Datenschutzerklärung
Diese Datenschutzerklärung gilt für unser gesamtes Online-Angebot: Teil A für den Besuch der Website discontinue.dev, Teil B für die Nutzung der eingeloggten Plattform „Discontinue“. Teil C enthält die für beide Teile geltenden Bestimmungen (Ihre Rechte, Beschwerde, Änderungen). Die konkret gesetzten Cookies und ihre Speicherdauer finden Sie in der über Cookiebot bereitgestellten Cookie-Erklärung (jederzeit über den Link „Cookie-Einstellungen“ abrufbar).
Stand: 7. Juli 2026
1Verantwortlicher
- Allgemeine Anfragen: office@discontinue.dev
- Kontakt für Datenschutzanfragen: datenschutz@discontinue.dev
Ein:e Datenschutzbeauftragte:r ist gesetzlich nicht zwingend zu benennen; für alle Datenschutzanliegen erreichen Sie uns unter datenschutz@discontinue.dev.
Teil A – Besuch der Website discontinue.dev
A1Daten beim Besuch der Website
Beim Aufruf unserer Website verarbeitet unser Hosting-Provider technisch notwendige Server-Logfiles:
- gekürzte IP-Adresse
- Datum und Uhrzeit des Zugriffs
- aufgerufene Seite / Referrer-URL
- Browser-Typ und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb der Website). Speicherdauer: 30 Tage, anschließend automatische Löschung.
A3Kontaktaufnahme und Demo-/Wartelisten-Anfragen
Wenn Sie uns über das Kontaktformular, per E-Mail, über eine Demo-Anfrage oder die Warteliste kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail, Unternehmen, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage und ggf. zur Anbahnung eines Vertragsverhältnisses.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage, längstens 24 Monate, sofern keine vertragliche oder gesetzliche Aufbewahrungspflicht besteht.
A4Empfänger und Hosting
Unsere Website wird in Frankfurt (Deutschland) auf der Oracle Cloud Infrastructure (Region eu-frankfurt-1) gehostet. Empfänger von Daten sind zudem die Consent-Management-Plattform Cookiebot (Usercentrics/Cybot A/S, Dänemark, EU) für die Einwilligungsverwaltung, – nach Maßgabe Ihrer Einwilligung – Google (Analyse) sowie unser E-Mail-Dienstleister bei der Beantwortung von Anfragen. Cookiebot verarbeitet ausschließlich in der EU; eine Übermittlung in Drittländer erfolgt nur in den oben beschriebenen Fällen (Google) auf der genannten Rechtsgrundlage.
Teil B – Nutzung der Plattform „Discontinue“
B1Überblick und Rollenverteilung
Dieser Teil informiert darüber, wie Discontinue personenbezogene Daten verarbeitet, wenn Sie die Plattform nutzen. Wir halten uns an die Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG).
Die Plattform ist eine KI-gestützte Operations-Plattform für Hotels, die auf den angebundenen Quellsystemen aufsetzt. Hotelbetreiber konfigurieren eigenständig Reports und Agents, die auf ihre eigenen Daten aus den angebundenen Systemen zugreifen. Daraus ergibt sich eine doppelte Rolle:
- Verarbeitung
- Hoteldaten (Daten aus den angebundenen Systemen und Gästedaten) im Auftrag des Hotels
- Rolle von Discontinue
- Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) – das Hotel ist Verantwortlicher
- Maßgebliches Dokument
- Auftragsverarbeitungsvertrag (DPA)
- Verarbeitung
- Account-, Nutzungs- und Abrechnungsdaten der Plattform-Nutzer sowie Produkt-Analyse
- Rolle von Discontinue
- Verantwortlicher (Art. 4 Nr. 7 DSGVO)
- Maßgebliches Dokument
- diese Datenschutzerklärung
Für die im Auftrag des Hotels verarbeiteten Daten richten betroffene Personen (z. B. Gäste) ihre Anliegen grundsätzlich an das jeweilige Hotel als Verantwortlichen.
B2Welche Daten wir verarbeiten
B2.1Account-Daten der Plattform-Nutzer (Discontinue = Verantwortlicher)
- Name und E-Mail-Adresse des/der Plattform-Nutzer:in (Hotelmitarbeiter)
- Passwort (ausschließlich als kryptographischer Hash gespeichert; bcrypt/Argon2)
- Rolle und Berechtigungen innerhalb der Plattform
- Login-Zeitpunkte und IP-Adresse zum Zeitpunkt des Logins (zu Sicherheitszwecken)
B2.2Hoteldaten aus den angebundenen Systemen (Discontinue = Auftragsverarbeiter)
Der Zugriff erfolgt über die vom Hotel selbst hergestellte Anbindung des Quellsystems (OAuth), die das Hotel jederzeit widerrufen kann. Im Auftrag des jeweiligen Hotels verarbeiten wir folgende Datenkategorien:
- Reservierungsdaten (Buchungsnummer, Check-in/-out, Status)
- Gäste-Stammdaten (Anrede, Vor- und Nachname)
- Kontaktdaten der Gäste, soweit im Quellsystem hinterlegt (insbesondere E-Mail-Adresse)
- Zimmer-/Unit-Daten, Aufenthaltsdauer, Rate, Sonderwünsche
- Folios, Refunds, Rechnungen, Revenue-Informationen
Rechtsgrundlage im Verhältnis zum Hotel ist Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 28 DSGVO (Auftragsverarbeitung).
B2.3Nutzungsdaten der Plattform (Discontinue = Verantwortlicher)
- Login-Zeitpunkte und IP-Adresse
- Plattform-Nutzung (welche Reports erstellt, welche Agents konfiguriert)
- Browser- und Geräteinformationen (User-Agent)
B2.4Produkt-Analyse mit Google Analytics 4 / Google Tag Manager (Discontinue = Verantwortlicher)
Zur Verbesserung und Stabilisierung der Plattform analysieren wir die Produktnutzung mithilfe von Google Analytics 4 (GA4), eingebunden über den Google Tag Manager (GTM). Erfasst wird das Nutzungsverhalten der Plattform-Nutzer (Hotelmitarbeiter), z. B. aufgerufene Funktionen, Klick- und Navigationsereignisse, ungefährer Standort (auf Basis der gekürzten IP), Geräte- und Browserinformationen sowie pseudonyme Kennungen (Client-/Session-IDs). Wichtige Einschränkungen:
- Die Erfassung erfolgt ausschließlich nach Ihrer Einwilligung über das Consent-Banner (Consent-Mechanik wie in Teil A: Cookiebot, Google Consent Mode v2, Standard „denied“). Ohne Einwilligung werden keine Analyse-Cookies gesetzt und keine Analysedaten an Google übermittelt.
- Es werden keine Daten aus den angebundenen Systemen und keine Gästedaten an Google übermittelt. Die Produkt-Analyse bezieht sich allein auf das Verhalten der eingeloggten Mitarbeiter-Nutzer im Bedienen der Plattform, nicht auf Inhalte aus den angebundenen Systemen.
- GA4 verwendet IP-Adressen nur vorübergehend (u. a. zur groben Standortbestimmung) und speichert sie nicht; eine IP-Anonymisierung ist in GA4 standardmäßig wirksam.
- Es findet kein Cross-Device-Profiling zu Werbezwecken und keine Verknüpfung mit Google-Werbediensten statt; die Funktion „Google-Signale“ ist deaktiviert.
Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie – für das Speichern und Auslesen von Informationen auf dem Endgerät – § 165 Abs. 3 TKG 2021. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft über die Consent-Einstellungen widerrufen.
Empfänger / Drittlandtransfer: Anbieter ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland); eine Verarbeitung durch Google LLC (USA) ist möglich. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss (EU) 2023/1795); ergänzend bestehen EU-Standardvertragsklauseln in den Google-Datenverarbeitungsbedingungen.
Speicherdauer: Die Aufbewahrungsdauer für Nutzer- und Ereignisdaten in GA4 ist auf 14 Monate begrenzt; danach erfolgt eine automatische Löschung/Aggregation. Einwilligungsnachweise (Consent-Logs) werden über Cookiebot in der EU gespeichert und bis zu 12 Monate aufbewahrt.
B2.5KI-Verarbeitung
Zur Erbringung der Plattform-Leistung werden Hoteldaten an das KI-Modell (Claude API von Anthropic PBC) übermittelt, soweit dies für den vom Verantwortlichen konfigurierten Report oder Agent notwendig ist. Die übermittelten Inhalte können dabei – je nach Konfiguration – personenbezogene Gästedaten einschließlich Anrede, Vor- und Nachname sowie Kontakt-, Reservierungs- und Aufenthaltsdaten umfassen. Dabei gelten folgende Schutzmaßnahmen:
- KI-Modelle werden ausschließlich über API genutzt.
- Die übermittelten Daten werden nicht zum Training der KI-Modelle verwendet (Non-Training-Garantie).
- Der Modellanbieter speichert die übermittelten Inhalte nur zeitlich begrenzt (höchstens 30 Tage, ausschließlich zur Missbrauchserkennung) und löscht sie anschließend automatisch (begrenzte Speicherdauer).
- Mehrschichtige Datenminimierung: nur die im Quellsystem freigegebenen Scopes (standardmäßig lesend), granulare und konfigurierbare Werkzeuge mit Allowlist pro Agent und Tool-/Scope-Minimierung je Aufgabe, Tenant-/Integrations-Scoping sowie Run-Budget (€-Cap).
- Tenant-Isolation: jeder API-Aufruf ist auf den jeweiligen Hotel-Tenant beschränkt; keine konsolidierten Datenbestände mehrerer Hotels.
- Übermittlung in die USA: auf Basis der EU-Standardvertragsklauseln (SCCs, Modul 2) gem. Art. 46 Abs. 2 lit. c DSGVO samt Transfer-Impact-Assessment (siehe Abschnitt B6).
- Pro Agent-Lauf wird ein vollständiger interner KI-Trace erstellt und 12 Monate aufbewahrt.
- Schreibvorgänge gegenüber den angebundenen Systemen durchlaufen standardmäßig eine Approval-Queue mit menschlicher Freigabe; nur mit ausdrücklichem Opt-in pro Agent ohne Einzelfreigabe. Vorschlag, Approver, Entscheidung und Ergebnis werden protokolliert.
Hinweis zur Pseudonymisierung: Discontinue verzichtet im operativen Betrieb bewusst auf eine vollständige Pseudonymisierung von Gästenamen, da operative Hotel-Workflows (z. B. ein „VIP-Arrivals-Briefing“) ihre Funktion verlieren, wenn der konkrete Gastname durch einen anonymen Identifier ersetzt wird. Die Datenminimierung wird stattdessen durch die oben beschriebenen mehrschichtigen Schutzmaßnahmen erreicht. Eine klassische Pseudonymisierung wird dort eingesetzt, wo sie ohne Funktionsverlust möglich ist (z. B. bei aggregierten Statistik-Reports).
B2.6Abrechnungsdaten (Discontinue = Verantwortlicher)
Zur Vertrags- und Zahlungsabwicklung verarbeiten wir Firmen-/Rechnungsdaten, Abonnement- und Nutzungsumfang (Paket/Tier, Agent-Slots, Guthaben-Aufladungen) sowie Zahlungsinformationen über den Zahlungsdienstleister Stripe. Es werden hierbei keine Daten aus den angebundenen Systemen und keine Gästedaten verarbeitet.
B3Rechtsgrundlagen
- Verarbeitung
- Rechtsgrundlage
- Account-Verwaltung
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
- Hoteldaten (aus den angebundenen Systemen)
- Art. 6 Abs. 1 lit. b i. V. m. Art. 28 DSGVO – Auftragsverarbeitung
- Plattform-Betrieb / Sicherheit
- Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
- Produkt-Analyse (Google Analytics 4 / GTM)
- Art. 6 Abs. 1 lit. a DSGVO – Einwilligung; § 165 Abs. 3 TKG 2021
- KI-Verarbeitung
- Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
- Abrechnung
- Art. 6 Abs. 1 lit. b und lit. c DSGVO
- Gesetzliche Pflichten (z. B. Aufbewahrung)
- Art. 6 Abs. 1 lit. c DSGVO
B4Speicherdauer
- Datenart
- Speicherdauer
- Account-Daten
- Solange der Account aktiv ist; anschließend Löschung innerhalb von 30 Tagen
- Hoteldaten (aus den angebundenen Systemen)
- Nur während aktiver Verarbeitung; keine dauerhafte Spiegelung der Datenbank des angebundenen Systems
- Report-Artefakte (gerenderte Reports)
- 90 Tage; danach automatische Löschung
- KI-Traces
- 12 Monate
- Nutzungs- und Logdaten
- 12 Monate
- Google-Analytics-Daten (GA4)
- 14 Monate
- Einwilligungsnachweise (Consent-Logs, über Cookiebot/EU)
- bis zu 12 Monate
- Rechnungsdaten
- 7 Jahre (gesetzliche Aufbewahrungspflicht gem. § 132 BAO – Österreich)
B5Empfänger und Unterauftragsverarbeiter
Eine vollständige Sub-Processor-Liste mit Datenkategorien und Transferbasis ist Anlage 1 zum DPA und auf Anforderung unter datenschutz@discontinue.dev erhältlich.
- Empfänger
- Oracle Cloud Infrastructure
- Zweck
- Hosting der Plattform, Datenbank, Backup, Object Storage
- Standort
- Frankfurt, Deutschland (EU)
- Rolle / Transferbasis
- Auftragsverarbeiter; Verarbeitung in der EU, kein laufender Drittlandtransfer; SCCs gemäß Oracle-DPA für etwaige Supportzugriffe
- Empfänger
- Anthropic PBC
- Zweck
- KI-Modell (Claude API) zur Verarbeitung von Hotel-Inhalten
- Standort
- USA
- Rolle / Transferbasis
- Auftragsverarbeiter; SCCs (Modul 2) + TIA, Non-Training, Speicherung max. 30 Tage
- Empfänger
- Mailgun Technologies (Sinch Group)
- Zweck
- Versand von Reports und Benachrichtigungen per E-Mail
- Standort
- EU-Region (Frankfurt)
- Rolle / Transferbasis
- Auftragsverarbeiter; EU-Region-Pinning
- Empfänger
- Langfuse GmbH (Langfuse Cloud, EU)
- Zweck
- Internes KI-/Run-Tracing der Agent-Läufe
- Standort
- EU (Hosting Irland)
- Rolle / Transferbasis
- Auftragsverarbeiter; Verarbeitung in der EU
- Empfänger
- Stripe Payments Europe Ltd.
- Zweck
- Billing und Zahlungsabwicklung (keine Hotel-/Gästedaten)
- Standort
- Dublin, Irland (EU); Konzernzugriff USA über SCCs
- Rolle / Transferbasis
- Auftragsverarbeiter
- Empfänger
- Google Ireland Ltd. / Google LLC
- Zweck
- Produkt-Analyse (Google Analytics 4 / Tag Manager) – nur nach Einwilligung, keine Gästedaten
- Standort
- Irland (EU) / USA
- Rolle / Transferbasis
- Auftragsverarbeiter für die Produkt-Analyse; EU-US DPF + SCCs
- Empfänger
- Cookiebot (Usercentrics / Cybot A/S)
- Zweck
- Consent-Management (Einwilligungsbanner und -nachweis) – keine Gästedaten
- Standort
- Dänemark / EU
- Rolle / Transferbasis
- Auftragsverarbeiter; Verarbeitung in der EU, kein Drittlandtransfer
B6Datentransfer in Drittländer
- 1. KI-Verarbeitung (Anthropic, USA): der laufende Transfer von Hoteldaten erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs, Modul 2) gem. Art. 46 Abs. 2 lit. c DSGVO – ergänzt um Non-Training-Garantie und vertraglich begrenzte Speicherdauer (max. 30 Tage), Transportverschlüsselung (TLS 1.2+), mehrschichtige Datenminimierung und Tenant-Isolation. Für diesen Transfer liegt zusätzlich ein Transfer-Impact-Assessment (TIA) gem. „Schrems II“ (EuGH C-311/18) vor, das unter datenschutz@discontinue.dev angefordert werden kann.
- 2. Produkt-Analyse (Google): Eine Verarbeitung durch Google LLC in den USA kann stattfinden. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss (EU) 2023/1795); ergänzend gelten SCCs. Die Übermittlung erfolgt nur nach Ihrer Einwilligung.
- 3. Stripe (Billing): Primärverarbeitung durch Stripe Payments Europe Ltd. (Dublin); etwaige Konzernzugriffe in die USA sind über SCCs abgesichert.
B7Cookies und Tracking (Plattform)
In der Plattform setzen wir ein:
- Technisch notwendige Cookies für Sitzungsverwaltung, Authentifizierung und CSRF-Schutz. Diese sind für den Betrieb erforderlich und nicht abwählbar (§ 165 Abs. 3 TKG 2021 – keine Einwilligung erforderlich).
- Analyse-Cookies/-Technologien (Google Analytics 4 / Tag Manager) – ausschließlich nach Ihrer Einwilligung über das Consent-Banner (siehe B2.4). Die konkret gesetzten Cookies finden Sie in der über Cookiebot bereitgestellten Cookie-Erklärung („Cookie-Einstellungen“).
- Consent-Management (Cookiebot): Einwilligungsbanner und Dokumentation der Einwilligung erfolgen über Cookiebot (Usercentrics/Cybot A/S, Dänemark, EU). Das hierfür gesetzte Cookie CookieConsent ist technisch notwendig.
Ein automatisiertes Decision-Making im Sinne von Art. 22 DSGVO findet nicht statt. Es werden keine Marketing-/Werbe-Cookies und kein geräteübergreifendes Werbe-Profiling eingesetzt.
B8Sicherheit der Verarbeitung
Wir treffen geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO (u. a. Verschlüsselung at rest mit AES-256-GCM für sensible Daten, TLS 1.2+ in transit, rollenbasiertes Berechtigungskonzept, Multi-Tenant-Isolation, tägliche Backups, Audit-Trail der KI-Verarbeitung). Einzelheiten enthält das Dokument TOMs (Art. 32).
Teil C – Für Teil A und B gemeinsam geltende Bestimmungen
C1Ihre Rechte
Als betroffene Person stehen Ihnen folgende Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO), z. B. für die Produkt-Analyse – mit Wirkung für die Zukunft
Anfragen richten Sie bitte an datenschutz@discontinue.dev; wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Soweit Discontinue Daten als Auftragsverarbeiter verarbeitet (Teil B, Hoteldaten), leiten wir die Anfrage unverzüglich an den jeweiligen Hotelbetreiber (Verantwortlichen) weiter.
C2Beschwerderecht
Sie haben das Recht, bei der österreichischen Datenschutzbehörde (DSB) Beschwerde einzureichen: Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at, https://www.dsb.gv.at/.
C3Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist auf der Website und in der Plattform abrufbar. Über wesentliche Änderungen an Teil B (Plattform) informieren wir die Plattform-Nutzer per E-Mail.
discontinue.dev MAS GmbH · datenschutz@discontinue.dev · Stand: 7. Juli 2026