Datenschutzerklärung

Wie TravelSwallow personenbezogene Daten verarbeitet — Konto, Reisepläne, BYOK-KI-Schlüssel, KI-Verarbeitung, Cookies und deine Rechte nach DSGVO und DSG.

Wir nehmen den Schutz deiner personenbezogenen Daten ernst. Diese Datenschutzerklärung informiert dich gemäß der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG) darüber, welche Daten wir bei der Nutzung von TravelSwallow verarbeiten, zu welchem Zweck und auf welcher Rechtsgrundlage.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist:

Bei allen Fragen zum Datenschutz sowie zur Ausübung deiner Rechte erreichst du uns unter hello@webhoch.com.

2. Allgemeines

Wir verarbeiten personenbezogene Daten nur im notwendigen Umfang. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Verarbeitung erfolgt nur, wenn eine gesetzliche Grundlage besteht oder du eingewilligt hast. Soweit wir für die Verarbeitung deine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage; bei der Verarbeitung zur Erfüllung eines Vertrags Art. 6 Abs. 1 lit. b DSGVO; zur Erfüllung rechtlicher Verpflichtungen Art. 6 Abs. 1 lit. c DSGVO und zur Wahrung berechtigter Interessen Art. 6 Abs. 1 lit. f DSGVO.

3. Server-Logfiles

Beim Aufruf unserer Website erhebt der Server (nginx) automatisch Informationen, die dein Browser übermittelt, und speichert sie temporär in sogenannten Server-Logfiles. Erfasst werden:

• die anonymisierte bzw. gekürzte IP-Adresse des anfragenden Endgeräts,
• Datum und Uhrzeit des Zugriffs,
• die aufgerufene URL bzw. Datei,
• die Referrer-URL (zuvor besuchte Seite),
• der verwendete Browser und dessen Version,
• das Betriebssystem,
• der Hostname des zugreifenden Rechners.

Diese Daten dienen der Auslieferung der Website, der Gewährleistung von Stabilität und Sicherheit sowie der Fehleranalyse. Rechtsgrundlage ist unser berechtigtes Interesse am sicheren Betrieb (Art. 6 Abs. 1 lit. f DSGVO). Logfiles werden nach kurzer Zeit gelöscht, soweit sie nicht zur Aufklärung eines Sicherheitsvorfalls benötigt werden.

4. Hosting

Unsere Anwendung und Datenbank werden auf Servern in Österreich bzw. innerhalb der Europäischen Union betrieben. Mit dem Hosting-Dienstleister besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, der sicherstellt, dass die Daten ausschließlich nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet werden. Rechtsgrundlage für das Hosting ist Art. 6 Abs. 1 lit. b und lit. f DSGVO.

5. Konto / Registrierung

Zum Veröffentlichen und dauerhaften Speichern von Reiseplänen kannst du ein Konto anlegen. Dabei verarbeiten wir deine E-Mail-Adresse sowie dein Passwort, das ausschließlich als sicherer Hash (Verfahren: scrypt) gespeichert wird — dein Passwort im Klartext kennen wir nicht. Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO). Ohne Konto kannst du den Builder lokal im Browser nutzen.

6. Reiseplan- und Nutzerinhalte

Wenn du Reisepläne erstellst und speicherst, verarbeiten wir die von dir eingegebenen Inhalte (z. B. Titel, Tage, Programmpunkte, Orte, Notizen) sowie optionale PDF-Anhänge (etwa Tickets), die du selbst hochlädst. Diese Daten verarbeiten wir, um dir die Funktion „Reiseplan erstellen, speichern und teilen“ bereitzustellen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Inhalte veröffentlichter Pläne sind über den von dir geteilten Link abrufbar bzw. — bei Passwortschutz — nur nach Eingabe des Passworts.

7. Eigener KI-Schlüssel (BYOK)

TravelSwallow folgt dem Prinzip „Bring Your Own Key“: Für KI-Funktionen verwendest du deinen eigenen API-Schlüssel des jeweiligen Anbieters. Standardmäßig wird dieser Schlüssel ausschließlich lokal in deinem Browser gehalten. Entscheidest du dich, den Schlüssel komfortabel in deinem Konto zu hinterlegen, speichern wir ihn AES-256-GCM-verschlüsselt. Der Schlüssel wird niemals protokolliert (geloggt) und niemals an die Client-Seite zurückgegeben. Rechtsgrundlage ist deine Einwilligung bzw. die Vertragserfüllung (Art. 6 Abs. 1 lit. a und lit. b DSGVO). Du kannst einen gespeicherten Schlüssel jederzeit in den Einstellungen löschen.

8. KI-/LLM-Verarbeitung

Wenn du eine KI-Generierung auslöst, werden die dafür notwendigen Eingaben (Prompt-Inhalte, z. B. Reisewünsche) an den jeweiligen KI-Anbieter übermittelt und dort verarbeitet. Dabei sind zwei Konstellationen zu unterscheiden:

• Von uns finanzierte Generierungen (Standard): Bei kostenlosen Generierungen im Free-Tier sowie bei Generierungen aus kostenpflichtigen Tarifen und Paketen erfolgt die Verarbeitung über unseren KI-Anbieter Anthropic (Claude) auf unsere Kosten und mit unserem Schlüssel.
• Mit eigenem Schlüssel (BYOK): Hast du einen eigenen API-Schlüssel hinterlegt, erfolgt die Verarbeitung über den von dir gewählten Anbieter (Anthropic, OpenAI oder Google) mit deinem Schlüssel.

Es gelten die Datenschutzbestimmungen des jeweils eingesetzten Anbieters. Je nach Anbieter kann eine Übermittlung in ein Drittland (insbesondere die USA) erfolgen; in diesem Fall stützen sich die Anbieter auf geeignete Garantien wie die EU-Standardvertragsklauseln (SCC). Die Prompt-Inhalte werden bei uns nicht länger gespeichert, als dies für die Bereitstellung der Funktion erforderlich ist. Bitte übermittle keine sensiblen personenbezogenen Daten Dritter in KI-Eingaben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Funktionsbereitstellung) bzw. lit. a (Einwilligung).

9. Live-Wetter

Reisepläne können aktuelle Wetterdaten anzeigen. Diese Abfrage erfolgt clientseitig (in deinem Browser) direkt an api.open-meteo.com unter Übermittlung der Koordinaten des jeweiligen Reiseplan-Ortes. Dabei kann der Anbieter Open-Meteo technisch bedingt deine IP-Adresse verarbeiten. Es gelten die Datenschutzbestimmungen von Open-Meteo. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (Bereitstellung der angeforderten Funktion).

10. Cookies

Wir setzen ausschließlich technisch notwendige Cookies ein. Konkret sind das:

• ein Session-Cookie, das nach dem Login deine Anmeldung aufrechterhält, und
• Unlock-Cookies, die sich merken, dass du das Passwort eines passwortgeschützten Plans bereits korrekt eingegeben hast.

Wir verwenden keine Analyse-, Tracking- oder Marketing-Cookies und binden keine entsprechenden Dienste ein. Da die genannten Cookies für den Betrieb der von dir angeforderten Funktionen unbedingt erforderlich sind, bedürfen sie keiner Einwilligung; Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO.

11. Zahlungsabwicklung

Für kostenpflichtige Tarife (Plus, Pro), das „+5 Pläne“-Add-on und einmalige KI-Generierungs-Pakete wickeln wir Zahlungen über den Zahlungsdienstleister Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) ab. Dabei werden insbesondere folgende Daten verarbeitet:

• dein Name und deine E-Mail-Adresse,
• die Zahlungsdaten (z. B. Kreditkarten- oder Kontodaten), die du direkt bei Stripe eingibst und die wir selbst nicht einsehen oder speichern,
• Kunden-, Abo- und Zahlungs-IDs, die Stripe uns zur Zuordnung deiner Bestellung zurückmeldet.

Rechtsgrundlage ist die Erfüllung des Vertrags über die kostenpflichtige Leistung (Art. 6 Abs. 1 lit. b DSGVO). Stripe verarbeitet die Daten als eigenständig Verantwortlicher nach seinen eigenen Bestimmungen; Einzelheiten findest du in der Datenschutzerklärung von Stripe unter stripe.com/privacy. Solange du keine kostenpflichtige Leistung bestellst, werden über Stripe keine Daten verarbeitet.

12. Affiliate-Partner & Buchungslinks

Reisepläne können Buchungs- bzw. Ticketlinks zu Drittanbietern (z. B. GetYourGuide, Tiqets) enthalten. Diese sind als „Anzeige“ gekennzeichnete Affiliate-Links: Buchst du etwas über einen solchen Link, erhalten wir ggf. eine Provision — für dich ohne Aufpreis. Wenn du auf einen Affiliate-/Buchungslink klickst, wirst du zum jeweiligen Partner weitergeleitet; der Aufruf der Partnerseite erfolgt durch dich. Wir übermitteln dabei keine personenbezogenen Daten aktiv an den Partner. Auf der Zielseite können jedoch Cookies oder Tracking-Mechanismen des Partners greifen, auf die wir keinen Einfluss haben; hierfür gelten die Datenschutzbestimmungen des jeweiligen Partners. Rechtsgrundlage ist unser berechtigtes Interesse an der Finanzierung des kostenlosen Angebots (Art. 6 Abs. 1 lit. f DSGVO).

13. Transaktions-E-Mails

Im Rahmen der Vertragsabwicklung versenden wir an deine hinterlegte E-Mail-Adresse notwendige Transaktions-E-Mails (z. B. Bestätigungen zu Bestellungen, Abos oder Konto-Vorgängen). Der Versand erfolgt über unseren eigenen Mailserver. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. lit. f DSGVO (berechtigtes Interesse an der Information über dienstrelevante Vorgänge).

14. Speicherdauer

Konto- und Plandaten speichern wir bis zur Beendigung des Nutzungsverhältnisses bzw. bis zur Löschung deines Kontos. Du kannst dein Konto und alle damit verbundenen Daten jederzeit selbst in den Einstellungen löschen; danach werden die Daten gelöscht. Daten zu kostenpflichtigen Bestellungen werden zur Erfüllung gesetzlicher Aufbewahrungspflichten (insbesondere steuer- und handelsrechtlich) für die jeweils vorgeschriebene Dauer aufbewahrt. Server-Logfiles werden, wie unter Punkt 3 beschrieben, kurzfristig gelöscht.

15. Empfänger / Kategorien von Empfängern

Eine Weitergabe deiner Daten erfolgt nur an die für den Betrieb erforderlichen Empfänger, insbesondere:

• den Hosting-Dienstleister (Auftragsverarbeiter, Server in Österreich/EU),
• unseren KI-Anbieter Anthropic (bei von uns finanzierten Generierungen) bzw. den von dir gewählten KI-Anbieter (Anthropic, OpenAI oder Google) bei Nutzung eines eigenen Schlüssels,
• den Zahlungsdienstleister Stripe (nur bei kostenpflichtigen Bestellungen, siehe Punkt 11),
• Affiliate-Partner — ausschließlich durch deinen eigenen Klick auf einen Buchungslink (siehe Punkt 12),
• Open-Meteo (clientseitige Wetterabfrage),
• Behörden, soweit wir gesetzlich dazu verpflichtet sind.

Einen Verkauf deiner Daten oder eine Weitergabe zu Werbezwecken schließen wir aus.

16. Datenübermittlung in Drittländer

Eine Übermittlung in Drittländer findet insbesondere im Zusammenhang mit der KI-Verarbeitung (siehe Punkt 8) statt, wenn der eingesetzte Anbieter dort verarbeitet, sowie ggf. im Rahmen der Zahlungsabwicklung über Stripe. Diese Übermittlung erfolgt auf Grundlage geeigneter Garantien (insbesondere EU-Standardvertragsklauseln) bzw. eines Angemessenheitsbeschlusses, soweit ein solcher besteht.

17. Technische & organisatorische Maßnahmen (TOMs)

Wir treffen geeignete technische und organisatorische Maßnahmen zum Schutz deiner Daten, unter anderem Transportverschlüsselung (TLS/HTTPS), gehashte Passwortspeicherung (scrypt), AES-256-GCM-Verschlüsselung hinterlegter KI-Schlüssel, Zugriffsbeschränkungen sowie regelmäßige Aktualisierung der eingesetzten Software.

18. Deine Rechte

Dir stehen als betroffene Person folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an hello@webhoch.com.

19. Beschwerderecht

Unbeschadet anderer Rechtsbehelfe hast du das Recht, dich bei einer Aufsichtsbehörde zu beschweren. Für Österreich ist dies die Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien (www.dsb.gv.at).

20. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt. Die Ergebnisse der KI-Funktionen sind reine Vorschläge und entfalten keine rechtliche Wirkung dir gegenüber.

21. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für deinen erneuten Besuch gilt dann die jeweils aktuelle Fassung.