Datenschutzrichtlinie

Djambar AI FZCO Dubai Silicon Oasis, Dubai, Vereinigte Arabische Emirate E-Mail: privacy@myumrah.ai Für Pilgerdaten ist das beauftragende Reisebüro der Verantwortliche und Djambar AI FZCO handelt als Auftragsverarbeiter.

Agenturdaten: Name, Adresse, Handelsregistereintragung, E-Mail, Telefon, Bankverbindung, innergemeinschaftliche Umsatzsteuer-Identifikationsnummer. Pilgerdaten (von der Agentur über die Plattform erhoben): • Identität: Name, Geburtsdatum, Staatsangehörigkeit • Dokumente: Reisepassnummer, Visum (AES-256-verschlüsselt) • Gesundheit: für die Reise erforderliche medizinische Informationen (AES-256-verschlüsselt) • Kontakt: E-Mail, Telefon, Notfallkontakt • Reise: Daten, Paket, Präferenzen Zahlungsdaten: Art der Bankkarte (Visa, Mastercard, Amex), letzte vier Ziffern der Karte, Stripe-Transaktionskennung. Vollständige Kartennummern, Sicherheitscodes (CVV/CVC) und Ablaufdaten werden von MyUmrah.ai niemals erfasst, verarbeitet oder gespeichert. Diese Daten werden ausschließlich von Stripe verarbeitet, einem PCI DSS Level 1 zertifizierten Anbieter. Navigationsdaten: besuchte Seiten, Sitzungsdauer (über Umami Analytics, keine Cookies, keine personenbezogenen Daten).

• Verwaltung der Geschäftsbeziehung mit Agenturen • Bereitstellung der Plattformdienste (Paketverwaltung, CRM, Messaging) • Einhaltung regulatorischer Vorschriften (DSGVO, PDPL) über das vDPO-Modul • Plattformverbesserung (anonymisierte Analytik) • Plattformsicherheit (Betrugserkennung, Prüfprotokoll)

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der abonnierten Dienste • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit, Dienstverbesserung • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): steuerliche und regulatorische Konformität • Ausdrückliche Einwilligung (Art. 9 DSGVO): Gesundheitsdaten und religiöse Überzeugungen

Die Daten sind nur zugänglich für: • Das betreffende Reisebüro (über RLS-Isolation) • Das technische Team von Djambar AI FZCO (Support, Wartung) • Unsere technischen Unterauftragsverarbeiter: Supabase (Hosting), Vercel (CDN), Stripe (Zahlung), Anthropic (KI) Jeder Unterauftragsverarbeiter ist durch einen AVV gemäß Artikel 28 der DSGVO gebunden.

Daten können in folgenden Ländern verarbeitet werden: • Europäische Union (Supabase EU) • Vereinigte Staaten (Vercel, Stripe, Anthropic) - Standardvertragsklauseln (SCC) vorhanden • Vereinigte Arabische Emirate (Hauptsitz von Djambar AI) Alle Übermittlungen sind durch angemessene Garantien gemäß Kapitel V der DSGVO und den PDPL-Anforderungen abgesichert.

• Kritische Daten (Reisepass, Gesundheit): automatische Löschung 6 Monate nach der Reise • Sensible Daten (Finanzdaten, Notfallkontakte): maximal 3 Jahre • Standarddaten (Identität, Präferenzen): Vertragslaufzeit + 1 Jahr • Abrechnungsdaten: 10 Jahre (gesetzliche Pflicht) • Analytik: fortlaufend anonymisiert, keine personenbezogenen Daten werden aufbewahrt

Gemäß der DSGVO (Artikel 15 bis 22) und dem PDPL haben Sie folgende Rechte: • Recht auf Auskunft • Recht auf Berichtigung • Recht auf Löschung ("Recht auf Vergessenwerden") • Recht auf Einschränkung der Verarbeitung • Recht auf Datenübertragbarkeit • Widerspruchsrecht Zur Ausübung dieser Rechte: privacy@myumrah.ai Antwortfrist: maximal 30 Tage. Sie können auch eine Beschwerde bei der CNIL (Frankreich), SDAIA (Saudi-Arabien) oder einer anderen zuständigen Datenschutzbehörde einreichen.

MyUmrah.ai verwendet Umami Analytics, eine datenschutzfreundliche Analyselösung, die keine Cookies setzt und keine personenbezogenen Daten erhebt. Stripe, unser Zahlungsdienstleister, kann Cookies verwenden, die ausschließlich zur Betrugsprävention und Transaktionssicherheit während des Zahlungsvorgangs erforderlich sind. Diese Cookies sind gemäß Artikel 5(3) der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) von der Einwilligungspflicht ausgenommen. Abgesehen von diesen funktionalen Cookies ist kein Einwilligungsbanner erforderlich.

Wir setzen folgende Maßnahmen um: • AES-256-Verschlüsselung sensibler Daten im Ruhezustand • TLS 1.3 für sämtliche Kommunikation • Row Level Security (RLS) zur Datenisolierung pro Agentur • MFA-Authentifizierung verfügbar • Prüfprotokoll aller Zugriffe auf sensible Daten • Regelmäßige Sicherheitstests • Konformität mit dem NIST Cybersecurity Framework und CIS Benchmarks Level 1

In Übereinstimmung mit dem Datenschutzgesetz (PDPL): • SDAIA-Registrierung: vorausgefüllte Dokumentation verfügbar • Doppeltes Opt-in für sensible Daten (Gesundheit, Religion) • Einwilligung der Eltern für Daten von Minderjährigen erforderlich • Benachrichtigung über Datenschutzverletzungen innerhalb von 72 Stunden an SDAIA • Begrenzte Aufbewahrungsfrist gemäß Artikel 18 des PDPL

Wir behalten uns das Recht vor, diese Richtlinie zu ändern. Jede wesentliche Änderung wird den Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt.

Für Fragen zu dieser Richtlinie: Djambar AI FZCO E-Mail: privacy@myumrah.ai Adresse: Dubai Silicon Oasis, Dubai, VAE