Die Daten Ihres Hotels, geschützt durch Design.
Vertrauen ist die Grundlage jeder Zusammenarbeit mit einem Hotel. Diese Seite gibt einen transparenten Überblick darüber, wie chatlyn Ihre Daten schützt: Verschlüsselung und Zugriffskontrollen, der DSGVO-Rahmen, in dem wir arbeiten, unsere Subprozessoren und wie wir Sie bei Ihren eigenen Compliance-Pflichten unterstützen.
Sechs Zusagen, die wir jedem Hotel machen
Die kürzeste Fassung davon, wie chatlyn mit Ihren Daten und den Daten Ihrer Gäste umgeht.
DSGVO-konform
In Wien nach EU-Datenschutzrecht entwickelt. Ein externer DSB auditiert unsere Prozesse.
Datenspeicherung in der EU
Gästedaten liegen auf AWS Frankfurt und MongoDB Frankfurt. Ohne Schutzmaßnahmen verlassen sie die EU nie.
Überall verschlüsselt
TLS 1.2+ bei der Übertragung. AES-256 im Ruhezustand. Passwörter gehasht, Zugangsschlüssel rotiert und eingeschränkt.
AV-Vertrag verfügbar
Ein Standard-Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist auf Anfrage in EN und DE erhältlich.
OWASP-orientierter SDLC
Die Entwicklung folgt den OWASP Top 10. Change Management, Code Review und Patching sind verpflichtend.
DSFA-Unterstützung
Wir liefern jedes Dokument, das ein Verantwortlicher für eine Datenschutz-Folgenabschätzung nach Art. 35 benötigt.
Klare Antworten zu OWASP, DSFA und Pentesting
Die drei Fragen, die uns Einkauf und IT am häufigsten stellen. Klicken Sie eine Karte am Rand an, um sie in die Mitte zu holen.
Sicherheitsmaßnahmen, nach Kategorie
Dies sind die in Anhang 2 unseres Auftragsverarbeitungsvertrags dokumentierten Maßnahmen. Aktiv durchgesetzt und regelmäßig überprüft.
Logische Zugriffskontrolle
Zugriffsrechte werden strikt nach dem Need-to-know-Prinzip vergeben. Privilegierter Zugriff ist auf Mitarbeitende mit dokumentiertem geschäftlichem Bedarf beschränkt.
Erzwungene Authentifizierung
Personenbezogene Daten sind nur nach erfolgreicher Authentifizierung zugänglich. Zwei-Faktor-Authentifizierung ist verfügbar und für alle administrativen Konten vorgeschrieben.
Starke Passwortrichtlinie
Passwörter erfordern 8+ Zeichen mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen. Nur verschlüsselt gespeichert. Geregelt durch eine allen Mitarbeitenden bekannte Richtlinie.
Netzwerksegmentierung & Firewalls
Eine Firewall trennt das interne Netzwerk vom Internet und blockiert eingehenden Datenverkehr so weit wie möglich. Der Zugriff auf das Produktionsnetzwerk ist eingeschränkt.
Anti-Malware auf allen Systemen
Antiviren-Software ist auf allen Systemen installiert, wo dies machbar ist. Alle eingehenden E-Mails werden automatisch auf Schadsoftware geprüft.
SLAs im Schwachstellenmanagement
Automatische Sicherheitsupdates aktiviert, wo möglich. Kritische Patches innerhalb von 3 Werktagen, mittlere innerhalb von 25, niedrige innerhalb von 40.
Verschlüsselung bei Übertragung & im Ruhezustand
TLS 1.2 oder höher für allen Web-Datenverkehr. Daten im Ruhezustand mit AES-256 verschlüsselt. Der Zugriff auf Verschlüsselungsschlüssel ist eingeschränkt.
Definierte Sicherheitsrollen
Interne Verantwortlichkeiten für die Datensicherheit sind formell definiert. Die Geschäftsführung überwacht die Informationssicherheitsmaßnahmen.
Verschwiegenheit der Mitarbeitenden
Alle Mitarbeitenden sind zu Verschwiegenheitspflichten verpflichtet, die über das Beschäftigungsverhältnis hinaus gelten. Daten dürfen nur auf ausdrückliche Weisung an Dritte weitergegeben werden.
Schulungen zum Sicherheitsbewusstsein
Mitarbeitende werden intern oder extern zu Themen der Datensicherheit geschult und über neue Bedrohungen auf dem Laufenden gehalten.
Geordnetes Offboarding
Bei Beendigung werden alle Konten der ausscheidenden Person sofort deaktiviert und Hardware-Schlüssel eingesammelt.
Eindeutige Benutzerkonten
Jede Person hat ihr eigenes Benutzerkonto. Die gemeinsame Nutzung von Konten ist untersagt. Administrative Konten werden nur in Ausnahmefällen verwendet.
Hardware-Inventar
Über die einzelnen Mitarbeitenden zugewiesenen Endgeräte werden Aufzeichnungen geführt, einschließlich PCs, Laptops und Mobiltelefonen.
Eingabekontrolle
Es bestehen Verfahren, um die Richtigkeit der in das System eingegebenen personenbezogenen Daten zu kontrollieren.
Prüfung von Subprozessoren
Dienstleister werden hinsichtlich ihres Datensicherheitsniveaus bewertet. Auftragsverarbeiter werden erst nach Abschluss eines Auftragsverarbeitungsvertrags beauftragt.
Sichere Datenentsorgung
Papier wird geschreddert oder einem sicheren Vernichtungsdienst übergeben. Datenträger werden vor der Entsorgung überschrieben oder physisch zerstört.
Regelmäßige Malware-Scans
Antiviren-Scans werden planmäßig durchgeführt, um Schadsoftware zu erkennen, die ein System kompromittiert hat.
Automatisierte Log-Auswertung
Sicherheits-Logdateien aller Systeme werden zentral gesammelt und automatisch ausgewertet, um mögliche Verstöße zu erkennen.
Manuelle Log-Prüfung
Logdateien werden in regelmäßigen Abständen manuell geprüft, insbesondere auf fehlgeschlagene Authentifizierungsversuche.
Sicherheits-Mailinglisten
Zuständige Mitarbeitende abonnieren relevante Sicherheits-Mailinglisten von Anbietern und der Branche, um über aktuelle Bedrohungen informiert zu bleiben.
Verfahren zur Vorfallmeldung
Alle Mitarbeitenden sind geschult, Sicherheitsvorfälle zu erkennen und zu melden. Es bestehen technische Verfahren, um Anomalien an zuständige Mitarbeitende zu melden.
Regelmäßige interne Audits
Audits prüfen, ob kritische Sicherheitsupdates installiert sind, Zugriffsrechte korrekt sind und Schlüsselzuweisungen gültig sind.
Zyklen zur Zugriffsprüfung
Zugriffsgewährungen und Berechtigungen werden in regelmäßigem Rhythmus überprüft, um sicherzustellen, dass sie angemessen bleiben.
Regelmäßige Daten-Backups
Backups werden in einem regelmäßigen Zeitplan erstellt und von unseren Cloud-Anbietern sicher gespeichert.
Dokumentiertes Wiederherstellungskonzept
Ein Konzept für die rasche Wiederherstellung von Backups besteht, um nach einem Sicherheitsereignis zeitnah zum Regelbetrieb zurückzukehren.
Automatische Malware-Entfernung
Die eingesetzte Antiviren-Software entfernt automatisch erkannte Schadsoftware.
Verpflichtende Meldung von Datenpannen
Jede/r Mitarbeitende ist angewiesen, Sicherheitsverstöße umgehend an einen definierten internen Ansprechpartner zu melden.
72-Stunden-Meldung bei Datenpannen
Sicherheitsverletzungen können gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Notfallkontakte werden an alle Mitarbeitenden verteilt.
Meldekanal für Dienstleister
Alle Dienstleister erhalten Kontaktdaten, über die sie Sicherheitsverletzungen an uns melden können.
Automatische Risikowarnungen
Nutzer erhalten automatische Warnungen bei risikobehafteter IT-Nutzung, etwa bei ungültigen SSL/TLS-Zertifikaten, die der Webbrowser kennzeichnet.
Sanktionen bei Insider-Angriffen
Alle Mitarbeitenden werden darüber informiert, dass Angriffe auf die IT-Systeme des Unternehmens nicht toleriert werden und schwerwiegende arbeitsrechtliche Folgen bis hin zur Kündigung haben können.
Physische Zutrittskontrolle
Der Zutritt zu den Geschäftsräumen ist Nicht-Mitarbeitenden nur in Begleitung eines Unternehmensmitglieds gestattet.
Einbruchschutz
Zugangspunkte zu den Geschäftsräumen sind mit angemessenem Einbruchschutz versehen, etwa Sicherheitstüren höherer Widerstandsklassen.
Striktes Schlüsselmanagement
Physische Schlüssel werden nur an vertrauenswürdige Personen ausgegeben, im Umfang und für die Dauer, in der sie separaten Zutritt benötigen.
Ansprechen von Besuchern im Haus
Alle Mitarbeitenden sind angewiesen, jede Nicht-Mitarbeitende anzusprechen, die ihnen unbegleitet in den Räumlichkeiten begegnet.
Brandschutzausrüstung
In den Räumlichkeiten ist eine geeignete Anzahl an Feuerlöschern vorhanden, und alle Mitarbeitenden kennen deren Standort.
Wie chatlyn WhatsApp DSGVO-konform hält
Eine der häufigsten Fragen von EU-Hotels. Hier genau, was mit einer Gästenachricht geschieht.
Gast sendet eine Nachricht
Der Gast sendet eine Nachricht an eine Nummer, die mit einem mit chatlyn verbundenen WhatsApp Business Account verknüpft ist.
Verschlüsselt an 360dialog
Die Nachricht wird Ende-zu-Ende-verschlüsselt an 360dialog übermittelt, den offiziellen WhatsApp Business Solution Provider.
Übergabe an chatlyn
360dialog leitet die Nachricht weiter und speichert sie nur vorübergehend, ausschließlich auf EU-Servern, für die Dauer der Übertragung.
Gespeichert in Frankfurt
Die Nachricht landet auf chatlyn-Servern in Deutschland (AWS Frankfurt). Ihr Team liest und antwortet in der chatlyn-App.
Der entscheidende Punkt: Da Ihr Team die WhatsApp-App nie auf seinen Geräten installiert, werden von chatlyn keine Kontakt- oder Kundendaten an Meta übermittelt. 360dialog speichert Daten nur vorübergehend und nur auf EU-Servern. Meta bleibt allein für WhatsApp-Metadaten der Verantwortliche. Dieser Aufbau erfüllt alle DSGVO-Anforderungen für EU-Hotels.
Jeder Dritte, mit dem wir Daten teilen
Die vollständige Liste aus Anhang 3 unseres AV-Vertrags. Wir informieren Verantwortliche über jede Änderung und gewähren ein 14-tägiges Widerspruchsfenster.
Mit Sitz in der EU / im EWR
Daten bleiben in der EU
Amazon Web Services EMEA SARL
Hosting der chatlyn-Internetdienste.
Deutschland (Frankfurt)
MongoDB Deutsche GmbH
Datenbank-Hosting.
Deutschland (Frankfurt)
360dialog GmbH
WhatsApp Business Solution Provider Schnittstelle.
Deutschland
ims media gmbh (my-bookings)
Verarbeitung von Airbnb-Nachrichten.
Österreich
Vonage B.V.
Ausgehende SMS (nur als Fallback-Kanal).
NiederlandeAußerhalb der EU, mit DSGVO-Schutzmaßnahmen
Standardvertragsklauseln
OpenAI, LLC
Bereitstellung KI-gestützter Funktionen innerhalb von chatlyn.
Vereinigte Staaten
Zapier, Inc.
Verbindung von Schnittstellen zwischen chatlyn und Drittsystemen.
Vereinigte StaatenUnterschriftsbereit und prüfbereit
Die Dokumente, die Einkauf und Rechtsabteilungen am häufigsten anfragen. Verfügbar in Englisch und Deutsch.
Auftragsverarbeitungsvertrag (AV-Vertrag)
Standardvereinbarung nach Art. 28 DSGVO, inklusive vollständigem TOM-Anhang und Subprozessor-Liste. Unterschriftsbereit.
Datenschutzerklärung
Wie chatlyn als Verantwortlicher die Daten von Kunden, Kontakten und Dienstleistern verarbeitet.
Allgemeine Geschäftsbedingungen
Unsere Standard-Leistungsbedingungen für die Nutzung der chatlyn-Plattform.
Unterstützung bei Sicherheitsfragebögen
Wir füllen Sicherheits- und Datenschutzfragebögen von Anbietern (SIG, CAIQ, eigene Formate) auf Anfrage aus.
Fragen, die uns am häufigsten gestellt werden
Die Produktionsumgebung von chatlyn läuft auf AWS Frankfurt, Deutschland. Unsere Datenbank wird auf MongoDB in Frankfurt, Deutschland, gehostet. Ihre Gästedaten verlassen die EU für die Kernverarbeitung nicht.
Ja. Der gesamte Web-Datenverkehr nutzt TLS 1.2 oder höher. Daten im Ruhezustand werden mit AES-256 verschlüsselt. Der Zugriff auf Verschlüsselungsschlüssel ist auf befugtes Personal beschränkt.
Zwei-Faktor-Authentifizierung, eine starke Passwortrichtlinie, rollenbasierte Nutzerberechtigungen und granulare Zugriffskontrolle für administrative Aktionen. Der Admin-Zugriff nutzt eindeutige Zugangsdaten pro Nutzer.
Ja. Die chatlyn GmbH hat ihren Sitz in Wien, Österreich, und arbeitet als Auftragsverarbeiter im Auftrag ihrer Kunden unter der DSGVO (EU 2016/679). Wir schließen einen Standard-Auftragsverarbeitungsvertrag nach Art. 28 ab und unterstützen Betroffenenrechte nach Kapitel III der DSGVO.
Ja. chatlyn arbeitet mit einem externen DSGVO-Berater und -Auditor zusammen, um unsere Datenschutzprozesse zu prüfen und zu auditieren.
chatlyn nutzt 360dialog als offiziellen WhatsApp Business Solution Provider. Da Ihr Team die mobile WhatsApp-App nie auf seinen Geräten installiert, werden von chatlyn keine Kontaktdaten an Meta übermittelt. 360dialog speichert Nachrichten nur vorübergehend, auf Servern in der EU. Meta agiert allein für Metadaten der WhatsApp-Kommunikationsschicht selbst als Verantwortlicher. Den vollständigen Ablauf finden Sie im Abschnitt zur WhatsApp-Compliance oben.
Unser Entwicklungsprozess ist mit Blick auf die OWASP Top 10 der Web-Anwendungsrisiken konzipiert. Im Abschnitt „Für Ihr Sicherheitsteam“ oben finden Sie die kategorieweise Zuordnung unserer Maßnahmen.
Ja. Wir stellen alle Dokumentation bereit, die ein Verantwortlicher für eine DSFA nach Art. 35 DSGVO benötigt: den AV-Vertrag, die technischen und organisatorischen Maßnahmen, die Subprozessor-Liste, die Datenfluss-Dokumentation und Unterstützung bei der Beantwortung von Betroffenenanfragen. Siehe den Abschnitt „Für Ihr Sicherheitsteam“ oben.
Ihre Daten werden für die Dauer unserer Servicevereinbarung gespeichert. Bei Vertragsende wird chatlyn nach Ihrer Wahl alle personenbezogenen Daten einschließlich bestehender Kopien entweder zurückgeben oder löschen, sofern nicht das Unionsrecht oder das Recht eines Mitgliedstaats eine weitere Speicherung verlangt.
Ja. Im Rahmen unseres AV-Vertrags können Sie oder ein unabhängiger Dritter während der Geschäftszeiten ein vorab angekündigtes Audit unserer Prozesse durchführen. Das Audit muss so durchgeführt werden, dass der Betrieb nicht gestört wird.
Alle Mitarbeitenden sind verpflichtet, Sicherheitsvorfälle umgehend an einen definierten internen Ansprechpartner zu melden. Wir verfügen über Verfahren, um die Aufsichtsbehörde und betroffene Kunden innerhalb der von Art. 33 DSGVO geforderten 72-Stunden-Frist zu benachrichtigen.
Interne Code-Reviews, Dependency-Scanning und Konfigurationsaudits werden regelmäßig durchgeführt. Formale Penetrationstests durch Dritte können qualifizierten Interessenten unter NDA zur Verfügung gestellt werden. Kontaktieren Sie uns unter .
Möchten Sie ein ausführlicheres Gespräch mit unserem Team?
Wir führen Ihr Sicherheits-, IT- oder Einkaufsteam gern durch alles auf dieser Seite, füllen Anbieterfragebögen aus oder stellen unseren AV-Vertrag samt unterstützender Dokumentation bereit.