 
(10) Keine Verpflichtung zur Bereitstellung personenbezogener Daten 
Wir machen den Abschluss von Verträgen mit uns nicht davon abhängig, dass Sie uns zuvor personenbezogene Daten bereitstellen. Für Sie als Kunde besteht grundsätzlich auch keine gesetzliche oder vertragliche Verpflichtung, uns Ihre personenbezogenen Daten zur Verfügung zu stellen; es kann jedoch sein, dass wir bestimmte Angebote nur eingeschränkt oder gar nicht erbringen können, wenn Sie die dafür erforderlichen Daten nicht bereitstellen. Sofern dies im Rahmen der nachfolgend vorgestellten, von uns angebotenen Produkte ausnahmsweise der Fall sein sollte, werden Sie gesondert darauf hingewiesen. 
(11) Gesetzliche Verpflichtung zur Übermittlung bestimmter Daten 
Wir können unter Umständen einer besonderen gesetzlichen oder rechtlichen Verpflichtung unterliegen, die rechtmäßig verarbeiteten personenbezogenen Daten für Dritte, insbesondere öffentlichen Stellen, bereitzustellen (Art. 6 Abs. 1 S. 1 lit. c DS-GVO). 
 
(12) Ihre Rechte 
Ihre Rechte als Betroffener bezüglich Ihrer verarbeiteten personenbezogenen Daten können Sie uns gegenüber unter den eingangs unter A.(2) angegebenen Kontaktdaten jederzeit geltend machen. Sie haben als Betroffener das Recht: 
– gemäß Art. 15 DS-GVO Auskunft über Ihre von uns verarbeiteten Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftigen Informationen zu deren Einzelheiten verlangen; 
– gemäß Art. 16 DS-GVO unverzüglich die Berichtigung unrichtiger oder die Vervollständigung Ihrer bei uns gespeicherten Daten zu verlangen; 
– gemäß Art. 17 DS-GVO die Löschung Ihrer bei uns gespeicherten Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist; 
– gemäß Art. 18 DS-GVO die Einschränkung der Verarbeitung Ihrer Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird oder die Verarbeitung unrechtmäßig ist; 
– gemäß Art. 20 DS-GVO Ihre Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen ("Datenübertragbarkeit"); 
– gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung einzulegen, sofern die Verarbeitung aufgrund von Art. 6 Abs. 1 S. 1 lit. e oder lit. f DS-GVO erfolgt. Dies ist insbesondere der Fall, wenn die Verarbeitung nicht zur Erfüllung eines Vertrags mit Ihnen erforderlich ist. Sofern es sich nicht um einen Widerspruch gegen Direktwerbung handelt, bitten wir bei Ausübung eines solchen Widerspruchs um die Darlegung der Gründe, weshalb wir Ihre Daten nicht wie von uns durchgeführt verarbeiten sollen. Im Falle Ihres begründeten Widerspruchs prüfen wir die Sachlage und werden entweder die Datenverarbeitung einstellen bzw. anpassen oder Ihnen unsere zwingenden schutzwürdigen Gründe aufzeigen, aufgrund derer wir die Verarbeitung fortführen; 
– gemäß Art. 7 Abs. 3 DS-GVO Ihre einmal (auch vor der Geltung der DS-GVO, dh vor dem 25.5.2018) erteilte Einwilligung – also Ihr freiwilliger, in informierter Weise und unmissverständlich durch eine Erklärung oder eine sonstige eindeutige bestätigende Handlung verständlich gemachter Willen, dass Sie mit der Verarbeitung der betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke einverstanden sind – jederzeit uns gegenüber zu widerrufen, falls Sie eine solche erteilt haben. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen und 
– gemäß Art. 77 DS-GVO sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten in unserem Unternehmen zu beschweren, etwa bei der für uns zuständigen Datenschutz-Aufsichtsbehörde: Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte. https://www.edoeb.admin.ch/edoeb/de/home/der-edoeb/auftrag.html 

(13) Änderungen der Datenschutzhinweise 
 
Im Rahmen der Fortentwicklung des Datenschutzrechts sowie technologischer oder organisatorischer Veränderungen werden unsere Datenschutzhinweise regelmäßig auf Anpassungs- oder Ergänzungsbedarf hin überprüft. Über Änderungen werden Sie insbesondere auf unserer deutschen Webseite unter www.scenic.eu  oder www.emeraldcruises.eu  unterrichtet. Diese Datenschutzhinweise haben den Stand von April 2021 der Veröffentlichung der Datenschutzhinweise]. 
 
B. Besuch von Webseiten und Online-Buchung 
 
(1) Erläuterung der Funktion 

Informationen zu unseren Unternehmen und den von uns angebotenen Leistungen erhalten Sie insbesondere unter www.scenic.eu oder www.emeraldcruises.eu samt den dazugehörigen Unterseiten (nachfolgend gemeinsam: "Webseiten"). Bei einem Besuch unserer Webseiten und der Online-Buchung von Reiseleistungen können personenbezogene Daten von Ihnen erhoben, gespeichert und verarbeitet werden. 
 
(2) Erhebung und Verarbeitung personenbezogener Daten 

Bei der informatorischen Nutzung der Webseiten werden die folgenden Kategorien personenbezogener Daten von uns erhoben, gespeichert und weiterverarbeitet: 
"Protokolldaten": Wenn Sie unsere Webseiten besuchen, wird auf unserem Webserver temporär und anonymisiert ein sogenannter Protokolldatensatz (sog. Server-Logfiles) gespeichert. Dieser besteht aus: 
– der Seite, von der aus die Seite angefordert wurde (sog. Referrer-URL) 
– dem Name und URL der angeforderten Seite 
– dem Datum und der Uhrzeit des Aufrufs 
– der Beschreibung des Typs, Sprache und Version des verwendeten Webbrowsers 
– der IP-Adresse des anfragenden Rechners, die so verkürzt wird, dass ein Personenbezug nicht mehr herstellbar ist 
– der übertragenen Datenmenge 
– dem Betriebssystem 
– der Meldung, ob der Aufruf erfolgreich war (Zugriffsstatus/Http-Statuscode) 
– der GMT-Zeitzonendifferenz 
 
"Kontaktformulardaten": Bei Nutzung von Kontaktformularen werden die dadurch übermittelten Daten verarbeitet (z. B. Geschlecht, Name und Vorname, Anschrift, Firma, E-Mail-Adresse und der Zeitpunkt der Übermittlung). 
 
Neben der rein informatorischen Nutzung unserer Webseite bieten wir das Abonnement unseres Newsletters an, mit dem wir Sie über aktuelle Angebote informieren. Wenn Sie sich für unseren Newsletter anmelden, werden die folgenden "Newsletterdaten" von uns erhoben, gespeichert und weiterverarbeitet: 

– die Seite, von der aus die Seite angefordert wurde (sog. Referrer-URL) 
– das Datum und die Uhrzeit des Aufrufs 
– die Beschreibung des Typs des verwendeten Webbrowsers 
– die IP-Adresse des anfragenden Rechners, die so verkürzt wird, dass ein Personenbezug nicht mehr herstellbar ist 
– die E-Mail-Adresse 
– das Datum und die Uhrzeit der Anmeldung und Bestätigung 
 
Wir weisen Sie darauf hin, dass wir bei Versand des Newsletters Ihr Nutzerverhalten auswerten. Für diese Auswertung beinhalten die versendeten E-Mails sogenannte Web-Beacons bzw. Tracking-Pixel, die Ein-Pixel-Bilddateien darstellen, die auf unserer Website gespeichert sind. Für die Auswertungen verknüpfen wir die vorstehend genannten Daten und die Web-Beacons mit Ihrer E-Mail-Adresse und einer individuellen ID. Auch im Newsletter enthaltene Links enthalten diese ID. Die Daten werden ausschließlich pseudonymisiert erhoben, dh. die IDs werden also nicht mit Ihren weiteren persönlichen Daten verknüpft, eine direkte Personenbeziehbarkeit wird ausgeschlossen. 
 
"Buchungsdaten": Um online über unsere Webseite eine Reiseleistung zu buchen, müssen Sie uns bei der Buchung Ihren Namen (Vor- und Nachnamen), die Kontaktdaten, Anschrift Postleitzahl, Land/Region/Ortschaft, Begrüssung, E-Mail Adresse, Geschlecht, Telefonnummer, Ihr Geburtsdatum, mitteilen. Sie müssen uns auch, soweit verfügbar, Informationen zu gültigen Reisedokumenten und Visa zukommen lassen. Des Weiteren können Versicherungsdaten, relevante medizinische Daten, besondere Diätwünsche oder sonstige Anforderungen aus religiösen Gründen und Gründen körperlicher Beeinträchtigung, Kredit- oder andere Zahlungsinformationen, erhoben und verarbeitet werden. Wir erheben und verarbeiten auch einige Informationen zu Ihrer Kreuzfahrtauswahl, wie beispielsweise die Kabinenart. 
12 

(3) Zweck und Rechtsgrundlage der Datenverarbeitung 
Wir verarbeiten die vorstehend näher bezeichneten personenbezogenen Daten in Einklang mit den Vorschriften der DS-GVO, den weiteren einschlägigen Datenschutzvorschriften und nur im erforderlichen Umfang. Soweit die Verarbeitung der personenbezogenen Daten auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO beruht, stellen die genannten Zwecke zugleich unsere berechtigten Interessen dar. 
 
Die Verarbeitung der Protokolldaten dient statistischen Zwecken und der Verbesserung der Qualität unserer Webseite, insbesondere der Stabilität und der Sicherheit der Verbindung (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DS-GVO). 

 
Die Verarbeitung von Kontaktformulardaten erfolgt zur Bearbeitung von Kundenanfragen (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO). 

 
Die Verarbeitung der Newsletterdaten erfolgt zum Zweck der Zusendung des Newsletters. Im Rahmen der Anmeldung zu unserem Newsletter willigen Sie in die Verarbeitung Ihrer personenbezogenen Daten ein (Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DS-GVO). Für die Anmeldung zu unserem Newsletter verwenden wir das sog. Double-Opt-In-Verfahren. Das heißt, dass wir Ihnen nach Ihrer Anmeldung eine E-Mail an die angegebene E-Mail-Adresse senden, in welcher wir Sie um Bestätigung bitten, dass Sie den Versand des Newsletters wünschen. Zweck dieses Verfahrens ist, Ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch Ihrer persönlichen Daten aufklären zu können. Ihre Einwilligung in die Übersendung des Newsletters können Sie jederzeit widerrufen und den Newsletter abbestellen. Den Widerruf können Sie durch Klick auf den in jeder Newsletter-E-Mail bereitgestellten Link, per E-Mail an cruises@scenic.eu

 
Die Verarbeitung der Buchungsdaten erfolgt zum Zweck Ihre Buchung zu planen und zu verwalten, Ihnen die gewünschten Produkte und Dienstleistungen bereitzustellen und abzuwickeln und Ihnen bei Bestellungen und bzw. Reklamationen helfen zu können. Die Verarbeitung der Buchungsdaten erfolgt auf Grundlage unseres Vertrages mit Ihnen (Artikel 6 Abs. 1 lit. b DS-GVO). Die Verarbeitung der Daten über ihre Reisedokumente und Visa erfolgt um den gesetzlichen Anforderungen in den Anlaufhäfen gerecht zu werden, also auf der Grundlage einer bestehenden rechtlichen Verpflichtung (Artikel 6 Abs. 1 lit. c DS-GVO). Die Nutzung von Telefonnummern, E-Mail Adresse und Adresse zur Kundenbetreuung, d.h. insbesondere zur Beratung und Beantwortung Ihrer Fragen im Zusammenhang mit der gebuchten Reise erfolgt auf Grundlage ihrer Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) bzw. zur für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b) DS-GVO). 

 
(4) Dauer der Datenverarbeitung 

Ihre Daten werden nur so lange verarbeitet, wie dies für die Erreichung der oben genannten Verarbeitungszwecke erforderlich ist; hierfür gelten die im Rahmen der Verarbeitungszwecke angegebenen Rechtsgrundlagen entsprechend. Hinsichtlich der Nutzung und der Speicherdauer von Cookies beachten Sie bitte Punkt A.(5) sowie die Cookie-Richtlinie [www.scenic.eu/cookies-policy oder www.emeraldcruises.eu/cookies-policy]. 
 
Von uns eingesetzte Dritte werden Ihre Daten auf deren System so lange speichern, wie es im Zusammenhang mit der Erbringung der Leistungen für uns entsprechend dem jeweiligen Auftrag erforderlich ist. 
 
Näheres zur Speicherdauer finden Sie im Übrigen unter A.(5) und der Cookie-Richtlinie [www.scenic.eu/cookies-policy oder www.emeraldcruises.eu/cookies-policy]. 
 
(5) Übermittlung personenbezogener Daten an Dritte; Rechtfertigungsgrundlage 

Folgende Kategorien von Empfängern, bei denen es sich im Regelfall um Auftragsverarbeiter handelt (siehe dazu A.(7)), erhalten ggf. Zugriff auf Ihre personenbezogenen Daten: 
 
– Dienstleister für den Betrieb unserer Webseite und die Verarbeitung der durch die Systeme gespeicherten oder übermittelten Daten (z.B. für Rechenzentrumsleistungen, Zahlungsabwicklungen, IT-Sicherheit). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO, soweit es sich nicht um Auftragsverarbeiter handelt; 
– Staatliche Stellen/Behörden, soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. c DS-GVO; 
– Zur Durchführung unseres Geschäftsbetriebs eingesetzte Personen (z.B. Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO. 
Zu den Gewährleistungen eines angemessenen Datenschutzniveaus bei einer Weitergabe der Daten in Drittländer siehe A.(8). 
Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben. 
 
(6) Einsatz von Cookies, Plugins und sonstiger Dienste auf unserer Webseite 
 
a) Cookie 
Auf unseren Webseiten nutzen wir Cookies. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser durch eine charakteristische Zeichenfolge zugeordnet und gespeichert werden und durch welche der Stelle, die das Cookie setzt, bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen und daher keine Schäden anrichten. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver, also für Sie angenehmer zu machen. 
 
Cookies können Daten enthalten, die eine Wiedererkennung des genutzten Geräts möglich machen. Teilweise enthalten Cookies aber auch lediglich Informationen zu bestimmten Einstellungen, die nicht personenbeziehbar sind. Cookies können einen Nutzer aber nicht direkt identifizieren. 
 
Man unterscheidet zwischen Session-Cookies, die wieder gelöscht werden, sobald Sie ihren Browser schließen und permanenten Cookies, die über die einzelne Sitzung hinaus gespeichert werden. Hinsichtlich ihrer Funktion unterscheidet man bei Cookies wiederum zwischen: 
 
– Technical Cookies: Diese sind zwingend erforderlich, um sich auf der Webseite zu bewegen, grundlegende Funktionen zu nutzen und die Sicherheit der Webseite zu gewährleisten; sie sammeln weder Informationen über Sie zu Marketingzwecken noch speichern sie, welche Webseiten Sie besucht haben; 
 
– Performance Cookies: Diese sammeln Informationen darüber, wie Sie unsere Webseite nutzen, welche Seiten Sie besuchen und z. B. ob Fehler bei der Webseitennutzung auftreten; sie sammeln keine Informationen, die Sie identifizieren könnten – alle gesammelten Informationen sind anonym und werden nur verwendet, um unsere Webseite zu verbessern und herauszufinden, was unsere Nutzer interessiert; 
 
– Advertising Cookies, Targeting Cookies: Diese dienen dazu, dem Webseitennutzer bedarfsgerechte Werbung auf der Webseite oder Angebote von Dritten anzubieten und die Effektivität dieser Angebote zu messen; Advertising und Targeting Cookies werden maximal 13 Monate lang gespeichert; 
 
– Sharing Cookies: Diese dienen dazu, die Interaktivität unserer Webseite mit anderen Diensten (z. B. sozialen Netzwerken) zu verbessern; Sharing Cookies werden maximal 13 Monate lang gespeichert. 
 
Jeder Einsatz von Cookies, der nicht zwingend technisch erforderlich ist, stellt eine Datenverarbeitung dar, die nur mit einer ausdrücklichen und aktiven Einwilligung Ihrerseits gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO erlaubt ist. Dies gilt insbesondere für die Verwendung von Advertising, Targeting oder Sharing Cookies. Darüber hinaus geben wir Ihre durch Cookies verarbeiteten personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben. 
 
b) Cookie-Richtlinie 
 
Weitere Informationen darüber, welche Cookies wir verwenden und wie Sie Ihre Cookie-Einstellungen verwalten und bestimmte Arten von Tracking deaktivieren können, finden Sie in unserer Cookie-Richtlinie [www.scenic.eu/cookies-policy oder www.emeraldcruises.eu/cookies-policy]. 
 
c) Social Media Plugins 
 
Auf unseren Webseiten setzen wir keine Social-Media-Plugins ein. Sofern unsere Webseiten Symbole von Social-Media-Anbietern enthalten (z. B Facebook, Instagram, Youtube, Twitter), nutzen wir diese lediglich zur passiven Verlinkung auf die Seiten der jeweiligen Anbieter. 
 
C. Teilnahme an einer Reise 
 
(1) Erläuterung der Funktion 
Bei der Teilnahme an einer Reise und an Bord des Schiffes können personenbezogene Daten von Ihnen erhoben, gespeichert und verarbeitet werden um die vertragsgemäße Leistungserbringung, die Sicherheit an Bord und die Erfüllung der Inanspruchnahme zusätzlicher Angebote durch Sie als Kunden zu gewährleisten. 
 
(2) Erhebung und Verarbeitung personenbezogener Daten 
Bei Teilnahme an einer Reise und an Bord des Schiffes werden die folgenden Kategorien personenbezogener Daten von uns erhoben, gespeichert und weiterverarbeitet: 
 
Wenn Sie das Schiff betreten und sich auf Ihnen bewegen, verarbeiten wir eine Fotoaufnahme Ihres Gesichts sowie Fotoaufnahmen der Gesichter Ihrer Mitreisenden. Diese Fotoaufnahmen werden während des Check-In Prozesses aufgenommen. Daneben erfassen und verarbeiten wir die laufenden Bildaufnahmen durch die Sicherheits-Videoüberwachung. 

 
Beim Anlaufen von Zielhäfen erheben und verarbeiten wir meldepflichtige Erkrankungen der Passagiere in den jeweiligen Zielhäfen im Rahmen der internationalen Seegesundheitserklärung. 

 
Wenn Sie Produkte und Leistungen an Bord erwerben, verarbeiten wir persönliche Identifikationsdaten (z.B. Name, Kabinennummer) und Bezahldaten (z.B. Bordbezahlkarte, Kredit- und Lastschriftkartennummern, Name der Kreditkarte, Gültigkeitsdatum, CV2, Titel, Vor- , Mittler- und Nachname, Geburtsdatum, Geschlecht, Adresse, Stadt/Ortschaft, Land/Region/Provinz/Ortschaft, E-Mailadresse, Telefonnummer ), Details über erworbene Produkte und Leistungen, Freizeitaktivitäten und Interessen. 
 
Wir speichern und verarbeiten Anfragen und Reklamationen, die Sie an Bord machen, um Ihre Wünsche bestmöglich bearbeiten zu können. Zudem können wir den Inhalt der Anfrage, der Beschwerde oder des Kommentars nutzen, um unseren Service an Bord zu verbessern. 

 
Bei Reisen in internationalen Hoheitsgewässern oder Ländern außerhalb des Schengen-Raumes, werden Reisepässe eingesammelt, um Visa-, Ein- bzw. Ausreisebestimmungen des jeweiligen Landes zu erfüllen. Wir zeigen Ihren Reisepass während Ihrer Reise den Hafenbehörden, soweit zutreffend auch Hafenbehörden in Ländern außerhalb des Europäischen Wirtschaftsraumes, die für die Ein- und Ausreise zuständig sind, zur Bearbeitung vor. 
 
Zur Gewährleistung der Sicherheit an Bord werden alle Personen, die sich an Bord befinden registriert. Dies erfolgt als Vorkehrung um auftretende etwaige Krisensituationen bewältigen zu können und die Sicherheit aller Passagiere während der Kreuzfahrt zu gewährleisten. Hierfür werden Ihr Name, die Kabinennummer, eine Fotoaufnahme von Ihnen, das Geburtsdatum, Ihre Mitreisenden, der Einschiffungshafen, der Ausschiffungshafen sowie Informationen zu besonderen Bedürfnissen, die in Notfällen spezielle Hilfe erfordern können, erhoben und verarbeitet. 
 
Weitere Datenverarbeitungsaktivitäten an Bord: Einige weitere Informationen über Sie können während der Kreuzfahrt in Papierform aufgenommen werden, um Ihnen die Teilnahme an bestimmten von ihnen gewählten Aktivitäten zu ermöglichen oder um die Anfrage bestimmter Pakete zu bearbeiten. 
 
(3) Zweck und Rechtsgrundlage der Datenverarbeitung 
 
Wir verarbeiten die vorstehend näher bezeichneten personenbezogenen Daten in Einklang mit den Vorschriften der DS-GVO, den weiteren einschlägigen Datenschutzvorschriften und nur im erforderlichen Umfang. Soweit die Verarbeitung der personenbezogenen Daten auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO beruht, stellen die genannten Zwecke zugleich unsere berechtigten Interessen dar. 
 
Wir müssen Ihre personenbezogenen Daten verarbeiten, damit wir Ihre Reiseleistung durchführen, Ihre Sicherheit und die der übrigen Passagiere und des Schiffes sicherstellen, Ihre Buchung verwalten, Ihnen die gewünschten Produkte und Dienstleistungen bereitstellen und Ihnen bei Bestellungen und evtl. verlangten Rückerstattungen helfen zu können. Im Einzelnen sind dies insbesondere folgende Zwecke: 
 
Die Verarbeitung personenbezogener Daten im Rahmen der Planung und Durchführung der von Ihnen gebuchten Reise (Kreuzfahrt, Flussfahrt, Landausflug) erfolgt auf Grundlage der Verarbeitung für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO, ggf. in Verbindung mit Art. 49 Abs. 1 lit. b DS-GVO). 

 
Die Verarbeitung personenbezogener Daten im Rahmen der Inanspruchnahme bzw. des Erwerbs von Produkten und Leistungen an Bord sowie der Teilnahme an Aktivitäten erfolgt auf Grundlage der Verarbeitung für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO, ggf. in Verbindung mit Art. 49 Abs. 1 lit. b DS-GVO). 

 
Die Verarbeitung und Übermittlung personenbezogener Daten an die Ein- und Ausstiegshäfen im Rahmen der von Ihnen gebuchten Reise erfolgt auf Grundlage der Verarbeitung für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO ggf. in Verbindung mit Art. 49 Abs. 1 lit. b DS-GVO) bzw. zur Wahrung überwiegender berechtigter Interessen, die darin bestehen, die lokalen Vorschriften zur Einreise in das jeweilige Land einzuhalten. 

 
Rechtsgrundlage des Einsammelns Ihres Reisepassesist die Erfüllung der Leistungsverpflichtungen aus dem mit Ihnen geschlossenen Reisevertrag gemäß Art. 6 Abs. 1 lit. b) DS-GVO. Die Reisepässe werden eingesammelt, sicher verwahrt und Ihnen nach Ende der Reise wieder ausgehändigt. Zweck ist hierbei, die Visa-, Ein- bzw. Ausreisebestimmungen von Zielhäfen zu erfüllen und hierdurch Ihre Ein- bzw. Ausreise zu ermöglichen. 

 
Die Verarbeitung und Übermittlung personenbezogener Daten an Hotels und Restaurants (ggfs. in Drittländern außerhalb der EU) erfolgt auf Grundlage der Verarbeitung für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO ggf. in Verbindung mit Art. 49 Abs. 1 lit. b DS-GVO). 

 
Die Verarbeitung und Übermittlung personenbezogener Daten an Bus- und Fluggesellschaften bei Buchung eines An- und/oder Abreisepaketes (ggfs. in Drittländer außerhalb der EU) erfolgt auf Grundlage der Verarbeitung für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO ggf. in Verbindung mit Art. 49 Abs. 1 lit. b DS-GVO), ggf. Einwilligung bei Angabe von Gesundheitsdaten (Art. 9 Abs. 2 lit. a DS-GVO). 

 
Die Verarbeitung und Speicherung von Name, Telefonnummer und Verwandtschaftsgrad für die Information in Notfällen erfolgt auf Grundlage von Überwiegenden berechtigten Interessen (Art. 6 Abs. 1 lit. f DS-GVO) Das berechtigte Interesse zur Speicherung dieser Daten besteht darin, Ihre Angehörigen über unvorhergesehene Notfälle zu benachrichtigen und ggfs. Rückfragen zu stellen sowie Maßnahmen in Ihrem Interesse einzuleiten und / oder zu koordinieren. 

 
Die Verarbeitung relevanter Daten als Reaktion auf und Verwaltung von Sicherheitsvorfällen, Störungen oder anderen ähnlichen unvorhergesehenen Vorkommnissen an Bord. Dies kann u.a. medizinischer oder auch versicherungsbezogener Natur sein. Die Verarbeitung personenbezogener Daten erfolgt zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DS-GVO) sowie auf Grundlage von überwiegenden berechtigten Interessen, (Art. 6 Abs. 1 lit. f DS-GVO). Das überwiegende berechtigte Interesse besteht darin, auf unvorhergesehene Ereignisse während des Reiseverlaufs reagieren zu können. 

 
Anfragen und Reklamationen: Wir verarbeiten diese Daten im Zusammenhang mit unserer Dienstleistungserbringung an Sie, also auf der Grundlage des Buchungsvertrages (Artikel 6 Abs. 1 lit. b DS-GVO). Bei der Serviceverbesserung auf Grundlage von Anfragen und Reklamationen schränken wir die Verwendung von Daten, die Sie in diesem Fall persönlich identifizieren könnten, weitestmöglich ein. Wir verarbeiten Ihre personenbezogene Daten, um unsere Dienstleistungen gemäß (Artikel 6 Abs. 1 lit. f DS-GVO) so weiterzuentwickeln, das für unsere Gäste ein angenehmer Aufenthalt an Bord gewährleistet ist. 
 
Gewährleistung der Sicherheit: Wir verarbeiten diese Daten auf der Grundlage der Notwendigkeit, die öffentliche Sicherheit an Bord zu gewährleisten und mögliche Krisensituationen zu bewältigen. Hierzu sind Videoaufzeichnungskameras in den Ein- und Ausstiegsbereichen sowie in allen öffentlichen Bereichen der Schiffe installiert. In besonderen Fällen gleichen wir Ihre persönlichen Daten mit allgemein zugänglichen Datenbanken ab, wenn dies im Interesse der Schiffssicherheit und der Sicherheit der Passgiere an Bord geboten ist. (Artikel 6 Abs. 1 lit. b DS-GVO). 
 
Im Rahmen unseres Kundenbindungsprogramms erheben und verarbeiten wir Ihre LOYALTY LEVEL - Daten mittels einer Ihnen spezifisch zugeordneten Identitätsziffer, die Informationen zu Ihrem Punkte-Kontostand, Ihren LOYALTY MEMBER - Aktivitäten, erreichte Meilensteine und ihren aktuellen Clubstatus enthält. Diese Daten werden erstmals mit Ihrem Eintritt in das Kundenbindungsprogramm erhoben und werden mit jeder von Ihnen getätigten Buchung und anderen Aktivitäten innerhalb Ihres Kundenbindungsaccounts aktualisiert. 
 
Bei der Planung, Durchführung und Betreuung der von Ihnen gebuchten rechtsgültigen Eheschließung, eingetragenen Lebenspartnerschaft oder dem symbolischen Eheversprechen erfolgt die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b DS-GVO). 

 
Weitere Datenverarbeitungsaktivitäten an Bord bei denen personenbezogene Daten verarbeitet werden, erfolgen auf der Grundlage unseres Vertrags mit Ihnen (Artikel 6 Abs. 1 lit. b DS-GVO). 
 
(4) Dauer der Datenverarbeitung 

Ihre Daten werden nur so lange verarbeitet, wie dies für die Erreichung der oben genannten Verarbeitungszwecke erforderlich ist; hierfür gelten die im Rahmen der Verarbeitungszwecke angegebenen Rechtsgrundlagen entsprechend. Von uns eingesetzte Dritte werden Ihre Daten auf deren System so lange speichern, wie es im Zusammenhang mit der Erbringung der Leistungen für uns entsprechend dem jeweiligen Auftrag erforderlich ist. Für weitergehende Hinweise wird auf Teil A (5) verwiesen. 
 
(5) Übermittlung personenbezogener Daten an Dritte; Rechtfertigungsgrundlage 

Folgende Kategorien von Empfängern, bei denen es sich im Regelfall um Auftragsverarbeiter handelt (siehe dazu A.(7)), erhalten ggf. Zugriff auf Ihre personenbezogenen Daten: 
– Lieferanten, Handelspartner, Konzessionären auf dem Schiff, Dienstleister für die Erbringung von Leistungen auf dem Schiff und auf dem Land (Ausflüge, Besichtigungen, Restaurants und Geschäfte etc.), Versicherungsagenturen (z.B. wenn es während einer Kreuzfahrt notwendig wird, Ihr Versicherungspaket in Anspruch zu nehmen). Rechtsgrundlage für die Weitergabe ist Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO ggf. in Verbindung mit Art. 49 Abs. 1 lit. b DS-GVO, soweit es sich nicht um Auftragsverarbeiter handelt; 
– Staatliche Stellen/Behörden, Hafenbehörden soweit dies zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist. Rechtsgrundlage für die Weitergabe ist Art. 6 Abs. 1 S. 1 lit. c DS-GVO; 
– Zur Durchführung unseres Geschäftsbetriebs eingesetzte Personen (z.B. Auditoren, Banken, Versicherungen, Rechtsberater, Aufsichtsbehörden, Beteiligte bei Unternehmenskäufen oder der Gründung von Gemeinschaftsunternehmen). Rechtsgrundlage für die Weitergabe ist dann Art. 6 Abs. 1 S. 1 lit. b oder lit. f DS-GVO. 
Zu den Gewährleistungen eines angemessenen Datenschutzniveaus bei einer Weitergabe der Daten in Drittländer siehe A.(8). 
Darüber hinaus geben wir Ihre personenbezogenen Daten nur an Dritte weiter, wenn Sie nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO eine ausdrückliche Einwilligung dazu erteilt haben.