Datenschutzerklärung
Datenschutzerklärung
XQ Studio e.U. | xq.studio | Stand: Mai 2026
1. Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
XQ Studio e.U.
Westbahnstraße 1a/2/R2
1070 Wien, Österreich
E-Mail: office@xq.studio
Telefon: +43 1 947 91 46
2. Allgemeine Hinweise zur Datenverarbeitung
Der Schutz deiner personenbezogenen Daten ist uns ein wesentliches Anliegen. Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit den geltenden gesetzlichen Bestimmungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) sowie dem österreichischen Datenschutzgesetz (DSG).
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z. B. Name, E-Mail-Adresse, IP-Adresse).
Wir verarbeiten personenbezogene Daten nur, soweit dies erforderlich ist, und ausschließlich zu klar definierten Zwecken. Dabei achten wir besonders auf die Grundsätze der Datenminimierung, Zweckbindung und Speicherbegrenzung.
Sofern wir externe Dienstleister einsetzen, erfolgt dies entweder auf Grundlage eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO oder im Rahmen einer eigenständigen Verantwortlichkeit des jeweiligen Anbieters.
Sofern Daten in Drittländer (außerhalb der EU bzw. des EWR) übermittelt werden, erfolgt dies ausschließlich unter Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (z. B. Standardvertragsklauseln, Angemessenheitsbeschlüsse).
3. Hosting und technische Infrastruktur
Unsere Website und die zugehörigen Systeme werden von folgenden Dienstleistern gehostet und betrieben:
World4You
Für Domain- und ergänzende Hosting-Dienste setzen wir World4You Internet Services GmbH, Hafenstraße 47–51, 4020 Linz, Österreich, ein. World4You ist als Auftragsverarbeiter tätig. Die Server befinden sich in der Europäischen Union.
Expenia
Dokumentationsunterlagen werden in einer eigenen technischen Infrastruktur gehostet, die von der expenia GmbH, Porzellangasse 33a, 1090 Wien, betrieben wird. Die expenia GmbH ist dabei als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig; die Daten werden ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet und gespeichert. Ein entsprechender Auftragsverarbeitungsvertrag wurde abgeschlossen.
Cloudways (DigitalOcean)
Für das Webhosting nutzen wir den Dienst Cloudways, betrieben von DigitalOcean LLC, 101 Avenue of the Americas, New York, NY 10013, USA. Das Hosting findet innerhalb der EU statt. Cloudways ist als Auftragsverarbeiter tätig. Bei einer etwaigen Datenübermittlung in die USA erfolgt diese auf Grundlage der Standardvertragsklauseln der EU-Kommission.
4. Datenerfassung beim Besuch der Website
Bei der rein informatorischen Nutzung unserer Website werden automatisch Informationen durch deinen Browser an unseren Server übermittelt. Dies umfasst insbesondere:
• IP-Adresse (in gekürzter/anonymisierter Form)
• Datum und Uhrzeit des Zugriffs
• Name und URL der abgerufenen Datei
• Referrer-URL
• verwendeter Browser und ggf. Betriebssystem
• Name deines Internet-Service-Providers
Diese Daten werden temporär in sogenannten Server-Logfiles gespeichert. Zwecke der Verarbeitung sind die Sicherstellung eines stabilen und sicheren Betriebs der Website, Fehleranalyse und Systemoptimierung sowie die Abwehr von Angriffen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die Daten werden nach kurzer Zeit automatisiert gelöscht, sofern keine sicherheitsrelevanten Ereignisse eine längere Aufbewahrung erfordern.
5. Kontaktaufnahme
Wenn du mit uns Kontakt aufnimmst (z. B. per E-Mail, Telefon oder Kontaktformular), verarbeiten wir die von dir bereitgestellten personenbezogenen Daten, insbesondere Name, Kontaktdaten (E-Mail-Adresse, Telefonnummer), Inhalt deiner Anfrage sowie ggf. übermittelte Anhänge.
Zwecke sind die Bearbeitung und Beantwortung deiner Anfrage, die Durchführung vorvertraglicher Maßnahmen sowie die Dokumentation zur Qualitätssicherung. Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO (Vertrag/vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Bearbeitung von Anfragen).
Speicherdauer: Deine Daten werden grundsätzlich für die Dauer von 3 Jahren nach Abschluss der Anfrage gespeichert, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6. Online-Terminbuchung (SimplyBook.me)
Zur Organisation und Verwaltung von Terminen nutzen wir das Buchungssystem SimplyBook.me (Simplybookit Ltd, Triq l-Imdina, Zone 2, Central Business District, Birkirkara CBD 2010, Malta).
Verarbeitete Daten: Name, E-Mail-Adresse, Telefonnummer (optional), gebuchte Leistungen, Terminzeitpunkte sowie ggf. individuelle Angaben im Buchungsformular.
Zweck ist die Terminverwaltung und -koordination sowie die organisatorische Abwicklung unserer Dienstleistungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
7. Digitales Einwilligungsformular
Im Rahmen unserer Dienstleistungen erheben wir mittels eines digitalen Formulars die für die Leistungserbringung erforderlichen Informationen, einschließlich gesundheitsbezogener Angaben. Das Formular basiert auf einer individuell entwickelten Lösung (Craft CMS); die Daten werden in der zugehörigen Datenbank gespeichert.
Verarbeitete Daten: Identifikationsdaten (z. B. Name), Kontaktdaten, freiwillig angegebene Gesundheitsdaten.
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO und unterliegen einem erhöhten Schutz. Die Verarbeitung erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO.
Zwecke sind die sichere und sachgerechte Durchführung unserer Dienstleistungen, die Minimierung gesundheitlicher Risiken sowie die gesetzlich vorgeschriebene Dokumentation. Der Zugriff ist strikt auf autorisierte Personen beschränkt.
Speicherdauer: Piercing-Dokumentation 10 Jahre gemäß § 4 der Ausübungsregeln für das Piercen und Tätowieren (BGBl. II Nr. 141/2003 i.d.F. BGBl. II Nr. 261/2008).
8. Minderjährige
Piercings sind mit Erlaubnis einer obsorgeberechtigten Person ab 14 Jahren erlaubt, für Ohrläppchen gibt es keine Altersbeschränkung, sofern es sich nur um Piercings im Ohrläppchen handelt.
Bei minderjährigen Personen unter 18 Jahren erfolgt die Verarbeitung personenbezogener Daten nur mit Zustimmung der Obsorgeberechtigten. In diesem Zusammenhang verarbeiten wir auch Kontaktdaten der Obsorgeberechtigten sowie Nachweise der Einwilligung. Zweck ist die rechtliche Absicherung sowie Nachweisbarkeit der Einwilligung aufgrund der gesetzlichen Pflichten. Für das Piercen gelten die Voraussetzungen der Ausübungsregeln (BGBl. II Nr. 141/2003), die eine gesonderte schriftliche Einwilligung der Obsorgeberechtigten vorsehen.
9. Bildaufnahmen
Verarbeitete Daten: Bild- und Videomaterial sowie ggf. Metadaten (Zeitpunkt, Kontext).
Im Rahmen unserer Tätigkeit können Bild- oder Videoaufnahmen erstellt werden, dies erfolgt für Dokumentationszwecke gemäß Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), zur Qualitätsdokumentation der erbrachten Leistung.
Wenn Aufnahmen zu Werbezwecken (Veröffentlichung auf der Website und/oder in sozialen Medien und/oder unser Portfolio) erstellt werden, erfolgt dies ausschließlich auf Grundlage einer vorherigen ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.
Die Einwilligung ist freiwillig und jederzeit widerrufbar. Bei Minderjährigen ist zusätzlich die ausdrückliche, schriftliche Einwilligung der Obsorgeberechtigten erforderlich. Aufnahmen zur Dokumentation werden für die Dauer der Aufbewahrungspflichten verarbeitet; Aufnahmen für Marketingzwecke bis zum Widerruf der Einwilligung.
10. Webshop und Bestellungen
10.1 Shopify
Unser Webshop wird über Shopify betrieben (Shopify International Limited, Victoria Buildings, 2. Etage, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland). Shopify ist als Auftragsverarbeiter tätig; ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde abgeschlossen.
Im Zusammenhang mit dem Betrieb des Webshops kann es zu Datenübermittlungen in Drittländer (insbesondere USA) kommen.
10.2 Kundenkonto und Gastbestellung
Du hast die Möglichkeit, im Webshop ein persönliches Kundenkonto anzulegen oder als Gast zu bestellen. Die Anlage eines Kundenkontos ist freiwillig.
Bei Anlage eines Kundenkontos verarbeiten wir:
• Name
• E-Mail-Adresse
• Rechnungs- und Lieferadresse
• Bestellhistorie
• ggf. gespeicherte Zahlungsinformationen (je nach gewählter Methode)
Zwecke sind die vereinfachte Abwicklung zukünftiger Bestellungen, die Verwaltung deiner Bestellhistorie sowie die Kundenkommunikation. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Das Konto kann jederzeit gelöscht werden; gesetzliche Aufbewahrungspflichten bleiben davon unberührt.
Bei Gastbestellungen werden die Daten ausschließlich zur Abwicklung der jeweiligen Bestellung verarbeitet und nicht für ein dauerhaftes Profil gespeichert.
10.3 Vertragsabwicklung
Im Rahmen von Bestellungen verarbeiten wir: Name, Rechnungs- und Lieferadresse, Kontaktdaten, Bestelldaten sowie Zahlungsinformationen (je nach Zahlungsart). Zwecke sind Vertragsabwicklung, Lieferung der Waren, Kundenkommunikation und Buchhaltung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.
10.4 Zahlungsdienstleister
Je nach gewählter Zahlungsart erfolgt die Zahlungsabwicklung über externe Anbieter. Diese Anbieter verarbeiten deine Daten eigenständig als Verantwortliche.
PayPal
Bei Zahlung via PayPal, Kreditkarte via PayPal, Lastschrift via PayPal oder – falls angeboten – Kauf auf Rechnung oder Ratenzahlung via PayPal geben wir deine Zahlungsdaten im Rahmen der Zahlungsabwicklung an PayPal (Europe) S.a.r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg, weiter. Die Weitergabe erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO und nur insoweit, als dies für die Zahlungsabwicklung erforderlich ist. PayPal behält sich für bestimmte Zahlungsmethoden die Durchführung einer Bonitätsauskunft vor.
Weitere Informationen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full
SOFORT (Klarna)
Bei Auswahl der Zahlungsart „SOFORT“ erfolgt die Zahlungsabwicklung über die SOFORT GmbH, Theresienhöhe 12, 80339 München, Deutschland, ein Unternehmen der Klarna Group (Klarna Bank AB, Sveavägen 46, 11134 Stockholm, Schweden). Die Datenweitergabe erfolgt gemäß Art. 6 Abs. 1 lit. b DSGVO ausschließlich zum Zweck der Zahlungsabwicklung.
Datenschutzbestimmungen von SOFORT/Klarna: https://www.klarna.com/sofort/datenschutz
Shopify Payments
Bei Auswahl der Zahlungsart Shopify Payments erfolgt die Zahlungsabwicklung über Shopify International Limited, Victoria Buildings, 2. Etage, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland, bzw. je nach Region über verbundene Unternehmen der Shopify Inc., 151 O’Connor Street, Ground Floor, Ottawa, Ontario K2P 2L8, Kanada. Shopify Payments verarbeitet Kreditkarten-, Debitkarten- und sonstige Zahlungsdaten eigenständig als Verantwortlicher. Eine Speicherung vollständiger Kartendaten auf unseren Systemen erfolgt nicht.
Die Datenweitergabe erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und ausschließlich zum Zweck der Zahlungsabwicklung. Im Zusammenhang mit Shopify Payments kann es zu Datenübermittlungen an Server außerhalb der EU/des EWR kommen; dies erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission.
Weitere Informationen: https://www.shopify.com/legal/privacy
10.5 Liefergebiet
Der Versand erfolgt derzeit ausschließlich innerhalb der Europäischen Union. Eine Erweiterung auf weitere Länder (z. B. Schweiz) ist geplant.
11. Bargeldlose Zahlungen im Studio (hobex AG)
Bei bargeldlosen Zahlungen im Studio erfolgt die Zahlungsabwicklung über den Zahlungsdienstleister hobex AG, Josef-Brandstätter-Straße 2b, 5020 Salzburg. Es werden Name, Anschrift, Kontonummer, Bankleitzahl, ggf. Kreditkartennummer, Rechnungsbetrag, Währung und Transaktionsnummer gemäß Art. 6 Abs. 1 lit. b DSGVO übermittelt, ausschließlich zum Zweck der Zahlungsabwicklung.
12. Newsletter (Brevo)
Wenn du unseren Newsletter abonnierst, verarbeiten wir deine E-Mail-Adresse sowie ggf. freiwillige Zusatzangaben. Zweck ist der Versand von Informationen über Angebote, Produkte und Neuigkeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO. Die Anmeldung erfolgt im Double-Opt-in-Verfahren; dabei speichern wir die vom Internet-Service-Provider eingetragene IP-Adresse sowie Datum und Uhrzeit der Anmeldung, um einen möglichen Missbrauch nachvollziehen zu können. Ein Widerruf ist jederzeit über den Abmeldelink im Newsletter oder durch Mitteilung an uns möglich.
Newsletterversand an bestehende Kunden: Wenn du uns deine E-Mail-Adresse beim Kauf von Waren oder Dienstleistungen zur Verfügung gestellt hast, behalten wir uns vor, dir regelmäßig Angebote zu ähnlichen Produkten aus unserem Sortiment per E-Mail zuzusenden. Hierfür ist gemäß § 174 TKG keine gesonderte Einwilligung erforderlich. Die Datenverarbeitung erfolgt auf Basis unseres berechtigten Interesses an personalisierter Direktwerbung gemäß Art. 6 Abs. 1 lit. f DSGVO. Du kannst der Nutzung deiner E-Mail-Adresse zu diesem Zweck jederzeit widersprechen.
Für den Newsletter-Versand setzen wir Brevo ein, einen Dienst der Brevo SAS, 55 rue d'Amsterdam, 75008 Paris, Frankreich. Brevo ist als Auftragsverarbeiter tätig; ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde abgeschlossen.
Brevo verarbeitet im Auftrag Öffnungs- und Klickraten zur Erfolgsmessung von Newsletter-Kampagnen. Da Brevo ein französisches Unternehmen und damit in der EU ansässig ist, erfolgt die Datenverarbeitung grundsätzlich innerhalb des Europäischen Wirtschaftsraums; eine Übermittlung in Drittländer ist daher in der Regel nicht erforderlich.
Weitere Informationen: https://www.brevo.com/de/legal/privacypolicy/
13. Cookies und Consent-Management (Cookiebot by Usercentrics)
Unsere Website verwendet Cookies – kleine Textdateien, die auf deinem Endgerät gespeichert werden. Dabei unterscheiden wir zwischen technisch notwendigen Cookies, funktionalen Cookies sowie Analyse- und Marketing-Cookies.
Nicht notwendige Cookies werden nur nach deiner ausdrücklichen Einwilligung gesetzt. Zur Verwaltung der Einwilligungen setzen wir Cookiebot by Usercentrics ein (Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark).
Cookiebot dokumentiert erteilte Einwilligungen (inkl. IP-Adresse, Zeitstempel und ausgewählte Einstellungen), um gesetzliche Nachweispflichten zu erfüllen, und ermöglicht den jederzeitigen Widerruf. Die erhobenen Einwilligungsdaten werden auf Servern von Usercentrics gespeichert; es kann zu Datenübermittlungen in Drittländer kommen, was auf Basis von Standardvertragsklauseln erfolgt. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde abgeschlossen. Rechtsgrundlage für den Betrieb des CMP ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Nachweisführung).
Weitere Informationen: https://www.cookiebot.com/de/privacy-policy/
14. Tag Management (Google Tag Manager)
Wir nutzen den Google Tag Manager (Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland). Der Google Tag Manager ist ein Tool zur Verwaltung von Website-Tags (Code-Snippets). Er selbst verarbeitet keine personenbezogenen Daten; er ermöglicht jedoch die Ausspielung anderer Tags (z. B. Google Analytics, Google Ads, Meta Pixel), die ihrerseits Daten erfassen können.
Der Google Tag Manager ist dauerhaft aktiv und kann nicht über das Cookie-Consent-Tool deaktiviert werden. Die durch den Tag Manager verwalteten Tags werden jedoch nur nach deiner jeweiligen Einwilligung aktiviert.
Rechtsgrundlage für den Einsatz des Google Tag Managers: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Verwaltung von Website-Tags).
Datenschutzrichtlinie von Google: https://policies.google.com/privacy?hl=de
15. Webanalyse und Marketing
15.1 Google Analytics 4
Diese Website nutzt Google Analytics 4, einen Webanalysedienst von Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland. Google Analytics 4 verwendet Cookies, um die Nutzung der Website zu analysieren. Die durch Cookies erfassten Informationen (einschließlich gekürzter IP-Adresse) werden an Server von Google übermittelt und dort gespeichert; es kann dabei zu Übermittlungen an Server der Google LLC in den USA kommen.
Die IP-Adresse wird standardmäßig innerhalb der EU/EWR um die letzten Stellen gekürzt, sodass eine direkte Personenbeziehbarkeit ausgeschlossen ist.
Demografische Merkmale: Google Analytics 4 ermöglicht die Erstellung von Statistiken zu Alter, Geschlecht und Interessen der Website-Nutzer auf Basis interessenbezogener Werbung und Drittanbieterinformationen. Diese Daten können keiner bestimmten Person zugeordnet werden.
UserIDs / Cross-Device-Tracking: Im Zusammenhang mit Google Analytics 4 verwenden wir die Funktion „UserIDs“, die eine geräteübergreifende Analyse des Nutzungsverhaltens ermöglicht, sofern du ein Konto bei uns angelegt hast und auf verschiedenen Endgeräten eingeloggt bist.
Wir haben mit Google einen Auftragsverarbeitungsvertrag abgeschlossen. Die etwaige Übermittlung von Daten in die USA erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission.
Alle beschriebenen Verarbeitungen erfolgen nur bei deiner ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Widerruf: jederzeit über das auf der Website bereitgestellte Cookie-Consent-Tool.
Weitere Informationen: https://policies.google.com/privacy?hl=de
15.2 Google Signals
Als Erweiterung von Google Analytics 4 setzen wir Google Signals ein. Google Signals ermöglicht es, Websitebesuche mit Google-Konten von Nutzern zu verknüpfen, die die Personalisierung von Anzeigen in ihren Google-Kontoeinstellungen aktiviert haben. Auf diese Weise können geräteübergreifende Berichte, Remarketing-Funktionen und Informationen zu demografischen Merkmalen in Google Analytics genutzt werden.
Google Signals ermöglicht darüber hinaus standortbasiertes Marketing auf Basis der im Google-Konto hinterlegten und aktivierten Standortdaten (Location Based Marketing). Dabei werden Nutzer anhand ihres physischen Standorts mit zielgerichteter Werbung angesprochen.
Die Verarbeitung erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Nutzer können Google Signals in den Einstellungen ihres Google-Kontos unter „Datenschutz & Personalisierung“ deaktivieren.
15.3 Google Ads – Remarketing, Retargeting, Lookalike Audiences und Location Based Marketing
Unsere Website nutzt Google Ads (Google Ireland Limited, Gordon House, 4 Barrow St, Dublin, D04 E5W5, Irland) für folgende Zwecke:
• Remarketing/Retargeting: Wir schalten zielgerichtete Werbeanzeigen in den Google-Suchergebnissen und auf Drittwebseiten für Nutzer, die unsere Website bereits besucht haben. Google setzt zu diesem Zweck ein Cookie im Browser, das eine pseudonyme Cookie-ID zuweist und interessensbasierte Werbung ermöglicht.
• Lookalike Audiences („Ähnliche Segmente“): Google kann auf Basis unserer Remarketing-Zielgruppen neue Nutzergruppen mit ähnlichen Merkmalen und Interessen identifizieren und ansprechen, um unsere Zielgruppe zu erweitern.
• Location Based Marketing: Wir nutzen standortbasiertes Targeting, um Werbeanzeigen gezielt an Nutzer in bestimmten geografischen Regionen auszuspielen.
Sofern du in deinem Google-Konto eingeloggt bist und die Verknüpfung von Browser- und App-Verlauf mit deinem Konto aktiviert hast, kann Google diese Daten mit Google-Analytics-Daten zusammenführen, um geräteübergreifende Zielgruppen zu bilden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Du kannst dem Setzen von Cookies durch Google Ads dauerhaft über das nachfolgende Browser-Plug-in widersprechen. Widerruf der Einwilligung: jederzeit über das Cookie-Consent-Tool.
Browser-Plug-in zum Deaktivieren: https://support.google.com/ads/answer/7395996
Datenschutzbestimmungen Google Ads: https://policies.google.com/technologies/ads
Im Zusammenhang mit Google Ads kann es zu Übermittlungen an Server der Google LLC in den USA kommen; dies erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission.
15.4 Meta Pixel (Facebook/Instagram)
Auf unserer Website ist das Meta Pixel eingebunden, ein Analyse- und Werbetool von Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland.
Das Meta Pixel ermöglicht folgende Funktionen:
• Conversion-Tracking: Wir können nachvollziehen, ob Nutzer nach dem Klick auf eine Meta-Werbeanzeige (Facebook oder Instagram) auf unsere Website weitergeleitet wurden.
• Retargeting/Remarketing: Wir können Nutzern, die unsere Website besucht haben, zielgerichtete Werbung auf Facebook und Instagram anzeigen (Custom Audiences).
• Lookalike Audiences: Meta kann auf Basis unserer Custom Audiences neue Zielgruppen mit ähnlichen Merkmalen identifizieren, um unsere Reichweite zu erweitern.
• Location Based Targeting: Wir nutzen standortbasiertes Targeting, um Werbeanzeigen gezielt an Nutzer in bestimmten geografischen Regionen auszuspielen.
Die durch das Meta Pixel erfassten Daten sind für uns anonym und bieten keine Rückschlüsse auf die Identität einzelner Nutzer. Meta kann die Daten jedoch mit dem jeweiligen Nutzerprofil verknüpfen und für eigene Werbezwecke gemäß der Meta-Datenschutzrichtlinie verwenden. Meta und seine Partner können dadurch Werbeanzeigen auf und außerhalb von Facebook und Instagram schalten.
Es kann zu Datenübermittlungen an Server von Meta Platforms, Inc. in den USA kommen; dies erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Widerruf der Einwilligung: jederzeit über das Cookie-Consent-Tool. Daneben kannst du deinen Widerspruch über die Einstellungen deines Meta-Kontos erklären.
Meta-Datenschutzrichtlinie: https://www.facebook.com/privacy/policy/
15.5 Social Media & Web Analytics (Metricool)
Für die Analyse und Planung unserer Social-Media-Aktivitäten sowie die Auswertung von Website-Statistiken nutzen wir den Dienst Metricool (SmartBirds Solutions S.L., Calle Fuencarral 123, 28010 Madrid, Spanien).
Metricool ermöglicht die Auswertung von Reichweite, Interaktionen und Nutzerverhalten auf unseren Social-Media-Kanälen (insbesondere Instagram) sowie die Planung und Veröffentlichung von Beiträgen. Im Rahmen dieser Verarbeitung können aggregierte Nutzungsdaten und ggf. pseudonymisierte Interaktionsdaten unserer Social-Media-Profile durch Metricool ausgewertet werden.
Darüber hinaus kann Metricool über einen Website-Tracking-Pixel Daten über das Verhalten von Besucher:innen auf unserer Website erfassen, insbesondere Seitenaufrufe, Verweildauer und Klickverhalten.
Metricool hat seinen Sitz in der EU (Spanien) und unterliegt unmittelbar der DSGVO. Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde abgeschlossen. Rechtsgrundlage für den Einsatz des Tracking-Pixels ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Consent-Tool); die Auswertung unserer eigenen Social-Media-Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Erfolgsmessung unserer Kommunikation).
Weitere Informationen: https://metricool.com/privacy-policy/
16. Verlinkung / Social Media (Instagram)
Auf unserer Website sind Links zu unserem Instagram-Profil (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland) eingebunden.
Beim Anklicken dieser Links verlässt du unsere Website und wirst zu Instagram weitergeleitet. Dabei übermittelt dein Browser automatisch Daten an Instagram (insbesondere IP-Adresse und Referrer-URL). Wir haben keinen Einfluss auf die Datenverarbeitung durch Instagram/Meta.
Wir setzen keine Social-Plugins ein, die bereits beim Laden unserer Website Daten an Instagram übermitteln – die Weiterleitung erfolgt ausschließlich durch aktives Anklicken des Links.
Weitere Informationen: https://privacycenter.instagram.com/policy/
17. Auslieferung von Inhalten und Bildern auf der Webseite (Amazon CloudFront, Akamai Edge, ImageKit)
17.1 Amazon CloudFront
Unsere Website nutzt Amazon CloudFront, ein Content Delivery Network (CDN) der Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg (für Kunden in der EU). CloudFront speichert Inhalte auf weltweit verteilten Servern zwischen und liefert sie von dem jeweils nächstgelegenen Standort aus, um Ladezeiten zu optimieren.
Beim Abruf von Inhalten über CloudFront werden technische Daten – insbesondere IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeit und aufgerufene Ressource – an Server von Amazon übermittelt und in Server-Logs gespeichert. Da CloudFront auf einer globalen Infrastruktur betrieben wird, kann es zu Datenübermittlungen in Drittländer (insbesondere USA) kommen; dies erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission. Amazon Web Services ist nach dem EU-U.S. Data Privacy Framework zertifiziert.
Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde abgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und sicheren Auslieferung der Website-Inhalte).
Weitere Informationen: https://aws.amazon.com/de/privacy/
17.2 Akamai Edge
Für die Beschleunigung und sichere Auslieferung von Website-Inhalten setzen wir den Dienst Akamai Edge ein, betrieben von Akamai Technologies, Inc., 145 Broadway, Cambridge, MA 02142, USA, in der EU vertreten durch Akamai Technologies GmbH, Parkring 20–22, 85748 Garching bei München, Deutschland.
Akamai ist ein weltweit führendes CDN und WAF (Web Application Firewall), das Inhalte über ein globales Netzwerk von Edge-Servern ausliefert und die Website vor Angriffen schützt. Beim Zugriff auf unsere Website können Verbindungsdaten – insbesondere IP-Adresse, Browsertyp, Zugriffszeit und aufgerufene Ressourcen – durch Akamai verarbeitet werden. Da Akamai Server weltweit betreibt, kann es zu Datenübermittlungen in Drittländer (insbesondere USA) kommen; dies erfolgt auf Grundlage der Standardvertragsklauseln der EU-Kommission. Akamai ist nach dem EU-U.S. Data Privacy Framework zertifiziert.
Ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO wurde abgeschlossen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer leistungsfähigen und sicheren Website).
Weitere Informationen: https://www.akamai.com/de/legal/compliance/privacy-trust-center
17.3 ImageKit
Für die Auslieferung von Bildern und anderen Mediendateien auf unserer Website nutzen wir den Dienst ImageKit.io (ImageKit Inc., 2261 Market Street, Suite 5694, San Francisco, CA 94114, USA, sowie ImageKit Private Limited, Indien). ImageKit fungiert als Content Delivery Network (CDN) und stellt Grafiken und Medien optimiert und schnell bereit.
Beim Laden von Bildern über ImageKit baut dein Browser eine direkte Verbindung zu den Servern von ImageKit auf. Dabei werden technische Daten übermittelt, insbesondere deine IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeit und die aufgerufene Ressource. Diese Daten werden von ImageKit zur Auslieferung der Inhalte sowie zur Sicherstellung des Betriebs verarbeitet.
Da ImageKit Server in den USA und anderen Drittländern betreibt, kann es zu einer Übermittlung personenbezogener Daten (insbesondere der IP-Adresse) in Drittländer kommen. ImageKit ist nach dem EU-U.S. Data Privacy Framework zertifiziert.
Rechtsgrundlage für den Einsatz von ImageKit ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen und effizienten Auslieferung von Medieninhalten). Da ImageKit als technischer Dienstleister für die Darstellung der Website erforderlich ist, ist kein gesondertes Consent-Tool-Opt-in vorgesehen; der Einsatz erfolgt jedoch unter Wahrung geeigneter Schutzmaßnahmen.
Weitere Informationen: https://imagekit.io/privacy-policy-new
18. Speicherdauer
Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist bzw. gesetzlich vorgeschrieben ist. Typische Aufbewahrungsfristen:
• Vertrags- und Rechnungsdaten: 7 Jahre (Bundesabgabenordnung, BAO)
• Piercingdokumentation: 10 Jahre (§ 4 der Ausübungsregeln für das Piercen und Tätowieren, BGBl. II Nr. 141/2003)
• Anfragen und Korrespondenz: 3 Jahre
• Einwilligungen: bis zum Widerruf
• Server-Logfiles: kurzzeitig, anschließend automatisierte Löschung
Bei der Verarbeitung auf Grundlage einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) werden die Daten bis zum Widerruf gespeichert. Bei Verarbeitung auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) werden die Daten gelöscht, sobald das berechtigte Interesse entfällt. Gesetzliche Aufbewahrungspflichten bleiben in jedem Fall unberührt.
19. Deine Rechte
Du hast jederzeit folgende Rechte gegenüber dem Verantwortlichen:
• Auskunftsrecht (Art. 15 DSGVO): Recht auf Auskunft über die von uns verarbeiteten personenbezogenen Daten.
• Berichtigungsrecht (Art. 16 DSGVO): Recht auf unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
• Löschungsrecht (Art. 17 DSGVO): Recht auf Löschung deiner Daten, sofern die gesetzlichen Voraussetzungen vorliegen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Unterrichtung (Art. 19 DSGVO): Recht auf Mitteilung über Berichtigungen, Löschungen oder Einschränkungen an Empfänger.
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Recht auf Erhalt deiner Daten in einem strukturierten, gängigen und maschinenlesbaren Format.
• Widerspruchsrecht (Art. 21 DSGVO): Recht auf Widerspruch gegen die Verarbeitung auf Basis berechtigter Interessen.
• Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Widerruf mit Wirkung für die Zukunft; die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
• Beschwerderecht (Art. 77 DSGVO): Du hast das Recht, Beschwerde bei der zuständigen Datenschutzbehörde einzubringen.
Zuständige Datenschutzbehörde in Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at
Widerspruchsrecht bei Direktwerbung: Werden personenbezogene Daten zum Zweck der Direktwerbung verarbeitet, hast du das Recht, dieser Verarbeitung jederzeit zu widersprechen (Art. 21 Abs. 2 DSGVO). Nach Eingang des Widerspruchs werden die Daten nicht mehr für diesen Zweck verarbeitet.
20. Datensicherheit
Wir setzen angemessene technische und organisatorische Sicherheitsmaßnahmen (TOMs) ein, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Dies umfasst insbesondere:
• Zugriffsbeschränkungen und Rollenkonzepte
• Verschlüsselung der Datenübertragung (HTTPS/TLS)
• Regelmäßige Sicherheitsüberprüfungen
• Datensicherungen
• Pseudonymisierung und Anonymisierung wo möglich
21. Änderungen der Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen oder neue Dienstleistungen anzupassen. Die jeweils aktuelle Version ist jederzeit auf unserer Website unter xq.studio abrufbar.
Stand: Mai 2026 | XQ Studio e.U. | office@xq.studio