Datenschutzerklärung

Stand: 3. Mai 2026. Diese Datenschutzerklärung gilt für die Website birdievienna.com und alle damit verbundenen Dienste der Birdie IM GmbH.

Hinweis zu Cookies und Tracking-Technologien: Detaillierte Informationen über die auf dieser Website eingesetzten Cookies, Local Storage, Pixel und sonstigen Tracking-Technologien sowie die jeweiligen Speicherdauern und Anbieter finden Sie in unserer separaten Cookie-Richtlinie. Ihre Einwilligung zu nicht-essentiellen Cookies können Sie jederzeit über das Cookie-Einstellungs-Panel am Seitenende widerrufen.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und sonstiger nationaler Datenschutzgesetze ist:

Birdie IM GmbH
Weinberggasse 5, 3400 Klosterneuburg, Österreich
Geschäftslokal: Seilergasse 14, Top Vb, 1010 Wien
Firmenbuch: FN 585596x, Landesgericht St. Pölten
UID: ATU 78411023
Telefon: +43 1 2706809
E-Mail: hello@birdiestore.at

Vollständiges Impressum: birdievienna.com/impressum/

2. Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, österreichisches Datenschutzgesetz, § 165 Telekommunikationsgesetz 2021). Im Einklang mit Art. 5 DSGVO verarbeiten wir Daten rechtmäßig, transparent, zweckgebunden, datensparsam, richtig, speicherbeschränkt sowie integer und vertraulich.

3. Welche Datenkategorien verarbeiten wir?

  • Stammdaten: Name, Anrede, Geburtsdatum (sofern angegeben)
  • Kontaktdaten: Adresse, E-Mail-Adresse, Telefonnummer
  • Vertragsdaten: Bestellungen, gekaufte Artikel, Zahlungsweise
  • Zahlungsdaten: Bankverbindung bzw. Kreditkartendaten (verarbeitet ausschließlich durch unsere Zahlungsdienstleister, siehe Abschnitt 5)
  • Nutzungsdaten: IP-Adresse, Geräteinformationen, Browser-Typ, besuchte Seiten, Klickverhalten, Verweildauer
  • Kommunikationsdaten: E-Mail-Korrespondenz, Newsletter-Anmeldungen, Inhalte aus Kontaktformularen
  • Marketing-Daten: Werbe-Einstellungen, Newsletter-Abonnement, Kampagnen-Attribution

4. Zwecke und Rechtsgrundlagen der Datenverarbeitung

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Abwicklung von Bestellungen, Versand, Rechnungslegung, Kundenservice, Verwaltung Ihres Kundenkontos.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Aufbewahrungspflichten gem. § 132 BAO und § 212 UGB (7 Jahre für Belege), umsatzsteuerliche Pflichten, Jahresabschluss.
  • Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit unserer Website (Wordfence Firewall), Schutz vor Spam (Akismet, reCAPTCHA), Verhinderung von Betrug, Direktmarketing an Bestandskunden gem. § 174 Abs. 4 TKG 2021.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO und § 165 TKG 2021): Einsatz von Analyse-, Marketing- und Profiling-Cookies; Newsletter-Versand mit Double-Opt-In; Session-Recording (Hotjar). Sie können Ihre Einwilligung jederzeit über das Cookie-Einstellungs-Panel am Seitenende widerrufen. Details siehe Cookie-Richtlinie.

5. Empfänger Ihrer Daten (Auftragsverarbeiter)

Zur Erfüllung der oben genannten Zwecke arbeiten wir mit folgenden Auftragsverarbeitern zusammen. Mit allen Empfängern in Drittländern bestehen Auftragsverarbeitungsverträge gem. Art. 28 DSGVO sowie Standardvertragsklauseln (SCC) bzw. eine Übermittlung erfolgt unter dem EU-US Data Privacy Framework (DPF).

Hosting und Infrastruktur

  • Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland — Webhosting (Server-Standort EU). Rechtsgrundlage: Art. 6(1)(f) DSGVO. Datenschutz

Zahlungsabwicklung

Für die Abwicklung von Zahlungen setzen wir verschiedene Zahlungsdienstleister ein. Welche Daten an welchen Dienstleister übermittelt werden, hängt von der jeweils gewählten Zahlungsmethode ab. Rechtsgrundlage für sämtliche Zahlungsdienstleister: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

  • WooPayments (technisch betrieben durch Stripe) — Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA. Übermittlung in die USA unter EU-US DPF. Datenschutz
  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland; bei Bedarf Übermittlung an Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA (EU-US DPF). Datenschutz
  • Global Payments — Global Payments Europe, s.r.o., V Olšinách 626/80, 100 00 Prag, Tschechische Republik; verbundenes Unternehmen Global Payments Inc., 3550 Lenox Road NE, Atlanta GA 30326, USA (EU-US DPF). Über Global Payments werden zusätzlich folgende Zahlungsmethoden angeboten: Datenschutz
    • PayPal — PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Datenschutz
    • Google Pay — Google Payment Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; verbundenes Unternehmen Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (EU-US DPF). Datenschutz
    • Apple Pay — Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland; verbundenes Unternehmen Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA (EU-US DPF). Datenschutz

Hinweis: Die Eingabe der Zahlungsdaten erfolgt jeweils direkt beim ausgewählten Zahlungsdienstleister. Birdie IM GmbH erhält und speichert keine vollständigen Kreditkarten- oder Kontodaten.

Versand und Logistik

  • Sendcloud B.V., Stationsplein 32, 5211 AP ‘s-Hertogenbosch, Niederlande — Versandlabel-Erstellung und Tracking. Rechtsgrundlage: Art. 6(1)(b) DSGVO. Datenschutz
  • DPD Austria GmbH, Österreichische Post AG, DHL Express (Austria) GmbH — Zustellung der Bestellungen.

Newsletter und E-Mail-Marketing

  • Intuit Mailchimp (Rocket Science Group LLC), 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA — Newsletter-Versand. Übermittlung in die USA unter EU-US DPF. Rechtsgrundlage: Art. 6(1)(a) DSGVO (Einwilligung). Datenschutz
  • Mailchimp for WooCommerce — Synchronisation von Bestellungen und Kundendaten mit Mailchimp-Audience.

Analyse, Werbung und Webseiten-Optimierung

  • Google Analytics 4 — Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland; Übermittlung an Google LLC, USA, unter EU-US DPF. Zweck: Reichweitenanalyse. Rechtsgrundlage: Art. 6(1)(a) DSGVO. Anonymisierung über Google Consent Mode v2 (default-denied für EU-Region). Datenschutz
  • Google Ads (Conversion-ID AW-17839939588) — Google Ireland Ltd. / Google LLC. Zweck: Conversion-Tracking, Remarketing. Rechtsgrundlage: Art. 6(1)(a) DSGVO.
  • Google Listings & Ads — Google Ireland Ltd. Zweck: Produkt-Feed für Google Merchant Center. Rechtsgrundlage: Art. 6(1)(f) DSGVO.
  • Google Site Kit — Google Ireland Ltd. Zweck: Aggregierte Admin-Statistiken (Search Console, GA4). Rechtsgrundlage: Art. 6(1)(f) DSGVO.
  • Google reCAPTCHA — Google Ireland Ltd. / Google LLC. Zweck: Schutz vor Bots auf Kontakt-, Login-, Registrierungs- und Checkout-Formularen. Rechtsgrundlage: Art. 6(1)(f) DSGVO.
  • Google Fonts (Yantramanav, Cormorant Garamond) — werden nach Migration lokal gehostet ausgeliefert (OMGF-Plugin). Übergangsweise direkter Abruf von fonts.googleapis.com kann auftreten; Rechtsgrundlage übergangsweise: Art. 6(1)(a) DSGVO.
  • Hotjar Ltd., Dragonara Business Centre, 5th Floor, Dragonara Road, Paceville St Julian’s STJ 3141, Malta — Heatmaps und Session-Aufzeichnungen zur UX-Optimierung. Rechtsgrundlage: Art. 6(1)(a) DSGVO. Datenschutz
  • WooCommerce Order Attribution (sourcebuster) — läuft auf unseren eigenen Servern, keine Drittlandübermittlung. Zweck: Marketing-Quellen-Zuordnung von Bestellungen. Rechtsgrundlage: Art. 6(1)(a) DSGVO.

Sicherheit und Spam-Schutz

  • Akismet (Automattic Inc.), 60 29th Street #343, San Francisco, CA 94110, USA — Spam-Filter für Kontaktformulare und Kommentare. Übermittlung in die USA unter EU-US DPF. Rechtsgrundlage: Art. 6(1)(f) DSGVO.
  • Wordfence (Defiant Inc.), 1700 Westlake Avenue North, Suite 200, Seattle, WA 98109, USA — Website-Sicherheit, Firewall, Login-Schutz. Rechtsgrundlage: Art. 6(1)(f) DSGVO.

Sonstige Dienste

  • Jetpack (Automattic Inc., USA) — Website-Statistiken und WordPress-Utilities. Rechtsgrundlage: Art. 6(1)(f) DSGVO.

6. Datenübermittlung in Drittländer

Manche der oben genannten Empfänger (insbesondere Google LLC, Intuit Inc., Automattic Inc., Defiant Inc., Stripe Inc., PayPal, Apple Inc., Global Payments Inc.) haben Sitz in den USA. Übermittlungen erfolgen auf Grundlage von:

  • EU-US Data Privacy Framework (DPF) — Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 (Beschluss (EU) 2023/1795). Sie können den DPF-Status der jeweiligen Empfänger unter dataprivacyframework.gov einsehen.
  • Standardvertragsklauseln (SCC) der EU-Kommission (Beschluss 2021/914) als Backup-Mechanismus.
  • Ihre ausdrückliche Einwilligung (Art. 49 Abs. 1 lit. a DSGVO) für nicht durch DPF abgedeckte Übermittlungen.

Wir weisen darauf hin, dass in den USA US-amerikanische Behörden unter bestimmten Voraussetzungen Zugriffsrechte auf personenbezogene Daten haben können (z. B. nach FISA 702). Ein dem EU-Niveau entsprechender Rechtsschutz kann nicht in jedem Fall gewährleistet werden (vgl. EuGH-Urteil “Schrems II” vom 16.07.2020).

7. Speicherdauer personenbezogener Daten

  • Bestelldaten und Rechnungen: 7 Jahre ab Ende des Kalenderjahres der letzten Transaktion (§ 132 BAO, § 212 UGB).
  • Kundenkonto-Daten: bis zur Löschung des Kontos durch Sie oder bei Inaktivität nach 3 Jahren.
  • Newsletter-Daten: bis zum Widerruf der Einwilligung.
  • Kontaktanfragen: 6–24 Monate nach abschließender Bearbeitung.
  • Server-Logs: 7–30 Tage zur Sicherheitsanalyse.

Speicherdauern für Cookies und ähnliche Technologien sind in unserer separaten Cookie-Richtlinie aufgeführt.

8. Ihre Rechte als betroffene Person

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO, “Recht auf Vergessenwerden”) — soweit keine Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Übermittlung Ihrer Daten in einem strukturierten, maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21 DSGVO) — gegen Verarbeitungen auf Grundlage berechtigter Interessen.
  • Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Sie können Einwilligungen jederzeit für die Zukunft widerrufen.
  • Recht auf nichtautomatisierte Entscheidung (Art. 22 DSGVO).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: hello@birdiestore.at. Wir werden Ihre Anfrage gem. Art. 12 DSGVO innerhalb eines Monats beantworten.

9. Beschwerderecht

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen gem. Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. In Österreich ist dies:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 521 52-25 69
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen gem. Art. 32 DSGVO ein, um Ihre Daten zu schützen: TLS-Verschlüsselung (HTTPS), Web Application Firewall (Wordfence), Zwei-Faktor-Authentifizierung für Administratoren, regelmäßige Sicherheits-Updates, Backups und Zugriffsbeschränkungen.

11. Daten Dritter

Sofern Sie uns personenbezogene Daten Dritter übermitteln (z. B. bei Versand eines Geschenks an eine andere Adresse), bestätigen Sie, dass Sie zur Weitergabe dieser Daten berechtigt sind und die betreffende Person entsprechend informiert wurde.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern dies aufgrund neuer Technologien, Dienste, gesetzlicher Bestimmungen oder behördlicher Anforderungen erforderlich wird. Die jeweils aktuelle Version finden Sie unter dieser URL. Stand: 3. Mai 2026.

Privacy Policy (English)

Last updated: 3 May 2026. This policy applies to birdievienna.com and all related services of Birdie IM GmbH.

Note on cookies and tracking technologies: Detailed information about cookies, local storage, pixels and other tracking technologies used on this website, together with retention periods and providers, is available in our separate Cookie Policy. You can withdraw your consent to non-essential cookies at any time through the cookie settings panel at the bottom of every page.

At a glance

  1. Who we are. Birdie IM GmbH, registered in Austria, is the controller of your personal data.
  2. What we use your data for. To process your orders, manage your account, respond to your enquiries, send newsletters you have subscribed to, and analyse and improve our services.
  3. Why we may use your data. Performance of contract (your purchases), legal obligations (tax retention), legitimate interest (security, fraud prevention), and your consent (newsletter, analytics, marketing).
  4. Who we share your data with. Only with carefully selected processors who help us deliver our services — full list under section 5 below.
  5. Your rights. You have the right to access, rectify, delete, restrict, object to and port your personal data, and to withdraw consent at any time.

For full legal detail, please refer to the German Datenschutzerklärung above. In case of conflict between the two language versions, the German version prevails for matters governed by Austrian law.

1. Who is the controller of your data?

Your data controller is Birdie IM GmbH, an Austrian company registered at Weinberggasse 5, 3400 Klosterneuburg, Austria, operating a shop at Seilergasse 14, Top Vb, 1010 Vienna. Commercial register: FN 585596x, Landesgericht St. Pölten. VAT: ATU 78411023. Contact: hello@birdiestore.at, +43 1 2706809. Full legal notice: birdievienna.com/impressum/.

2. Why do we process your personal data?

We process your personal data for the following purposes:

  • Order processing — fulfilling purchases, payments, shipping, returns, invoicing, customer service.
  • Account management — creating and maintaining your customer account, saving preferences, order history.
  • Communication — responding to enquiries, sending order updates and quality surveys.
  • Newsletter and marketing — only with your explicit consent (double opt-in), and you may withdraw at any time.
  • Website analytics and improvement — only with your consent through the cookie banner.
  • Security and fraud prevention — protecting our platform and detecting unauthorised use.
  • Legal obligations — tax retention (7 years per Austrian BAO and UGB), responding to lawful requests.

3. What is the legal basis for processing your data?

  • Performance of contract (Art. 6(1)(b) GDPR) — for orders, accounts, returns, invoicing.
  • Legal obligation (Art. 6(1)(c) GDPR) — for tax and accounting retention (§ 132 BAO, § 212 UGB).
  • Legitimate interest (Art. 6(1)(f) GDPR) — for security, fraud prevention, server logs, basic site functionality.
  • Consent (Art. 6(1)(a) GDPR and § 165 TKG 2021) — for analytics, marketing cookies, newsletter, session recording (Hotjar). You may withdraw consent at any time via the cookie panel at the bottom of every page. See Cookie Policy for details.

4. How long will we keep your personal data?

  • Order data and invoices: 7 years from end of the calendar year of the last transaction (§ 132 BAO, § 212 UGB).
  • Customer account data: until you delete the account, or after 3 years of inactivity.
  • Newsletter data: until you withdraw consent.
  • Contact form messages: 6–24 months after resolution.
  • Server logs: 7–30 days for security analysis.

Retention periods for cookies and similar technologies are listed in our separate Cookie Policy.

5. Do we share your data with third parties?

We share your data only with carefully selected processors who assist us with hosting, payment, shipping, marketing, analytics and security. With all processors located outside the EU/EEA we have entered into Standard Contractual Clauses (SCC) and/or rely on the EU-US Data Privacy Framework (DPF). Full processor addresses, retention periods and DPF references are listed in the German Datenschutzerklärung above.

Hosting and infrastructure

  • Hetzner Online GmbH (Germany) — web hosting. Art. 6(1)(f) GDPR.

Payment processing

We use several payment service providers. Which provider receives your data depends on the payment method you choose at checkout. Legal basis for all payment processors: Art. 6(1)(b) GDPR (performance of contract).

  • WooPayments (operated by Stripe technology) — Automattic Inc., 60 29th Street #343, San Francisco, CA 94110, USA. Transfer to USA under EU-US DPF.
  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin D02 H210, Ireland; with onward transfer where applicable to Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA (EU-US DPF).
  • Global Payments — Global Payments Europe, s.r.o., V Olšinách 626/80, 100 00 Prague, Czech Republic; affiliated with Global Payments Inc., 3550 Lenox Road NE, Atlanta GA 30326, USA (EU-US DPF). Through Global Payments we additionally offer the following payment methods:
    • PayPal — PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg.
    • Google Pay — Google Payment Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland; affiliated with Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA (EU-US DPF).
    • Apple Pay — Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Ireland; affiliated with Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA (EU-US DPF).

Note: Payment data is entered directly with the selected payment service provider. Birdie IM GmbH does not receive or store full credit card or bank account numbers.

Shipping and logistics

  • Sendcloud B.V. (Netherlands) — shipping label generation. Art. 6(1)(b) GDPR.
  • DPD Austria, Austrian Post, DHL Express Austria — order delivery. Art. 6(1)(b) GDPR.

Newsletter and email marketing

  • Intuit Mailchimp (USA, EU-US DPF) — newsletter delivery. Art. 6(1)(a) GDPR.
  • Mailchimp for WooCommerce — order and customer sync with Mailchimp audience.

Analytics, advertising and website optimisation

  • Google Ireland Ltd. / Google LLC (USA, EU-US DPF) — Google Analytics 4, Google Ads (AW-17839939588), Google Site Kit, Google Listings & Ads, reCAPTCHA, Google Fonts.
  • Hotjar Ltd. (Malta, EU) — heatmaps and session recordings. Art. 6(1)(a) GDPR.
  • WooCommerce Order Attribution (sourcebuster) — runs on our own servers, no third-party transfer.

Security and spam protection

  • Akismet (Automattic Inc., USA, EU-US DPF) — spam filter for contact and comment forms. Art. 6(1)(f) GDPR.
  • Wordfence (Defiant Inc., USA) — security firewall and login protection. Art. 6(1)(f) GDPR.

Other services

  • Jetpack (Automattic Inc., USA) — site statistics and WordPress utilities. Art. 6(1)(f) GDPR.

6. What are your rights?

  • Right of access (Art. 15 GDPR).
  • Right to rectification (Art. 16 GDPR).
  • Right to erasure (Art. 17 GDPR), unless retention is required by law.
  • Right to restriction of processing (Art. 18 GDPR).
  • Right to data portability (Art. 20 GDPR).
  • Right to object (Art. 21 GDPR) to processing based on legitimate interest.
  • Right to withdraw consent (Art. 7(3) GDPR) at any time, with effect for the future.
  • Right not to be subject to automated individual decision-making (Art. 22 GDPR).

To exercise any of these rights, please contact hello@birdiestore.at. We will respond within one month in accordance with Art. 12 GDPR.

7. What if you provide us with data of third parties?

If you provide us with personal data of a third party (for example, when sending a gift to another address), you confirm that you have the right to share that data with us and that the third party has been informed accordingly.

8. Right to lodge a complaint

You have the right to lodge a complaint with the Austrian Data Protection Authority (Datenschutzbehörde, DSB), Barichgasse 40-42, 1030 Vienna, dsb@dsb.gv.at, www.dsb.gv.at.

9. International data transfers

Some of our processors are based in the United States (Google LLC, Intuit Inc., Automattic Inc., Defiant Inc., Stripe Inc., PayPal, Apple Inc., Global Payments Inc.). Transfers are based on the EU-US Data Privacy Framework (DPF), Standard Contractual Clauses (SCC) under Commission Decision 2021/914, or your explicit consent under Art. 49(1)(a) GDPR. We note that under certain conditions US authorities may have access rights to personal data (e.g. under FISA 702), and an equivalent level of legal protection cannot be guaranteed in every case (cf. CJEU “Schrems II” judgment of 16 July 2020).

10. Changes to this policy

We may update this Privacy Policy from time to time. The current version is always available at this URL. Last updated: 3 May 2026.

In case of conflict between the German and English versions, the German version prevails for matters governed by Austrian law.