Datenschutzerklärung
Letzte Aktualisierung: 20. März 2026
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten wir auf shopilo.at verarbeiten, zu welchen Zwecken dies geschieht, auf welche Rechtsgrundlagen wir uns stützen und welche Rechte Ihnen zustehen. Ergänzend zu den DSGVO-Anforderungen findet das österreichische Datenschutzgesetz (DSG 2018) Anwendung.
1. Verantwortlicher
Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Verarbeitung personenbezogener Daten auf shopilo.at ist:
DontPayFull SRLStr. Zece Mese Nr. 9, Ap. 1
024061 Bukarest
Rumänien
Handelsregistereintrag: J40/14765/2015 (Registrul Comertului Bukarest)
UID-Nummer: RO35294618
Gesetzliche Vertreter: Andrei Vasilescu (Geschäftsführer), Adrian Cristea (Technischer Direktor)
E-Mail: [email protected]
Telefon: +40 748 316 698
1.1 Datenschutzbeauftragter
Nach unserer Einschätzung ist die Bestellung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO für unser Unternehmen derzeit nicht verpflichtend. Für alle Datenschutzfragen wenden Sie sich bitte an [email protected].
1.2 Was wir NICHT erheben
Shopilo.at erhebt ausdrücklich nicht:
- Zahlungsdaten oder Bankdaten - Käufe werden ausschließlich auf den Händlerseiten abgewickelt
- Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO), z.B. Gesundheitsdaten, ethnische Herkunft
- Inhalt von Warenkörben beim jeweiligen Händler
- Affiliate-Tracking-Cookies - diese werden ausschließlich von Händlern auf deren eigenen Domains gesetzt; shopilo.at setzt selbst keine Affiliate-Cookies
2. Welche Daten verarbeiten wir und warum?
| Datenkategorie | Konkrete Daten | Verarbeitungszweck | Rechtsgrundlage | Aufbewahrung |
|---|---|---|---|---|
| A. Nutzungsdaten | Anonymisierte Navigationsverläufe, Stadt und Land (ermittelt aus IP, die danach gelöscht wird), Browser-Typ, Betriebssystem, besuchte Seiten, Sitzungsdauer | Analyse der Website-Nutzung (Google Analytics 4), Optimierung des Dienstes, Fehlerdiagnose | Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse (Dienst-Optimierung) | 26 Monate (GA4-Standard) |
| B. Cookie-/Einwilligungsdaten | Einwilligungspräferenzen und Zeitstempel, gespeichert durch CookieScript | Nachweis und Verwaltung von Cookie-Einwilligungen gemäß TKG §165 und Art. 7 DSGVO | Art. 6 Abs. 1 lit. c DSGVO - rechtliche Verpflichtung | 13 Monate |
| C. Marketingdaten | Seitenaufrufe, Conversion-Ereignisse via Meta Pixel (nur bei erteilter Einwilligung) | Zielgruppenanalyse und Reichweitenmessung | Art. 6 Abs. 1 lit. a DSGVO - Einwilligung (über CookieScript eingeholt) | 90 Tage |
| D. Kontodaten | E-Mail-Adresse, Anzeigename, gespeicherte Suchpräferenzen (nur bei freiwilliger Kontoregistrierung) | Bereitstellung personalisierter Dienst-Funktionen | Art. 6 Abs. 1 lit. b DSGVO - Vertragserfüllung | Dauer der Kontolaufzeit + 30 Tage |
| E. Preisalarm-Daten | E-Mail-Adresse für Preisbenachrichtigungen (nur bei ausdrücklicher Anmeldung) | Versand von Preisbenachrichtigungs-E-Mails | Art. 6 Abs. 1 lit. a DSGVO - Einwilligung; jederzeit widerrufbar | Bis zur Abmeldung |
2.1 Minderjährige - §4 DSG 2018
In Österreich kann die Einwilligung zur Verarbeitung personenbezogener Daten ab dem vollendeten 14. Lebensjahr selbständig erteilt werden (§ 4 DSG 2018). Shopilo.at richtet sich nicht gezielt an Kinder unter 14 Jahren. Wir erheben wissentlich keine Daten von Personen unter 14 Jahren; sollte uns dies bekannt werden, löschen wir die Daten unverzüglich.
3. Auftragsverarbeiter und Empfänger
Wir setzen die folgenden Auftragsverarbeiter gemäß Art. 28 DSGVO ein:
| Verarbeiter | Adresse | Zweck | Land | Rechtsgrundlage Transfer |
|---|---|---|---|---|
| Google LLC | 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA | Google Analytics 4 - Web-Analyse | USA | EU-U.S. Data Privacy Framework (DPF) |
| Meta Platforms Inc. | 1 Hacker Way, Menlo Park, CA 94025, USA | Meta Pixel - Conversion-Tracking (nur mit Einwilligung) | USA | EU-U.S. Data Privacy Framework (DPF) |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Deutschland | Web-Hosting und Server-Infrastruktur | EU (Deutschland) | Art. 28 DSGVO - AVV innerhalb EU |
| Cloudflare Inc. | 101 Townsend St, San Francisco, CA 94107, USA | Content Delivery Network (CDN) und DDoS-Schutz | USA | EU-U.S. DPF + EU-Standardvertragsklauseln (SCC) |
| CookieScript | JSC CookieScript, Europos pr. 122, Kaunas, Litauen | Consent Management Platform (CMP) - Verwaltung von Cookie-Einwilligungen | EU (Litauen) | Art. 28 DSGVO - AVV innerhalb EU |
4. Internationale Datenübermittlungen
Einige unserer Auftragsverarbeiter (Google LLC, Meta Platforms, Cloudflare) befinden sich in den USA. Die Datenübermittlung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Framework (DPF), das seit Juli 2023 als Angemessenheitsbeschluss gemäß Art. 45 DSGVO von der Europäischen Kommission anerkannt ist. Google LLC, Meta Platforms Inc. und Cloudflare Inc. sind unter dem DPF zertifiziert.
Als ergänzende Schutzmaßnahme setzt Cloudflare zusätzlich EU-Standardvertragsklauseln (SCC gemäß Art. 46 Abs. 2 lit. c DSGVO) ein.
6. Aufbewahrungsfristen
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
- Nutzungsdaten (GA4): 26 Monate
- Cookie-Einwilligungsnachweise: 13 Monate
- Kontodaten: Dauer der Kontoexistenz + 30 Tage nach Löschung
- Preisalarm-Daten: bis zur Abmeldung
- Gesetzlich vorgeschriebene Aufbewahrung (Buchhaltung etc.): 7 Jahre gemäß österreichischem Unternehmensrecht
7. Ihre Rechte
Sie haben nach DSGVO und DSG 2018 folgende Rechte in Bezug auf Ihre personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, welche Daten wir über Sie verarbeiten.
- Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.
- Löschungsrecht (Art. 17 DSGVO, "Recht auf Vergessenwerden"): Sie können unter bestimmten Voraussetzungen die Löschung Ihrer Daten verlangen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
- Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen jederzeit widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
- Beschwerderecht (Art. 77 DSGVO): Sie können bei der zuständigen Aufsichtsbehörde Beschwerde einlegen.
Zur Ausübung Ihrer Rechte wenden Sie sich an: [email protected]
8. Aufsichtsbehörden
Als rumänisches Unternehmen mit DSGVO One-Stop-Shop-Mechanismus ist die federführende Aufsichtsbehörde:
ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal)Bd. G-ral. Gheorghe Magheru 28-30
010336 Bukarest
Rumänien
Website: www.dataprotection.ro
Für Nutzer in Österreich ist zusätzlich die lokale Datenschutzbehörde zuständig:
Österreichische Datenschutzbehörde (DSB)Barichgasse 40-42
1030 Wien
Österreich
E-Mail: [email protected]
Website: www.dsb.gv.at
Tel: +43 1 52 152-0
Sie haben das Recht, eine Beschwerde bei einer dieser Behörden einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das DSG 2018 verstößt.
9. Kontakt und Datenschutzanfragen
DontPayFull SRLStr. Zece Mese Nr. 9, Ap. 1
024061 Bukarest, Rumänien
E-Mail: [email protected]
Bitte geben Sie bei Datenschutzanfragen Ihren vollständigen Namen und, falls zutreffend, Ihre E-Mail-Adresse des Nutzerkontos an, damit wir Ihre Anfrage effizient bearbeiten können. Wir beantworten Anfragen innerhalb von 30 Tagen gemäß Art. 12 Abs. 3 DSGVO.