DSGVO-Information

Datenschutzerklärung.

Der Schutz Ihrer Daten ist mir wichtig. Diese Erklärung beschreibt, welche personenbezogenen Daten bei der Nutzung von felsgasse.com, bei Anfragen, Buchungen, Zahlungen und der Verwaltung Ihres Aufenthalts verarbeitet werden. Stand: 18. Mai 2026.

Verantwortlicher

Ein Datenschutzbeauftragter ist gesetzlich nicht bestellt. Für alle Datenschutzfragen genügt eine Nachricht an die oben genannte E-Mail-Adresse.

Welche Daten werden erhoben?

• Webseiten- und Zugriffsdaten: IP-Adresse, Datum und Uhrzeit des Abrufs, aufgerufene URL, Browser-/Geräteinformationen, Referrer sowie Sicherheits- und Fehlerprotokolle. Diese Daten entstehen beim Abruf der Website über Cloudflare Pages, beim API-Proxy über Cloudflare Pages Functions und beim direkten Aufruf der API auf dem Hetzner-Server.
• Kontaktanfragen: Name, E-Mail-Adresse, gewünschter Zeitraum, Nachrichtentext sowie die IP-Adresse zur Missbrauchs- und Spamabwehr. Die Anfrage wird per Resend an mich zugestellt.
• Buchungsdaten: Name, E-Mail-Adresse, Telefonnummer, gewünschte Unterkunft, An- und Abreisedatum, Gästezahl, Sprache, Buchungsstatus, Preise, Rabatt-/Promo-Code, Storno-/Kündigungsdaten, Rechnungsdaten, Ortstaxe, Endreinigung, Meldezettel-Status sowie technische Buchungs- und Zahlungsreferenzen.
• Zahlungsdaten: Stripe verarbeitet Zahlungsdaten, Zahlungsart, Zahlungsstatus, Stripe-Kunden-ID, Checkout-Session-ID, Payment-Intent-ID, Rechnungs-/Abrechnungsadresse, Land und Postleitzahl. Ich erhalte keine vollständigen Kreditkartendaten.
• Meldepflicht und Identitätsprüfung: Für alle übernachtenden Gäste werden Meldezettel-Daten und eine Kopie eines amtlichen Lichtbildausweises verarbeitet. Dies dient der gesetzlichen Meldepflicht, Identitätsprüfung, Missbrauchsvermeidung und sicheren Übermittlung des Zugangscodes. Der Meldezettel wird als ausfüllbares amtliches PDF bereitgestellt und kann mit Buchungsdaten wie Name, Geburtsdatum, Unterkunftsadresse, Nebenwohnsitz-Hinweis und Unterkunftgeber vorausgefüllt werden. Ausweisabhängige Angaben wie Reisepassnummer, Ausstellungsdatum, Behörde, Geburtsort oder Staatsangehörigkeit werden nur vom Gast ergänzt bzw. geprüft.
• Kalender- und Verfügbarkeitsdaten: Verfügbarkeiten, blockierte Tage und iCal-Daten aus Airbnb-Kalendern bzw. Direktbuchungen zur Vermeidung von Doppelbuchungen. Dabei können je nach Airbnb-iCal-Feed Buchungszeitraum, Status, Kalender-ID und technische Feed-URL verarbeitet werden.
• Admin- und Betriebsdaten: Im Admin-Portal werden Buchungs-, Zahlungs-, Rechnungs-, Kalender- und Meldezettel-Statusdaten verwaltet. Ein Admin-Login-Token kann lokal im Browser des Administrators gespeichert werden.
• Kommunikationsdaten: Inhalte von E-Mails, die Sie mir senden oder die im Rahmen der Buchung, Rechnung, Zahlung, Stornierung oder Aufenthaltsabwicklung erforderlich sind.

Zweck und Rechtsgrundlage

• Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Bearbeitung von Anfragen, Buchung, Zahlung, Buchungsbestätigung, Rechnungen, Check-in, Self-Check-in-Code, Storno/Kündigung, Support und Aufenthaltsabwicklung.
• Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Buchhaltung, steuerliche Aufbewahrung, Ortstaxe, Rechnungslegung sowie gesetzliche Melde- und Nachweispflichten.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): sicherer Betrieb der Website und API, Missbrauchs- und Betrugsprävention, Rate-Limiting, technische Fehleranalyse, Kalender-Synchronisation zur Vermeidung von Doppelbuchungen, Durchsetzung oder Abwehr rechtlicher Ansprüche und Nachvollziehbarkeit von Stripe-Checkout-Vorgängen.
• Technisch notwendige Speicherung (§ 165 Abs. 3 TKG 2021 und Art. 6 Abs. 1 lit. f DSGVO): Speicherung von Spracheinstellung, Hinweis-Banner-Bestätigung und Admin-Login-Token im Browser, soweit dies für Betrieb, Bedienbarkeit oder Sicherheit erforderlich ist.

Empfänger und eingesetzte Dienstleister

• Cloudflare, Inc. (DNS, CDN, Cloudflare Pages, Sicherheitsfunktionen und API-Proxy). Cloudflare verarbeitet technische Verbindungsdaten zur Auslieferung, Absicherung und Stabilisierung der Website. Das statische Frontend läuft auf Cloudflare Pages; API-Aufrufe über die Website können über eine Cloudflare Pages Function an das Backend api.felsgasse.com weitergeleitet werden. Datenschutzerklärung · DPA · SCC.
• Hetzner Online GmbH (Serverhosting in Deutschland/Finnland je nach gebuchtem Standort). Das Backend und die verschlüsselte Datenhaltung laufen auf einem Hetzner-Server; die Deployment-Verwaltung erfolgt über eine selbst gehostete Coolify-Installation. Datenschutz bei Hetzner.
• Stripe Payments Europe Ltd. (Zahlungsabwicklung, Checkout, gespeicherte Zahlungsmethode für autorisierte Folgezahlungen, Rückerstattungen, Zahlungsbelege und Betrugsprävention). Stripe kann je nach Verarbeitung als Auftragsverarbeiter oder eigener Verantwortlicher handeln. Datenschutzerklärung · DPA · DPA/Transfer-FAQ.
• Resend, Inc. (transaktionaler E-Mail-Versand, z. B. Anfrageweiterleitung, Buchungsbestätigung, Rechnungen, Meldezettel-PDF, Zahlungs- und Stornoinformationen). Datenschutzerklärung · DPA.
• BunnyWay d.o.o. (Auslieferung von Schriftarten über fonts.bunny.net). Dabei können technische Zugriffsdaten wie IP-Adresse und Browserinformationen anfallen; es erfolgt kein Analytics- oder Werbetracking durch diese Website. Datenschutzerklärung · DSGVO-Information.
• Airbnb Ireland UC (iCal-Synchronisation, soweit Airbnb-Kalender eingebunden sind oder eine Buchung über Airbnb erfolgt). Die Verarbeitung dient ausschließlich der Verfügbarkeitsprüfung und Vermeidung von Doppelbuchungen. Datenschutzerklärung.
• GitHub, Inc. (private Versionsverwaltung des Quellcodes). Besucher- und Buchungsdaten werden nicht planmäßig in GitHub gespeichert; eine Verarbeitung kann nur ausnahmsweise bei Fehlersuche, Sicherheitsprüfung oder Quellcodeverwaltung stattfinden.
• Behörden, Steuerberatung, Rechtsberatung und Zahlungsinstitute, soweit dies für gesetzliche Pflichten, Ortstaxe, Buchhaltung, Rechtsansprüche oder Zahlungsabwicklung erforderlich ist.

Auftragsverarbeiter für die qualifizierte elektronische Signatur (QES)

Zur eIDAS-konformen Unterzeichnung des Kurzzeit-Mietvertrags (siehe AGB § 6a) werden folgende, ausschließlich innerhalb der EU ansässige Trust Service Provider eingesetzt:

• e-signature.eu (Wallix Group SA) — Sitz Frankreich. Signatur-Orchestrierung, Empfang des PDF-Mietvertrags, Routing an den ausgewählten Trust-Service-Provider, Erzeugung des eIDAS-konformen Audit-Trails. Verarbeitete Daten: Vertragstext, Vor-/Nachname und E-Mail der Signierenden, Signatur-Metadaten (Zeitstempel, IP, User-Agent, Signatur-Methode). Speicherort: EU. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 4 SVG.
• Evrotrust Technologies JSC — Sitz Bulgarien. Qualified Trust Service Provider nach eIDAS-Verordnung 910/2014. Erzeugt die QES-Zertifikate über die Evrotrust-Mobile-App. Verarbeitete Daten: Ausweisdaten bei Erstregistrierung, Telefonnummer, biometrische Verifikation, Signatur-Zertifikat-Metadaten. Speicherort: EU (Bulgarien). Aufsicht: bulgarische Komission für den Schutz personenbezogener Daten (KZLD).
• Belgian Mobile ID SCRL (itsme) — Sitz Belgien. Alternative QES-Methode über die itsme-Mobile-App. Verarbeitete Daten: eID-Daten, biometrische Verifikation, Signatur-Metadaten. Speicherort: EU (Belgien). Aufsicht: belgische Datenschutzbehörde (APD/GBA).

Kein Drittlandbezug bei QES: Sämtliche Signatur-Provider haben ihren Sitz und ihre Datenverarbeitung innerhalb der EU. Eine Übermittlung von Vertrags- oder Signaturdaten in Drittländer findet im Rahmen der QES nicht statt.

Aufbewahrung des Kurzzeit-Mietvertrags

Der elektronisch unterzeichnete Mietvertrag sowie der zugehörige Audit-Trail (Signatur-Zeitstempel, Signatur-Methode-Nachweis, SHA-256-Hash des Inhalts) werden zur Erfüllung gesetzlicher Aufbewahrungspflichten nach § 132 BAO sieben Jahre ab Ende des Kalenderjahres der Vertragsbeendigung in einem zugriffsbeschränkten elektronischen Archiv gespeichert. Speicherort: Hetzner-Server in Deutschland. Zugriff ausschließlich durch den Vermieter sowie ggf. gesetzliche Aufsichtsorgane (Finanzamt, MA 6, MA 23). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) i. V. m. lit. f DSGVO (Beweismittel-Erhaltung für mietrechtliche Verjährungsfristen § 1486 ABGB). Eine vorzeitige Löschung nach Art. 17 DSGVO ist wegen der gesetzlichen Aufbewahrungspflicht nicht möglich.

Ausweis-Kopie zur Meldepflicht-Erfüllung

Zur Erfüllung der Meldepflicht nach § 5 Meldegesetz und zur Identitätsprüfung lädt der Gast eine Kopie eines amtlichen Lichtbildausweises über das verschlüsselte Verifizierungs-Portal hoch.

• Verarbeitung: Die Datei wird mit AES-256-GCM verschlüsselt auf dem Hetzner-Server gespeichert. Der Entschlüsselungs-Schlüssel ist ausschließlich beim Vermieter hinterlegt.
• Während des Aufenthalts: Bild bleibt verschlüsselt gespeichert; Zugriff nur durch den Vermieter für Identitätsprüfung oder Behörden-Rückfragen.
• 30 Tage nach Check-out: Das Ausweis-Bild wird automatisch und unwiderruflich gelöscht. Es verbleibt nur ein kryptographischer Prüfwert (SHA-256-Hash) im Buchungs-Datensatz zu Beweis- und Audit-Zwecken (Nachweis, dass eine Identitätsprüfung stattgefunden hat) sowie ein Lösch-Zeitstempel.
• Aus dem Hash kann kein Bild rekonstruiert werden — er dient ausschließlich der Bestätigung der ursprünglichen Verknüpfung mit dem Audit-Trail des Buchungs-Records.

Rechtsgrundlage Speicherung: Art. 6 Abs. 1 lit. c DSGVO (§ 5 MeldeG) i. V. m. lit. f DSGVO (Identitätsprüfung, Beweisführung im Streitfall). Rechtsgrundlage Hash-Verbleib: Art. 6 Abs. 1 lit. f DSGVO (Audit-Trail-Kohärenz mit dem 7 Jahre aufzubewahrenden Mietvertrag).

Audit-Logs

Für sicherheits- und nachweisrelevante Vorgänge führt das System automatische Audit-Logs:

• Guest-Self-Cancellation (Buchungs-ID, Klick-Zeitstempel, IP, User-Agent, Bestätigungs-Zeitstempel, ggf. Stornogrund) — Aufbewahrung 7 Jahre mit dem Buchungs-Datensatz.
• Admin-Zugriffe auf verschlüsselte Ausweis-Bilder (Admin-Identität, Buchungs-ID, Zugriffs-Zeitstempel) — Aufbewahrung 3 Jahre.
• Tarif-Konfigurations-Änderungen pro Suite (Admin-Identität, Vorher/Nachher-Werte, Zeitstempel) — Aufbewahrung 7 Jahre (Bestandteil der Suite-Config-Snapshots laufender Buchungen).
• QES-Vorgänge (Buchungs-ID, e-signature.eu-Document-ID, gewählter Provider, Zeitstempel) — Aufbewahrung 7 Jahre als Bestandteil des Vertrags-Audit-Trails.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit, Sicherheit, Streitfall-Beweisführung).

Drittlandübermittlungen

Einige Dienstleister haben Sitz oder Konzernunternehmen in Drittländern, insbesondere den USA. Soweit personenbezogene Daten außerhalb der EU/des EWR verarbeitet werden, stütze ich mich auf geeignete Garantien wie EU-Standardvertragsklauseln, Auftragsverarbeitungsverträge, zusätzliche technische und organisatorische Maßnahmen oder einen Angemessenheitsbeschluss wie das EU-US Data Privacy Framework, sofern anwendbar. Kopien oder Informationen zu den verwendeten Garantien können über hello@felsgasse.com angefragt werden; zusätzlich sind die jeweils öffentlichen Unterlagen der Anbieter verlinkt.

• Cloudflare: USA/Konzernverarbeitung möglich; technische Verbindungsdaten, Sicherheitslogs, Seiten- und API-Proxy-Aufrufe; Absicherung über Cloudflare-DPA und EU-Standardvertragsklauseln.
• Stripe: Zahlungs- und Betrugspräventionsdaten; Stripe nennt EU-US Data Privacy Framework und EU-Standardvertragsklauseln als Transfermechanismen.
• Resend: transaktionale E-Mails einschließlich Buchungs-, Rechnungs- und Meldezettel-Kommunikation; Absicherung über Resend-DPA einschließlich Standardvertragsklauseln.
• GitHub: Quellcodeverwaltung und ausnahmsweise technische Fehlersuche; GitHub nennt Standardvertragsklauseln und Data Privacy Framework-Mechanismen.
• Airbnb: iCal- und Buchungsdaten, soweit Airbnb-Kalender oder Airbnb-Buchungen eingebunden sind; Airbnb verwendet Standardvertragsklauseln für einschlägige grenzüberschreitende Übermittlungen.
• BunnyWay: Auslieferung von Schriftarten und technische Zugriffsdaten; BunnyWay hat Sitz in der EU, kann aber je nach globaler CDN-Auslieferung Unterauftragsverarbeiter einsetzen.

Externe Verlinkungen

• Google Maps: Auf der Lage-Sektion finden Sie einen Link „In Google Maps öffnen". Erst beim Klick auf diesen Link verlassen Sie unsere Webseite und Google verarbeitet Ihre Daten gemäß Google-Datenschutzerklärung. Ohne Klick werden durch diese Website keine Google-Maps-Inhalte eingebettet und keine Daten an Google übertragen.

Speicherdauer

Buchungs-, Rechnungs-, Zahlungs-, Ortstaxen- und steuerlich relevante Daten werden grundsätzlich 7 Jahre aufbewahrt, soweit österreichische Buchhaltungs-, Steuer- oder Nachweispflichten dies erfordern. Eine längere Aufbewahrung kann erfolgen, wenn offene Ansprüche, Streitigkeiten, Rückbuchungen, Betrugsfälle oder gesetzliche Pflichten bestehen.

Anfragen ohne Buchung werden grundsätzlich spätestens nach 12 Monaten gelöscht, sofern keine Anschlusskommunikation, Buchung oder Rechtsanspruch eine längere Aufbewahrung erforderlich macht.

Stornierte Buchungen ohne Aufenthalt, Rechnung und Zahlung: Wenn eine Buchung storniert wird, der Kalender wieder freigegeben ist, keine Rechnung ausgestellt wurde und keine Zahlung erfolgt ist, werden die Daten nicht in der operativen Gästeliste weitergeführt. Die zugehörigen Buchungs- und Kontaktdaten können jedoch bis zu 12 Monate auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) aufbewahrt werden, um Stripe-Checkout-Vorgänge, gespeicherte Zahlungsmethoden, versehentliche Off-Session-Einzüge, technische Fehler, Missbrauchsversuche, Supportfälle oder spätere Rückabwicklungen nachvollziehen zu können. Danach werden diese Datensätze gelöscht oder anonymisiert, sofern keine Zahlung, Rechnung, Streitigkeit, gesetzliche Pflicht oder ein sonstiger Rechtsanspruch eine längere Aufbewahrung erfordert.

Ausweiskopien aller übernachtenden Gäste werden nur so lange gespeichert, wie sie für Identitätsprüfung, Meldepflicht, sichere Code-Übermittlung oder Anspruchsnachweis erforderlich sind, und danach gelöscht. Als interne Regel gilt: Löschung spätestens 30 Tage nach Zweckfortfall, sofern keine gesetzliche Pflicht oder kein konkreter Rechtsanspruch entgegensteht.

Technische Server- und Sicherheitslogs werden nur so lange gespeichert, wie dies für Betrieb, Sicherheit, Fehleranalyse und Missbrauchsabwehr erforderlich ist. Für Provider-Logs gelten zusätzlich die Speicherfristen der jeweiligen Dienstleister. Lokale Browserdaten bleiben bis zur Löschung durch Sie oder den Browser gespeichert.

Ihre Rechte

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung Ihrer Daten — soweit keine gesetzliche Aufbewahrungspflicht besteht (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)

Wenden Sie sich für die Ausübung dieser Rechte einfach per E-Mail an hello@felsgasse.com. Wenn eine Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Sie haben außerdem das Recht auf Beschwerde bei der österreichischen Datenschutzbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, E-Mail dsb@dsb.gv.at, Website dsb.gv.at.

Pflicht zur Bereitstellung von Daten

Für eine Buchung sind die im Buchungsprozess abgefragten Daten erforderlich. Ohne diese Daten kann keine Buchung, Zahlung, Rechnung, gesetzliche Meldung oder sichere Check-in-Abwicklung erfolgen. Freiwillige Angaben in Kontaktanfragen sind nicht verpflichtend, können aber für die Bearbeitung hilfreich sein.

Automatisierte Entscheidungen

Es findet keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO und kein Profiling zu Werbezwecken statt. Stripe kann zur Zahlungs- und Betrugsprävention eigene Prüfmechanismen einsetzen; hierfür gelten die Informationen von Stripe.

Cookies & lokale Speicherung

Diese Webseite verwendet keine Tracking-Cookies, kein Analytics und kein Werbe-Tracking. Es werden ausschließlich folgende technisch notwendige Daten lokal in Ihrem Browser gespeichert (Web Storage / localStorage):

• felsgasse-lang — Ihre gewählte Sprache (z. B. „de", „en"), damit die Seite beim nächsten Besuch in der bevorzugten Sprache angezeigt wird.
• felsgasse-cookie-ack — Speichert, dass Sie den Hinweis-Banner gesehen haben, damit er nicht bei jedem Besuch neu erscheint.
• felsgasse_admin_token — Nur im Admin-Portal: speichert den Admin-Login-Token lokal im Browser des Administrators.

Diese lokalen Daten dienen Bedienbarkeit und Sicherheit. Sie können sie jederzeit über die Browser-Einstellungen löschen. Die Rechtsgrundlage ist § 165 Abs. 3 TKG 2021 in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO.

Beim Aufruf der Webseite automatisch erhobene Daten

Beim Besuch der Seite werden durch Cloudflare und beim API-Aufruf durch den Hetzner-Server technische Daten verarbeitet, um die Website auszuliefern, Angriffe abzuwehren, Fehler zu analysieren und den Betrieb sicherzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

Datensicherheit

Die Website wird über HTTPS ausgeliefert. Buchungsdaten werden serverseitig gespeichert und sensible Felder werden in der Backend-Datenhaltung verschlüsselt. Zugriffe auf das Admin-Portal sind durch Login geschützt. Dennoch kann eine Datenübertragung im Internet nie vollständig risikofrei sein.