Datenschutzerklärung

Welche Daten wir erheben

Ansprüche aus Fluggastrechten sind rechtliche Angelegenheiten und erfordern häufig Identitätsnachweise sowie Informationen zur Flugstörung. Daher benötigen wir unterschiedliche Datenkategorien.

Identitäts und Kontaktdaten

Wenn Sie einen Fall eröffnen oder ein CompenSky Konto erstellen, fragen wir Ihren vollständigen Namen, Ihr Geburtsdatum, Ihre Staatsangehörigkeit, Ihre Pass oder Ausweisnummer (wenn dies gegenüber einer Fluggesellschaft oder einem Gericht zur Identitätsprüfung erforderlich ist), Ihre Postanschrift, Ihre E Mail Adresse sowie eine bevorzugte Telefonnummer ab. Wenn Sie für ein Kind oder eine andere erwachsene Person einreichen, bitten wir um vergleichbare Angaben zu dieser Person und verlassen uns darauf, dass Sie bestätigen, zur Weitergabe der Daten berechtigt zu sein.

Flug und Anspruchsdaten

Zur Prüfung der Anspruchsvoraussetzungen und zur Durchsetzung Ihres Anspruchs erfassen wir Buchungsreferenzen (PNR), Ticketnummern, Flugnummern, Abflugs und Zielflughäfen, planmäßige und tatsächliche Zeiten, Bordkarten, Gepäckabschnitte, Belege, die Korrespondenz mit der Fluggesellschaft sowie unterstützende Unterlagen wie Gutscheine oder Quittungen (z. B. für Mahlzeiten), die die entstandenen Unannehmlichkeiten dokumentieren.

Konto und Nutzungsdaten

Unsere Website und App erfassen Informationen darüber, wie Sie den Service nutzen, z. B. Login Zeitpunkte, Klicks auf Statusmeldungen, Formularübermittlungen, Gerätetyp, Browsertyp, IP Adresse sowie bestimmte Cookie oder Pixel Daten. Diese nutzen wir zur Fehlerdiagnose, zur Verbesserung der Bedienbarkeit und zum Schutz Ihres Kontos vor Missbrauch.

Finanz und Zahlungsdaten

Wenn die Entschädigung über uns ausgezahlt wird oder wir unsere Erfolgsprovision einbehalten, verarbeiten wir Bankverbindungsdaten, IBAN, SWIFT/BIC, teilweise Kartennummern, Rechnungsadressen, Rechnungsinformationen und Zahlungsbestätigungen. Vollständige Kreditkartennummern speichern wir nicht; diese werden von Zahlungsdienstleistern verarbeitet, die PCI DSS Anforderungen erfüllen.

Marketingpräferenzen

Wenn Sie Newsletter, Erinnerungen an Fristen oder Werbeinformationen erhalten möchten, protokollieren wir Ihre Einwilligung, den gewählten Kanal (E Mail, SMS, Push Nachricht) sowie Datum und Uhrzeit der Zustimmung. Ebenso speichern wir einen späteren Widerruf, damit wir Sie nicht versehentlich erneut kontaktieren.

Inhalte aus Kommunikation und Support

Wenn Sie mit unserem Support per Telefon, Chat oder E Mail kommunizieren, werden die Inhalte dieser Kommunikation und von Ihnen übermittelte Anhänge in unserem Kundenservice System gespeichert, damit Ihr Anliegen nahtlos bearbeitet werden kann.

Wir erhalten diese Daten direkt von Ihnen, automatisiert über Cookies oder ähnliche Technologien, aus öffentlich zugänglichen oder kommerziellen Flugdatenbanken und, soweit unbedingt erforderlich, von Mitreisenden derselben Buchung, wobei wir sicherstellen, dass diese der Weitergabe ihrer Daten zugestimmt haben.

Rechtsgrundlagen der Verarbeitung

Nach Artikel 6 der DSGVO und den entsprechenden Regelungen der KVKK benötigen wir mindestens eine Rechtsgrundlage, um Ihre Daten zu verarbeiten. Die wichtigsten Grundlagen, auf die wir uns stützen, sind:

• Vertragserfüllung: Ohne die Verarbeitung Ihrer Identitäts, Flug und Zahlungsdaten können wir Ihren Anspruch nicht prüfen oder Sie gegenüber einer Fluggesellschaft vertreten. Mit der Annahme unserer AGB schließen Sie einen Vertrag mit uns, und diese Verarbeitung ist für die Vertragserfüllung erforderlich.

• Rechtliche Verpflichtung: Buchhaltungs und Steuervorschriften, Vorgaben zur Geldwäscheprävention sowie behördliche oder gerichtliche Anordnungen können uns verpflichten, bestimmte Daten aufzubewahren und in Einzelfällen offenzulegen.

• Berechtigte Interessen: Wir haben ein wirtschaftliches Interesse an effizientem Kundenservice, Betrugsprävention, der Weiterentwicklung unserer Plattform und der Durchsetzung bzw. Verteidigung unserer Rechtsansprüche. Dabei wägen wir diese Interessen stets gegen Ihre Rechte und Freiheiten ab.

• Einwilligung: Für nicht notwendige Cookies, Direktmarketing und besondere Daten, die Sie freiwillig bereitstellen (z. B. ärztliche Bescheinigungen zur Untermauerung Ihres Anspruchs), holen wir eine ausdrückliche Einwilligung ein, die Sie jederzeit widerrufen können.

Wenn in einer bestimmten Rechtsordnung eine andere Rechtsgrundlage einschlägig ist, wie etwa „Wahrnehmung einer Aufgabe im öffentlichen Interesse“ oder „lebenswichtige Interessen“, nutzen wir diese nur, wenn die Umstände dies tatsächlich tragen.

Wie wir Ihre Daten verwenden

Wir nutzen Ihre personenbezogenen Daten für Zwecke, die eng mit dem von Ihnen gewünschten Service verbunden sind:

• Prüfung der Anspruchsvoraussetzungen: Anhand Ihrer Buchungsreferenz und der Angaben zur Störung prüfen wir, ob die gesetzlichen Voraussetzungen für eine Entschädigung erfüllt sind.

• Vorbereitung und Einreichung des Anspruchs: Wir erstellen rechtliche Begründungen, formulieren Schreiben und füllen Formulare von Fluggesellschaften und Gerichten mit den von Ihnen bereitgestellten personenbezogenen Daten aus, damit Ihr Anspruch ordnungsgemäß geltend gemacht wird.

• Status Updates zum Fall: Über Ihr CompenSky Konto, per E Mail und in Einzelfällen per SMS oder Push Nachricht informieren wir Sie über wesentliche Fortschritte, z. B. Eingangsbestätigungen der Airline, Vergleichsangebote oder gerichtliche Entscheidungen.

• Identitätsprüfung: Vor einer Auszahlung prüfen wir, ob das angegebene Bankkonto Ihnen gehört, um Identitätsbetrug und Fehlüberweisungen zu verhindern.

• Kundenservice und Qualitätssicherung: Wir können Telefonaufzeichnungen oder Chat Protokolle stichprobenartig prüfen, um Mitarbeitende zu schulen und sicherzustellen, dass Anfragen korrekt und respektvoll bearbeitet werden.

• Betrieb der Plattform und Analysen: Aggregierte, pseudonymisierte Nutzungsdaten helfen uns, technische Fehler zu erkennen, Ladezeiten zu optimieren und besser zu verstehen, welche Funktionen besonders hilfreich sind.

• Marketing (Optional): Wenn Sie einwilligen, senden wir Ihnen Newsletter zu rechtlichen Änderungen, Erinnerungen an Fristen für zukünftige Ansprüche und gelegentliche Angebote. Sie können sich jederzeit abmelden, ohne dass Ihr laufender Anspruch dadurch beeinträchtigt wird.

Wir setzen keine ausschließlich automatisierten Entscheidungen ein, die ohne sinnvolle menschliche Prüfung rechtliche oder ähnlich erhebliche Auswirkungen für Sie entfalten.

Weitergabe von Daten

Wir verkaufen oder vermieten Ihre personenbezogenen Daten niemals an Werbetreibende. Wir geben Daten ausschließlich an Partner weiter, die für die Bearbeitung Ihres Anspruchs oder den Betrieb unseres Unternehmens erforderlich sind, strikt nach dem Need to know Prinzip und auf Grundlage umfassender Vereinbarungen zur Auftragsverarbeitung. Typische Empfänger sind:

• Kanzleien und Prozessvertreter: Wenn ein gerichtliches Verfahren notwendig wird, übermitteln wir Ihre Fallakte einschließlich Identitätsnachweisen und Korrespondenz an externe, in der jeweiligen Rechtsordnung zugelassene Anwälte. Diese unterliegen strengen Vertraulichkeitspflichten.

• Fluggesellschaften, alternative Streitbeilegungsstellen (ADR) und nationale Durchsetzungsstellen: Um Ihren Anspruch zu verhandeln oder zu regulieren, müssen wir bestimmte Informationen austauschen, etwa Buchungsnachweise und Vollmachten, mit den Stellen, die letztlich über die Entschädigung entscheiden oder sie auszahlen.

• Zahlungsdienstleister: Unsere PCI-konformen Zahlungspartner erhalten nur die notwendigen Angaben (z. B. Name, IBAN, Auszahlungsbetrag), damit Auszahlungen sowie unsere erfolgsabhängige Vergütung abgewickelt werden können.

• Cloud-Infrastruktur-Anbieter: Wir betreiben Server, Datenbanken und Backups in etablierten Cloud-Umgebungen, überwiegend innerhalb des Europäischen Wirtschaftsraums, abgesichert durch starke Vertragsklauseln und Verschlüsselung.

• Berater, Wirtschaftsprüfer und Versicherer: In seltenen Fällen teilen wir bestimmte Unterlagen mit professionellen Beratern oder Versicherern, etwa im Rahmen einer gesetzlichen Prüfung oder im Zusammenhang mit einem Haftungsfall.

• Aufsichtsbehörden und Strafverfolgungsbehörden: Wenn wir aufgrund von Gesetzen, behördlichen Anordnungen oder gerichtlichen Beschlüssen verpflichtet sind, geben wir ausschließlich die rechtlich verlangten Daten heraus.

Internationale Datenübermittlungen

Da wir Kunden weltweit unterstützen und mit Fluggesellschaften rund um den Globus zusammenarbeiten, kann es vorkommen, dass Daten in Länder übermittelt werden oder von dort aus abrufbar sind, für die nach EU oder türkischen Maßstäben kein „angemessenes“ Datenschutzniveau festgestellt wurde. In solchen Fällen stützen wir uns auf eine oder mehrere der folgenden Schutzmaßnahmen: von der Europäischen Kommission genehmigte Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) von Dienstleistern, Ihre ausdrücklich erteilte informierte Einwilligung oder, wenn unbedingt erforderlich, Ausnahmen nach Art. 49 DSGVO (z. B. wenn die Übermittlung für die Erfüllung eines Vertrags zwischen Ihnen und uns notwendig ist). Wir dokumentieren die eingesetzten Schutzmaßnahmen und stellen entsprechende Nachweise auf Anfrage zur Verfügung.

Speicherdauer

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für den jeweiligen Zweck sinnvoll und erforderlich ist. Unterlagen in Fallakten werden in der Regel sechs Jahre nach Abschluss des Anspruchs oder nach der letzten Zahlung aufbewahrt. Dieser Zeitraum deckt die Verjährungsfristen der meisten passagierrechtlichen Streitigkeiten ab und ermöglicht es uns, auf spätere Beschwerden oder Anfragen von Behörden zu reagieren. Finanzunterlagen einschließlich Rechnungen und Auszahlungsbestätigungen archivieren wir üblicherweise zehn Jahre, entsprechend steuerlichen und buchhalterischen Vorgaben. Daten, die mit Ihrem CompenSky Konto verknüpft sind, bleiben so lange aktiv, wie Ihr Konto besteht. Wenn Sie Ihr Konto löschen, werden wir die betreffenden Daten innerhalb von etwa neunzig Tagen löschen oder anonymisieren, sobald alle offenen Ansprüche endgültig abgeschlossen sind. Protokolle zu Marketing Einwilligungen bewahren wir bis zu drei Jahre nach Ihrer letzten Interaktion auf, damit wir die Rechtmäßigkeit bei Bedarf nachweisen können.

Ihre Rechte

Vorbehaltlich der Voraussetzungen und Ausnahmen nach anwendbarem Recht haben Sie das Recht:

• Auskunft über die zu Ihrer Person gespeicherten personenbezogenen Daten zu erhalten und eine Kopie in einem gängigen elektronischen Format zu bekommen.

• Unrichtige oder unvollständige Daten unverzüglich berichtigen zu lassen.

• Bestimmte Daten löschen zu lassen („Recht auf Vergessenwerden“), wenn sie nicht mehr erforderlich sind oder wenn Sie eine Einwilligung widerrufen haben und keine andere Rechtsgrundlage mehr besteht.

• Die Verarbeitung einschränken zu lassen, während wir die bestrittene Richtigkeit prüfen, oder wenn die Verarbeitung unrechtmäßig ist und Sie eine Einschränkung der Löschung vorziehen.

• Widerspruch gegen eine Verarbeitung einzulegen, die auf berechtigten Interessen beruht, insbesondere wenn es um Direktwerbung geht.

• Eine Einwilligung jederzeit zu widerrufen, wenn die Einwilligung die Rechtsgrundlage war, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung dadurch berührt wird.

• Beschwerde bei einer Aufsichtsbehörde einzureichen. In der Türkei ist dies die Datenschutzbehörde („KVKK Board“). Im EWR oder im Vereinigten Königreich können Sie sich an Ihre zuständige Datenschutzaufsicht wenden. Wir empfehlen, sich zunächst an uns zu wenden, damit wir Ihr Anliegen zügig und in einem fairen Verfahren klären können.

Sie können Ihre Rechte ausüben, indem Sie an privacy@compensky.com schreiben. Wir antworten innerhalb eines Monats oder früher, sofern dies nach lokalem Recht erforderlich ist.

Cookies und ähnliche Technologien

Unsere Website und mobilen Anwendungen verwenden Cookies, Pixel, Local Storage und Software Development Kits („SDKs“), um Ihre Einstellungen zu speichern, die Sicherheit von Sitzungen zu gewährleisten, Besuchsstatistiken zu analysieren und die Wirksamkeit von Marketingkampagnen zu messen. Notwendige Cookies werden automatisch gesetzt, weil die Seite ohne sie nicht funktionsfähig wäre, etwa um Sie eingeloggt zu halten oder Spracheinstellungen zu speichern. Alle weiteren Cookies, einschließlich Analyse Cookies und Werbe Pixel, werden erst geladen, nachdem Sie über unser Cookie Banner ausdrücklich eingewilligt haben. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie das Banner erneut aufrufen oder Ihre Browser Einstellungen anpassen. Eine separate [CompenSky Cookie Policy] erklärt im Detail, welche Kategorien wir verwenden, wie lange einzelne Cookies gespeichert werden und wie Sie sie verwalten.

Sicherheitsmaßnahmen

CompenSky setzt ein mehrstufiges Sicherheitskonzept um, das sich an Best Practices nach ISO 27001 orientiert. Zu den technischen Maßnahmen zählen TLS 1.3 Verschlüsselung für Datenübertragungen, AES 256 Verschlüsselung für gespeicherte Daten, Web Application Firewalls (WAF), Echtzeit Systeme zur Erkennung von Angriffen, regelmäßige Penetrationstests durch zertifizierte Spezialisten sowie kontinuierliche Schwachstellen Scans. Organisatorische Maßnahmen umfassen strenge Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabe, verpflichtende Multi Faktor Authentifizierung für Mitarbeitende, Hintergrundprüfungen bei Rollen mit erweiterten Berechtigungen, Secure Coding Richtlinien für Entwickler sowie einen Incident Response Plan, der regelt, wie wir Aufsichtsbehörden und betroffene Personen informieren, wenn eine Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten bedeutet.

Kinder

Unsere Leistungen richten sich an Personen ab 16 Jahren und werden entsprechend vermarktet. Wir fordern personenbezogene Daten von Personen unterhalb dieses Alters nicht bewusst an und verarbeiten sie nicht wissentlich. Wenn Sie vermuten, dass wir versehentlich Daten eines Minderjährigen erhoben haben, kontaktieren Sie uns bitte umgehend. Wir werden diese Daten ohne unangemessene Verzögerung löschen.

Bewerbungen

Wenn Sie sich bei CompenSky bewerben, verarbeiten wir Lebenslauf, Anschreiben, berufliche Referenzen, Interviewnotizen, Ergebnisse von Assessments sowie, sofern gesetzlich zulässig, Hintergrunddaten, die Sie oder Personalvermittler bereitstellen. Wir nutzen diese Daten ausschließlich für Recruiting Zwecke und zur Aufnahme in einen Talent Pool. Sofern Sie nicht in eine längere Aufbewahrung einwilligen, löschen oder anonymisieren wir Bewerbungsunterlagen sechs Monate nach Besetzung oder Schließung der Stelle unwiderruflich, es sei denn, ein Streitfall erfordert eine längere Aufbewahrung.

Marketing Kommunikation

Wir informieren unsere Kunden gern über Änderungen im Passagierrecht, neue Funktionen und besondere Aktionen, jedoch ausschließlich mit Ihrer ausdrücklichen Zustimmung. Die Einwilligung können Sie z. B. durch Aktivieren einer Opt in Checkbox in einem Webformular oder in den Einstellungen Ihres CompenSky Kontos erteilen. Jede Marketing E Mail enthält einen klar erkennbaren Abmeldelink, der Sie sofort aus dem Verteiler entfernt. Eine Abmeldung vom Marketing berührt keine Service Nachrichten zu laufenden Ansprüchen, die wir zur Information über den Bearbeitungsstand versenden müssen.

Verantwortlichkeit und Governance

Die Geschäftsleitung von CompenSky hat ein formales Datenschutz Governance Framework verabschiedet, das Verantwortlichkeiten Rollen zuordnet, regelmäßige Schulungen vorschreibt und wiederkehrende Compliance Audits verlangt. Unser Datenschutzbeauftragter berichtet direkt an den Vorstand, um Unabhängigkeit sicherzustellen. Wir führen ein vollständiges Verzeichnis von Verarbeitungstätigkeiten und erstellen Datenschutz Folgenabschätzungen (DPIA), wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte von Personen mit sich bringt, zum Beispiel bei der Einführung eines neuen KI gestützten Tools zur Dokumentenanalyse.

Beschwerden

Wenn Sie der Ansicht sind, dass wir Ihre Datenschutzrechte verletzt haben, können Sie sich an unseren Datenschutzbeauftragten unter privacy@compensky.com wenden. Wir nehmen jede Beschwerde ernst und bemühen uns, innerhalb von 30 Tagen substanziell zu antworten. Sollten Sie weiterhin unzufrieden sein, können Sie Beschwerde bei der KVKK Datenschutzbehörde in der Türkei oder bei der zuständigen Aufsichtsbehörde in dem Land einreichen, in dem Sie leben oder arbeiten.

Änderungen dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren, etwa aufgrund rechtlicher Entwicklungen, neuer Technologien oder Verbesserungen unserer Leistungen. Bei wesentlichen Änderungen, also Änderungen, die erheblichen Einfluss darauf haben, wie wir Ihre personenbezogenen Daten verarbeiten, informieren wir Sie mindestens 30 Tage vor Inkrafttreten der neuen Version durch ein deutlich sichtbares Banner auf unserer Website, eine In App Nachricht und oder per E Mail. Frühere Versionen halten wir in einem zugänglichen Archiv bereit, damit Sie nachvollziehen können, was sich geändert hat.