Datenschutzerklärung

1. Verantwortlicher

G + R Servicebetriebe GmbH

Erzherzog Johann-Straße 84

8054 Seiersberg, Österreich

Telefon: +43 316 281020

E-Mail: graz@iamhotel.at

Verantwortlich für die Verarbeitung personenbezogener Daten auf dieser Website.

2. Zwecke und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken:

Bereitstellung der Website und IT-Sicherheit

(Server-Logs, notwendige Cookies)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

Nutzerkonto & Terminbuchungen

Daten: E-Mail, Name, Telefonnummer, Termin-Details, Motivationstext.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Hinweis: Freitextangaben ("Motivation") können Gesundheitsbezug haben. Diese verarbeiten wir nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).

Zahlungsabwicklung (Stripe)

Daten: Rechnungs- und Zahlungsdaten (Betrag, Währung, Rechnungsadresse, Zahlungsreferenzen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

Rechnungslegung & Buchhaltung

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO iVm BAO/UGB (7 Jahre Aufbewahrung).

E-Mail-Kommunikation (Brevo/Sendinblue)

Terminbestätigungen und Erinnerungen (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO).
Newsletter nur nach Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO; Widerruf jederzeit möglich).

Content Management (Sanity)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (effiziente Verwaltung von Inhalten).

Google Tag Manager

Wir verwenden den Google Tag Manager der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland.

Der Tag Manager dient der Verwaltung von Website-Tags über eine einheitliche Oberfläche. Das Tool selbst (der Tag Manager) verarbeitet keine personenbezogenen Daten der Nutzer. Er sorgt lediglich für die Auslösung anderer Tags, die ihrerseits Daten erfassen können (z. B. Google Analytics oder Google Ads). Der Google Tag Manager greift nicht auf diese Daten zu.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Verwaltung von Tracking-Tags).

Empfänger: Google Ireland Limited; ggf. Übermittlung an Google LLC, USA auf Basis der EU-Standardvertragsklauseln / Data Privacy Framework.

Weitere Informationen: https://policies.google.com/privacy

Google Analytics (Statistik)

Wir nutzen Google Analytics über den Google Tag Manager, um die Nutzung unserer Website zu analysieren und zu verbessern.

pseudonyme Nutzungsdaten (Seitenaufrufe, Interaktionen)
gekürzte IP-Adresse (IP-Anonymisierung)
Geräte-/Browser-Informationen

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Empfänger: Google LLC (USA). Übermittlung: auf Basis der EU-Standardvertragsklauseln / EU-US Data Privacy Framework.

Sie können Ihre Auswahl jederzeit über "Cookie-Einstellungen" im Footer ändern.

Google Maps (interaktive Karte)

Auf unserer Kontaktseite können Sie eine interaktive Karte von Google Maps laden. Diese wird erst nach Ihrem Klick auf "Karte laden" eingebunden.

Datenverarbeitung beim Laden der Karte:
> Übertragung Ihrer IP-Adresse an Google LLC, USA
> Mögliche Speicherung von Cookies durch Google
> Verarbeitung gemäß den Datenschutzbestimmungen von Google

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellung unseres Standorts).
Widerspruch: Sie können die Karte jederzeit durch Neuladen der Seite ausblenden.

Weitere Informationen: https://policies.google.com/privacy

Google reCAPTCHA (Spam-Schutz)

Wir verwenden "Google reCAPTCHA" (Version 3) von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, um unsere Formulare (Registrierung, Login, Kontakt) vor missbräuchlicher Nutzung durch automatisierte Programme ("Bots") zu schützen.
Bei der Nutzung von reCAPTCHA werden Nutzungsdaten (z. B. IP-Adresse, Mausbewegungen, Verweildauer, Browser- und Geräteinformationen) an Google übertragen und dort ausgewertet, um festzustellen, ob es sich um eine menschliche Interaktion handelt. Dies erfolgt automatisch im Hintergrund, ohne dass ein "Ich bin kein Roboter"-Kästchen angezeigt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Spam und Missbrauch).
Empfänger: Google Ireland Limited, ggf. Konzernübermittlung an Google LLC, USA.
Schutzmaßnahmen: Einsatz der EU-Standardvertragsklauseln (SCC) und zusätzliche organisatorische Maßnahmen.

Weitere Informationen: https://policies.google.com/privacy

2a. Newsletter (E-Mail-Marketing)

Wir, die G + R Servicebetriebe GmbH (Betreiberin der I AM Hotels sowie I AM Vital Lounge), verwenden den Dienst Brevo (vormals Sendinblue) der Brevo Group als externen Dienstleister für den Versand von Newslettern. Dabei gilt:

Durch die Anmeldung zu unserem Newsletter willigen Sie ausdrücklich ein, dass wir Ihnen regelmäßig Informationen zu Angeboten, Neuigkeiten und Veranstaltungen unserer Betriebe (Hotel, Vital Lounge etc.) per E-Mail zusenden dürfen. Die Anmeldung erfolgt im Double-Opt-In-Verfahren (Sie erhalten nach Registrierung eine Bestätigungsmail mit Aktivierungslink).
Der Versand des Newsletters erfolgt nur mit Ihrer vorherigen Einwilligung (Art 6 Abs 1 Satz 1 a DSGVO). Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (siehe Punkt 8 „Betroffenenrechte“).
Bei der Anmeldung über verschiedene Kanäle (z. B. Online-Formular, QR-Code, Formular in der Vital Lounge etc.) können getrennte Listen geführt werden (z. B. Hotel-Newsletter, Vital Lounge-Newsletter); die Datenverarbeitung erfolgt jeweils unter dem genannten Verantwortlichen.
Für den Versand und die Optimierung des Newsletters nutzt Brevo automatisiert Tracking-Maßnahmen (z. B. Öffnungs- und Klick-Auswertung). Die so erhobenen Daten werden pseudonymisiert ausgewertet, um die Versandqualität zu verbessern. Sie können dieser Verarbeitung jederzeit widersprechen.
Ihre E-Mail-Adresse und die zugehörigen Anmeldedaten werden gespeichert, solange die Einwilligung besteht bzw. der Newsletter aktiv genutzt wird. Wird die Einwilligung widerrufen, löschen bzw. anonymisieren wir Ihre Daten.
Jede Newsletter-E-Mail enthält einen Abmeldelink. Alternativ können Sie Ihre Einwilligung per E-Mail an graz@iamhotel.at oder telefonisch unter +43 316 281020 widerrufen. Nach Wirksamwerden des Widerrufs werden Ihre Daten in unserer Versandliste gelöscht bzw. deaktiviert.
Die Verarbeitung Ihrer Daten für den Newsletter-Versand erfolgt auf Grundlage Ihrer Einwilligung und im Rahmen der Wahrung Ihrer Kommunikations- und Informationsinteressen. Für den Einsatz von Brevo besteht ein Auftragsverarbeitungsvertrag gemäß Art 28 DSGVO. Weitere Informationen zu Brevo finden Sie unter https://www.brevo.com/legal/termsofuse/.

3. Empfänger / Auftragsverarbeiter

Wir setzen externe Dienstleister (Auftragsverarbeiter) ein:

Vercel Inc., USA – Hosting und Auslieferung der Website.
Stripe Payments Europe Ltd., Irland – Zahlungsabwicklung; Konzernübermittlung an Stripe, Inc., USA.
Brevo/Sendinblue – E-Mail-Versand (Transaktionen & Newsletter).
Sanity AS, Norwegen/USA – Headless CMS.
Google LLC, USA – Interaktive Karten (nur bei expliziter Nutzeraktivierung).
Google Ireland Limited / Google LLC, USA – Spam- und Missbrauchsschutz (reCAPTCHA v3).
Google Ireland Limited / Google LLC, USA – Tag Management (Google Tag Manager).

📄 Mit allen Anbietern haben wir Datenschutzverträge (DPA) abgeschlossen. Bei Übermittlungen in Drittländer (USA) verwenden wir die EU-Standardvertragsklauseln (SCC) und treffen zusätzliche Schutzmaßnahmen (Art. 44 ff. DSGVO).

4. Cookies und ähnliche Technologien

Wir verwenden technisch notwendige Cookies sowie – mit Ihrer Einwilligung – optionale Cookies.

Notwendig (immer aktiv)

Session-Cookie "vl_auth" (JWT-Token): für Authentifizierung, Session-Cookie (Standard - läuft ab bei Browser-Schließung) oder 90 Tage (Benutzer bei "Angemeldet bleiben" - überlebt Browser-Neustart), httpOnly, secure.

Optionale Cookies (z. B. Google Analytics für Statistik) werden nur nach Einwilligung gesetzt.

Cookies (Beispiele)

_ga – unterscheidet Nutzer (Speicherdauer z. B. 2 Jahre)
_ga_<ID> – Sitzungszustand/Seitenaufrufe (z. B. 2 Jahre)
_gid – unterscheidet Nutzer (24 Stunden)
_gat – Drosselung von Anfragen (1 Minute)

Sie können Ihre Auswahl jederzeit über den Link ‘Cookie-Einstellungen’ im Footer ändern.

5. Speicherdauer

Nutzerkonto & Buchungen: bis zur Löschung durch Nutzer oder Wegfall des Zwecks.
Rechnungs- und Zahlungsdaten: 7 Jahre (§ 132 BAO, § 212 UGB).
Newsletter-Daten: bis Widerruf der Einwilligung.
Einmalcode-Tokens: nur für die Gültigkeitsdauer (max. 10 Minuten), danach automatische Löschung.
Rate-Limiting-Signale (ipHash, Zähler): 14 Tage, anschließend automatische Löschung.
Transaktionale E-Mail-Logs: aus technischen Gründen bis zu 1 Monat, anschließend automatische Löschung.
Server-Logs: max. 30 Tage.

6. Löschung und Einschränkung

Nutzer können ihr Konto jederzeit löschen. Dabei werden:

Profildaten anonymisiert,
Sessions beendet,
Newsletter-Abonnements beendet,
Stripe-Kundendaten minimiert oder gelöscht.

⚠️ Rechnungs- und Buchhaltungsdaten bleiben für die gesetzliche Dauer gespeichert (Art. 17 Abs. 3 lit. b DSGVO).

7. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein (TLS-Verschlüsselung, Zugriffsbeschränkungen, Hashing von Einmalcodes, Pseudonymisierung mittels ipHash, Rate-Limiting).

8. Betroffenenrechte

Sie haben nach der DSGVO das Recht auf:

Auskunft (Art. 15),
Berichtigung (Art. 16),
Löschung (Art. 17),
Einschränkung (Art. 18),
Datenübertragbarkeit (Art. 20),
Widerspruch (Art. 21),
Widerruf von Einwilligungen (Art. 7 Abs. 3).

9. Beschwerderecht

Betroffene haben das Recht, bei der österreichischen Datenschutzbehörde (DSB) Beschwerde einzulegen:

Barichgasse 40–42, 1030 Wien, Österreich

E-Mail: dsb@dsb.gv.at, Web: dsb.gv.at

10. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu ändern (z. B. bei neuen Diensten oder rechtlichen Vorgaben).