Datenschutzerklärung (DSGVO & PDPA Malaysia)

Verantwortlicher
DOT2DOT CONNECTS PLT, Reg.-Nr. LLP0041303-LGN
No. 5, Jalan Putra Indah 9/9, 47650 Putra Heights, Subang Jaya, Malaysia
Kontakt: info@discover-malaysia.com, +60 102-792-248

EU/EWR-Vertreter (Art. 27 DSGVO)
Eric Naud, IT Services
Wallstadter Straße 38, 68259 Mannheim, Deutschland
support@eric-naud.de, +49 621 71880 378

Data Protection Officer (DPO)
Tengku Mahanis Tengku Maulaud, info@discover-malaysia.com, +60 102-792-248

Geltungsbereich

Diese Hinweise gelten für https://discover-malaysia.com/. Wir bieten Leistungen auch an Personen in der EU an; daher gilt die DSGVO. Zusätzlich gilt der malaysische PDPA für uns als Unternehmen in Malaysia.
Hinweis: Auf der Website werden ausschließlich Dienstleistungen angeboten; kein Warenverkauf.
Für das Speichern/Auslesen auf Endgeräten gelten in Deutschland die Vorgaben des § 25 TDDDG.

Verarbeitete Daten

– Identifikations-/Kontaktdaten (z. B. Name, E-Mail, Telefon)
– Buchungs-/Reisedaten (z. B. Reiseroute, Präferenzen; Passdaten nur falls erforderlich)
– Nutzungsdaten (z. B. IP-Adresse, Zeitstempel, User-Agent)
– Zahlungsdaten über zertifizierte Zahlungsdienstleister (keine vollständigen Kartendetails bei uns)

Zwecke & Rechtsgrundlagen (DSGVO)

– Vertrag/Leistung (Registrierung, Buchung, Support): Art. 6 Abs. 1 b
– Rechtliche Pflichten (z. B. Steuer-/Handelsrecht, Aufbewahrung): Art. 6 Abs. 1 c
– Betrieb/Sicherheit/Fraud-Prevention: Art. 6 Abs. 1 f (berechtigte Interessen: IT-Sicherheit, Missbrauchsvermeidung, Servicequalität)
– Analyse/Marketing: Art. 6 Abs. 1 a (Einwilligung)

Cookies & ähnliche Technologien (EU/DE)

– Nicht notwendige Technologien (Analytics/Marketing) nur nach Einwilligung; Widerruf jederzeit in den Cookie-Einstellungen.
– Notwendige Technologien ohne Einwilligung (§ 25 Abs. 2 TDDDG).
– Folgeverarbeitung (z. B. Analytics-Auswertung) zusätzlich auf DSGVO-Rechtsgrundlage (idR Art. 6 Abs. 1 a; ggf. f).
– Keine Cookie-Wände; Scrolling gilt nicht als Einwilligung.

Empfänger(kategorien)

Hosting/IT-Dienstleister (EU/Deutschland), Zahlungsdienste, Kommunikations-/Support-Dienste; ggf. Analyse/Marketing (nur mit Einwilligung). Vertragliche Bindung inkl. TOMs nach Art. 28 DSGVO.
Bei Anbietern mit EU-US Data Privacy Framework (DPF) stützen wir Übermittlungen auf den Angemessenheitsbeschluss; andernfalls Standardvertragsklauseln (SCC) + TIA + ergänzende Maßnahmen.

Speicherdauer

– Server-Logs: 30 Tage
– Vertrags-/Buchungsunterlagen:
  • Malaysia: 7 Jahre (steuerrechtliche Aufbewahrung)
  • Deutschland: Buchungsbelege 8 Jahre (ab 2025); Geschäftsbriefe 6 Jahre; Handelsbücher/Jahresabschlüsse 10 Jahre
– Marketing-IDs: bis Widerruf; danach Löschung/Anonymisierung

Internationale Übermittlungen

Daten werden in der EU (Deutschland) gehostet; Remote-Zugriffe/Weiterverarbeitungen außerhalb der EU (z. B. Malaysia) können stattfinden. Remote-Zugriff aus einem Drittland gilt als Datenübermittlung i. S. d. Kap. V DSGVO.
Garantien: Einsatz der EU-SCC 2021/914 (Modul passend zur Konstellation, u. a. Modul 4: Processor → Controller für Rückübermittlungen vom EU-Auftragsverarbeiter an den malaysischen Verantwortlichen), Transfer Impact Assessments (TIA) und technische/organisatorische Maßnahmen (z. B. Verschlüsselung). Malaysia hat keine EU-Angemessenheitsentscheidung.
USA (falls Tools genutzt): DPF-Zertifizierung (falls vorhanden) bzw. SCC + TIA.

Sicherheit

Angemessene technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Zugriffskontrollen, Härtung/Protokollierung, Monitoring, Least-Privilege, regelmäßige Tests/Audits).

Deine Rechte (DSGVO & PDPA)

DSGVO: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch; Widerruf von Einwilligungen. Antwortfrist i. d. R. 1 Monat.
PDPA: u. a. Widerruf von Einwilligungen und Widerspruch gegen Direktmarketing.
Beschwerde (EU): bei einer Datenschutz-Aufsichtsbehörde am Aufenthalts-/Arbeitsort.
Kontaktstelle für Betroffenenrechte: DPO per E-Mail (siehe oben).

Minderjährige

Unsere Angebote richten sich nicht gezielt an Kinder. Bei Diensten direkt an Kinder, die auf Einwilligung gestützt werden, gilt – sofern anwendbar – ein Mindestalter 16; sonst ist die Zustimmung der Sorgeberechtigten erforderlich.

Datenschutzvorfälle (PDPA Malaysia)

Wir unterhalten einen strukturierten Incident-Response-Prozess. Meldepflichten nach PDPA:
– An den Commissioner (JPDP): Meldung meldepflichtiger Vorfälle innerhalb der vorgegebenen Frist.
– An betroffene Personen: Benachrichtigung ohne unnötige Verzögerung, wenn voraussichtlich erheblicher Schaden droht.

Pflichtangaben/Freiwilligkeit

Für Vertrag/Buchung erforderliche Angaben sind obligatorisch; weitere Angaben freiwillig. Ohne Pflichtangaben kann die Leistung nicht erbracht werden.

Automatisierte Entscheidungen/Profiling

Es finden keine ausschließlich automatisierten Entscheidungen mit Rechtswirkung statt. Profiling zu Marketingzwecken nur mit Einwilligung (Opt-in; Widerruf jederzeit).

 

Stand: 2025-11-05

*************************************************************************************************************************************

Privacy Policy (GDPR & Malaysia PDPA)

Controller
DOT2DOT CONNECTS PLT, Reg. No. LLP0041303-LGN
No. 5, Jalan Putra Indah 9/9, 47650 Putra Heights, Subang Jaya, Malaysia
Contact: info@discover-malaysia.com, +60 102-792-248

EU/EEA Representative (Art. 27 GDPR)
Eric Naud, IT Services
Wallstadter Straße 38, 68259 Mannheim, Germany
support@eric-naud.de, +49 621 71880 378

Data Protection Officer (DPO)
Tengku Mahanis Tengku Maulaud, info@discover-malaysia.com, +60 102-792-248

Scope

This notice applies to https://discover-malaysia.com/. We also offer services to persons in the EU; therefore, the GDPR applies. In addition, the Malaysian PDPA applies to us as a company in Malaysia.
Note: The website offers services only; no sale of goods.
For storing/reading information on end devices in Germany, § 25 TDDDG applies.

Data Processed

– Identification/Contact data (e.g., name, email, phone)
– Booking/Travel data (e.g., itinerary, preferences; passport data only if required)
– Usage data (e.g., IP address, timestamps, user agent)
– Payment data via certified payment service providers (we do not store complete card details)

Purposes & Legal Bases (GDPR)

– Contract/Service (registration, booking, support): Art. 6(1)(b)
– Legal obligations (e.g., tax/commercial law, retention): Art. 6(1)(c)
– Operations/Security/Fraud prevention: Art. 6(1)(f) (legitimate interests: IT security, abuse prevention, service quality)
– Analytics/Marketing: Art. 6(1)(a) (consent)

Cookies & Similar Technologies (EU/DE)

– Non-essential technologies (analytics/marketing) only with consent; consent can be withdrawn at any time in the cookie settings.
– Essential technologies without consent (§ 25(2) TDDDG).
– Subsequent processing (e.g., analytics evaluation) additionally requires a GDPR legal basis (as a rule Art. 6(1)(a); where applicable Art. 6(1)(f)).
– No cookie walls; scrolling does not constitute consent.

Recipients (Categories)

Hosting/IT service providers (EU/Germany), payment services, communications/support services; where applicable, analytics/marketing (only with consent). Contractual engagement including TOMs under Art. 28 GDPR.
For providers certified under the EU–US Data Privacy Framework (DPF), we base transfers on the adequacy decision; otherwise on Standard Contractual Clauses (SCC) + TIA + supplementary measures.

Retention Periods

– Server logs: 30 days
– Contract/booking records:
• Malaysia: 7 years (tax retention)
• Germany: booking vouchers 8 years (from 2025); business correspondence 6 years; accounting books/annual financial statements 10 years
– Marketing IDs: until withdrawal of consent; thereafter deletion/anonymization

International Transfers

Data are hosted in the EU (Germany); remote access/further processing outside the EU (e.g., Malaysia) may occur. Remote access from a third country is considered a transfer within the meaning of Chapter V GDPR.
Safeguards: use of the EU SCC 2021/914 (module matched to the setup, including Module 4: Processor → Controller for re-transfers from the EU processor to the Malaysian controller), Transfer Impact Assessments (TIA), and technical/organizational measures (e.g., encryption). Malaysia does not have an EU adequacy decision.
USA (if tools are used): DPF certification (where available) or SCC + TIA.

Security

Appropriate technical and organizational measures (e.g., encryption, access controls, hardening/logging, monitoring, least privilege, regular tests/audits).

Your Rights (GDPR & PDPA)
GDPR: access, rectification, erasure, restriction, data portability, objection; withdrawal of consent. Usual response time: 1 month.
PDPA: including withdrawal of consent and objection to direct marketing.
Complaints (EU): with a data protection supervisory authority at your place of residence or work.
Contact point for data subject rights: DPO by email (see above).

Minors

Our services are not specifically directed at children. For services directed at children and based on consent, a minimum age of 16 applies where relevant; otherwise, the consent of the legal guardians is required.

Data Breaches (Malaysia PDPA)

We maintain a structured incident response process. Notification obligations under the PDPA:
– To the Commissioner (JPDP): notification of notifiable incidents within the prescribed timeframe.
– To affected individuals: notification without undue delay where substantial harm is likely.

Mandatory Information/Voluntariness

Information required for contract/booking is mandatory; other information is voluntary. Without mandatory information, the service cannot be provided.

Automated Decision-Making/Profiling

No solely automated decisions producing legal effects take place. Profiling for marketing purposes only with consent (opt-in; withdrawal at any time).

 

Last updated: 2025-11-05