Datenschutzerklärung

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist:

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) und einschlägiger Spezialgesetze. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Wir verarbeiten Daten grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Leistungen erforderlich ist, oder wenn eine gesetzliche oder vertragliche Rechtsgrundlage dies erlaubt.

3.1 Server-Logfiles

Beim Aufruf unserer Website werden technische Daten verarbeitet, unter anderem IP-Adresse, Zeitstempel der Anfrage, abgerufene URL, Referrer-URL, Browsertyp und -version, Betriebssystem sowie Verbindungsdaten. Die Verarbeitung dient der Bereitstellung der Website, der Systemsicherheit, der Fehleranalyse, der Missbrauchserkennung und der technischen Stabilität.

Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

3.2 Hosting

Wir betreiben unsere Anwendung bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA). Datenbank, Authentifizierung und Datei-Speicher betreiben wir bei Supabase in der Region EU-Central-1 (Frankfurt). Mit beiden Anbietern besteht eine Auftragsverarbeitungsvereinbarung; die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Framework.

Bei der Registrierung eines HostPad-Accounts verarbeiten wir E-Mail-Adresse, verschlüsseltes Passwort, gewählten Tarif sowie Zeitstempel der Registrierung und Anmeldung. Zur Vertragsabwicklung verarbeiten wir zusätzlich Rechnungsdaten, Zahlungsstatus sowie sämtliche Inhalte, die du in HostPad anlegst (Property-Daten, Texte, Bilder, Empfehlungen, etc.).

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflichten

Bei Kontaktaufnahme per E-Mail, Kontaktformular oder Telefon verarbeiten wir die mitgeteilten Daten zur Bearbeitung deiner Anfrage und für mögliche Anschlussfragen. Die Daten werden gelöscht, sobald sie für den Zweck nicht mehr erforderlich sind und gesetzliche Aufbewahrungspflichten nicht entgegenstehen.

Art. 6 Abs. 1 lit. b DSGVO — vorvertragliche Maßnahmen

Bezahlvorgänge wickeln wir über Stripe Payments Europe, Ltd. (North Wall Quay, Dublin 1, Irland) ab. Stripe verarbeitet im Rahmen der Zahlung deinen Namen, deine Rechnungsadresse, deine E-Mail, den Transaktionsbetrag, Zahlungsdaten (z.B. Kreditkartennummer) sowie den Zahlungsstatus.

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung Weitere Informationen findest du in der Datenschutzerklärung von Stripe.

Bestätigungs-, Passwort-Reset- und Benachrichtigungs-E-Mails versenden wir über den SMTP-E-Mail-Dienst von Hostinger (Hostinger International Ltd., EU-Anbieter, Server in der EU). Vom Supabase-Authentifizierungsdienst können zusätzlich systembedingte E-Mails (z. B. zur Anmeldebestätigung) ausgehen. Verarbeitet werden dabei deine E-Mail-Adresse, der Inhalt der E-Mail sowie der Sende-/Zustellstatus.

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

Du kannst dich optional über Google OAuth bei HostPad anmelden. In diesem Fall übermittelt Google an uns deine E-Mail-Adresse, deinen Namen sowie deine Google-ID. Wir speichern diese Daten zur Bereitstellung des Accounts. Es gilt zusätzlich die Datenschutzerklärung von Google.

HostPad bietet optionale KI-Funktionen, die im Hintergrund über OpenAI, L.L.C. (San Francisco, CA, USA) verarbeitet werden. Dazu zählen die Generierung von Willkommens- und Hütten-Texten, Hausregeln, Empfehlungen und Check-in-Anleitungen, die automatische Übersetzung deiner Inhalte in weitere Sprachen, das Vorschlagen von Antworten auf Gäste-Bewertungen (der Gastgeber fügt dazu den Bewertungstext ein) sowie die Sprache-zu-Text-Funktion (Whisper), die eine vom Gastgeber aufgenommene Audioaufnahme in Text umwandelt.

An OpenAI übermittelt werden ausschließlich die für die jeweilige Funktion erforderlichen Inhalte: vom Gastgeber bereitgestellte Texte und Audioaufnahmen sowie ggf. von Gästen bereitgestellte Inhalte (z. B. eingefügte Bewertungstexte oder im Gäste-Chat gestellte Freitext-Fragen). Die KI-Funktionen werden nur auf deine konkrete Aktion hin (z. B. Klick auf einen „KI"-Button) ausgelöst.

Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse Weitere Informationen findest du in der Datenschutzerklärung von OpenAI.

Für die Live-Wetteranzeige bei Berghütten-Seiten rufen wir serverseitig Wetterdaten beim Dienst Open-Meteo (Open-Meteo, EU-Anbieter) ab. Dabei werden die vom Gastgeber hinterlegten Koordinaten (Längen- und Breitengrad) der Hütte an Open-Meteo übermittelt. Es werden keine personenbezogenen Daten von Gästen übermittelt.

Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

Gastgeber können optional Web-Push-Benachrichtigungen aktivieren, um über neue Gästenachrichten informiert zu werden. Aktivierst du diese Funktion in deinem Browser, wird ein geräteindividueller Push-Endpunkt beim Push-Dienst deines Browser-/Geräteherstellers erzeugt (in der Regel Google bei Chrome/Android bzw. Apple bei Safari/iOS) und bei uns gespeichert. Hierüber stellen wir die Benachrichtigungen zu. Die Funktion ist jederzeit über die Geräte- bzw. Browser-Einstellungen widerrufbar.

Je nach Push-Dienst kann dies eine Übermittlung in die USA bedeuten, die über die EU-Standardvertragsklauseln abgesichert wird.

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (bei Aktivierung)

Alle auf unseren Seiten verwendeten Bilder werden von unserer eigenen Infrastruktur (Vercel, EU-Region) ausgeliefert. Es werden keine Bilder von externen Bild-CDNs nachgeladen, sodass deine IP-Adresse beim Betrachten von Bildern an keinen Drittanbieter übermittelt wird. Von Gastgebern hochgeladene Property-Fotos werden in unserer Supabase-Datenbank (EU, Frankfurt) gespeichert. Auch Schriftarten werden selbst gehostet — es besteht keine Verbindung zu Google Fonts.

Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse

13.1 Technisch notwendige Cookies

Wir setzen technisch notwendige Cookies ein, um die Sitzungserkennung, die Authentifizierung und die Spracheinstellung zu ermöglichen. Diese Cookies sind essentiell für den Betrieb der Website und können nicht deaktiviert werden, ohne dass die Nutzung eingeschränkt wird.

Art. 6 Abs. 1 lit. f DSGVO

13.2 Cookie-Banner & Speicherung deiner Auswahl

Beim ersten Besuch zeigen wir einen Cookie-Banner mit den gleichwertigen Optionen „Alle akzeptieren" und „Nur notwendige". Deine Entscheidung speichern wir lokal in deinem Browser (im Local Storage) sowie in einem kleinen technischen Cookie, damit der Banner bei Folgebesuchen nicht erneut erscheint. Dieser Mechanismus dient ausschließlich der Speicherung deiner Cookie-Auswahl.

13.3 Analyse- und Marketing-Cookies

Aktuell sind keineAnalyse- oder Marketing-Tracker aktiv: Auch wenn du im Banner „Alle akzeptieren" wählst, werden derzeit keine solchen Dienste geladen. Sollten wir künftig einwilligungspflichtige Dienste einbinden, werden diese erst nach deiner ausdrücklichen Einwilligung aktiviert.

Wir geben deine Daten ausschließlich an folgende Kategorien von Empfängern weiter:

Eine Übermittlung deiner Daten in Länder außerhalb des EWR erfolgt nur, wenn dies zur Vertragsdurchführung erforderlich ist oder du ausdrücklich eingewilligt hast. Übermittlungen in die USA (Vercel, Stripe, Google, OpenAI sowie ggf. Push-Dienste von Google und Apple) werden über die EU-Standardvertragsklauseln und — soweit die jeweiligen Anbieter zertifiziert sind — das EU-US Data Privacy Framework abgesichert.

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Rechnungsbezogene Daten werden gem. § 132 BAO sieben Jahre aufbewahrt. Account-Daten werden nach Kündigung innerhalb von 30 Tagen gelöscht, sofern keine Aufbewahrungspflichten entgegenstehen.

Wir treffen geeignete technische und organisatorische Maßnahmen, um deine Daten gegen Verlust, Zerstörung, unberechtigten Zugriff, Veränderung oder unrechtmäßige Offenlegung zu schützen. Dazu zählen insbesondere: verschlüsselte Übertragung (TLS), verschlüsselte Speicherung von Passwörtern, rollenbasierte Zugriffskontrollen (Row-Level Security in Supabase), regelmäßige Backups und ein eingeschränkter Personenkreis mit Datenzugriff.

Dir stehen folgende Rechte gegenüber dem Verantwortlichen zu:

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an hello@hostpad.app.

Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Zuständig in Österreich ist die Österreichische Datenschutzbehörde.

Wir verwenden keine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern rechtliche oder technische Änderungen dies erfordern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.