Datenschutzerklärung

Kontaktdaten: Ihre E-Mail-Adresse, Ihr Name und optional eine Telefonnummer.

Antragsdaten: das Zielland, der Visumtyp und die Antworten, die das offizielle Formular des Ziellandes verlangt; dazu können Passdaten, Geburtsdaten, Adressen, Reisepläne und für manche Ziele ein von Ihnen hochgeladenes Passfoto gehören. Wir erheben diese Daten nur, wenn Sie einen Antrag beginnen.

Zahlungsdaten: Betrag, Währung, Datum, Zahlungsstatus und eine Bankreferenz je Zahlung. Ihre vollständige Kartennummer sehen oder speichern wir nie; die Kartendaten erfasst direkt das Zahlungsgateway unserer Bank (Redsys / CaixaBank) in dessen sicherem Rahmen.

Technische und Nutzungsdaten: IP-Adresse, Geräte- und Browserinformationen, Sicherheitsprotokolle und, nur mit Ihrer Einwilligung, Analyse- und Werbemessungsereignisse (siehe unsere Cookie-Richtlinie).

Einwilligungs- und Kommunikationsnachweise: Ihre Cookie-Auswahl, die akzeptierten Rechtstexte mit Zeitpunkt, die an Sie gesendeten Transaktions-E-Mails und der Abmeldestatus.

Zur Erbringung des von Ihnen angeforderten Dienstes: Vorbereitung, Prüfung, Einreichung und Verfolgung Ihres Antrags, einschließlich der Aufbewahrung eines unvollendeten Entwurfs für 30 Tage. Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO.

Zur Erfüllung gesetzlicher Pflichten: steuer- und handelsrechtliche Aufbewahrung bezahlter Anträge sowie Beantwortung rechtmäßiger Behördenanfragen. Rechtsgrundlage: rechtliche Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO.

Zum Betrieb und Schutz der Plattform: Sicherheitsprotokolle, Betrugsprävention, Missbrauchserkennung und Fehlerüberwachung. Rechtsgrundlage: berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO.

Zur Messung und Verbesserung der Website (Analyse) und zur Werbemessung, nur wenn Sie diese Cookie-Kategorien akzeptieren. Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a DSGVO, jederzeit widerrufbar.

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir nutzen wenige geprüfte Anbieter als Auftragsverarbeiter mit Verträgen nach Art. 28 DSGVO: ein Anbieter für Datenbank, Authentifizierung, Dateispeicher und Hosting (Verarbeitung in der Europäischen Union); ein Anbieter für Content-Delivery, Edge-Computing und Sicherheit (einschließlich Bot-Schutz); Redsys / CaixaBank (Kartenzahlungsabwicklung); ein Anbieter für Transaktions-E-Mails; ein Anbieter für Fehlerüberwachung (personenbezogene Daten werden vor dem Senden bereinigt); Geoapify (optionale Adress-Autovervollständigung) und Google (Google-Analytics-4- und Google-Ads-Messung, nur nach Ihrer Einwilligung). Diese Empfängerkategorien sind im Anhang der Unterauftragsverarbeiter (Abschnitt 11) aufgeführt.

Wenn Sie uns mit der Einreichung eines Antrags beauftragen, werden die vom offiziellen Formular verlangten Daten an die Behörde dieses Staates übermittelt. Die Behörde ist eigenständige Verantwortliche für die erhaltenen Daten.

Wir können Daten zudem offenlegen, wo das Gesetz es verlangt, etwa gegenüber Gerichten, Steuerbehörden oder Strafverfolgungsbehörden im Rahmen ihrer Befugnisse.

Unsere Kernsysteme werden in der Europäischen Union gehostet. Verarbeitet ein Anbieter Daten außerhalb des EWR (zum Beispiel bestimmte Vorgänge unseres Anbieters für Content-Delivery und Sicherheit, unseres Anbieters für Fehlerüberwachung oder von Google in den USA), ist die Übermittlung durch einen Angemessenheitsbeschluss der Europäischen Kommission (einschließlich des EU-US Data Privacy Framework bei zertifizierten Anbietern) oder durch Standardvertragsklauseln mit zusätzlichen Garantien geschützt.

Die Einreichung Ihres Antrags bei einem Ziel außerhalb des EWR übermittelt die Antragsdaten notwendigerweise an die Behörde dieses Landes. Diese Übermittlung ist für die Erfüllung Ihres Vertrags mit uns erforderlich (Art. 49 Abs. 1 lit. b DSGVO) und erfolgt nur auf Ihren Wunsch.

Antragsentwürfe: 30 Tage ab der letzten Aktualisierung, danach Löschung, mit einer Erinnerungs-E-Mail vor Ablauf.

Zahlungs- und Rechnungsunterlagen: aufbewahrt während der Leistungserbringung und danach für die nach spanischem Steuer- und Handelsrecht vorgeschriebenen Fristen (in der Regel vier Jahre nach dem Allgemeinen Steuergesetz und sechs Jahre nach dem Handelsgesetzbuch), anschließend gelöscht oder anonymisiert. Ihre Identitätsdaten zu einem eingereichten Antrag (Passdaten, die Antworten Ihres behördlichen Formulars und ein hochgeladenes Passfoto) werden kurz nach Abschluss des Antrags gelöscht oder anonymisiert, in der Regel innerhalb von etwa 30 Tagen nach Bewilligung, Ablehnung oder Ablauf, sobald er bei der Zielbehörde bearbeitet wurde; nur die anonymisierte Zahlungsunterlage wird für die gesetzliche Frist aufbewahrt.

E-Mail-Versandprotokoll: bis zu 365 Tage. Sicherheits-Auditprotokolle: bis zu 1 Jahr. Zugriffsprotokolle auf Identitätsdaten: bis zu 2 Jahre. Einwilligungsnachweise: als Compliance-Nachweis so lange aufbewahrt, wie das Gesetz sie von uns verlangen kann.

Hochgeladene Passfotos unbezahlter Entwürfe werden mit dem Entwurf entfernt; bei eingereichten Anträgen werden sie kurz nach Abschluss des Antrags zusammen mit den übrigen Identitätsdaten entfernt, sodass nur die anonymisierte Zahlungsunterlage für die gesetzliche steuer- und handelsrechtliche Frist verbleibt.

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit, das Recht, Verarbeitungen auf Grundlage berechtigten Interesses zu widersprechen, und das Recht, Einwilligungen jederzeit zu widerrufen. Um diese Rechte auszuüben, schreiben Sie an unseren Datenschutzbeauftragten unter der obigen Adresse; wir prüfen Ihre Identität (über die hinterlegte E-Mail oder Ihren Tracking-Code), bevor wir handeln.

Wir antworten innerhalb eines Monats, bei komplexen Anfragen verlängerbar um zwei weitere Monate, und können zum Schutz Ihrer Daten zunächst eine Identitätsprüfung verlangen. Die Zahlungs- und Rechnungsunterlagen, die wir steuer- oder handelsrechtlich aufbewahren müssen, können vor Ablauf dieser Fristen nicht gelöscht werden; Ihre Identitätsdaten hingegen werden kurz nach Abschluss Ihres Antrags entfernt. Wir weisen Sie darauf hin, wenn eine gesetzliche Aufbewahrung gilt.

Sie haben außerdem das Recht, Beschwerde bei der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD; C/ de Jorge Juan, 6, 28001 Madrid; www.aepd.es; elektronische Geschäftsstelle sedeagpd.gob.es) oder bei der Aufsichtsbehörde Ihres EU-Wohnsitzlandes einzulegen.

Der gesamte Verkehr ist während der Übertragung verschlüsselt (TLS). Identitätsdaten in Anträgen werden verschlüsselt gespeichert, der Zugriff folgt dem Minimalprinzip, wird protokolliert und auditiert, und der Datenbankzugriff ist durch Sicherheit auf Zeilenebene geschützt. Zahlungen laufen im PCI-DSS-Bereich der Bank; Ihre Kartennummer halten wir nie.

Bei einer Verletzung des Schutzes personenbezogener Daten mit Risiko für Ihre Rechte benachrichtigen wir die AEPD und, soweit erforderlich, Sie innerhalb der gesetzlichen Fristen.

Unser Dienst richtet sich nicht an Minderjährige. Anträge für Reisende unter 18 Jahren müssen von einem Elternteil oder gesetzlichen Vormund angelegt werden, der die Daten des Minderjährigen in eigener Verantwortung bereitstellt.

Wir treffen keine Entscheidungen mit rechtlicher Wirkung Ihnen gegenüber, die ausschließlich auf automatisierter Verarbeitung beruhen. Jeder Antrag wird vor der Einreichung von unserem Team geprüft; über Ihr Visum oder Ihre Genehmigung entscheidet die Regierung des Ziellandes, nicht wir.

Wesentliche Änderungen dieser Erklärung veröffentlichen wir auf dieser Seite und teilen sie Ihnen gegebenenfalls per E-Mail mit. Das Datum der geltenden Fassung ist das Veröffentlichungsdatum dieser Seite.

Dieser Anhang führt nach Kategorie die Anbieter (Unterauftragsverarbeiter) auf, die personenbezogene Daten in unserem Auftrag verarbeiten und in Abschnitt 3 beschrieben sind. Jeder handelt aufgrund eines schriftlichen Vertrags nach Art. 28 DSGVO, verarbeitet Daten nur nach unseren dokumentierten Weisungen und ist an gleichwertige Sicherheits- und Vertraulichkeitspflichten gebunden. Wir halten diese Liste aktuell und veröffentlichen wesentliche Änderungen hier.

Anbieter für Datenbank, Authentifizierung, Dateispeicherung und Anwendungs-Hosting. Verarbeitungsregion: die Europäische Union.

Anbieter für Content-Delivery, Edge-Computing und Sicherheit (einschließlich Bot-Schutz). Globales Edge-Netzwerk; jede Verarbeitung außerhalb des Europäischen Wirtschaftsraums ist durch einen Angemessenheitsbeschluss der Europäischen Kommission oder durch Standardvertragsklauseln geschützt.

Redsys / CaixaBank: Kartenzahlungsabwicklung im PCI-DSS-Bereich der Bank. Verarbeitungsregion: Spanien und die Europäische Union.

Anbieter für Transaktions-E-Mails: Zustellung von Transaktions-E-Mails. Jede Verarbeitung außerhalb des Europäischen Wirtschaftsraums ist durch Standardvertragsklauseln geschützt.

Anbieter für Fehlerüberwachung: Fehlerüberwachung, wobei personenbezogene Daten vor dem Senden bereinigt werden. Jede Verarbeitung außerhalb des Europäischen Wirtschaftsraums ist durch einen Angemessenheitsbeschluss (das EU-US Data Privacy Framework) oder durch Standardvertragsklauseln geschützt.

Geoapify: optionale Adress-Autovervollständigung während der Eingabe einer Adresse. Verarbeitungsregion: die Europäische Union.

Google (Google Analytics 4 und Google Ads): Analyse- und Werbemessung, nur nach Ihrer Einwilligung in diese Cookie-Kategorien. Verarbeitung in den USA, geschützt durch das EU-US Data Privacy Framework und durch Standardvertragsklauseln.

Wir beauftragen keinen neuen Unterauftragsverarbeiter mit Zugang zu Ihren personenbezogenen Daten ohne einen schriftlichen Vertrag nach Art. 28, der gleichwertige Pflichten auferlegt, und bleiben Ihnen gegenüber für die von ihnen verarbeiteten Daten verantwortlich.