Datenschutzerklärung

Diese Datenschutzerklärung gilt für unser gesamtes Online-Angebot: Teil A für den Besuch der Website discontinue.dev, Teil B für die Nutzung der eingeloggten Plattform „Discontinue“. Teil C enthält die für beide Teile geltenden Bestimmungen (Ihre Rechte, Beschwerde, Änderungen). Die konkret gesetzten Cookies und ihre Speicherdauer finden Sie in der über Cookiebot bereitgestellten Cookie-Erklärung (jederzeit über den Link „Cookie-Einstellungen“ abrufbar).

Stand: 7. Juli 2026

1Verantwortlicher

discontinue.dev MAS GmbH
Bruno-Marek-Allee 5, 1020 Wien, Österreich
Geschäftsführer: Stefan Starflinger (selbständig vertretungsbefugt)

Ein:e Datenschutzbeauftragte:r ist gesetzlich nicht zwingend zu benennen; für alle Datenschutzanliegen erreichen Sie uns unter datenschutz@discontinue.dev.

Teil A – Besuch der Website discontinue.dev

A1Daten beim Besuch der Website

Beim Aufruf unserer Website verarbeitet unser Hosting-Provider technisch notwendige Server-Logfiles:

  • gekürzte IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seite / Referrer-URL
  • Browser-Typ und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen und sicheren Betrieb der Website). Speicherdauer: 30 Tage, anschließend automatische Löschung.

A2Cookies und Webanalyse

Wir setzen auf unserer Website ein:

  • Technisch notwendige Cookies (Sitzungsverwaltung, CSRF-Schutz, Speicherung Ihrer Cookie-Einwilligung) – für den Betrieb erforderlich, nicht abwählbar; eine Einwilligung ist hierfür nicht erforderlich (§ 165 Abs. 3 TKG 2021).
  • Analyse-Cookies/-Technologien (Google Analytics 4, eingebunden über Google Tag Manager) – ausschließlich nach Ihrer Einwilligung.

Das Consent-Banner wird über die Consent-Management-Plattform Cookiebot (Usercentrics/Cybot A/S, Kopenhagen, Dänemark, EU) bereitgestellt und dokumentiert Ihre Einwilligung. Vor einer Einwilligung werden keine Analyse-Cookies gesetzt und keine Analysedaten übermittelt; wir nutzen den Google Consent Mode v2 (Standard „denied“). Der Google Tag Manager setzt selbst keine Analyse-Cookies; er steuert nur, ob und wann Tags (z. B. Google Analytics) nach Ihrer Einwilligung ausgelöst werden.

Google Analytics 4 (GA4) – Anbieter Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland) – hilft uns, die Nutzung der Website zu verstehen. Verarbeitet werden u. a. pseudonyme Client-/Session-Kennungen, aufgerufene Seiten und Ereignisse, Verweildauer, Referrer, ungefährer Standort (auf Basis der gekürzten IP), Geräte-, Browser- und Betriebssysteminformationen. Schutzmaßnahmen: Erfassung nur nach Opt-in; IP-Adressen nur vorübergehend und nicht im Klartext gespeichert (IP-Anonymisierung standardmäßig wirksam); keine Verknüpfung mit Google-Werbediensten zu personalisierten Werbezwecken, „Google-Signale“ deaktiviert; GA4-Datenaufbewahrung auf 14 Monate begrenzt.

Rechtsgrundlage: Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 165 Abs. 3 TKG 2021); für den Einwilligungsnachweis über Cookiebot zusätzlich Art. 6 Abs. 1 lit. c und lit. f DSGVO. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen ändern oder widerrufen – auch durch Ablehnen im Banner oder über das Browser-Add-on zur Deaktivierung von Google Analytics (https://tools.google.com/dlpage/gaoptout).

Empfänger / Drittlandtransfer: Anbieter ist Google Ireland Limited; eine Verarbeitung durch Google LLC (USA) ist möglich. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss (EU) 2023/1795); ergänzend bestehen EU-Standardvertragsklauseln in den Google-Datenverarbeitungsbedingungen, und mit Google besteht ein Auftragsverarbeitungsvertrag. Cookiebot verarbeitet ausschließlich in der EU (kein Drittlandtransfer).

Die konkret gesetzten Cookies und ihre Speicherdauer finden Sie in der über Cookiebot bereitgestellten Cookie-Erklärung („Cookie-Einstellungen“).

A3Kontaktaufnahme und Demo-/Wartelisten-Anfragen

Wenn Sie uns über das Kontaktformular, per E-Mail, über eine Demo-Anfrage oder die Warteliste kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail, Unternehmen, Nachrichteninhalt) zur Bearbeitung Ihrer Anfrage und ggf. zur Anbahnung eines Vertragsverhältnisses.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen). Speicherdauer: bis zur abschließenden Bearbeitung Ihrer Anfrage, längstens 24 Monate, sofern keine vertragliche oder gesetzliche Aufbewahrungspflicht besteht.

A4Empfänger und Hosting

Unsere Website wird in Frankfurt (Deutschland) auf der Oracle Cloud Infrastructure (Region eu-frankfurt-1) gehostet. Empfänger von Daten sind zudem die Consent-Management-Plattform Cookiebot (Usercentrics/Cybot A/S, Dänemark, EU) für die Einwilligungsverwaltung, – nach Maßgabe Ihrer Einwilligung – Google (Analyse) sowie unser E-Mail-Dienstleister bei der Beantwortung von Anfragen. Cookiebot verarbeitet ausschließlich in der EU; eine Übermittlung in Drittländer erfolgt nur in den oben beschriebenen Fällen (Google) auf der genannten Rechtsgrundlage.

Teil B – Nutzung der Plattform „Discontinue“

B1Überblick und Rollenverteilung

Dieser Teil informiert darüber, wie Discontinue personenbezogene Daten verarbeitet, wenn Sie die Plattform nutzen. Wir halten uns an die Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG).

Die Plattform ist eine KI-gestützte Operations-Plattform für Hotels, die auf den angebundenen Quellsystemen aufsetzt. Hotelbetreiber konfigurieren eigenständig Reports und Agents, die auf ihre eigenen Daten aus den angebundenen Systemen zugreifen. Daraus ergibt sich eine doppelte Rolle:

Verarbeitung
Hoteldaten (Daten aus den angebundenen Systemen und Gästedaten) im Auftrag des Hotels
Rolle von Discontinue
Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) – das Hotel ist Verantwortlicher
Maßgebliches Dokument
Auftragsverarbeitungsvertrag (DPA)
Verarbeitung
Account-, Nutzungs- und Abrechnungsdaten der Plattform-Nutzer sowie Produkt-Analyse
Rolle von Discontinue
Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Maßgebliches Dokument
diese Datenschutzerklärung

Für die im Auftrag des Hotels verarbeiteten Daten richten betroffene Personen (z. B. Gäste) ihre Anliegen grundsätzlich an das jeweilige Hotel als Verantwortlichen.

B2Welche Daten wir verarbeiten

B2.1Account-Daten der Plattform-Nutzer (Discontinue = Verantwortlicher)

  • Name und E-Mail-Adresse des/der Plattform-Nutzer:in (Hotelmitarbeiter)
  • Passwort (ausschließlich als kryptographischer Hash gespeichert; bcrypt/Argon2)
  • Rolle und Berechtigungen innerhalb der Plattform
  • Login-Zeitpunkte und IP-Adresse zum Zeitpunkt des Logins (zu Sicherheitszwecken)

B2.2Hoteldaten aus den angebundenen Systemen (Discontinue = Auftragsverarbeiter)

Der Zugriff erfolgt über die vom Hotel selbst hergestellte Anbindung des Quellsystems (OAuth), die das Hotel jederzeit widerrufen kann. Im Auftrag des jeweiligen Hotels verarbeiten wir folgende Datenkategorien:

  • Reservierungsdaten (Buchungsnummer, Check-in/-out, Status)
  • Gäste-Stammdaten (Anrede, Vor- und Nachname)
  • Kontaktdaten der Gäste, soweit im Quellsystem hinterlegt (insbesondere E-Mail-Adresse)
  • Zimmer-/Unit-Daten, Aufenthaltsdauer, Rate, Sonderwünsche
  • Folios, Refunds, Rechnungen, Revenue-Informationen

Rechtsgrundlage im Verhältnis zum Hotel ist Art. 6 Abs. 1 lit. b DSGVO i. V. m. Art. 28 DSGVO (Auftragsverarbeitung).

B2.3Nutzungsdaten der Plattform (Discontinue = Verantwortlicher)

  • Login-Zeitpunkte und IP-Adresse
  • Plattform-Nutzung (welche Reports erstellt, welche Agents konfiguriert)
  • Browser- und Geräteinformationen (User-Agent)

B2.4Produkt-Analyse mit Google Analytics 4 / Google Tag Manager (Discontinue = Verantwortlicher)

Zur Verbesserung und Stabilisierung der Plattform analysieren wir die Produktnutzung mithilfe von Google Analytics 4 (GA4), eingebunden über den Google Tag Manager (GTM). Erfasst wird das Nutzungsverhalten der Plattform-Nutzer (Hotelmitarbeiter), z. B. aufgerufene Funktionen, Klick- und Navigationsereignisse, ungefährer Standort (auf Basis der gekürzten IP), Geräte- und Browserinformationen sowie pseudonyme Kennungen (Client-/Session-IDs). Wichtige Einschränkungen:

  • Die Erfassung erfolgt ausschließlich nach Ihrer Einwilligung über das Consent-Banner (Consent-Mechanik wie in Teil A: Cookiebot, Google Consent Mode v2, Standard „denied“). Ohne Einwilligung werden keine Analyse-Cookies gesetzt und keine Analysedaten an Google übermittelt.
  • Es werden keine Daten aus den angebundenen Systemen und keine Gästedaten an Google übermittelt. Die Produkt-Analyse bezieht sich allein auf das Verhalten der eingeloggten Mitarbeiter-Nutzer im Bedienen der Plattform, nicht auf Inhalte aus den angebundenen Systemen.
  • GA4 verwendet IP-Adressen nur vorübergehend (u. a. zur groben Standortbestimmung) und speichert sie nicht; eine IP-Anonymisierung ist in GA4 standardmäßig wirksam.
  • Es findet kein Cross-Device-Profiling zu Werbezwecken und keine Verknüpfung mit Google-Werbediensten statt; die Funktion „Google-Signale“ ist deaktiviert.

Rechtsgrundlage: Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO sowie – für das Speichern und Auslesen von Informationen auf dem Endgerät – § 165 Abs. 3 TKG 2021. Sie können die Einwilligung jederzeit mit Wirkung für die Zukunft über die Consent-Einstellungen widerrufen.

Empfänger / Drittlandtransfer: Anbieter ist Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland); eine Verarbeitung durch Google LLC (USA) ist möglich. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert (Angemessenheitsbeschluss (EU) 2023/1795); ergänzend bestehen EU-Standardvertragsklauseln in den Google-Datenverarbeitungsbedingungen.

Speicherdauer: Die Aufbewahrungsdauer für Nutzer- und Ereignisdaten in GA4 ist auf 14 Monate begrenzt; danach erfolgt eine automatische Löschung/Aggregation. Einwilligungsnachweise (Consent-Logs) werden über Cookiebot in der EU gespeichert und bis zu 12 Monate aufbewahrt.

B2.5KI-Verarbeitung

Zur Erbringung der Plattform-Leistung werden Hoteldaten an das KI-Modell (Claude API von Anthropic PBC) übermittelt, soweit dies für den vom Verantwortlichen konfigurierten Report oder Agent notwendig ist. Die übermittelten Inhalte können dabei – je nach Konfiguration – personenbezogene Gästedaten einschließlich Anrede, Vor- und Nachname sowie Kontakt-, Reservierungs- und Aufenthaltsdaten umfassen. Dabei gelten folgende Schutzmaßnahmen:

  • KI-Modelle werden ausschließlich über API genutzt.
  • Die übermittelten Daten werden nicht zum Training der KI-Modelle verwendet (Non-Training-Garantie).
  • Der Modellanbieter speichert die übermittelten Inhalte nur zeitlich begrenzt (höchstens 30 Tage, ausschließlich zur Missbrauchserkennung) und löscht sie anschließend automatisch (begrenzte Speicherdauer).
  • Mehrschichtige Datenminimierung: nur die im Quellsystem freigegebenen Scopes (standardmäßig lesend), granulare und konfigurierbare Werkzeuge mit Allowlist pro Agent und Tool-/Scope-Minimierung je Aufgabe, Tenant-/Integrations-Scoping sowie Run-Budget (€-Cap).
  • Tenant-Isolation: jeder API-Aufruf ist auf den jeweiligen Hotel-Tenant beschränkt; keine konsolidierten Datenbestände mehrerer Hotels.
  • Übermittlung in die USA: auf Basis der EU-Standardvertragsklauseln (SCCs, Modul 2) gem. Art. 46 Abs. 2 lit. c DSGVO samt Transfer-Impact-Assessment (siehe Abschnitt B6).
  • Pro Agent-Lauf wird ein vollständiger interner KI-Trace erstellt und 12 Monate aufbewahrt.
  • Schreibvorgänge gegenüber den angebundenen Systemen durchlaufen standardmäßig eine Approval-Queue mit menschlicher Freigabe; nur mit ausdrücklichem Opt-in pro Agent ohne Einzelfreigabe. Vorschlag, Approver, Entscheidung und Ergebnis werden protokolliert.

Hinweis zur Pseudonymisierung: Discontinue verzichtet im operativen Betrieb bewusst auf eine vollständige Pseudonymisierung von Gästenamen, da operative Hotel-Workflows (z. B. ein „VIP-Arrivals-Briefing“) ihre Funktion verlieren, wenn der konkrete Gastname durch einen anonymen Identifier ersetzt wird. Die Datenminimierung wird stattdessen durch die oben beschriebenen mehrschichtigen Schutzmaßnahmen erreicht. Eine klassische Pseudonymisierung wird dort eingesetzt, wo sie ohne Funktionsverlust möglich ist (z. B. bei aggregierten Statistik-Reports).

B2.6Abrechnungsdaten (Discontinue = Verantwortlicher)

Zur Vertrags- und Zahlungsabwicklung verarbeiten wir Firmen-/Rechnungsdaten, Abonnement- und Nutzungsumfang (Paket/Tier, Agent-Slots, Guthaben-Aufladungen) sowie Zahlungsinformationen über den Zahlungsdienstleister Stripe. Es werden hierbei keine Daten aus den angebundenen Systemen und keine Gästedaten verarbeitet.

B3Rechtsgrundlagen

Account-Verwaltung
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Hoteldaten (aus den angebundenen Systemen)
Art. 6 Abs. 1 lit. b i. V. m. Art. 28 DSGVO – Auftragsverarbeitung
Plattform-Betrieb / Sicherheit
Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
Produkt-Analyse (Google Analytics 4 / GTM)
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung; § 165 Abs. 3 TKG 2021
KI-Verarbeitung
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Abrechnung
Art. 6 Abs. 1 lit. b und lit. c DSGVO
Gesetzliche Pflichten (z. B. Aufbewahrung)
Art. 6 Abs. 1 lit. c DSGVO

B4Speicherdauer

Account-Daten
Solange der Account aktiv ist; anschließend Löschung innerhalb von 30 Tagen
Hoteldaten (aus den angebundenen Systemen)
Nur während aktiver Verarbeitung; keine dauerhafte Spiegelung der Datenbank des angebundenen Systems
Report-Artefakte (gerenderte Reports)
90 Tage; danach automatische Löschung
KI-Traces
12 Monate
Nutzungs- und Logdaten
12 Monate
Google-Analytics-Daten (GA4)
14 Monate
Einwilligungsnachweise (Consent-Logs, über Cookiebot/EU)
bis zu 12 Monate
Rechnungsdaten
7 Jahre (gesetzliche Aufbewahrungspflicht gem. § 132 BAO – Österreich)

B5Empfänger und Unterauftragsverarbeiter

Eine vollständige Sub-Processor-Liste mit Datenkategorien und Transferbasis ist Anlage 1 zum DPA und auf Anforderung unter datenschutz@discontinue.dev erhältlich.

Empfänger
Oracle Cloud Infrastructure
Zweck
Hosting der Plattform, Datenbank, Backup, Object Storage
Standort
Frankfurt, Deutschland (EU)
Rolle / Transferbasis
Auftragsverarbeiter; Verarbeitung in der EU, kein laufender Drittlandtransfer; SCCs gemäß Oracle-DPA für etwaige Supportzugriffe
Empfänger
Anthropic PBC
Zweck
KI-Modell (Claude API) zur Verarbeitung von Hotel-Inhalten
Standort
USA
Rolle / Transferbasis
Auftragsverarbeiter; SCCs (Modul 2) + TIA, Non-Training, Speicherung max. 30 Tage
Empfänger
Mailgun Technologies (Sinch Group)
Zweck
Versand von Reports und Benachrichtigungen per E-Mail
Standort
EU-Region (Frankfurt)
Rolle / Transferbasis
Auftragsverarbeiter; EU-Region-Pinning
Empfänger
Langfuse GmbH (Langfuse Cloud, EU)
Zweck
Internes KI-/Run-Tracing der Agent-Läufe
Standort
EU (Hosting Irland)
Rolle / Transferbasis
Auftragsverarbeiter; Verarbeitung in der EU
Empfänger
Stripe Payments Europe Ltd.
Zweck
Billing und Zahlungsabwicklung (keine Hotel-/Gästedaten)
Standort
Dublin, Irland (EU); Konzernzugriff USA über SCCs
Rolle / Transferbasis
Auftragsverarbeiter
Empfänger
Google Ireland Ltd. / Google LLC
Zweck
Produkt-Analyse (Google Analytics 4 / Tag Manager) – nur nach Einwilligung, keine Gästedaten
Standort
Irland (EU) / USA
Rolle / Transferbasis
Auftragsverarbeiter für die Produkt-Analyse; EU-US DPF + SCCs
Empfänger
Cookiebot (Usercentrics / Cybot A/S)
Zweck
Consent-Management (Einwilligungsbanner und -nachweis) – keine Gästedaten
Standort
Dänemark / EU
Rolle / Transferbasis
Auftragsverarbeiter; Verarbeitung in der EU, kein Drittlandtransfer

B6Datentransfer in Drittländer

  1. 1. KI-Verarbeitung (Anthropic, USA): der laufende Transfer von Hoteldaten erfolgt auf Basis der EU-Standardvertragsklauseln (SCCs, Modul 2) gem. Art. 46 Abs. 2 lit. c DSGVO – ergänzt um Non-Training-Garantie und vertraglich begrenzte Speicherdauer (max. 30 Tage), Transportverschlüsselung (TLS 1.2+), mehrschichtige Datenminimierung und Tenant-Isolation. Für diesen Transfer liegt zusätzlich ein Transfer-Impact-Assessment (TIA) gem. „Schrems II“ (EuGH C-311/18) vor, das unter datenschutz@discontinue.dev angefordert werden kann.
  2. 2. Produkt-Analyse (Google): Eine Verarbeitung durch Google LLC in den USA kann stattfinden. Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert (Angemessenheitsbeschluss (EU) 2023/1795); ergänzend gelten SCCs. Die Übermittlung erfolgt nur nach Ihrer Einwilligung.
  3. 3. Stripe (Billing): Primärverarbeitung durch Stripe Payments Europe Ltd. (Dublin); etwaige Konzernzugriffe in die USA sind über SCCs abgesichert.

B7Cookies und Tracking (Plattform)

In der Plattform setzen wir ein:

  • Technisch notwendige Cookies für Sitzungsverwaltung, Authentifizierung und CSRF-Schutz. Diese sind für den Betrieb erforderlich und nicht abwählbar (§ 165 Abs. 3 TKG 2021 – keine Einwilligung erforderlich).
  • Analyse-Cookies/-Technologien (Google Analytics 4 / Tag Manager) – ausschließlich nach Ihrer Einwilligung über das Consent-Banner (siehe B2.4). Die konkret gesetzten Cookies finden Sie in der über Cookiebot bereitgestellten Cookie-Erklärung („Cookie-Einstellungen“).
  • Consent-Management (Cookiebot): Einwilligungsbanner und Dokumentation der Einwilligung erfolgen über Cookiebot (Usercentrics/Cybot A/S, Dänemark, EU). Das hierfür gesetzte Cookie CookieConsent ist technisch notwendig.

Ein automatisiertes Decision-Making im Sinne von Art. 22 DSGVO findet nicht statt. Es werden keine Marketing-/Werbe-Cookies und kein geräteübergreifendes Werbe-Profiling eingesetzt.

B8Sicherheit der Verarbeitung

Wir treffen geeignete technische und organisatorische Maßnahmen gem. Art. 32 DSGVO (u. a. Verschlüsselung at rest mit AES-256-GCM für sensible Daten, TLS 1.2+ in transit, rollenbasiertes Berechtigungskonzept, Multi-Tenant-Isolation, tägliche Backups, Audit-Trail der KI-Verarbeitung). Einzelheiten enthält das Dokument TOMs (Art. 32).

Teil C – Für Teil A und B gemeinsam geltende Bestimmungen

C1Ihre Rechte

Als betroffene Person stehen Ihnen folgende Rechte zu:

  • Auskunftsrecht (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruchsrecht (Art. 21 DSGVO)
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO), z. B. für die Produkt-Analyse – mit Wirkung für die Zukunft

Anfragen richten Sie bitte an datenschutz@discontinue.dev; wir antworten innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Soweit Discontinue Daten als Auftragsverarbeiter verarbeitet (Teil B, Hoteldaten), leiten wir die Anfrage unverzüglich an den jeweiligen Hotelbetreiber (Verantwortlichen) weiter.

C2Beschwerderecht

Sie haben das Recht, bei der österreichischen Datenschutzbehörde (DSB) Beschwerde einzureichen: Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at, https://www.dsb.gv.at/.

C3Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version ist auf der Website und in der Plattform abrufbar. Über wesentliche Änderungen an Teil B (Plattform) informieren wir die Plattform-Nutzer per E-Mail.

discontinue.dev MAS GmbH · datenschutz@discontinue.dev · Stand: 7. Juli 2026