Wir legen großen Wert auf den Schutz Ihrer Daten. Um Sie in vollem Umfang über die Verwendung personenbezogener Daten zu informieren, bitten wir Sie die folgenden Datenschutzhinweise zur Kenntnis zu nehmen.

Datenschutzerklärung

der Hofer Hausgerätetechnik KG

Stand: Mai 2026 Version: 3.1 Geltungsbereich: sämtliche Online- und Offline-Verarbeitungen personenbezogener Daten durch die Hofer Hausgerätetechnik KG, einschließlich, jedoch nicht abschließend, der Datenverarbeitungsvorgänge im Rahmen der Bereitstellung der Website www.hgt-kundendienst.at, des dort eingebundenen KI-gestützten Chat-Systems, des WhatsApp-Kommunikationskanals, der E-Mail-Kommunikation, der telefonischen Geschäftsanbahnung sowie sämtlicher hieraus resultierender Folge- und Begleitverarbeitungen.

Präambel

Der verantwortungsvolle und rechtskonforme Umgang mit personenbezogenen Daten unserer Kundinnen und Kunden, unserer Geschäftspartnerinnen und Geschäftspartner sowie sonstiger mit unserem Unternehmen in Kontakt tretender natürlicher Personen stellt ein zentrales Anliegen der Hofer Hausgerätetechnik KG dar und ist – wie nachfolgend im Einzelnen darzulegen sein wird – integraler Bestandteil unseres unternehmerischen Selbstverständnisses.

Vor dem Hintergrund der mit der Datenschutz-Grundverordnung einhergehenden weitreichenden Informationspflichten der verantwortlichen Stelle gegenüber der betroffenen Person sowie unter Berücksichtigung des Umstandes, dass die Verarbeitung personenbezogener Daten heutzutage in nahezu allen Lebensbereichen eine Rolle spielt – ungeachtet, ob es sich um die analoge Auftragsannahme über das Festnetztelefon, die Übermittlung von Reparaturanfragen via WhatsApp oder die Erstqualifizierung von Kundenanliegen mittels eines KI-gestützten Chat-Assistenten handelt – sehen wir uns veranlasst, mit der vorliegenden Datenschutzerklärung umfassend und vollständig über sämtliche relevanten Verarbeitungsvorgänge, deren Rechtsgrundlagen, Empfänger, Speicherdauern sowie die der betroffenen Person zustehenden Rechte zu informieren.

Die nachfolgenden Ausführungen verstehen sich als integrale Gesamtschau und sind im Lichte der einschlägigen unionsrechtlichen, nationalen und sektorspezifischen Bestimmungen, der ständigen Spruchpraxis des Europäischen Gerichtshofes (EuGH), der österreichischen Datenschutzbehörde (DSB) sowie der Leitlinien des Europäischen Datenschutzausschusses (EDSA) auszulegen.

Unbeschadet der nachstehend im Einzelnen dargestellten Verarbeitungsvorgänge weisen wir der Vollständigkeit und Transparenz halber bereits an dieser Stelle ausdrücklich darauf hin, dass die Bereitstellung personenbezogener Daten durch die betroffene Person grundsätzlich auf freiwilliger Basis erfolgt, soweit nicht aus dem jeweiligen Kontext oder ausdrücklicher Kennzeichnung ersichtlich ist, dass eine Pflicht zur Bereitstellung besteht oder eine Datenverarbeitung zur Vertragsanbahnung bzw. Vertragsdurchführung im Sinne des Artikels 6 Absatz 1 Buchstabe b DSGVO unerlässlich ist.

Inhaltsverzeichnis

Verantwortlicher und Kontaktdaten

Grundlegende Begriffsbestimmungen und Definitionen

Allgemeine Grundsätze unserer Datenverarbeitung

Rechtsgrundlagen der Verarbeitung im Einzelnen

Zwecke der Verarbeitung in detaillierter Aufschlüsselung

Kategorien der verarbeiteten personenbezogenen Daten

KI-gestütztes Chat-System – ausführliche Darstellung

WhatsApp-Kommunikationskanal

E-Mail-Korrespondenz

Foto- und Bildupload

Bot-Schutz und Sicherheitsmaßnahmen

Empfänger und Kategorien von Empfängern

Datenübermittlung in Drittländer

Speicherdauer und Löschkonzept

Rechte der betroffenen Person

Beschwerderecht bei einer Aufsichtsbehörde

Automatisierte Entscheidungsfindung einschließlich Profiling

Datensicherheit und technisch-organisatorische Maßnahmen

Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO

Bekanntgabe von Datenschutzverletzungen

Aktualität und Änderungen dieser Erklärung

Schlussbestimmungen

Anhang A – Glossar

Anhang B – Verzeichnis der Auftragsverarbeiter

Anhang C – Rechtsgrundlagen im Wortlaut

1. Verantwortlicher und Kontaktdaten

Verantwortlicher im Sinne des Artikels 4 Nummer 7 DSGVO – mithin diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet – ist:

Hofer Hausgerätetechnik KG eingetragen im Firmenbuch des Landesgerichtes Innsbruck unter FN 277844 w Pontlatzerstraße 32 6020 Innsbruck Republik Österreich

Telefon: +43 (0) 512 / 560 980 Telefax: auf Anfrage E-Mail: info@hgt-kundendienst.at Internetadresse: www.hgt-kundendienst.at

(im Folgenden auch „wir", „uns", „das Unternehmen", „HGT" oder „der Verantwortliche" genannt)

Die Hofer Hausgerätetechnik KG hat in Anbetracht der Art, des Umfangs, der Umstände und der Zwecke der von ihr durchgeführten Datenverarbeitungen sowie unter Berücksichtigung der in Artikel 37 Absatz 1 DSGVO normierten Voraussetzungen die Bestellung eines Datenschutzbeauftragten geprüft. Eine Verpflichtung zur Bestellung im Sinne der vorgenannten Bestimmung besteht derzeit nicht. Gleichwohl steht für sämtliche datenschutzrechtlichen Anliegen die unter Punkt 1 angeführte Geschäftsleitung als zentraler Ansprechpartner zur Verfügung.

Sollten Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, eines Ihrer in Punkt 15 dieser Erklärung näher dargestellten Rechte ausüben wollen oder eine erteilte Einwilligung widerrufen wollen, erreichen Sie uns zu den üblichen Geschäftszeiten – Montag bis Donnerstag von 08:00 bis 16:30 Uhr (telefonisch bis 14:30 Uhr) sowie Freitag von 08:00 bis 12:00 Uhr – unter den vorstehend genannten Kontaktdaten. Außerhalb dieser Zeiten steht Ihnen unser KI-gestütztes Chat-System (vergleiche Punkt 7) sowie unser WhatsApp-Kanal (vergleiche Punkt 8) zur Verfügung, wobei eine substanzielle Bearbeitung naturgemäß erst zu den Geschäftszeiten erfolgen kann.

2. Grundlegende Begriffsbestimmungen und Definitionen

Der nachfolgende Text bedient sich der in Artikel 4 DSGVO normierten Legaldefinitionen. Zur Erleichterung des Verständnisses und zur Vermeidung von Auslegungsschwierigkeiten werden die für das Verständnis dieser Erklärung wesentlichen Begriffe an dieser Stelle einleitend kurz dargestellt; eine umfassendere Begriffssystematik findet sich im Glossar (Anhang A).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann.

Verarbeitung bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten – mithin und ohne Anspruch auf abschließende Aufzählung das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Betroffene Person ist im Sinne dieser Datenschutzerklärung jede natürliche Person, deren personenbezogene Daten von uns verarbeitet werden – mithin in der weit überwiegenden Zahl der Fälle Sie als unsere geschätzte Kundin bzw. unser geschätzter Kunde, als Interessent an unseren Dienstleistungen oder als sonstiger Korrespondenzpartner.

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, ohne dabei eigene Zwecke zu verfolgen.

Drittland bezeichnet jeden Staat außerhalb des Europäischen Wirtschaftsraumes (EWR), wobei der EWR die 27 Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen umfasst.

3. Allgemeine Grundsätze unserer Datenverarbeitung

Wir bekennen uns ausdrücklich und vorbehaltlos zu den in Artikel 5 DSGVO normierten Grundsätzen für die Verarbeitung personenbezogener Daten. Demgemäß und entsprechend der vorgenannten Bestimmung gewährleisten wir, dass personenbezogene Daten ausschließlich:

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz");

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung");

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind („Datenminimierung");

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand gehalten werden („Richtigkeit");

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung");

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit").

Wir – als Verantwortlicher – sind für die Einhaltung dieser Grundsätze verantwortlich und müssen deren Einhaltung nachweisen können („Rechenschaftspflicht", Artikel 5 Absatz 2 DSGVO).

4. Rechtsgrundlagen der Verarbeitung im Einzelnen

Die Verarbeitung personenbezogener Daten ist gemäß Artikel 6 Absatz 1 DSGVO nur dann rechtmäßig, wenn mindestens eine der dort abschließend aufgezählten Voraussetzungen erfüllt ist. Im Rahmen unserer Geschäftstätigkeit stützen wir Verarbeitungen typischerweise auf eine der nachfolgenden Rechtsgrundlagen:

Soweit die betroffene Person eine Einwilligung zur Verarbeitung personenbezogener Daten für einen oder mehrere bestimmte Zwecke gegeben hat, ist diese Einwilligung Rechtsgrundlage der Verarbeitung. Die Einwilligung ist freiwillig, informiert und unzweideutig zu erteilen und kann jederzeit mit Wirkung für die Zukunft (ex nunc) widerrufen werden, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Auf die Möglichkeit des Widerrufs werden Sie bereits zum Zeitpunkt der Einwilligungserteilung hingewiesen.

Die ganz überwiegende Zahl der von uns vorgenommenen Verarbeitungen stützt sich auf diese Rechtsgrundlage: Wenn Sie uns einen Reparaturauftrag erteilen, wir Ihr Gerät begutachten, einen Kostenvoranschlag erstellen, einen Termin vereinbaren oder eine Rechnung ausstellen – stets ist die Verarbeitung Ihrer Kontakt-, Adress-, Geräte- und Zahlungsdaten zur Erfüllung des zwischen uns bestehenden Vertrages bzw. zur Anbahnung eines solchen Vertrages erforderlich.

Wir unterliegen einer Vielzahl gesetzlicher Aufbewahrungs-, Auskunfts- und Meldepflichten, insbesondere nach der Bundesabgabenordnung (BAO), dem Unternehmensgesetzbuch (UGB), dem Umsatzsteuergesetz (UStG) sowie den einschlägigen sozialversicherungsrechtlichen Bestimmungen. Soweit eine Datenverarbeitung zur Erfüllung dieser Verpflichtungen erforderlich ist, ist die genannte Bestimmung Rechtsgrundlage.

Diese Rechtsgrundlage spielt im Rahmen unserer Geschäftstätigkeit keine praktische Rolle und wird der Vollständigkeit halber lediglich erwähnt.

Auch diese Rechtsgrundlage ist für unsere Tätigkeit nicht einschlägig.

Soweit eine Verarbeitung zur Wahrung der berechtigten Interessen unseres Unternehmens oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, ist die genannte Bestimmung Rechtsgrundlage. Wir nehmen in diesen Fällen stets eine sorgfältige Interessenabwägung vor und dokumentieren diese. Typische Anwendungsfälle sind die IT-Sicherheit, der Schutz vor Missbrauch unserer Webdienste sowie die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5. Zwecke der Verarbeitung in detaillierter Aufschlüsselung

Die Verarbeitung personenbezogener Daten erfolgt durch unser Unternehmen ausschließlich zu festgelegten, eindeutigen und legitimen Zwecken. Im Einzelnen verfolgen wir – ohne Anspruch auf abschließende Aufzählung, jedoch in der ganz überwiegenden Zahl der Fälle ausreichend – die nachstehend dargestellten Zwecke:

Die Aufnahme von Reparatur- und Serviceanfragen, die Klärung des Geräte- und Fehlerbildes, die Übermittlung von Erstinformationen über voraussichtliche Kosten, Termine und Reparaturoptionen sowie die organisatorische Vorbereitung eines Vor-Ort-Einsatzes durch unseren Außendienst.

Die durchgehende administrative und technische Begleitung des Reparatur- bzw. Serviceauftrages von der Annahme bis zur Übergabe des reparierten Gerätes, einschließlich, jedoch nicht abschließend, der Terminkoordination, der Dokumentation der durchgeführten Arbeiten, der Erstellung von Kostenvoranschlägen, Lieferscheinen und Rechnungen sowie der Bearbeitung etwaiger Garantie- und Gewährleistungsansprüche.

Die ordnungsgemäße Führung unserer Geschäftsbücher, die Erstellung von Bilanzen und Steuererklärungen, die Aufbewahrung von Belegen und Geschäftsunterlagen entsprechend den einschlägigen Vorschriften der Bundesabgabenordnung sowie des Unternehmensgesetzbuches.

Die Bearbeitung allgemeiner Anfragen, die Versendung von Auftragsbestätigungen, Terminerinnerungen und Rückrufankündigungen, die Beantwortung von Reklamationen sowie die kontinuierliche Verbesserung der Servicequalität.

Der Schutz unserer IT-Systeme und Webdienste vor automatisierten Angriffen, Spam, Bot-Verkehr und sonstigen Bedrohungen der Verfügbarkeit, Integrität und Vertraulichkeit unserer Daten und Systeme.

Die Wahrung, Durchsetzung und Verteidigung sämtlicher zivil-, handels- und steuerrechtlicher Ansprüche, die aus der Geschäftsbeziehung zwischen uns und Ihnen resultieren oder hierfür von Bedeutung sein können.

6. Kategorien der verarbeiteten personenbezogenen Daten

Im Rahmen der vorstehend dargestellten Zwecke verarbeiten wir – in Abhängigkeit vom konkreten Einzelfall und dem jeweiligen Kommunikationskanal – die nachfolgend aufgeführten Kategorien personenbezogener Daten:

6.1 Kontakt- und Adressdaten: Vor- und Zuname, Anrede, akademische Titel, postalische Anschrift, Telefonnummer (Festnetz/Mobil/WhatsApp), E-Mail-Adresse, gegebenenfalls Firmenbezeichnung und Funktion innerhalb eines Unternehmens.

6.2 Auftrags- und Gerätedaten: Marke und Hersteller des betreffenden Haushaltsgerätes, Modellbezeichnung, Seriennummer, Typenschilddaten, Anschaffungsdatum (sofern bekannt), Garantiestatus, vom Kunden geschilderte Symptome und Fehlerbilder, Standort des Gerätes innerhalb der Liegenschaft, vereinbarte Reparaturmaßnahmen, eingebaute Ersatzteile, Arbeitszeit der Techniker.

6.3 Bilddaten: Von Ihnen freiwillig übermittelte fotografische Aufnahmen, insbesondere solche von Typenschildern, beschädigten Bauteilen, eingebauten Geräten in ihrer Einbausituation oder sonstigen für die Reparaturvorbereitung relevanten Aufnahmen.

6.4 Kommunikationsdaten: Inhalt und Zeitpunkt sämtlicher Nachrichten, die Sie über unseren KI-Chat, WhatsApp oder per E-Mail an uns übermitteln, einschließlich der von der KI vorgenommenen automatischen Übersetzung in die deutsche Sprache, gewünschte Rückrufzeiten, Rückmeldungen zu Terminvorschlägen.

6.5 Zahlungs- und Rechnungsdaten: Bei Bargeschäften die ausgestellte Quittungsnummer, bei bargeldlosen Zahlungen die für die Verbuchung erforderlichen Bank- und Zahlungsdaten (etwa IBAN bei SEPA-Lastschriften oder Überweisungen), bei Kreditkartenzahlungen ausschließlich die zur Verbuchung notwendigen, nicht jedoch die vollständigen Karteninformationen.

6.6 Technische Daten: IP-Adresse zum Zeitpunkt des Zugriffs (gekürzt und nach 30 Tagen gelöscht), Browser- und Betriebssystemkennung (User Agent), Zeitstempel des Zugriffs, aufgerufene Seiten und Funktionen.

6.7 Sitzungsdaten des KI-Chats: Eindeutige Sitzungs-Identifikatoren, Zeitstempel der einzelnen Nachrichten, Statusinformationen zum Bearbeitungsfortschritt der Anfrage, vom System erkannte Sprache, vom System vergebene interne Aktenreferenznummer (im Format ATR-JJJJ-NNNNN).

7. KI-gestütztes Chat-System – ausführliche Darstellung

Die Hofer Hausgerätetechnik KG bietet auf ihrer Website sowie über den WhatsApp-Kanal ein KI-gestütztes Chat-System an, mittels dessen Reparatur-, Service- und allgemeine Anfragen rund um die Uhr aufgenommen, vorqualifiziert und an den zuständigen Innendienst zur weiteren Bearbeitung übermittelt werden. Aufgrund der besonderen datenschutzrechtlichen Bedeutung dieses Systems – insbesondere im Hinblick auf den Einsatz von Auftragsverarbeitern in Drittländern – wird im Folgenden eine besonders ausführliche Darstellung der hiermit verbundenen Datenverarbeitungsvorgänge gegeben.

Das KI-Chat-System funktioniert wie folgt: Sie eröffnen den Chat über ein auf unserer Website eingebundenes Widget oder durch Versendung einer WhatsApp-Nachricht an unsere Geschäftsnummer. Zu Beginn der Konversation wird Ihnen ein Datenschutzhinweis angezeigt, dessen Bestätigung erforderlich ist, bevor das System Ihre Eingaben entgegennimmt. Nach Erteilung Ihrer Einwilligung können Sie Ihre Anfrage in natürlicher Sprache formulieren – das System unterstützt eine Vielzahl von Sprachen und übersetzt fremdsprachige Eingaben automatisch in die deutsche Sprache, um eine reibungslose Bearbeitung durch unseren deutschsprachigen Innendienst sicherzustellen.

Das System stellt sodann strukturierte Rückfragen, etwa zu Marke und Modell des betreffenden Gerätes, zur Art des aufgetretenen Fehlers, zu Ihrer Adresse, Ihrer Erreichbarkeit sowie Ihrem gewünschten Rückrufzeitpunkt. Sie haben die Möglichkeit, Fotos – etwa des Typenschildes oder des Schadens – hochzuladen, um die Vorbereitung der Reparatur zu erleichtern.

Sobald die Anfrage vollständig erfasst ist, wird sie in Form einer strukturierten E-Mail-Benachrichtigung an unseren Innendienst übermittelt, der die weitere Bearbeitung – insbesondere die finale Terminvereinbarung sowie die Erstellung eines Kostenvoranschlages – im Wege individueller, menschlicher Bearbeitung durch unsere Mitarbeiterinnen und Mitarbeiter vornimmt.

Für den technischen Betrieb des KI-Chat-Systems bedienen wir uns – wie bereits eingangs erwähnt und an dieser Stelle nochmals ausdrücklich klargestellt – mehrerer externer Auftragsverarbeiter, die jeweils streng auf den durch uns definierten Verarbeitungszweck beschränkte Tätigkeiten ausführen und die mit uns Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO abgeschlossen haben:

Zur Verarbeitung Ihrer in natürlicher Sprache formulierten Eingaben, zur automatischen Übersetzung sowie zur Generierung passender Rückfragen bedienen wir uns des durch die Anthropic, PBC, einer nach dem Recht des Bundesstaates Delaware (Vereinigte Staaten von Amerika) gegründeten Public Benefit Corporation mit Hauptsitz in San Francisco, Kalifornien, betriebenen Sprachmodells „Claude" (im konkreten Einsatz: Modellvariante claude-sonnet-4-6 bzw. claude-opus-4-7).

Die Verarbeitung erfolgt über die durch Anthropic bereitgestellte Programmierschnittstelle (Application Programming Interface – API). Im Rahmen dieser Verarbeitung wird der Inhalt Ihrer Nachricht – einschließlich aller darin enthaltenen personenbezogenen Daten – an die Server von Anthropic übermittelt, dort verarbeitet und mit einer entsprechenden Antwort an unser System zurückgesendet. Anthropic verarbeitet die Daten ausschließlich zur Erbringung der von uns beauftragten Leistung; eine Verwendung zu Trainingszwecken ist im Rahmen des kommerziellen API-Vertrages mit Anthropic ausgeschlossen.

Für den Empfang und Versand von WhatsApp-Nachrichten nutzen wir die WhatsApp Cloud API der Meta Platforms Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland, sowie deren US-amerikanische Muttergesellschaft Meta Platforms, Inc., 1 Hacker Way, Menlo Park, CA 94025, USA. Sämtliche über WhatsApp ausgetauschten Nachrichten – einschließlich, jedoch nicht ausschließlich, des Nachrichtentextes, der Telefonnummer der absendenden bzw. empfangenden Person, des Zeitstempels sowie etwaiger angehängter Medieninhalte (Fotos, Sprachnachrichten, Dokumente) – werden über die Server von Meta geleitet und sind dort gemäß den Datenschutzbestimmungen von Meta für eine begrenzte Dauer gespeichert.

Für den transaktionalen Versand von E-Mails – insbesondere der Benachrichtigungen unseres Innendienstes über neu eingegangene Chat-Anfragen sowie etwaiger Bestätigungs- und Statusmails an Sie – nutzen wir die Dienste der Sendinblue SAS (handelnd unter der Marke „Brevo"), 106 Boulevard Haussmann, 75008 Paris, Frankreich. Brevo verarbeitet hierzu die für den Mailversand erforderlichen Daten – Empfänger-E-Mail-Adresse, Absender-E-Mail-Adresse, Betreff und Inhalt der E-Mail – auf Servern innerhalb der Europäischen Union.

Zum Schutz unseres Chat-Widgets vor automatisierten Missbrauchsversuchen (etwa durch Bots, die unser System mit massenhaften Anfragen überlasten könnten) setzen wir den Dienst „Turnstile" der Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA, ein. Turnstile prüft ohne Belästigung der Nutzer durch klassische CAPTCHA-Aufgaben anhand technischer Signale (Browser-Eigenschaften, Verhaltensmuster, IP-Reputation), ob es sich beim Nutzer um einen Menschen oder einen automatisierten Bot handelt. Hierzu werden technische Daten an Cloudflare übermittelt; ein direkter Personenbezug entsteht hierbei nach Angaben von Cloudflare nicht.

Hinsichtlich der Speicherdauer der im Rahmen des KI-Chat-Systems verarbeiteten Daten gelten – unbeschadet etwaiger längerer Aufbewahrungspflichten für sich aus dem Chat ergebende Reparaturaufträge – die nachfolgenden, gegenüber den allgemeinen Speicherfristen verkürzten, betroffenenfreundlichen Fristen:

Sitzungsdaten und Chatverläufe werden für die Dauer von maximal sechs (6) Monaten ab dem Zeitpunkt der letzten Aktivität gespeichert und sodann automatisch und ohne weitere Benachrichtigung gelöscht. Diese Frist orientiert sich an dem realistischen Zeitfenster, innerhalb dessen Rückfragen oder Folgeanfragen zu einer ursprünglich gestellten Anfrage typischerweise auftreten.

Hochgeladene Fotos und sonstige Medieninhalte unterliegen derselben Frist von sechs Monaten und werden gemeinsam mit den zugehörigen Sitzungsdaten gelöscht.

Anonymisierte Wissensdatenbank: Aus abgeschlossenen Anfragen können – jedoch nur nach vollständiger Anonymisierung im Sinne der ständigen Spruchpraxis der österreichischen Datenschutzbehörde sowie der Leitlinien des Europäischen Datenschutzausschusses – allgemeine Informationen (etwa typische Fehlerbilder bestimmter Geräte, häufige Lösungen) in eine interne Wissensdatenbank übernommen werden. Diese Daten enthalten keinerlei Personenbezug mehr und unterliegen daher nicht den Bestimmungen der DSGVO; eine Speicherbegrenzung ist insoweit nicht vorgesehen.

Technische Server-Logs, die zur Sicherstellung des reibungslosen Betriebs sowie zur Abwehr von Cyberangriffen erforderlich sind, werden für die Dauer von dreißig (30) Tagen gespeichert und sodann automatisch gelöscht.

Daten zu konkreten Reparaturaufträgen, die aus einer Chat-Anfrage resultieren, unterliegen den allgemeinen Speicherfristen für Geschäftsunterlagen (sieben Jahre gemäß § 132 BAO und § 212 UGB).

Verlängerte Aufbewahrung im Einzelfall: Unbeschadet der vorstehenden Regelfristen behalten wir uns ausdrücklich vor, einzelne Chatverläufe, WhatsApp-Konversationen, E-Mail-Korrespondenzen sowie hochgeladene Bilddaten über die Regelfrist von sechs Monaten hinaus für eine Dauer von bis zu drei (3) Jahren aufzubewahren, sofern und soweit dies im konkreten Einzelfall zur Wahrung berechtigter Interessen unseres Unternehmens erforderlich ist. Ein solches berechtigtes Interesse besteht insbesondere – jedoch nicht ausschließlich – in den nachfolgend dargestellten Fallkonstellationen:

a) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen im Zusammenhang mit dem aus der Anfrage resultierenden oder hieraus angebahnten Geschäftsverhältnis, namentlich vor dem Hintergrund der allgemeinen zivilrechtlichen Verjährungsfristen gemäß § 1486 Z 1 ABGB (drei Jahre für Forderungen aus laufenden Lieferungen und Leistungen) sowie § 1489 Satz 1 ABGB (drei Jahre für Schadenersatzansprüche ab Kenntnis von Schaden und Schädiger);

b) zur Beweissicherung im Falle von Reklamationen, Mängelrügen oder Gewährleistungsansprüchen gemäß § 933 ABGB sowie etwaiger sich hieran anschließender Folgestreitigkeiten;

c) zur Dokumentation kundenseitig erteilter Aufträge, Freigaben oder Einwilligungen in Konstellationen, in denen der Inhalt oder Umfang einer durch den Kunden erteilten Anweisung später strittig werden könnte;

d) zur Abwehr unbegründeter Ansprüche Dritter sowie zur Erfüllung etwaiger Auskunftsersuchen von Behörden, Gerichten oder Versicherungen im Zusammenhang mit dem konkreten Geschäftsvorfall;

e) im Rahmen laufender oder absehbarer Streit-, Schiedsgerichts- oder Mediationsverfahren, soweit der jeweilige Datensatz hierfür von Beweisbedeutung ist oder sein kann.

Die Rechtsgrundlage einer derartigen verlängerten Aufbewahrung ist Artikel 6 Absatz 1 Buchstabe f DSGVO; das überwiegende berechtigte Interesse besteht in der Wahrung unserer rechtlichen Position sowie in der Erfüllung etwaiger Beweislasten im Streitfall. Die Entscheidung über eine derartige verlängerte Aufbewahrung treffen wir im Einzelfall unter sorgfältiger Abwägung der gegenläufigen Interessen der betroffenen Person; sie erfolgt nicht pauschal oder routinemäßig, sondern stets nur dann, wenn ein konkreter Anlass eine längere Aufbewahrung als objektiv erforderlich erscheinen lässt. Nach Wegfall des die Verlängerung rechtfertigenden Anlasses, spätestens jedoch nach Ablauf der vorgenannten Höchstfrist von drei Jahren, erfolgt die unverzügliche Löschung. Eine Information der betroffenen Person über die im Einzelfall vorgenommene verlängerte Speicherung erfolgt im Rahmen einer Auskunft gemäß Artikel 15 DSGVO auf entsprechendes Verlangen.

Wir weisen ausdrücklich und mit aller gebotenen Klarheit darauf hin, dass die Nutzung unseres KI-Chat-Systems auf rein freiwilliger Basis erfolgt. Sie sind in keiner Weise verpflichtet, sich dieses Systems zu bedienen, und es entstehen Ihnen keinerlei Nachteile, wenn Sie hiervon Abstand nehmen.

Als gleichwertige Alternativen stehen Ihnen jederzeit zur Verfügung:

die telefonische Auftragsannahme unter +43 (0) 512 / 560 980 zu unseren Geschäftszeiten (Montag bis Donnerstag 08:00–14:30 Uhr, Freitag 08:00–12:00 Uhr);

die schriftliche Auftragsannahme per E-Mail an info@hgt-kundendienst.at;

der persönliche Kontakt an unserem Geschäftssitz in 6020 Innsbruck, Pontlatzerstraße 32, zu unseren Öffnungszeiten;

die postalische Übersendung Ihrer Anfrage an die vorgenannte Anschrift.

8. WhatsApp-Kommunikationskanal

Wenn Sie sich entschließen, mit uns über den Messengerdienst WhatsApp Business in Kontakt zu treten, erfolgt die Kommunikation über die unter Punkt 7.2.2 dargestellte WhatsApp Cloud API der Meta Platforms Ireland Limited bzw. der Meta Platforms, Inc.

Wir möchten Sie an dieser Stelle gesondert und in aller Klarheit darauf hinweisen, dass die Nutzung von WhatsApp – ungeachtet der Bemühungen des Anbieters um die Einhaltung europäischer Datenschutzstandards – mit datenschutzrechtlichen Risiken verbunden sein kann, die sich aus dem Umstand ergeben, dass Meta Platforms, Inc. ein Unternehmen mit Sitz in den Vereinigten Staaten von Amerika ist und dort behördlichen Zugriffsmöglichkeiten unterliegen kann, die nach europäischem Verständnis als grundrechtssensibel zu qualifizieren sind. Die einschlägige Spruchpraxis – insbesondere das Urteil des Europäischen Gerichtshofes vom 16. Juli 2020 in der Rechtssache C-311/18 („Schrems II") – hat hierzu wegweisende Vorgaben aufgestellt, denen wir durch die nachfolgend unter Punkt 13 dargestellten Schutzmechanismen Rechnung tragen.

Sollten Sie eine Kommunikation über WhatsApp aus datenschutzrechtlichen Erwägungen ablehnen, stehen Ihnen sämtliche unter Punkt 7.4 dargestellten alternativen Kommunikationskanäle zur Verfügung.

9. E-Mail-Korrespondenz

Sie können uns selbstverständlich auch klassisch per E-Mail kontaktieren. In diesem Fall werden die von Ihnen übermittelten Inhalte – einschließlich Ihrer E-Mail-Adresse – ausschließlich zur Bearbeitung Ihrer Anfrage verarbeitet. Wir weisen vorsorglich darauf hin, dass die unverschlüsselte Übermittlung von E-Mails über das offene Internet stets mit einem gewissen Restrisiko der Mitlesbarkeit durch Dritte verbunden ist und ersuchen Sie, hochsensible Informationen (etwa vollständige Bankverbindungen, Passwörter oder Gesundheitsdaten) auf diesem Wege nicht zu übermitteln.

Für den Versand transaktionaler E-Mails – etwa der Auftragsbestätigungen oder Status-Updates – nutzen wir die unter Punkt 7.2.3 dargestellten Dienste der Sendinblue SAS (Brevo).

10. Foto- und Bildupload

Im Rahmen einer Chat- oder WhatsApp-Anfrage besteht die Möglichkeit, Bilder hochzuladen, etwa des Typenschildes oder eines Schadens. Diese Bilder werden auf unseren Servern gespeichert und nach den unter Punkt 7.3 dargestellten Fristen automatisch gelöscht.

Wir weisen darauf hin, dass auch Bilder personenbezogene Daten enthalten können – etwa, wenn unbeabsichtigt eine Person mit abgebildet ist, oder wenn auf dem Bild Dokumente, Aufkleber oder Beschriftungen mit personenbezogenen Inhalten zu sehen sind. Bitte achten Sie beim Erstellen und Hochladen von Bildern darauf, nur das Notwendige im Bildausschnitt zu erfassen.

11. Bot-Schutz und Sicherheitsmaßnahmen

Zum Schutz unseres Chat-Widgets vor automatisierten Missbrauchsversuchen setzen wir – wie unter Punkt 7.2.4 bereits eingehend dargestellt – den Dienst „Turnstile" der Cloudflare, Inc. ein. Die Verarbeitung erfolgt auf Grundlage des Artikels 6 Absatz 1 Buchstabe f DSGVO; das berechtigte Interesse besteht in der Aufrechterhaltung der Verfügbarkeit unserer Dienste sowie in der Verhinderung wirtschaftlicher Schäden durch Bot-Verkehr.

12. Empfänger und Kategorien von Empfängern

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt – über die bereits dargestellten Auftragsverarbeiter hinaus – nur in dem Umfang, in dem dies zur Erfüllung des Vertrages, zur Erfüllung gesetzlicher Verpflichtungen oder auf Basis Ihrer Einwilligung erforderlich ist. Im Einzelnen können dies folgende Empfänger oder Empfängerkategorien sein:

a) IT-Dienstleister, die unsere Server- und Netzwerkinfrastruktur betreuen; b) Hersteller und Garantiestellen der von uns reparierten Geräte, soweit dies zur Garantieabwicklung erforderlich ist; c) Versanddienstleister bei Ersatzteillieferungen; d) Steuerberater, Wirtschaftsprüfer und sonstige Berufsgeheimnisträger, die einer berufsrechtlichen Verschwiegenheitspflicht unterliegen; e) Banken und Zahlungsdienstleister im Rahmen des Zahlungsverkehrs; f) Zustellungsdienste (Post, Paketdienste); g) Behörden und Gerichte im Rahmen rechtlicher Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine Weitergabe Ihrer Daten zu Werbezwecken oder zu sonstigen kommerziellen Zwecken Dritter findet ausdrücklich und unter keinen Umständen statt.

13. Datenübermittlung in Drittländer

Wie unter Punkt 7.2 im Einzelnen dargestellt, kommt es im Rahmen unserer Geschäftstätigkeit – insbesondere im Zusammenhang mit dem Betrieb des KI-Chat-Systems sowie der WhatsApp-Kommunikation – zu Übermittlungen personenbezogener Daten in Drittländer im Sinne von Artikel 44 ff. DSGVO, namentlich in die Vereinigten Staaten von Amerika.

Diese Übermittlungen stützen sich – kumulativ bzw. alternativ je nach Anbieter und konkreter Verarbeitungssituation – auf folgende Schutzinstrumente:

Mit Durchführungsbeschluss (EU) 2023/1795 der Europäischen Kommission vom 10. Juli 2023 wurde festgestellt, dass die Vereinigten Staaten von Amerika für personenbezogene Daten, die aus der Europäischen Union an im Rahmen des EU-US Data Privacy Framework zertifizierte Organisationen übermittelt werden, ein angemessenes Datenschutzniveau im Sinne von Artikel 45 DSGVO bieten. Soweit ein Auftragsverarbeiter im Rahmen dieses Frameworks zertifiziert ist (was bei Anthropic, Meta und Cloudflare nach unserem aktuellen Kenntnisstand der Fall ist), erfolgt die Datenübermittlung auf Grundlage dieses Angemessenheitsbeschlusses.

Ergänzend bzw. – falls der unter Punkt 13.1 dargestellte Angemessenheitsbeschluss aus rechtlichen oder tatsächlichen Gründen nicht greifen sollte – haben wir mit den genannten Auftragsverarbeitern Standardvertragsklauseln im Sinne von Artikel 46 Absatz 2 Buchstabe c DSGVO in der jeweils aktuellen Fassung des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 abgeschlossen.

Unter Berücksichtigung der durch den Europäischen Gerichtshof in seinem Urteil vom 16. Juli 2020 in der Rechtssache C-311/18 („Schrems II") aufgestellten Anforderungen, der Empfehlungen 01/2020 des Europäischen Datenschutzausschusses zu Maßnahmen, die die Übermittlungstools ergänzen, sowie der einschlägigen Spruchpraxis der österreichischen Datenschutzbehörde haben wir für sämtliche unter Punkt 13.1 dargestellten Übermittlungsvorgänge eine Transfer Impact Assessment (TIA) – mithin eine Datentransfer-Folgenabschätzung – durchgeführt und dokumentiert. Die wesentlichen Ergebnisse dieser Bewertung stellen sich wie folgt dar:

Die im Rahmen der unter Punkt 7 dargestellten Verarbeitungsvorgänge in die Vereinigten Staaten von Amerika übermittelten Datenkategorien beschränken sich auf:

Kontakt- und Identifikationsdaten geringer bis mittlerer Sensitivität (Name, Anschrift, Telefonnummer, E-Mail-Adresse);

Auftrags- und Gerätedaten ohne besondere Schutzbedürftigkeit (Marke, Modell, Fehlerbeschreibung);

gegebenenfalls vom Nutzer freiwillig übermittelte Bilddaten geringer Sensitivität (Typenschilder, Schadensbilder);

Kommunikationsinhalte aus dem KI-Chat bzw. WhatsApp.

Es werden ausdrücklich keine besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO (etwa Gesundheitsdaten, biometrische Daten, Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung), keine personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10 DSGVO sowie keine besonders sensitiven Finanz-, Bonitäts- oder Authentifizierungsdaten in Drittländer übermittelt.

Wir haben die Rechtslage in den Vereinigten Staaten von Amerika hinsichtlich des Zugriffs öffentlicher Stellen auf personenbezogene Daten geprüft und dabei insbesondere die folgenden Rechtsgrundlagen sowie deren tatsächliche Anwendungspraxis berücksichtigt: Section 702 des Foreign Intelligence Surveillance Act (FISA 702), Executive Order 12333, Executive Order 14086 vom 7. Oktober 2022 sowie die hiermit verbundenen Rechtsschutzmechanismen, einschließlich des durch die Executive Order 14086 neu geschaffenen Data Protection Review Court (DPRC).

Wir kommen unter Berücksichtigung der vorstehenden Rechtsquellen zu dem Ergebnis, dass durch die Executive Order 14086 sowie das hierauf aufbauende EU-US Data Privacy Framework wesentliche durch den Europäischen Gerichtshof in der Rechtssache „Schrems II" beanstandete Mängel des US-amerikanischen Rechtsschutzsystems adressiert wurden, eine vollständige Äquivalenz zum europäischen Datenschutzniveau jedoch im Einzelfall nicht in jedem Punkt herstellbar erscheint. Wir tragen diesem verbleibenden Restrisiko durch die nachstehend dargestellten ergänzenden Maßnahmen Rechnung.

In technischer Hinsicht setzen wir – soweit dies mit dem jeweiligen Verarbeitungszweck vereinbar ist – die folgenden ergänzenden Schutzmaßnahmen ein:

Transportverschlüsselung: Sämtliche Datenübermittlungen an Auftragsverarbeiter in Drittländern erfolgen ausschließlich über nach dem Stand der Technik verschlüsselte Verbindungen (TLS 1.2 oder höher) mit perfekt vorwärts gerichteter Geheimhaltung (Perfect Forward Secrecy);

Datenminimierung in der Übermittlung: Es werden ausschließlich diejenigen Datenpunkte übermittelt, die zur Erbringung der jeweils beauftragten Leistung zwingend erforderlich sind;

Pseudonymisierung, soweit funktional möglich: Sitzungsdaten werden vor der Übermittlung mit zufallsgenerierten internen Sitzungs-Identifikatoren versehen, die ohne Zugriff auf unsere lokalen Systeme keine Zuordnung zu einer konkreten Person ermöglichen;

Vertragliche Untersagung der Weiterverwendung: Sämtliche eingesetzten Auftragsverarbeiter sind vertraglich verpflichtet, die übermittelten Daten ausschließlich zur Erbringung der beauftragten Leistung zu verwenden. Insbesondere ist die Verwendung der Chat-Inhalte zu Trainingszwecken eines KI-Modells durch die Anthropic, PBC, im Rahmen unseres kommerziellen API-Vertrages ausdrücklich ausgeschlossen.

Auf organisatorischer Ebene haben wir die folgenden Maßnahmen implementiert:

regelmäßige – mindestens jährliche – Überprüfung der Aktualität und Wirksamkeit der eingesetzten Schutzinstrumente sowie der Rechtslage in den jeweiligen Empfängerländern;

laufende Beobachtung der einschlägigen Rechtsprechung und der Veröffentlichungen der österreichischen Datenschutzbehörde sowie des Europäischen Datenschutzausschusses;

Verpflichtung sämtlicher Mitarbeiterinnen und Mitarbeiter, von der Möglichkeit der Verarbeitung im Drittland nur in dem für den jeweiligen Geschäftsvorfall erforderlichen Umfang Gebrauch zu machen;

jederzeit verfügbare Alternativkanäle (Telefon, E-Mail, persönliches Erscheinen, postalisch) für Personen, die eine Drittlandübermittlung ablehnen.

In vertraglicher Hinsicht haben wir mit sämtlichen Auftragsverarbeitern in Drittländern Auftragsverarbeitungsverträge gemäß Artikel 28 DSGVO unter Einbeziehung der jeweils aktuellen Standardvertragsklauseln nach Durchführungsbeschluss (EU) 2021/914 abgeschlossen. Diese enthalten unter anderem Verpflichtungen zur Mitteilung behördlicher Auskunftsersuchen, zur rechtlichen Prüfung derselben sowie – soweit rechtlich zulässig – zur Information der Hofer Hausgerätetechnik KG.

Unter Würdigung der vorstehenden Punkte gelangen wir zu dem Ergebnis, dass die im Rahmen der unter Punkt 7 dargestellten Verarbeitungsvorgänge in Drittländer übermittelten personenbezogenen Daten unter Berücksichtigung ihrer Sensitivität, der eingesetzten technischen, organisatorischen und vertraglichen Schutzmaßnahmen sowie der mit der Executive Order 14086 verbundenen rechtlichen Verbesserungen ein Schutzniveau erfahren, das den Anforderungen der Artikel 44 ff. DSGVO genügt. Ein verbleibendes Restrisiko – insbesondere im Hinblick auf hypothetische Massenüberwachungsmaßnahmen ausländischer Nachrichtendienste – ist als gering und im Einzelfall hinnehmbar einzustufen, zumal die übermittelten Datenkategorien für derartige Zwecke typischerweise nicht von Interesse sein dürften.

Soweit Sie unseren KI-Chat oder WhatsApp aktiv nutzen, sehen wir hierin – ungeachtet der vorgenannten Schutzinstrumente – auch eine ausdrückliche Einwilligung in die mit der Nutzung notwendigerweise verbundene Datenübermittlung in Drittländer im Sinne von Artikel 49 Absatz 1 Buchstabe a DSGVO. Wir weisen Sie auf diese Tatsache zu Beginn jeder Chat-Sitzung gesondert hin.

14. Speicherdauer und Löschkonzept

Wir bewahren Ihre personenbezogenen Daten ausschließlich so lange auf, wie dies zur Erfüllung der jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies gebieten. Im Einzelnen gelten – ergänzend zu den unter Punkt 7.3 dargestellten Fristen für das KI-Chat-System – folgende Aufbewahrungsfristen:

Datenkategorie Speicherdauer Rechtsgrundlage

Buchhaltungs- und Rechnungsunterlagen 7 Jahre § 132 BAO, § 212 UGB

Auftrags- und Reparaturdaten 7 Jahre § 132 BAO, § 212 UGB

Verträge mit Geschäftspartnern 7 Jahre nach Vertragsende § 132 BAO, § 212 UGB

Korrespondenz mit Geschäftspartnern 7 Jahre § 132 BAO

Steuerlich relevante Unterlagen 7 Jahre, im Einzelfall länger § 132 BAO

Chat-Sitzungsdaten und Fotos (KI-Chat) 6 Monate ab letzter Aktivität Speicherbegrenzung Art. 5 DSGVO

Chats/E-Mails im Einzelfall (Beweissicherung) bis zu 3 Jahre Art. 6 Abs. 1 lit. f DSGVO i.V.m. §§ 1486, 1489 ABGB

Server-Logs 30 Tage berechtigtes Interesse Art. 6 Abs. 1 lit. f DSGVO

Anonymisierte Wissensdatenbank unbegrenzt kein Personenbezug, DSGVO nicht anwendbar

Allgemeine Anfragen ohne Auftrag bis zu 6 Monate nach letzter Korrespondenz berechtigtes Interesse

Daten von Bewerberinnen und Bewerbern 6 Monate nach Abschluss des Verfahrens § 29 GlBG analog

Nach Ablauf der jeweils einschlägigen Frist werden die Daten unverzüglich, automatisiert und unwiederbringlich gelöscht oder im Sinne der einschlägigen Spruchpraxis vollständig anonymisiert. Eine längere Aufbewahrung kommt ausschließlich in Betracht, soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

15. Rechte der betroffenen Person

Als betroffene Person stehen Ihnen gegenüber unserem Unternehmen die nachfolgend im Einzelnen dargestellten Rechte zu, deren Ausübung wir Ihnen grundsätzlich – vorbehaltlich der gesetzlichen Ausnahmen – kostenfrei und ohne unzumutbaren Aufwand ermöglichen. Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an die unter Punkt 1 angeführten Kontaktdaten; der Schriftform bedarf es nicht, jedoch empfehlen wir eine schriftliche Geltendmachung aus Gründen der Beweissicherung.

Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese Daten sowie die in Artikel 15 DSGVO im Einzelnen aufgezählten weiteren Informationen, namentlich die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger, die geplante Speicherdauer, das Bestehen Ihrer übrigen Rechte sowie gegebenenfalls die Herkunft der Daten und das Bestehen einer automatisierten Entscheidungsfindung.

Sie haben das Recht, von uns unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen; unter Berücksichtigung der Zwecke der Verarbeitung haben Sie zudem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Sie haben das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Artikel 17 Absatz 1 DSGVO aufgezählten Gründe vorliegt – insbesondere wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, Sie eine Einwilligung widerrufen haben oder die Daten unrechtmäßig verarbeitet wurden. Das Recht auf Löschung besteht jedoch nicht, soweit die Verarbeitung erforderlich ist, etwa zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie haben das Recht, von uns die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Artikel 18 Absatz 1 DSGVO aufgezählten Voraussetzungen vorliegt.

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sowie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln.

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Grundlage berechtigter Interessen erfolgt, Widerspruch einzulegen. Im Falle eines Widerspruchs werden wir die Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sie haben das Recht, eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

16. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich – unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs – bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsortes, Ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

In Österreich ist die zuständige Aufsichtsbehörde die:

Österreichische Datenschutzbehörde Barichgasse 40–42 1030 Wien Telefon: +43 1 52 152-0 E-Mail: dsb@dsb.gv.at Internet: www.dsb.gv.at

Wir sind selbstverständlich bestrebt, etwaige Anliegen unsererseits einvernehmlich zu klären, und ersuchen Sie höflich, sich vor einer Beschwerde bei der Aufsichtsbehörde zunächst direkt an uns zu wenden.

17. Automatisierte Entscheidungsfindung einschließlich Profiling

Wir möchten Ihnen an dieser Stelle in aller wünschenswerten Klarheit versichern, dass eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidung im Sinne von Artikel 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, durch unser Unternehmen ausdrücklich nicht getroffen wird.

Insbesondere und unbeschadet der vorstehenden Klarstellung weisen wir darauf hin, dass auch der Einsatz unseres KI-gestützten Chat-Systems keine automatisierte Entscheidungsfindung im rechtlichen Sinne darstellt: Das System dient ausschließlich der Vorqualifizierung Ihrer Anfrage – mithin der strukturierten Erfassung der für die spätere Bearbeitung notwendigen Informationen sowie der Übersetzung fremdsprachiger Eingaben – und trifft selbst keine Entscheidungen, die sich auf Ihre Rechtsstellung auswirken. Sämtliche entscheidungserheblichen Bewertungen – etwa die Frage, ob eine Reparatur durchgeführt wird, zu welchem Termin, zu welchen Konditionen und durch welchen Techniker – erfolgen ausschließlich durch unsere Mitarbeiterinnen und Mitarbeiter im Wege individueller, menschlicher Bearbeitung.

18. Datensicherheit und technisch-organisatorische Maßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen im Sinne von Artikel 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten. Diese Maßnahmen umfassen unter anderem, jedoch nicht ausschließlich:

die Verschlüsselung der gesamten Datenübertragung zwischen Ihrem Endgerät und unseren Servern mittels Transport Layer Security (TLS) in der jeweils aktuellen Version;

den Einsatz aktueller, regelmäßig aktualisierter Server- und Anwendungssoftware;

die Pseudonymisierung personenbezogener Daten, soweit dies mit dem Verarbeitungszweck vereinbar ist;

restriktive Zugriffskontrollen und Authentifizierung für unsere Mitarbeiterkonten unter Anwendung des Need-to-know-Prinzips;

regelmäßige Sensibilisierung und Schulung unserer Mitarbeiterinnen und Mitarbeiter im Umgang mit personenbezogenen Daten;

den Einsatz von Bot-Schutz-Systemen (Cloudflare Turnstile) zur Abwehr automatisierter Angriffe;

regelmäßige, vollständige und inkrementelle Datensicherungen mit gesicherter Aufbewahrung;

die regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen;

die Verpflichtung sämtlicher Mitarbeiterinnen und Mitarbeiter zur Verschwiegenheit und zur Einhaltung der einschlägigen datenschutzrechtlichen Bestimmungen.

Trotz aller Sorgfalt kann nicht ausgeschlossen werden, dass bei der Übertragung von Informationen über das offene Internet Dritte unbefugt Zugriff erlangen oder die Integrität der Daten beeinträchtigen. Eine Haftung für nicht von uns zu vertretende Datenschutzvorfälle – etwa unbefugte Zugriffe auf Ihren E-Mail- oder WhatsApp-Account, die Kompromittierung Ihres Endgerätes oder das Abfangen von Telefax- und Postsendungen – schließen wir im Rahmen des gesetzlich Zulässigen aus.

19. Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO

Vor dem Hintergrund der unter Punkt 7 dargestellten Verarbeitungsvorgänge mittels eines KI-gestützten Chat-Systems unter Inanspruchnahme von Auftragsverarbeitern in Drittländern haben wir – wie nach Artikel 35 Absatz 1 DSGVO bei Verwendung neuer Technologien geboten – eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und schriftlich dokumentiert.

Die Datenschutz-Folgenabschätzung umfasst, im Einklang mit Artikel 35 Absatz 7 DSGVO sowie den Leitlinien des Europäischen Datenschutzausschusses und der Liste der nach Artikel 35 Absatz 4 DSGVO zwingend einer DSFA bedürftigen Verarbeitungsvorgänge der österreichischen Datenschutzbehörde, insbesondere folgende Bestandteile:

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie ihrer Zwecke;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen, insbesondere unter Berücksichtigung der besonderen Risiken, die mit dem Einsatz Künstlicher Intelligenz, der Übermittlung in Drittländer sowie der Verarbeitung von Bilddaten einhergehen können;

d) die zur Bewältigung dieser Risiken geplanten Abhilfemaßnahmen, einschließlich der unter den Punkten 13.3.3 bis 13.3.5 dieser Erklärung dargestellten technischen, organisatorischen und vertraglichen Schutzmaßnahmen sowie der unter Punkt 18 dargestellten allgemeinen technisch-organisatorischen Maßnahmen.

Die durchgeführte Datenschutz-Folgenabschätzung kommt zu dem Ergebnis, dass die mit den Verarbeitungsvorgängen verbundenen Restrisiken für die Rechte und Freiheiten der betroffenen Personen unter Berücksichtigung der getroffenen Schutzmaßnahmen als beherrschbar einzustufen sind und eine vorherige Konsultation der Aufsichtsbehörde gemäß Artikel 36 DSGVO nicht erforderlich erscheint.

Die schriftliche Dokumentation der Datenschutz-Folgenabschätzung wird für die Aufsichtsbehörde sowie – soweit ein berechtigtes Interesse glaubhaft gemacht wird und keine entgegenstehenden Geheimhaltungsinteressen bestehen – auch für betroffene Personen zur Einsicht bereitgehalten. Die DSFA wird in regelmäßigen Abständen sowie anlassbezogen, insbesondere bei Änderung der Verarbeitungsvorgänge oder bei Hinzutreten neuer Auftragsverarbeiter, überprüft und gegebenenfalls aktualisiert.

20. Bekanntgabe von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten – mithin einer Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt – kommen wir den uns nach Artikel 33 und 34 DSGVO obliegenden Pflichten unverzüglich nach. Insbesondere melden wir meldepflichtige Verletzungen binnen 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde und benachrichtigen erforderlichenfalls die betroffenen Personen unverzüglich, sofern die Verletzung voraussichtlich zu einem hohen Risiko für ihre persönlichen Rechte und Freiheiten führt.

21. Aktualität und Änderungen dieser Erklärung

Die vorliegende Datenschutzerklärung ist aktuell gültig und wird in regelmäßigen Abständen sowie anlassbezogen – etwa bei Änderungen der gesetzlichen Rahmenbedingungen, bei Aufnahme neuer Verarbeitungsvorgänge oder bei Änderungen unserer Auftragsverarbeiter – überprüft und gegebenenfalls aktualisiert. Die jeweils aktuelle Fassung steht jederzeit unter www.hgt-kundendienst.at/dsgvo.html zum Abruf bereit.

Wesentliche Änderungen werden wir Ihnen, sofern dies aufgrund des Charakters der Änderung erforderlich erscheint, gesondert zur Kenntnis bringen.

22. Schlussbestimmungen

Sollten einzelne Bestimmungen dieser Datenschutzerklärung unwirksam oder undurchführbar sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung tritt diejenige wirksame und durchführbare Regelung, die dem mit der unwirksamen Bestimmung verfolgten Zweck nach Möglichkeit am nächsten kommt.

Diese Datenschutzerklärung unterliegt österreichischem Recht unter Ausschluss der Verweisungsnormen des internationalen Privatrechts und des UN-Kaufrechts.

Erfüllungsort und ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Datenschutzerklärung ist – soweit gesetzlich zulässig – Innsbruck.

Anhang A – Glossar

Zur Erleichterung des Verständnisses dieser Datenschutzerklärung folgt nachstehend eine alphabetisch geordnete Aufstellung der wesentlichen Fachbegriffe.

Angemessenheitsbeschluss Durchführungsbeschluss der Europäischen Kommission gemäß Artikel 45 DSGVO, mit dem festgestellt wird, dass ein Drittland, ein Gebiet, ein bestimmter Sektor in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau für personenbezogene Daten bietet.

Anonymisierung Verarbeitungsvorgang, durch den personenbezogene Daten derart verändert werden, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Anonymisierte Daten unterliegen nicht den Bestimmungen der DSGVO.

Auftragsverarbeiter Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Auftragsverarbeitungsvertrag (AVV) Vertrag im Sinne von Artikel 28 Absatz 3 DSGVO, mit dem die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter rechtlich geregelt wird.

Betroffene Person Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.

DSGVO Datenschutz-Grundverordnung – Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016.

Datenschutzbeauftragter (DSB) Eine vom Verantwortlichen oder Auftragsverarbeiter unter den Voraussetzungen des Artikels 37 DSGVO bestellte Person, die mit den in Artikel 39 DSGVO normierten Aufgaben betraut ist.

Drittland Jeder Staat außerhalb des Europäischen Wirtschaftsraumes (EWR).

Einwilligung Jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

EWR Europäischer Wirtschaftsraum, bestehend aus den 27 Mitgliedstaaten der Europäischen Union sowie Island, Liechtenstein und Norwegen.

KI (Künstliche Intelligenz) Sammelbegriff für Computersysteme, die Aufgaben ausführen, die typischerweise menschliche Intelligenz erfordern, namentlich das Verstehen natürlicher Sprache, das Erkennen von Mustern, das Lernen aus Daten und das Treffen von Entscheidungen oder Empfehlungen.

Personenbezogene Daten Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Profiling Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten.

Pseudonymisierung Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

Sprachmodell (Large Language Model, LLM) Eine spezielle Form künstlicher Intelligenz, die in der Lage ist, natürliche Sprache zu verstehen, zu generieren und zu übersetzen.

Standardvertragsklauseln (SCC) Von der Europäischen Kommission im Sinne von Artikel 46 Absatz 2 Buchstabe c DSGVO erlassene Vertragsklauseln zur Übermittlung personenbezogener Daten an in Drittländern niedergelassene Auftragsverarbeiter oder Verantwortliche.

Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Verarbeitung Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

Webhook Technisches Verfahren, mit dem ein Server-System auf Ereignisse reagiert, indem es bei deren Eintritt automatisch eine HTTP-Anfrage an eine zuvor festgelegte URL sendet.

Anhang B – Verzeichnis der Auftragsverarbeiter

Nachstehend findet sich eine systematische Aufstellung sämtlicher von uns im Zusammenhang mit der Verarbeitung personenbezogener Daten eingesetzter Auftragsverarbeiter, jeweils unter Angabe der Firma, des Sitzes, des Verarbeitungszwecks sowie des verwendeten Übermittlungsinstruments für etwaige Drittlandtransfers.

Nr. Auftragsverarbeiter Sitz Verarbeitungszweck Datenkategorien Schutzinstrument

1 Anthropic, PBC San Francisco, CA, USA KI-gestützte Anfragequalifizierung und Übersetzung Chat-Inhalte, Sitzungsdaten EU-US DPF, SCC

2 Meta Platforms Ireland Ltd. / Meta Platforms, Inc. Dublin, IE / Menlo Park, CA, USA WhatsApp-Kommunikation Telefonnummer, Nachrichteninhalt, Medien EU-US DPF, SCC

3 Sendinblue SAS (Brevo) Paris, FR Transaktionaler E-Mail-Versand E-Mail-Adresse, E-Mail-Inhalt EU-intern, kein Drittlandtransfer

4 Cloudflare, Inc. San Francisco, CA, USA Bot-Schutz mittels Turnstile technische Daten, IP-Adresse EU-US DPF, SCC