Datenschutzerklärung
Wie wir mit deinen Daten umgehen – DSGVO-konform.
Diese Datenschutzerklärung erläutert, wie wir personenbezogene Daten verarbeiten, die wir im Rahmen des Besuchs dieser Website und bei der Kontaktaufnahme von dir erheben. Grundlage ist die Datenschutz-Grundverordnung (EU) 2016/679 (DSGVO) sowie das österreichische Datenschutzgesetz (DSG). Für die Nutzung der Plattform - insbesondere die Eintragung eines Firmenprofils - gelten ergänzend unsere Nutzungsbedingungen (AGB).
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Martin Kaufmann (Einzelunternehmen)
Großwilfersdorf 19/3
8263 Großwilfersdorf, Österreich
Mobil: +43 (0) 664 255 7441
Festnetz: +43 (0) 3114 35 900
E-Mail: support@firmenfreund.at
Für alle Fragen zum Datenschutz, zur Ausübung deiner Rechte (Auskunft, Berichtigung, Löschung etc.) oder zur Verarbeitung deiner Daten erreichst du uns direkt unter support@firmenfreund.at.
2. Server-Logfiles
Beim Aufruf werden automatisch Daten erfasst, die dein Browser an unseren Webhost übermittelt: IP-Adresse, Zeitpunkt, aufgerufene Seite, Browser/OS, Referrer. Verwendung nur zur Sicherstellung des Betriebs.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: 30 Tage.
3. Kontaktaufnahme
Bei Kontakt per E-Mail (info@, support@, technik@) verarbeiten wir Namen, Kontaktdaten und den Inhalt deiner Nachricht zur Bearbeitung der Anfrage.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).
Speicherdauer: bis zur abschließenden Bearbeitung, danach Löschung. Sofern es sich um geschäftsrelevante Korrespondenz handelt, gelten die Aufbewahrungspflichten gemäß § 132 BAO (7 Jahre).
4. Mitgliedskonto (Firmen)
Bei der Registrierung eines Firmenprofils verarbeiten wir die von dir angegebenen Daten: Firmenname, Inhaber/in, Anschrift, Kontaktdaten (Telefon, E-Mail, Website, Messenger), Branche, ggf. UID-Nummer, Logo, hochgeladene Bilder (Profilfoto, Referenzen) und weitere Profilangaben (Beschreibung, Öffnungszeiten, Standort/Geokoordinaten).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
Speicherdauer: für die Dauer des Kontos; nach Löschungsanfrage werden die Daten innerhalb von 30 Tagen entfernt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Öffentliche Anzeige des Firmenprofils (Verzeichnis, Suche & Karte). FirmenFreund ist ein öffentliches Firmenverzeichnis; die öffentliche Auffindbarkeit des Betriebs ist der wesentliche Zweck des Firmenkontos. Die Profildaten - insbesondere Firmenname, Branche, Anschrift bzw. Standort und Kontaktdaten - werden daher für jede Person öffentlich sichtbar im Verzeichnis, in der Suchfunktion und - anhand der aus der Adresse ermittelten Geokoordinaten (siehe Punkt 11) - als Markierung auf der interaktiven Karte dargestellt. Weitere Angaben (z. B. Logo, Bilder, Beschreibung, Öffnungszeiten, Messenger-Links) werden nur veröffentlicht, soweit der Betrieb sie selbst hinterlegt. Die Veröffentlichung einschließlich der Kartenanzeige ist fester Bestandteil des Verzeichniseintrags und für die einzelne Firma nicht separat abwählbar; Näheres regeln unsere Nutzungsbedingungen (AGB). Wünscht ein Betrieb keine öffentliche Darstellung mehr, kann er sein Konto jederzeit beenden (siehe Punkt 15).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsverhältnisses - die öffentliche Listung ist die vertragliche Kernleistung), ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Betrieb eines auffindbaren regionalen Verzeichnisses).
Richtigkeit & Aktualität. Für die Richtigkeit, Vollständigkeit und Aktualität der eingegebenen Angaben - insbesondere der Geschäftsadresse - ist der eintragende Betrieb selbst verantwortlich; die Adresse muss einem tatsächlichen Standort entsprechen. Angaben können jederzeit im Profil berichtigt werden (Art. 16 DSGVO). Offensichtlich unrichtige oder irreführende Einträge können wir korrigieren, sperren oder entfernen.
5. Passwortloser Login (E-Mail-Code, optionaler PIN, Trusted Devices)
E-Mail-Code: Der Login erfolgt passwortlos. Wir senden einen 6-stelligen Einmal-Code an deine im Profil hinterlegte E-Mail-Adresse. Der Code ist nach Eingabe ungültig und verfällt spätestens nach 10 Minuten; gespeichert wird nur ein kryptografischer Hash des Codes (bcrypt). Der zugehörige Datensatz (E-Mail-Adresse, Code-Hash, IP-Adresse der Anforderung) wird spätestens 24 Stunden nach Ablauf automatisch gelöscht.
PIN-Login (optional): Du kannst zusätzlich einen 6-stelligen PIN setzen. Der PIN wird nur als kryptografischer Hash (bcrypt) gespeichert - im Klartext liegt er nicht vor.
Trusted Devices: Wenn du auf deinem Gerät den PIN-Login aktivierst, speichern wir lokal in deinem Browser (Cookie) ein technisches Geräte-Token sowie auf dem Server einen Hash des Tokens samt Geräte-Bezeichnung und letztem Login-Zeitpunkt. Damit musst du nicht bei jedem Login einen E-Mail-Code anfordern.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
Speicherdauer Trusted-Device-Token: 90 Tage ab letzter Nutzung, danach automatische Entfernung. Du kannst Geräte jederzeit selbst in deinem Profil widerrufen.
6. Login-Schutz & Missbrauchsabwehr
Zum Schutz vor automatisierten Angriffen (Brute-Force, Spam, Bot-Versuche) speichern wir bei jeder Login-Anfrage temporär die IP-Adresse, die verwendete E-Mail-Adresse und den Zeitstempel. Werden in kurzer Zeit zu viele fehlerhafte Versuche registriert, blockieren wir weitere Anfragen vorübergehend. Dieselbe Logik schützt auch sensible Aktionen wie Bewertungsabgaben oder Kontakt-Klicks.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit gemäß ErwGr. 49 DSGVO).
Speicherdauer: 72 Stunden (Rate-Limit-Einträge), automatische Bereinigung. Auffällige Vorfälle können zur Analyse länger im System-Log verbleiben (max. 90 Tage).
7. System-Benachrichtigungen / Mail-Versand
Wir versenden im Rahmen des Mitgliedschaftsverhältnisses notwendige System-E-Mails:
- Login-Codes (auf deine Anforderung)
- Bestätigung der Registrierung und Verifizierung deiner Firma
- Benachrichtigungen über neue Chat-Nachrichten, Bewertungsanfragen, Marktplatz-Antworten, Vernetzungs-Anfragen
- Statusmeldungen zu eingestellten Beiträgen (Freigabe, Ablehnung mit Begründung)
- gelegentliche betriebliche Info-Mails an Mitglieder (z. B. neue Funktionen, Wartungsarbeiten, wichtige Plattform-Hinweise)
Welche Mails du erhalten möchtest, kannst du in deinen Profil-Einstellungen individuell ein- und ausschalten (sofern technisch nicht zwingend, wie z. B. Login-Codes). Betriebliche Info-Mails kannst du jederzeit über den Abmeldelink in jeder solchen Mail oder in den Einstellungen abbestellen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie für betriebliche Info-Mails an bestehende Mitglieder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Information unserer Mitglieder über die Plattform).
Speicherdauer: Benachrichtigungs-Datensätze im System maximal 12 Monate ab Erstellung, danach automatische Löschung. Einen werblichen Newsletter mit Angeboten Dritter versenden wir nicht.
8. Profilinhalte, Bewertungen, Chat & Marktplatz
Eingeloggte Firmen können sich vernetzen, untereinander Nachrichten austauschen (interner Chat), Marktplatz-Beiträge (Aufträge, Gesuche, Angebote) einstellen und beantworten sowie sich gegenseitig bewerten. Dabei verarbeiten wir die jeweils eingegebenen Inhalte einschließlich hochgeladener Bilder.
Der interne Chat ist nicht öffentlich und wird von uns nicht laufend mitgelesen. Wird eine Konversation von einem Teilnehmer gemeldet (z. B. wegen Belästigung, Spam oder Betrug), können wir die Nachrichten des gemeldeten Chats zur Prüfung der Meldung einsehen. Jede solche Einsichtnahme wird intern protokolliert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Aufklärung gemeldeter Verstöße und am Schutz der Nutzer).
Bei Bewertungen, Marktplatz-Beiträgen, Chat-Meldungen und Block-Aktionen speichern wir zur Missbrauchsvermeidung zusätzlich die IP-Adresse des Verfassers sowie den Zeitstempel.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem funktionierenden, missbrauchssicheren Verzeichnis).
Speicherdauer: für die Dauer deines Kontos. Gelöschte Beiträge werden binnen 30 Tagen physisch entfernt; gemeldete Beiträge können zur Beweissicherung bis zur Klärung länger aufbewahrt werden.
9. Reichweitenmessung (Profil-Statistik)
Wir erfassen, wie oft ein Firmenprofil aufgerufen und wie oft auf einen Kontaktweg (Telefon, E-Mail, Website, Messenger) geklickt wird. Diese Zahlen werten wir nur aggregiert pro Firma und Tag aus. Roh-Einträge enthalten Zeitstempel und gekürzte IP-Adresse zur Vermeidung von Doppelzählungen.
Speicherdauer Rohdaten: 30 Tage, danach automatische Aggregation und Löschung der Rohdaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Auswertung der Reichweite). Es werden keine personenbezogenen Besucher-Profile gebildet und keine Tracking-Cookies oder Dienste Dritter (Google Analytics, Meta-Pixel o. ä.) eingesetzt.
10. Cookies & Local Storage
Wir setzen ausschließlich technisch notwendige Cookies bzw. vergleichbare Speichertechniken ein:
- Sitzungs-Cookie (
firmenfreund_sess): Login-Session, HttpOnly, Secure, SameSite=Strict, max. 8 Stunden. - Geräte-Token (Cookie): nur bei aktiviertem PIN-Login zur Wiedererkennung des vertrauten Geräts, max. 90 Tage.
- Karten-Einwilligung (Local Storage
ff_map_ok): merkt sich - nur wenn du das Häkchen gesetzt lässt - deine Zustimmung, die Karte zu laden, damit du sie nicht bei jedem Besuch erneut bestätigen musst.
Es werden keine Werbe- oder Tracking-Cookies verwendet. Eine Einwilligungspflicht (Cookie-Banner) besteht für diese rein technischen Speicher nicht.
11. Schriftarten, Karte & externe Ressourcen
Schriftarten (Manrope, Inter) werden lokal vom eigenen Server geladen - keine Verbindung zu Google Fonts. Bilder liefern wir vom eigenen Server aus. Es werden keine Social-Media-Plug-Ins, Like-Buttons oder Tracking-Pixel eingebunden - beim bloßen Aufruf einer Seite fließen also keine Daten an soziale Netzwerke oder Google ab.
Kartendarstellung: Für die Karte verwenden wir die Open-Source-Bibliothek Leaflet, die wir - wie alle Programmbibliotheken - vom eigenen Server ausliefern (kein CDN, keine Drittanbieter beim Laden des Programmcodes). Das Kartenmaterial (Kacheln) stammt von OpenStreetMap. Die Karte wird erst geladen, wenn du aktiv auf „Karte laden" klickst - erst dann wird deine IP-Adresse technisch bedingt an OpenStreetMap übertragen. Ohne diesen Klick findet keine Übertragung an OpenStreetMap statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Klick auf „Karte laden").
Adress-Suche (Geocoding): Das Umwandeln von Firmen-Adressen in Koordinaten erfolgt über den Dienst Nominatim (OpenStreetMap). Die Anfrage stellt unser Server - deine IP-Adresse wird dabei nicht an Nominatim übertragen. Die so ermittelten Koordinaten dienen dazu, den Standort des Betriebs öffentlich als Markierung auf der Karte anzuzeigen (siehe Punkt 4).
Verlinkung zu externen Profilen sozialer Netzwerke: Firmenprofile können - sofern die jeweilige Firma sie hinterlegt hat - einfache Links (Verweise) zu ihren Auftritten bei externen Diensten enthalten:
- Facebook & Instagram - Meta Platforms Ireland Ltd., Irland
- Google-Unternehmensprofil sowie die Schaltfläche „Route planen" (Google Maps) - Google Ireland Ltd., Irland
- LinkedIn - LinkedIn Ireland Unlimited Company, Irland
- X (Twitter) - Twitter International Unlimited Company, Irland
- YouTube - Google Ireland Ltd., Irland
- TikTok - TikTok Technology Ltd., Irland
- Twitch - Twitch Interactive, Inc., USA
Es handelt sich ausschließlich um gewöhnliche Hyperlinks - es werden keine Inhalte, Buttons, iFrames oder Skripte dieser Anbieter auf unseren Seiten eingebunden und kein Tracking-Pixel gesetzt. Eine Datenübertragung an den jeweiligen Anbieter findet erst statt, wenn du aktiv auf einen solchen Link klickst und dadurch die externe Seite aufrufst. Ab diesem Zeitpunkt ist ausschließlich der jeweilige Anbieter verantwortlich; es gelten dessen Datenschutzbestimmungen. Die Schaltfläche „Route planen" öffnet Google Maps mit der Firmenadresse als Ziel - ebenfalls erst bei Klick.
Rechtsgrundlage für das Bereitstellen der Links: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Auffindbarkeit und Vernetzung der gelisteten Betriebe). Soweit Anbieter Daten in Drittländer (z. B. USA) übermitteln, geschieht dies erst nach deinem Klick auf der jeweiligen Plattform; siehe auch Abschnitt 14.
12. Webhosting (Auftragsverarbeiter gem. Art. 28 DSGVO)
Diese Website wird in Österreich bei folgendem Hosting-Anbieter betrieben (Bereitstellung der Server, Datenbank und Server-Logfiles):
digitalnova GmbH
Krottendorfer Strasse 9a/9
8052 Graz, Österreich
E-Mail: office@digitalnova.at
Web: digitalnova.at
Mit dem Anbieter besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Die Verarbeitung erfolgt ausschließlich auf Servern innerhalb der Europäischen Union (Standort Österreich).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und performanten Betrieb der Website).
13. E-Mail-Versand (Auftragsverarbeiter gem. Art. 28 DSGVO)
Der Versand sämtlicher System-Mails (Login-Codes, Benachrichtigungen, Bestätigungen, Korrespondenz) erfolgt über den SMTP-Server desselben Anbieters in Graz:
digitalnova GmbH (SMTP-Versand)
Krottendorfer Strasse 9a/9, 8052 Graz, Österreich
E-Mail: office@digitalnova.at
Web: digitalnova.at
Übertragen werden Empfänger-Adresse, Absender, Betreff und Mail-Inhalt. Der Versand erfolgt verschlüsselt (STARTTLS). Auch hier besteht ein AVV nach Art. 28 DSGVO, Verarbeitung in der EU/Österreich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
14. Weitere Empfänger & Drittland
- Webhosting: digitalnova GmbH (siehe Punkt 12)
- E-Mail-Versand (SMTP): digitalnova GmbH (siehe Punkt 13)
- Karten-Kacheln: OpenStreetMap Foundation (UK) - nur nach deinem Klick auf „Karte laden"
- Geocoding: Nominatim (OpenStreetMap) - Anfrage durch unseren Server, ohne deine IP-Adresse
Server, Datenbank und Mail-Versand werden in der EU/Österreich betrieben. Programmbibliotheken (Leaflet, Cropper.js u. a.) liefern wir vom eigenen Server aus - kein CDN. Beim Laden der Karten-Kacheln (nur nach deiner Einwilligung) kann technisch bedingt eine Übermittlung an Server außerhalb der EU nicht ausgeschlossen werden.
15. Deine Rechte
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch (Art. 21 DSGVO)
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Deine Anfrage zur Ausübung dieser Rechte richte einfach an support@firmenfreund.at. Wir antworten innerhalb von 30 Tagen.
16. Beschwerderecht
Wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt, kannst du dich bei der österreichischen Aufsichtsbehörde beschweren:
Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 521 52-25 69
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at
17. SSL/TLS
Diese Website verwendet durchgängig SSL/TLS-Verschlüsselung. Du erkennst eine verschlüsselte Verbindung am Schloss-Symbol in der Adressleiste deines Browsers.
Stand: 7. Juli 2026