Datenschutzerklärung (DSGVO)

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen strukturierten Überblick darüber, wie personenbezogene Daten im Rahmen des Betriebs dieser Webpräsenz verarbeitet werden. Personenbezogene Daten definieren sich über sämtliche Informationen, mit denen eine natürliche Person direkt oder indirekt identifiziert werden kann (Art. 4 Nr. 1 DSGVO). Die detaillierte mathematisch-technische und juristische Aufschlüsselung entnehmen Sie den nachfolgenden Abschnitten dieses Dokuments.

Datenerfassung auf dieser Website

  • Verantwortlichkeit: Die Datenverarbeitung auf dieser Repräsentanz erfolgt durch den Betreiber. Die exakten Identifikationsdaten finden Sie im Abschnitt „Hinweis zur Verantwortlichen Stelle“.
  • Erhebungsmechanismen: Datenströme differenzieren sich in deterministische Eingaben des Nutzers (z. B. asynchrone payloads in Kontakt- oder Bewerbungsformularen) sowie in automatisierte, telemetrische Erfassungen durch die Server-Infrastruktur beim Rendering-Prozess im Browser (z. B. HTTP-Header-Metadaten).
  • Zweckbindung: Die Verarbeitung erfolgt zur Gewährleistung der Systemintegrität, der fehlerfreien Bereitstellung der Applikation sowie zur rechtssicheren Bearbeitung von Kundenanfragen und Rekrutierungsprozessen.
  • Betroffenenrechte: Ihnen stehen als betroffene Person vollumfängliche Rechte auf Auskunft, Löschung, Einschränkung und Datenübertragbarkeit zu. Details und die zuständige Aufsichtsbehörde sind am Ende dieses Dokuments explizit deklariert.

2. Infrastruktur und Cloud-Hosting

Externes Hosting (Österreich / Data Center-Souveränität)
Diese Webpräsenz wird auf einer externen, dedizierten Serverarchitektur betrieben. Sämtliche im Rahmen des Webseitenbesuchs anfallenden personenbezogenen Daten werden auf den hochverfügbaren Serverclustern des Hosters innerhalb der europäischen Rechtsordnung verarbeitet. Zu den verarbeiteten Telemetriedaten gehören IP-Adressen (IPv4/IPv6), Zeitstempel, HTTP-Request-Methoden, User-Agent-Strings sowie Formulardaten.
Die Bereitstellung erfolgt zur Erfüllung vorvertraglicher und vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO) sowie im berechtigten Interesse einer hochperformanten, ausfallsicheren und zertifizierten Bereitstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. f DSGVO).

Infrastruktur-Dienstleister:
World4You Internet Services GmbH
Hafenstraße 1-3
4020 Linz, Österreich
E-Mail: office@world4you.com

Auftragsverarbeitung (Art. 28 DSGVO)

Wir haben mit der World4You Internet Services GmbH einen datenschutzrechtlich vollumfänglich bindenden Vertrag über die Auftragsverarbeitung (AVV) geschlossen. Dieses Instrument garantiert, dass der Infrastruktur-Provider Datenströme ausschließlich streng weisungsgebunden, isoliert von anderen Kundendaten und unter Einhaltung restriktiver technischer und organisatorischer Maßnahmen (TOM) verarbeitet.

3. Allgemeine Hinweise und Pflichtinformationen

Umsetzungs-Ziele

Wir behandeln Ihre personenbezogenen Daten mit maximaler Vertraulichkeit. Die Verarbeitung basiert auf den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) sowie des Telekommunikationsgesetzes (TKG). Wir weisen darauf hin, dass unverschlüsselte Datenübertragungen (z. B. via nackter SMTP-E-Mail) systemimmanente Sicherheitslücken aufweisen können. Ein lückenloser Schutz vor staatlichen oder kriminellen Interzeptionen durch Dritte außerhalb unserer kontrollierten Knotenpunkte ist technisch nicht realisierbar.

Hinweis zur verantwortlichen Stelle

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Webseite sowie für die per Formular oder E-Mail initiierten Kommunikations- und Bewerbungsprozesse ist:
GURGLTALBROT Bäckerei-Café Tschiderer
Inhaber: Ludwig Tschiderer
Fernpaßstraße 12
6465 Nassereith, Österreich
E-Mail: gurgltalbrot@gmail.com

Kriterien für die Speicherdauer

Soweit in den spezifischen Unterpunkten keine abweichende Speicherdauer definiert ist, verbleiben Ihre Daten in unseren Systemen, bis der primäre Zweck der Datenverarbeitung vollständig entfällt. Bei Ausübung eines berechtigten Löschbegehrens oder bei Widerruf einer erteilten Einwilligung erfolgt die sofortige, unumkehrbare Depersonalisierung oder physische Löschung der Datensätze, es sei denn, zwingende gesetzliche Aufbewahrungsfristen (z. B. die 7-jährige Aufbewahrungspflicht für geschäftliche Korrespondenz und Belege nach österreichischem Unternehmens- und Steuerrecht) stehen dem entgegen.

Transportverschlüsselung (SSL/TLS)

Zur Absicherung von sensiblen Datenströmen (z. B. asynchrone Übertragungen im Bewerbungsverfahren oder Anfragen) nutzt diese Applikation eine durchgängige Transportverschlüsselung mittels TLS 1.3 (hilfsweise TLS 1.2) in Kombination mit hochsicheren Cipher Suites (AES-256-GCM / ChaCha20-Poly1305). Dies verhindert das Ausspähen (Man-in-the-Middle-Angriffe) der zwischen Ihrem Browser und unserem Webspace-Provider transferierten Datenpakete.

Vollstreckbare Rechte der Betroffenen (Betroffenenrechte)

Sie können als betroffene Person bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen folgende Rechte direkt gegenüber der verantwortlichen Stelle geltend machen:

  • Recht auf Auskunft (Art. 15 DSGVO): Das Recht auf Offenlegung der Verarbeitungszwecke, Datenkategorien, Empfänger und Speicherdauer.
  • Recht auf Berichtigung (Art. 16 DSGVO): Unverzügliche Korrektur inkorrekter oder unvollständiger Stammdaten.
  • Recht auf Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO): Physische Eliminierung der Datenbestände, sofern kein Rechtfertigungsgrund zur Weiterverarbeitung vorliegt.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sperrung der Daten für die weitere Verarbeitung während einer laufenden rechtlichen Prüfung.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Herausgabe der Daten in einem strukturierten, gängigen und maschinenlesbaren Format (z. B. JSON oder XML).
  • Recht auf Widerspruch (Art. 21 DSGVO): Jederzeitiges Widerspruchsrecht gegen Datenverarbeitungen, die auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) erfolgen.

Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO):

Wenn Sie eine Verletzung Ihrer Rechte durch unsere Datenverarbeitung vermuten, steht Ihnen das Recht auf Beschwerde bei der nationalen Regulierungsbehörde zu:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42, 1030 Wien
Web: www.dsb.gv.at

4. Cookies, Consent-Management & Technical Report

Granulare Consent-Architektur

Unsere Internetseiten verwenden Cookies und vergleichbare Speichertechnologien im Client-Browser. Wir nutzen eine im Baukastensystem integrierte Consent-Management-Plattform (CMP), wie in Screenshot 2026-07-03 195717.png technisch dokumentiert. Diese dient der Einholung, dem Nachweis und der zustandsbasierten Speicherung Ihrer datenschutzrechtlichen Präferenzen. Die Datenströme werden strikt in drei funktionale Laufzeit-Klassen unterteilt:

  1. Technisch notwendige Cookies (Essenziell): Diese First-Party-Cookies sind für das grundlegende Rendering, die Session-Validierung, den Schutz vor Cross-Site-Scripting (XXS) und SQL-Injektionen zwingend erforderlich. Sie lassen sich nicht deaktivieren. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
  2. Analytische Cookies: Erfassen clientseitige Telemetrie- und Verhaltensdaten (z. B. Klickpfade, Verweildauern). Sie verbleiben im blockierten Zustand, bis ein aktives Opt-In durch den Nutzer erfolgt. Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
  3. Drittanbieter-Inhalte (External Assets): Steuern das Nachladen von externen iFrames und JavaScript-Bibliotheken (z. B. Kartenmaterial, Medienströme). Ein Datentransfer an Drittanbieter wird bis zur Erteilung des Consents technisch unterbunden. Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

Einwilligungs-Status und Echtzeit-Widerruf

Sie können Ihre gesetzten Präferenzen jederzeit einsehen, verifizieren oder mit Wirkung für die Zukunft revidieren. Über den nachfolgenden URI wird das integrierte Consent-Banner im Browser-Fenster zur Neukonfiguration erzwungen: 👉 Cookie-Einstellungen anpassen / Consent-Banner öffnen

Technical Compliance & Privacy Engineering Report

Bei Gurgltalbrot definieren wir Datenschutz nicht als regulatorisches Hindernis, sondern als integralen Bestandteil unserer digitalen Qualitätskontrolle. Unsere Webseite operiert nach dem strengen Prinzip des „Privacy by Design“ und nutzt eine hochmoderne Consent Management Platform (CMP), die eine granulare Kontrolle über sämtliche Datenströme ermöglicht. Nachfolgend finden Sie die technische Dokumentation unserer Implementierung und der angewandten Sicherheitsstandards.

1. Runtime-Governance und Injektions-Kontrolle

Die Architektur unseres Consent-Systems fungiert als deterministischer Gatekeeper innerhalb der Browser-Laufzeitumgebung. Um das „Prior Consent“-Prinzip technisch lückenlos umzusetzen, nutzen wir das Mutation Observer API. Dieses überwacht den Dokumentenbaum (DOM) in Echtzeit und fängt Skripte von Drittanbietern bereits am Execution-Point ab. Durch die dynamische Manipulation der MIME-Typen verhindern wir die Kompilierung von JavaScript-Code durch die V8-Engine des Browsers so lange, bis ein valider Consent-Status vorliegt. Ihre Entscheidung wird dabei in einem kryptografisch abgesicherten Consent-String serialisiert und clientseitig (LocalStorage oder First-Party-Cookie) hinterlegt, was eine manipulationssichere Speicherung über die gesamte Session-Dauer garantiert.

2. Verschlüsselungsprotokolle und Systemintegrität

Die Sicherheit der übertragenen Metadaten wird durch modernste kryptografische Verfahren gewährleistet. Die gesamte Kommunikation zwischen Ihrem Endgerät und unseren Servern erfolgt über das Protokoll TLS 1.3 unter Verwendung von Perfect Forward Secrecy (PFS). Dies stellt sicher, dass selbst bei einer theoretischen Kompromittierung des privaten Schlüssels vergangene Kommunikationen nicht retrospektiv entschlüsselt werden können. Zur Absicherung gegen Cross-Site Request Forgery (CSRF) implementieren wir zustandsabhängige Tokens, die jede Interaktion mit unseren Systemen verifizieren und einem authentifizierten Ursprung zuordnen.

3. Analytische Heuristik und Performance-Optimierung

Sofern Sie der analytischen Datenerhebung zustimmen, nutzen wir fortschrittliche Verfahren zur Anonymisierung. Wir setzen auf Advanced IP-Masking, bei dem das letzte Oktett Ihrer IP-Adresse auf Protokollebene gelöscht wird, noch bevor die Daten die europäische Infrastruktur verlassen. Ein Personenbezug im Sinne der DSGVO wird dadurch technisch ausgeschlossen. Wo möglich, implementieren wir Server-Side Tagging: Hierbei fungiert unser eigener Server als Proxy, der Datenströme vor der Weitergabe an Analyse-Tools bereinigt und die Exposition Ihrer IP-Adresse gegenüber Drittanbietern minimiert.

4. Prävention von Tracking-Vektoren und Ressourcen-Isolation

Im Gegensatz to marktüblichen Praktiken verzichtet unsere Plattform explizit auf Browser-Fingerprinting. Wir korrelieren keine Hardware-Metadaten wie Canvas-Hashes, CPU-Concurrency oder Audio-Context-Eigenschaften zur Identifikation von Nutzern. Externe Ressourcen, wie beispielsweise Schnittstellen zu Kartendiensten, unterliegen einer strikten iFrame-Isolation. Durch die Header-Anweisung strict-origin-when-cross-origin (Referrer-Policy-Stripping) verhindern wir zudem, dass spezifische Pfad-Informationen unserer Webseite ungewollt an externe Server übermittelt werden.

5. Digitale Integrität am Standort Nassereith

Dieser technologische Aufwand spiegelt den kompromisslosen Qualitätsanspruch wider, den wir täglich in unserem Stammhaus in Nassereith leben. So wie wir bei der Auswahl unserer Rohstoffe keine Kompromisse eingehen, setzen wir auch digital auf die sichersten und transparentesten Protokolle. Wir schützen Ihre digitale Identität mit derselben Sorgfalt und Präzision, mit der wir unser traditionelles Backhandwerk pflegen.

Lokale Server-Logfiles

Der Webspace-Provider schreibt bei der HTTP-Anforderung automatisierte, nicht-manipulierbare Log-Dateien auf dem Server-Dateisystem. Diese Datensätze enthalten:

  • Gekürzte IP-Adresse des anfordernden Clients
  • Exakter ISO-Zeitstempel der Serveranfrage
  • Request-Zeile (enthält die angeforderte Ressource und die HTTP-Version)
  • HTTP-Statuscode (Serverantwort zur Validierung des Erfolgs)
  • Byte-Größe des transferierten Datenpakets
  • Referrer-URL (Zuweisung der vorhergehenden Webadresse)
  • User-Agent-String (Identifikation von Browsertyp, Version und Betriebssystem)

Die Speicherung dieser temporären Daten erfolgt separiert von anderen Datenbeständen auf Basis von Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse des Betreibers liegt in der forensischen Analyse im Falle von DDoS-Attacken, Cyber-Angriffen sowie zur Aufrechterhaltung der technischen Lastenverteilung.

5. Kontaktaufnahme, E-Mail-Kommunikation und Bestellprozesse

Asynchrone Formular-Eingaben und Direkt-E-Mails

Wenn Sie über das integrierte Antwortformular oder über eine direkte SMTP-E-Mail als Kunde oder Interessent mit uns in Interaktion treten, werden die von Ihnen initiierten Datenfelder (inklusive Name, E-Mail-Adresse und Freitext-Payload) zum Zweck der internen Ticket-Bearbeitung und Validierung dauerhaft gespeichert.

Die Verarbeitung basiert auf Art. 6 Abs. 1 lit. b DSGVO (vertragliche oder vorvertragliche Maßnahme) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer strukturierten und verifizierten Bearbeitung eingehender B2C- und B2B-Kommunikation).

Logistische und fiskalische Datenübermittlung bei Warenbestellungen

Zur operativen Abwicklung von Bestellprozessen verarbeiten wir Ihre Adress-, Kontakt- und Transaktionsdaten (Art. 6 Abs. 1 lit. b DSGVO). Im Rahmen des Erfüllungsprozesses werden selektierte Daten an folgende externe Schnittstellen übergeben:

  • Logistik-Dienstleister: Österreichische Post AG (Hafenstraße 1-3, 4020 Linz), zum Zweck der physischen Transportzustellung der Warenbestände.
  • Fiskalische Schnittstellen: Steuerberater / zuständiges Finanzamt, zur Einhaltung der gesetzlichen Buchführungspflichten und der BAO (Österreichische Bundesabgabenordnung) auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

6. Analyse-Tools und externe Schnittstellen (Third-Party Assets)

Google Analytics

Bei Erteilung einer expliziten Einwilligung über das CMP nutzen wir Funktionen des Webanalysedienstes Google Analytics (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Das Tool ermöglicht die Bildung von pseudonymisierten Nutzerprofilen zur statistischen Reichweitenmessung.

Aufgrund der aktivierten IP-Anonymisierung wird Ihre IP-Adresse innerhalb von Mitgliedstaaten der EU oder des EWR vor dem Weitertransfer gekürzt. Datenübertragungen in die USA sind über die Zertifizierung des Mutterkonzerns Google LLC unter dem EU-U.S. Data Privacy Framework (DPF) rechtlich abgesichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

OpenStreetMap (OSM)

Zur Bereitstellung ressourcenschonender, quelloffener Kartendarstellungen binden wir Kartenmaterial der OpenStreetMap Foundation (OSMF, St John’s Innovation Centre, Cowley Road, Cambridge, CB4 0WS, UK) ein. Beim Laden des Seiten-Knotens baut Ihr Browser eine Direktverbindung zu den Servern der OSMF auf. Dabei wird technisch zwingend Ihre IP-Adresse an das Content Delivery Network der OSMF übermittelt. Rechtsgrundlage: Einwilligung via CMP (Art. 6 Abs. 1 lit. a DSGVO).

Google Maps & Google Beiträge

Ergänzend binden wir API-Komponenten von Google Maps sowie dynamische Skripte für Google Beiträge (Google Ireland Limited) ein. Hierbei kommt es beim Laden der Komponente zu einem direkten Server-Request bei Google, wodurch Google die IP-Adresse, Standortdaten sowie das Nutzungsverhalten des Clients erfassen kann. Die Cookie-Setzung und Datenverarbeitung durch Google erfolgt eigenverantwortlich durch den Drittanbieter. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Microsoft Maps (Bing Maps)

Für die geographische Routenplanung wird alternativ Microsoft Maps genutzt (Dienst der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA). Durch das Laden des Karten-Assets werden Telemetriedaten und IP-Adressen an Server von Microsoft in die USA übertragen. Microsoft verarbeitet diese Daten gemäß eigener Datenschutzbestimmungen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

YouTube (Erweiterter Datenschutzmodus)

Wir binden Video-Ressourcen der Plattform YouTube ein (Anbieter: Google Ireland Limited). Die Einbindung erfolgt ausschließlich im erweiterten Datenschutzmodus via youtube-nocookie.com. Dies stellt sicher, dass YouTube keine Cookies zur Verhaltensanalyse setzt, solange das Video nicht aktiv abgespielt wird.

Beim Auslösen des Play-Events werden via Local Storage Tracking-Vektoren initialisiert und Telemetriedaten an Google-Server übertragen, auf deren Weiterverarbeitung wir keinen Einfluss haben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Social Media Proxies (2-Klick-Verfahren für Facebook und Instagram)

Wir setzen zum Schutz Ihrer Privatsphäre ein restriktives 2-Klick-Verfahren für Social-Media-Links (Facebook, Instagram; Meta Platforms Ireland Limited) ein. Standardmäßig ist die Schnittstelle komplett inaktiv. Ein Datentransfer an die Server von Meta wird erst dann initiiert, wenn Sie das jeweilige Social-Asset per Klick explizit aktivieren. Meta kann den Datenstrom anschließend mit einem bestehenden Benutzerkonto korrelieren, sofern Sie im Zielnetzwerk authentifiziert sind. Weitere Informationen entnehmen Sie den Richtlinien des Anbieters: https://instagram.com/about/legal/privacy/.

7. Strukturierte Verarbeitung von Bewerberdaten

Wenn Sie uns eine Bewerbung per E-Mail oder über ein dafür vorgesehenes Antwortformular zukommen lassen, verarbeiten wir sämtliche übermittelten Datenklassen (darunter Stammdaten, Qualifikationsnachweise, Berufsbiografien und elektronische Dokumente) ausschließlich im Rahmen der Zweckbindung des jeweiligen Rekrutierungsverfahrens.

Die Verarbeitung basiert auf Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines vorvertraglichen Verhältnisses) in Verbindung mit den nationalen arbeitsrechtlichen Bestimmungen. Die Datenverarbeitung erfolgt streng isoliert und ist ausschließlich für die HR-Entscheidungsträger innerhalb unseres Unternehmens zugänglich. Eine Weitergabe an unbefugte Dritte ist systemisch ausgeschlossen.

Sollte das Bewerbungsverfahren negativ beschieden werden, erfolgt die Aufbewahrung der Unterlagen zur Abwehr etwaiger Ansprüche aus dem Gleichbehandlungsgesetz (GlBG) für die gesetzliche Dauer von exakt sechs Monaten nach Bekanntgabe der Absage. Nach Ablauf dieser Frist werden alle physischen und digitalen Datensätze unwiderruflich destruiert bzw. gelöscht, es sei denn, es liegt eine explizite schriftliche Einwilligung für eine Evidenzhaltung im internen Bewerberpool vor.

8. Gültigkeit und Revisionierung

Diese Datenschutzerklärung wird fortlaufend an technische Modifikationen der Webseiten-Architektur sowie an regulatorische Änderungen der Rechtsprechung angepasst.
Stand dieser Dokumentation: 3. Juli 2026


E-Mail
Anruf
Karte
Infos
Instagram