DATENSCHUTZERKLÄRUNG
Status: 13 Februar 2026
Mountains & Lakes Chalets & Apartments
Stand: Februar 2026
Verantwortlicher
Tatschl‑Unterberger Eva & Tatschl David GesbR
Handelsname: Mountains & Lakes Chalets & Apartments
Dobrovastraße 5
9500 Villach, Österreich
Telefon: +43 664 966 2529
E‑Mail: office@mountainsandlakes.at
UID-Nummer: ATU74078589
Geschäftsführung: Dipl.-Ing. David Tatschl
Für unser Unternehmen besteht keine gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu bestellen.
1. Allgemeines
Wir verarbeiten personenbezogene Daten nach DSGVO und DSG, um unsere Website sowie unsere Beherbergungsleistungen sicher und effizient bereitzustellen und Verträge mit Gästen zu erfüllen.
Rechtsgrundlagen (Überblick):
- Vertrag/Anbahnung (Buchung, Aufenthalt, Kommunikation): Art. 6 Abs. 1 lit. b DSGVO
- Gesetzliche Pflichten (Meldewesen/Ortstaxe/Buchhaltung): Art. 6 Abs. 1 lit. c DSGVO
- Berechtigte Interessen (Betrieb/IT‑Sicherheit/Logfiles/Performanz): Art. 6 Abs. 1 lit. f DSGVO
- Einwilligung (Analytics/Marketing/Google Maps/Pixel/ bestimmte KI‑Funktionen): Art. 6 Abs. 1 lit. a DSGVO
2. Hosting & Infrastruktur
2.1 Hosting & Auslieferung über Vercel
Unsere Website wird bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Beim Besuch fallen Server‑Logfiles an (z. B. IP‑Adresse, Browser, Zeitpunkt), die Ihr Browser automatisch übermittelt. Zweck: sichere und schnelle Bereitstellung, Stabilität, Fehlerdiagnose. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Datentransfer: USA; laut bestehender Policy ist Vercel EU‑US Data Privacy Framework (DPF)‑zertifiziert (angemessenes Datenschutzniveau).
2.2 Sanity.io (CMS & Bild‑CDN)
Wir nutzen Sanity AS, Thorvald Meyers gate 11, 0555 Oslo, Norwegen zur Verwaltung und Auslieferung von Inhalten/Bildern (Content Delivery Network). Dabei wird technisch bedingt die IP‑Adresse an Sanity übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (schnelle/effiziente Darstellung von Medieninhalten). Datenstandort: Norwegen (DSGVO‑konformer EWR‑Staat).
3. KI‑Funktionen (Vercel AI SDK / Google Gemini)
Auf einzelnen Seiten nutzen wir KI‑gestützte Funktionen (z. B. Chat/Antwort‑Generierung) über das Vercel AI SDK in Verbindung mit Google Gemini. Dabei können Nutzereingaben/Prompts zwecks Antwortgenerierung an Server der beteiligten Anbieter übermittelt werden. Rechtsgrundlage: je nach Feature Art. 6 Abs. 1 lit. a (Einwilligung) oder Art. 6 Abs. 1 lit. f (berechtigtes Interesse an nutzerfreundlicher Interaktion). Hinweis: Bitte keine sensiblen Daten (Gesundheit, Zahlungsdaten etc.) in Freitextfelder eingeben. Drittlandtransfer: Übermittlung an Google (USA) kann erfolgen; DPF‑Absicherung laut Anbieterauskunft; zusätzliche Maßnahmen (SCC) vorbehalten.
4. Analyse & Tracking
4.1 Google Analytics 4
Wir setzen GA4 ein — nur nach Einwilligung via Cookie‑Banner. Verarbeitete Daten: Nutzungs‑/Ereignisdaten, Geräte/Browser‑Infos, gekürzte IP. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Speicherung: i. d. R. bis 14 Monate (konfigurierbar). Datentransfer: Google Ireland Ltd. (EU) und ggf. Google LLC (USA); EU‑US DPF‑Schutzmechanismus. Hinweise: IP‑Anonymisierung innerhalb EU/EWR; Widerruf jederzeit über „Cookie‑Einstellungen“.
4.2 PostHog (Cloud EU)
Für ergänzende Produkt‑/Nutzungsanalysen kann PostHog Cloud EU (Region Frankfurt, Deutschland) eingesetzt werden. Zweck: anonyme Nutzungsstatistiken/Interaktionsanalyse zur Verbesserung. Rechtsgrundlage: je nach Setup Einwilligung (Art. 6 Abs. 1 lit. a) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Datentransfer: Verarbeitung innerhalb der EU; keine Drittlandübermittlung bei Cloud‑EU‑Betrieb.
4.3 Vercel Analytics & Speed Insights
Wir nutzen Vercel Analytics/Speed Insights zur Performance‑Analyse (Ladezeiten, technische Metriken) und anonymisierten Besucherzählung. Die Funktionen arbeiten ohne dauerhafte Cookies; Profilbildung findet nicht statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Optimierung & Betrieb).
5. Karten & Einbindungen
5.1 OpenFreeMap / MapLibre GL
Zur Darstellung interaktiver Karten können OpenFreeMap/MapLibre GL genutzt werden. Zweck: visuelle Geoinformationen. Dabei wird technisch die IP‑Adresse für den Abruf der Kartendienste benötigt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
5.2 Google Maps
Google Maps wird erst nach Einwilligung oder manuellem Klick geladen (2‑Klick/Consent). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Empfänger: Google Ireland Ltd.; Datenübermittlung an Google LLC (USA) möglich; EU‑US DPF als Transfermechanismus. Widerruf jederzeit über die Cookie‑Einstellungen.
6. Buchung & Zahlungsabwicklung (Hospitality‑spezifisch)
6.1 Buchungssystem – Easybooking (Zadego GmbH)
Zweck: Verwaltung von Anfragen/Buchungen/Angeboten, Aufenthalt, Rechnungslegung. Daten: Stamm‑, Kontakt‑, Aufenthalts‑, Zahlungs‑/Rechnungsdaten, Kommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b & c DSGVO. Rolle: Auftragsverarbeiter (AV‑Vertrag). Speicherort: EU.
6.2 Zahlungsdienstleister – hobex AG
Zweck: Abwicklung elektronischer Zahlungen (Terminal/Online). Daten: Transaktions‑/Zahlungsstatus, (tokenisierte) Kartendaten, Rechnungsinformationen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Aufbewahrung: 7 Jahre (steuerrechtlich).
6.3 Elektronisches Schließsystem – Nuki
Zweck: Zutrittssteuerung mit zeitlich begrenzten Codes. Daten: Zutrittsprotokolle (Zeit/Code), Berechtigungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit & Nachvollziehbarkeit). Speicherdauer: max. 30 Tage.
6.4 Buchungsplattformen
Die Plattformen sind eigene Verantwortliche; sie übermitteln uns Daten zur Vertragserfüllung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandtransfers je nach Anbieter möglich (z. B. USA).
7. Meldewesen & Ortstaxe (alle Standorte)
Wir sind gesetzlich verpflichtet, Gäste gemäß österreichischem Meldegesetz sowie örtlichen Tourismus‑/Abgabebestimmungen zu registrieren.
Standorte: Villach – Maria Gail, Velden am Wörthersee, Rust am Neusiedlersee.
Daten: Name aller Reisenden, Anschrift, Geburtsdatum, Staatsangehörigkeit, Aufenthaltstage, ggf. Reisedokumentdaten.
Empfänger je nach Standort: Gemeinde Villach & TVB Region Villach; Gemeinde Velden am Wörthersee & TVB Wörthersee–Rosental; Freistadt Rust & TVB Neusiedler See – Seewinkel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO.
8. Videoüberwachung (Parkplatz, Stiegenhaus)
Zweck: Schutz von Gästen/Personal, Eigentumssicherung, Vorfallsaufklärung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: max. 72 Stunden (länger nur anlassbezogen). Empfänger: Behörden im Anlassfall.
9. Kommunikation (Kontaktformular, E-Mail, Telefon/)
Daten: Name, Kontaktangaben, Nachricht/Anliegen, technische Metadaten (Zeit/IP). Zweck: Bearbeitung von Anfragen, (vor‑)vertragliche Kommunikation. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Löschung: spätestens nach 12 Monaten ab Erledigung (sofern keine gesetzlichen Aufbewahrungen greifen).
10. Cookies, Consent & Google Consent Mode
Wir setzen ein Consent‑Management ein. Nicht‑notwendige Dienste (Analytics, Marketing, Google Maps) werden erst nach Einwilligung aktiviert. Einwilligungen können jederzeit über die „Cookie‑Einstellungen“ widerrufen/angepasst werden.
Kategorien: technisch notwendig, funktional, Statistik, Marketing.
Consent Mode v2: Bei Google‑Diensten werden die Signale gemäß Einwilligungsstatus gesteuert.
11. Speicherdauern (Überblick)
- Buchungs‑/Rechnungsdaten: 7 Jahre (AT‑Steuerrecht)
- Kontaktanfragen: 12 Monate
- Nuki‑Zutrittsdaten: 30 Tage
- Videoaufzeichnungen: 72 Stunden
- Analytics/Marketing: bis Widerruf der Einwilligung bzw. gemäß Tool‑Einstellung
12. Empfänger & Drittlandübermittlungen
Wir arbeiten mit Auftragsverarbeitern (v. a. IT/Hosting, Buchung, Payment, Inhalte/CDN, Analyse). Drittlandtransfers erfolgen, wo erforderlich, unter Rückgriff auf EU‑US DPF (z. B. Google; laut bestehender Policy auch Vercel DPF‑zertifiziert) oder SCC + zusätzliche Maßnahmen.
13. Ihre Rechte
Sie haben jederzeit Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie den Widerruf erteilter Einwilligungen (Art. 7 Abs. 3). Zudem steht Ihnen das Beschwerderecht bei der Österreichischen Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at zu.
14. Sicherheit
Wir nutzen TLS/HTTPS und angemessene technische und organisatorische Maßnahmen (TOMs), um ein dem Risiko angemessenes Schutzniveau sicherzustellen.
15. Änderungen
Wir passen diese Datenschutzerklärung an, sobald neue Dienste, Rechtslagen oder technische Änderungen dies erfordern.
Stand: 13.02.2026