Datenschutzerklärung

1. Verantwortlicher

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an die oben genannte Kontaktadresse.

2. Grundsätze

Wir verarbeiten personenbezogene Daten gemäß DSGVO und § 165 TKG 2021 nach den Grundsätzen von Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag), lit. c (rechtliche Pflicht), lit. f (berechtigtes Interesse) DSGVO.

3. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO), u. a.: Zutritts-/Zugangskontrollen, Rollenkonzepte/Least-Privilege, 2-Faktor-Authentifizierung (wo möglich), Verschlüsselung (TLS in Transport; Festplattenverschlüsselung, soweit eingesetzt), regelmäßige Backups & Restore-Tests, Patch-/Update-Prozesse, Monitoring/Logging sowie AV/IDS-Mechanismen beim Provider. Die Maßnahmen werden risikobasiert fortlaufend überprüft und angepasst.

Für Projekt-Setups auf Kundensystemen: Secrets/Credentials (API-Keys, Tokens, Passwörter etc.) werden nur verschlüsselt verarbeitet/übertragen; Least-Privilege-Rollen; strikte Trennung von Test/Produktion; reduzierte Log-Inhalte mit kurzen, rollierenden Fristen; Zugriffsprotokollierung und Rücknahme/Löschung der Zugriffsrechte unmittelbar nach Abnahme.

4. Hosting & E-Mail

4.1 Betrieb eigener Websites und E-Mail (Verantwortlicher: Zenu Media)

Provider (eigene Hoster): Je nach Projekt setzen wir unterschiedliche europäische Hosting- und E-Mail- Anbieter ein („eigene Hoster“).

Serverstandorte: EU/EWR; ggf. CDN/Anycast-Knoten zur Auslieferung statischer Inhalte. Drittlandübermittlungen finden im Rahmen des Hostings eigener Websites nicht statt.

Zwecke: Betrieb und Auslieferung unserer eigenen Websites, E-Mail-Kommunikation, Stabilität/Sicherheit (z. B. DDoS-Schutz), Backups und Performance-Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, effizientem und wirtschaftlichem Betrieb unserer Online-Dienste). Soweit E-Mails zur Anbahnung/Erfüllung von Verträgen erforderlich sind, zusätzlich Art. 6 Abs. 1 lit. b DSGVO.

Sicherheitsmaßnahmen: Firewalling, TLS-Verschlüsselung, regelmäßige Updates, Härtung der Systeme, rollenbasierte Zugriffe, regelmäßige Backups und Wiederherstellungstests.

Hinweis zu Änderungen: Die konkret eingesetzten eigenen Hoster können sich ändern.

Mit unseren eigenen Hostern wird immer ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen.

4.2 Kunden-Hosting und E-Mail über unsere Infrastruktur (Rolle: Auftragsverarbeiter)

Infrastruktur/Provider für Kunden: Serverprofis GmbH, Otto-Lilienthal-Ring 34–36, 85622 Feldkirchen, Deutschland (Rechenzentrum München, DE; Subunternehmer: SpaceNet AG).

Rollenmodell:

• Gegenüber dem jeweiligen Kunden verarbeiten wir Inhalte der Kunden-Websites und E-Mails als Auftragsverarbeiter gem. Art. 28 DSGVO.
• Die Serverprofis GmbH ist dabei Unterauftragsverarbeiter i. S. v. Art. 28 Abs. 2 DSGVO.
• Kontakt- und Abrechnungsdaten unserer Ansprechpartner beim Kunden verarbeiten wir als Verantwortlicher (z. B. zur Vertragsdurchführung und Kommunikation).

Zwecke: Betrieb der Kunden-Websites und Kunden-E-Mail, Auslieferung von Inhalten, Stabilität/Sicherheit, Datensicherung (Backups) und Fehleranalyse.

Rechtsgrundlage:

• Für die Verarbeitung als Auftragsverarbeiter: Art. 28 DSGVO i. V. m. dem Auftragsverarbeitungsvertrag (AVV) mit dem Kunden; die materielle Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. b/f DSGVO) bestimmt der Kunde als Verantwortlicher.
• Für Kontakt-/Abrechnungsdaten unserer Kundenansprechpartner: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) und Art. 6 Abs. 1 lit. f DSGVO (Betrieb, Sicherheit, Kommunikation, Abrechnung).

Sicherheitsmaßnahmen: Netzwerk- und Applikations-Firewall, Zugriffskontrollen, TLS-Verschlüsselung, regelmäßige Updates/Patches, Protokollierung und Monitoring, regelmäßige Backups und Wiederherstellungstests.

AVV und Weisungsbindung: Mit der Serverprofis GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich auf unsere Weisung und unter Einhaltung der DSGVO- Vorgaben; Serverprofis setzt seinerseits die SpaceNet AG als Unterauftragnehmer ein.

Serverstandort: Deutschland (München). Eine Drittlandübermittlung findet nicht statt.

Hinweis zu Änderungen: Für das Kunden-Hosting wird ausschließlich die Infrastruktur der Serverprofis GmbH eingesetzt. Änderungen (z. B. weiterer Unterauftragsverarbeiter) werden vor Einsatz in dieser Datenschutzerklärung bekanntgegeben (Stand siehe Kopf der Erklärung).

4.3 n8n-Implementierung auf Kundensystemen (kein Dauerbetrieb bei uns)

Art der Leistung: Wir entwickeln und konfigurieren Automatisierungs-Workflows (z. B. Kundenservice- Automatisierungen, Terminbuchung) mit n8n ausschließlich für die Systeme unserer Kunden und spielen diese auf von den Kunden gewählte(n) Server bei einem Hoster seiner Wahl ein. Ein Betrieb der Workflows durch uns findet nicht statt.

Rolle: Wir handeln hierbei als Auftragsverarbeiter des Kunden (Art. 28 DSGVO) – zeitlich und zweckgebunden auf die Einrichtung/Tests bzw. ggf. gebuchte Wartung beschränkt. Hosting/Produktion erfolgen unter Verantwortung des Kunden auf dessen Systemen. (vgl. Struktur § 4).

Zugriffe & Credentials: Für die Implementierung erhalten wir temporäre Zugänge (z. B. CMS, Postfächer, API-Tokens etc.). Wir verwenden Least-Privilege-Zugriffe, speichern keine produktiven Datenkopien, und löschen/entziehen Zugangsdaten nach Abnahme bzw. Projektende; etwaige Notfall-Backups enthalten keine produktiven Personendatensätze. (Ergänzende TOMs siehe § 3).

Optionale Wartung: Bei gebuchtem Wartungs-/Supportpaket sind fallbezogene, protokollierte Fernzugriffe möglich (z. B. Fehleranalyse, Updates). Kein eigenständiger Dauerbetrieb/Datenpool bei uns. (vgl. § 15 Fernzugriff).

5. Server-Logfiles

Daten: IP-Adresse, Datum/Uhrzeit, User-Agent, aufgerufene URL, Referrer.

Zwecke: IT-Sicherheit (z. B. Abwehr von Angriffen), Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: 30 Tage; verlängert bei sicherheitsrelevanten Vorfällen bis zur abschließenden Klärung/Verfolgung.

6. Content Delivery / externe Assets

Wir können für Bibliotheken/Assets jsDelivr, Cloudflare und Akamai einsetzen. Dabei erhalten diese Dienstleister technisch bedingt Ihre IP-Adresse und Browser-Metadaten.

Rechtsgrundlage: grundsätzlich Art. 6 Abs. 1 lit. f DSGVO (effiziente, sichere Auslieferung).

Cookies/Endgerätzugriff: erfolgt nur mit Einwilligung, soweit nicht technisch unbedingt erforderlich (§ 165 TKG).

Drittlandtransfer: kann je nach Anbieter/Standort vorkommen; Absicherung über EU- Standardvertragsklauseln und ggf. EU-US Data Privacy Framework (sofern zertifiziert).

Schriftarten (Fonts) werden lokal eingebunden; ein Remote-Laden z. B. von Google Fonts findet nicht statt.

Wir binden Bibliotheken/Assets möglichst lokal ein; CDN-Abrufe beschränken sich auf technisch erforderliche Inhalte für Stabilität/Performance.

Zur Darstellung eingebetteter Inhalte (z. B. YouTube/Vimeo-Videos, Karten von Google Maps/OpenStreetMap) verwenden wir eine 2-Klick-Lösung: Externe Inhalte werden erst nach Ihrer Einwilligung geladen. Rechtsgrundlage: § 165 TKG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Vor Einwilligung findet keine Datenübermittlung an die Anbieter statt. Einwilligungen können Sie jederzeit im Cookie-Center widerrufen.

7. Auftragsverarbeitung

Für die technische Bereitstellung unserer Dienste setzen wir externe Dienstleister ein, die als Auftragsverarbeiter nach Art. 28 DSGVO tätig werden. Mit allen Auftragsverarbeitern wurden entsprechende Verträge geschlossen, die die Einhaltung der DSGVO gewährleisten.

Alle Auftragsverarbeiter sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen und personenbezogene Daten nur nach unseren Weisungen zu verarbeiten.

Die konkret eingesetzten Dienstleister können sich ändern; die jeweils aktuelle Liste ergibt sich aus dieser Datenschutzerklärung (Stand-Angabe siehe oben).

Hinweis zu Zahlungsdiensten: Zahlungsdienstleister (z. B. PayPal) handeln in der Regel als eigenständig Verantwortliche und nicht als unsere Auftragsverarbeiter. Details zur Zahlungsabwicklung und den dabei beteiligten Anbietern finden Sie in § 18 (Zahlungen).

8. Vertragsbeziehungen (Kunden, Interessenten, Lieferanten)

Zwecke: Anbahnung, Abschluss und Durchführung von Verträgen (Webdesign, Hosting/Domainverwaltung, Wartung/Support), Projekt- und Ticketverwaltung, Abrechnung/Payment, Nachweis- und Dokumentationspflichten, Geltendmachung/Abwehr von Ansprüchen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vorvertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insb. BAO/UGB), Art. 6 Abs. 1 lit. f DSGVO (Betrieb, IT-Sicherheit, Rechtsdurchsetzung).

Datenkategorien:

• Stamm- & Kommunikationsdaten: Name, Firma, Branche, Anschrift, E-Mail, Telefon.
• Vertrags-/Projektdaten: Leistungsbeschreibung, Projekt-/Website-Daten, Korrespondenz, Freigaben.
• Abrechnungs-/Zahlungsdaten: USt-ID, Rechnungs-/Buchungsdaten, Zahlungsart, IBAN/BIC (SEPA), Transaktions-/Bestellnummern, Betrag, Produkt/Dienstleistung.
• Nachweise/Compliance: Einwilligungen (z. B. Newsletter/Cookies), Widerrufe, VIES-Prüfprotokolle, AVV/Vertrags- und Kommunikationshistorie.
• Technische Betriebsdaten: soweit für Leistungserbringung erforderlich (z. B. Zugangsdaten, Server-/DNS-/Zertifikatsdaten, Logauszüge bei Störungen).

Empfänger (Kategorien): Hosting/IT (für Kunden-Hosting: Serverprofis inkl. Subunternehmer; für unsere eigenen Websites: Diverse EU/EWR-Provider), Registrare/Registrys/Certificate Authorities (bei Domain/SSL, je TLD/Anbieter), Zahlungsdienste (PayPal, Digistore24, CopeCart, Bank), Steuerberater/Buchhaltung, Inkasso/Rechtsvertretung im Anlassfall, CDNs (jsDelivr/Cloudflare/Akamai), Newsletter (CleverReach).

Drittlandübermittlungen: je nach Dienst; Absicherung über EU-Standardvertragsklauseln und/oder EU-US Data Privacy Framework (soweit zertifiziert).

Speicherdauern: Vertrags- und Abrechnungsunterlagen 7 Jahre; allgemeine Vertrags-/Projektkommunikation 3 Jahre nach Vertragsende (regelmäßige Verjährung) – längstens bis zur endgültigen Klärung offener Ansprüche; SEPA-Mandate/Nachweise mind. 14 Monate nach letzter Lastschrift, abrechnungsrelevante Teile 7 Jahre; sonstige Nachweise (Einwilligungen, VIES, AVV) 3 Jahre, sofern keine längeren Pflichten greifen.

Datenquellen: in der Regel direkt von Ihnen; ergänzend öffentlich zugängliche Register (z. B. UID-/Firmenbuch) zur Validierung.

Für die Erstellung/Optimierung rein technischer Inhalte (z. B. Code-Snippets, Textentwürfe ohne Personenbezug) können KI-Dienste eingesetzt werden. Personenbezogene Daten werden hierfür nicht verwendet. Sofern ausnahmsweise eine Verarbeitung personenbezogener Daten erforderlich wäre, erfolgt dies nur nach vorheriger Anonymisierung oder auf Basis einer gesonderten Rechtsgrundlage und – falls ein externer Anbieter genutzt wird – unter Abschluss geeigneter Verträge und Garantien (z. B. EU-SCC/DPF).

Projekt-Setups/Implementierung: Im Rahmen von Implementierungen auf Kundensystemen verarbeiten wir temporär projektbezogene Zugangsdaten/Credentials (z. B. Admin-Accounts, API-Tokens etc.) sowie technische Betriebsdaten (z. B. Log-/Fehlerauszüge) ausschließlich zur Einrichtung/Tests. Nach Abnahme werden Zugänge widerrufen bzw. Passwörter zurückgesetzt; Eigenkopien produktiver Datenbestände werden nicht angelegt.

9. Rollenklärung bei Hosting/Domain & Auftragsverarbeitung

Für Ihre eigene Website und deren Inhalte: Sie sind Verantwortlicher, wir sind Auftragsverarbeiter.

Für die Endnutzer Ihrer Website: Sie sind Verantwortlicher für deren Daten.

Für unsere eigene Website und Kundenverwaltung: Wir sind Verantwortlicher.

Diese Rollenverteilung, sowie Verarbeitungen, Zwecke, Kategorien, Empfänger und Löschfristen sind im jeweiligen Auftragsverarbeitungsvertrag detailliert geregelt.

Bei Implementierungen auf Kundensystemen handeln wir nur zeitweilig als Auftragsverarbeiter (Art. 28 DSGVO) ohne eigenen Dauerbetrieb/Hosting; nach Handover verbleiben alle Verarbeitungen beim Kunden als Verantwortlichem.

10. Domain- & Zertifikatsverwaltung (falls beauftragt)

Bei Registrierung/Transfer/Verwaltung von Domains über von uns eingesetzte Provider werden – je nach TLD – Registrant-/Kontakt- und Zonen-/Nameserverdaten an zuständige Registrare/Registrys (z. B. DENIC eG, nic.at GmbH, EURid, VeriSign etc.) übermittelt; analog gilt dies für TLS/SSL-Zertifikate (z. B. Let’s Encrypt oder andere CAs).

Zwecke: Vertragliche Domain-/Zertifikatsverwaltung inkl. WHOIS/Verzeichnisangaben nach TLD-Regeln; Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c/f DSGVO.

Speicherdauer: gemäß Vertrags-/Nachweisfristen (vgl. § 20).

Hinweis: WHOIS-Veröffentlichungen richten sich nach Registry-Regeln und geltendem Datenschutzrecht; je nach TLD können Daten pseudonymisiert oder offengelegt werden (z. B. bei juristischen Personen).

11. Protokollierung von Vertragsschlüssen & Rechtstext-Versionen (Clickwrap/Order-Logs)

Bei Klick auf „Zahlungspflichtig bestellen“ bzw. andere rechtserhebliche Bestätigungen (z. B. Zustimmung zu AGB, AVV, Widerrufsbelehrung; die Datenschutzerklärung wird zur Kenntnisnahme verlinkt) protokollieren wir zum Nachweis des Vertragsschlusses folgende Angaben: IP-Adresse, Datum/Uhrzeit, Browserkennung (User-Agent), ggf. Bestell-/Session-ID, sowie die jeweils gültigen Versionen/Hashes/URLs der verlinkten Rechtstexte (AGB, AVV, Datenschutzerklärung, Widerrufsbelehrung) und die Anzeigesprache.

Zwecke: Dokumentation und Nachweis des Vertragsschlusses, Erfüllung gesetzlicher Aufbewahrungs-/Nachweispflichten, Abwehr/Geltendmachung von Ansprüchen, Betrugsprävention.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insb. BAO/UGB, Fernabsatznachweise), Art. 6 Abs. 1 lit. f DSGVO (Rechtsdurchsetzung, IT-Sicherheit).

Speicherdauer: 3 Jahre nach Vertragsende (regelmäßige Verjährung); soweit abrechnungs-/buchhalterisch relevant: 7 Jahre (§ 132 BAO/§ 212 UGB) – längstens bis zur abschließenden Klärung offener Ansprüche.

Empfänger (anlassbezogen): Hosting/IT (bei Kunden-Hosting: Serverprofis; im Übrigen diverse EU/EWR- Provider), Zahlungsdienste (Abgleich Bestell-/Transaktionsnummern), Rechtsbeistand/Behörden.

Hinweis: Keine Nutzung zu Marketing- oder Trackingzwecken. Die Protokolle dienen nicht der Profilbildung oder Marketingzwecken. Zusätzlich können wir zur Nachweisführung Bestell-/Transaktions-IDs mit den Angaben des Zahlungsdienstes (z. B. PayPal) abgleichen; eine Nutzung zu Marketing- oder Profiling- Zwecken erfolgt nicht.

12. Consent Management (Cookiebot/CCM19)

Wir nutzen je nach Projekt ein Consent Management Tool zur Einholung und Verwaltung von Einwilligungen. Zum Einsatz kommen:

• Cookiebot (Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark)
• CCM19 (Papoo Software & Media GmbH, Auguststr. 4, 53229 Bonn, Deutschland)

Zwecke: Erfassung und Verwaltung von Einwilligungen zu Cookies/Tracking, Dokumentation der Zustimmungen (Zeitstempel, Consent-ID, Version) und Steuerung der Skript-/Cookie-Auslieferung gemäß erteilter Auswahl.

Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachweis- und Dokumentationspflichten zu wirksamen Einwilligungen).
• Für das Speichern/Lesen auf Endgeräten ausschließlich mit Einwilligung gem. § 165 TKG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.
• Gemäß § 165 TKG 2021 ist für das Speichern von Informationen auf Endgeräten oder den Zugriff darauf grundsätzlich eine Einwilligung erforderlich, es sei denn, dies ist technisch unbedingt erforderlich für die Bereitstellung eines ausdrücklich gewünschten Dienstes.

Speicherdauer Protokolle: 2 Jahre.

Widerruf: jederzeit über das Cookie-Icon bzw. den Cookie-Link auf unseren Seiten.

13. Webanalyse – Matomo (self-hosted)

Art der Nutzung: Matomo selbst betrieben (self-hosted) auf Systemen im EU/EWR-Raum; kein externer Analysedienst.

Daten: aufgerufene Seiten, Pseudonym-IDs, gekürzte IP, Referrer, Verweildauer, Events.

IP-Anonymisierung: aktiviert (Kürzung um mind. 2 Bytes).

Rechtsgrundlage:

• Mit Einwilligung (falls Cookies/Device-Fingerprints eingesetzt werden): Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 165 TKG.
• Alternativ ohne Cookies (rein serverseitig/pseudonymisiert): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung).

Speicherdauer Analyse-Events: 14 Monate.

Bei Nutzung ohne Cookies erfolgt keine Speicherung/kein Auslesen auf dem Endgerät und kein Device- Fingerprinting; IPs werden um mind. 2 Bytes gekürzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Reichweitenmessung).

Widerspruch: Sie können der Verarbeitung zu Zwecken der Reichweitenmessung jederzeit widersprechen (E-Mail an die im Impressum genannte Adresse genügt).

14. Marketing/Tracking – Meta Pixel und Conversions API

Anbieter: Meta Platforms Ireland Ltd. (EU); mögliche Übermittlungen an Meta Platforms, Inc. (USA).

Events: Verarbeitete Daten (abhängig von Einwilligung & Konfiguration): Seitenaufrufe/Events (z. B. PageView, ViewContent, Lead, InitiateCheckout, Purchase), IP-Adresse, User-Agent, Referer-URL, Zeitstempel, Cookie-/Pixel-IDs, sowie – nur sofern von Ihnen bereitgestellt und vor Übermittlung gehasht – E-Mail-Adresse und/oder Telefonnummer. Bei Nutzung der Conversions API werden serverseitig entsprechende Event-Daten an Meta übertragen.

Zwecke: Reichweitenmessung, Conversion-Tracking, Optimierung unserer Werbekampagnen.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 TKG).

Drittlandtransfer: Absicherung über EU-Standardvertragsklauseln und/oder EU-US Data Privacy Framework (falls zertifiziert).

Speicherdauer: gemäß Meta-Spezifikationen; wir speichern Ereignisdaten in unseren Systemen max. 14 Monate (sofern vorhanden).

Widerruf: jederzeit im CMP (Cookie-Einstellungen) und in den Kontoeinstellungen der sozialen Netzwerke.

Sie können der Verarbeitung für Direktwerbung jederzeit widersprechen; zudem können Sie eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Cookie-Einstellungen).

15. Kontaktformulare & Kommunikation

Felder: Name, Firma, Branche, Adresse, E-Mail, Telefon, Wann erreichbar, Nachricht, Datei-Upload.

Zwecke: Bearbeitung von Anfragen, Angebotserstellung, Kundenkommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) sowie lit. f (allg. Kommunikation).

Speicherdauer: 12 Monate nach Abschluss/Letztempfang der Konversation; wenn es zu einem Vertrag kommt, gelten die kaufmännischen Fristen (siehe § 20).

Spam-Schutz (reCAPTCHA): Google reCAPTCHA wird erst nach Einwilligung geladen; Drittlandtransfer möglich (USA), Absicherung über SCC/DPF.

Bei Übermittlung einer Anfrage über unsere Kontaktformulare werden Daten wie IP, Zeitstempel, Browserinformationen und Referrer an uns übermittelt. Dies dient dem Schutz unserer Systeme und der Filterung von Spam und Anfragen mit betrügerischer Absicht.

Wir kommunizieren auf Wunsch auch per Messenger-Diensten (z. B. WhatsApp Business, Signal etc.). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vor-/vertragliche Kommunikation) bzw. lit. f (allgemeine Kundenkommunikation). Hinweis: Anbieter verarbeiten dabei Kommunikations- und Metadaten in eigener Verantwortung (z. B. IP-Adresse, Zeitstempel, Geräte-/App-Informationen). Drittlandübermittlungen sind je nach Anbieter möglich; Absicherung i. d. R. über EU-Standardvertragsklauseln bzw. das EU-US Data Privacy Framework (soweit anwendbar). Bitte keine sensiblen Inhalte (z. B. Gesundheitsdaten) per Messenger senden.

Wir bieten einen WhatsApp-Button (reiner Link zu wa.me) an. Vor Ihrem Klick wird auf unserer Website kein WhatsApp-Skript geladen und keine Daten an WhatsApp übertragen. Mit Klick öffnet sich der Chat bei WhatsApp Ireland Ltd. (für EWR-Nutzer) bzw. WhatsApp LLC (USA); WhatsApp verarbeitet Ihre Kommunikations-/Metadaten nach eigenen Bedingungen (inkl. ggf. Übermittlungen in die USA, u. a. gestützt auf das EU-US Data Privacy Framework). Zweck/Rechtsgrundlagen: Bearbeitung Ihrer Anfrage und Kommunikation (Art. 6 Abs. 1 lit. b DSGVO) bzw. unser berechtigtes Interesse an effizienter Kundenkommunikation (Art. 6 Abs. 1 lit. f DSGVO). Hinweis: Bitte übermitteln Sie über WhatsApp keine sensiblen Inhalte. Weitere Informationen finden Sie in den Datenschutzhinweisen von WhatsApp.

Für Supportzwecke können wir nach Ihrer Freigabe per Fernzugriff (z. B. AnyDesk/TeamViewer) temporär auf Systeme zugreifen. Zweck: Fehleranalyse/Behebung (Art. 6 Abs. 1 lit. b/f DSGVO). Protokolldaten der Tools (Zeit, Verbindungs-IDs) können vom jeweiligen Anbieter verarbeitet werden. Zugriff erfolgt nur fallbezogen, protokolliert und nach dem Prinzip der Datenminimierung.

15a. Messenger-/Termin-Automatisierung für Kunden

Beschreibung: Auf Wunsch richten wir Workflows ein, die Anfragen entgegennehmen, freie Termine aus dem Kalender des Kunden prüfen und nach Bestätigung durch den Endnutzer eintragen. Die Ausführung erfolgt auf Systemen des Kunden.

Rollen/Anbieter: Der Kunde ist Verantwortlicher der Kommunikation; wir handeln nur im Rahmen des Setups/Wartung als Auftragsverarbeiter. Messenger-Anbieter verarbeiten Kommunikations-/Metadaten eigenverantwortlich (je nach Anbieter ggf. Drittlandübermittlungen, Absicherung via SCC/DPF). Einwilligungen/Transparenz ggü. Endnutzern sind vom Kunden sicherzustellen. (vgl. § 15, Fernzugriff).

Datenkategorien (projektabhängig): Absender-Rufnummer/Account, Nachrichtentexte, Zeitstempel, Terminwunsch/Bestätigung; bei Integration: Kalender-/CRM-Referenzen.

Speicherdauer: Logs in der Implementierungsphase nur kurzfristig und zweckgebunden zur Fehleranalyse; keine dauerhafte Speicherung bei uns.

16. Newsletter und E-Mail-Marketing

Anbieter: CleverReach GmbH & Co. KG (DE).

Verfahren: Double-Opt-In, jederzeitige Abmeldung via Link.

Daten: E-Mail, optional Name, Tags/Interessen.

Statistik: Auswertung von Öffnungen, Klicks, Konversionen (Leads/Sales) zur Optimierung von Inhalten und Versand.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); Nachweisführung Art. 6 Abs. 1 lit. c/f.

Speicherdauer: bis Widerruf/Löschung; Nachweisdaten bis 3 Jahre nach letzter Aussendung (Verjährung).

17. Kundenverwaltung, Verträge, Projekte

Kein Kunden-Account: Es besteht kein Kundenportal. E-Mail-Zugänge stellen wir über Webmail sowie POP/IMAP bereit; der SMTP-Versand ist im Rahmen der zulässigen Limits möglich.

Vertrags-/Projektdaten: Stammdaten, Zahlungsdaten, USt-ID, Projekt-/Website-Daten, Korrespondenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag) und lit. c (gesetzliche Pflichten).

Hinweis: Detailangaben zu Datenkategorien, Empfängern und Speicherdauern im Vertragsverhältnis siehe §§ 8,20,21.

Für Endkundendaten Ihrer Kunden handeln wir als Auftragsverarbeiter – Details siehe § 9 (Rollenklärung).

18. Zahlungen

Anbieter & Rollen: Zahlungen werden – je nach gewählter Methode – über PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg abgewickelt; Debit-/Kreditkartenzahlungen erfolgen ausschließlich über PayPal. Die Verwaltung von Zahlungsprofilen (z. B. Kartenwechsel, Storno) erfolgt – soweit angeboten – direkt beim Zahlungsdienst und unter dessen eigener Verantwortlichkeit. Klassische Überweisung/SEPA-Lastschrift erfolgen über unsere Bank. Zahlungsdienste handeln als eigenständig Verantwortliche im Sinne der DSGVO. Bei Nutzung von Digistore24 bzw. CopeCart ist jeweils der genannte Anbieter Zahlungsempfänger und Verantwortlicher. SEPA-Lastschrift wird ausschließlich für die laufenden Monatsentgelte des Rundum- sorglos-Pakets eingesetzt.

Datenkategorien: Stammdaten (Name, Firma, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertrags-/Bestelldaten (Produkt/Dienstleistung, Betrag, Bestell-/Transaktionsnummern, Zeitstempel), Zahlungsstatus/-historie, Kommunikations-/Konfliktdaten (z. B. Disputes/Chargebacks). Kartendaten (z. B. vollständige Kartennummer, CVC) erhalten wir nicht; diese werden ausschließlich von PayPal verarbeitet.

PayPal-Abonnement (wiederkehrende Zahlungen): Für das Rundum-sorglos-Paket kann ein PayPal- Abonnement (Billing Agreement) eingerichtet werden; wiederkehrende Monatsentgelte werden automatisiert eingezogen. Änderungen/Kündigungen des Abonnements betreffen ausschließlich die Zahlungsabwicklung; vertragliche Zahlungsansprüche bleiben unberührt.

Zwecke: Zahlungsabwicklung, Buchführung/Aufbewahrung, Nachweisführung, Betrugsprävention, Geltendmachung/Abwehr von Ansprüchen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Abwicklung), Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, sicherer Zahlungsabwicklung, Betrugsprävention, Rechtsdurchsetzung).

Empfänger/Kategorien: PayPal (LU), ggf. Digistore24 (DE) oder CopeCart (EU/IE), unsere Bank, Steuerberatung/Buchhaltung, anlassbezogen Inkasso/Rechtsvertretung/Behörden.

Drittlandübermittlungen: PayPal kann Daten außerhalb des EWR verarbeiten. Absicherung erfolgt über EU- Standardvertragsklauseln und/oder das EU-US Data Privacy Framework (sofern einschlägig).

Speicherdauern: Abrechnungs-/Buchungsunterlagen 7 Jahre (BAO/UGB). SEPA-Mandatsnachweise mind. 14 Monate nach letzter Lastschrift; übrige Nachweise gem. § 20.

Sicherheit: Übermittlung von Bestell-/Zahlungsdaten stets transportverschlüsselt (TLS); Kartendaten werden nicht auf unseren Webservern gespeichert.

19. VIES UID Prüfung (B2B)

Wir prüfen USt-IDs (VIES, EU-Kommission) zur korrekten steuerlichen Behandlung.

Daten: Ländercode, UID, ggf. Firmenname/Adresse (sofern bereitgestellt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten) und lit. f (Missbrauchsvermeidung, korrekte Rechnungslegung).

Empfänger: EU-VIES-Dienst.

Speicherdauer: Nachweise 7 Jahre (vgl. § 20).

19a. UID Prüfung über vatcheckapi.com(B2B)

Zur technischen Durchführung der UID-Prüfung (Umsatzsteuer-Identifikationsnummer) nutzen wir ergänzend den Dienst vatcheckapi.com, betrieben von der Everapi GmbH, Getreidegasse 22, 2284 Untersiebenbrunn, Österreich.

Dabei werden die zur Validierung erforderlichen Angaben (Ländercode und UID) an den Dienst übermittelt. Weitere Angaben (z. B. Firmenname, Adresse) werden nur verarbeitet, sofern sie im Rahmen der Prüfung bereitgestellt oder von der VIES-Schnittstelle zurückgegeben werden.

Zwecke: Automatisierte, ausfallsichere Prüfung von Umsatzsteuer-IDs zur korrekten steuerlichen Behandlung und Nachweisführung

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflicht) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an korrekter Rechnungsstellung und Missbrauchsvermeidung).

Empfänger: Everapi GmbH (AT) sowie EU-VIES-Dienst.

Speicherdauer: Prüfprotokolle 7 Jahre (vgl. § 20).

20. Aufbewahrung & Löschung

• Anfragen per Formular/E-Mail: 12 Monate.
• Newsletter-Daten: bis Widerruf, Nachweis bis 3 Jahre.
• Vertrags-/Rechnungsdaten: 7 Jahre (BAO/UGB in AT).
• Server-Logs: 30 Tage.
• Analyse-/Tracking-Events: 14 Monate.
• Anspruchsdurchsetzung/Haftung: bis zum Ablauf gesetzlicher Verjährungsfristen (idR 3 Jahre, in Ausnahmefällen länger).

21. Empfänger & Kategorien von Dienstleistern

• Kunden-Hosting/E-Mail: Serverprofis (DE) inkl. Subunternehmer SpaceNet (DE).
• Eigenes Hosting/E-Mail: Diverse EU/EWR-Provider.
• Consent: Cookiebot (DK), CCM19 (DE).
• Analyse: Matomo (self-hosted, EU).
• Marketing: Meta (IE/USA).
• Newsletter: CleverReach (DE).
• Zahlungen: PayPal (LU), Digistore24 (DE), CopeCart (EU/IE), Bank.
• CDN/Assets: jsDelivr/Cloudflare/Akamai (global).
• Registrare/Registrys/Certificate Authorities (bei Domain/SSL, je TLD/Anbieter).
• Automatisierungsplattform: n8n (self-hosted auf Kundensystemen, i. d. R. DE-Hoster; kein Betrieb durch uns).
• Optionale Integrationen (projektabhängig): Kalender (Microsoft 365/Google, etc.), Messenger (WhatsApp Business, etc.), VoIP/Telefonie-APIs, CRM/Ticketing. Drittlandübermittlungen sind je nach Anbieter möglich; Absicherung über EU-SCC/DPF.

Übermittlungen in Drittländer werden – soweit erforderlich – mit EU-Standardvertragsklauseln und/oder dem EU-US Data Privacy Framework abgesichert. Details je nach Anbieter und eingesetzten Diensten.

Die konkret eingesetzten Dienstleister können sich ändern; die jeweils aktuelle Liste ergibt sich aus dieser Datenschutzerklärung (Stand-Angabe siehe oben).

22. Social Media Auftritte (Links/Fanpages)

Wir unterhalten Unternehmensprofile bei Facebook/Instagram, LinkedIn, X, TikTok und YouTube. Auf unseren Websites sind lediglich Links zu diesen Profilen eingebunden; eine Datenübermittlung findet erst bei Klick statt.

Für Seiten-Insights sind Meta Platforms und wir gemeinsam Verantwortliche (Art. 26 DSGVO). Betroffenenrechte können Sie sowohl uns als auch Meta gegenüber geltend machen; Meta ist primärer Ansprechpartner für die Verarbeitung von Insights-Daten. Entsprechende Seiten-Insights/Statistiken können – je nach Anbieter – in gemeinsamer Verantwortlichkeit erfolgen (z. B. LinkedIn). Primärer Ansprechpartner für Insights-Daten ist der jeweilige Plattformanbieter.

23. Kinder/Jugendliche

Keine gezielte Ansprache von Personen unter 14 Jahren. Für bestimmte Dienste ist ggf. die Einwilligung der Erziehungsberechtigten erforderlich.

24. Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist für Vertragsabschluss und -durchführung teilweise erforderlich (Stammdaten, Rechnungsdaten). Ohne diese Daten kann der Vertrag nicht geschlossen/erfüllt werden. Angaben für Marketing/Statistik sind freiwillig.

25. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung/Profiling im Sinne von Art. 22 DSGVO statt.

Die im Rahmen der Automatisierung generierten Termin-Vorschläge stellen keine Entscheidung mit Rechtswirkung i. S. v. Art. 22 DSGVO dar.

26. Datenschutz-Folgenabschätzung

Für unsere Verarbeitungstätigkeiten haben wir geprüft, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Nach unserer Bewertung liegt kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vor, das eine Folgenabschätzung erfordern würde.

27. Rechte der betroffenen Personen

Sie haben – unter den gesetzlichen Voraussetzungen – das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f beruhen.

Widerruf von Einwilligungen ist jederzeit mit Wirkung für die Zukunft möglich (z. B. über die Cookie- Einstellungen oder per E-Mail).

Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung einzulegen; dies gilt auch für damit verbundenes Profiling.

Beschwerderecht: Österreichische Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, Österreich.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich an die oben genannte e-Mail-Adresse. Wir werden Ihre Anfrage innerhalb eines Monats bearbeiten. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie informieren würden.

Sie können sich auch bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes beschweren.

28. Kontakt

Anfragen zum Datenschutz bitte an die oben genannte E-Mail-Adresse richten.

29. Aktualisierung dieser Erklärung

Wir aktualisieren diese Erklärung bei Änderungen von Diensten, Rechtslage oder internen Prozessen. Verantwortlich für Aktualisierungen ist der in Ziffer 1 genannte Verantwortliche.