Datenschutzerklärung – TVB Backoffice Assist

1. Verantwortlicher im Sinne der DSGVO

Verantwortlicher für die Verarbeitung personenbezogener Daten innerhalb dieser Anwendung ist der jeweilige Tourismusverband, der die Anwendung einsetzt (z. B. Tourismusverband Zillertal). Die web-crossing GmbH betreibt die Anwendung als Auftragsverarbeiterin gemäß Art. 28 DSGVO auf Grundlage eines Auftragsverarbeitungsvertrags (AVV) mit dem jeweiligen Verband.

Kontakt zur Auftragsverarbeiterin:
web-crossing GmbH · office@web-crossing.com · Datenschutz-Anfragen: datenschutz@web-crossing.com

2. Verarbeitete Datenkategorien

Im Rahmen des Betriebs der Anwendung werden folgende Datenkategorien verarbeitet:

Nutzerkonten: Name, dienstliche E-Mail-Adresse, gehashtes Passwort, Rolle, Aktivitätsprotokoll (Login-Zeiten, Aktionen innerhalb der Anwendung).
E-Mail-Inhalte: über die Microsoft Graph API abgerufene Nachrichten des vom Auftraggeber bereitgestellten Mail-Postfachs einschließlich Absender-, Empfänger- und Inhaltsdaten (ausschließlich dienstliche Korrespondenz).
KI-Verarbeitungsprotokolle: Metadaten zu jedem KI-API-Aufruf (Zeitpunkt, Anbieter, Modell, Token-Verbrauch, Kosten, Ergebnisstatus). Die übermittelten Texte werden ausschließlich in bereinigter Form gespeichert.
CRM-/Gästedaten: aus E-Mails extrahierte Kontaktdaten (Name, E-Mail, Anliegen) zur Pflege im Backoffice.
Uploads im Marketing-Chat: vom Nutzer hochgeladene Bilder und Dokumente zur Unterstützung der KI-gestützten Content-Erstellung.
Technische Protokolle: Server-Logs (IP-Adresse, Zeitpunkt, aufgerufene URL, User-Agent) zur Gewährleistung der IT-Sicherheit.

3. Zwecke der Verarbeitung

Die Datenverarbeitung dient ausschließlich der Unterstützung des Backoffice-Betriebs des jeweiligen Tourismusverbands – insbesondere der KI-gestützten Beantwortung von Gästeanfragen, der Verwaltung von Merchandise-Beständen, der Pflege der Wissensbasis, der Stimmungsanalyse öffentlich zugänglicher Bewertungen sowie des internen Reportings.

4. Rechtsgrundlage

Die Verarbeitung stützt sich auf:

Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrags mit dem Auftraggeber (Tourismusverband) bzw. Durchführung vorvertraglicher Maßnahmen.
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an effizienter Bearbeitung von Gästekorrespondenz, an IT-Sicherheit und an der Qualitätssicherung der KI-gestützten Vorschläge.
Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit steuer- und handelsrechtlichen Aufbewahrungspflichten, soweit einschlägig.

5. Empfänger & Auftragsverarbeiter

Zur Erbringung der Leistung werden personenbezogene Daten an folgende Empfänger übermittelt. Mit allen externen Dienstleistern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO bzw. Standardvertragsklauseln für Drittlandübermittlungen.

Empfänger	Zweck	Region
Microsoft Ireland Operations Ltd.	E-Mail-Abruf über Microsoft Graph API	EU
Anthropic PBC (Claude)	KI-Klassifikation & Antwortgenerierung (nur bereinigte Texte)	USA (SCC)
OpenAI Ireland Ltd.	Embeddings, Fallback-Antworten (nur bereinigte Texte)	EU/USA (SCC)
Google Ireland Ltd. (Gemini)	Optionaler KI-Anbieter, nur auf Anforderung	EU/USA (SCC)
web-crossing GmbH	Hosting der Anwendung auf dedizierten vServern	Österreich / EU

Die Anbieter verwenden die übermittelten Daten nicht zum Training ihrer Modelle (vertraglich zugesichert via API-Business-Konditionen).

6. PII-Scrubbing vor KI-Aufrufen

Vor jeder Übertragung an einen externen KI-Dienst werden personenbezogene Daten automatisiert aus dem Text entfernt und durch Platzhalter ersetzt. Dies betrifft insbesondere:

E-Mail-Adressen → [E-MAIL]
Telefonnummern → [TELEFON]
IBAN / Kontonummern → [IBAN]
Sozialversicherungsnummern → [SVN]
Kreditkartennummern → [KREDITKARTE]
Postanschriften und Ortsangaben → [ORT]

Die externen KI-APIs erhalten ausschließlich bereinigte Texte. Eine Re-Identifikation durch die KI-Anbieter ist dadurch technisch ausgeschlossen.

7. Speicherdauer

Personenbezogene Daten werden so lange gespeichert, wie das zugehörige Nutzerkonto bzw. der Vertrag mit dem Auftraggeber besteht. Nach Beendigung erfolgt die Löschung innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Backups werden verschlüsselt gespeichert und nach einer Retention von 30 Tagen überschrieben.

8. Ihre Rechte

Sie haben nach der DSGVO jederzeit das Recht auf:

Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO),
Berichtigung unrichtiger Daten (Art. 16 DSGVO),
Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO),
Einschränkung der Verarbeitung (Art. 18 DSGVO),
Datenübertragbarkeit in einem gängigen Format (Art. 20 DSGVO),
Widerspruch gegen die Verarbeitung (Art. 21 DSGVO).

Anfragen richten Sie bitte an datenschutz@web-crossing.com. Unabhängig davon steht Ihnen ein Beschwerderecht bei der österreichischen Datenschutzbehörde zu: dsb.gv.at.

9. Cookies & lokale Speicherung

Die Anwendung setzt ausschließlich technisch notwendige Cookies ein:

Session-Cookie (HttpOnly, Secure, SameSite=Lax) zur Authentifizierung während einer angemeldeten Sitzung.
CSRF-Token-Cookie zum Schutz vor Cross-Site-Request-Forgery-Angriffen.

Zusätzlich wird die Präferenz für Hell-/Dunkelmodus lokal im localStorage Ihres Browsers abgelegt. Es findet kein Tracking, kein Web-Analytics und keine Weitergabe an Dritte statt. Auf eine Cookie-Consent-Einblendung wird daher verzichtet (keine einwilligungspflichtigen Cookies).

10. Technische & organisatorische Maßnahmen

Transportverschlüsselung (TLS 1.2+) für sämtliche Verbindungen.
API-Schlüssel und sensible Konfiguration AES-256-verschlüsselt in der Datenbank.
Content Security Policy (CSP), Strict-Transport-Security (HSTS) und Nonce-basierte Script-Ausführung.
Lückenloses Audit-Log aller sicherheitsrelevanten Aktionen.
Prompt-Guard gegen Manipulationsversuche auf KI-Eingaben.
Rollenbasierte Zugriffskontrolle und automatische Mandantentrennung.

11. Kontakt für Datenschutz-Anliegen

web-crossing GmbH
E-Mail: datenschutz@web-crossing.com