DATENSCHUTZERKLÄRUNG

von „Schlosshotels & Herrenhäuser“

English see below

1. ALLGEMEINES

1.1. Wir, der Verein „Schlosshotels & Herrenhäuser“, ZVR-Zahl 876610347, verarbeiten im Rahmen Ihrer Nutzung unserer App (das „Produkt“), Ihre personenbezogenen Daten. Wir behandeln die uns anvertrauten Daten streng vertraulich und gehen damit verantwortungsvoll um. Die Verarbeitung Ihrer personenbezogenen Daten erfolgt ausschließlich im Rahmen der Bestimmungen der Datenschutzgrundverordnung („DSGVO“) sowie des österreichischen Datenschutzgesetzes, in der jeweils geltenden Fassung.

1.2. Nachfolgend wollen wir Sie über uns sowie Art, Umfang und Zweck der Datenerhebung und -verwendung informieren, um Ihnen ein Verständnis der Verwendung Ihrer personenbezogenen Daten zu ermöglichen.

2. VERANTWORTLICHER FÜR DIE DATENVERWENDUNG

Verantwortlicher. Verantwortlicher für die Datenverwendung im Sinne der DSGVO sind wir, der Verein „Schlosshotels & Herrenhäuser“. Sie erreichen uns postalisch unter der im Impressum angegebenen Adresse sowie per E-Mail an info@schlosshotels.co.at.

3. VERARBEITUNG VON PERSONENBEZOGENEN DATEN

3.1. Allgemein. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen beispielsweise Ihr Name, Ihre Anschrift, Ihre Telefonnummer oder Ihr Geburtsdatum, aber auch Ihre IP-Adresse oder Geolokationsdaten, die einen Rückschluss auf Sie zulassen. Um Ihnen die Nutzung des Produkts zu ermöglichen, ist es für uns erforderlich, einige Kategorien an personenbezogenen Daten zu verarbeiten. Wir verarbeiten in diesem Rahmen jene personenbezogenen Daten, die Sie uns als Nutzer des Produkts durch Angaben, etwa im Rahmen der Registrierung, oder durch die Nutzung des Produkts zur Verfügung stellen („Daten“).

3.2. Übermittlung an den App Store. Beim Herunterladen des Produkts aus dem App Store werden die erforderlichen Informationen an den App Store übertragen, also insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihres Accounts, Zeitpunkt des Downloads, Zahlungsinformationen sowie individuelle Gerätekennziffer. Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten die Daten nur, soweit es für das Herunterladen der mobilen App auf Ihr mobiles Endgerät notwendig ist.

3.3. Daten. Folgende Daten werden bei der Nutzung des Produkts verarbeitet

3.3.1. Stammdaten: Persönliche Daten (Vor- und Zuname, Geschlecht, Geburtsdatum, Anrede, Kundennummer); Kontaktdaten: E-Mail-Adresse, Telefonnummer, Anschrift; Registrierungsdatum; Profilbild; bevorzugte Sprache; Benutzerstatus

3.3.2. Treueprogrammdaten: erhaltene Vorteile bzw. Leistungen, Ort und Zeitpunkt der Einlösung von Vorteilen bzw. Leistungen

3.3.3. Nutzungsdaten: letzte Aktivität; Zeitpunkt und Code eines eingelösten Coupons; abgegebene Bewertungen (Bewertung, Zeitpunkt, Kommentar, Betrieb); teilgenommene Umfragen (Zeitpunkt und Antworten); gesendete Formulare (Daten, Zeitpunkt); Einladungen (Einladungsdatum, Einladungscode, Zeitpunkt der Einlösung eines Einladungscodes, einladender Benutzer, eingeladener Benutzer); Facebook Posting (Post-ID, Nachricht sowie Datum eines Facebook-Postings aus der App); Instagram Posting (Post-ID, Zeitpunkt des Postings, Benutzername, Inhalt); genutzte Login-Methoden

3.3.4. Nachrichtenverlauf: Titel, Text, Datum, Typ (E-Mail oder Notifikation) sowie auslösende Aktion der Benachrichtigung (z. B. neues Angebot oder Geburtstagsglückwünsche); Information, ob und wann die Nachricht geöffnet wurde

3.3.5. Drittanbieter Logindaten: Facebook ID; Google ID; Apple ID

3.3.6. Erwerb des „Character“-Status; Ort und Zeitpunkt des Erwerbs; Gültigkeitsdauer des „Character“-Status

3.3.7. Mobilgerätedaten: Aktivität, IP-Adresse, Firebase-Identität, Geräte-Identität.

Zwecke. Zweck der Datenverarbeitung ist die Zurverfügungstellung unseres Kundenbindungsprogramms sowie die damit einhergehenden Marketingmaßnahmen. In diesem Zuge nutzen wir Ihre Daten zur Authentifizierung; Verwaltung des Vorteile-/Leistungskontos; Vergabe und Einlösung von Vorteilen bzw. Leistungen; zum Versand von Prämien; zur Durchführung von Umfragen; zum Teilen von Inhalten auf Social Media (z. B. Facebook, Instagram), zum Versand bzw. der Ausgabe von physischen Prämien, zur Erstellung von Statistiken zum Kaufverhalten der Kunden, zu Ihrer Benachrichtigung (E-Mail, Push-Benachrichtigung, Post, SMS).

3.4. Rechtsgrundlagen. Rechtsgrundlage der Datenverarbeitung sind

3.4.1. die Vertragserfüllung gemäß Art 6 Abs 1 lit b DSGVO;

3.4.2. die Wahrung unserer berechtigten Interessen gemäß Art 6 Abs 1 lit f DSGVO zur Durchführung von Marketingmaßnahmen gem. Erwägungsgrund 47 zur DSGVO.

3.4.3. gesetzliche Aufbewahrungspflichten (etwa zu buchhalterischen Zwecken) gem. Art. 6 Abs 1 lit c DSGVO

3.4.4. gegebenenfalls Ihre Einwilligung gemäß Art 6 Abs 1 lit a DSGVO, die wir erforderlichenfalls gesondert unter Hinweis auf die beabsichtigte Verarbeitung einholen.

3.5. Sicherheitsmaßnahmen. Die Daten werden vor unberechtigtem Zugriff durch Datensicherheitsmaßnahmen (verschlüsselte Übertragung, Pseudonymisierung der Daten, Rollenberechtigungskonzept, Datensicherungskonzept, Ausfallsicherheit) geschützt. Die Sicherungsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend überarbeitet.

4. WEITERGABE

4.1. Weitergabe. Daten werden von uns an Dritte nur weitergegeben bzw. übermittelt, wenn dies zum Zwecke der Vertragsabwicklung erforderlich ist, auf Anfrage von inländischen Behörden, aufgrund von Gerichtsentscheidungen oder wenn Sie, als Nutzer des Produkts, zuvor eingewilligt haben. Eine Übermittlung zum Zwecke der Vertragserfüllung betrifft beispielsweise unsere Übermittlung der Daten an einen Server im Inland oder an Unternehmen, die Ihre Daten in unserem Auftrag verarbeiten (Auftragsverarbeiter).

4.2. Übermittlungen.

4.2.1. Empfänger. Daten werden von uns an folgende Empfänger übermittelt:

Eine Übermittlung Ihrer Daten an Dritte findet grundsätzlich nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet, die Datenweitergabe ist zur Durchführung eines zwischen uns abgeschlossenen Vertragsverhältnisses erforderlich oder Sie haben zuvor ausdrücklich in die Weitergabe Ihrer Daten eingewilligt. Externe Auftragsverarbeiter oder sonstige Kooperationspartner erhalten Ihre Daten nur, soweit dies zur Vertragsabwicklung erforderlich ist, wir ein berechtigtes Interesse daran haben, das wir stets im Anlassfall gesondert bekannt geben oder, sofern dies aufgrund von Sondernormen erforderlich ist, mit Ihrer Zustimmung.

Ihre personenbezogenen Daten werden von uns nicht an Dritte veräußert oder anderweitig vermarktet. Sofern unsere Vertragspartner oder Auftragsverarbeiter ihren Sitz in einem Drittland, also einem Staat außerhalb des Europäischen Wirtschaftsraums (EWR) haben, informieren wir Sie über die Folgen dieses Umstands in der Beschreibung des Angebots.

Soweit einer unserer Auftragsverarbeiter mit Ihren personenbezogenen Daten in Berührung kommt, stellen wir sicher, dass diese die Vorschriften der Datenschutzgesetze in gleicher Weise einhält wie wir.

Jedenfalls übermitteln wir Ihre personenbezogenen Daten an unseren Dienstleister, die:

hello again GmbH, FN 467382b, Dr. Herbert-Sperl-Ring 3, 4060 Leonding, Österreich

4.2.2. Drittländer. Soweit es sich um Empfänger in Drittländern handelt, werden außerdem die folgenden Informationen erteilt:

Eine Übermittlung an Drittländer findet nur statt, sofern ein Angemessenheitsbeschluss der Europäischen Kommission oder geeignete oder angemessene Garantien gemäß Artikel 46, 47 oder 49 DSGVO vorliegen. Wir bieten gelegentlich einige Dienste an, in deren Zuge eine Datenübermittlung in die USA stattfindet bzw. stattfinden kann. Um diese Dienste nutzen zu können ist es – sofern kein anderer Rechtfertigungsgrund wie etwa die Erfüllung von vertraglichen Verpflichtungen besteht – jedoch erforderlich, dass Sie der Verwendung Ihrer über diese Dienste erfassten Daten gegebenenfalls auch in den USA zustimmen (Art 49 Abs. 1 lit. a DSGVO). Ihre Zustimmung ist erforderlich, da gemäß zuletzt ergangener Behörden- und Gerichtsentscheidungen und der Rechtsprechung des EuGH den USA kein angemessenes Datenschutzniveau bei der Verarbeitung von personenbezogenen Daten bescheinigt wird (C-311/18, Schrems II). In diesen Behörden- und Gerichtsentscheidungen wird insbesondere kritisch aufgezeigt, dass Zugriffe durch US-Behörden (FISA 0702) gesetzlich nicht umfassend eingeschränkt sind, keiner Genehmigung durch eine unabhängige Instanz bedürfen und keine relevanten Rechtsbehelfe bei entsprechenden Eingriffen für die Betroffenen zur Verfügung stehen. Wir haben – abgesehen von den mit US-Dienstleistern abgeschlossenen Verträgen – keinen unmittelbaren Einfluss auf den Zugriff von US-Behörden auf personenbezogene Daten, die bei Verwendung dieser Dienste an Dienstleister in die USA übertragen werden. Auch wenn wir davon ausgehen, dass unsere Dienstleister entsprechend den mit uns vertraglich getroffenen Vereinbarungen die erforderlichen Schritte setzen, das versprochene Schutzniveau zu gewährleisten, ist ein Zugriff durch US-Behörden auf in den USA verarbeitete Daten trotzdem denkbar. Wir ersuchen Sie daher vor Verwendung derartiger Dienste um Ihre Zustimmung zur Verarbeitung der Daten in den USA. Wir werden bei jedem Dienst bzw. jeder Applikation gesondert darauf hinweisen, dass die Möglichkeit einer Datenübertragung in die USA besteht.

5. SPEICHERDAUER UND LÖSCHUNG

5.1. Speicherdauer. Wir speichern Daten solange Sie als Nutzer unseres Produkts registriert sind. Darüber hinaus werden Daten nur in dem Umfang gespeichert, als dies gesetzlich notwendig (z.B. wegen Gewährleistungs-, Verjährungs- und Aufbewahrungsfristen) oder sonst geboten ist.

5.2. Löschung. Eine Löschung von Daten erfolgt, wenn Sie (a) die Einwilligung zur Speicherung widerrufen, (b) die Daten zur Erfüllung des Nutzungsvertrages bezüglich des Produktes nicht mehr erforderlich sind, oder (c) die Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist bzw. wird.

6. IHRE RECHTE

Gemäß der Datenschutz-Grundverordnung und dem Datenschutzgesetz stehen Ihnen als betroffene Person unserer Datenverarbeitung folgende Rechte und Rechtsbehelfe zu:

6.1. Recht auf Auskunft (Art. 15 DSGVO) Sie haben als betroffene Person der oben beschriebenen und sonstigen Datenverarbeitung das Recht, Auskunft darüber zu verlangen, ob und wenn ja, welche personenbezogenen Daten über sie verarbeitet werden. Zu Ihrem eigenen Schutz – damit niemand Unberechtigter Auskunft über Ihre Daten erhält – werden wir vor Auskunftserteilung ihre Identität in geeigneter Form nachprüfen.

6.2. Recht auf Berichtigung (Art. 16) und Löschung (Art. 17 DSGVO) Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten bzw. – unter Berücksichtigung der Zwecke der Datenverarbeitung – die Vervollständigung unvollständiger personenbezogener Daten sowie die Löschung Ihrer Daten zu verlangen, sofern die Kriterien des Art. 17 DSGVO erfüllt sind.

6.3. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) Sie haben unter den gesetzlichen Voraussetzungen das Recht auf Einschränkung der Verarbeitung sämtlicher erhobener personenbezogener Daten. Diese Daten werden ab dem Einschränkungsantrag nur mehr mit Ihrer individuellen Einwilligung bzw. zur Geltendmachung und Durchsetzung von Rechtsansprüchen verarbeitet.

6.4. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Sie können die ungehinderte und uneingeschränkte Übermittlung von personenbezogenen Daten, die Sie uns bereitgestellt haben, an Sie oder einen Dritten verlangen.

6.5. Widerspruchsrecht (Art. 21 DSGVO) Sie können aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die zur Wahrung unserer berechtigten Interessen oder der eines Dritten erforderlich sind, einlegen. Ihre Daten werden nach Widerspruch nicht mehr verarbeitet, es sei denn, es liegen zwingende schutzwürdige Gründe für die Verarbeitung vor, die Ihre Interessen, Rechte und Freiheiten überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Gegen die Datenverarbeitung zum Zweck der Direktwerbung können Sie jederzeit Widerspruch mit Wirkung für die Zukunft erheben.

6.6. Widerruf einer Einwilligung Falls Sie separat eine Einwilligung zur Verarbeitung Ihrer Daten erteilt haben, können Sie diese jederzeit widerrufen. Ein solcher Widerruf beeinflusst die Zulässigkeit der Verarbeitung Ihrer personenbezogenen Daten, nachdem Sie ihn uns gegenüber ausgesprochen haben.

Ergreifen Sie eine Maßnahme zur Durchsetzung Ihrer oben aufgeführten Rechte aus der DSGVO, so haben wir unverzüglich, spätestens aber innerhalb eines Monats nach Eingang Ihres Antrags, zur beantragten Maßnahme Stellung zu nehmen bzw. dem Antrag zu entsprechen. Wir werden auf alle angemessenen Anfragen im gesetzlichen Rahmen unentgeltlich und möglichst umgehend reagieren.

Für Anträge betreffend Verletzung des Rechtes auf Auskunft, Verletzung der Rechte auf Geheimhaltung, auf Richtigstellung oder auf Löschung ist die Datenschutzbehörde zuständig. Deren Kontaktdaten lauten:

Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, Österreich dsb@dsb.gv.at

PRIVACY POLICY
of “Schlosshotels & Herrenhäuser”

1. GENERAL INFORMATION

1.1. We, the association “Schlosshotels & Herrenhäuser,” ZVR number 876610347, process your personal data in the course of your use of our app (the “Product”). We handle the data entrusted to us in the strictest confidence and do so responsibly. The processing of your personal data is carried out exclusively within the framework of the provisions of the General Data Protection Regulation (“GDPR”) and the Austrian Data Protection Act, each in its applicable version.

1.2. Below, we provide information about ourselves and the nature, scope, and purpose of the collection and use of your data, thereby ensuring you clearly understand how your personal data is used.

2. DATA CONTROLLER

Data Controller. The controller for data usage as defined by the GDPR is us, the association “Schlosshotels & Herrenhäuser.” You may contact us by post at the address provided in the imprint or via email to info@schlosshotels.co.at.

3. PROCESSING OF PERSONAL DATA

3.1. General. Personal data refers to any information relating to an identified or identifiable natural person. This includes, for example, your name, address, telephone number, or date of birth, as well as your IP address or geolocation data, which may be used to identify you. To enable you to use the Product, it is necessary for us to process certain categories of personal data. We process the personal data you provide to us as a user of the Product, whether through registration or use of the Product (“Data”).

3.2. Transmission to the App Store. When downloading the Product from the App Store, the required information is transmitted to the App Store, including your username, email address, customer account number, time of download, payment information, and unique device identifier. We have no influence on this data collection and are therefore not responsible for it. We only process the data necessary for downloading the mobile app onto your device.

3.3. Data. The following data is processed when using the Product

3.3.1. Basic data: Personal data (first and last name, gender, date of birth, title, customer number); contact data (email address, telephone number, address); registration date; profile picture; preferred language; user status

3.3.2. Loyalty program data: Benefits or services received, location and time of redemption of benefits or services

3.3.3. Usage data: Most recent activity; time and code of redeemed coupons; submitted reviews (rating, time, comment, business); participation in surveys (time and responses); submitted forms (data, time); invitations (invitation date, invitation code, time of redemption, inviting user, invited user); Facebook posts (post ID, message, and date of posts from the app); Instagram posts (post ID, time of posting, username, content); login methods used

3.3.4. Message history: Title, text, date, type (email or notification), and triggering action of the notification (e.g., new offers or birthday greetings); information pertaining to whether and when the message was opened

3.3.5. Third-party login data: Facebook ID; Google ID; Apple ID

3.3.6. Acquisition of “Character” status: Location and time of acquisition; validity period of the “Character” status

3.3.7. Mobile device data: Activity, IP address, Firebase identity, device identity.

Purposes. The purpose of data processing is to provide our customer loyalty program and related marketing activities. In this context, we use your data for authentication; management of the benefits/services account; granting and redeeming benefits or services; sending rewards; conducting surveys; sharing content on social media (e.g., Facebook, Instagram); dispatch or issuance of physical rewards; creation of statistics on customer purchasing behavior; notifications (via email, push notifications, mail, SMS).

3.4. Legal Foundations. The legal foundations for data processing are:

3.4.1. Fulfillment of contractual obligations under Article 6(1)(b) GDPR;

3.4.2. Legitimate interests under Article 6(1)(f) GDPR, specifically for conducting marketing activities in line with Recital 47 of the GDPR.

3.4.3. Compliance with legal retention obligations (e.g., for accounting purposes) under Article 6(1)(c) GDPR

3.4.4. Where applicable, your consent under Article 6(1)(a) GDPR, which we will obtain separately and with specific reference to the processing intended.

3.5. Security Measures. Your data is protected against unauthorized access through security measures such as encrypted transmission, pseudonymization, role-based access control, data backup systems, and fail-safety protocols. These measures are continuously updated consistent with technological advancements.

4. DISCLOSURE OF DATA

4.1. Disclosure. Data is only shared or transferred to third parties when necessary for contract execution, upon request from domestic authorities, due to court orders, or when you, as the user of the Product, have given prior consent. Transfers for contract execution include, for example, the transmission of data to a domestic server within Austria or to companies contracted to process data on our behalf (processors).

4.2. Transfers.

4.2.1. Recipients. Data is transferred to the following recipients:

As a general rule, your data will not be shared with third parties unless required by law, insofar as necessary for fulfilling a contractual relationship between us, or explicitly consented to by you beforehand. External processors or other cooperating partners only receive your data as necessary for contract execution, if we have a legitimate interest (which we will always disclose in specific cases), or if required under specific legal provisions with your consent.

Your personal data is neither sold nor otherwise marketed to third parties. If our contractual partners or processors are based in a third-party country (outside the European Economic Area, EEA), we will inform you of the implications of this in the service description.

Insofar as one of our contracted processors comes into contact with your personal data, we ensure their compliance with data protection laws in the same manner as we ourselves do.

In any case, we transfer your personal data to our service provider:

hello again GmbH, FN 467382b, Dr. Herbert-Sperl-Ring 3, 4060 Leonding, Austria

4.2.2. Third-Party Countries. If recipients are located in third-party countries, the following will also apply:

Data is only transferred to third-party countries insofar as there is an adequacy decision by the European Commission or appropriate safeguards under Articles 46, 47, or 49 GDPR. We occasionally offer services that do, or may involve data transfers to the USA. For such services, unless another justification (e.g., fulfillment of contractual obligations) exists, your consent for processing data collected through these services in the USA may be required (Article 49(1)(a) GDPR). Your consent is required because, according to recent authority and court decisions, including the European Court of Justice (CJEU) ruling (C-311/18, Schrems II), the USA does not provide an adequate level of data protection. These decisions specifically highlight the lack of comprehensive restrictions on access by US authorities (FISA 702), the absence of independent approval mechanisms, and the unavailability of effective legal remedies for affected individuals. Aside from contracts with US service providers, we have no direct influence over US authorities' access to personal data transferred to the USA when using these services. While we expect our service providers to take all necessary steps to ensure the agreed-upon level of protection, access by US authorities to data processed in the USA cannot be ruled out. As a consequence, we request your consent before using such services. We will always specifically indicate any potential data transfers to the USA for each service or application.

5. STORAGE PERIOD AND DELETION

5.1. Storage Period. We store data as long as you remain a registered user of our Product. Additionally, data is retained only to the extent necessary to meet legal obligations (e.g., warranty, statute of limitations, or retention periods) or otherwise required.

5.2. Deletion. Data will be deleted if (a) you withdraw your consent to its storage, (b) the data is no longer necessary for fulfilling the user agreement related to the Product, or (c) storage becomes impermissible for other legal reasons.

6. YOUR RIGHTS

Under the GDPR and the Austrian Data Protection Act, you have the following rights and remedies as an affected person:

6.1. Right to Access (Article 15 GDPR) As an affected person, you have the right to request information on whether, and specifically which personal data concerning you is being processed. To protect your data and ensure no unauthorized access to your data, we will verify your identity in an appropriate manner before providing such information.

6.2. Right to Rectification (Article 16) and Erasure (Article 17 GDPR) You have the right to request prompt correction of inaccurate personal data or completion of incomplete data concerning you with respect to the purposes of the data being processed. Additionally, you may request the deletion of your data insofar as the conditions of Article 17 GDPR are met.

6.3. Right to Restrict Processing (Article 18 GDPR) You have the right, under the conditions stipulated by law, to request the restriction of the processing of all collected personal data. From the moment such a restriction is requested, this data will only be processed with your individual consent or for the establishment, exercise, or defense of legal claims.

6.4. Right to Data Portability (Art. 20 GDPR) You have the right to request the unhindered and unrestricted transfer of personal data you have provided to us, either to yourself or to a third party.

6.5. Right to Object (Art. 21 GDPR) You have the right, at any time and for reasons arising from your own particular situation, to object to the processing of your personal data being carried out based on our legitimate interests or those of a third party. Following such an objection, your data will no longer be processed unless there are compelling legitimate grounds for processing thereof that override your interests, rights, and freedoms, or if said processing serves to establish, exercise, or defend legal claims. You may also object to the processing of your data for direct marketing purposes at any time, with future effect.

6.6. Right to Withdraw Consent If you have separately granted consent for the processing of your data, you may withdraw this consent at any time. Such a withdrawal will affect the legality of the processing of your personal data as of the moment it is communicated to us.

If you take steps to exercise your aforementioned rights under the GDPR, we are obligated to respond without delay and no later than one month after receipt of your request, either by taking the requested action or providing a statement regarding the request. We will respond to all reasonable inquiries within the legal framework, free of charge and as promptly as possible.

For complaints regarding the violation of the right to access, confidentiality, correction, or deletion, you may contact the Data Protection Authority. Their contact details are as follows:

Austrian Data Protection Authority, Barichgasse 40-42, 1030 Vienna, Austria dsb@dsb.gv.at