Datenschutzerklärung
Der Schutz deiner persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten deine Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2021).
Sicherheit – TLS (Transport Layer Security)
Der Bestellvorgang wird mittels TLS (Transport Layer Security) übertragen. Wir verschlüsseln deine Daten, um unbefugten Zugriff zu verhindern, und stellen sicher, dass die Informationen nur den vorgesehenen Server erreichen.
Verantwortlich
Verantwortlich im Sinne der DSGVO ist Adelwöhrer & Puffer OG.
Anschrift: Prankergasse 49, 8020 Graz, Österreich · UID: ATU82108559.
Erreichbar per E-Mail unter office@furrach.vip.
Datenschutzbeauftragter
Es ist kein Datenschutzbeauftragter bestellt; eine Bestellpflicht nach Art. 37 DSGVO besteht nicht.
Hosting
AlpenHigh wird auf Hetzner-Servern in Deutschland betrieben (EU-Rechenzentren Falkenstein/Nürnberg). Es findet keine Datenübermittlung an Drittländer statt, soweit nicht ausdrücklich gekennzeichnet. Wir setzen kein CDN ein — die Auslieferung erfolgt direkt vom Hetzner-Origin-Server, ohne Zwischenschaltung eines US-Edge-Netzwerks; damit besteht für den Webseiten-Abruf keine Schrems-II-Übermittlung in die USA.
Auskünfte
Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch. Diese Rechte kannst du per E-Mail an office@furrach.vip oder per Brief geltend machen.
- Auskunft: Du kannst dir deine bei uns gespeicherten Daten unter
/account/data-exportals JSON herunterladen. - Löschung: Du kannst dein Konto unter
/account/deletelöschen. Dabei werden dein Profil, deine gespeicherten Adressen, Sitzungen, Tokens und Sicherheitsschlüssel (MFA) entfernt. Bestell- und Rechnungsdaten — einschließlich des auf der Bestellung eingefrorenen Namens und der Liefer- und Rechnungsadresse — bleiben aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten 7 Jahre erhalten (§ 132 BAO, § 190 UGB).
Du hast außerdem das Recht, eine Beschwerde bei der österreichischen Datenschutzbehörde (Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb.gv.at) einzureichen, wenn du der Auffassung bist, dass deine Rechte verletzt wurden.
Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO)
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Konto-Registrierung + Login | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Bestellabwicklung (Adresse, Versand, Rechnung) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Buchhaltungs- und Rechnungsaufbewahrung (7 Jahre) | Art. 6 Abs. 1 lit. c DSGVO (§ 132 BAO, § 190 UGB) |
| MFA / WebAuthn-Sicherheit | Art. 6 Abs. 1 lit. f DSGVO (Account-Sicherheit) |
| Audit-Logs (Login, Adressänderung, MFA) | Art. 6 Abs. 1 lit. c DSGVO (Nachweispflichten) und f DSGVO (Betrugsabwehr) |
| Newsletter | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 174 TKG 2021 |
| FAGG-Cuttings-Verzichtserklärung | Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) |
| Anti-Fraud-Cookies / Rate-Limits | Art. 6 Abs. 1 lit. f DSGVO |
| VIES-Anfrage bei B2B-UID | Art. 6 Abs. 1 lit. c DSGVO (UStG / EU-VAT) |
| Verkäufer-/Business-Antrag (verschlüsselter Lichtbildausweis) | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliches Onboarding) und lit. f DSGVO (Marktplatz-Identitätsprüfung, Betrugsabwehr) |
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Auch findet kein Profiling statt.
Empfänger und Auftragsverarbeiter (Art. 13 Abs. 1 lit. e DSGVO)
| Kategorie | Empfänger / Verarbeitung |
|---|---|
| Hosting | Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland |
| Datenbank + Cache | dedizierte Postgres- und Redis-Instanzen im selben Hetzner-Rechenzentrum |
| Krypto-Zahlung | Plisio, Inc. (USA), unser Krypto-Zahlungsanbieter. Wenn du mit Kryptowährung bezahlst, wirst du zum gehosteten Checkout von Plisio weitergeleitet. Wir übermitteln Plisio ausschließlich die interne Order-ID + öffentliche Bestellnummer („AH-…") + Betrag. Da dein Browser sich direkt mit Plisio verbindet, erhält Plisio außerdem deine IP-Adresse und die On-Chain-Transaktionsdaten (zahlende Wallet-Adresse, Betrag, Transaktions-ID). Wir übermitteln Plisio nicht deinen Namen, deine E-Mail oder deine Postanschrift. Drittland (USA), siehe Abschnitt Drittlandübermittlung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung). |
| Bank-Zahlung (SEPA) | unsere österreichische Hausbank (Empfangskonto, IBAN im Impressum) |
| Bargeld per Brief | wird intern verarbeitet. Du sendest Bargeld per Post an unsere Adresse; der von dir eingetragene Versanddienst und die Sendungsnummer werden bei deiner Bestellung gespeichert, damit wir den Brief nachverfolgen können. Es ist kein externer Zahlungsdienstleister und keine Drittlandübermittlung beteiligt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Zahlungsabwicklung). |
| Transaktionale E-Mails | Postmark (ActiveCampaign LLC), 225 Franklin Street, Boston, MA, USA — Standardvertragsklauseln gemäß Art. 46 DSGVO |
| Erfüllungs- und Versandpartner | die jeweils mit der Auktionsabwicklung beauftragten Erfüllungspartner. Einlagerung und Versand der Auktionsware; erhält Name und Lieferadresse zur Kommissionierung und Zustellung. Auftragsverarbeiter gemäß Art. 28 DSGVO (Österreich/EU, kein Drittlandtransfer). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. |
| Versanddienstleister | DPD Austria (Adressdaten zur Auslieferung) |
| EU-USt-Validierung | Europäische Kommission, VIES-Schnittstelle (nur UID-Lookup, keine Profildaten) |
| Ausweisdokument (Verkäufer/Business) | nur intern – Operator und Review-Personal von AlpenHigh; verschlüsselt im Hetzner-Rechenzentrum (AES-256-GCM, Schlüssel nur am Server) |
Speicherdauern (Art. 13 Abs. 2 lit. a DSGVO)
| Datenkategorie | Aufbewahrung |
|---|---|
| Anmelde-Session | 30 Tage nach letztem Login |
| Audit-Log (volle IP) | 90 Tage; danach IP auf /24 maskiert; gesamt 7 Jahre |
| Bestelldaten + Rechnungen | 7 Jahre (§ 132 BAO, § 190 UGB); danach werden Name und Adresse des Käufers anonymisiert |
| Newsletter-Einwilligung | bis Widerruf plus 3 Jahre (Nachweispflicht) |
| In-App-Benachrichtigungen | 90 Tage |
| E-Mail-Versand- und Webhook-Protokolle | als Betriebs- und Streitnachweis aufbewahrt; Empfängeradresse / Payload nach 3 Jahren minimiert |
| Konsignations- und Sales-Reports | 7 Jahre (§ 132 BAO) |
| Business-Profil + UID-Nachweis | 7 Jahre nach Geschäftsbeendigung |
| Verkäufer-/Business-Ausweisdokument | 5 Jahre nach Ende der Geschäftsbeziehung (EU-Geldwäscherecht), danach gelöscht |
| Pending E-Mail-Adressänderungen | 7 Tage nach Bestätigung bzw. Widerruf; abgelaufene Anträge werden beim nächsten täglichen Lauf gelöscht |
| WebAuthn / MFA-Schlüssel | bis Löschung durch Nutzer:in oder Account-Anonymisierung |
| Kontaktanfragen | maximal 6 Monate (Regelfall 8 Wochen) |
Drittlandübermittlung in die USA (Art. 13 Abs. 1 lit. f DSGVO)
Folgende Verarbeitungsschritte beinhalten eine Übermittlung personenbezogener Daten an Empfänger:innen in den USA (Drittland nach Art. 44 ff. DSGVO):
- Postmark / ActiveCampaign LLC, Boston, MA — transaktionale E-Mails (Auftragsbestätigung, Rechnung, Versandbenachrichtigung, Passwort-Reset). Rechtsgrundlage Drittlandtransfer: Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
- Plisio, Inc., USA — Abwicklung deiner Kryptowährungs-Zahlung, und nur wenn du mit Kryptowährung bezahlst. Beim Laden des gehosteten Checkouts von Plisio erhält Plisio deine IP-Adresse und die On-Chain-Transaktionsdaten. Für Plisio liegen weder ein Angemessenheitsbeschluss der Europäischen Kommission noch Standardvertragsklauseln vor. Die Übermittlung stützt sich daher auf Art. 49 Abs. 1 lit. b DSGVO (Übermittlung zur Erfüllung des Zahlungsvertrags, den du durch Wahl dieser Zahlungsart einleitest). Laut Datenschutzerklärung von Plisio speichert Plisio keine Transaktionsdetails. Wenn du keine Daten in die USA übermitteln möchtest, wähle stattdessen SEPA-Banküberweisung (kein Drittlandtransfer).
Du hast das Recht, eine Kopie der jeweils geltenden Garantien (SCC bzw. Bescheid zum Angemessenheitsbeschluss) anzufordern; schreibe an office@furrach.vip.
Weitergabe an Dritte
Wir geben deine personenbezogenen Daten einschließlich der Haus- und E-Mail-Adresse nicht ohne deine ausdrückliche und jederzeit widerrufliche Einwilligung an Dritte weiter. Dienstleister-Partner erhalten ausschließlich die für die Bestellabwicklung erforderlichen Daten.
Datenspeicherung
Kundendaten — darunter Name, Anschrift und Zahlungsinformationen — werden zur Bestellabwicklung gespeichert. Bestell- und Rechnungsdaten werden gemäß § 132 BAO und § 190 UGB sieben Jahre lang unveränderbar aufbewahrt. Eine Kontolöschung entfernt dein Live-Profil, deine gespeicherten Adressen, Sitzungen, Tokens und Sicherheitsschlüssel; die gesetzlich aufzubewahrenden Bestell- und Rechnungsdaten — einschließlich des auf der Bestellung eingefrorenen Namens und der Liefer- und Rechnungsadresse — bleiben davon unberührt.
Verarbeitete IP-Adressen
Wir erfassen deine IP-Adresse an den folgenden klar abgegrenzten Stellen. Rechtsgrundlage ist jeweils Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention, Sicherheits-Audit und gesetzlich vorgeschriebener Nachweisführung), soweit nicht anders ausgewiesen:
- Anmeldung (Session-Cookie): IP bei der Erstellung einer Login-Session, Aufbewahrung bis 30 Tage nach Session-Ablauf.
- Audit-Log: IP bei jeder sicherheitsrelevanten Aktion (Login, Passwort-Reset, MFA-Änderung, Bestellung, Adressänderung). Aufbewahrung 90 Tage in voller Form, danach auf /24 maskiert; gesamt sieben Jahre (forensische Nachvollziehbarkeit nach UGB).
- Newsletter-Einwilligung: IP bei Setzen des Newsletter-Schalters — Art. 7 Abs. 1 DSGVO verlangt einen Nachweis der Einwilligung. Aufbewahrung solange die Einwilligung wirksam ist; nach Widerruf wird die IP gelöscht, sobald der Nachweis drei Jahre alt ist (gerechnet ab Erteilung der Einwilligung).
- FAGG-Cuttings-Verzichtserklärung: IP bei Abgabe der Erklärung im Checkout. Aufbewahrung 90 Tage in voller Form, danach auf /24 maskiert (die Erklärung selbst samt Zeitstempel bleibt als Nachweis erhalten).
- E-Mail-Adressänderung: IP bei Anforderung einer Adressänderung — Betrugsabwehr gegen Account-Hijack. Aufbewahrung 7 Tage nach Bestätigung bzw. Widerruf; abgelaufene Anträge werden beim nächsten täglichen Lauf gelöscht.
- Krypto-Checkout: Wenn du mit Kryptowährung bezahlst, gelangt deine IP-Adresse zu unserem Krypto-Zahlungsanbieter Plisio (USA), sobald dein Browser dessen gehosteten Checkout lädt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; das Übermittlungsverfahren siehe Abschnitt Drittlandübermittlung.
Die IP-Adresse wird nicht zur Profilbildung oder zu Marketing-Zwecken
verwendet. Du kannst die gespeicherten Werte über deinen DSGVO-Datenexport
unter /account/data-export einsehen.
Cookies
Wir setzen ausschließlich technisch notwendige Cookies, die für den Betrieb der Seite und für die Anmeldung erforderlich sind:
- Session-Cookie – hält dich nach dem Login eingeloggt.
- MFA-Cookie (vorübergehend) – nur während des MFA-Bestätigungsschritts.
- Sprach-Auswahl – merkt sich deine Sprache (Deutsch/Englisch).
- Warenkorb-Absicht (vorübergehend) – wenn du „In den Warenkorb" klickst, bevor du angemeldet bist, merkt sich ein kurzlebiges Cookie den Artikel, damit er nach dem Login in deinen Warenkorb gelegt wird. Läuft nach 30 Minuten ab.
- Passkey-Anmelde-Cookie (vorübergehend) – nur während der Passkey-Anmeldung, läuft nach wenigen Minuten ab.
Es werden keine Tracking-, Analytics- oder Marketing-Cookies eingesetzt, und wir binden auch keine Cookies von Drittanbietern ein. Aus diesem Grund zeigen wir keinen Cookie-Banner: es gibt nichts, dem du zustimmen müsstest.
Du kannst deinen Browser so konfigurieren, dass Cookies blockiert werden — das schränkt allerdings die Funktionalität dieser Website ein (eine Anmeldung ist dann beispielsweise nicht möglich).
Newsletter
Der Bezug eines Newsletters setzt deine ausdrückliche Einwilligung voraus.
Die Anmeldung erfolgt ausschließlich aus deinem Konto unter
/account/newsletter — eine anonyme E-Mail-Anmeldung gibt es nicht. Damit
ist sichergestellt, dass nur du selbst deine Adresse eintragen kannst (deine
E-Mail wurde bei der Registrierung bestätigt).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), § 174 TKG 2021.
Welche Daten: deine Konto-E-Mail-Adresse, der Zeitpunkt deiner Einwilligung sowie die IP-Adresse, von der aus du den Schalter aktiviert hast (Art. 7 Abs. 1 DSGVO – Nachweis der Einwilligung).
Abbestellen: jederzeit mit einem Klick — entweder über den
Abmelde-Link in jeder Newsletter-E-Mail (kein Login nötig) oder direkt
unter /account/newsletter. Nach dem Abmelden wird deine Adresse aus
dem Newsletter-Verteiler entfernt.
Ausweis-Upload bei Verkäufer- oder Business-Antrag
Wenn du dich als Verkäufer oder Geschäftskunde registrierst, lädst du im Onboarding-Formular einen Lichtbildausweis (Personalausweis oder Reisepass) hoch. Dieser Schritt dient ausschließlich:
- der Altersverifikation (Verkauf altersbeschränkter Waren),
- der Identitätsprüfung des Vendors für die Marktplatz-Integrität,
- der Betrugs- und Geldwäscheabwehr.
Speicherung: Die Datei wird unmittelbar nach dem Upload mit AES-256-GCM verschlüsselt auf unserem Server abgelegt; der Schlüssel liegt ausschließlich in der Server-Umgebung und nie in der Datenbank. Im Klartext existiert das Dokument zu keinem Zeitpunkt auf der Festplatte.
Zugriff: Nur Operator und Review-Personal von AlpenHigh können das Dokument zur Antragsprüfung kurzzeitig im Browser anzeigen. Jeder einzelne Zugriff wird im Audit-Log mit Zeitstempel, Reviewer-ID und IP-Adresse protokolliert.
Aufbewahrungsdauer: 5 Jahre nach Ende der Geschäftsbeziehung (EU-Geldwäscherecht), danach gelöscht. Bei Ablehnung des Antrags oder bei Anonymisierung des Kontos wird das Dokument früher gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Identitätsprüfung im Verkäufer-Onboarding) und lit. f DSGVO (berechtigtes Interesse an Marktplatz-Integrität, Vendor-Verifikation und Betrugsabwehr). Ausweisnummer und Lichtbild verarbeiten wir nicht aktiv weiter — sie liegen ausschließlich verschlüsselt vor und werden nur bei einer konkreten Reviewer-Anfrage entschlüsselt.
Kontakt
Daten, die du uns per E-Mail zukommen lässt, speichern wir ausschließlich zur Bearbeitung deiner Anfrage und für etwaige Anschlussfragen maximal sechs Monate (im Regelfall acht Wochen).