DSGVO-Information · Stand 26. April 2026
Datenschutzerklärung
Wir verarbeiten personenbezogene Daten nur, wenn dafür eine gesetzliche Grundlage besteht oder Sie eingewilligt haben. Diese Erklärung beschreibt im Detail, welche Daten wir wofür auf welcher Rechtsgrundlage und wie lange speichern, an wen wir sie übermitteln und welche Rechte Sie uns gegenüber haben.
1. Verantwortlicher
Verantwortlicher gemäß Art. 4 Z 7 DSGVO und §9 DSG ist:
- Firma
- ABC GmbH
- Anschrift
- 9500 Villach, Österreich
- Firmenbuchnummer
- FN [Nummer], Landesgericht [Gericht]
- UID-Nummer
- ATU…
- Vertretung
- [Geschäftsführer:in]
Für alle Anliegen rund um den Datenschutz erreichen Sie uns unter obiger E-Mail-Adresse.
2. Datenschutzbeauftragter
Da wir die Schwellen des Art. 37 DSGVO (Kerntätigkeit umfangreicher Profiling- bzw. besonders schutzwürdiger Verarbeitungen) nicht erreichen, ist kein Datenschutzbeauftragter bestellt. Datenschutzanfragen richten Sie bitte direkt an die unter Punkt 1 genannte E-Mail-Adresse — wir antworten innerhalb von 30 Tagen.
3. Ihre Rechte als Betroffene:r
- Auskunft (Art. 15) — welche Daten von Ihnen wir verarbeiten.
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
- Löschung (Art. 17) — Entfernung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung (Art. 18) — Sperrung der Verarbeitung statt Löschung.
- Datenübertragbarkeit (Art. 20) — Herausgabe Ihrer Daten in maschinenlesbarem Format.
- Widerspruch (Art. 21) — gegen Verarbeitungen, die wir auf berechtigte Interessen stützen.
- Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit für die Zukunft, ohne Begründung. Den Widerruf zur Cookie-Einwilligung können Sie über den Link „Cookie-Einstellungen" am Seitenende auslösen, jenen für den Newsletter über den Abmeldelink in jeder E-Mail.
- Beschwerde bei der Aufsichtsbehörde (Art. 77) — siehe nächster Abschnitt.
4. Beschwerderecht
Wenn Sie meinen, dass wir Ihre Daten unrechtmäßig verarbeiten, können Sie sich bei der österreichischen Datenschutzbehörde beschweren:
- Behörde
- Österreichische Datenschutzbehörde
- Anschrift
- Barichgasse 40–42, 1030 Wien
- Telefon
- +43 1 52 152-0
- dsb@dsb.gv.at
- Web
- dsb.gv.at
5. Verarbeitungen im Einzelnen
5.1 Aufruf der Website (Server-Logs)
Bei jedem Aufruf protokolliert unser Hoster (Vercel) folgende Daten in flüchtigen System-Logs:
- IP-Adresse (gekürzt nach 14 Tagen automatisch gelöscht)
- Datum und Uhrzeit der Anfrage
- Aufgerufene URL und HTTP-Status
- Referrer (woher Sie kamen, sofern übertragen)
- User-Agent (Browser- und Gerätebezeichnung)
Zweck: Sicherer Betrieb der Plattform, Abwehr von Angriffen, Fehlersuche.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren Betrieb).
Speicherdauer: max. 14 Tage.
Empfänger: Vercel Inc. (siehe Punkt 6).
5.2 Cookies und ähnliche Speichertechnologien
Wir verwenden Cookies sehr sparsam. Folgende Kategorien kommen zum Einsatz:
| Name | Anbieter | Zweck | Lebensdauer | Kategorie |
|---|---|---|---|---|
| authjs.session-token | Erstanbieter | Anmeldung im Redaktions-CMS (HttpOnly, Secure) | Sitzungsdauer / 30 Tage | Notwendig |
| mr-consent | Erstanbieter | Speicherung Ihrer Cookie-Auswahl | 180 Tage | Notwendig |
| _csrf / authjs.csrf-token | Erstanbieter | Schutz vor Cross-Site-Request-Forgery beim Login | Sitzungsdauer | Notwendig |
| Vercel Web Analytics (kein Cookie) | Vercel Inc., USA | Anonyme Reichweitenmessung — cookieless, IP wird gehasht und nicht gespeichert | — | Statistik (Opt-in) |
| Plausible (kein Cookie) | Plausible Insights, EU | Anonyme Reichweitenmessung — verwendet keine Cookies, keine IP-Speicherung | — | Statistik (Opt-in) |
Sie können Ihre Auswahl der Kategorien Statistik und Externe Einbettungen jederzeit über den Link Cookie-Einstellungen am Seitenende ändern.
5.3 Newsletter (Rechtsbrief)
Bei Anmeldung zum Newsletter speichern wir folgende Daten zur Beweisführung Ihrer Einwilligung gem. Art. 7 Abs. 1 DSGVO und §174 TKG 2021:
- E-Mail-Adresse
- Anmelde-Zeitpunkt, IP-Adresse und User-Agent
- Bestätigungs-Zeitpunkt, IP-Adresse und User-Agent (DOI-Klick)
- Wortlaut der Einwilligung, den Sie beim Anmelden gesehen haben
Zweck: Versand des bestellten Newsletters, Dokumentation der Einwilligung, Bounce-/Complaint-Verarbeitung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO und §174 TKG 2021 (ausdrückliche Einwilligung).
Speicherdauer: bis zur Abmeldung. Anschließend archivieren wir E-Mail-Adresse plus Abmelde-Zeitpunkt für 3 Jahre als Sperrliste, um eine erneute, ungewollte Anmeldung zu verhindern (Art. 6 Abs. 1 lit. f).
Empfänger: Resend, Inc. (siehe Punkt 6).
Sie können sich jederzeit über den Abmeldelink in jeder Newsletter-Mail oder durch eine formlose Antwort an die Redaktion abmelden.
5.4 Kontaktanfragen per E-Mail
Wenn Sie uns per E-Mail kontaktieren, speichern wir Ihre E-Mail-Adresse und den Inhalt Ihrer Nachricht zur Bearbeitung Ihres Anliegens.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) bzw. lit. f (berechtigtes Interesse an ordentlicher Korrespondenz).
Speicherdauer: bis Ihr Anliegen erledigt ist, danach im Mail-Archiv gem. §132 BAO bis zu 7 Jahre, sofern steuerrelevant; sonst Löschung nach 12 Monaten.
5.5 Redaktions-Login (CMS)
Mitarbeiter:innen melden sich über den Admin-Bereich an. Dabei verarbeiten wir Name, E-Mail-Adresse und einen gehashten Passwort eintrag (Argon2). Die Anmeldung selbst erzeugt einen verschlüsselten Session-Token (siehe Cookie-Tabelle).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. f (sicherer Betrieb).
Speicherdauer: für die Dauer der Mitarbeit; danach Löschung des Accounts.
6. Auftragsverarbeiter und Empfänger
Wir setzen folgende Dienstleister als Auftragsverarbeiter (Art. 28 DSGVO) ein. Mit allen bestehen Auftragsverarbeitungsverträge.
| Anbieter | Sitz | Zweck | Drittlandtransfer |
|---|---|---|---|
| Vercel Inc. | San Francisco, CA, USA | Hosting, CDN, Edge-Netzwerk, Bild-Storage (Blob), Server-Logs sowie cookieless Web Analytics (nur bei Einwilligung) | DPF + SCC |
| Neon Inc. | USA / EU-Region (Frankfurt) | PostgreSQL-Datenbank (alle Inhalts-, Konto- und Newsletter-Daten) | Daten in EU-Region; Anbieter US — DPF + SCC |
| Resend, Inc. | San Francisco, CA, USA | Versand transaktionaler E-Mails und Newsletter | DPF + SCC |
| Plausible Insights OÜ | Tallinn, Estland (EU) | Anonyme Reichweitenmessung (nur bei Einwilligung) | innerhalb EU/EWR |
7. Datenübermittlung in Drittländer
Mehrere unserer Auftragsverarbeiter haben ihren Sitz in den USA (Vercel, Neon, Resend). Die Übermittlung erfolgt auf Basis des EU-US Data Privacy Framework (Beschluss der EU-Kommission vom 10. Juli 2023) und ergänzend auf Basis der EU-Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO. Die genannten Dienstleister sind unter dem DPF zertifiziert.
8. Externe Einbettungen
Eingebettete Inhalte Dritter (z. B. Tweets, Videos, RIS-Dokumente) übertragen beim Laden Daten an den jeweiligen Anbieter (mindestens IP-Adresse und User-Agent). Wir laden solche Inhalte nur, wenn Sie der Kategorie „Externe Einbettungen" in den Cookie-Einstellungen zugestimmt haben — sonst zeigen wir einen Klick-Platzhalter, der erst auf Ihren ausdrücklichen Wunsch hin lädt.
9. Automatisierte Entscheidungen / Profiling
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt; ein Profiling unserer Leser:innen führen wir nicht durch.
10. Speicherdauer im Überblick
| Datenkategorie | Speicherdauer |
|---|---|
| Server-Logs | max. 14 Tage |
| Newsletter-Anmeldung (aktiv) | bis zur Abmeldung |
| Newsletter-Sperrliste (nach Abmeldung) | 3 Jahre, ausschließlich E-Mail-Hash + Abmelde-Datum |
| Kontaktanfragen | 12 Monate; bei Steuerrelevanz 7 Jahre (§132 BAO) |
| CMS-Konten | Dauer der Mitarbeit, danach Löschung |
| Inhaltliche Veröffentlichungen | dauerhaft, sofern keine Löschanfrage erfolgreich ist |
11. Sicherheit
Die Übertragung Ihrer Daten erfolgt durchgehend verschlüsselt (TLS 1.3). Wir setzen Strict-Transport-Security (HSTS), eine strenge Content-Security-Policy, signierte Session-Cookies (HttpOnly, Secure, SameSite=Lax) und eine modere Hash-Funktion (Argon2id) für Passwörter ein. Mitarbeiter:innen-Logins sind ausschließlich über persönliche Accounts möglich.
12. Änderungen dieser Datenschutzerklärung
Wir aktualisieren diese Erklärung, wenn sich Verarbeitungen oder Dienstleister ändern. Den jeweils aktuellen Stand finden Sie oben. Frühere Fassungen archivieren wir intern, sodass historische Einwilligungen nachvollziehbar bleiben.
Stand: 26. April 2026