DSGVO Art. 13 / 14

Datenschutzerklärung.

Schutz personenbezogener Daten ist uns wichtig. Diese Erklärung beschreibt, welche Daten wir verarbeiten, warum, wie lange — und welche Rechte du hast.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

Name: Ing. Thomas Basting (Smartmacherei)
Anschrift: Gnadlingerweg 11, 4650 Edt bei Lambach, Österreich
E-Mail: thobasting@gmail.com
Telefon: +43 677 642 654 41

Ein Datenschutzbeauftragter ist gesetzlich nicht erforderlich (Art. 37 DSGVO; keine Kerntätigkeit der umfangreichen Verarbeitung besonderer Datenkategorien).

2. Verarbeitungen im Überblick

Verarbeitung	Zweck	Rechtsgrundlage	Speicherdauer
Server-Logfiles	Betrieb & Sicherheit der Website	Art. 6 (1) f DSGVO (berechtigtes Interesse)	14 Tage, dann automatische Löschung
Anfrage-Formular	Bearbeitung deiner Anfrage	Art. 6 (1) b DSGVO (vorvertragliche Maßnahme)	bis Geschäftsabschluss + 7 Jahre (§ 132 BAO)
Bauplan-Upload	Automatische Raumerkennung zur Angebotsvorbereitung	Art. 6 (1) b DSGVO (vorvertraglich)	24 Stunden, dann automatisierte Löschung
Konfigurator (lokal im Browser)	Speicherung deiner Auswahl im Browser, damit Du nicht von vorne anfangen musst	Art. 6 (1) f DSGVO (berechtigtes Interesse) bzw. § 165 Abs 3 TKG (technisch erforderlich)	bis Du den Browser-Storage leerst
Reichweitenmessung (cookielos, eigener Server)	Aggregierte Statistik: Pageviews, Verweildauer, Quellen, Geräteklasse	Art. 6 (1) f DSGVO (berechtigtes Interesse) — abschaltbar im Cookie-Banner	365 Tage rolling, dann aggregiert
Werbe-Attribution (UTM-Parameter)	Zuordnung einer Anfrage zur ursprünglichen Werbe-Kampagne	Art. 6 (1) f DSGVO (berechtigtes Interesse an Erfolgsmessung der Werbung)	30 Tage im Browser (`sm-attr`), dann automatisch verworfen
Marketing-Pixel (Google Ads, Meta Pixel)	Conversion-Reporting, Remarketing, Anzeigenoptimierung	Art. 6 (1) a DSGVO (Einwilligung via Cookie-Banner) — opt-in, ohne Zustimmung kein Laden	siehe Cookie-Erklärung Abschnitt 6 (90 Tage – 2 Jahre)

3. Anfrage-Formular

Wenn Du das Anfrage-Formular nutzt, verarbeiten wir folgende Daten:

Pflicht: Name, E-Mail-Adresse, Nachricht.
Optional: Telefonnummer, Projekttyp (Altbau/Neubau/Gewerbe), Betreff.
Technisch erfasst: Zeitpunkt des Absendens, User-Agent (Browser-Kennung).

Diese Daten werden ausschließlich zur Beantwortung deiner Anfrage verwendet und in einer lokalen SQLite-Datenbank auf unserem eigenen Server gespeichert. Eine Weitergabe an Dritte findet nicht statt.

Sofern Du eine Nachricht über das Formular schickst, senden wir dir eine Bestätigung an deine E-Mail-Adresse und benachrichtigen den Inhaber. Wenn der Mailversand nicht konfiguriert oder gestört ist, bleibt deine Anfrage in der Datenbank gespeichert und wir kontaktieren dich auf anderem Weg (z. B. telefonisch, sofern angegeben).

4. Bauplan-Upload (Floorplan-Detection)

Der Konfigurator bietet die Möglichkeit, einen Bauplan (PDF oder PNG) hochzuladen. Aus diesem Plan ermittelt unser Floorplan-Worker automatisch die Räume, damit der Konfigurator pro Raum sinnvolle Smart-Home-Komponenten vorschlagen kann.

Wie wir mit deinem Plan umgehen:

Der Plan wird auf unserem eigenen Server unter einem zufällig generierten Token gespeichert (kein User-Account nötig).
Die Speicherung ist auf 24 Stunden begrenzt. Danach löscht ein automatischer Cron-Job die Session unwiderruflich.
Wenn Du eine Anfrage sendest und der Plan zu diesem Zeitpunkt noch existiert, hängen wir ihn an die Anfrage-Mail an und löschen die Worker-Session sofort danach.
Die Datenbank speichert nur den Token und die Anzahl erkannter Räume — nicht die Geometrie und nicht den Plan selbst.
Es findet keine automatisierte Entscheidung mit Rechtswirkung statt (Art. 22 DSGVO). Die Raumerkennung dient der Angebotsvorbereitung, nicht der Entscheidung über deinen Auftrag.

Wichtig — deine Zusicherung: Mit dem Hochladen bestätigst Du, dass Du zum Übermitteln des Plans berechtigt bist (Urheberrecht des Architekten, Eigentumsverhältnisse, Persönlichkeitsrechte etwaiger Mitbewohner). Falls Du dir unsicher bist, schick uns den Plan stattdessen per E-Mail nach individueller Rücksprache.

5. Konfigurator und lokale Browser-Speicherung

Der Konfigurator läuft vollständig in deinem Browser und nutzt localStorage bzw. sessionStorage, um deinen Fortschritt zwischen Seiten-Reloads zu erhalten. Konkret werden folgende Schlüssel gesetzt:

sm-path — gewählter Beratungspfad (Altbau/Neubau/Gewerbe).
sm-floorplan-token — Token deiner Bauplan-Upload-Session (sofern Du einen Plan hochgeladen hast).
sm-kfg-summary, sm-kfg-path — Zusammenfassung deiner Konfigurator-Auswahl, falls Du auf "Termin vereinbaren" geklickt hast.

Diese Daten verlassen deinen Browser nicht — außer Du sendest sie aktiv über das Anfrage-Formular. Sie werden gelöscht, sobald Du den Browser-Storage leerst (siehe Cookie- und Storage-Hinweise).

6. Reichweitenmessung (eigener Server, cookielos)

Wir betreiben eine eigene Reichweitenmessung auf unserem Server in Österreich. Sie verwendet keine Cookies und keine Drittanbieter und ist standardmäßig aktiv (im Cookie-Banner abschaltbar). Erhoben werden:

aufgerufene Seite, Zeitstempel, Verweildauer (Heartbeat-Pings alle 15 s)
Referrer (woher Du gekommen bist) und UTM-Parameter aus dem URL
Geräteklasse (Desktop / Tablet / Mobile, abgeleitet aus User-Agent)
Tages-Hash der IP-Adresse (Salt rotiert täglich → keine Wiedererkennung über Tage)

Eine Wiedererkennung über mehrere Tage oder Geräte hinweg findet nicht statt. Es werden keine echten IP-Adressen gespeichert. Die Daten verlassen unsere Domain nicht.

Rechtsgrundlage: Art. 6 (1) f DSGVO (berechtigtes Interesse an aggregierter Reichweitenmessung). Speicherdauer: Einzelevents 365 Tage, danach Aggregation auf Tages-Statistiken und Löschung der Roh-Events. Widerspruchsrecht: Cookie-Banner → „Reichweitenmessung" deaktivieren.

Browser, die DNT: 1 (Do-Not-Track) senden, werden ohne weitere Aktion ausgeschlossen.

7. Werbe-Erfolgsmessung (Google Ads & Meta Pixel)

Sobald wir Werbe-Kampagnen schalten, sind wir wirtschaftlich darauf angewiesen zu wissen, welche Anzeige Anfragen erzeugt. Dafür binden wir nach erteilter Zustimmung folgende Drittanbieter-Pixel ein:

Google Ads Conversion-Tracking (Google Ireland Ltd, Dublin)
Meta Pixel für Facebook/Instagram (Meta Platforms Ireland Ltd, Dublin)

Vor Einwilligung wird kein Skript geladen, kein Cookie gesetzt und keine Verbindung zu Google oder Meta aufgebaut. Die Liste aller dabei gesetzten Cookies, Speicherdauern und Drittland-Hinweise findest Du in der Cookie-Erklärung, Abschnitt 6.

Rechtsgrundlage: Art. 6 (1) a DSGVO (Einwilligung, jederzeit über Footer → „Cookie-Einstellungen" widerrufbar mit Wirkung für die Zukunft) sowie § 165 Abs 3 TKG 2021. Drittlandsübermittlung: USA (Google LLC, Meta Platforms Inc.) auf Basis der Standardvertragsklauseln und EU-US Data Privacy Framework. Mit Meta besteht für die Pixel-Datenerhebung eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO.

Was Conversion-Tracking konkret bedeutet: Wenn Du nach Klick auf eine Anzeige eine Anfrage absendest, übermitteln wir an die aktivierten Pixel ein „Lead"-Ereignis (kein Inhalt der Nachricht, kein Name, kein Bauplan — nur die Tatsache, dass eine Conversion stattgefunden hat).

8. Server-Logfiles

Beim Aufruf der Website werden technische Daten in Logfiles erfasst, soweit es für den Betrieb erforderlich ist:

IP-Adresse (gekürzt bei längerer Aufbewahrung)
Datum und Uhrzeit des Zugriffs
Aufgerufene URL und HTTP-Statuscode
User-Agent (Browser, Betriebssystem)
Referrer (von welcher Seite Du gekommen bist)

Rechtsgrundlage ist Art. 6 (1) f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb). Die Logs werden spätestens nach 14 Tagen automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

7. Hosting

Diese Website wird selbst gehostet auf einem privaten Server am Standort Österreich. Es kommen keine externen Cloud-Hoster, keine Content-Delivery-Networks für die eigentlichen Inhalte und keine Tracking-Dienstleister zum Einsatz. Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) ist daher nicht erforderlich, da Verantwortlicher und Verarbeiter identisch sind.

8. Eingebundene externe Ressourcen

Wir verwenden derzeit folgende externe Ressourcen, die beim Aufruf der Website von Drittanbietern geladen werden:

Google Fonts (fonts.googleapis.com / fonts.gstatic.com, Google Ireland Ltd) — für die einheitliche Typografie. Beim Laden wird deine IP-Adresse an Google übertragen. Rechtsgrundlage Art. 6 (1) f DSGVO (berechtigtes Interesse an konsistenter Darstellung). Eine Drittlandsübermittlung in die USA kann nicht ausgeschlossen werden.
unpkg.com (CDN für React und Babel-Standalone) — beim ersten Laden wird die JavaScript-Laufzeit von einer öffentlichen CDN bezogen. Rechtsgrundlage Art. 6 (1) f DSGVO.

Wir prüfen aktuell die Migration auf lokal gehostete Schriften und Skripte, um diese Drittanbieter-Verbindungen vollständig zu vermeiden.

9. Empfänger der Daten

Personenbezogene Daten werden nicht an Dritte weitergegeben, mit folgenden Ausnahmen:

E-Mail-Versand: Bestätigungs- und Benachrichtigungs-Mails werden über den Mailserver des Domain-Hosters versendet ([konkreter Anbieter wird ergänzt, sobald die Domain eingerichtet ist]). Mit diesem Anbieter besteht ab Inbetriebnahme ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Behörden: Bei rechtlicher Verpflichtung (z. B. Steuerprüfung gemäß § 132 BAO).

10. Drittlandsübermittlung

Eine Übermittlung in Drittländer außerhalb des EWR findet nur im Rahmen der oben genannten externen Ressourcen statt (Google Fonts, unpkg / Cloudflare). Sobald wir auf lokale Schriften und Skripte migriert haben, finden keine Drittlandsübermittlungen mehr statt.

11. Deine Rechte

Nach DSGVO stehen dir folgende Rechte zu:

Auskunft über die zu deiner Person gespeicherten Daten (Art. 15)
Berichtigung unrichtiger Daten (Art. 16)
Löschung ("Recht auf Vergessenwerden", Art. 17)
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit in einem strukturierten Format (Art. 20)
Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21)
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs 3)

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an thobasting@gmail.com.

12. Beschwerderecht

Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren. In Österreich ist das die Datenschutzbehörde:

Anschrift: Barichgasse 40-42, 1030 Wien
Web: www.dsb.gv.at
E-Mail: dsb@dsb.gv.at

13. Keine automatisierte Entscheidungsfindung

Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Die im Konfigurator gezeigten Empfehlungen und die automatische Raumerkennung aus Bauplänen sind unverbindliche Vorschläge zur Vorbereitung eines persönlichen Beratungsgesprächs.

14. Sicherheit

Die Verbindung zu dieser Website ist (sobald die Domain umgestellt ist) per TLS verschlüsselt.
Bauplan-Sessions liegen in einem zugriffsbeschränkten Verzeichnis und werden nach 24 Stunden automatisch gelöscht.
Der Floorplan-Worker läuft sandboxed (systemd ProtectSystem=strict, beschränkte Schreibrechte, Speicher-Limit).

15. Aktualität und Änderungen

Diese Datenschutzerklärung gilt in der jeweils aktuellen Fassung. Durch die Weiterentwicklung der Website oder geänderte gesetzliche Vorgaben kann eine Anpassung erforderlich werden — die jeweils gültige Fassung findest Du immer hier.

Stand: [Datum der Veröffentlichung wird beim Live-Gang gesetzt]