Zum Inhalt springen
Garagenpark Wullersdorf
Einzelne Plätze verfügbarAnrufenJetzt reservieren

Datenschutzerklärung

§ 1 Verantwortliche Stelle

Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO (Verordnung [EU] 2016/679) ist Garagenpark Wullersdorf GmbH, Grund 160, 2041 Grund, Österreich. Soweit nachstehend von „wir" oder „uns" die Rede ist, bezieht sich dies auf die vorgenannte Stelle. Kontakt in datenschutzrechtlichen Angelegenheiten: info@garagenpark-wullersdorf.at.

§ 2 Kontakt in Datenschutzfragen

Für alle Anliegen zum Datenschutz und zur Ausübung Ihrer Rechte nach Art. 12 ff. DSGVO erreichen Sie uns unter info@garagenpark-wullersdorf.at. Anfragen beantworten wir binnen eines Monats (Art. 12 Abs. 3 DSGVO).

§ 3 Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken: (a) Bereitstellung und Sicherheit der Website (Server-Logs, Spam-Schutz); (b) Beantwortung von Kontaktanfragen und Vertragsanbahnung über das Kontaktformular; (c) Abschluss und Abwicklung von Mietverträgen über Garageneinheiten; (d) Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten; (e) bedarfsgerechte Anpassung und Reichweitenmessung der Website (nur bei Einwilligung — Statistik); (f) Werbung, Werbe-Wirksamkeitsmessung und Conversion-Tracking (nur bei Einwilligung — Marketing); (g) Geltendmachung, Ausübung und Verteidigung rechtlicher Ansprüche.

§ 4 Rechtsgrundlagen

Die Rechtsgrundlagen ergeben sich aus Art. 6 Abs. 1 DSGVO: lit. a (Einwilligung — § 7 / § 12 dieser Erklärung), lit. b (Vertrag und vorvertragliche Maßnahmen — § 3 lit. b und c), lit. c (rechtliche Verpflichtung, insb. § 132 BAO, § 212 UGB, § 14 UGB), lit. f (berechtigte Interessen an Betrieb, Sicherheit und Missbrauchsabwehr — § 3 lit. a und g). Für die Speicherung von Informationen in der Endeinrichtung der Nutzer:innen sowie den Zugriff darauf greift zusätzlich § 165 Abs. 3 TKG 2021 (Umsetzung Art. 5 Abs. 3 ePrivacy-RL 2002/58/EG idF 2009/136/EG) als lex specialis. Die Anforderungen an eine wirksame Einwilligung richten sich nach Art. 7 DSGVO und EDPB Guidelines 05/2020.

§ 5 Direkt erhobene Daten (Art. 13 DSGVO)

a) Beim Aufruf der Website verarbeiten wir Server-Logfiles (IP-Adresse gekürzt/gehasht, Datum, Uhrzeit, abgerufene URL, Referrer, User-Agent) — Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 14 Tage.

b) Beim Ausfüllen des Kontaktformulars verarbeiten wir Name, E-Mail, optional Telefonnummer, Nachricht, Zeitstempel und Version der Datenschutzeinwilligung sowie einen serverseitig gehashten IP- und User-Agent-Wert — Rechtsgrundlage Art. 6 Abs. 1 lit. b und lit. a DSGVO. Speicherdauer: 24 Monate ab letzter Interaktion; bei Vertragsschluss gelten die Aufbewahrungsfristen aus § 132 BAO und § 212 UGB (sieben Jahre).

c) Beim Abschluss eines Mietvertrags zusätzlich Anschrift, Geburtsdatum, Bankverbindung, Ausweisdaten — Rechtsgrundlage Art. 6 Abs. 1 lit. b und lit. c DSGVO. Speicherdauer: sieben Jahre nach Vertragsende (§ 132 BAO).

d) Bei Setzen optionaler Cookies und Aktivierung von Tracking-Technologien — siehe § 7 — Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO iVm § 165 Abs. 3 TKG 2021.

§ 5a Daten aus anderen Quellen (Art. 14 DSGVO)

Soweit wir Daten über Sie aus öffentlich zugänglichen Quellen (Firmenbuch, Grundbuch) zur Identitätsverifikation, aus dem E-Mail-Routing über Microsoft Logic Apps (Zustellzeitpunkt, Threading-IDs) oder aus Conversion-Plattformen von Google bzw. Meta (siehe § 6, § 12) erhalten, informieren wir Sie hiermit gemäß Art. 14 Abs. 1 und 2 DSGVO: Kategorien — Stamm- und Kommunikations-Metadaten, pseudonyme Werbe-IDs; Quelle — Register, Versand-Dienstleister bzw. Werbeplattform; Rechtsgrundlage — Art. 6 Abs. 1 lit. a, b oder f DSGVO; Speicherdauer entsprechend § 8.

§ 6 Gemeinsame Verantwortlichkeit mit Google und Meta (Art. 26 DSGVO)

Soweit Sie in Statistik- und/oder Marketing-Cookies eingewilligt haben, binden wir Tracking-Technologien von Google Ireland Ltd. (Google Ads, Google Analytics 4, Google Tag Manager, Consent Mode v2) sowie Meta Platforms Ireland Ltd. (Meta-Pixel, Conversions API) ein. Nach der Rechtsprechung des Europäischen Gerichtshofs in der Rechtssache C-40/17 (Fashion ID, Urteil vom 29. Juli 2019, Rn. 75 ff.) sind wir gemeinsam mit Google bzw. Meta für die Phase der Erhebung und Übermittlung Ihrer personenbezogenen Daten an die jeweilige Plattform verantwortlich (gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO).

Mit Google haben wir die im Rahmen der „Google Ads Data Processing Terms" und der „Google Measurement Controller-Controller Data Protection Terms" enthaltene Vereinbarung über die gemeinsame Verantwortlichkeit getroffen. Mit Meta gilt das „Controller-Addendum" gemäß facebook.com/legal/controller_addendum. Über die anschließende eigene Verarbeitung der Daten in den Systemen von Google bzw. Meta (insbesondere zur Werbe-Optimierung über Kunden hinweg) sind die jeweiligen Plattformen alleinverantwortlich; insoweit verweisen wir auf die Datenschutzhinweise unter https://policies.google.com/privacy und https://www.facebook.com/privacy/policy.

Die wesentlichen Inhalte der Vereinbarung nach Art. 26 Abs. 2 DSGVO werden Ihnen auf Anfrage unter info@garagenpark-wullersdorf.at zur Verfügung gestellt. Unbeschadet der Vereinbarung können Sie Ihre Betroffenenrechte (§ 9) gegenüber jedem der Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

§ 7 Cookies und Tracking-Technologien

Wir setzen Cookies und vergleichbare Technologien (Local Storage, Pixel, SDK-Calls) ein. Technisch notwendige Speicherungen (z. B. Cookie-Banner-Auswahl, Session-Cookie des Admin-Bereichs, CSRF-Token) erfolgen ohne Einwilligung gemäß § 165 Abs. 3 letzter Satz TKG 2021 (unbedingt erforderliche Speicherung).

Optionale Speicherungen — Statistik (z. B. Google Analytics 4) und Marketing (z. B. Google Ads, Google Tag Manager, Meta-Pixel, _gp_click) — erfolgen ausschließlich nach Ihrer ausdrücklichen, vorherigen, informierten und granular wählbaren Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO iVm § 165 Abs. 3 TKG 2021. Die Anforderungen folgen EDPB Guidelines 05/2020 sowie CJEU C-673/17 Planet49 (Rn. 49 ff. — kein Vorab-Häkchen).

Im Einzelnen: (i) `_gp_click` — First-Party-Cookie auf der Domain garagenpark-wullersdorf.at, Inhalt: Werbe-Klick-Identifikatoren (gclid, gbraid, wbraid, fbclid, msclkid, li_fat_id, ttclid), Zweck: serverseitige Conversion-Zuordnung über Google Ads Enhanced Conversions for Leads und Meta Conversions API (siehe § 12), Kategorie: Marketing, Lebensdauer: maximal 90 Tage, HttpOnly + Secure + SameSite=Lax, Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO iVm § 165 Abs. 3 TKG 2021; (ii) Google Analytics 4 (`_ga`, `_ga_*`) — Reichweitenmessung, Kategorie Statistik, Lebensdauer 14 Monate, IP-Anonymisierung aktiviert; (iii) Google Tag Manager — Container-Ladelogik, lädt nur nach Einwilligung; (iv) Meta-Pixel (`_fbp`) — Werbe-Wirksamkeitsmessung, Kategorie Marketing, Lebensdauer 90 Tage. Eine vollständige technische Liste findet sich in den Cookie-Einstellungen.

Sie können Ihre Einwilligung jederzeit über die Schaltfläche „Cookie-Einstellungen" im Footer mit Wirkung für die Zukunft widerrufen — der Widerruf ist gemäß Art. 7 Abs. 3 Satz 4 DSGVO so einfach wie die Erteilung. Wir setzen Google Consent Mode v2 ein, sodass bei fehlender Einwilligung keine identifizierenden Werbe-Pings übermittelt werden.

§ 8 Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Verarbeitungszweck entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Im Einzelnen: Server-Logs 14 Tage; Kontaktanfragen 24 Monate ab letzter Interaktion; Vertrags- und Buchhaltungsdaten sieben Jahre (§ 132 BAO, § 212 UGB); Einwilligungs-Protokolle (consent-logs) drei Jahre nach Widerruf zur Beweissicherung gemäß Art. 7 Abs. 1 DSGVO; Reichweitenmessung (Statistik) 14 Monate; Werbe-Identifikatoren und Click-IDs (`_gp_click`, `_fbp`) maximal 90 Tage, sofern keine Conversion eintritt — bei Conversion gelten die Vertragsfristen.

§ 9 Ihre Rechte als betroffene Person

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen (Art. 7 Abs. 3 DSGVO). Anfragen richten Sie bitte an info@garagenpark-wullersdorf.at.

Hinweis zur Löschung (Art. 17 DSGVO): Wenn Sie die Löschung Ihrer Daten verlangen oder wenn ein:e Berechtigte:r aus unserer Verwaltung Ihren Datensatz löscht, lösen wir gemäß Art. 17 Abs. 1 und Abs. 2 DSGVO eine kaskadierende Löschung über alle Empfänger aus: (a) der zugrundeliegende Datensatz wird in unserer Datenbank entfernt; (b) ein Webhook an Microsoft Logic Apps löscht zugehörige E-Mail-Routing-Einträge; (c) an die Google Ads Conversion Adjustments API (https://support.google.com/google-ads/answer/13262500) wird eine Retraction (Wert 0) übermittelt; (d) an die Meta Conversions API wird ein Deletion-Event mit Ihren gehashten Identifikatoren gesendet (https://developers.facebook.com/docs/marketing-api/conversions-api/parameters/customer-information-parameters). Damit wird sichergestellt, dass auch nachgelagerte gemeinsame Verantwortliche (§ 6) zur Löschung aufgefordert werden.

§ 10 Empfänger und Drittlandtransfers (Art. 13 Abs. 1 lit. e + lit. f DSGVO)

Wir bedienen uns folgender Auftragsverarbeiter im Sinne von Art. 28 DSGVO bzw. gemeinsam Verantwortlicher gemäß Art. 26 DSGVO (siehe § 6). Für jede Übermittlung in ein Drittland greifen geeignete Garantien gemäß Kapitel V DSGVO — vorrangig der Angemessenheitsbeschluss der EU-Kommission C(2023) 4745 vom 10. Juli 2023 zum EU-US Data Privacy Framework (DPF, sofern der jeweilige Anbieter zertifiziert ist), hilfsweise die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 (SCC, Art. 46 Abs. 2 lit. c DSGVO) zuzüglich ergänzender Maßnahmen nach EDPB-Empfehlung 01/2020 (Schrems II).

a) Vercel Inc., 340 S Lemon Ave #4133, Walnut CA 91789, USA — Hosting der Website und der Next.js-/Payload-CMS-Instanz. Physische Verarbeitung in der EU-Region „fra1" (Frankfurt am Main); der Anbieter ist jedoch in den USA inkorporiert, weshalb der Transfer formal als Drittlandtransfer im Sinne von Art. 44 DSGVO gilt. Garantien: SCC unterzeichnet, DPF-zertifiziert (Privacy Shield Framework List). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb der Website).

b) Cloudflare, Inc., 101 Townsend St, San Francisco CA 94107, USA — Bot-Mitigation und CAPTCHA (Cloudflare Turnstile) auf dem Kontaktformular. Garantien: SCC unterzeichnet, DPF-zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Schutz vor automatisierten Eingaben).

c) Microsoft Corporation, One Microsoft Way, Redmond WA 98052, USA, mit Datenverarbeitung im Azure-Datacenter „Sweden Central" (EU) — E-Mail-Routing über Azure Logic Apps und Microsoft 365 Outlook (Send-As info@garagenpark-wullersdorf.at). Garantien: SCC unterzeichnet, DPF-zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bearbeitung von Kontaktanfragen und Vertragsanbahnung).

d) Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland (mit Konzernmutter Google LLC, USA) — Werbe-Conversion-Tracking (Google Ads Enhanced Conversions for Leads), Reichweitenmessung (Google Analytics 4), Tag-Auslieferung (gtag.js). Garantien: SCC + DPF (Google LLC ist im aktiven DPF gelistet). Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO siehe § 6. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

e) Meta Platforms Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland (mit Konzernmutter Meta Platforms, Inc., USA) — Werbewirksamkeitsmessung (Meta-Pixel) und serverseitige Conversion-Übermittlung (Conversions API). Garantien: SCC + DPF (Meta Platforms, Inc. ist im aktiven DPF gelistet). Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO siehe § 6. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

f) Neon Inc., 209 Park Road, Burlingame CA 94010, USA — verwaltete PostgreSQL-Datenbank für Payload CMS. Physische Verarbeitung ausschließlich in der EU-Region „eu-central-1" (Frankfurt am Main); damit liegt nach derzeitiger Auslegung kein Drittlandtransfer im Sinne von Art. 44 DSGVO vor (Daten verlassen die EU nicht). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Eine SCC-Vereinbarung wird vorsorglich für Konstellationen unterzeichnet, in denen Support-Personal außerhalb der EU Zugriff erhalten könnte.

Der Status der Auftragsverarbeitungs-Verträge (AVV gemäß Art. 28 Abs. 3 DSGVO) wird im Zuge der Inbetriebnahme finalisiert; eine aktuelle Übersicht stellen wir auf Anfrage unter info@garagenpark-wullersdorf.at zur Verfügung. Werbe-bezogene Verarbeitungen finden ausschließlich nach erteilter Einwilligung statt (§ 7 / § 12).

§ 11 Beschwerderecht bei der Aufsichtsbehörde

Sie haben gemäß Art. 77 DSGVO das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere bei der österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at, https://www.dsb.gv.at.

§ 12 Serverseitige Conversion-Schnittstellen (Google Ads ECL, Meta CAPI)

Sofern Sie in Marketing-Cookies eingewilligt haben und ein Konversionsereignis auslösen (z. B. Absenden des Kontaktformulars), übermitteln wir folgende Daten serverseitig an unsere Werbeplattformen: an die Google Ads „Enhanced Conversions for Leads"-Schnittstelle einen mit SHA-256 gehashten Wert Ihrer E-Mail-Adresse (`email_sha256`) und ggf. Ihrer Telefonnummer in E.164-Format (`phone_sha256`), den Klick-Identifikator aus dem Cookie `_gp_click` sowie einen Zeitstempel; an die Meta Conversions API gleichartige gehashte Werte (`em`, `ph`) sowie das Klick-ID `fbclid`. Die SHA-256-Hashes sind im Sinne von Erwägungsgrund 26 DSGVO pseudonym, nicht anonym, und können von Google bzw. Meta gegen ihren eigenen Nutzerbestand abgeglichen werden.

Rechtsgrundlage ist ausschließlich Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Eine Stützung auf das berechtigte Interesse (lit. f) scheidet nach Auffassung der österreichischen Datenschutzbehörde (Bescheid D155.027/0001-DSB/2022) und der CNIL (Beschluss vom März 2024 zu Meta-Pixel/CAPI) aus, da identifizierbare Daten in einen Drittstaat zu Werbezwecken übermittelt werden. Die Datenverarbeitung durch Google bzw. Meta in deren eigener Verantwortung ist Gegenstand der gemeinsamen Verantwortlichkeit nach § 6.

§ 13 Hinweise zum Kontaktformular

Beim Absenden des Kontaktformulars setzen wir den Spam-Schutz Cloudflare Turnstile (Cloudflare, Inc., siehe § 10 lit. b) ein — Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (Schutz vor automatisierten Eingaben). Das Formular ist durch eine ausdrückliche Datenschutz-Einwilligung gemäß Art. 7 DSGVO blockiert; ohne Häkchen erfolgt keine Übermittlung. Zusätzlich greift eine Server-seitige Origin-Prüfung sowie eine Rate-Limitierung von drei Anfragen pro Minute pro IP-Adresse zum Schutz vor Missbrauch.

Pro Einreichung wird ein Lead-Datensatz mit folgenden Angaben gespeichert: übermittelte Formularfelder (Name, E-Mail oder Telefon, Nachricht), UTM-Parameter aus dem aufgerufenen Link, Referrer, Landing-Page-URL, gehashter IP-Wert (SHA-256 mit serverseitigem Salt), User-Agent, sowie — sofern Sie in Marketing-Cookies eingewilligt haben — die im Cookie `_gp_click` (siehe § 7) gespeicherten Werbe-Klick-Identifikatoren. Der Lead-Datensatz enthält ferner ein Einwilligungs-Protokoll (Marketing/Statistik-Flags, `policyVersion`, Zeitstempel) als Nachweis gemäß Art. 7 Abs. 1 DSGVO.

Sofern Sie in Marketing-Cookies eingewilligt haben, wird unmittelbar nach erfolgreicher Einreichung ein interner, mit HMAC-SHA-256 signierter Server-Aufruf an unsere serverseitige Conversion-Schnittstelle (`/api/conversions`, siehe § 12) ausgelöst, die die gehashten Identifikatoren an Google Ads bzw. Meta weiterleitet. Ohne Marketing-Einwilligung unterbleibt jede Übermittlung an Werbeplattformen (Bescheid: lit. a-Sperrung in der Lead-Datenbank).

§ 14 Datensicherheit (Art. 32 DSGVO)

Wir treffen geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Daten gemäß Art. 32 DSGVO, insbesondere: TLS-Transportverschlüsselung sämtlicher Datenflüsse zwischen Browser und Server (HSTS, Content-Security-Policy mit Nonce, OWASP Secure Headers); Pseudonymisierung der IP-Adresse durch SHA-256-Hashing mit serverseitigem, regelmäßig rotiertem Salt; verschlüsselte Speicherung in der PostgreSQL-Datenbank von Neon (encryption-at-rest); Origin-Validierung und Rate-Limiting auf allen Schreib-Endpunkten; HMAC-SHA-256-Signatur zwischen internen Server-Endpunkten (z. B. /api/contact ↔ /api/conversions); strikt rollenbasierter Admin-Zugriff (super-admin / admin / editor) mit IP-Allowlist auf der Produktions-Admin-Oberfläche.

§ 15 Technische Umsetzung der Löschung (Art. 17 Abs. 1 + Abs. 2 DSGVO)

Bei Auslösung einer Löschung in unserer Verwaltung wird automatisch eine kaskadierende Mitteilung an einen mit SAS signierten Webhook eines Microsoft-Azure-Logic-App-Workflows ausgelöst (siehe § 10 lit. c). Die Logic App ruft daraufhin (a) die Google Ads Conversion Adjustments API mit einer Retraction (Wert 0) sowie (b) die Meta Conversions API mit einem Deletion-Event (`delete_user_data`, gehashte E-Mail/Telefon) auf, um auch nachgelagert verarbeitete personenbezogene Daten bei den gemeinsam Verantwortlichen (§ 6) zu entfernen. Die Übermittlung erfolgt mit gehashten Identifikatoren — Klartext-PII verlässt unseren Server nicht.

§ 16 Stand der Erklärung und Aktualisierungen

Diese Datenschutzerklärung gilt in der Fassung Version 2.0 (Stand 29. April 2026). Bei wesentlichen Änderungen — insbesondere wenn neue einwilligungsbedürftige Verarbeitungen aufgenommen werden — erhöhen wir die Versionsnummer (`policyVersion`) im Cookie-Banner. Das Banner fordert Sie beim nächsten Besuch zur erneuten Entscheidung auf (Re-Consent-Mechanismus gemäß EDPB Guidelines 05/2020 §172 in Verbindung mit Art. 7 Abs. 1 DSGVO Beweisbarkeit). Frühere Einwilligungen bleiben für bereits erfolgte Verarbeitungen wirksam, gelten aber nicht für die neuen Zwecke.