Datenschutz
Wir nehmen den Schutz deiner Daten ernst. Diese Erklärung beschreibt welche Daten wir verarbeiten, wozu, und wie lange wir sie speichern. Rechtsgrundlage: DSGVO (EU-Verordnung 2016/679) und das österreichische DSG.
Verantwortliche Stelle
Daniel Fekete
Tischlerweg 4, 4643 Pettenbach
E-Mail: tripbriefing@gmail.com
Was wir speichern
1. Account: E-Mail-Adresse
Wenn du dich per Anmelde-Link registrierst, speichern wir deine
E-Mail-Adresse in unserer users-Tabelle. Zweck:
Account-Zuordnung + Zustellung des Anmelde-Links. Rechtsgrundlage:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrung: bis du die
Löschung anforderst (siehe unten).
1a. Kontoanlage: IP-Adresse
Bei der erstmaligen Kontoanlage speichern wir die anfragende IP-Adresse. Zweck: Missbrauchsabwehr (Begrenzung massenhafter Kontoanlagen). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Aufbewahrung: Die IP-Adresse wird nach 30 Tagen automatisch gelöscht; dein Account bleibt davon unberührt.
2. Anmelde-Links (Magic-Links)
Pro Anmelde-Link speichern wir einen Hash mit 15 Minuten Gültigkeit. Nach Verwendung oder Ablauf wird der Link entwertet. Der Klartext-Token wird nie gespeichert.
3. Reisen und Berichte
Reise-Konfigurationen (Städte, Nächte, Präferenzen) und die generierten Berichte werden in deinem Account gespeichert, damit du sie erneut ansehen kannst. Sie werden nicht an Dritte weitergegeben. Aufbewahrung: bis du die Reise oder deinen Account löschst. Berichte aus dem kostenlosen Kontingent verfallen zusätzlich 3 Tage nach Erstellung und werden mit dem nächsten automatischen Bereinigungslauf endgültig gelöscht; Berichte aus einem Pro-Konto oder aus zugekauften Steps verfallen nicht.
4. Cookies
Wir setzen ausschließlich technisch notwendige Cookies (Login-Session, Sprach-Präferenz und ein Nachweis deiner Cookie-Auswahl). Der Cookie-Hinweis bietet „Alle akzeptieren" und „Nur notwendige akzeptieren" gleichwertig an; der Unterschied betrifft die Karten-Einwilligung (siehe Abschnitt 7), keine zusätzlichen Cookies. Details und Einstellungen unter Cookie-Übersicht.
5. Tracking / Analytics
Wir setzen aktuell kein Third-Party-Tracking ein — kein Google Analytics, Hotjar, Meta Pixel oder vergleichbare Tools.
6. Externe APIs
Für die Hotel-Recherche fragen wir externe APIs server-seitig ab (Agoda- und Booking.com-Affiliate-APIs, Anthropic Claude API für Ranking und redaktionelle Texte). Diese Anfragen stellt unser Server. Über deine Reise-Konfiguration hinaus — die selbst von dir eingegebene Angaben wie Daten und Präferenzen enthalten kann — werden keine personenbezogenen Daten übertragen; Anthropic ist dabei unser Auftragsverarbeiter (siehe Abschnitt 8, Übermittlung in die USA via SCCs). Bitte gib in Freitextfeldern keine personenbezogenen Daten anderer Personen ein.
Auch das statische Kartenbild in Briefings holt unser Server server-seitig bei Geoapify (siehe Abschnitt 8) und bettet es direkt in die Seite ein: Dein Browser kontaktiert Geoapify nicht, und deine IP-Adresse wird dafür an keinen Kartendienst übertragen.
7. Eingebundene Drittinhalte (dein Browser)
Schriften, Skripte und Styles liefern wir von unserem eigenen Server aus — dein Browser kontaktiert weder Google Fonts noch andere CDNs. Zwei Ausnahmen, bei denen dein Browser deine IP-Adresse an Dritte übermittelt:
- MapTiler / Karten-Kacheln (MapTiler AG, Schweiz — EU-Angemessenheitsbeschluss, Kommissionsbeschluss 2000/518/EG): Karten in deinem Briefing erscheinen zunächst als statisches Bild, für das dein Browser keinen Kartendienst kontaktiert (siehe Abschnitt 6). Die interaktive Karte lädt nicht automatisch — sie lädt erst, und übermittelt erst dann deine IP-Adresse an den Kachel-Server, wenn du entweder an der Karte auf „Karte laden" klickst oder im Cookie-Hinweis „Alle akzeptieren" wählst (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung kannst du jederzeit über die Cookie-Einstellungen im Footer widerrufen (Art. 7 Abs. 3 DSGVO). MapTiler ist der einzige Kachel-Anbieter; ist er nicht erreichbar, wird keine interaktive Karte angezeigt.
- Hotel-Bilder (berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO — zur Darstellung der Inhalte erforderlich): Hotelfotos in Briefings werden direkt von den Bildservern der Buchungsplattform (z. B. Agoda) geladen. Dabei wird deine IP-Adresse an die jeweilige Plattform übermittelt.
8. Auftragsverarbeiter & Hosting
Wir setzen folgende Auftragsverarbeiter mit Auftragsverarbeitungsverträgen (Art. 28 DSGVO) ein:
- Brevo (Sendinblue SAS, Frankreich): Versand von Anmelde-Links und Transaktions-E-Mails. Verarbeitet deine E-Mail-Adresse. EU-Server.
- Resend (Resend, Inc., USA): Fallback-Anbieter für Transaktions-E-Mails, falls Brevo nicht verfügbar ist. Verarbeitet deine E-Mail-Adresse. Die Übermittlung in die USA ist über das EU-U.S. Data Privacy Framework und Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.
- Anthropic (Anthropic PBC, USA): Erstellung der Ranking-Begründung und der redaktionellen Briefing-Texte aus deiner Reise-Konfiguration. Die Übermittlung in die USA ist über Standardvertragsklauseln (Art. 46 DSGVO) im Rahmen des Auftragsverarbeitungsvertrags von Anthropic abgesichert; Eingaben werden nach den Geschäftsbedingungen von Anthropic nicht zum Training verwendet.
- Geoapify (Geoapify GmbH, Deutschland): server-seitige Fahrzeit- und Geocoding-Abfragen für deine Ziele/Stopps sowie das server-seitige Holen des statischen Kartenbilds (Abschnitt 6). EU-Server.
- Stripe (Stripe Payments Europe Ltd., Irland): Zahlungsabwicklung bei Käufen. Zahlungsdaten gibst du direkt bei Stripe ein; wir sehen keine Kartendaten. Übermittlungen an Stripe Inc. (USA) sind über das EU-U.S. Data Privacy Framework und SCCs abgesichert.
- Hosting: Diese Seite läuft auf Infrastruktur der Fly.io, Inc. (USA), mit Serverstandort Frankfurt (Deutschland). Server-Logs (IP-Adresse, Zeitpunkt, aufgerufene Seite) werden dort verarbeitet; die Übermittlung in die USA ist über das EU-U.S. Data Privacy Framework und Standardvertragsklauseln (Art. 46 DSGVO) abgesichert.
Unterlagen zu Käufen (z. B. Rechnungsdaten) bewahren wir so lange auf, wie es gesetzliche Aufbewahrungspflichten verlangen (§ 212 UGB / § 132 BAO — 7 Jahre), und löschen oder anonymisieren sie danach.
9. Creator-Bewerbungen
Wenn du dich über unsere Creator-Seite bewirbst, speichern wir deine Angaben: Vor- und Nachname, E-Mail-Adresse, Land, Plattform, Profil-Link, Followerzahl (optional) und deinen Freitext. Zum Nachweis deiner Einwilligung (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO) speichern wir zusätzlich einen Zeitstempel, deine IP-Adresse, den User-Agent deines Browsers und die Fassung des Einwilligungstextes.
Zweck & Rechtsgrundlage: Bearbeitung deiner Bewerbung und Kontaktaufnahme dazu — Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf deine Anfrage) und Art. 6 Abs. 1 lit. f DSGVO (unser berechtigtes Interesse an der Partner-Akquise). Stimmst du zusätzlich Programm-Neuigkeiten zu, verarbeiten wir deine E-Mail-Adresse zu diesem Zweck auf Grundlage deiner Einwilligung — Art. 6 Abs. 1 lit. a DSGVO iVm § 174 TKG 2021. Diese Einwilligung wird per Double-Opt-In bestätigt und ist jederzeit mit Wirkung für die Zukunft widerrufbar.
Empfänger: Bewerbungen landen in einem internen, von uns kontrollierten Postfach; die Bestätigungs- und Benachrichtigungsmails versenden wir über unseren Auftragsverarbeiter Brevo (siehe Abschnitt 8). Eine Weitergabe deiner Daten an Dritte zu Werbezwecken findet nicht statt.
Speicherdauer: Bewerbungen, die du nie bestätigst, werden nach 14 Tagen automatisch gelöscht; abgelehnte Bewerbungen nach 6 Monaten; angenommene Bewerbungen für die Dauer der Partnerschaft und die anschließenden gesetzlichen Aufbewahrungsfristen.
Deine Rechte
- Auskunftsrecht (Art. 15 DSGVO)
- Berichtigungsrecht (Art. 16 DSGVO)
- Löschungsrecht (Art. 17 DSGVO)
- Recht auf Einschränkung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Beschwerderecht bei der österreichischen Datenschutzbehörde (dsb.gv.at)
Für die Ausübung dieser Rechte schreib uns an tripbriefing@gmail.com.