Datenschutzerklärung

1. Verantwortlicher

Bundesverband Wärmewende Austria
Franzensdorf 55
A-2301 Groß-Enzersdorf
ZVR: 1563813980
E-Mail: datenschutz@bvww.at

Technischer Betrieb durch Theseus-AT e.U. (siehe Impressum) im Auftrag des Verbands.

2. Welche Daten wir verarbeiten und warum

2.1 Direktanfragen und mehrstufige Anfragen

Wenn Sie über die Formulare unter /anfrage oder /direktanfrage eine Dienstleistung anfragen, verarbeiten wir Name, E-Mail-Adresse, optional Telefonnummer, Postleitzahl, Ort, Straße, gewähltes Gewerk sowie den freien Beschreibungstext Ihres Anliegens. Diese Daten werden ausschließlich an die für Ihre Region zuständige Zonensprecherin bzw. den zuständigen Zonensprecher (Verbandsmitglied) sowie nachgelagert an passende Mitgliedsbetriebe weitergegeben. Österreich ist im Verband in 40 Zonen aufgeteilt; jede Zone wird von einem Zonensprecher betreut.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen).
Speicherdauer: Bis zur Erledigung der Anfrage. Anschließend gemäß § 132 BAO und § 212 UGB für maximal sieben Jahre, sofern aus der Anfrage ein Geschäftsfall entstanden ist.

2.2 Mitglieder-Login (Magic-Link)

Mitgliedsbetriebe, Zonensprecher, Industriepartner und Admins melden sich passwortlos per Magic-Link an. Wir verarbeiten dazu Ihre E-Mail-Adresse und einen technischen Anmelde-Token, der nur in gehashter Form (SHA-256) in der Datenbank gespeichert wird. Der Token ist 90 Minuten gültig und nach erstmaliger Verwendung verfallen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag über die Mitgliedschaft).
Speicherdauer: Magic-Link-Tokens werden nach Ablauf bzw. Verwendung automatisch gelöscht. Sessions enden nach 30 Tagen Inaktivität.

2.3 Onboarding und Stammdaten

Bei Aufnahme eines Mitgliedsbetriebs erfassen wir Firmenname, UID-Nummer, Anschrift, Kontaktdaten, Mitarbeiterzahl sowie die für die Zonenzuordnung notwendige Postleitzahl. Diese Daten dienen ausschließlich der Verbandsverwaltung und der Auftragsvermittlung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Für die Dauer der Mitgliedschaft, danach gelöscht — soweit keine handels- oder steuerrechtliche Aufbewahrungsfrist (sieben Jahre) entgegensteht.

2.4 Projekte, Angebote und Nachrichten

Im Mitgliederbereich werden Projektdaten, Angebots-PDFs und projektbezogene Nachrichten verarbeitet. Beteiligte Personen (Zonensprecher, Mitgliedsbetriebe, in einzelnen Fällen Endkundinnen und Endkunden über Token-Links) erhalten gezielten Zugriff auf jene Daten, die für die Auftragsabwicklung erforderlich sind.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Sieben Jahre nach Abschluss des Projekts (UGB/BAO).

2.5 Audit-Log

Sicherheitsrelevante Änderungen im Mitglieder- und Admin-Bereich (Statusänderungen, Zonen-Zuordnungen, Freischaltungen, Datenexporte usw.) werden mit Zeitstempel, Benutzer-ID und IP-Adresse protokolliert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachvollziehbarkeit und Sicherheit).
Speicherdauer: 24 Monate, danach automatische Löschung.

2.6 Server-Logs und Sicherheits-Ereignisse

Für die Aufrechterhaltung des Betriebs und die Abwehr automatisierter Angriffe (z. B. WordPress-Scanner, Bots) verarbeiten wir bei Aufruf der Webseite IP-Adresse, User-Agent, angefragte URL, Statuscode und Zeitstempel. Verdächtige Zugriffe werden in einer separaten Sicherheits-Tabelle abgelegt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Verfügbarkeit und IT-Sicherheit).
Speicherdauer: 90 Tage, danach automatische Löschung.

2.7 Rate-Limiting

Zur Eindämmung von Missbrauch zählen wir bestimmte Aktionen pro IP-Adresse (Anfragen, Magic-Link-Anforderungen) in einem flüchtigen In-Memory-Speicher. Diese Daten werden weder dauerhaft persistiert noch mit anderen Daten verknüpft und sind nach einem Container-Neustart vollständig weg.

3. Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein. Mit jedem besteht ein Vertrag nach Art. 28 DSGVO.

• IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Deutschland — Hosting der Anwendung und der SQLite-Datenbank auf einem dedizierten VPS innerhalb der EU.
• Sendinblue / Brevo SAS, 106 boulevard Haussmann, 75008 Paris, Frankreich — Versand transaktionaler E-Mails (Magic-Links, Anfragebestätigungen, Angebots-Mails). Verarbeitung in der EU.
• BunnyWay d.o.o. (Bunny.net), Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien — Verschlüsselte, regelmäßige Backups der Datenbank (Litestream-Replikation). Daten werden in der EU gespeichert.

Eine Übermittlung in unsichere Drittländer findet nicht statt.

4. Empfänger Ihrer Daten

Anfragedaten erreichen ausschließlich folgende Empfängergruppen:

• Zonensprecher: das ehrenamtliche Verbandsmitglied, das Ihre Postleitzahl in einer der 40 BVWW-Zonen betreut.
• Mitgliedsbetrieb: das ausführende Unternehmen, das vom Zonensprecher mit der Bearbeitung Ihrer Anfrage beauftragt wird.
• Zonensprecher einer Nachbarzone: nur wenn ein passender Betrieb in der eigenen Zone fehlt und der dortige Zonensprecher die Übergabe ausdrücklich freigibt (Cross-Zone-Mechanismus).
• Verbandsadministration: zur Streitbeilegung oder bei Eskalation.

Eine Weitergabe an Werbenetzwerke, Datenhändler oder sonstige Dritte findet nicht statt.

5. Cookies und Speichertechnologien

Wir verwenden ausschließlich technisch notwendige First-Party-Cookies. Es kommen keine Analyse-, Tracking- oder Marketing-Cookies zum Einsatz. Ein Consent-Banner wird beim ersten Besuch eingeblendet — er dient ausschließlich der Opt-In-Steuerung der Live-Wetter- Anzeige im Hero (siehe Abschnitt 6).

6. Eingebettete Inhalte und externe Ressourcen

Schriftarten werden ausschließlich lokal von unserem eigenen Server ausgeliefert; es findet kein Aufruf von Google Fonts, Adobe Fonts oder ähnlichen Drittanbietern statt.

Werbebanner (nexus.digitaleprojekte.at)

Auf der Startseite und auf den 15 Service-Seiten wird ein verbandseigenes Werbebanner per <iframe> von nexus.digitaleprojekte.at geladen. Diese Banner-Plattform wird von der Theseus-AT e.U. (siehe Impressum, technischer Betreiber dieser Webseite) zur Verfügung gestellt. Beim Aufruf werden lediglich die für die Auslieferung notwendigen technischen Daten (IP-Adresse, User-Agent) sowie eine Banner-Klickrate erfasst — bewusst keine Tracker, Cookies oder Analyse-Skripte von Google, Meta oder anderen Werbenetzwerken.

Live-Wetter im Hero (Open-Meteo)

Die Wetter-Animation auf der Startseite (Sonne, Wolken, Wind, Schnee, Sturm, Nebel, Hagel, Tag/Nacht-Übergang) kann optional reales aktuelles Wetter abrufen. Datenquelle ist Open-Meteo, betrieben durch die Open-Meteo OpenSource gGmbH (Hisingens Backe 13, 410 26 Göteborg, Schweden — Server-Standort in der EU). Open-Meteo erhebt keine Cookies, verwendet keine Tracker und bietet die Schnittstelle ohne API-Key frei nutzbar an.

Der Aufruf erfolgt serverseitig über einen Proxy bei uns (/api/weather) — Open-Meteo erhält daher ausschließlich die Server-IP unseres VPS, niemals Ihre Browser-IP. Übermittelte Daten:

• Standort-Daten: standardmäßig ein Wien-Fallback (48.21 / 16.37) für alle Besucher:innen — Ihre individuelle Position wird nicht ermittelt.
• Optional Ihr Standort: nur wenn Sie aktiv den Button „📍 Mein Wetter" klicken und die Browser-Geolocation-Abfrage bestätigen, werden Ihre Koordinaten (gerundet auf ~11 km Genauigkeit) für eine einmalige Abfrage an Open-Meteo weitergegeben. Sie werden bei uns nicht gespeichert.

Diese Funktion ist funktionaler Natur und opt-in: ohne Einwilligung über den Consent-Banner („Funktion – Live-Wetter" aktivieren) wird kein Wetter-API-Aufruf ausgelöst. Sie können die Einwilligung jederzeit über „Cookies ändern" im Footer widerrufen.

Rechtsgrundlage: Art. 6 (1) (a) DSGVO (Einwilligung). Verarbeitungs-Zweck: Wetter-Visualisierung im Hero zur Veranschaulichung der Energie-Erzeugung (Photovoltaik bei Sonne, Kleinwind bei Wind, etc.).

Browser-Geolocation-API

Falls Sie „📍 Mein Wetter" nutzen, fragt Ihr Browser nach Erlaubnis, Ihre Position freizugeben. Dies ist ein technischer Vorgang des Browsers selbst — wir haben darauf keinen Einfluss. Bei Verweigerung der Berechtigung bleibt die Funktion ohne Effekt. Bei Zustimmung erhalten wir die Koordinaten einmalig für die genannte Open-Meteo-Abfrage und löschen sie sofort danach aus dem Arbeitsspeicher.

7. Ihre Rechte

Gemäß DSGVO haben Sie jederzeit das Recht auf:

• Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15).
• Berichtigung unrichtiger Daten (Art. 16).
• Löschung, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17).
• Einschränkung der Verarbeitung (Art. 18).
• Datenübertragbarkeit (Art. 20). Im Mitgliederbereich finden Sie unter /mitglieder/profil einen Self-Service-Export aller Sie betreffenden Daten als maschinenlesbare JSON-Datei (Schema bvww-dsgvo-export-v1).
• Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21).
• Beschwerde bei der Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, www.dsb.gv.at.

Anfragen zu diesen Rechten richten Sie bitte an datenschutz@bvww.at. Wir antworten in der Regel innerhalb eines Monats.

8. Datensicherheit

Die Verbindung zur Webseite ist durchgehend mittels TLS 1.2+ verschlüsselt (HSTS). Die Anwendung wird hinter einem reverse-Proxy (Caddy) betrieben und setzt CSP-, Referrer-Policy- sowie X-Content-Type-Options-Header. Verdächtige Zugriffsmuster werden über ein eigenes Honeypot- und Tarpit-System abgefangen, ohne dass Daten regulärer Besucherinnen und Besucher betroffen sind.

9. Änderungen dieser Datenschutzerklärung

Bei Änderungen an Funktionen, Auftragsverarbeitern oder gesetzlichen Anforderungen passen wir diese Erklärung an. Die jeweils aktuelle Version finden Sie unter /datenschutz. Wesentliche Änderungen kündigen wir registrierten Mitgliedern per E-Mail an.