Zielsetzung: Dieses Dokument dient der Erstellung eines detaillierten Entwurfs für eine Datenschutzerklärung für die Website mrglanz.at. Der Entwurf orientiert sich an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG). Ein besonderer Schwerpunkt liegt, wie angefordert, auf der präzisen und transparenten Darstellung der Zwecke, für die personenbezogene Daten auf der Website und im Rahmen der angebotenen Dienstleistungen verarbeitet werden.
Methodik: Die Erstellung dieses Entwurfs folgt dem strukturierten 8-Punkte-Plan, der die Analyse der Website, die Recherche der rechtlichen Anforderungen, die Identifizierung der Verarbeitungszwecke und Rechtsgrundlagen, die Kategorisierung der Daten, die Festlegung der Speicherdauer, die Identifizierung von Empfängern und Drittlandtransfers sowie die Formulierung der Datenschutzerklärung umfasst. Grundlage bilden die Analyse der Website mrglanz.at sowie die bereitgestellten rechtlichen Informationen und Analysen.
Haftungsausschluss: Es wird ausdrücklich darauf hingewiesen, dass es sich hierbei um einen Entwurf handelt. Dieser basiert auf den zum Zeitpunkt der Erstellung verfügbaren Informationen und Analysen. Er stellt keine abschließende Rechtsberatung dar und muss vor seiner Veröffentlichung und Anwendung unbedingt von einer qualifizierten Rechtsberatung (z.B. einem auf Datenschutzrecht spezialisierten Rechtsanwalt) geprüft, angepasst und finalisiert werden, um die vollständige Übereinstimmung mit den spezifischen Gegebenheiten des Unternehmens und der aktuellen Rechtslage sicherzustellen.
2. Analyse der Datenverarbeitungsaktivitäten auf mrglanz.at
Überblick: Die Website mrglanz.at präsentiert die Dienstleistungen eines Unternehmens im Bereich professionelle Fahrzeugaufbereitung und Reifenservice. Das Angebot richtet sich vornehmlich an Endverbraucher (B2C) in Österreich. Die Website verfügt bereits über ein Impressum und eine (hier nicht im Detail analysierte) Seite zur Datenschutzerklärung.
Identifizierte Daten-Erhebungspunkte :
Website-Zugriff (Server-Protokolle): Bei jedem Besuch der Website werden automatisch technische Daten erfasst. Dazu gehören typischerweise die IP-Adresse des zugreifenden Geräts, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, Website, von der aus der Zugriff erfolgt (Referrer-URL), verwendeter Browser und ggf. das Betriebssystem des Rechners sowie der Name des Access-Providers. Die IP-Adresse gilt als personenbezogenes Datum.
Kontaktformular: Auf der Unterseite /kontakt/ befindet sich ein Formular, über das Nutzer aktiv Daten übermitteln können. Zu erwarten sind hier Felder wie Name, E-Mail-Adresse, Betreff und Nachrichteninhalt, möglicherweise auch eine Telefonnummer.
Online-Terminbuchung: Ein Button „Jetzt Terminbuchen!“ verlinkt auf /uncategorized/mr-glanz-online-terminbuchung/. Diese Funktion ermöglicht die direkte Vereinbarung von Serviceterminen. Hierbei werden voraussichtlich Name, Kontaktdaten (E-Mail, Telefon), Fahrzeugdaten (Marke, Modell, ggf. Kennzeichen), gewünschte Dienstleistung und bevorzugte Termine abgefragt. Es muss geklärt werden, ob es sich um ein integriertes Drittanbieter-Tool oder ein eigenes Formular handelt.
Gutschein-Shop: Über den Menüpunkt /gutscheinshop/ können Wert- und Dienstleistungsgutscheine erworben werden. Der Kaufprozess erfordert die Angabe von Käuferdaten (Name, Adresse, E-Mail, Zahlungsinformationen) und möglicherweise Empfängerdaten, falls abweichend. Die genutzte E-Commerce-Plattform und der Zahlungsabwickler müssen identifiziert werden.
Cookies: Die Website setzt wahrscheinlich Cookies ein. Dies können technisch notwendige Cookies zur Sicherstellung der Funktionalität sein, aber auch Cookies für Analysezwecke (z.B. zur Messung der Besucherzahlen) oder Marketingzwecke. Für nicht unbedingt notwendige Cookies ist nach österreichischem Recht (TKG) eine aktive Einwilligung erforderlich. Die spezifisch eingesetzten Cookies müssen durch eine technische Analyse der Website (z.B. Prüfung des Cookie-Banners/Tools) ermittelt werden.
Eingebettete Inhalte von Drittanbietern:
Google Maps: Die Angabe der Geschäftsadresse (Gasteiner Bundesstrasse 12, Bad Gastein) legt die Verwendung von Google Maps zur Standortanzeige nahe. Die Einbettung erfordert spezielle Einwilligungsmechanismen und Datenschutzhinweise.
Videos: Ein eigener Menüpunkt „VIDEOS“ deutet auf die Einbettung von Videos hin, typischerweise von Plattformen wie YouTube oder Vimeo. Auch hier erfolgt eine Datenübertragung an den Anbieter, die in der Regel einwilligungspflichtig ist.
Link zu reifenleader.at: Ein Banner verlinkt auf diese externe Seite. Obwohl nur ein Link, könnten Tracking-Parameter verwendet werden, was datenschutzrechtlich relevant sein kann.
Initiale Einschätzung der Datenkategorien: Basierend auf den Erhebungspunkten ist mit der Verarbeitung folgender Datenkategorien zu rechnen: Kontaktdaten (Name, E-Mail, Telefon, Adresse), Kommunikationsdaten (Nachrichteninhalt), Vertragsdaten (gebuchte Dienstleistungen, gekaufte Gutscheine, Termine), Fahrzeugdaten (Marke, Modell, ggf. Kennzeichen), Zahlungsdaten (im Rahmen des Gutscheinshops), Technische Daten (IP-Adresse, Browser-/Geräteinformationen, Cookie-Daten), Nutzungsdaten (Interaktion mit der Website, Analysedaten).
Vertiefende Betrachtungen:
Die Vielfalt der Interaktionspunkte (Kontakt, Buchung, Kauf) impliziert unterschiedliche Verarbeitungszwecke. Eine einfache Kontaktanfrage unterliegt anderen rechtlichen Rahmenbedingungen (z.B. berechtigtes Interesse oder vorvertragliche Maßnahme) als eine verbindliche Online-Buchung oder ein Gutscheinkauf (Vertragserfüllung). Server-Protokolle dienen primär der Sicherheit (berechtigtes Interesse), während Webanalyse oft eine Einwilligung erfordert. Diese Differenzierung ist für die korrekte Darstellung der Rechtsgrundlagen und Zwecke in der Datenschutzerklärung essenziell.
Die Nutzung einer Online-Terminbuchung und eines Gutschein-Shops deutet stark auf die Einbindung externer Dienstleister hin (z.B. Buchungssystem, Zahlungsanbieter, E-Commerce-Plattform). Solche Dienstleister agieren typischerweise als Auftragsverarbeiter gemäß Art. 28 DSGVO oder in manchen Fällen als eigene Verantwortliche. Dies erfordert den Abschluss von Auftragsverarbeitungsverträgen (AVV) und eine Prüfung, ob Daten in Drittländer übermittelt werden, was wiederum spezifische Schutzmaßnahmen nach sich zieht.
DSGVO-Grundprinzipien (Art. 5): Die Verarbeitung personenbezogener Daten auf mrglanz.at muss den Grundsätzen der DSGVO entsprechen: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit; Rechenschaftspflicht. Diese Prinzipien müssen sich in der Gestaltung der Datenschutzerklärung widerspiegeln (z.B. klare Sprache für Transparenz, genaue Angabe der Zwecke).
Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO): Für mrglanz.at sind voraussichtlich folgende Rechtsgrundlagen relevant:
Einwilligung (Art. 6 Abs. 1 lit. a): Erforderlich für nicht unbedingt notwendige Cookies (Analyse, Marketing), potenziell für einen Newsletter (falls vorhanden) und für die Einbindung von Drittanbieter-Inhalten wie Google Maps oder YouTube-Videos. Die Einwilligung muss freiwillig, spezifisch, informiert, unmissverständlich, aktiv (Opt-in) und widerrufbar sein.
Vertragserfüllung (Art. 6 Abs. 1 lit. b): Anwendbar für Daten, die zur Erfüllung gebuchter Dienstleistungen (Fahrzeugaufbereitung, Reifenservice) oder gekaufter Gutscheine notwendig sind. Dies umfasst auch vorvertragliche Maßnahmen auf Anfrage des Nutzers (z.B. Bearbeitung einer Terminanfrage).
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Relevant für die Aufbewahrung von Daten aufgrund gesetzlicher Vorschriften, z.B. buchhalterische Aufzeichnungen gemäß BAO und UGB.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f): Anwendbar für Verarbeitungen, die zur Wahrung der Interessen des Unternehmens notwendig sind und die Rechte der Betroffenen nicht überwiegen. Beispiele: Server-Protokollierung zur Gewährleistung der IT-Sicherheit, Beantwortung allgemeiner Anfragen (sofern nicht vorvertraglich), eventuell technisch unbedingt notwendige Cookies. Erfordert eine dokumentierte Interessenabwägung.
Informationspflichten (Art. 13 & 14 DSGVO): Die Datenschutzerklärung muss umfassend informieren über: Kontaktdaten des Verantwortlichen, ggf. des Datenschutzbeauftragten, Verarbeitungszwecke, Rechtsgrundlagen, Datenkategorien, Empfänger, Drittlandtransfers und Schutzmaßnahmen, Speicherdauer/Kriterien, Betroffenenrechte, Beschwerderecht, ggf. Quelle der Daten (bei Art. 14), ggf. automatisierte Entscheidungsfindung. Die Informationen müssen klar, präzise, verständlich und leicht zugänglich sein.
Betroffenenrechte (Art. 15-22 DSGVO): Die Nutzer haben Rechte auf Auskunft, Berichtigung, Löschung („Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch (insbesondere gegen Direktwerbung/Profiling) und Rechte im Zusammenhang mit automatisierten Entscheidungen. Anträge sind binnen eines Monats zu bearbeiten.
Österreichisches Datenschutzgesetz (DSG): Das DSG ergänzt die DSGVO und nutzt die darin vorgesehenen Öffnungsklauseln für nationale Spezifizierungen. Zuständige Aufsichtsbehörde in Österreich ist die Datenschutzbehörde (DSB).
Telekommunikationsgesetz (TKG) 2021: § 165 Abs. 3 TKG 2021 ist besonders relevant für Cookies und elektronische Kommunikation. Er fordert in der Regel die Einwilligung des Nutzers für das Setzen von Cookies, es sei denn, diese sind für die Bereitstellung eines vom Nutzer ausdrücklich gewünschten Dienstes technisch unbedingt erforderlich. Diese Anforderung ist oft strenger als die DSGVO allein und schränkt die Anwendbarkeit des berechtigten Interesses für viele Cookies ein.
E-Commerce-Gesetz (ECG): Relevant für die Impressumspflicht (§ 5 ECG) und Informationspflichten bei Online-Vertragsabschlüssen (§ 9, § 10 ECG). Die Datenschutzerklärung konzentriert sich jedoch auf die Datenverarbeitung gemäß DSGVO/DSG, während das ECG breitere E-Commerce-Aspekte regelt.
Trennung der Rechtstexte: Es entspricht der Best Practice und den Empfehlungen (z.B. der WKO), die Datenschutzerklärung als eigenständiges Dokument zu führen, getrennt vom Impressum und den Allgemeinen Geschäftsbedingungen (AGB). AGB sind vertragliche Regelungen, die einer Zustimmung bedürfen, während die Datenschutzerklärung primär der Erfüllung der Informationspflichten nach Art. 13/14 DSGVO dient. Eine Verlinkung auf die Datenschutzerklärung aus den AGB ist möglich, eine Integration oder gemeinsame Abfrage der Zustimmung ist jedoch problematisch.
Vertiefende Betrachtungen:
Das Zusammenspiel von DSGVO und TKG bei Cookies ist für mrglanz.at von hoher praktischer Bedeutung. Während die DSGVO theoretisch das berechtigte Interesse als Rechtsgrundlage zulässt, fordert das österreichische TKG für die meisten Cookies (insbesondere Tracking- und Analyse-Cookies) eine explizite Einwilligung. Dies bedeutet, dass für den Einsatz solcher Technologien ein rechtskonformes Einwilligungsmanagement-Tool (Cookie-Banner) implementiert werden muss, das die aktive Zustimmung einholt, bevor entsprechende Cookies gesetzt oder Daten übertragen werden.
Die umfassenden Informationspflichten der Art. 13 und 14 DSGVO machen deutlich, dass eine sorgfältige Bestandsaufnahme und Dokumentation aller Datenverarbeitungsvorgänge (Data Mapping) unerlässlich ist, bevor die Datenschutzerklärung formuliert wird. Die Verwendung generischer Vorlagen ohne Anpassung an die tatsächlichen Prozesse von mrglanz.at würde den Anforderungen nicht genügen und wäre rechtswidrig. Die Checklisten-Ansätze der WKO illustrieren die Notwendigkeit dieser Vorarbeit.
Zur systematischen Erfüllung der Informationspflichten nach Art. 13/14 DSGVO und zur Schaffung einer Grundlage für das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) werden die identifizierten Verarbeitungsvorgänge nachfolgend detailliert dargestellt. Diese Tabelle bildet die Kerninformation für die Abschnitte der Datenschutzerklärung, die die einzelnen Verarbeitungen beschreiben.
Verarbeitungstätigkeit
Zweck(e) der Verarbeitung
Rechtsgrundlage (Art. 6 DSGVO)
Kategorien personenbezogener Daten
Datenquelle (falls nicht direkt)
Speicherdauer / Kriterien
Empfänger / Kategorien
Drittlandtransfer? / Schutzmaßnahme
Website-Zugriff (Server-Protokolle)
Gewährleistung der Funktionsfähigkeit, Stabilität und Sicherheit der Website; Fehleranalyse; Abwehr von Angriffen.
Art. 6 Abs. 1 lit. f (Berechtigtes Interesse an technischer Sicherheit und Verfügbarkeit)
Kurzfristig, z.B. max. 7-14 Tage zu Sicherheitszwecken, danach Löschung/Anonymisierung
Hosting-Provider (als Auftragsverarbeiter)
Abhängig vom Hosting-Provider (Prüfen!)
Kontaktaufnahme via Kontaktformular
Bearbeitung und Beantwortung der spezifischen Anfrage des Nutzers.
Art. 6 Abs. 1 lit. b (Anbahnung eines Vertragsverhältnisses, falls Anfrage darauf abzielt) ODER Art. 6 Abs. 1 lit. f (Berechtigtes Interesse an der Kommunikation)
Bis zur abschließenden Bearbeitung der Anfrage, zzgl. einer angemessenen Frist für Rückfragen (z.B. 6 Monate), sofern keine gesetzlichen Aufbewahrungspflichten (z.B. bei Vertragsabschluss) oder andere Rechtsgrundlagen längere Speicherung erfordern.
E-Mail-Provider (als Auftragsverarbeiter)
Abhängig vom E-Mail-Provider (Prüfen!)
Online-Terminbuchung
Entgegennahme, Verwaltung und Bestätigung von Terminbuchungen für Dienstleistungen; Vertragsanbahnung/-erfüllung.
Art. 6 Abs. 1 lit. b (Vertragsanbahnung/-erfüllung)
Dauer des Vertragsverhältnisses zzgl. gesetzlicher Aufbewahrungsfristen (mind. 7 Jahre nach BAO/UGB für Rechnungsdaten)
Ggf. Anbieter des Buchungssystems (als Auftragsverarbeiter)
Abhängig vom Anbieter des Buchungssystems (Prüfen!)
Kauf im Gutschein-Shop
Abwicklung des Kaufvertrags über Gutscheine; Zahlungsabwicklung; Versand/Bereitstellung des Gutscheins.
Art. 6 Abs. 1 lit. b (Vertragserfüllung)
Name, Adresse, E-Mail-Adresse, Zahlungsdaten (werden i.d.R. direkt vom Zahlungsdienstleister verarbeitet), Gutscheinwert/-art, ggf. Empfängerdaten
Direkt vom Nutzer
Mind. 7 Jahre nach BAO/UGB für Rechnungs- und Buchungsdaten
Zahlungsdienstleister, ggf. E-Commerce-Plattform-Anbieter (als Auftragsverarbeiter oder eigene Verantwortliche)
Abhängig vom Zahlungsdienstleister/Plattform-Anbieter (Prüfen!)
Cookie-Einsatz (Technisch Notwendig)
Sicherstellung grundlegender Website-Funktionen (z.B. Warenkorb im Gutscheinshop, Session-Management).
Art. 6 Abs. 1 lit. f (Berechtigtes Interesse an funktionsfähiger Website) ODER Art. 6 Abs. 1 lit. b (Zur Durchführung des vom Nutzer gewünschten Dienstes, z.B. Kaufabwicklung) & § 165 Abs. 3 TKG 2021
Ja, USA (Google). Schutzmaßnahme: DPF-Zertifizierung prüfen ODER SCCs + TIA
Verwaltung von Einwilligungen (Cookie-Banner)
Einholung, Verwaltung und Dokumentation der Nutzereinwilligungen für Cookies und Drittdienste.
Art. 6 Abs. 1 lit. c (Rechtliche Verpflichtung zur Einholung und Nachweisbarkeit der Einwilligung gem. DSGVO/TKG)
Einwilligungsstatus (ja/nein für Kategorien/Dienste), Zeitstempel, anonymisierte IP-Adresse
Direkt vom Nutzer via Interaktion mit Banner
Dauer der Gültigkeit der Einwilligung zzgl. Verjährungsfristen für rechtliche Ansprüche (z.B. 3 Jahre gem. ABGB §1486/§1489 )
Anbieter des Consent Management Tools (als Auftragsverarbeiter)
Abhängig vom Anbieter des Tools (Prüfen!)
Erläuterungen zu Schlüsselaktivitäten:
Server-Protokolle: Die kurzfristige Speicherung von Server-Logs dient primär der Sicherstellung der technischen Funktionsfähigkeit und der Abwehr von Sicherheitsbedrohungen (z.B. DDoS-Angriffe). Rechtsgrundlage ist das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO). Eine längere Speicherung ist nur im Anlassfall (z.B. bei einem konkreten Sicherheitsvorfall) zulässig.
Kontaktformular: Die Verarbeitung der Daten aus dem Kontaktformular ist notwendig, um auf die Anfrage des Nutzers reagieren zu können. Handelt es sich um eine Anfrage zu Dienstleistungen oder Terminen, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen). Bei allgemeinen Anfragen greift Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation). Diese Unterscheidung ist relevant, da das berechtigte Interesse eine Interessenabwägung erfordert und dem Betroffenen ein Widerspruchsrecht nach Art. 21 DSGVO zusteht.
Online-Buchung & Gutschein-Shop: Diese Vorgänge stellen klare Vertragsanbahnungen bzw. -abschlüsse dar. Die Verarbeitung der dabei erhobenen Daten (Kontakt-, Fahrzeug-, Zahlungsdaten) ist zur Erfüllung des Vertrags (Art. 6 Abs. 1 lit. b DSGVO) unerlässlich. Die Daten müssen zudem aufgrund gesetzlicher Aufbewahrungspflichten (mindestens 7 Jahre für Buchhaltungsunterlagen nach BAO/UGB ) gespeichert werden (Art. 6 Abs. 1 lit. c DSGVO). Die Einbindung von Drittanbietern für Buchung oder Zahlung erfordert zwingend Auftragsverarbeitungsverträge (AVV).
Cookies: Es muss klar zwischen technisch notwendigen Cookies (z.B. für den Login oder Warenkorb) und nicht notwendigen Cookies (Analyse, Marketing) unterschieden werden. Während erstere unter Umständen auf berechtigtes Interesse oder Vertragserfüllung gestützt werden können, erfordern letztere nach § 165 Abs. 3 TKG 2021 zwingend die aktive, informierte Einwilligung des Nutzers. Ein Cookie-Banner muss dies korrekt umsetzen (Opt-in).
Drittanbieter-Dienste (Analytics, Maps, Videos): Der Einsatz von Diensten wie Google Analytics, Google Maps oder eingebetteten YouTube-Videos führt typischerweise zu einer Datenübermittlung an Google in die USA. Dies erfordert nicht nur die Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO) , sondern auch geeignete Garantien für den Drittlandtransfer (Prüfung der DPF-Zertifizierung von Google oder Abschluss von Standardvertragsklauseln inkl. TIA). Technische Maßnahmen wie die IP-Anonymisierung bei Google Analytics sind ebenfalls umzusetzen. Die korrekte Implementierung dieser Dienste ist komplex und fehleranfällig, wie die Entscheidungen der österreichischen DSB zu Google Analytics zeigen. Eine unzureichende Umsetzung (z.B. fehlende Einwilligung, keine IP-Anonymisierung, keine gültigen Transfermechanismen) macht den Einsatz rechtswidrig, selbst wenn der Dienst an sich nützlich ist.
5. Grundsätze zur Datenspeicherung und Löschfristen
Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Sobald der Zweck entfällt und keine andere Rechtsgrundlage (insbesondere gesetzliche Aufbewahrungspflichten) die weitere Speicherung rechtfertigt oder vorschreibt, sind die Daten zu löschen.
Gesetzliche Aufbewahrungsfristen in Österreich:
7 Jahre: Dies ist die zentrale Frist gemäß § 132 BAO und §§ 190, 212 UGB für alle buchhalterisch relevanten Unterlagen, einschließlich Rechnungen, Belege, Geschäftsbücher, Inventare, Jahresabschlüsse und Geschäftsbriefe. Die Frist beginnt am Ende des Kalenderjahres, in dem die letzte Buchung erfolgte oder der Beleg ausgestellt wurde. Dies betrifft insbesondere Daten aus der Online-Terminbuchung (sofern sie zu einem Auftrag führt) und dem Gutschein-Shop.
22 Jahre: Gilt für Unterlagen im Zusammenhang mit Grundstücken , was für mrglanz.at voraussichtlich nicht relevant ist.
10 Jahre: Gilt für bestimmte umsatzsteuerliche Aufzeichnungen im Zusammenhang mit dem One-Stop-Shop (OSS) oder Plattformhaftung , ebenfalls für mrglanz.at eher unwahrscheinlich.
Verlängerte Fristen: Die Aufbewahrung kann sich verlängern, wenn die Unterlagen für ein laufendes behördliches oder gerichtliches Verfahren (z.B. Steuerprüfung, Rechtsstreit) von Bedeutung sind.
Festlegung von Löschfristen für andere Daten: Wo keine gesetzlichen Fristen greifen, müssen Kriterien für die Speicherdauer festgelegt werden:
Kontaktanfragen: Daten sollten nach abschließender Klärung der Anfrage gelöscht werden, eventuell zuzüglich einer kurzen Frist (z.B. 6 Monate) für mögliche Rückfragen oder zur Nachvollziehbarkeit, sofern die Anfrage nicht zu einem Vertragsverhältnis führt (dann gelten die 7 Jahre).
Server-Protokolle: Wie oben erwähnt, nur kurzfristige Speicherung (z.B. 7-14 Tage) zu Sicherheitszwecken.
Analysedaten: Die Speicherdauer hängt von den Einstellungen im verwendeten Tool (z.B. Google Analytics erlaubt die Konfiguration der Aufbewahrungsdauer für Nutzer- und Ereignisdaten ) und der Dauer der Nutzereinwilligung ab. Nach Widerruf der Einwilligung oder Ablauf der festgelegten Frist sind die Daten zu löschen oder zu anonymisieren.
Einwilligungsnachweise (Consent Logs): Diese müssen so lange aufbewahrt werden, wie die darauf basierende Verarbeitung andauert, und darüber hinaus für die Dauer der relevanten Verjährungsfristen, um die Rechtmäßigkeit der Einwilligung nachweisen zu können (z.B. 3 Jahre allgemeine Verjährung nach ABGB §1486/§1489 , potenziell länger im Hinblick auf mögliche Verfahren der Datenschutzbehörde).
Löschkonzept: Es ist notwendig, interne Prozesse zu etablieren, die eine regelmäßige Überprüfung und fristgerechte Löschung von Daten sicherstellen. Dies schließt auch Daten in Backup-Systemen ein, wobei hier technische Limitationen berücksichtigt werden müssen, aber zumindest sichergestellt sein muss, dass bei neuen Backups keine zu löschenden Daten mehr gesichert werden.
Vertiefende Betrachtungen:
Das Recht auf Löschung („Recht auf Vergessenwerden“) gemäß Art. 17 DSGVO steht Betroffenen zu, ist jedoch nicht absolut. Insbesondere gesetzliche Aufbewahrungspflichten (wie die 7-jährige Frist nach BAO/UGB) stellen eine rechtliche Verpflichtung im Sinne von Art. 6 Abs. 1 lit. c DSGVO dar, die dem Löschbegehren entgegensteht (Art. 17 Abs. 3 lit. b DSGVO). Die Datenschutzerklärung muss diesen Umstand klar kommunizieren, um Missverständnisse bei den Nutzern zu vermeiden. Ein Kunde kann also nicht die Löschung seiner Rechnungsdaten vor Ablauf der 7 Jahre verlangen.
Die Festlegung konkreter, taggenauer Löschfristen für alle Datenarten ist oft unrealistisch. Die DSGVO erlaubt daher explizit die Angabe von Kriterien zur Festlegung der Speicherdauer, wenn eine genaue Frist nicht möglich ist (Art. 13 Abs. 2 lit. a, Art. 14 Abs. 2 lit. a DSGVO). Für Daten wie allgemeine E-Mail-Korrespondenz oder Anfragedaten ist die Definition solcher Kriterien (z.B. „Dauer der Geschäftsbeziehung plus gesetzliche Verjährungsfristen“ oder „bis zur Klärung der Anfrage plus 6 Monate“) ein praktikabler Weg, um dem Grundsatz der Speicherbegrenzung und den Informationspflichten nachzukommen.
6. Datenempfänger und internationale Datenübermittlungen
Interner Zugriff: Der Zugriff auf personenbezogene Daten innerhalb des Unternehmens von Herrn Norbert Szőcs ist auf jene Mitarbeiter beschränkt, die diese zur Erfüllung ihrer Aufgaben benötigen (Prinzip der Datensparsamkeit und Vertraulichkeit).
Kategorien externer Empfänger: Personenbezogene Daten können an folgende Kategorien von externen Empfängern weitergegeben werden:
IT-Dienstleister: Unternehmen, die technische Dienstleistungen erbringen, wie der Hosting-Provider der Website, der E-Mail-Provider, ggf. der Anbieter des Online-Buchungssystems, der Anbieter der Gutschein-Shop-Plattform, IT-Wartungsfirmen.
Zahlungsdienstleister: Zur Abwicklung von Zahlungen im Rahmen des Gutschein-Shops (z.B. Banken, Kreditkartenunternehmen, PayPal).
Analyse-/Marketing-/Karten-/Video-Anbieter: Unternehmen wie Google LLC für Dienste wie Google Analytics, Google Maps oder YouTube, sofern diese eingesetzt werden.
Berater: Rechtsanwälte, Steuerberater, Unternehmensberater, sofern diese im Auftrag personenbezogene Daten verarbeiten.
Behörden und Gerichte: Im Rahmen gesetzlicher Verpflichtungen oder zur Durchsetzung bzw. Verteidigung von Rechtsansprüchen.
Auftragsverarbeiter (Art. 28 DSGVO): Wenn externe Dienstleister personenbezogene Daten im Auftrag und nach Weisung von mrglanz.at verarbeiten (z.B. Hosting-Provider, E-Mail-Provider, ggf. Buchungssystem-Anbieter), müssen schriftliche Auftragsverarbeitungsverträge (AVV) abgeschlossen werden. Diese Verträge müssen die in Art. 28 Abs. 3 DSGVO festgelegten Mindestinhalte aufweisen (Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten, Kategorien Betroffener, Rechte und Pflichten des Verantwortlichen etc.). Der Verantwortliche (mrglanz.at) muss sicherstellen, dass der Auftragsverarbeiter hinreichende Garantien für die Sicherheit der Datenverarbeitung bietet.
Internationale Datenübermittlungen (Drittländer):
Potenzielle Transfers: Eine Übermittlung von personenbezogenen Daten in Länder außerhalb der EU bzw. des EWR (Drittländer) findet insbesondere dann statt, wenn Dienstleister mit Sitz in solchen Ländern genutzt werden. Für mrglanz.at ist dies vor allem bei der Nutzung von US-amerikanischen Anbietern wie Google (für Analytics, Maps, ggf. Fonts, E-Mail/Workspace) relevant.
Rechtliche Grundlagen (Kapitel V DSGVO): Solche Übermittlungen sind nur unter bestimmten Voraussetzungen zulässig:
Angemessenheitsbeschluss (Art. 45 DSGVO): Die EU-Kommission kann feststellen, dass ein Drittland ein angemessenes Datenschutzniveau bietet. Für die USA existiert derzeit der Angemessenheitsbeschluss zum „EU-US Data Privacy Framework“ (DPF). Daten dürfen an US-Unternehmen übermittelt werden, die sich unter diesem Framework zertifiziert haben und auf der offiziellen DPF-Liste stehen. Die Zertifizierung des jeweiligen US-Empfängers muss überprüft werden.
Geeignete Garantien (Art. 46 DSGVO): Liegt kein Angemessenheitsbeschluss vor oder ist der US-Empfänger nicht DPF-zertifiziert, sind geeignete Garantien erforderlich. Die wichtigste Garantie sind die von der EU-Kommission genehmigten Standardvertragsklauseln (Standard Contractual Clauses – SCCs). Es müssen die neuen, 2021 veröffentlichten SCCs verwendet werden, da die alten Ende 2022 ihre Gültigkeit verloren haben. Wichtig: Nach der Rechtsprechung des EuGH (Urteil „Schrems II“) reicht der Abschluss der SCCs allein oft nicht aus. Es muss zusätzlich geprüft werden (mittels eines Transfer Impact Assessments – TIA), ob die Gesetze und Praktiken im Drittland (insbesondere Überwachungsgesetze in den USA) den Schutz durch die SCCs untergraben. Falls ja, müssen zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um ein der EU gleichwertiges Schutzniveau sicherzustellen.
Ausnahmen (Art. 49 DSGVO): In bestimmten Einzelfällen (z.B. ausdrückliche Einwilligung des Betroffenen für eine spezifische Übermittlung, Erforderlichkeit für Vertragserfüllung auf Wunsch des Betroffenen) kann eine Übermittlung auch ohne Angemessenheitsbeschluss oder Garantien erfolgen. Diese Ausnahmen sind jedoch eng auszulegen und nicht für regelmäßige, systematische Übermittlungen gedacht.
Informationspflichten: Die Datenschutzerklärung muss transparent darüber informieren, ob Daten in Drittländer übermittelt werden, in welche Länder, auf welcher Rechtsgrundlage (Angemessenheitsbeschluss DPF, SCCs + ggf. Zusatzmaßnahmen, Ausnahme nach Art. 49) und wie Betroffene eine Kopie der Garantien erhalten können.
Vertiefende Betrachtungen:
Die alleinige Berufung auf das EU-US Data Privacy Framework (DPF) birgt gewisse Rechtsrisiken. Angesichts der Historie (Ungültigerklärung von Safe Harbor und Privacy Shield durch den EuGH ) und der kritischen Haltung einiger Datenschutzbehörden, einschließlich der österreichischen DSB , könnte auch das DPF zukünftig angefochten werden. Eine robustere Compliance-Strategie könnte darin bestehen, zusätzlich zum DPF (sofern der Anbieter zertifiziert ist) weiterhin Standardvertragsklauseln abzuschließen oder technische Maßnahmen wie Server-Side-Tagging für Webanalyse zu implementieren, um die direkte Datenübertragung vom Nutzergerät in die USA zu minimieren.
Die Notwendigkeit eines Transfer Impact Assessments (TIA) bei Verwendung von Standardvertragsklauseln stellt für kleine und mittlere Unternehmen (KMU) wie mrglanz.at eine erhebliche Herausforderung dar. Die erforderliche Analyse der Rechtslage und Überwachungspraktiken im Zielland übersteigt oft die internen Kapazitäten und erfordert spezialisierte Rechtsberatung. Dies macht die Nutzung von DPF-zertifizierten US-Anbietern oder, noch sicherer, von Anbietern mit Sitz und Datenverarbeitung innerhalb der EU/EWR deutlich attraktiver, da hierdurch die komplexe TIA-Prüfung vermieden werden kann.
7. Entwurf Datenschutzerklärung für mrglanz.at
Datenschutzerklärung
Stand:
Wir freuen uns über Ihr Interesse an unserer Website mrglanz.at. Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. Nachfolgend informieren wir Sie gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) ausführlich über die Verarbeitung Ihrer personenbezogenen Daten durch uns.
1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher im Sinne der DSGVO ist:
Herr Norbert Szőcs Gasteiner Bundesstrasse 12 5640 Bad Gastein Österreich
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung des Nutzers oder wenn die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Wir halten uns bei der Verarbeitung Ihrer Daten streng an die gesetzlichen Bestimmungen (DSGVO, DSG, TKG 2021) und die Grundsätze der Datenverarbeitung (Art. 5 DSGVO), insbesondere Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit.
Diese Datenschutzerklärung gilt für unsere Website mrglanz.at inklusive aller Unterseiten sowie für damit verbundene Online-Dienste wie die Terminbuchung und den Gutschein-Shop.
3. Rechtsgrundlagen der Verarbeitung
Die Verarbeitung Ihrer personenbezogenen Daten erfolgt auf Basis folgender Rechtsgrundlagen:
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Sofern Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten für bestimmte Zwecke erteilt haben (z.B. für nicht notwendige Cookies, Nutzung von Google Maps/Videos, Newsletter).
Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Wenn die Verarbeitung für die Erfüllung eines Vertrags mit Ihnen (z.B. Terminbuchung, Gutscheinkauf) oder zur Durchführung von Maßnahmen auf Ihre Anfrage hin vor Vertragsschluss (z.B. Beantwortung einer Terminanfrage) erforderlich ist.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Soweit wir zur Verarbeitung Ihrer Daten gesetzlich verpflichtet sind (z.B. gesetzliche Aufbewahrungspflichten für Rechnungen).
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich ist und Ihre Interessen oder Grundrechte und Grundfreiheiten nicht überwiegen (z.B. Gewährleistung der IT-Sicherheit, Beantwortung allgemeiner Anfragen).
4. Verarbeitungstätigkeiten im Detail
Nachfolgend erläutern wir, welche Daten wir bei den verschiedenen Vorgängen auf unserer Website und im Rahmen unserer Dienstleistungen verarbeiten:
a) Besuch der Website (Server-Logfiles)
Zweck: Bei jedem Aufruf unserer Website erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Dies dient der Gewährleistung der Funktionsfähigkeit, Stabilität und Sicherheit unserer Website, der Fehleranalyse sowie der Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der technischen Sicherheit und Verfügbarkeit unserer Website).
Verarbeitete Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, Name und URL der abgerufenen Datei, Website, von der aus der Zugriff erfolgt (Referrer-URL), verwendeter Browser und ggf. das Betriebssystem Ihres Rechners sowie der Name Ihres Access-Providers.
Speicherdauer: Diese Daten werden in der Regel für eine Dauer von maximal Tagen gespeichert und danach automatisch gelöscht oder anonymisiert, sofern keine längere Aufbewahrung zur Aufklärung oder Abwehr eines konkreten Angriffs erforderlich ist.
Empfänger: Unser Hosting-Provider, der als Auftragsverarbeiter für uns tätig ist..
b) Kontaktaufnahme per Kontaktformular oder E-Mail
Zweck: Wenn Sie über das Kontaktformular auf unserer Website oder per E-Mail mit uns Kontakt aufnehmen, verarbeiten wir die von Ihnen übermittelten Daten zur Bearbeitung und Beantwortung Ihrer spezifischen Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (sofern Ihre Anfrage auf den Abschluss eines Vertrages oder vorvertragliche Maßnahmen abzielt) oder Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der effizienten Bearbeitung von Anfragen und der Kommunikation).
Verarbeitete Daten: Name, E-Mail-Adresse, Inhalt Ihrer Nachricht, ggf. Betreff, ggf. Telefonnummer und Zeitpunkt der Anfrage.
Speicherdauer: Ihre Daten werden gespeichert, bis Ihre Anfrage abschließend bearbeitet ist. Danach werden sie gelöscht, es sei denn, Ihre Anfrage führt zu einem Vertragsverhältnis (dann gelten die Speicherfristen für Vertragsdaten) oder gesetzliche Aufbewahrungspflichten stehen einer Löschung entgegen. Wir behalten uns vor, Anfragen für einen Zeitraum von nach Abschluss der Bearbeitung aufzubewahren, um etwaige Rückfragen beantworten zu können.
Empfänger: Ihre Anfrage wird intern bearbeitet. Empfänger der Daten kann unser E-Mail-Provider sein, der als Auftragsverarbeiter tätig ist..
c) Online-Terminbuchung
Zweck: Wenn Sie über unsere Website online einen Termin für unsere Dienstleistungen buchen, verarbeiten wir die von Ihnen angegebenen Daten zur Entgegennahme, Verwaltung, Bestätigung und Durchführung des gebuchten Termins sowie zur Anbahnung und Erfüllung des entsprechenden Dienstleistungsvertrags.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung).
Speicherdauer: Daten, die für die Vertragsdurchführung relevant sind, werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Vertragsende werden die Daten gemäß den gesetzlichen Aufbewahrungspflichten, insbesondere der 7-jährigen Frist nach § 132 BAO und §§ 190, 212 UGB, aufbewahrt und danach gelöscht.
Empfänger:, der als Auftragsverarbeiter für uns tätig ist..
d) Kauf im Gutschein-Shop
Zweck: Wenn Sie in unserem Online-Shop einen Gutschein erwerben, verarbeiten wir Ihre Daten zur Abwicklung des Kaufvertrags, zur Zahlungsabwicklung und zur Bereitstellung bzw. zum Versand des Gutscheins.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Verarbeitete Daten: Name, Rechnungs-/Lieferadresse, E-Mail-Adresse, bestellter Gutschein (Wert/Art), Zahlungsdaten (Diese werden typischerweise direkt durch den Zahlungsdienstleister verarbeitet und nicht vollständig bei uns gespeichert), ggf. abweichende Empfängerdaten.
Speicherdauer: Rechnungs- und Buchungsdaten unterliegen der gesetzlichen Aufbewahrungspflicht von 7 Jahren gemäß § 132 BAO und §§ 190, 212 UGB und werden danach gelöscht.
Empfänger:,, die als Auftragsverarbeiter oder eigene Verantwortliche tätig sind..
5. Cookies
Unsere Website verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser speichert. Sie dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen.
Wir unterscheiden zwischen technisch notwendigen Cookies und sonstigen Cookies (z.B. für Analyse- oder Marketingzwecke).
Technisch notwendige Cookies: Diese Cookies sind für den grundlegenden Betrieb der Website und die Bereitstellung von Ihnen gewünschter Funktionen (z.B. Warenkorb im Gutscheinshop) erforderlich. Rechtsgrundlage für deren Einsatz ist unser berechtigtes Interesse an einer funktionsfähigen Website (Art. 6 Abs. 1 lit. f DSGVO) bzw. die Notwendigkeit zur Bereitstellung eines von Ihnen angeforderten Dienstes (§ 165 Abs. 3 TKG 2021). Diese Cookies erfordern keine Einwilligung.
Sonstige Cookies (Analyse, Marketing etc.): Alle anderen Cookies, die nicht technisch notwendig sind (z.B. zur Analyse des Nutzerverhaltens, zur Personalisierung von Inhalten oder Werbung), setzen wir nur nach Ihrer ausdrücklichen Einwilligung ein. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 165 Abs. 3 TKG 2021.
Beim ersten Besuch unserer Website werden Sie über unser Cookie-Einwilligungs-Tool (Cookie-Banner) über die Verwendung von Cookies informiert und um Ihre Einwilligung für den Einsatz nicht notwendiger Cookies gebeten. Sie können dort detaillierte Informationen zu den einzelnen Cookies und Diensten einsehen und Ihre Auswahl treffen. Ihre Einwilligung ist freiwillig und kann jederzeit über die Einstellungen im Cookie-Banner mit Wirkung für die Zukunft widerrufen werden.
6. Webanalyse
Zweck: Wir nutzen, einen Webanalysedienst der, um die Nutzung unserer Website zu analysieren und unser Angebot regelmäßig verbessern zu können. Über die gewonnenen Statistiken können wir unser Angebot verbessern und für Sie als Nutzer interessanter ausgestalten.
Rechtsgrundlage: Der Einsatz von [Name des Analysetools] erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Verarbeitete Daten:. Wir haben die IP-Anonymisierung für [Name des Analysetools] aktiviert. Dadurch wird Ihre IP-Adresse von innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum vor der Übermittlung in die USA gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von [Anbieter] in den USA übertragen und dort gekürzt.
Speicherdauer: Die von uns gesendeten und mit Cookies, Nutzerkennungen (z. B. User-ID) oder Werbe-IDs verknüpften Daten werden nach automatisch gelöscht.
Empfänger und Drittlandtransfer: Die durch Cookies erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von in den USA übertragen und dort gespeichert. Für die USA hat die Europäische Kommission mit Beschluss vom 10. Juli 2023 einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO erlassen (EU-US Data Privacy Framework – DPF). ist unter dem DPF zertifiziert [Link zur DPF-Liste oder Zertifizierung des Anbieters einfügen], sodass für die Übermittlung ein angemessenes Datenschutzniveau gewährleistet ist.[Alternativ, falls Anbieter nicht DPF-zertifiziert oder als zusätzliche Absicherung: Wir haben mit [Anbieter] die Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen und prüfen ggf. erforderliche zusätzliche Maßnahmen.]
Widerruf und Widerspruch: Sie können Ihre Einwilligung jederzeit über unser Cookie-Einwilligungs-Tool [Link einfügen] widerrufen. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren:.. Weitere Informationen zum Datenschutz bei [Anbieter] finden Sie unter: [Link zur Datenschutzerklärung des Anbieters einfügen].
7. Kartenmaterial
Zweck: Auf dieser Website nutzen wir das Angebot von, um Ihnen interaktive Karten direkt in der Website anzuzeigen und Ihnen die komfortable Nutzung der Karten-Funktion zur Anzeige unseres Standorts und zur Routenplanung zu ermöglichen.
Rechtsgrundlage: Die Nutzung von erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Karte wird erst nach Ihrer aktiven Zustimmung geladen.
Verarbeitete Daten: Durch die Nutzung von können Informationen über die Benutzung dieser Website einschließlich Ihrer IP-Adresse und der im Rahmen der Routenplanerfunktion eingegebenen (Start-)Adresse an in den USA übertragen werden.
Speicherdauer: Die Speicherdauer der Daten liegt im Verantwortungsbereich von.
Empfänger und Drittlandtransfer: Empfänger der Daten ist. Für die Übermittlung in die USA gilt das unter Punkt 6 (Webanalyse) zum EU-US Data Privacy Framework bzw. den Standardvertragsklauseln Gesagte entsprechend.
Widerruf: Sie können Ihre Einwilligung jederzeit über widerrufen.
Weitere Informationen zum Datenschutz bei [Anbieter] finden Sie unter: [Link zur Datenschutzerklärung des Anbieters einfügen].
8. Eingebettete Videos
Zweck: Wir binden auf unserer Website Videos der Plattform des Anbieters ein, um Ihnen informative oder unterhaltsame Videoinhalte direkt auf unserer Seite präsentieren zu können.
Rechtsgrundlage: Die Einbindung und Wiedergabe der Videos erfolgt ausschließlich auf Grundlage Ihrer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Die Videos werden erst nach Ihrer aktiven Zustimmung geladen.
Verarbeitete Daten: Beim Abspielen der Videos werden Daten wie Ihre IP-Adresse, technische Informationen zu Ihrem Browser/Gerät sowie Informationen über das angesehene Video an [Anbieter] übertragen. Wenn Sie bei eingeloggt sind, kann [Anbieter] diese Informationen Ihrem persönlichen Konto zuordnen.
Speicherdauer: Die Speicherdauer der Daten liegt im Verantwortungsbereich von [Anbieter].
Empfänger und Drittlandtransfer: Empfänger der Daten ist. Für die Übermittlung in die USA gilt das unter Punkt 6 (Webanalyse) zum EU-US Data Privacy Framework bzw. den Standardvertragsklauseln Gesagte entsprechend.
Widerruf: Sie können Ihre Einwilligung jederzeit über widerrufen.
Weitere Informationen zum Datenschutz bei [Anbieter] finden Sie unter: [Link zur Datenschutzerklärung des Anbieters einfügen].
9. Empfänger und Drittlandsübermittlung (Zusammenfassung)
Wir geben Ihre Daten grundsätzlich nicht an Dritte weiter, es sei denn, Sie haben eingewilligt, wir sind gesetzlich dazu verpflichtet oder es ist zur Vertragsabwicklung notwendig.
Kategorien von Empfängern wurden bereits bei den einzelnen Verarbeitungstätigkeiten genannt (z.B. IT-Dienstleister, Zahlungsanbieter, Analyse-/Karten-/Videoanbieter). Sofern wir externe Dienstleister als Auftragsverarbeiter einsetzen, stellen wir durch entsprechende Verträge (AVV gemäß Art. 28 DSGVO) sicher, dass Ihre Daten auch dort geschützt sind.
Eine Übermittlung von Daten an Stellen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) findet nur statt, soweit dies in dieser Datenschutzerklärung explizit angegeben wurde (z.B. bei Nutzung von US-Dienstleistern wie Google) und die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Dies bedeutet, dass die Übermittlung entweder auf Basis eines Angemessenheitsbeschlusses der EU-Kommission (wie dem EU-US DPF für zertifizierte US-Unternehmen ) oder geeigneter Garantien (insbesondere Standardvertragsklauseln der EU-Kommission gemäß Art. 46 DSGVO, ggf. mit zusätzlichen Maßnahmen nach Prüfung ) erfolgt. Informationen über die eingesetzten Garantien können Sie bei uns unter den in Punkt 1 genannten Kontaktdaten anfordern.
10. Speicherdauer (Zusammenfassung)
Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die jeweiligen Zwecke, für die sie erhoben wurden, erforderlich ist (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO).
Daten, die wir aufgrund Ihrer Einwilligung verarbeiten, speichern wir bis zu Ihrem Widerruf bzw. bis zum Wegfall des Zwecks.
Daten, die wir zur Vertragserfüllung benötigen, speichern wir für die Dauer des Vertragsverhältnisses und darüber hinaus gemäß den gesetzlichen Aufbewahrungsfristen. Insbesondere unterliegen buchhalterisch relevante Daten (Rechnungen, Belege etc.) einer gesetzlichen Aufbewahrungspflicht von 7 Jahren gemäß § 132 BAO und §§ 190, 212 UGB.
Daten, die wir aufgrund unseres berechtigten Interesses verarbeiten, speichern wir solange, wie unser Interesse besteht und Ihre Interessen nicht überwiegen, bzw. bis zu Ihrem berechtigten Widerspruch. Server-Logfiles werden z.B. nur kurzfristig gespeichert.
Nach Zweckerreichung bzw. Ablauf der Speicherfristen werden Ihre Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind und keine anderen Rechtsgrundlagen oder gesetzlichen Pflichten eine weitere Speicherung rechtfertigen.
11. Ihre Rechte als betroffene Person
Sie haben bezüglich Ihrer von uns verarbeiteten personenbezogenen Daten folgende Rechte:
Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir von Ihnen verarbeiten, sowie weitere Informationen wie Verarbeitungszwecke, Empfänger, Speicherdauer etc..
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, z.B. wenn der Zweck der Verarbeitung entfallen ist, Sie Ihre Einwilligung widerrufen oder die Daten unrechtmäßig verarbeitet wurden. Dieses Recht besteht jedoch nicht uneingeschränkt, insbesondere wenn gesetzliche Aufbewahrungspflichten (z.B. 7 Jahre nach BAO/UGB ) einer Löschung entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Unter bestimmten Voraussetzungen (z.B. bei Bestreiten der Richtigkeit der Daten) können Sie verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird (d.h. die Daten dürfen nur noch gespeichert werden).
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Daten, die Sie uns bereitgestellt haben und die wir automatisiert aufgrund Ihrer Einwilligung oder zur Vertragserfüllung verarbeiten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen, soweit dies technisch machbar ist.
Widerspruchsrecht (Art. 21 DSGVO): Wenn wir Ihre Daten auf Basis unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, können Sie aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung einlegen. Wir verarbeiten die Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen. Gegen die Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung können Sie jederzeit ohne Angabe von Gründen Widerspruch einlegen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Haben Sie uns eine Einwilligung zur Verarbeitung Ihrer Daten erteilt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an die unter Punkt 1 genannten Kontaktdaten. Wir werden Ihr Anliegen unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang bearbeiten.
12. Beschwerderecht bei der Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das DSG verstößt, haben Sie unbeschadet anderer Rechtsbehelfe das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). In Österreich ist dies die
Österreichische Datenschutzbehörde Barichgasse 40-42 1030 Wien E-Mail: dsb@dsb.gv.at Website: www.dsb.gv.at
13. Datensicherheit
Wir treffen angemessene technische und organisatorische Sicherheitsmaßnahmen (TOMs) gemäß Art. 32 DSGVO, um Ihre Daten vor zufälliger oder vorsätzlicher Manipulation, Verlust, Zerstörung oder dem Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.
14. Aktualität und Änderung dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand. Durch die Weiterentwicklung unserer Website und Angebote oder aufgrund geänderter gesetzlicher bzw. behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter [Link zur Datenschutzerklärung einfügen] von Ihnen abgerufen und ausgedruckt werden.
15. Disclaimer zum Entwurf
Bitte beachten Sie: Dieser Text ist ein Entwurf, der auf Basis der zum Zeitpunkt der Erstellung verfügbaren Informationen und Analysen erstellt wurde. Er dient als Grundlage und Ausgangspunkt für Ihre finale Datenschutzerklärung. Dieser Entwurf ersetzt keine individuelle Rechtsberatung. Bevor Sie diese Datenschutzerklärung auf Ihrer Website veröffentlichen, ist es zwingend erforderlich, dass Sie den Text von Ihrer eigenen, qualifizierten Rechtsberatung (z.B. einem auf Datenschutzrecht spezialisierten Rechtsanwalt in Österreich) überprüfen, an Ihre spezifischen betrieblichen Abläufe und die tatsächlich eingesetzten Tools anpassen und finalisieren lassen. Nur so kann sichergestellt werden, dass die Datenschutzerklärung den aktuellen rechtlichen Anforderungen und Ihren konkreten Gegebenheiten vollständig entspricht.
