Now in Beta · Frankfurt-based

Automation without
losing control.

AI drafts guest replies and pricing suggestions for your Airbnb & Booking properties — but nothing is ever sent or applied without your approval. Every action flows through an outbox-first workflow, so you stay in command.

Datenschutzerklärung

gemäß Art. 13, 14 DSGVO

Stand: Februar 2026

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Im Folgenden informieren wir Sie darüber, welche personenbezogenen Daten wir im Rahmen der Nutzung unserer Website und der SaaS-Plattform „PilotStay“ verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Ihnen zustehen.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

PilotStay UG (haftungsbeschränkt)

Sitz: Frankfurt am Main

Geschäftsführer: Antonino Neglia

E-Mail: legal@pilotstay.de

[Straße, PLZ Ort – bitte ergänzen]

Die PilotStay UG ist derzeit nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Für datenschutzrechtliche Anfragen wenden Sie sich bitte an die oben genannte E-Mail-Adresse.

2. Übersicht der Verarbeitungstätigkeiten

Diese Datenschutzerklärung betrifft die Datenverarbeitung im Zusammenhang mit:

  • dem Besuch unserer Website (pilotstay.de)
  • der Registrierung und Nutzung der SaaS-Plattform PilotStay durch Kunden (Gastgeber/Agenturen)
  • der Verarbeitung von Gästedaten durch unsere Kunden über die Plattform (Auftragsverarbeitung)

3. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt stets auf Grundlage einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Die betroffene Person hat ihre Einwilligung zur Verarbeitung erteilt (z. B. Cookie-Einwilligung, Newsletter).
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z. B. steuerliche Aufbewahrungspflichten).
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen von PilotStay erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen.

4. Datenverarbeitung beim Website-Besuch

4.1 Server-Logfiles

Beim Aufruf unserer Website erhebt und speichert unser Hosting-Anbieter automatisch Informationen in sogenannten Server-Logfiles, die Ihr Browser automatisch übermittelt. Dies umfasst:

  • IP-Adresse des anfragenden Rechners
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei
  • Verwendeter Browser und Betriebssystem
  • Referrer-URL (die zuvor besuchte Seite)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung eines störungsfreien Betriebs der Website sowie der Verbesserung unseres Angebots.

Speicherdauer: Die Server-Logfiles werden nach spätestens 30 Tagen automatisch gelöscht, sofern keine längere Aufbewahrung zu Beweiszwecken bei konkreten Sicherheitsvorfällen erforderlich ist.

4.2 SSL-/TLS-Verschlüsselung

Unsere Website verwendet aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie am Schloss-Symbol in der Adresszeile Ihres Browsers sowie an der Adresszeile „https://“.

5. Cookies und Einwilligungsmanagement

5.1 Allgemeines zu Cookies

Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Einige Cookies sind technisch notwendig für den Betrieb der Website (sog. „essenzielle Cookies“), andere dienen der Analyse des Nutzungsverhaltens oder Marketingzwecken.

5.2 Technisch notwendige Cookies

Diese Cookies sind für den Betrieb der Website zwingend erforderlich und können nicht deaktiviert werden. Hierzu gehören insbesondere Cookies zur Sitzungsverwaltung und zur Speicherung Ihrer Cookie-Präferenzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit der Website).

5.3 Analyse- und Marketing-Cookies

Analyse- und Marketing-Cookies werden nur mit Ihrer ausdrücklichen Einwilligung gesetzt. Sie können Ihre Einwilligung jederzeit über unser Cookie-Banner oder die Cookie-Einstellungen auf unserer Website widerrufen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

6. Google Analytics

(1) Diese Website nutzt Google Analytics, einen Webanalysedienst der Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland.

(2) Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

(3) Wir setzen Google Analytics ausschließlich mit aktivierter IP-Anonymisierung ein. Das bedeutet, dass Ihre IP-Adresse von Google innerhalb von Mitgliedstaaten der EU oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt wird.

(4) Google Analytics wird nur mit Ihrer ausdrücklichen Einwilligung aktiviert. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Cookie-Einstellungen auf unserer Website anpassen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Drittlandtransfer: Die Übermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der EU-Kommission zum EU-US Data Privacy Framework (Art. 45 DSGVO), sofern Google unter dem Framework zertifiziert ist, bzw. auf Grundlage von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Speicherdauer: Die von Google Analytics gesetzten Cookies werden nach maximal 14 Monaten automatisch gelöscht.

7. Registrierung und Nutzung der SaaS-Plattform

7.1 Registrierung und Kontodaten

Bei der Registrierung für PilotStay erheben wir folgende Daten:

  • Name und Vorname
  • E-Mail-Adresse
  • Unternehmensdaten (Firmenname, Adresse, Steuernummer, soweit erforderlich)
  • Passwort (verschlüsselt gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).

Speicherdauer: Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Vertragsende werden die Daten gemäß den Regelungen des Hauptvertrags (30 Tage Exportfrist, anschließende Löschung) behandelt. Steuerlich relevante Daten werden für die gesetzliche Aufbewahrungsfrist von 10 Jahren aufbewahrt.

7.2 Nutzungsdaten der Plattform

Bei der Nutzung der Plattform verarbeiten wir:

  • Login-Zeitpunkte und Sitzungsdaten
  • Nutzungsverhalten innerhalb der Plattform (aufgerufene Funktionen, Einstellungen)
  • Geräte- und Browserinformationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung der Plattform und Fehleranalyse) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, soweit für den Betrieb der Plattform erforderlich).

Speicherdauer: Nutzungsdaten werden für maximal 12 Monate gespeichert und anschließend anonymisiert oder gelöscht.

8. Verarbeitung von Gästedaten (Auftragsverarbeitung)

(1) Über die PilotStay-Plattform verarbeiten unsere Kunden (Gastgeber/Agenturen) Gästedaten. In diesem Zusammenhang handelt PilotStay als Auftragsverarbeiter im Sinne des Art. 28 DSGVO im Auftrag des jeweiligen Kunden. Der Kunde ist als Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

(2) Folgende Gästedaten können über die Plattform verarbeitet werden:

  • Gästename (Vor- und Nachname)
  • Kontaktdaten (E-Mail-Adresse, ggf. Telefonnummer)
  • Aufenthaltsdaten (Check-in/Check-out, Unterkunft, Anzahl Gäste)
  • Kommunikationsdaten (Nachrichten zwischen Gastgeber und Gast)
  • Bewertungsdaten
  • Zahlungsbezogene Referenzdaten (Stripe-Token; keine vollständigen Zahlungsdaten)

(3) Die Einzelheiten der Auftragsverarbeitung sind in einem gesonderten Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geregelt.

(4) Es werden keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet.

9. Zahlungsabwicklung

(1) Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister Stripe Inc. (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland).

(2) PilotStay speichert keine vollständigen Kreditkarten- oder Kontodaten. Es werden lediglich Stripe-Token zur Zuordnung von Transaktionen und Abonnements gespeichert.

(3) Stripe verarbeitet Zahlungsdaten unter eigener datenschutzrechtlicher Verantwortlichkeit. Die Datenschutzerklärung von Stripe finden Sie unter: https://stripe.com/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Drittlandtransfer: Soweit eine Datenübermittlung in die USA erfolgt, geschieht dies auf Grundlage von Standardvertragsklauseln und/oder dem EU-US Data Privacy Framework.

10. Schnittstellenanbieter (PMS)

(1) Zur Integration von Buchungs- und Aufenthaltsdaten können Schnittstellen zu Property-Management-Systemen (PMS) und Buchungsplattformen genutzt werden, darunter insbesondere Smoobu, Airbnb und Booking.com.

(2) Die Datenübertragung über diese Schnittstellen erfolgt ausschließlich im Auftrag und auf Weisung des jeweiligen Kunden. PilotStay fungiert dabei als Auftragsverarbeiter.

(3) Der Kunde ist dafür verantwortlich, die datenschutzrechtlichen Voraussetzungen für die Nutzung dieser Schnittstellen gegenüber seinen Gästen sicherzustellen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) i. V. m. Art. 28 DSGVO (Auftragsverarbeitung).

11. KI-gestützte Datenverarbeitung (OpenAI)

(1) PilotStay nutzt für KI-gestützte Funktionen (automatische Antworten auf Gästenachrichten, Review-Responses, Preisoptimierungs-Empfehlungen) die API-Dienste von OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA.

(2) Im Rahmen der KI-Textgenerierung können folgende Daten an OpenAI übermittelt werden:

  • Gästenamen und Nachrichteninhalte (zur kontextbezogenen Antwortgenerierung)
  • Bewertungstexte und Gästefeedback (zur Generierung von Review-Antworten)
  • Buchungskontext (Aufenthaltsdaten, Unterkunftsdetails – zur Personalisierung der Kommunikation)
  • Aggregierte Buchungs- und Marktdaten (zur Preisoptimierung)

(3) Die Verarbeitung durch OpenAI erfolgt ausschließlich über die API-Schnittstelle. Gemäß den Nutzungsbedingungen von OpenAI für API-Nutzer werden die übermittelten Daten nicht zum Training der KI-Modelle verwendet und nicht länger als 30 Tage gespeichert.

(4) Die KI-Funktionen sind standardmäßig deaktiviert und können vom Kunden eigenverantwortlich aktiviert werden. Der Kunde entscheidet, welche Automatisierungsstufe (manuell, hybrid, vollautomatisch) gewählt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – KI-Features als Kernbestandteil der Software) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Effizienzsteigerung des Kundenbetriebs).

Drittlandtransfer: USA – Standardvertragsklauseln (SCC) sowie OpenAI Data Processing Addendum (DPA).

12. Hosting und Cloud-Infrastruktur

(1) Die Plattform PilotStay wird über den Cloud-Infrastruktur-Anbieter Supabase Inc. (USA) betrieben. Supabase stellt die Datenbank, Authentifizierungsdienste und serverseitige Funktionen (Edge Functions) bereit.

(2) Das Frontend der Plattform wird über Vercel Inc. (USA) gehostet. Vercel führt zudem serverseitige Cron-Jobs aus (z. B. automatisierte Nachrichten-Prüfung, Preisoptimierung, Review-Überwachung). Dabei verarbeitet Vercel IP-Adressen, HTTP-Request-Daten und Sitzungsinformationen der Plattformnutzer.

(3) Eine Verarbeitung personenbezogener Daten kann dabei in Drittländern, insbesondere den USA, erfolgen.

Drittlandtransfer: Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und/oder eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO (EU-US Data Privacy Framework), sofern anwendbar.

(4) Mit Supabase und Vercel bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Weitere Informationen in Anlage 2 des AVV.

13. Automatisierte Entscheidungsfindung und Profiling

(1) PilotStay bietet eine Funktion zur automatisierten Preisoptimierung, die auf Basis algorithmischer Modelle und künstlicher Intelligenz Preisvorschläge oder -anpassungen für Unterkünfte erstellt.

(2) Diese Funktion ist standardmäßig deaktiviert und kann vom Kunden eigenverantwortlich aktiviert werden. Die algorithmischen Preisvorschläge beruhen auf statistischen Modellen unter Einbeziehung von Faktoren wie Buchungsdaten, Saisonalität, Nachfrageentwicklung und Marktdaten.

(3) Die Preisvorschläge stellen Empfehlungen dar und entfalten keine unmittelbare rechtliche Wirkung gegenüber Gästen oder Dritten. Die endgültige Preisentscheidung liegt stets beim Kunden. Eine automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne des Art. 22 DSGVO gegenüber Gästen findet nicht statt.

(4) Soweit im Rahmen der Preisoptimierung personenbezogene Daten (z. B. aggregierte Buchungsdaten) verarbeitet werden, erfolgt dies auf Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO (Optimierung des Geschäftsbetriebs des Kunden) bzw. zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

14. Empfänger und Kategorien von Empfängern

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, wenn dies für die genannten Zwecke erforderlich ist, eine Rechtsgrundlage vorliegt oder Sie eingewilligt haben. Im Einzelnen können folgende Empfänger beteiligt sein:

  • Hosting- und Cloud-Infrastruktur: Supabase Inc. (USA) – Datenbankbetrieb und Authentifizierung
  • Frontend-Hosting und Cron-Jobs: Vercel Inc. (USA) – Website-Hosting, serverseitige Automatisierungsaufgaben
  • KI-Dienste: OpenAI, L.L.C. (USA) – Textgenerierung für Gästekommunikation, Reviews und Preisempfehlungen
  • Zahlungsdienstleister: Stripe Inc. / Stripe Payments Europe, Ltd. – Zahlungsabwicklung
  • PMS-/Schnittstellenanbieter: z. B. Smoobu GmbH – Synchronisation von Buchungsdaten
  • Webanalyse: Google Ireland Limited – Google Analytics (nur mit Einwilligung)
  • Staatliche Stellen: Soweit eine gesetzliche Verpflichtung besteht (z. B. Finanzbehörden, Strafverfolgungsbehörden)

Eine aktuelle Liste der Unterauftragsverarbeiter ist in Anlage 2 des Auftragsverarbeitungsvertrags (AVV) enthalten.

15. Datenübermittlung in Drittländer

(1) Im Rahmen der Nutzung von Diensten wie Supabase, Vercel, OpenAI, Stripe und Google Analytics kann eine Übermittlung personenbezogener Daten in die USA oder andere Drittländer erfolgen.

(2) Für Datenübermittlungen in Drittländer stellen wir sicher, dass geeignete Garantien gemäß Art. 44 ff. DSGVO vorliegen. Dies umfasst insbesondere:

  • Angemessenheitsbeschlüsse der EU-Kommission gemäß Art. 45 DSGVO (z. B. EU-US Data Privacy Framework)
  • Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Gegebenenfalls ergänzende technische und organisatorische Schutzmaßnahmen

(3) Auf Anfrage stellen wir Ihnen gerne Informationen über die konkreten Garantien zur Verfügung.

16. Speicherdauer

Die Speicherdauer personenbezogener Daten richtet sich nach dem jeweiligen Verarbeitungszweck:

  • Vertragsdaten (Registrierung, Kontodaten): Für die Dauer des Vertragsverhältnisses, zuzüglich 30 Tage nach Vertragsende (Exportfrist), anschließend Löschung
  • Steuerlich relevante Daten: 10 Jahre gemäß § 147 AO / § 257 HGB
  • Rechnungsdaten: 6 Jahre gemäß § 257 HGB
  • Server-Logfiles: Maximal 30 Tage
  • Nutzungsdaten der Plattform: Maximal 12 Monate, anschließend Anonymisierung oder Löschung
  • Google-Analytics-Cookies: Maximal 14 Monate
  • An OpenAI übermittelte Daten: Maximal 30 Tage bei OpenAI (API-Nutzung, kein Modelltraining), dauerhaft gelöscht nach Ablauf
  • Gästedaten (Auftragsverarbeitung): Gemäß den Weisungen des Verantwortlichen (Kunden) und den Regelungen des AVV

17. Rechte betroffener Personen

Ihnen stehen folgende Rechte bezüglich Ihrer personenbezogenen Daten zu:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten unter bestimmten Voraussetzungen verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Sofern die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

18. Widerspruchsrecht (Art. 21 DSGVO)

Sofern wir Ihre personenbezogenen Daten auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einzulegen. Wir werden die Verarbeitung Ihrer personenbezogenen Daten dann einstellen, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Ausübung Ihres Widerspruchsrechts wenden Sie sich bitte an: legal@pilotstay.de

19. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Die für PilotStay zuständige Aufsichtsbehörde ist:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Gustav-Stresemann-Ring 1

65189 Wiesbaden

https://datenschutz.hessen.de

20. Pflicht zur Bereitstellung von Daten

Im Rahmen der Registrierung und Nutzung von PilotStay ist die Bereitstellung bestimmter personenbezogener Daten (Name, E-Mail-Adresse, Zahlungsdaten) erforderlich, um den Vertrag zu erfüllen. Ohne diese Daten kann der Vertrag nicht geschlossen oder durchgeführt werden.

Die Bereitstellung von Daten für Analysezwecke (z. B. Google Analytics) ist freiwillig und basiert auf Ihrer Einwilligung. Eine Nichtbereitstellung hat keine Auswirkungen auf die Nutzung der Plattform.

21. Datensicherheit

PilotStay setzt angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Hierzu gehören insbesondere:

  • Verschlüsselte Datenübertragung mittels TLS 1.2 oder höher
  • Verschlüsselte Datenspeicherung (AES-256 at rest)
  • JWT-basierte Authentifizierung mit zeitlich begrenzter Gültigkeit
  • Rollenbasiertes Berechtigungskonzept mit Mandantentrennung (Row-Level-Security)
  • Regelmäßige Sicherheitsupdates und Patch-Management
  • Automatisierte Backups

Weitere Details sind in Anlage 1 des Auftragsverarbeitungsvertrags (TOM) dokumentiert.

22. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie auf unserer Website. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

PilotStay UG (haftungsbeschränkt) – Frankfurt am Main

Stand: Februar 2026