Datenschutzerklärung

vondot GmbH, Illstraße 3, 6800 Feldkirch, Österreich — FN 525834 k, Landesgericht Feldkirch. Verantwortlich für die personenbezogenen Daten, die wir über overwise.com und den Overwise-Dienst verarbeiten.

Datenschutzkontakt: [email protected]. Eine bestellpflichtige Datenschutzbeauftragte nach Art. 37 DSGVO haben wir nicht (die Schwellen treffen auf uns nicht zu), Datenschutzanfragen erreichen uns aber unter derselben Adresse. Wir antworten innerhalb von 30 Tagen.

Overwise hat — je nachdem, um welche Daten es geht — drei verschiedene Rollen. Wer für welche Verarbeitung verantwortlich ist, entscheidet auch, an wen Sie sich mit Ihren Rechten wenden.

• Alleinverantwortliche — für Konto-, Abrechnungs- und Analyse-Daten unserer Website sowie für den öffentlichen Lead-Pool, den wir aus eigener Initiative aufbauen und pflegen (PublicLead-Datensätze, öffentliche Unternehmenssignale). Wir entscheiden, welche Quellen wir crawlen, welche Attribute wir behalten und wie lange.
• Gemeinsam Verantwortliche mit dem Overwise-Kunden (Art. 26 DSGVO) — an der Schnittstelle, an der unser öffentlicher Pool und das Kunden-ICP zusammentreffen und ein bestimmter Lead zur Ansprache ausgewählt wird. Beide Parteien legen gemeinsam die Mittel fest, mit denen aus einem Lead ein Adressat wird: wir über die Discovery-Pipeline und die Matching-Logik, der Kunde über die ICP-Definition und die konkrete Freigabe.

Der wesentliche Inhalt der Art.-26-Vereinbarung (Art. 26 Abs. 2 DSGVO) ist nachstehend dargelegt, damit jede betroffene Person sich darauf unmittelbar berufen kann, ohne unsere AVV lesen zu müssen.

(i) Aufgabenverteilung. vondot verantwortet die Rechtmäßigkeit der Discovery aus öffentlichen Quellen, die Quellen-Nachvollziehbarkeit pro Lead, den in der ersten Nachricht eingefügten Art.-13/14-Transparenz-Footer und die plattformweite Suppression-Liste. Der Overwise-Kunde verantwortet die Rechtsgrundlage (oder Einwilligung, soweit erforderlich) für die Kontaktaufnahme zu einem bestimmten Empfänger, den Nachrichteninhalt und die Einhaltung des Anti-Spam-Rechts am Empfängerort.

(ii) Anlaufstelle für Betroffene. vondot agiert als operative One-Stop-Shop unter [email protected]: Wir nehmen Anfragen entgegen, handeln im Rahmen unserer Pflichten und leiten Anfragen, die die eigenständige Verantwortung des Kunden betreffen, unverzüglich an den Kunden weiter, sodass er innerhalb der Fristen aus Art. 12 Abs. 3 reagieren kann.

(iii) Solidarische Rechtsausübung nach Art. 26 Abs. 3. Unabhängig von der oben dargestellten Aufgabenverteilung können Sie als betroffene Person Ihre Rechte gegen jede der beiden Parteien geltend machen. Der Anspruch auf Ersatz nach Art. 82 DSGVO wird durch unsere interne Aufgabenverteilung nicht beschränkt.

• Auftragsverarbeiter für den Kunden — für alles, was der Kunde in seinem Projekt anlegt oder importiert (Kampagneninhalte, Entwürfe, gesendete Nachrichten, Schreibstil-Samples, Suppression-Liste, Antworten, manuell hochgeladene Leads). Geregelt in der Auftragsverarbeitungsvereinbarung unter /de/dpa.

• Kontodaten: Name, E-Mail und Profilbild von Ihrem OAuth-Anbieter; IP-Adresse und User Agent authentifizierter Sitzungen; Team und Rolle.
• Unternehmensdaten: Firma, Rechnungsadresse, UID, Stripe-Customer-ID.
• Postfach-Zugriff (Google Workspace / Gmail): OAuth-Scopes gmail.readonly (Gesendet-Ordner für die Stil-Extraktion), gmail.send (Versand) und gmail.modify (Label-basiertes Reply-Tracking). Gilt unter Googles API Services User Data Policy einschließlich der Limited-Use-Anforderungen: wir nutzen diese Daten ausschließlich zur Bereitstellung und Verbesserung nutzersichtbarer Funktionen, geben sie nicht für Werbezwecke weiter, lassen sie nicht durch Menschen einsehen (außer wo gesetzlich verpflichtend) und nutzen sie nicht zur Entwicklung oder Verbesserung allgemeiner KI-Modelle.
• Postfach-Zugriff (Microsoft 365 / Outlook): Microsoft-Graph-Scopes Mail.Read, Mail.Send und User.Read. Verarbeitung nach den Graph-API-Terms von Microsoft; gleiches Minimum-Scope-Prinzip.
• Refresh-Tokens beider Anbieter liegen AES-256-verschlüsselt; im Klartext liegt nichts. Sie können den Zugriff jederzeit aus Ihrem Google- oder Microsoft-Konto widerrufen.
• Lead-Daten: für Prospects, die Sie ansprechen oder die wir aus öffentlichen Quellen entdecken: Firmenname, geschäftliche E-Mail, Position, öffentliche Social-Profile-URLs, öffentliche Unternehmenssignale (Hiring, Funding, Tech-Stack), Engagement-Events sowie entworfene, gesendete und empfangene Nachrichten. Ausschließlich geschäftlicher Kontext. Keine privaten E-Mail-Adressen, keine privaten Telefonnummern, keine Privatadressen, keine Gesundheits-/Politik-/Religions-/Biometrie-Indikatoren, keine Tracking-Pixel-Anreicherung.
• Schreibstil-Samples: Betreff und Inhalt von gesendeten Nachrichten, die Sie als Stil-Referenz auswählen. Sie liegen ausschließlich im privaten Vector-Index Ihres Projekts — nie kundenübergreifend zusammengeführt, nie für tenant-übergreifende Abfragen verwendet, nie an Trainings-Endpunkte gesendet.
• Kampagnen- und Outreach-Daten: Kampagnen-Einstellungen, ICP-Definition, Entwürfe, gesendete Nachrichten, Reply-Klassifikationen, Zustellbarkeits-Metriken, Suppression-Einträge.
• System-Telemetrie: Applikations-Logs, Fehlerberichte, Latenzen, Billing-Events. Für Betrieb und Sicherheit des Dienstes.
• Zahlungsdaten: direkt bei Stripe. Wir speichern die Stripe-Customer-ID und den Abo-Status. Keine Kartennummern, keine Kartenmarke, keine letzten 4 Ziffern auf unserer Infrastruktur.

Je nach Zweck:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b): Konto, Unternehmen, Postfach-Zugriff, Kampagnenbetrieb, Abrechnung, Support.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): Buchhaltung (UGB §190 — sieben Jahre), Steuerunterlagen, Kooperation mit Aufsichtsbehörden.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f): Lead-Discovery aus öffentlichen Quellen, System-Telemetrie, Missbrauchs- und Sicherheitsabwehr, Produkt-Analytik. Bei der Lead-Discovery stützt sich die Abwägung auf: (i) ausschließlich geschäftliche Daten — siehe §3; (ii) ein niedrigschwelliges Widerspruchsrecht nach Art. 21 DSGVO bevor ein Kontakt versucht wird — siehe §10; (iii) keine besonderen Kategorien nach Art. 9 DSGVO; (iv) kein Profiling mit rechtlicher oder ähnlich erheblicher Wirkung. Die schriftliche Interessenabwägung (LIA) stellen wir auf Anfrage zur Verfügung.
• Einwilligung (Art. 6 Abs. 1 lit. a): Marketing-E-Mails (Newsletter, Produktankündigungen), optionale Cookies sofern eingeführt. Jederzeit widerrufbar unter [email protected].

Wir senden Prompts an die APIs von Anthropic (Claude) und OpenAI, um Nachrichten zu entwerfen, Antworten zu klassifizieren, Schreibstile zu extrahieren und Kontakttexte zu vektorisieren. Nach den derzeitigen kommerziellen API-Bedingungen beider Anbieter und den von uns abgeschlossenen DPAs (Kopien auf Anfrage) trainiert Anthropic nicht auf API-Inputs oder -Outputs; OpenAI trainiert nicht auf API-Daten. Wir nutzen Kundendaten nicht zum Training eigener Modelle. Schreibstil-Samples bleiben im privaten Vector-Index Ihres Projekts — nie geteilt, nie aggregiert, nie für tenant-übergreifende Abfragen genutzt.

EU AI Act Art. 50 (wirksam ab 2. August 2026). Da mit Overwise verfasste Nachrichten KI-generiert sind, fügen wir in jeder ausgehenden Nachricht automatisch einen kurzen KI-Hinweis ein. Die Sprache des Hinweises folgt der Nachrichtensprache; ist diese nicht bestimmbar, ist Englisch der Standard. Den genauen Footer-Text finden Sie unter /de/security.

Overwise berechnet drei Scores. Wir beschreiben sie hier, weil Art. 13 Abs. 2 lit. f und Art. 15 Abs. 1 lit. h DSGVO verlangen, dass Sie die involvierte Logik, deren Bedeutung und die vorgesehenen Auswirkungen verstehen können.

• ICP-Fit-Score — wie gut ein Lead zum vom Kunden definierten Idealprofil passt (Branche, Größe, Rolle, Signale). Eingaben: öffentliche Geschäftsattribute (LinkedIn-Rolle und Headline, Firmenwebsite, jüngste Finanzierung, Karriereseite). Folge: ein numerischer Score, der dazu führen kann, dass wir einen Lead vor jedem Kontaktversuch überspringen.
• Trust-Score (pro Entwurf) — ob jede Tatsachenbehauptung im Nachrichtenentwurf an ein reales Signal aus unseren Daten belegt werden kann. Eingaben: der Entwurf, die zugrundeliegenden Signale, der Cite-or-Discard-Verifier. Folge: liegt der Trust-Score unter dem Schwellwert, wird der Entwurf verworfen und der Lead zurückgehalten, nicht gesendet. Jeder verworfene Entwurf bleibt im In-App Activity Log einsehbar und kann vom Kunden jederzeit manuell erneut ausgelöst werden.
• Reply-Klassifikation — Kategorie-Labels (positiv, negativ, abwesend, Referral, Unsubscribe). Eingabe: der Antworttext. Folge: steuert Suppression und Follow-up.

Der Kunde ist letzte Entscheidungsinstanz — jeder Entwurf ist prüfbar, jeder Verwurf ist umkehrbar, der Autopilot ist eine ausdrückliche Vorab-Autorisierung des Kunden im Rahmen der ICP-Definition und pausiert auf Wunsch. Soweit Art. 22 Abs. 1 DSGVO auf einen dieser Scores anwendbar sein sollte, stützen wir uns auf Art. 22 Abs. 2 lit. b (zur Vertragserfüllung erforderlich) und bieten die Schutzmaßnahmen aus Art. 22 Abs. 3: Recht auf menschliches Eingreifen, Recht auf Darlegung des eigenen Standpunkts, Recht auf Anfechtung der Entscheidung — schreiben Sie an [email protected].

Wir trennen bewusst in zwei Kategorien.

(a) Unterauftragsverarbeiter, die wir zur Erbringung des Dienstes einsetzen. Art. 28 DSGVO gilt; wir haben einen DPA mit jedem; wir kündigen 30 Tage im Voraus schriftlich an, bevor wir einen hinzufügen oder austauschen. Die aktuelle Liste mit Rolle, Standort und DPA-Links finden Sie auf /de/security. Zum Stichtag dieser Erklärung umfasst sie: Anthropic, OpenAI, MongoDB Atlas, Qdrant Cloud, Stripe, Resend, Postmark, Firecrawl, Apify, Sentry, Plausible.

(b) Vom Kunden konfigurierte Integrationen. Das sind keine Overwise-Unterauftragsverarbeiter. Es sind Dienste, die Sie auf eigene Rechnung anbinden und die Ihre Zugangsdaten halten; Overwise reicht nur durch — die Bedingungen und DPAs dieser Anbieter gelten zwischen Ihnen und dem jeweiligen Anbieter:

• Google (Gmail-API + OAuth, wenn Sie ein Gmail-Postfach verbinden)
• Microsoft (Microsoft Graph + OAuth, wenn Sie ein Outlook-Postfach verbinden)
• Instantly (wenn Sie Ihren eigenen Instantly-API-Key für Reply-Webhooks bereitstellen)

Der primäre Datenspeicher liegt in der EU (Frankfurt). Für Übermittlungen außerhalb des EWR stützen wir uns gestaffelt:

• EU-US Data Privacy Framework — für Anbieter (und die konkret empfangende Rechtsperson), die aktuell auf der aktiven DPF-Liste unter dataprivacyframework.gov/list zertifiziert sind. Die aktuelle Zuordnung Anbieter → DPF-Status pflegen wir unter /de/security und prüfen sie vor jeder Unterauftragsverarbeiter-Änderung neu.
• Standardvertragsklauseln (Durchführungsbeschluss 2021/914) mit dem Modul, das die tatsächliche Rolle abbildet: Modul 1 (Controller-zu-Controller), wenn wir in unserer Verantwortlichen-Rolle an einen Anbieter übermitteln, der selbst Verantwortlicher ist; Modul 2 (Controller-zu-Processor), wenn der Anbieter unser Auftragsverarbeiter ist; Modul 3 (Processor-zu-Processor) für Kundendaten, bei denen wir als Ihr Auftragsverarbeiter handeln. SCCs gelten für Anbieter ohne DPF-Listung und als Rückfall für DPF-gelistete Anbieter, falls das Framework angefochten wird.
• Transfer Impact Assessment pro Anbieter, aktualisiert wenn sich die zugrundeliegende US-Rechtslage ändert (z.B. Reauthorisation von FISA §702, Executive Order 14086 zu Signals Intelligence).
• UK-Transfers: International Data Transfer Addendum (IDTA) der ICO.
• Schweiz-Transfers: FDPIC-anerkannter SCC-Anhang.

Kopien der unterzeichneten SCCs, des IDTA, des Schweiz-Anhangs und der TIAs auf Anfrage unter [email protected].

• Konto-, Unternehmens-, Kampagnen- und Lead-Daten: aktiv solange das Abo läuft. Nach Kündigung 30 Tage nur lesend (für Reaktivierung), anschließend hart gelöscht aus dem Primärspeicher. Backups bleiben weitere 60 Tage, dann Vollpurge. Maximal 90 Tage nach Kündigung für diese Kategorien.
• Postfach-Refresh-Tokens und OAuth-Credentials: beim Anbieter widerrufen bei Kündigung; der verschlüsselte Token-Blob in unserer DB wird innerhalb von 24 Stunden gelöscht. Sie können den Widerruf jederzeit über Ihr Google- oder Microsoft-Konto durchführen.
• Schreibstil-Samples (Auszüge aus dem Gesendet-Ordner): gelten als Postfachinhalt. Werden mit dem Projekt bei Kündigung gelöscht; auf Einzel-Sample-Wunsch sofort aus dem Primärspeicher und innerhalb 24h aus dem Vector-Index entfernt.
• Audit- und Sicherheits-Logs: 90 Tage.
• Suppression-Einträge: unbefristet — als Nachweis, dass dem Widerspruch entsprochen wurde. Eine Löschung würde die betroffene Person erneut exponieren — Art. 17 Abs. 3 lit. b/e und Art. 21 Abs. 3 DSGVO.
• Buchhaltung (Rechnungen, Steuerunterlagen): sieben Jahre (UGB §190). Diese Pflicht läuft getrennt von den obigen Kategorien.

Frühere Löschung auf schriftlichen Wunsch an [email protected], soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

Herkunft Ihrer Daten. Wir haben Ihre geschäftlichen Kontaktdaten aus öffentlich zugänglichen Quellen erhoben — typischerweise von der Website Ihres Arbeitgebers, dem öffentlichen LinkedIn-Profil, Karriereseiten oder öffentlicher Presse — und verarbeitet, damit ein bestimmter Overwise-Kunde Ihnen eine relevante geschäftliche Nachricht senden kann. Wir sind Alleinverantwortliche für den zugrundeliegenden öffentlichen Lead-Pool. Sobald das Kunden-ICP auf diesen Pool angewendet und Sie zur Ansprache ausgewählt werden, sind wir mit dem Overwise-Kunden gemeinsam Verantwortliche nach Art. 26 DSGVO (siehe §2 zum wesentlichen Inhalt der Vereinbarung). Wer der Kunde ist, geht aus jeder über Overwise versendeten Nachricht hervor. Sie können Ihre Rechte gegen jede der beiden Parteien geltend machen — schreiben Sie an [email protected] und wir handeln als One-Stop-Shop.

Widerspruch vor jedem Kontaktversuch. Sie können verlangen, dass wir Ihre Adresse suppressen, bevor ein Overwise-Kunde Sie kontaktiert. Schreiben Sie an [email protected] oder nutzen Sie das Formular unter overwise.com/de/suppress. Wir suppressen die Adresse über alle aktuellen und künftigen Overwise-Kunden hinweg, dauerhaft. Keine Gebühr, kein Account, keine Wartezeit.

Rechte nach erfolgtem Kontakt. Es gelten die üblichen DSGVO-Rechte — Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch (Art. 15–21) — direkt uns gegenüber an der oben genannten Adresse. Soweit eine Anfrage die Entscheidung des Kunden zur Kontaktaufnahme betrifft (und nicht unseren öffentlichen Pool), leiten wir sie an den Kunden und unterrichten Sie über das Ergebnis. So oder so: Ihr Widerspruchsrecht nach Art. 21 Abs. 2 DSGVO ist absolut und wird sofort umgesetzt.

Nach DSGVO haben Sie das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch bei der Verarbeitung sowie auf jederzeitigen Widerruf einer Einwilligung. Die meisten Rechte üben Sie direkt in der App über Settings aus (Lead-Daten als CSV exportieren, Kontoinfos ändern, Konto löschen); für den Rest schreiben Sie an [email protected]. Wir antworten innerhalb von 30 Tagen, in komplexen Fällen verlängerbar um zwei Monate mit Hinweis (Art. 12 Abs. 3 DSGVO).

Sie haben außerdem das Recht, sich bei einer Aufsichtsbehörde zu beschweren — für Österreich die Österreichische Datenschutzbehörde (DSB) oder die Behörde Ihres gewöhnlichen Aufenthaltsorts.

Kalifornien (CCPA / CPRA)

Erhobene Kategorien personenbezogener Daten: Identifikatoren, berufliche/beschäftigungsbezogene Informationen, Metadaten elektronischer Kommunikation und — wenn Sie ein Postfach verbinden — der Inhalt Ihrer Mails, den CCPA §1798.140(ae) als Sensitive Personal Information einstuft. Wir verarbeiten diese SPI nur soweit zur Diensterbringung erforderlich (Stil-Extraktion, Reply-Triage) und nicht, um Eigenschaften über Sie abzuleiten (CPRA §1798.121). Wir verkaufen oder teilen keine personenbezogenen Daten für kontextübergreifende Verhaltenswerbung.

Ihre Rechte: Know, Delete, Correct, Limit Use of SPI, Opt out of Sale/Sharing (nicht einschlägig — beides findet nicht statt), Nicht-Diskriminierung. Authorised-Agent-Anfragen werden akzeptiert. Shine-the-Light (Civ. Code §1798.83): wir haben im vorangegangenen Kalenderjahr keine personenbezogenen Daten zu Direkt-Marketing-Zwecken Dritter weitergegeben. Geltendmachung kalifornischer Rechte: [email protected].

Universal Opt-Out Signale (GPC)

Wir respektieren das Global Privacy Control, wo es gefordert ist (Kalifornien, Colorado, Connecticut, Texas und weitere bei Aktivierung). Da unsere Website kein Verhaltens-Tracking einsetzt, hat GPC keinen praktischen Effekt — die Selbstverpflichtung steht trotzdem.

Weitere US-Bundesstaaten mit umfassenden Datenschutzgesetzen

Zum Stichtag aktive Gesetze: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Iowa (ICDPA), Indiana (INCDPA), Tennessee (TIPA), Texas (TDPSA), Oregon (OCPA), Montana (MCDPA), Florida (FDBR), Delaware (DPDPA), New Hampshire (NHPA), New Jersey (NJDPA), Kentucky (KCDPA), Nebraska (NDPA), Maryland (MODPA), Minnesota (MNCDPA), Rhode Island (RIDTPPA).

Wenn Sie in einem dieser Staaten wohnen und das Gesetz auf unsere Verarbeitung anwendbar ist, haben Sie Rechte vergleichbar mit den kalifornischen Rechten oben (mit staatlichen Abweichungen).

Texas-Residents (TDPSA — kein Umsatz-Schwellenwert): Sie können Sale, Targeted Advertising und bestimmte Profiling-Vorgänge ablehnen — schreiben Sie an [email protected] oder senden Sie ein anerkanntes Opt-Out-Signal wie GPC.

Vereinigtes Königreich

Es gilt UK GDPR. Beschwerden an das Information Commissioner's Office (ICO), ico.org.uk. PECR Reg. 22: B2B-Direktmarketing über Overwise richtet sich ausschließlich an Corporate Subscribers (registrierte Limited Companies, LLPs und vergleichbare Rechtsformen). Einzelunternehmer und nicht eingetragene Personengesellschaften verlangen Einwilligung — der Overwise-Kunde ist dafür verantwortlich, sie vor Kontakt einzuholen.

Schweiz

Es gilt das revidierte Datenschutzgesetz (revDSG). Beschwerden an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), edoeb.admin.ch.

Kanada

Overwise versendet keine kommerziellen elektronischen Nachrichten im eigenen Namen an Empfänger in Kanada. Sind Sie kanadischer Empfänger einer über Overwise gesendeten Nachricht, ist der versendende Kunde für CASL-konforme Einwilligung und Kennzeichnung verantwortlich — siehe AGB §5.

Wir nutzen keine Tracking-Cookies und keine Drittanbieter-Tracker. Web-Analytics läuft über Plausible — ein cookieloses EU-Analyse-Tool der Plausible Insights OÜ (Estland) mit EU-Hosting ohne Browser-Cookies. Das Produkt selbst nutzt ein einziges First-Party-Session-Cookie zur Authentifizierung. Keine Drittanbieter-Tracker, kein Fingerprinting, kein Consent-Banner erforderlich — das einzige gesetzte Cookie ist im Sinne von § 165 Abs. 3 TKG 2021/Art. 5 Abs. 3 ePrivacy-RL „unbedingt erforderlich".

In den App-Settings exportieren Sie jederzeit Lead-Daten, Schreibstil-Samples und Kampagnenhistorie als CSV/JSON. Auf schriftliche Anfrage liefern wir innerhalb von 30 Tagen einen vollständigen strukturierten Export aller Daten, die wir zu Ihnen und Ihrem Unternehmen halten, um einen Wechsel zu einem anderen Anbieter nach Artikel 25 der Verordnung (EU) 2023/2854 (Data Act) zu unterstützen, in Kraft seit 12. September 2025. Ab 12. Januar 2027 sind etwaige Wechselgebühren nach Art. 29 Data Act auf die Direktkosten beschränkt.

AES-256-Verschlüsselung im Ruhezustand, TLS 1.3 in der Übertragung, ausschließlich OAuth-Authentifizierung (wir sehen Ihr Passwort nie), Least-Privilege-Rollen, verschlüsselte Refresh-Tokens, Audit-Logs, Dry-Run-Gate für neue Postfächer. Vollständige Architektur unter /de/security. Verletzungen des Schutzes personenbezogener Daten werden binnen 72 Stunden der Aufsichtsbehörde gemeldet und betroffenen Personen mitgeteilt, soweit Art. 34 DSGVO dies verlangt.

Wesentliche Änderungen kündigen wir mindestens 30 Tage vorher per E-Mail an Konto-Inhaber und über ein In-App-Banner an. Das Wirksamkeitsdatum steht oben auf dieser Seite. Die fortgesetzte Nutzung nach dem Wirksamkeitsdatum gilt als Annahme.

Datenschutzfragen und Betroffenenanfragen: [email protected].

Postanschrift: vondot GmbH, Illstraße 3, 6800 Feldkirch, Österreich.

Aufsichtsbehörde: Österreichische Datenschutzbehörde (DSB) — Barichgasse 40-42, 1030 Wien, Österreich.