Direkt zum Seiteninhalt

Datenschutzerklärung - www.firmen.website

Menü überspringen
Menü überspringen
Datenschutzerklärung
Stand: 15.08.2025

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Zusammenhang mit unserer Website, der Kontaktaufnahme sowie unseren Vertragsbeziehungen (insbesondere Webdesign, Hosting/Domainverwaltung und Support). Sie ist eine Information nach Art. 13/14 DSGVO und wird nicht „vereinbart“. Einwilligungen holen wir nur dort ein, wo sie rechtlich erforderlich sind (z. B. Cookies/Marketing)

1. Verantwortlicher

Verantwortlicher

Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht vorliegen. Bei datenschutzrechtlichen Fragen wenden Sie sich bitte direkt an die oben genannte Kontaktadresse.

2. Grundsätze

Wir verarbeiten personenbezogene Daten gemäß DSGVO und § 165 TKG 2021 nach den Grundsätzen von Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag), lit. c (rechtliche Pflicht), lit. f (berechtigtes Interesse) DSGVO.

3. Sicherheitsmaßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen (Art. 32 DSGVO), u. a.: Zutritts-/Zugangskontrollen, Rollenkonzepte/Least-Privilege, 2-Faktor-Authentifizierung (wo möglich), Verschlüsselung (TLS in Transport; Festplattenverschlüsselung, soweit eingesetzt), regelmäßige Backups & Restore-Tests, Patch-/Update-Prozesse, Monitoring/Logging sowie AV/IDS-Mechanismen beim Provider. Die Maßnahmen werden risikobasiert fortlaufend überprüft und angepasst.
 
4. Hosting & E-Mail

4.1 Betrieb eigener Websites und E-Mail (Verantwortlicher: Zenu Media)

Provider (eigene Hoster): Je nach Projekt setzen wir unterschiedliche europäische Hosting- und E-Mail-Anbieter ein („eigene Hoster“).

Serverstandorte: EU/EWR; ggf. CDN/Anycast-Knoten zur Auslieferung statischer Inhalte. Drittlandübermittlungen finden im Rahmen des Hostings eigener Websites nicht statt.

Zwecke: Betrieb und Auslieferung unserer eigenen Websites, E-Mail-Kommunikation, Stabilität/Sicherheit (z. B. DDoS-Schutz), Backups und Performance-Optimierung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, effizientem und wirtschaftlichem Betrieb unserer Online-Dienste). Soweit E-Mails zur Anbahnung/Erfüllung von Verträgen erforderlich sind, zusätzlich Art. 6 Abs. 1 lit. b DSGVO.

Sicherheitsmaßnahmen: Firewalling, TLS-Verschlüsselung, regelmäßige Updates, Härtung der Systeme, rollenbasierte Zugriffe, regelmäßige Backups und Wiederherstellungstests.

Hinweis zu Änderungen: Die konkret eingesetzten eigenen Hoster können sich ändern.

Mit unseren eigenen Hostern wird immer ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO geschlossen.

4.2 Kunden-Hosting und E-Mail über unsere Infrastruktur (Rolle: Auftragsverarbeiter)

Infrastruktur/Provider für Kunden: Serverprofis GmbH, Otto-Lilienthal-Ring 34–36, 85622 Feldkirchen, Deutschland (Rechenzentrum München, DE; Subunternehmer: SpaceNet AG).

Rollenmodell:

  • Gegenüber dem jeweiligen Kunden verarbeiten wir Inhalte der Kunden-Websites und E-Mails als Auftragsverarbeiter gem. Art. 28 DSGVO.
  • Die Serverprofis GmbH ist dabei Unterauftragsverarbeiter i. S. v. Art. 28 Abs. 2 DSGVO.
  • Kontakt- und Abrechnungsdaten unserer Ansprechpartner beim Kunden verarbeiten wir als Verantwortlicher (z. B. zur Vertragsdurchführung und Kommunikation).

Zwecke: Betrieb der Kunden-Websites und Kunden-E-Mail, Auslieferung von Inhalten, Stabilität/Sicherheit, Datensicherung (Backups) und Fehleranalyse.
Rechtsgrundlage:

  • Für die Verarbeitung als Auftragsverarbeiter: Art. 28 DSGVO i. V. m. dem Auftragsverarbeitungsvertrag (AVV) mit dem Kunden; die materielle Rechtsgrundlage (z. B. Art. 6 Abs. 1 lit. b/f DSGVO) bestimmt der Kunde als Verantwortlicher.
  • Für Kontakt-/Abrechnungsdaten unserer Kundenansprechpartner: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung) und Art. 6 Abs. 1 lit. f DSGVO (Betrieb, Sicherheit, Kommunikation, Abrechnung).

Sicherheitsmaßnahmen: Netzwerk- und Applikations-Firewall, Zugriffskontrollen, TLS-Verschlüsselung, regelmäßige Updates/Patches, Protokollierung und Monitoring, regelmäßige Backups und Wiederherstellungstests.

AVV und Weisungsbindung: Mit der Serverprofis GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich auf unsere Weisung und unter Einhaltung der DSGVO-Vorgaben; Serverprofis setzt seinerseits die SpaceNet AG als Unterauftragnehmer ein.

Serverstandort: Deutschland (München). Eine Drittlandübermittlung findet nicht statt.

Hinweis zu Änderungen: Für das Kunden-Hosting wird ausschließlich die Infrastruktur der Serverprofis GmbH eingesetzt. Änderungen (z. B. weiterer Unterauftragsverarbeiter) werden vor Einsatz in dieser Datenschutzerklärung bekanntgegeben (Stand siehe Kopf der Erklärung).

5. Server-Logfiles

Daten: IP-Adresse, Datum/Uhrzeit, User-Agent, aufgerufene URL, Referrer.

Zwecke: IT-Sicherheit (z. B. Abwehr von Angriffen), Fehleranalyse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: 30 Tage; verlängert bei sicherheitsrelevanten Vorfällen bis zur abschließenden Klärung/Verfolgung.

6. Content Delivery / externe Assets

Wir können für Bibliotheken/Assets jsDelivr, Cloudflare und Akamai einsetzen. Dabei erhalten diese Dienstleister technisch bedingt Ihre IP-Adresse und Browser-Metadaten.

Rechtsgrundlage: grundsätzlich Art. 6 Abs. 1 lit. f DSGVO (effiziente, sichere Auslieferung).

Cookies/Endgerätzugriff: erfolgt nur mit Einwilligung, soweit nicht technisch unbedingt erforderlich (§ 165 TKG).

Drittlandtransfer: kann je nach Anbieter/Standort vorkommen; Absicherung über EU-Standardvertragsklauseln und ggf. EU‑US Data Privacy Framework (sofern zertifiziert).

Schriftarten (Fonts) werden lokal eingebunden; ein Remote-Laden z. B. von Google Fonts findet nicht statt.

Wir binden Bibliotheken/Assets möglichst lokal ein; CDN-Abrufe beschränken sich auf technisch erforderliche Inhalte für Stabilität/Performance.  

Zur Darstellung eingebetteter Inhalte (z. B. YouTube/Vimeo-Videos, Karten von Google Maps/OpenStreetMap) verwenden wir eine 2-Klick-Lösung: Externe Inhalte werden erst nach Ihrer Einwilligung geladen. Rechtsgrundlage: § 165 TKG i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Vor Einwilligung findet keine Datenübermittlung an die Anbieter statt. Einwilligungen können Sie jederzeit im Cookie-Center widerrufen.  

7. Auftragsverarbeitung

Für die technische Bereitstellung unserer Dienste setzen wir externe Dienstleister ein, die als Auftragsverarbeiter nach Art. 28 DSGVO tätig werden. Mit allen Auftragsverarbeitern wurden entsprechende Verträge geschlossen, die die Einhaltung der DSGVO gewährleisten.  

Alle Auftragsverarbeiter sind verpflichtet, angemessene technische und organisatorische Maßnahmen zu treffen und personenbezogene Daten nur nach unseren Weisungen zu verarbeiten.  

Die konkret eingesetzten Dienstleister können sich ändern; die jeweils aktuelle Liste ergibt sich aus dieser Datenschutzerklärung (Stand-Angabe siehe oben).  

Hinweis zu Zahlungsdiensten: Zahlungsdienstleister (z. B. PayPal) handeln in der Regel als eigenständig Verantwortliche und nicht als unsere Auftragsverarbeiter. Details zur Zahlungsabwicklung und den dabei beteiligten Anbietern finden Sie in § 18 (Zahlungen).  

8. Vertragsbeziehungen (Kunden, Interessenten, Lieferanten)

Zwecke: Anbahnung, Abschluss und Durchführung von Verträgen (Webdesign, Hosting/Domainverwaltung, Wartung/Support), Projekt- und Ticketverwaltung, Abrechnung/Payment, Nachweis- und Dokumentationspflichten, Geltendmachung/Abwehr von Ansprüchen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vorvertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insb. BAO/UGB), Art. 6 Abs. 1 lit. f DSGVO (Betrieb, IT-Sicherheit, Rechtsdurchsetzung).

Datenkategorien:

  • Stamm- & Kommunikationsdaten: Name, Firma, Branche, Anschrift, E-Mail, Telefon.
  • Vertrags-/Projektdaten: Leistungsbeschreibung, Projekt-/Website-Daten, Korrespondenz, Freigaben.
  • Abrechnungs-/Zahlungsdaten: USt-ID, Rechnungs-/Buchungsdaten, Zahlungsart, IBAN/BIC (SEPA), Transaktions-/Bestellnummern, Betrag, Produkt/Dienstleistung.
  • Nachweise/Compliance: Einwilligungen (z. B. Newsletter/Cookies), Widerrufe, VIES-Prüfprotokolle, AVV/Vertrags- und Kommunikationshistorie.
  • Technische Betriebsdaten: soweit für Leistungserbringung erforderlich (z. B. Zugangsdaten, Server-/DNS-/Zertifikatsdaten, Logauszüge bei Störungen).

Empfänger (Kategorien): Hosting/IT (für Kunden-Hosting: Serverprofis inkl. Subunternehmer; für unsere eigenen Websites: Diverse EU/EWR-Provider), Registrare/Registrys/Certificate Authorities (bei Domain/SSL, je TLD/Anbieter), Zahlungsdienste (PayPal, Digistore24, CopeCart, Bank), Steuerberater/Buchhaltung, Inkasso/Rechtsvertretung im Anlassfall, CDNs (jsDelivr/Cloudflare/Akamai), Newsletter (CleverReach).

Drittlandübermittlungen: je nach Dienst; Absicherung über EU‑Standardvertragsklauseln und/oder EU‑US Data Privacy Framework (soweit zertifiziert).

Speicherdauern: Vertrags- und Abrechnungsunterlagen 7 Jahre; allgemeine Vertrags-/Projektkommunikation 3 Jahre nach Vertragsende (regelmäßige Verjährung) – längstens bis zur endgültigen Klärung offener Ansprüche; SEPA-Mandate/Nachweise mind. 14 Monate nach letzter Lastschrift, abrechnungsrelevante Teile 7 Jahre; sonstige Nachweise (Einwilligungen, VIES, AVV) 3 Jahre, sofern keine längeren Pflichten greifen.

Datenquellen: in der Regel direkt von Ihnen; ergänzend öffentlich zugängliche Register (z. B. UID-/Firmenbuch) zur Validierung.

Für die Erstellung/Optimierung rein technischer Inhalte (z. B. Code-Snippets, Textentwürfe ohne Personenbezug) können KI-Dienste eingesetzt werden. Personenbezogene Daten werden hierfür nicht verwendet. Sofern ausnahmsweise eine Verarbeitung personenbezogener Daten erforderlich wäre, erfolgt dies nur nach vorheriger Anonymisierung oder auf Basis einer gesonderten Rechtsgrundlage und – falls ein externer Anbieter genutzt wird – unter Abschluss geeigneter Verträge und Garantien (z. B. EU-SCC/DPF).  

9. Rollenklärung bei Hosting/Domain & Auftragsverarbeitung

Für Ihre eigene Website und deren Inhalte: Sie sind Verantwortlicher, wir sind Auftragsverarbeiter.

Für die Endnutzer Ihrer Website: Sie sind Verantwortlicher für deren Daten.

Für unsere eigene Website und Kundenverwaltung: Wir sind Verantwortlicher.  

Diese Rollenverteilung, sowie Verarbeitungen, Zwecke, Kategorien, Empfänger und Löschfristen sind im jeweiligen Auftragsverarbeitungsvertrag detailliert geregelt.

10. Domain- & Zertifikatsverwaltung (falls beauftragt)

Bei Registrierung/Transfer/Verwaltung von Domains über von uns eingesetzte Provider werden – je nach TLD – Registrant-/Kontakt- und Zonen-/Nameserverdaten an zuständige Registrare/Registrys (z. B. DENIC eG, nic.at GmbH, EURid, VeriSign etc.) übermittelt; analog gilt dies für TLS/SSL-Zertifikate (z. B. Let’s Encrypt oder andere CAs).

Zwecke: Vertragliche Domain-/Zertifikatsverwaltung inkl. WHOIS/Verzeichnisangaben nach TLD-Regeln; Rechtsgrundlagen: Art. 6 Abs. 1 lit. b/c/f DSGVO.

Speicherdauer: gemäß Vertrags-/Nachweisfristen (vgl. § 20).

Hinweis: WHOIS-Veröffentlichungen richten sich nach Registry-Regeln und geltendem Datenschutzrecht; je nach TLD können Daten pseudonymisiert oder offengelegt werden (z. B. bei juristischen Personen).

11. Protokollierung von Vertragsschlüssen & Rechtstext-Versionen (Clickwrap/Order-Logs)

Bei Klick auf „Zahlungspflichtig bestellen“ bzw. andere rechtserhebliche Bestätigungen (z. B. Zustimmung zu AGB, AVV, Widerrufsbelehrung; die Datenschutzerklärung wird zur Kenntnisnahme verlinkt) protokollieren wir zum Nachweis des Vertragsschlusses folgende Angaben: IP-Adresse, Datum/Uhrzeit, Browserkennung (User-Agent), ggf. Bestell-/Session-ID, sowie die jeweils gültigen Versionen/Hashes/URLs der verlinkten Rechtstexte (AGB, AVV, Datenschutzerklärung, Widerrufsbelehrung) und die Anzeigesprache.

Zwecke: Dokumentation und Nachweis des Vertragsschlusses, Erfüllung gesetzlicher Aufbewahrungs-/Nachweispflichten, Abwehr/Geltendmachung von Ansprüchen, Betrugsprävention.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, insb. BAO/UGB, Fernabsatznachweise), Art. 6 Abs. 1 lit. f DSGVO (Rechtsdurchsetzung, IT-Sicherheit).

Speicherdauer: 3 Jahre nach Vertragsende (regelmäßige Verjährung); soweit abrechnungs-/buchhalterisch relevant: 7 Jahre (§ 132 BAO/§ 212 UGB) – längstens bis zur abschließenden Klärung offener Ansprüche.

Empfänger (anlassbezogen): Hosting/IT (bei Kunden-Hosting: Serverprofis; im Übrigen diverse EU/EWR-Provider), Zahlungsdienste (Abgleich Bestell-/Transaktionsnummern), Rechtsbeistand/Behörden.

Hinweis: Keine Nutzung zu Marketing- oder Trackingzwecken. Die Protokolle dienen nicht der Profilbildung oder Marketingzwecken. Zusätzlich können wir zur Nachweisführung Bestell-/Transaktions-IDs mit den Angaben des Zahlungsdienstes (z. B. PayPal) abgleichen; eine Nutzung zu Marketing- oder Profiling-Zwecken erfolgt nicht.  

12. Consent Management (Cookiebot, CCM19)

Wir nutzen je nach Projekt ein Consent Management Tool zur Einholung und Verwaltung von Einwilligungen.
Zum Einsatz kommen:

  • Cookiebot (Cybot A/S, Havnegade 39, 1058 Kopenhagen, Dänemark)
  • CCM19 (Papoo Software & Media GmbH, Auguststr. 4, 53229 Bonn, Deutschland)

Zwecke: Erfassung und Verwaltung von Einwilligungen zu Cookies/Tracking, Dokumentation der
Zustimmungen (Zeitstempel, Consent-ID, Version) und Steuerung der Skript-/Cookie-Auslieferung gemäß
erteilter Auswahl.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachweis- und Dokumentationspflichten zu wirksamen Einwilligungen).
  • Für das Speichern/Lesen auf Endgeräten ausschließlich mit Einwilligung gem. § 165 TKG i. V. m. Art. 6 Abs. 1 lit. a DSGVO.
  • Gemäß § 165 TKG 2021 ist für das Speichern von Informationen auf Endgeräten oder den Zugriff darauf grundsätzlich eine Einwilligung erforderlich, es sei denn, dies ist technisch unbedingt erforderlich für die Bereitstellung eines ausdrücklich gewünschten Dienstes.

Speicherdauer Protokolle: 2 Jahre.

Widerruf: jederzeit über das Cookie-Icon bzw. den Cookie-Link auf unseren Seiten.

13. Webanalyse – Matomo (self-hosted)

Art der Nutzung: Matomo selbst betrieben (self-hosted) auf Systemen im EU/EWR-Raum; kein externer Analysedienst.

Daten: aufgerufene Seiten, Pseudonym-IDs, gekürzte IP, Referrer, Verweildauer, Events.

IP-Anonymisierung: aktiviert (Kürzung um mind. 2 Bytes).

Rechtsgrundlage:

  • Mit Einwilligung (falls Cookies/Device-Fingerprints eingesetzt werden): Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 165 TKG.
  • Alternativ ohne Cookies (rein serverseitig/pseudonymisiert): Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweitenmessung).

Speicherdauer Analyse-Events: 14 Monate.

Bei Nutzung ohne Cookies erfolgt keine Speicherung/kein Auslesen auf dem Endgerät und kein Device-Fingerprinting; IPs werden um mind. 2 Bytes gekürzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Reichweitenmessung).

Widerspruch: Sie können der Verarbeitung zu Zwecken der Reichweitenmessung jederzeit widersprechen (E-Mail an die im Impressum genannte Adresse genügt).  

14. Marketing/Tracking – Meta Pixel und Conversions API

Anbieter: Meta Platforms Ireland Ltd. (EU); mögliche Übermittlungen an Meta Platforms, Inc. (USA).

Events: Verarbeitete Daten (abhängig von Einwilligung & Konfiguration): Seitenaufrufe/Events (z. B. PageView, ViewContent, Lead, InitiateCheckout, Purchase), IP-Adresse, User-Agent, Referer-URL, Zeitstempel, Cookie-/Pixel-IDs, sowie – nur sofern von Ihnen bereitgestellt und vor Übermittlung gehasht – E-Mail-Adresse und/oder Telefonnummer. Bei Nutzung der Conversions API werden serverseitig entsprechende Event-Daten an Meta übertragen.  

Zwecke: Reichweitenmessung, Conversion-Tracking, Optimierung unserer Werbekampagnen.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 TKG).

Drittlandtransfer: Absicherung über EU-Standardvertragsklauseln und/oder EU‑US Data Privacy Framework (falls zertifiziert).

Speicherdauer: gemäß Meta-Spezifikationen; wir speichern Ereignisdaten in unseren Systemen max. 14 Monate (sofern vorhanden).

Widerruf: jederzeit im CMP (Cookie-Einstellungen) und in den Kontoeinstellungen der sozialen Netzwerke.

Sie können der Verarbeitung für Direktwerbung jederzeit widersprechen; zudem können Sie eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Cookie-Einstellungen).  

15. Kontaktformulare & Kommunikation

Felder: Name, Firma, Branche, Adresse, E-Mail, Telefon, Wann erreichbar, Nachricht, Datei-Upload.

Zwecke: Bearbeitung von Anfragen, Angebotserstellung, Kundenkommunikation.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) sowie lit. f (allg. Kommunikation).

Speicherdauer: 12 Monate nach Abschluss/Letztempfang der Konversation; wenn es zu einem Vertrag kommt, gelten die kaufmännischen Fristen (siehe § 20).

Spam-Schutz (reCAPTCHA): Google reCAPTCHA wird erst nach Einwilligung geladen; Drittlandtransfer möglich (USA), Absicherung über SCC/DPF.

Bei Übermittlung einer Anfrage über unsere Kontaktformulare werden Daten wie IP, Zeitstempel, Browserinformationen und Referrer an uns übermittelt. Dies dient dem Schutz unserer Systeme und der Filterung von Spam und Anfragen mit betrügerischer Absicht.

Wir kommunizieren auf Wunsch auch per Messenger (z. B. WhatsApp Business, Signal). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (vor-/vertragliche Kommunikation) bzw. lit. f (allg. Kommunikation). Anbieter erhalten dabei Metadaten (z. B. IP, Zeitstempel). Bitte übermitteln Sie über Messenger keine sensiblen Daten. Drittlandübermittlungen sind je nach Anbieter möglich; Absicherung über EU-Standardvertragsklauseln bzw. EU-US Data Privacy Framework, sofern einschlägig.  

Für Supportzwecke können wir nach Ihrer Freigabe per Fernzugriff (z. B. AnyDesk/TeamViewer) temporär auf Systeme zugreifen. Zweck: Fehleranalyse/Behebung (Art. 6 Abs. 1 lit. b/f DSGVO). Protokolldaten der Tools (Zeit, Verbindungs-IDs) können vom jeweiligen Anbieter verarbeitet werden. Zugriff erfolgt nur fallbezogen, protokolliert und nach dem Prinzip der Datenminimierung.  

16. Newsletter und E-Mail-Marketing

Anbieter: CleverReach GmbH & Co. KG (DE).

Verfahren: Double-Opt-In, jederzeitige Abmeldung via Link.

Daten: E-Mail, optional Name, Tags/Interessen.

Statistik: Auswertung von Öffnungen, Klicks, Konversionen (Leads/Sales) zur Optimierung von Inhalten und Versand.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO); Nachweisführung Art. 6 Abs. 1 lit. c/f.

Speicherdauer: bis Widerruf/Löschung; Nachweisdaten bis 3 Jahre nach letzter Aussendung (Verjährung).

17. Kundenverwaltung, Verträge, Projekte

Kein Kunden-Account: Es besteht kein Kundenportal. E-Mail-Zugänge stellen wir über Webmail sowie POP/IMAP bereit; der SMTP-Versand ist im Rahmen der zulässigen Limits möglich.

Vertrags-/Projektdaten: Stammdaten, Zahlungsdaten, USt-ID, Projekt-/Website-Daten, Korrespondenz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag) und lit. c (gesetzliche Pflichten).

Hinweis: Detailangaben zu Datenkategorien, Empfängern und Speicherdauern im Vertragsverhältnis siehe §§ 8,20,21.

Für Endkundendaten Ihrer Kunden handeln wir als Auftragsverarbeiter – Details siehe § 9 (Rollenklärung).  

18. Zahlungen

Anbieter & Rollen: Zahlungen werden – je nach gewählter Methode – über PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg abgewickelt; Debit-/Kreditkartenzahlungen erfolgen ausschließlich über PayPal. Die Verwaltung von Zahlungsprofilen (z. B. Kartenwechsel, Storno) erfolgt – soweit angeboten – direkt beim Zahlungsdienst und unter dessen eigener Verantwortlichkeit. Klassische Überweisung/SEPA-Lastschrift erfolgen über unsere Bank. Zahlungsdienste handeln als eigenständig Verantwortliche im Sinne der DSGVO. Bei Nutzung von Digistore24 bzw. CopeCart ist jeweils der genannte Anbieter Zahlungsempfänger und Verantwortlicher. SEPA-Lastschrift wird ausschließlich für die laufenden Monatsentgelte des Rundum-sorglos-Pakets eingesetzt.  

Datenkategorien: Stammdaten (Name, Firma, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertrags-/Bestelldaten (Produkt/Dienstleistung, Betrag, Bestell-/Transaktionsnummern, Zeitstempel), Zahlungsstatus/-historie, Kommunikations-/Konfliktdaten (z. B. Disputes/Chargebacks). Kartendaten (z. B. vollständige Kartennummer, CVC) erhalten wir nicht; diese werden ausschließlich von PayPal verarbeitet.  

PayPal-Abonnement (wiederkehrende Zahlungen): Für das Rundum-sorglos-Paket kann ein PayPal-Abonnement (Billing Agreement) eingerichtet werden; wiederkehrende Monatsentgelte werden automatisiert eingezogen. Änderungen/Kündigungen des Abonnements betreffen ausschließlich die Zahlungsabwicklung; vertragliche Zahlungsansprüche bleiben unberührt.

Zwecke: Zahlungsabwicklung, Buchführung/Aufbewahrung, Nachweisführung, Betrugsprävention, Geltendmachung/Abwehr von Ansprüchen.

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Abwicklung), Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, sicherer Zahlungsabwicklung, Betrugsprävention, Rechtsdurchsetzung).

Empfänger/Kategorien: PayPal (LU), ggf. Digistore24 (DE) oder CopeCart (EU/IE), unsere Bank, Steuerberatung/Buchhaltung, anlassbezogen Inkasso/Rechtsvertretung/Behörden.

Drittlandübermittlungen: PayPal kann Daten außerhalb des EWR verarbeiten. Absicherung erfolgt über EU-Standardvertragsklauseln und/oder das EU-US Data Privacy Framework (sofern einschlägig).

Speicherdauern: Abrechnungs-/Buchungsunterlagen 7 Jahre (BAO/UGB). SEPA-Mandatsnachweise mind. 14 Monate nach letzter Lastschrift; übrige Nachweise gem. § 20.

Sicherheit: Übermittlung von Bestell-/Zahlungsdaten stets transportverschlüsselt (TLS); Kartendaten werden nicht auf unseren Webservern gespeichert.  

19. VIES UID Prüfung (B2B)

Wir prüfen USt-IDs (VIES, EU-Kommission) zur korrekten steuerlichen Behandlung.

Daten: Ländercode, UID, ggf. Firmenname/Adresse (sofern bereitgestellt).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Pflichten) und lit. f (Missbrauchsvermeidung, korrekte Rechnungslegung).

Empfänger: EU-VIES-Dienst.

Speicherdauer: Nachweise 7 Jahre (vgl. § 20).

20. Aufbewahrung & Löschung

  • Anfragen per Formular/E-Mail: 12 Monate.
  • Newsletter-Daten: bis Widerruf, Nachweis bis 3 Jahre.
  • Vertrags-/Rechnungsdaten: 7 Jahre (BAO/UGB in AT).
  • Server-Logs: 30 Tage.
  • Analyse-/Tracking-Events: 14 Monate.
  • Anspruchsdurchsetzung/Haftung: bis zum Ablauf gesetzlicher Verjährungsfristen (idR 3 Jahre, in Ausnahmefällen länger).

21. Empfänger & Kategorien von Dienstleistern

  • Kunden-Hosting/E-Mail: Serverprofis (DE) inkl. Subunternehmer SpaceNet (DE).
  • Eigenes Hosting/E-Mail: Diverse EU/EWR-Provider.  
  • Consent: Cookiebot (DK), CCM19 (DE).
  • Analyse: Matomo (self-hosted, EU).
  • Marketing: Meta (IE/USA).
  • Newsletter: CleverReach (DE).
  • Zahlungen: PayPal (LU), Digistore24 (DE), CopeCart (EU/IE), Bank.
  • CDN/Assets: jsDelivr/Cloudflare/Akamai (global).
  • Registrare/Registrys/Certificate Authorities (bei Domain/SSL, je TLD/Anbieter).

Übermittlungen in Drittländer werden – soweit erforderlich – mit EU‑Standardvertragsklauseln und/oder dem EU‑US Data Privacy Framework abgesichert. Details je nach Anbieter und eingesetzten Diensten.

Die konkret eingesetzten Dienstleister können sich ändern; die jeweils aktuelle Liste ergibt sich aus dieser Datenschutzerklärung (Stand-Angabe siehe oben).  

22. Social Media Auftritte (Links/Fanpages)

Wir unterhalten Unternehmensprofile bei Facebook/Instagram, LinkedIn, X, TikTok und YouTube. Auf unseren Websites sind lediglich Links zu diesen Profilen eingebunden; eine Datenübermittlung findet erst bei Klick statt.

Für Seiten-Insights sind Meta Platforms und wir gemeinsam Verantwortliche (Art. 26 DSGVO). Betroffenenrechte können Sie sowohl uns als auch Meta gegenüber geltend machen; Meta ist primärer Ansprechpartner für die Verarbeitung von Insights-Daten. Entsprechende Seiten-Insights/Statistiken können – je nach Anbieter – in gemeinsamer Verantwortlichkeit erfolgen (z. B. LinkedIn). Primärer Ansprechpartner für Insights-Daten ist der jeweilige Plattformanbieter.

23. Kinder/Jugendliche

Keine gezielte Ansprache von Personen unter 14 Jahren. Für bestimmte Dienste ist ggf. die Einwilligung der Erziehungsberechtigten erforderlich.

24. Pflicht zur Bereitstellung

Die Bereitstellung personenbezogener Daten ist für Vertragsabschluss und -durchführung teilweise erforderlich (Stammdaten, Rechnungsdaten). Ohne diese Daten kann der Vertrag nicht geschlossen/erfüllt werden. Angaben für Marketing/Statistik sind freiwillig.

25. Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidungsfindung/Profiling im Sinne von Art. 22 DSGVO statt.

26. Datenschutz-Folgenabschätzung

Für unsere Verarbeitungstätigkeiten haben wir geprüft, ob eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist. Nach unserer Bewertung liegt kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vor, das eine Folgenabschätzung erfordern würde.

27. Rechte der betroffenen Personen

Sie haben – unter den gesetzlichen Voraussetzungen – das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder f beruhen.

Widerruf von Einwilligungen ist jederzeit mit Wirkung für die Zukunft möglich (z. B. über die Cookie-Einstellungen oder per E-Mail).

Sie haben das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten zum Zwecke der Direktwerbung einzulegen; dies gilt auch für damit verbundenes Profiling.

Beschwerderecht: Österreichische Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, Österreich.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte schriftlich an die oben genannte E-Mail-Adresse. Wir werden Ihre Anfrage innerhalb eines Monats bearbeiten. In komplexen Fällen kann diese Frist um weitere zwei Monate verlängert werden, worüber wir Sie informieren würden.

Sie können sich auch bei der Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsortes, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes beschweren.

28. Kontakt

Anfragen zum Datenschutz bitte an die oben genannte E-Mail-Adresse richten.

29. Aktualisierung dieser Erklärung

Wir aktualisieren diese Erklärung bei Änderungen von Diensten, Rechtslage oder internen Prozessen. Verantwortlich für Aktualisierungen ist der in Ziffer 1 genannte Verantwortliche.
Zurück zum Seiteninhalt