Zum Hauptinhalt springen
GrünUp Microgreens
Partner werden

Rechtliches

Datenschutzerklärung

Stand: 2026-05-03

Einleitung

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als „Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unserer Website (nachfolgend zusammenfassend bezeichnet als „Onlineangebot“).

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Verantwortlich für die Datenverarbeitung nach Art. 4 Abs. 7 DSGVO:

Laszlo Fülöp – GrünUp
Einzelunternehmer
Thonebenstraße 16
8102 Semriach
Österreich

Telefon: +43 664 4352780
E-Mail: info@gruenup.at
Impressum: https://gruenup.at/impressum

Ein Datenschutzbeauftragter ist nach Art. 37 DSGVO nicht bestellt, da wir als Einzelunternehmer die gesetzlichen Voraussetzungen hierfür nicht erfüllen. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben angegebene Adresse.

Übersicht der Verarbeitungen

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Firmenname)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Eingaben in unserem Kontaktformular)
  • Newsletter-Einwilligungsdaten (Opt-In-Zeitstempel, IP-Adresse bei Anmeldung, Bestätigungsstatus)
  • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen)
  • Nutzungsdaten (aggregierte, anonyme Form)
  • Zahlungsdaten (tokenisierte Referenz, keine Kartendaten bei uns gespeichert)
  • B2B-Recherchedaten (öffentlich recherchierte Firmen- und Funktionskontakte für die Direktansprache)

Kategorien betroffener Personen

  • Kommunikationspartner (Personen, die mit uns in Kontakt treten)
  • Geschäfts- und Vertragspartner (B2B-Kunden)
  • Potenzielle gewerbliche Geschäftspartner (Adressaten unserer B2B-Direktansprache vor Vertragsanbahnung)
  • Interessenten
  • Newsletter-Abonnentinnen und -Abonnenten
  • Nutzer unserer Website

Zwecke der Verarbeitung

  • Beantwortung von Kontaktanfragen
  • Erbringung vertraglicher Leistungen (B2B-Geschäftskontakte)
  • B2B-Geschäftsanbahnung durch aktive Direktansprache an gewerbliche Empfänger
  • Bereitstellung unseres Onlineangebotes
  • Direktkommunikation mit Einwilligung (Newsletter-Versand)
  • Sicherheitsmaßnahmen (Bot- und Spam-Schutz)
  • Reichweitenmessung (aggregiert, anonym)
  • Abwicklung von Workshop-Buchungen und Online-Zahlungen

Maßgebliche Rechtsgrundlagen

Im Folgenden teilen wir die Rechtsgrundlagen der DSGVO mit, auf deren Basis wir die personenbezogenen Daten verarbeiten:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Die betroffene Person hat ihre Einwilligung in die Verarbeitung gegeben.
  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 lit. b DSGVO) — Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich oder zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) — Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) — Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Zusätzlich gelten die nationalen Datenschutzvorgaben in Österreich, insbesondere das Datenschutzgesetz (DSG).

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten. Wir haben Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten.

TLS-Verschlüsselung (HTTPS): Um Ihre via unser Onlineangebot übermittelten Daten zu schützen, nutzen wir eine TLS-Verschlüsselung. Sie erkennen derart verschlüsselte Verbindungen an dem Präfix https:// in der Adresszeile Ihres Browsers.

Datenverarbeitung in Drittländern

Einige der von uns eingesetzten Dienste haben ihren Sitz in den USA oder verarbeiten Daten auch auf US-Servern. Die EU-Kommission hat am 10.07.2023 im Rahmen des EU-U.S. Data Privacy Framework (DPF) festgestellt, dass in den USA für zertifizierte Unternehmen ein angemessenes Datenschutzniveau gewährleistet ist.

Wir setzen ausschließlich Dienstanbieter ein, die entweder unter dem Data Privacy Framework zertifiziert sind oder mit denen Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen wurden.

Die Liste der unter dem DPF zertifizierten Unternehmen finden Sie unter https://www.dataprivacyframework.gov/

Bereitstellung des Onlineangebotes und Webhosting

Um unser Onlineangebot sicher und effizient bereitstellen zu können, nehmen wir die Leistungen der Vercel Inc. in Anspruch. Vercel stellt die Server-Infrastruktur, den Content-Delivery-Network (CDN) sowie automatisierte Bereitstellungs-Services zur Verfügung.

Erhobene Daten (Serverlog-Dateien): Bei jedem Zugriff auf unsere Website werden automatisch die folgenden Daten erfasst und temporär in Logfiles gespeichert:

  • IP-Adresse des anfragenden Endgeräts
  • Datum und Uhrzeit des Zugriffs
  • Aufgerufene Seite und übertragene Datenmenge
  • Browser-Typ und -Version
  • Betriebssystem des Nutzers
  • Referrer-URL (die zuvor besuchte Seite)

Diese Daten werden zur Gewährleistung der Sicherheit (z.B. Abwehr von DDoS-Angriffen), zur Fehlerdiagnose und zur Stabilität des Dienstes verarbeitet.

Speicherdauer: Serverlog-Dateien werden nach 30 Tagen automatisch gelöscht, sofern keine sicherheitsrelevanten Vorfälle eine längere Speicherung erfordern.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und effizientem Webhosting)
  • Dienstanbieter: Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA
  • Datenschutzerklärung: https://vercel.com/legal/privacy-policy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

Kontaktaufnahme über unser Kontaktformular

Wenn Sie unser Kontaktformular (https://gruenup.at/kontakt) oder unser B2B-Anfrageformular (https://gruenup.at/partnerschaft) nutzen, verarbeiten wir die folgenden Angaben zur Bearbeitung Ihrer Anfrage:

  • Name
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Firmenname (nur bei B2B-Anfragen, optional)
  • Branche/Unternehmensart (nur bei B2B-Anfragen)
  • Ihre Nachricht

Verarbeitungsschritte und Dienstanbieter:

1. Arcjet (Bot- und Spam-Schutz)

Vor der weiteren Verarbeitung prüft Arcjet, ob Ihre Anfrage von einem Menschen oder einem automatisierten Bot stammt. Hierzu werden Ihre IP-Adresse, Browser-Informationen und Verhaltensmerkmale technisch analysiert.

  • Dienstanbieter: Arcjet Inc., USA
  • Datenschutzerklärung: https://arcjet.com/privacy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

2. Sanity.io (Archivierung in unserer CMS-Datenbank)

Ihre Anfrage wird in unserem Content-Management-System gespeichert, damit wir auch nach längerer Zeit auf Ihre Anfrage zurückgreifen können.

  • Dienstanbieter: Sanity Inc., 107 Ashland Place, Brooklyn, NY 11201, USA
  • Datenschutzerklärung: https://www.sanity.io/legal/privacy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

3. Resend (E-Mail-Benachrichtigung)

Wir erhalten eine Benachrichtigung per E-Mail, damit wir zeitnah auf Ihre Anfrage reagieren können.

  • Dienstanbieter: Resend, Inc., 2261 Market Street #4535, San Francisco, CA 94114, USA
  • Datenschutzerklärung: https://resend.com/legal/privacy-policy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

Speicherdauer: Kontaktanfragen werden in unserem Sanity-CMS für die Dauer von 6 Monaten nach Abschluss der Kommunikation aufbewahrt, um auf Rückfragen reagieren zu können. Danach werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten (z.B. handelsrechtliche) entgegenstehen.

Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen, Vertragsanbahnung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spamschutz und Archivierung)

Ihre Rechte: Sie können jederzeit die Löschung Ihrer Anfrage-Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Kontaktieren Sie uns hierzu unter info@gruenup.at.

Newsletter-Versand (Double-Opt-In-Verfahren)

Auf unserer Website bieten wir Ihnen die Möglichkeit, unseren Newsletter zu abonnieren. Mit dem Newsletter informieren wir Sie über saisonale Sorten, neue Produkte, Rezepte und Veranstaltungen rund um unsere Mikrogrüns.

Ablauf der Anmeldung (Double-Opt-In):

  1. Sie geben Ihre E-Mail-Adresse in unser Anmeldeformular ein und bestätigen die Kenntnisnahme dieser Datenschutzerklärung.
  2. Wir senden Ihnen eine Bestätigungs-E-Mail mit einem personalisierten Link.
  3. Erst durch Anklicken des Links in dieser E-Mail wird Ihre Anmeldung aktiv und wir dürfen Ihnen den Newsletter zusenden.

Dieses Verfahren stellt sicher, dass nur der tatsächliche Inhaber der E-Mail-Adresse den Newsletter abonnieren kann, und schützt Sie vor unerwünschten Anmeldungen durch Dritte.

Verarbeitete Daten:

  • E-Mail-Adresse (zwingend erforderlich für den Versand)
  • Zeitpunkt der Anmeldung und der Bestätigung
  • IP-Adresse zum Zeitpunkt der Anmeldung
  • Optional: Themenpräferenzen (z.B. Rezepte, saisonale Angebote), sofern Sie diese angeben

Verarbeitungsschritte und Dienstanbieter:

1. Sanity.io (Speicherung des Einwilligungsnachweises)

Zur Protokollierung Ihrer Einwilligung nach Art. 7 Abs. 1 DSGVO speichern wir den Anmelde- und Bestätigungszeitpunkt in unserem Content-Management-System.

  • Dienstanbieter: Sanity Inc., 107 Ashland Place, Brooklyn, NY 11201, USA
  • Datenschutzerklärung: https://www.sanity.io/legal/privacy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

2. Resend (Versand als Auftragsverarbeiter)

Der technische Versand der Bestätigungs- und Newsletter-E-Mails erfolgt über unseren Auftragsverarbeiter Resend. Wir haben mit Resend einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

Resend führt für uns eine Liste der aktiven Abonnentinnen und Abonnenten (sogenannte „Audience“) und versendet die E-Mails in unserem Auftrag. Resend verarbeitet hierfür ausschließlich die E-Mail-Adresse und technische Zustellparameter (z.B. Bounce- und Zustellstatus). Es erfolgt keine cookie-basierte Nachverfolgung Ihres Leseverhaltens und kein Profiling.

  • Dienstanbieter: Resend, Inc., 2261 Market Street #4535, San Francisco, CA 94114, USA
  • Datenschutzerklärung: https://resend.com/legal/privacy-policy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

Speicherdauer: Ihre Anmeldedaten werden für die Dauer Ihres Newsletter-Abonnements gespeichert, längstens jedoch 3 Jahre ab dem Zeitpunkt der letzten bestätigten Interaktion. Nach einem Widerruf Ihrer Einwilligung werden Ihre Daten unverzüglich aus der Versandliste entfernt. Den Nachweis der ursprünglichen Einwilligung bewahren wir noch bis zu 3 Jahre nach Widerruf auf, um der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO nachkommen zu können.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit § 107 Abs. 2 TKG 2021.

Ihr Widerrufsrecht: Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — entweder durch Klick auf den Abmeldelink in jeder Newsletter-E-Mail oder durch eine kurze Nachricht an info@gruenup.at. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Optionale Telefonnummer-Angabe (Absichtsbekundung)

Nach erfolgreicher Newsletter-Bestätigung haben Sie die Möglichkeit, freiwillig eine Telefonnummer anzugeben. Diese Angabe dient der Vorbereitung eines zukünftigen WhatsApp-Kanals, über den wir — sobald dieser Kanal aktiviert ist — ergänzende Kurzbenachrichtigungen (z.B. Ankündigungen neuer Sorten) versenden möchten.

Wichtiger Hinweis — aktueller Stand:

Zum Zeitpunkt der Erstellung dieser Erklärung ist kein WhatsApp-Kanal aktiv. Eine mit Ihrer Anmeldung hinterlegte Telefonnummer wird ausschließlich als Absichtsbekundung für eine zukünftige Aktivierung gespeichert. Es erfolgt keine aktive Kontaktaufnahme über diese Nummer, solange der Kanal nicht gestartet ist.

Zweistufiges Einwilligungsverfahren:

Sobald wir den WhatsApp-Kanal starten, erhalten Sie von uns eine gesonderte E-Mail mit einem erneuten Bestätigungslink (zweiter Opt-In). Erst mit aktivem Anklicken dieses zweiten Links wird Ihre Telefonnummer für den WhatsApp-Versand freigeschaltet. Antworten Sie nicht auf diese E-Mail oder klicken Sie den Link nicht an, wird die Telefonnummer nicht aktiviert und nach der unten genannten Frist gelöscht.

Verarbeitete Daten:

  • Telefonnummer (in internationaler Schreibweise, z.B. +43 …)
  • Zeitpunkt der Angabe
  • Status der Einwilligung für den zukünftigen WhatsApp-Versand

Speicherdauer: Die Telefonnummer wird längstens 24 Monate ab Angabe gespeichert. Wird der WhatsApp-Kanal innerhalb dieser Frist nicht aktiviert oder widerrufen Sie zwischenzeitlich Ihre Absichtsbekundung, wird die Telefonnummer unverzüglich gelöscht. Bei späterer Aktivierung und Ihrer zweiten Einwilligung gilt für die Telefonnummer anschließend die Speicherfrist des aktiven WhatsApp-Abonnements (analog zum Newsletter: 3 Jahre nach letzter bestätigter Interaktion).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung zur Vorbereitung einer späteren Direktkommunikation).

Ihr Widerrufsrecht: Sie können Ihre Absichtsbekundung jederzeit formlos per E-Mail an info@gruenup.at widerrufen. In diesem Fall löschen wir Ihre Telefonnummer, ohne dass Ihr Newsletter-Abonnement davon berührt wird.

Reichweitenmessung (Vercel Analytics)

Zur Analyse der Besucherströme unserer Website verwenden wir Vercel Analytics. Dieser Dienst arbeitet cookiefrei und erhebt keine personenbezogenen Daten. Stattdessen werden ausschließlich aggregierte, anonyme Metriken erfasst:

  • Anzahl der Seitenaufrufe
  • Verweildauer auf einzelnen Seiten
  • Browser-Typ und Betriebssystem (aggregiert)
  • Geografische Region (auf Länder-Ebene, z.B. „Österreich“)
  • Referrer-Domain (woher der Besucher kam)

Eine Rückverfolgung einzelner Nutzer ist technisch nicht möglich, da keine eindeutigen Identifikatoren (Cookies, Fingerprints o.ä.) verwendet werden. Eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ist daher nicht erforderlich.

Google Maps (nur auf der Kontaktseite)

Auf unserer Kontaktseite (https://gruenup.at/kontakt) binden wir eine interaktive Karte des Dienstes Google Maps ein, um unseren Standort visuell darzustellen. Beim Laden der Karte werden folgende Daten an Google übertragen:

  • IP-Adresse
  • Standortdaten (sofern in den Browser-Einstellungen freigegeben)
  • Browser- und Geräteinformationen

Die Einbindung erfolgt erst nach Ihrer aktiven Einwilligung über unseren Cookie-Banner. Bei Aufruf der Kontaktseite ohne Einwilligung sehen Sie eine statische Platzhalter-Ansicht anstelle der interaktiven Karte.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
  • Dienstanbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterunternehmen: Google LLC, USA)
  • Datenschutzerklärung: https://policies.google.com/privacy
  • Grundlage Drittlandübermittlung: Data Privacy Framework

Präsenzen in sozialen Netzwerken (Social Media)

Wir unterhalten Unternehmensprofile in sozialen Netzwerken, um mit unseren Kunden, Interessenten und Partnern zu kommunizieren und Informationen über unser Unternehmen sowie unsere Produkte bereitzustellen.

Wichtiger Hinweis: Wenn Sie unsere Social-Media-Profile besuchen, werden Ihre Daten direkt von den jeweiligen Plattform-Betreibern verarbeitet — nicht von uns. Die Plattformen können dabei Cookies setzen und umfassende Nutzerprofile erstellen. Für die detaillierten Verarbeitungsformen und die Widerspruchsmöglichkeiten verweisen wir auf die Datenschutzerklärungen der jeweiligen Anbieter.

Unsere aktuellen Social-Media-Profile:

Instagram

https://www.instagram.com/greenup_microgreens/

Dienstanbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland (Mutterunternehmen: Meta Platforms, Inc., USA)
Datenschutzerklärung: https://www.instagram.com/about/legal/privacy

Facebook

https://www.facebook.com/GruenUp/

Dienstanbieter: Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland (Mutterunternehmen: Meta Platforms, Inc., USA)
Datenschutzerklärung: https://www.facebook.com/about/privacy

Auf unserer Website binden wir keine Social-Media-Plugins ein (keine Facebook-Like-Buttons, keine Instagram-Embeds o.ä.). Alle Links zu Social-Media-Plattformen sind reine Textlinks ohne Tracking-Funktion.

  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation und Sichtbarkeit in sozialen Netzwerken)
  • Grundlage Drittlandübermittlung: Data Privacy Framework (Meta Platforms)

Online-Zahlungen mit Stripe (Workshops, Private Lessons, Gutscheine)

Für die Abwicklung von Online-Zahlungen im Zusammenhang mit Workshop-Buchungen, Private Lessons und Gutschein-Käufen nutzen wir den Zahlungsdienstleister Stripe Payments Europe Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland).

Rolle von Stripe. Stripe kann im Rahmen der Zahlungsabwicklung sowohl als Auftragsverarbeiter im Sinne des Art. 28 DSGVO als auch als eigenständiger Verantwortlicher (z. B. für Zwecke der Betrugsprävention, regulatorischer Compliance und interner Risikoanalyse) tätig werden.

Verarbeitete Daten: Name, E-Mail-Adresse, Zahlungsmittel-Informationen (Kartennummer, Ablaufdatum, CVC — werden ausschließlich von Stripe verarbeitet und bei uns nur als tokenisierte Referenz gespeichert), Ergebnis der starken Kundenauthentifizierung, Transaktions-IDs, Betrag.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Abwicklung der Workshop-Buchung und Zahlung).

Speicherdauer: Die tokenisierte Zahlungsreferenz wird wie folgt gespeichert und gelöscht:

  • Workshop-Buchungen: bis zum Abschluss oder zur Absage des jeweiligen Workshops
  • Private Lessons: bis zum Abschluss der Lesson oder Ablauf eventueller Widerrufsfristen
  • Gutschein-Käufe: bis zum Ablauf der 14-tägigen Widerrufsfrist nach dem Kauf

Transaktions-IDs und Abrechnungsdaten werden für Buchhaltungszwecke gemäß § 132 BAO 7 Jahre aufbewahrt.

Drittlandübermittlung. Eine Datenübermittlung in die USA (Konzerninfrastruktur von Stripe) kann nicht ausgeschlossen werden. Diese erfolgt auf Grundlage der EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Datenschutzerklärung von Stripe: https://stripe.com/at/privacy

Stand: 2026-04-23, Review-Freigabe durch Mag. Eszter Sieber-Fazakas, Fürst-Recht.

B2B-Direktansprache (Cold Outreach an Geschäftskunden)

Im Rahmen unserer B2B-Geschäftsentwicklung wenden wir uns gezielt an gewerbliche Empfänger (insbesondere Restaurants, Hotels, Feinkost-Läden, Bio-Märkte und Catering-Unternehmen in der Steiermark und angrenzenden Regionen) mit dem Angebot einer Geschäftspartnerschaft. Diese aktive Direktansprache erfolgt ausschließlich an gewerbliche E-Mail-Adressen, die wir aus öffentlich zugänglichen Quellen recherchieren.

Diese Verarbeitung ist von der unter „Kontaktaufnahme über unser Kontaktformular“ beschriebenen Verarbeitung getrennt zu betrachten: Während dort von Ihnen initiierte Anfragen verarbeitet werden, geht es hier um eine von uns initiierte erstmalige Kontaktaufnahme.

Verarbeitete Daten

  • Firmenname (öffentlich)
  • Firmenanschrift (öffentlich)
  • Branche (öffentlich, z.B. Restaurant, Hotel, Bio-Markt)
  • Gewerbliche E-Mail-Adresse der Firma (z.B. info@, kontakt@, sowie funktionsbezogene Adressen wie einkauf@, kueche@)
  • Name und Funktionsbezeichnung des Ansprechpartners (sofern öffentlich auf der Unternehmenswebsite, im Impressum oder in öffentlichen Branchenverzeichnissen ersichtlich)
  • Quelle der Recherche (URL der Unternehmenswebsite, Branchenverzeichnis-Eintrag o.ä.) — als Nachweis der Datenherkunft
  • Zeitpunkt und Inhalt unserer Kommunikation (Erstkontakt, Folgekontakte, Antworten)
  • Reaktionsstatus (keine Antwort, geantwortet, Interesse bekundet, abgelehnt, Abmeldung)

Wir verarbeiten ausdrücklich nicht:

  • Private E-Mail-Adressen oder private Telefonnummern
  • Persönliche Lebensumstände, Konsumverhalten oder Lifestyle-Notizen
  • Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheit, Religion, politische Meinung etc.)

Quellen der Daten (Art. 14 Abs. 2 lit. f DSGVO)

Die Daten stammen ausschließlich aus öffentlich zugänglichen Quellen:

  • Unternehmens-Websites und deren Impressum
  • Öffentliche Branchenverzeichnisse (z.B. WKO Firmen A-Z, Herold)
  • Öffentliche Karten- und Standortdienste (Google Maps Business-Profile)
  • Öffentliche Social-Media-Unternehmensprofile (z.B. Facebook-Page, Instagram-Business)
  • Öffentliche Presse- und Branchenartikel

Zwecke der Verarbeitung

  • Erstmalige Kontaktaufnahme zur Anbahnung einer geschäftlichen Lieferbeziehung für Bio-Mikrogrün-Produkte
  • Versand individueller, auf das jeweilige Unternehmen bezogener Erstanschreiben
  • Nachverfolgung der Korrespondenz (Follow-up nach 7 und 21 Tagen, sofern keine Antwort erfolgt)
  • Dokumentation des Kommunikationsverlaufs für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Verbindung mit den Anforderungen des österreichischen § 107 TKG 2021 (elektronische Post zu Werbezwecken im B2B-Kontext) und des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG).

Unser berechtigtes Interesse liegt in der gezielten Anbahnung von Geschäftsbeziehungen mit potenziell passenden gewerblichen Abnehmern unserer Produkte. Wir wenden uns ausschließlich an gewerbliche Empfänger, deren Geschäftstätigkeit einen sachlichen Zusammenhang mit unserem Sortiment aufweist (Gastronomie, Hospitality, Bio-orientierte Lebensmittelhändler, Catering).

Interessenabwägung: Bei der Verarbeitung haben wir die Interessen der betroffenen Unternehmen und ihrer Ansprechpartner gegen unsere wirtschaftlichen Interessen abgewogen. Dabei haben wir berücksichtigt:

  • Die Daten stammen ausschließlich aus öffentlich zugänglichen Quellen, die zur geschäftlichen Kontaktaufnahme bereitgestellt wurden.
  • Wir verwenden ausschließlich gewerbliche Kontaktadressen, keine privaten Daten.
  • Empfänger können der Verarbeitung jederzeit niederschwellig widersprechen (siehe „Widerspruch und Abmeldung“).
  • Die Speicherdauer ist auf das erforderliche Maß begrenzt (siehe unten).
  • Die Datenarten sind auf das für eine geschäftliche Erstansprache erforderliche Minimum reduziert.

Empfänger der Daten (Auftragsverarbeiter)

Zur Durchführung der B2B-Direktansprache setzen wir folgende Auftragsverarbeiter nach Art. 28 DSGVO ein:

1. Brevo (Versand der B2B-Erstkontakt-E-Mails)

Der technische Versand der B2B-Direktansprache-E-Mails erfolgt über unseren Auftragsverarbeiter Brevo (vormals Sendinblue) von der Versandadresse servus@gruenup.at über die authentifizierte Subdomain servus.gruenup.at. Die vertragliche Grundlage für die Auftragsverarbeitung gemäß Art. 28 DSGVO bildet die Verarbeitungsklausel der Allgemeinen Geschäftsbedingungen von Brevo, die mit der Aktivierung unseres Kontos angenommen wurde.

Brevo verarbeitet ausschließlich die gewerbliche E-Mail-Adresse und technische Zustellparameter (Bounce-, Zustell- und Öffnungsstatus). Es erfolgt keine inhaltliche Auswertung der Empfängerdaten und kein Profiling über das hinaus, was zur technischen Zustellung erforderlich ist.

  • Dienstanbieter: Sendinblue SAS (Brevo), 106 boulevard Haussmann, 75008 Paris, Frankreich
  • Datenschutzerklärung: https://www.brevo.com/de/legal/privacypolicy/
  • Sitz: Europäische Union (Frankreich) — keine Drittlandübermittlung erforderlich.

2. Anthropic (KI-gestützte Erstellung individueller Anschreiben)

Zur Erstellung individueller, auf das jeweilige Unternehmen abgestimmter Erstanschreiben setzen wir die KI-Dienste von Anthropic ein. Hierbei werden ausschließlich die öffentlich recherchierten Firmenangaben (Firmenname, Branche, öffentliche Beschreibung) an den Dienst übermittelt — keine personenbezogenen Daten von Ansprechpartnern und keine privaten Informationen.

Die vertragliche Grundlage für die Auftragsverarbeitung gemäß Art. 28 DSGVO bildet die Verarbeitungsklausel der Anthropic Commercial Terms, die mit der Aktivierung unseres API-Zugangs angenommen wurde. Anthropic verarbeitet die übermittelten Daten ausschließlich zur Generierung der angefragten Texte und nicht zu Trainingszwecken(Anthropic Commercial Terms, „no training on customer data“).

  • Dienstanbieter: Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA
  • Datenschutzerklärung: https://www.anthropic.com/legal/privacy
  • Grundlage Drittlandübermittlung: EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)

3. Sanity.io (Speicherung des Kommunikationsverlaufs)

Der Kommunikationsverlauf (Zeitpunkt, Inhalt und Reaktionsstatus) wird zur Dokumentation und Rechenschaftspflicht in unserem Content-Management-System gespeichert. Auftragsverarbeiter, Vertragsgrundlage und Datenschutzregelung wie unter „Kontaktaufnahme über unser Kontaktformular“ beschrieben.

Speicherdauer

ReaktionsstatusSpeicherdauer
Keine Reaktion (no-response)12 Monate ab letztem Kontaktversuch, danach Löschung
Antwort mit Ablehnung12 Monate ab Eingang der Ablehnung, danach Löschung
Aktive Abmeldung (Widerspruch nach Art. 21 DSGVO)Sofortige Löschung der Verarbeitungsdaten; Speicherung der E-Mail-Adresse auf einer internen Sperrliste für 3 Jahre, ausschließlich zum Zweck, eine erneute Ansprache zu verhindern (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO)
Geschäftsbeziehung kommt zustandeÜbertragung in den B2B-Kundenstamm; weitere Speicherung gemäß den dortigen Regelungen (Vertragserfüllung, handelsrechtliche Aufbewahrungspflichten 7 Jahre nach § 132 BAO)

Widerspruch und Abmeldung

Empfänger unserer B2B-Direktansprache haben jederzeit das Recht, der weiteren Verarbeitung zu widersprechen (Art. 21 DSGVO). Wir bieten hierfür niederschwellige Wege:

  • Antwort auf die E-Mailmit dem Wort „Abmeldung“, „Widerspruch“, „Stop“ oder einem entsprechenden Hinweis im Freitext
  • Direkte E-Mail an info@gruenup.at mit Bezugnahme auf die Abmeldung
  • Nutzung des Abmeldelinks am Ende jeder E-Mail (sofern technisch implementiert)

Nach Eingang Ihres Widerspruchs werden wir Sie nicht erneut anschreiben. Eine Bestätigung der Abmeldung erfolgt innerhalb von 5 Werktagen.

Hinweis auf KI-Unterstützung (EU AI Act, Art. 50)

Bestimmte E-Mails und begleitende Texte werden mit Unterstützung KI-basierter Sprachmodelle (siehe oben unter Auftragsverarbeiter Anthropic) erstellt. Diese E-Mails sind als solche transparent gekennzeichnetdurch einen Hinweis am Ende der Nachricht (z.B. „Diese E-Mail wurde mit KI-Unterstützung erstellt.“).

Die finale Freigabe und Versendung erfolgt stets durch einen Menschen (László Fülöp). Eine vollständig automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO findet nicht statt.

Ihre Rechte

Es gelten die unter „Rechte der betroffenen Personen“ beschriebenen Rechte (Art. 15-21 DSGVO), insbesondere:

  • Auskunftsrecht über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Recht auf Löschung (Art. 17 DSGVO)
  • Widerspruchsrecht gegen die Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Beschwerderecht bei der österreichischen Datenschutzbehörde (siehe unten)

Zur Geltendmachung wenden Sie sich bitte an: info@gruenup.at

Stand: 2026-05-03, Review-Freigabe durch Mag. Eszter Sieber-Fazakas, Fürst-Recht.

Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen (z.B. wenn der Zweck der Verarbeitung entfallen ist).

Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen (im Regelfall 7 Jahre nach österreichischem Handelsrecht).

Konkrete Speicherdauern:

DatenkategorieSpeicherdauer
Serverlog-Dateien30 Tage
Kontaktanfragen (CMS-Archiv)6 Monate nach Abschluss
Newsletter-Abonnementdaten3 Jahre nach letzter Interaktion oder bis Widerruf
Einwilligungsnachweis Newsletter (nach Widerruf)3 Jahre (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO)
Telefonnummer (Absichtsbekundung, WhatsApp noch nicht aktiv)24 Monate oder bis Widerruf
Handelsrechtlich relevante Unterlagen7 Jahre (§ 132 BAO)
Aggregierte Analytics-Daten25 Monate (Vercel Standard)
B2B-Recherchedaten (no-response, Ablehnung)12 Monate, danach Löschung
B2B-Sperrliste nach Widerspruch3 Jahre (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO)

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 21 DSGVO ergeben:

  • Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie haben das Recht, die Vervollständigung oder Berichtigung der Sie betreffenden Daten zu verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie haben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Alternativ zur Löschung können Sie eine Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie haben das Recht, Sie betreffende Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.
  • Widerrufsrecht bei Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.

Zur Geltendmachung dieser Rechte wenden Sie sich bitte an: info@gruenup.at

Recht auf Beschwerde bei der Aufsichtsbehörde

Sie haben das Recht, jederzeit bei der österreichischen Datenschutzbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen (z.B. bei Einführung neuer Dienste wie Newsletter oder zusätzlicher Social-Media-Plattformen).

Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. erneute Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Änderungshistorie

  • 2026-05-03— Ergänzung des Abschnitts „B2B-Direktansprache (Cold Outreach an Geschäftskunden)“ zur Abdeckung der aktiven gewerblichen Erstansprache. Neue Auftragsverarbeiter: Brevo (E-Mail-Versand) und Anthropic (KI-Texterstellung). Erweiterung der Übersichtslisten und der Speicherdauer-Tabelle. Review-Freigabe durch Mag. Eszter Sieber-Fazakas, Fürst-Recht.
  • 2026-04-22— Ergänzung der Verarbeitungen „Newsletter-Versand“ (Double-Opt-In via Resend als Auftragsverarbeiter) und „Optionale Telefonnummer-Angabe“ als Absichtsbekundung für einen zukünftigen WhatsApp-Kanal. Erweiterung der Übersichtslisten und der Speicherdauer-Tabelle.
  • 2026-04-21 — Erstveröffentlichung.

Begriffsdefinitionen

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer oder einer Online-Kennung (z.B. Cookie), identifiziert werden kann. (Art. 4 Nr. 1 DSGVO)
  • Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten — sei es das Erheben, Erfassen, Speichern, Übermitteln oder Löschen. (Art. 4 Nr. 2 DSGVO)
  • Verantwortlicher: Die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. (Art. 4 Nr. 7 DSGVO)