Datenschutzerklärung

1. Allgemeines und Geltungsbereich

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei Nutzung unserer Website https://www.taxi31300.at/ sowie unserer Online-Dienste.

2. Verantwortlicher

TAXI 31300 VermittlungsgmbH
Johnstraße 4 Top 7, 1150 Wien, Österreich
E-Mail: zentrale@taxi31300.at | Tel.: +43 1 31300

3. Datenschutzbeauftragter

DPO Consult GmbH
Joanneumring 18, A-8010 Graz, Österreich
z. H. Karl Pusch | Tel.: +43 800 224488
E-Mail: dpo@dpo.at | Web: www.datenschutzexperte24.net

4. Entwicklung & Hosting (Webflow)

Unsere Website wird auf Basis von Webflow entwickelt, betrieben und gehostet.

  • Dienstleister & Rolle: Webflow, Inc., 398 11th Street, San Francisco, CA 94103, USA, handelt für uns als Auftragsverarbeiter iSd Art. 28 DSGVO.
  • AV-Vertrag: Mit Webflow besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Webflow setzt teils Unterauftragsverarbeiter (z. B. Infrastruktur/Content Delivery) ein; eine jeweils aktuelle Liste stellt Webflow bereit.
  • Verarbeitungszwecke durch Webflow: Bereitstellung/Hosting der Website, Auslieferung statischer Inhalte (HTML, CSS, JS, Medien), Sicherheitsfunktionen (z. B. DDoS-Schutz, Fehler-/Zugriffslogs), Performance-Optimierung (CDN), Formularverarbeitung (sofern eingesetzt).
  • Datenkategorien: IP-Adresse, Zeitstempel, angeforderte Ressourcen/URLs, User-Agent (Browser/OS), Referrer, ggf. Formulardaten.
  • Rechtsgrundlage:
    • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: sichere, effiziente Bereitstellung der Website) für Server-/Sicherheitslogs und CDN.
    • Art. 6 Abs. 1 lit. b DSGVO bei Formularen/Vertragsanbahnung.
    • Art. 6 Abs. 1 lit. a DSGVO iVm § 165 Abs. 1 TKG 2021 für nicht notwendige Cookies/Tags (nur nach Einwilligung).
  • Speicherdauer: Sicherheits-/Zugriffslogs i. d. R. 7 Tage, danach Löschung/Anonymisierung; Formulardaten gemäß den unten genannten Fristen.
  • Drittlandübermittlung: Webflow ist ein US-Anbieter. Datenübermittlungen in die USA erfolgen auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) inkl. Transfer-Impact-Assessment und zusätzlicher technischer/organisatorischer Maßnahmen. Ein angemessenes Schutzniveau wird damit angestrebt; dennoch kann das Risiko staatlicher Zugriffe in Drittländern nicht vollständig ausgeschlossen werden.

(Hinweis: Sofern Webflow EU-Rechenzentren/-CDNs nutzt, bleibt die Rolle als Auftragsverarbeiter und das SCC-Absicherungsniveau für etwaige US-Bezüge bestehen.)

5. Verarbeitung im Rahmen der Taxi-Bestellung & Vertragserfüllung

Zweck: Vermittlung/Durchführung von Fahrten (online, App, telefonisch), Abrechnung, Kundenservice.
Daten: Name, Telefonnummer, Abhol-/Zieladresse, Buchungsdetails (Datum/Uhrzeit), ggf. Zahlungsdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Anbahnung).
Empfänger: Taxilenker (Durchführung der Fahrt), Dispo/Zentrale, Zahlungsdienstleister.
Speicherdauer: Buchungs-/Rechnungsdaten 7 Jahre (UGB/BAO). Fahrtdaten werden nach Zweckerfüllung gelöscht, sofern keine Rechtsansprüche bestehen.

Kundenkarten-/Firmenservice: Stammdaten, Fahrtenhistorie, Abrechnungsdaten, Kundennummer.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Dauer der Geschäftsbeziehung zzgl. gesetzlicher Aufbewahrung (i. d. R. 7 Jahre).

6. Weitergabe an Taxi-Unternehmer und Fahrer (Auftragsverarbeitung)

Zur Durchführung der Fahrdienstleistungen übermitteln wir erforderliche Daten an die zuständigen Taxi-Unternehmer und deren Fahrer. Diese handeln – soweit sie nicht selbst Verantwortliche sind – als Auftragsverarbeiter und sind vertraglich gem. Art. 28 DSGVO gebunden (Zweckbindung, Vertraulichkeit, Sicherheit).

Eine sonstige Datenübermittlung erfolgt nur bei Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (lit. b), gesetzlicher Pflicht (lit. c) oder berechtigtem Interesse (lit. f).

7. Weitere Verarbeitungstätigkeiten (Überblick)

A. Hosting & Sicherheit (Webflow/CDN)
Zweck: Website-Bereitstellung, Stabilität, Abwehr von Angriffen.
Daten: IP, Zeitstempel, URL, Header/Browserinfos.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: ~7 Tage.

B. Cookies – technisch erforderlich (§ 165 Abs. 3 TKG 2021)
Zweck: Grundfunktionen (z. B. Session, Sprache, Consent-Speicher).
Rechtsgrundlage: nicht einwilligungsbedürftig.
Speicherdauer: Sitzungsende bis mehrere Monate (je nach Zweck).

C. Cookies – Analyse/Marketing (§ 165 Abs. 1 TKG 2021)
Zweck: Reichweitenmessung, Statistik, Personalisierung.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) via Consent-Banner.
Widerruf: jederzeit in den Cookie-Einstellungen.
Empfänger: je nach eingebundenem Tool (ggf. Drittlandtransfer mit SCC).

D. Kommunikation – Newsletter
Daten: E-Mail, Double-Opt-In, Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO iVm § 107 TKG 2021.
Widerruf: jederzeit per Abmeldelink.

E. Kommunikation – Kontaktformulare/E-Mail
Daten: Name, E-Mail, Nachricht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Anbahnung) oder lit. f (Anfragen).
Speicherdauer: Löschung nach Abschluss, sofern keine Aufbewahrungspflichten bestehen.

F. Callbot/Telefonvermittlung
Daten: Telefonnummer, Sprach-/Steuerdaten zur Anrufvermittlung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f (Erreichbarkeit/Service).
Speicherdauer: nur temporär zur Befehlsumsetzung.

G. Eingebettete Dienste/Drittanbieter (z. B. iFrames)
Bei Nutzung eingebetteter Widgets (z. B. Online-Buchung) können direkte Verbindungen zu Drittanbietern entstehen. Dabei gelten deren Datenschutzhinweise; Rechtsgrundlage ist Art. 6 Abs. 1 lit. b (wenn für Buchung nötig) oder Art. 6 Abs. 1 lit. a (bei nicht notwendigen Inhalten/Cookies).

8. Spezielle Anbieterhinweise

Facebook/Meta-Dienste
Verarbeitung nur nach Einwilligung (Art. 6 Abs. 1 lit. a). Daten: IP, Cookie-IDs, Geräte-/Nutzungsdaten, Interaktionen. Empfänger: Meta Platforms, Inc. (USA); SCC für Drittlandtransfer. Widerruf jederzeit in den Cookie-Einstellungen. Profiling/automatisierte Entscheidungen zu Werbezwecken können erfolgen.

Google Tag Manager (GTM)
Der GTM setzt selbst keine Cookies, steuert aber Tags (Analyse/Marketing).
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a iVm § 165 Abs. 1 TKG) für aktivierte nicht notwendige Tags.
Empfänger: Google LLC (USA); SCC. Speicherdauer richtet sich nach den jeweils eingebundenen Diensten.

Bunny (CDN)
Zweck: Auslieferung/Performance/Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Daten: (verkürzte) IP, Zeitstempel, Browsertechnik, Statuscodes, Länderzuordnung, Dateiabrufe.
Empfänger: bunny.net d.o.o., Slowenien (EU).
Speicherdauer: Logs i. d. R. bis 7 Tage.

DPO Cookie Management (Consent-Tool)
Zweck: Einholen/Verwalten von Einwilligungen für Cookies/Tags.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f (Nachweis der Einwilligungen) und Art. 6 Abs. 1 lit. c (Compliance-Nachweis).
Daten: Einwilligungsstatus, Zeitstempel, ggf. gekürzte IP/ID.
Speicherdauer: bis zu 12 Monate (oder gesetzlicher Nachweisfristen).

gstatic (Google CDN)
Zweck: Auslieferung statischer Ressourcen (Schriften, JS), Sicherheit.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f.
Empfänger: Google LLC (USA); SCC.
Speicherdauer: abhängig vom jeweiligen Cookie/Cache-Mechanismus.

9. Cookies & Einwilligungsmanagement

  • Technisch notwendige Cookies setzen wir ohne Einwilligung (§ 165 Abs. 3 TKG).
  • Analyse/Marketing-Cookies setzen wir nur nach Einwilligung (§ 165 Abs. 1 TKG iVm Art. 6 Abs. 1 lit. a DSGVO).
  • Einwilligungen können jederzeit widerrufen werden (Cookie-Einstellungen im Seitenfuß/Consent-Banner).
  • Browser-Einstellungen ermöglichen das Löschen/Blockieren von Cookies (Funktionsbeeinträchtigung möglich).

10. Besuch unserer Website (Server-Logs)

Beim Aufruf der Website verarbeitet der Webflow-/CDN-Server automatisiert: IP-Adresse, Datum/Uhrzeit, URL/Dateiname, Referrer-URL, Browser/OS/Provider.
Zweck: Verbindungsaufbau, Systemsicherheit, Missbrauchsprävention, Statistik.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: i. d. R. 7 Tage.

11. Datenübermittlungen in Drittländer

Kommt es im Rahmen von Hosting, eingebetteten Diensten oder Analyse/Marketing-Tools zur Übermittlung in Drittländer (insb. USA), erfolgt dies auf Basis der Standardvertragsklauseln (Art. 46 DSGVO) und – soweit erforderlich – weiterer Schutzmaßnahmen (Pseudonymisierung, Verschlüsselung, Need-to-know). Ein Restrisiko staatlicher Zugriffe kann nicht vollständig ausgeschlossen werden.

12. Speicherdauern (Auszug)

  • Logs (Hosting/Sicherheit): ca. 7 Tage.
  • Einwilligungsdaten/Cookies: bis Widerruf bzw. gem. Tool-Spezifikation (idR bis 12 Monate).
  • Kontaktanfragen: Löschung nach finaler Bearbeitung, sofern keine Pflichten entgegenstehen.
  • Buchungs-/Abrechnungsunterlagen: 7 Jahre (UGB/BAO).
  • Fahrtdaten (GPS u. ä.): Löschung nach Zweckerfüllung, sofern keine Ansprüche bestehen.

13. Rechte der Betroffenen

Sie haben Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) sowie Widerspruch (Art. 21 DSGVO).
Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3).
Beschwerden richten Sie an die Österreichische Datenschutzbehörde (DSB).

14. Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

  • Transportverschlüsselung (TLS/SSL), HSTS, aktuelle Cipher-Suites.
  • Zugangskontrolle & Authentisierung (MFA, Rollen, least privilege).
  • Firewalls/Intrusion-Prevention, Monitoring, Rate-Limiting.
  • Backups/Desaster-Recovery, Protokollierung, regelmäßige Pen-Tests.
  • AV-Verträge mit allen Auftragsverarbeitern, Sub-Prozessor-Kontrolle.
  • Schulungen/Policies, Vertraulichkeitsverpflichtungen, Incident-Response-Prozesse.
  • Pseudonymisierung/Anonymisierung wo möglich.

15. Aktualisierung der Datenschutzerklärung

Wir aktualisieren diese Erklärung bei Bedarf (z. B. nach Tool-Änderungen). Wesentliche Änderungen veröffentlichen wir auf der Website und informieren, sofern erforderlich, aktiv.