Zentrale: Hauptstrasse 62, 8354 St. Anna am Aigen Filiale: Neudorf 193, 8262 Neudorf bei Ilz
03158 2872-0office@auto-lang.at
Autohaus Lang GmbH
Termin buchen
+43 3158 2872 24Termin buchen
Rechtliches

Datenschutzerklärung.

StartDatenschutz

Diese Erklärung informiert Sie gemäß Art. 13/14 DSGVO sowie § 165 TKG 2021, welche personenbezogenen Daten wir auf dieser Website verarbeiten. Stand: Juni 2026 (Cookie-Banner, Google Tag Manager & Google-Dienste ergänzt).

1. Verantwortlicher

Autohaus Lang GmbH · Hauptstraße 62 · 8354 St. Anna am Aigen · Österreich
Telefon +43 3158 2872-0 · E-Mail office@auto-lang.at
Geschäftsführung: Ronald Lang · FN 287430m, Landesgericht für ZRS Graz · UID ATU62784139

2. Hosting & Auftragsverarbeiter

Diese Website wird gehostet bei der digitalnova GmbH, Krottendorfer Strasse 9a/9, 8052 Graz, Österreich (FN 623405y, UID ATU80414605). Mit dem Hosting-Anbieter besteht ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO. Die Server stehen ausschließlich in Österreich / EU. Kontakt: office@digitalnova.at · +43 316 225670 · digitalnova.at

3. Server-Logfiles

Bei jedem Aufruf werden automatisch Daten in den Server-Logfiles unseres Hosting-Providers (digitalnova GmbH) gespeichert (URL, IP-Adresse, Zeitstempel, User-Agent, Referrer). Speicherdauer max. 14 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit, Fehler-Diagnose und Schutz vor Missbrauch).

4. Cookies & lokaler Speicher

Technisch notwendige Cookies setzen wir ohne Einwilligung (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 165 Abs. 3 TKG 2021):

  • al_cookie_consent - speichert Ihre Auswahl im Cookie-Banner (Kategorien Statistik/Marketing, Zeitstempel, Version). Lebensdauer 182 Tage, First-Party, SameSite=Lax. Enthält keine Identifikatoren zur Wiedererkennung.
  • al_admin_sid - PHP-Session-Cookie, ausschließlich beim CMS-Login (/admin/) - 2 Stunden Lebensdauer, HttpOnly, SameSite=Lax. Anonyme Besucher der öffentlichen Seiten erhalten dieses Cookie nicht.

Einwilligungspflichtige Cookies (Statistik und Marketing, z. B. durch Google-Dienste) werden ausschließlich nach Ihrer aktiven Zustimmung über unseren Cookie-Banner gesetzt - Details in Abschnitt 5. Ohne bzw. vor Ihrer Einwilligung wird keine Verbindung zu Google aufgebaut und kein entsprechendes Cookie gesetzt. Für die rein interne Reichweiten-Auswertung betreiben wir zusätzlich eine eigene, cookielose und serverseitige Aufrufstatistik (siehe Abschnitt 6).

5. Cookie-Banner, Google Tag Manager & Google-Dienste (nur mit Einwilligung)

Einwilligungs-Management (Cookie-Banner): Beim ersten Besuch unserer Website erscheint ein Cookie-Banner, in dem Sie wählen können, ob Sie neben den technisch notwendigen Funktionen auch Statistik- und/oder Marketing-Dienste zulassen. Ihre Auswahl wird im First-Party-Cookie al_cookie_consent (182 Tage) gespeichert. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft ändern oder widerrufen - über den Link „Cookie-Einstellungen" im Footer jeder Seite. Bei einem Widerruf werden bereits gesetzte Google-Cookies (_ga, _ga_*, _gid, _gcl_*) von uns automatisch gelöscht.

Google Tag Manager (GTM): Zur Verwaltung von Statistik- und Marketing-Diensten setzen wir den Google Tag Manager ein (Container GTM-KQBH2DBL). Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern: Google LLC, USA. Der Tag Manager wird vollständig blockiert und erst geladen, nachdem Sie im Cookie-Banner mindestens einer der Kategorien Statistik oder Marketing zugestimmt haben - vor Ihrer Einwilligung findet keinerlei Datenübertragung an Google statt (auch keine sogenannten cookielosen Pings). Zusätzlich ist der Google Consent Mode v2 implementiert: Die Einwilligungssignale (analytics_storage, ad_storage, ad_user_data, ad_personalization) stehen standardmäßig auf „verweigert" und werden nur entsprechend Ihrer tatsächlichen Auswahl freigegeben. Über den Tag Manager können - je nach erteilter Einwilligung - folgende Dienste eingebunden werden:

  • Google Analytics 4 (Kategorie Statistik) - Reichweiten- und Nutzungsanalyse (aufgerufene Seiten, Verweildauer, ungefähre Herkunft, Geräteklasse). IP-Adressen werden von Google Analytics 4 nicht gespeichert. Cookies: _ga (2 Jahre), _ga_* (2 Jahre).
  • Google Ads Conversion-Tracking / Remarketing (Kategorie Marketing) - Messung, ob Anzeigen zu Anfragen führen, sowie interessenbezogene Werbung. Cookies: _gcl_au u. ä. (90 Tage).

Drittlandübermittlung: Bei Nutzung der Google-Dienste können Daten auf Server von Google LLC in den USA übertragen werden. Google LLC ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln (Art. 46 DSGVO). Weitere Informationen: policies.google.com/privacy und business.safety.google/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 165 Abs. 3 TKG 2021 (Einwilligung). Die Nutzung der Website ist auch ohne Einwilligung uneingeschränkt möglich („Nur notwendige"). Der Widerruf berührt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht.

6. Eigene Aufrufstatistik (cookielos, serverseitig)

Um nachvollziehen zu können, welche Seiten und Fahrzeuge auf unserer Website wie oft aufgerufen werden, betreiben wir eine schlanke serverseitige Aufrufstatistikohne Cookies, ohne localStorage/sessionStorage, ohne Wiedererkennung über Tage hinweg und ohne externe Analyse-Dienste. Sie läuft unabhängig von den einwilligungspflichtigen Google-Diensten aus Abschnitt 5 und erfasst Sie auch dann, wenn Sie dort keine Einwilligung erteilt haben — eben weil sie vollständig anonym und cookielos arbeitet.

Was wird gespeichert: Ausschließlich anonyme Tages-Zähler pro Seite bzw. Fahrzeug-ID (Beispiel: „Detailseite Fahrzeug-Nr. 19166 — 12 Aufrufe am 28. Mai 2026"). In der Statistik-Datei werden weder IP-Adressen noch User-Agents noch Referrer noch sonstige besucherbezogene Identifier abgelegt.

Bot-Filter: Aufrufe durch Suchmaschinen-Crawler (Google, Bing, Yandex …), KI-Crawler (GPTBot, Claude-Bot, CCBot …), SEO-Tools (Ahrefs, Semrush, Screaming Frog …), Monitoring-Dienste (Pingdom, GTmetrix …), Headless-Browser sowie generische HTTP-Libraries (curl, wget, Python-Requests …) werden anhand des User-Agent-Headers erkannt und nicht mitgezählt. Zusätzlich wird der Browser-Header DNT: 1 (Do‑Not‑Track) respektiert — Besucher mit aktivem DNT werden in der Statistik nicht erfasst.

Reload-Dedup: Wiederholte Aufrufe derselben Seite durch denselben Besucher innerhalb von 30 Minuten werden nur einmal gezählt. Technisch geschieht das über einen anonymen Kurz-Hash aus IP-Adresse, User-Agent, Seiten-ID, einem täglich rotierenden Tages-Salt und einem internen Geheimnis (SHA-256, gekürzt auf 16 Hex-Zeichen). Dieser Hash ist nicht auf die ursprüngliche IP-Adresse zurückrechenbar, kann durch die tägliche Salt-Rotation nicht über mehrere Tage hinweg verknüpft werden und wird spätestens nach 30 Minuten automatisch gelöscht.

Speicherdauer: Tagesgenaue Detailwerte werden nach 90 Tagen verworfen; nur aggregierte Gesamtsummen pro Seite bleiben dauerhaft erhalten. Die Statistik-Dateien (pageviews.json und pv_session.json) liegen auf unserem Webserver in Österreich (siehe Abschnitt 2), sind per Webserver-Konfiguration gegen direkten HTTP-Zugriff gesperrt und ausschließlich für eingeloggte Administrator:innen über das interne Backend einsehbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Reichweiten- und Beliebtheits-Auswertung eigener Inhalte zur Verbesserung des Webangebots). Da kein Cookie gesetzt und keine personenbezogenen Daten dauerhaft gespeichert werden, ist nach § 165 Abs. 3 TKG 2021 keine Einwilligung erforderlich.

7. Kontakt- und Anfrage-Formulare

Auf folgenden Seiten bieten wir Online-Formulare an, deren Übermittlung serverseitig per E-Mail an unsere zuständige Mailadresse weitergeleitet wird:

Verarbeitete Daten: Anrede, Vor- und Nachname, E-Mail-Adresse, Telefonnummer, freier Nachrichtentext sowie kontextspezifische Felder (z. B. Fahrzeugmarke, -modell, Erstzulassung, Kilometerstand, Pickerl-Status, hochgeladene Fotos beim Fahrzeugankauf bzw. Lebenslauf-PDF bei Bewerbungen). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme bzw. Bearbeitung Ihrer Anfrage).

Speicherdauer: Die Anfrage wird in unserem geschäftlichen E-Mail-Postfach gespeichert und bis zur abschließenden Bearbeitung sowie für 3 Jahre danach (zu Gewährleistungs-/Beweissicherungszwecken nach § 1489 ABGB) aufbewahrt. Bewerbungsunterlagen werden nach Abschluss des Auswahlverfahrens spätestens nach 6 Monaten gelöscht, sofern Sie keiner längeren Aufbewahrung zustimmen.

Einwilligung: Vor dem Absenden bestätigen Sie über eine Pflicht-Checkbox, dass Sie die Datenschutzerklärung gelesen haben und mit der Verarbeitung Ihrer Daten zur Bearbeitung der Anfrage einverstanden sind (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung können Sie jederzeit per Mail an office@auto-lang.at widerrufen - die Rechtmäßigkeit der bisherigen Verarbeitung bleibt davon unberührt.

Datei-Uploads (Fahrzeugankauf-Fotos, Lebenslauf-PDF) sind pro Datei auf max. 8 MB begrenzt und akzeptieren nur die Formate JPEG, PNG, WebP bzw. PDF.

Spam-Abwehr (rein serverseitig, ohne externe Dienste): Zur Abwehr automatisierter Bot-Anfragen setzen wir vier nicht-personenbezogene Maßnahmen ein:

  • Honeypot-Felder (für menschliche Besucher unsichtbar; werden sie ausgefüllt, wird die Anfrage verworfen)
  • Timing-Prüfung (Mindestabstand 3 Sekunden zwischen Seitenaufruf und Submit)
  • JavaScript-Token (per Browser-Skript automatisch gesetzt; reine Bots ohne JS-Engine scheitern)
  • IP-basierte Rate-Begrenzung (max. 5 Form-Übermittlungen pro Stunde pro IP-Adresse)

Für die IP-basierte Begrenzung wird ausschließlich Ihre IP-Adresse zusammen mit einem Zeitstempel für maximal 60 Minuten in einer rotierenden Datei auf unserem Server gespeichert; danach wird der Eintrag automatisch entfernt. Bei einer Bot-Erkennung wird zusätzlich ein Audit-Eintrag (IP, User-Agent, Auslöse-Grund) für maximal 30 Tage protokolliert. Es werden weder reCAPTCHA noch andere externe Anti-Spam-Dienste eingesetzt - alle Prüfungen laufen serverseitig auf unserem österreichischen Hoster (siehe Abschnitt 2). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Spam-Abwehr und IT-Sicherheit).

8. E-Mail-Versand (Auftragsverarbeiter)

Der serverseitige Versand der Formularanfragen sowie der Login-Codes (siehe Abschnitt 13) erfolgt über den SMTP-Dienst smtp.digitalnova.at (digitalnova GmbH, siehe Abschnitt 2) als Auftragsverarbeiter. Verbindung verschlüsselt via STARTTLS auf Port 587. Absender: backup@derkaufmann.eu (technische Versand-Adresse). Antwortmails (Reply-To) gehen direkt an die hinterlegte Geschäftsmail.

9. Externe Inhalte / eingebettete Dienste

In der Website werden folgende externe Ressourcen erst beim aktiven Aufruf der jeweiligen Seite/Funktion geladen - dabei kann Ihre IP-Adresse an den jeweiligen Anbieter übertragen werden:

  • OpenStreetMap (nur auf Klick) - auf /kontakt werden Karten als statische, lokal gespeicherte Bilder angezeigt. Ein Klick auf das Kartenbild öffnet die interaktive Karte auf openstreetmap.org in einem neuen Tab; erst dann werden Daten (IP-Adresse, Browser-Header) an OpenStreetMap übertragen. Beim reinen Aufruf von /kontakt findet keine Datenübertragung an OSM statt. Anbieter: OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, UK. Datenschutzerklärung: wiki.osmfoundation.org/wiki/Privacy_Policy.
  • fahrzeuge.auto-lang.at - eigener Subdomain-Iframe für die Bestandsdarstellung (Auftragsverarbeitung über digitalnova).

Schriftart „Inter" wird ausschließlich lokal vom eigenen Server geladen - keine Verbindung zu Google Fonts oder anderen externen CDNs.

10. Google Bewertungen (Places API)

Auf der Startseite zeigen wir öffentlich verfügbare Google-Bewertungen unserer beiden Standorte an (Bewertungs-Score, Anzahl der Rezensionen, Auszüge der jüngsten Reviews mit Vorname/Initial des Verfassers, Sterne und relativem Datum).

Diese Daten werden von unserem Server über die offizielle Google-Places-API (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) abgerufen und für maximal 12 Stunden in einer Datei auf unserem Webserver zwischengespeichert. Beim Aufruf der Website werden keine personenbezogenen Daten von Ihnen an Google übertragen - die Verbindung zu Google erfolgt ausschließlich vom Server, nicht von Ihrem Browser.

Erst wenn Sie aktiv auf die Buttons „Auf Google bewerten" oder „Alle Bewertungen" klicken bzw. eine der „Route planen"-Verlinkungen anklicken, werden Sie zu Google Maps weitergeleitet; ab diesem Moment gilt die Datenschutzerklärung von Google: policies.google.com/privacy. Rechtsgrundlage für die serverseitige Anzeige ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Transparenz und Reputationsdarstellung).

11. Fahrzeug-Bestand (Autrado)

Unser Fahrzeugbestand wird über den Anbieter Autrado GmbH verwaltet. Stammdaten (Marke, Modell, Preis etc.) werden serverseitig aus einer CSV-Datei eingelesen. Die Fahrzeug-Fotos werden bei der Daten-Aktualisierung einmalig serverseitig vom Autrado-CDN heruntergeladen und auf unserem Webserver gespeichert - beim Aufruf der Website wird Ihre IP-Adresse damit nicht an Autrado übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an aktueller Bestandsanzeige).

12. Ausgehende Verlinkungen (Social Media, WhatsApp)

Auf der Website finden Sie reine Text-/Icon-Links zu folgenden externen Plattformen. Es werden keine Tracking-Pixel, iFrames oder Like-Buttons eingebettet - eine Datenübertragung erfolgt erst, wenn Sie den Link aktiv anklicken:

  • Facebook · Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland · Datenschutz
  • Instagram · Meta Platforms Ireland Ltd. · Datenschutz
  • YouTube · Google Ireland Limited · Datenschutz
  • WhatsApp (FAB-Button) · WhatsApp LLC, 1601 Willow Road, Menlo Park, CA 94025, USA · Datenschutz

13. CMS-Login (passwortlose Anmeldung per E-Mail-Code)

Mitarbeitende mit Zugang zum internen Redaktionssystem unter /admin/ melden sich passwortlos per E-Mail-Code an: Beim Login wird ein 6-stelliger Einmal-Code (15 Minuten gültig, einmal verwendbar) an die hinterlegte E-Mail-Adresse versendet. Verarbeitete Daten: Benutzername, E-Mail, Login-Zeitpunkt, IP-Adresse. Speicherdauer Audit-Log: 12 Monate. Rechtsgrundlage: Art. 6 Abs. 1 lit. b/f DSGVO (Vertragserfüllung mit Mitarbeitenden bzw. berechtigtes Interesse an Zugriffssicherheit).

14. Datenweitergabe / Drittlandübermittlung

Eine Weitergabe Ihrer Daten an Dritte (außerhalb der genannten Auftragsverarbeiter) erfolgt nicht, außer dies ist zur Vertragserfüllung erforderlich (z. B. Versicherung bei Schadensabwicklung, Bank bei Finanzierungsanfrage) oder wir sind gesetzlich dazu verpflichtet. Eine planmäßige Übermittlung in Drittländer (außerhalb EU/EWR) findet nur statt, wenn Sie in die Google-Dienste aus Abschnitt 5 eingewilligt haben (mögliche Übertragung an Google LLC, USA — abgesichert über das EU-US Data Privacy Framework und Standardvertragsklauseln). Ohne diese Einwilligung verbleiben alle Daten in Österreich bzw. der EU.

15. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. Wenden Sie sich dafür formlos an office@auto-lang.at.

Beschwerderecht bei der Aufsichtsbehörde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien · dsb.gv.at · dsb@dsb.gv.at.