3.1 Webhosting & Server-Logs

Unsere Website wird bei HelloLy (helloly.com) gehostet. Beim Aufruf unserer Seiten werden automatisch Server-Logs erfasst: IP-Adresse (anonymisiert), Datum/Uhrzeit, aufgerufene URL, Referrer, Browser & Betriebssystem, Provider.

Zweck: Betriebssicherheit, Fehleranalyse, Missbrauchs- & Angriffserkennung sowie Auslieferung der Website. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: Logfiles werden i. d. R. nach 7 Tagen gelöscht, maximal jedoch 12 Monate bei sicherheitsrelevanten Vorfällen.

3.2 Kontaktformulare, Tarif-Check & Vertragsanbahnung

Wenn Sie uns über Formulare kontaktieren, den Tarif-Check nutzen oder Strom-/Gasverträge anfragen/abschließen, verarbeiten wir je nach Eingabe folgende Daten:

• Name, Vorname, Adresse (Anschrift, PLZ, Ort)
• Kontaktdaten (E-Mail, Telefonnummer)
• Verbrauchsdaten: Strom-/Gasverbrauch (kWh/Jahr)
• Anlagendaten: Zählpunktnummer, Netzbetreiber, aktueller Versorger
• Kundentyp: Privathaushalt, Gewerbe, Landwirtschaft oder RLM (Lastgangmessung)
• Ggf. Firmenname und Geburtsdatum
• Freiwillige Uploads (z. B. Foto der letzten Jahresabrechnung)

Zweck: Bearbeitung Ihrer Anfrage, individuelle Tarifberatung, Angebotserstellung, Vertragsvorbereitung und -abschluss. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertrag) sowie – für optionale Uploads/Felder – Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Altersbestätigung: Unsere Leistungen zur Vertragsanbahnung richten sich ausschließlich an Volljährige (ab 18 Jahren). Im Formular ist eine verpflichtende Bestätigung vorgesehen.

3.3 Weitergabe an Partner

Eine Weitergabe Ihrer Daten erfolgt nur, soweit dies zur Vertragserfüllung notwendig ist oder Sie eingewilligt haben.

3.3.1 Energieanbieter

Zur Angebotserstellung und zum Abschluss des gewünschten Energievertrages (Anbieterwechsel) übermitteln wir Ihre Stammdaten, Zählpunkt- und Verbrauchsdaten an den gewählten Energieversorger. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

3.3.2 Kooperationspartner (MRM Vertriebs GmbH)

Wir arbeiten mit der MRM Vertriebs GmbH zusammen. Im Rahmen dieser Kooperation können personenbezogene Daten ausgetauscht werden, sofern dies zur Erbringung unserer Dienstleistungen (z. B. Abwicklung komplexer Gewerbeanfragen oder Administration) erforderlich ist. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Verwaltung).

3.3.3 Ergänzende Klarstellung zur Rolle der MRM Vertriebs GmbH

Als Vertriebspartner übermitteln wir der MRM Vertriebs GmbH vollständige, unterschriebene Verträge zur weiteren Einreichung bei Energieversorgern sowie zur Provisionsabrechnung. Die MRM Vertriebs GmbH verarbeitet diese Daten in diesem Zusammenhang als eigenständiger Verantwortlicher (Art. 4 Z 7 DSGVO). Die Datenübermittlung erfolgt zur Vertragsabwicklung sowie zur Abrechnung und Auszahlung der vereinbarten Prämien. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an ordnungsgemäßer Vertriebs- und Provisionsabwicklung).

3.4 Cookies & Einwilligung (TTDSG/TKG)

Wir verwenden Cookies/ähnliche Technologien: technisch notwendige Cookies (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO) und – nur nach Einwilligung – Statistik/Marketing-Cookies (Art. 6 Abs. 1 lit. a DSGVO). Ihre Einwilligung verwalten Sie jederzeit über unser Cookie-Banner (Complianz).

3.5 Eingebundene Dienste & Analyse

3.5.1 Google Maps (2-Klick)

Karten werden erst nach Ihrer aktiven Zustimmung geladen („2-Klick-Lösung"). Datenübertragung an Google LLC (USA). Google ist nach dem EU-US Data Privacy Framework (DPF) zertifiziert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

3.5.2 WhatsApp Business

Wir bieten die Kontaktmöglichkeit über WhatsApp Business (Telefonnummer: +43 699 17105493) an. Wenn Sie uns freiwillig hierüber kontaktieren, verarbeiten wir Ihre Telefonnummer und Kommunikationsinhalte zur Bearbeitung Ihrer Anfrage. Anbieter ist Meta Platforms Ireland Ltd.

Hinweis: Meta kann Zugriff auf Metadaten haben. Meta ist nach dem EU-US DPF zertifiziert. Bitte übermitteln Sie über WhatsApp keine sensiblen Dokumente (z. B. Rechnungen mit Bankdaten); nutzen Sie hierfür unser gesichertes Upload-Formular. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung).

3.5.3 Google Analytics

Sofern Sie im Cookie-Banner eingewilligt haben, nutzt diese Website Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Ireland Limited (Irland/EU).

Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website ermöglichen. Wir nutzen die Funktion „IP-Anonymisierung". Dadurch wird Ihre IP-Adresse von Google innerhalb der EU/EWR gekürzt. Die Daten werden ggf. in die USA übertragen (Google ist nach dem EU-US DPF zertifiziert). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

3.5.4 CRM-System (Bigin by Zoho)

Zur Verwaltung von Kundenanfragen, Angeboten, Vertragsabschlüssen sowie zur Dokumentation der Vertragsabwicklung nutzen wir das CRM-System „Bigin“ der Zoho Corporation. Anbieter im EU-Raum ist Zoho Europe Limited, 2nd Floor, Parkmore West Business Park, Galway, Irland.

Im Rahmen der Nutzung werden personenbezogene Daten wie Name, Kontaktdaten, Verbrauchs- und Anlagendaten, Vertragsinformationen sowie ggf. hochgeladene Vertragsdokumente verarbeitet.

Die Verarbeitung erfolgt zur Vertragserfüllung bzw. Vertragsanbahnung gemäß Art. 6 Abs. 1 lit. b DSGVO sowie zur ordnungsgemäßen Dokumentation unserer Geschäftsbeziehungen.

Die Speicherung erfolgt im EU-Rechenzentrum. Mit Zoho besteht eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

3.6 Tidio Chat

Wir verwenden das Chat-System Tidio zur Kommunikation mit Interessenten und Kunden. Wenn Sie den Chat nutzen, werden insbesondere die von Ihnen eingegebenen Inhalte (z. B. Nachrichten), freiwillig angegebene Kontaktdaten (z. B. Name, E-Mail) sowie technische Nutzungsdaten (z. B. Zeitpunkt, IP-Adresse, Browserdaten) verarbeitet, um die Chat-Funktion bereitzustellen und Anfragen zu beantworten.

Zweck: Kundenservice und Support über unsere Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern über das Consent-Tool aktiviert) bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), wenn der Chat zur konkreten Vertragsanbahnung genutzt wird.

3.7 SMTP-E-Mail-Versand (SureMail)

Zum Versand von E-Mails (z. B. Systemnachrichten, Vertragskommunikation, Double-Opt-In) nutzen wir WordPress-Funktionen und ein SMTP-Plugin (SureMail). Dabei werden Empfängeradresse, Betreff, Inhalte der E-Mail sowie technische Metadaten (z. B. Versandzeitpunkt, Zustellstatus) verarbeitet, soweit dies für den Versand erforderlich ist.

Zweck: Zuverlässige Zustellung von E-Mails. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Vorvertrag) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an funktionierendem E-Mail-Versand).

3.8 Double-Opt-In Nachweis (Token, Zeitstempel, IP-Adresse)

Soweit ein Double-Opt-In Verfahren eingesetzt wird, verarbeiten wir Nachweisdaten zur Dokumentation der Bestätigung. Dazu gehören insbesondere Token, Zeitstempel und IP-Adresse sowie gegebenenfalls technische Informationen (z. B. User-Agent), um Einwilligungen nachweisen und Missbrauch erkennen zu können.

Zweck: Nachweis der Bestätigung und Missbrauchsabwehr. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Nachweis und Sicherheit) sowie, soweit erforderlich, Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen).

3.9 Eigenentwickelte WordPress-Plugins (Tarif-Check, Vertriebsformular, PDF- und E-Mail-Prozesse)

Wir verwenden eigene WordPress-Plugins zur Erfassung und Verarbeitung von Anfragen und Vertragsanbahnungen (z. B. Tarif-Check und Vertriebsformular). Dabei werden die von Ihnen eingegebenen Daten (Stammdaten, Kontakt- und Vertragsdaten, Verbrauchs- und Anlagendaten) verarbeitet, um Anfragen zu beantworten, Angebote zu erstellen und Vertragsunterlagen vorzubereiten.

Im Rahmen dieser Prozesse können zusätzlich technische Daten verarbeitet werden, die für die sichere und nachvollziehbare Abwicklung erforderlich sind, insbesondere Formular-Statusdaten, Zeitstempel, IP-Adresse sowie Bestätigungs-Token (z. B. Double-Opt-In). Sofern im Zuge der Vertragsabwicklung Dokumente (z. B. PDF) erzeugt werden, erfolgt dies ausschließlich zur Vertragsabwicklung. Uploads und generierte Dokumente werden nach Bearbeitung/Versand automatisiert gelöscht, spätestens nach 14 Tagen (Cronjob).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Vertrag) sowie für freiwillige Angaben/Uploads Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

3.10 Tippgeber-Portal (Partnerportal, Magic-Link)

Für unsere Partner/Tippgeber betreiben wir ein eigenes Portal (Tabellen sgpp_partners, sgpp_commissions, sgpp_providers). Die Anmeldung erfolgt per Magic-Link: Wir senden einen Einmal-Login-Link per E-Mail, der ein dauerhaftes Login-Cookie (struga_partner_id) auf Ihrem Gerät setzt. Im Portal speichern wir persönliche Daten der Partner (Name, E-Mail) sowie den Verlauf und Status der übermittelten Verträge/Provisionen.

Zweck: Verwaltung von Partnern und Abrechnung von Provisionen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag mit Partnern) sowie Art. 6 Abs. 1 lit. f DSGVO (Schutz vor Missbrauch und Betriebssicherheit). Abrechnungsrelevante Daten werden gemäß gesetzlichen Aufbewahrungsfristen (in der Regel 7 Jahre) gespeichert.

3.11 Consent-Tool (Complianz)

Zur Verwaltung von Cookies und Einwilligungen nutzen wir das Consent-Tool Complianz. Dabei werden Einwilligungsinformationen (z. B. Einwilligungsstatus, Zeitpunkt der Entscheidung) verarbeitet und dokumentiert, um Ihre Einstellungen technisch umzusetzen und den Nachweis der Einwilligung zu ermöglichen.

Zweck: Einholung, Verwaltung und Nachweis von Einwilligungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an rechtskonformer Dokumentation).

3.12 Sicherheits-Plugin „Really Simple Security“

Das WordPress-Plugin „Really Simple Security“ dient dem Schutz der Website durch Maßnahmen wie Login-Schutz und Sicherheitsfunktionen. Es kann sicherheitsrelevante Ereignisse (z. B. fehlgeschlagene Anmeldeversuche) protokollieren. Dabei können Daten wie IP-Adresse, Zeitstempel und Benutzername verarbeitet werden.

Zweck: Abwehr von Angriffen und Missbrauch unserer Website. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Integrität unserer Systeme). Protokolle werden nur so lange gespeichert, wie dies zur Sicherheitsanalyse erforderlich ist.

3.13 Backups durch Hostinganbieter

Zur Sicherstellung der Verfügbarkeit und Wiederherstellbarkeit unserer Systeme können durch unseren Hostinganbieter Backups (Sicherheitskopien) erstellt werden. In Backups können auch personenbezogene Daten enthalten sein, die auf unserer Website bzw. in unseren Systemen verarbeitet werden.

Zweck: Datensicherheit und Wiederherstellung bei Systemausfällen oder Sicherheitsvorfällen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Datenintegrität).

5.1 Weitere Dienstleister

• HelloLy – Hosting und Serverbetrieb (EU).
• Complianz – Consent-Management (Einwilligungsverwaltung).
• Tidio – Chat-System (sofern genutzt).
• SMTP-Dienst – E-Mail-Zustellung (über SureMail, je nach Konfiguration).

Hinweis: Die MRM Vertriebs GmbH verarbeitet übermittelte Vertragsdaten in diesem Zusammenhang als eigenständiger Verantwortlicher und nicht als Auftragsverarbeiter.

6.1 Ergänzender Hinweis bei Einwilligung

Wenn Sie in die Nutzung bestimmter Dienste einwilligen, kann damit eine Übermittlung in Drittländer verbunden sein. In Drittländern kann ein Zugriff durch Behörden nicht vollständig ausgeschlossen werden und es können eingeschränkte Rechtsbehelfe bestehen.

7.1 Widerspruch bei Direktwerbung

Soweit wir personenbezogene Daten für Zwecke der Direktwerbung verarbeiten, können Sie dieser Verarbeitung jederzeit widersprechen. Im Fall eines Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr für diese Zwecke verarbeiten.

9.1 Ergänzende Speicherdauern (Partnerportal und Nachweisdaten)

Nachweisdaten zu Bestätigungen (z. B. Double-Opt-In Token, Zeitstempel, IP-Adresse) werden nur so lange gespeichert, wie dies zur Dokumentation, Missbrauchsabwehr und Durchsetzung bzw. Abwehr von Rechtsansprüchen erforderlich ist. Partner- und Provisionsdaten werden für die Dauer der Teilnahme am Partnerprogramm sowie entsprechend gesetzlicher Aufbewahrungsfristen gespeichert und danach gelöscht oder anonymisiert.