Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist [wird ergänzt], [wird ergänzt]. Kontakt: [wird ergänzt]. Datenschutzanfragen: [wird ergänzt].

2. Erhobene Daten

Wir verarbeiten ausschließlich Daten, die für den Betrieb der Plattform erforderlich sind:

• Konto-Daten: Name, E-Mail, Passwort-Hash (bcrypt), Sprache, Theme-Präferenz
• Geschäftsdaten: Firmenname, UID, Adresse, Logo, Branche
• Kunden-Daten: Telefon, Treuepunkte, Stempel-Historie
• Zahlungsdaten: verarbeitet ausschließlich durch Stripe (PCI-DSS Level 1)
• Technische Daten: IP-Adresse, User-Agent, Zeitstempel (Session-/Audit-Logs)
• Optional: AI-Konversationen (nur wenn Sie den Owner-Assistant nutzen)

3. Zwecke der Datenverarbeitung

Bereitstellung der Plattform-Funktionalität, Treuekarten-Verwaltung, Abrechnung, Sicherheit (Audit-Trail), Kommunikation mit Kunden, Erfüllung gesetzlicher Aufbewahrungspflichten.

4. Rechtsgrundlage (Art. 6 DSGVO)

Vertragserfüllung (Art. 6 Abs. 1 lit. b), rechtliche Verpflichtung (lit. c — Buchhaltung, BAO §132), berechtigtes Interesse (lit. f — IT-Sicherheit, Missbrauchsprävention) und Einwilligung (lit. a — optionale Cookies, Marketing).

5. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für den Zweck erforderlich oder gesetzlich vorgeschrieben ist:

• Aktive Konto-Daten: Dauer der Geschäftsbeziehung + 7 Jahre (BAO §132 Abs. 1)
• Buchhaltungs-Belege & Rechnungen: 7 Jahre (UStG §11 Abs. 2)
• Treuekarten-Aktivität: 3 Jahre nach letzter Aktivität
• Server-Logs (IP, Anfragen): 90 Tage
• Audit-Trail (sicherheitsrelevante Aktionen): 10 Jahre
• Marketing-Cookies (mit Einwilligung): max. 12 Monate

6. Empfänger / Auftragsverarbeiter

Wir setzen folgende Auftragsverarbeiter ein (alle DSGVO-konform, Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen):

• Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung
• Anthropic PBC (USA) — AI-Assistant (nur bei Owner-Nutzung; DPF-zertifiziert)
• Hetzner Online GmbH (Deutschland) — Hosting & Speicherung (EU-Rechenzentrum)
• SMTP-Provider (EU) — Transaktions-E-Mails

7. Drittland-Übermittlungen

Übermittlungen in die USA (Anthropic) erfolgen ausschließlich auf Basis des EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie ergänzender Standardvertragsklauseln.

8. Cookies

Wir verwenden zwei Arten von Cookies:

• Essenzielle Cookies (immer aktiv): Login-Session, Spracheinstellung, Cookie-Consent-Status
• Analyse-Cookies (optional, nur mit Einwilligung): aggregierte Nutzungsstatistik

9. Ihre Rechte (Art. 15-21 DSGVO)

Sie haben jederzeit folgende Rechte:

• Auskunft (Art. 15) — welche Daten wir über Sie speichern
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten
• Löschung (Art. 17) — „Recht auf Vergessenwerden"
• Einschränkung (Art. 18) — temporäres Verarbeitungsverbot
• Datenübertragbarkeit (Art. 20) — Export im Standardformat
• Widerspruch (Art. 21) — gegen Verarbeitung auf Basis berechtigten Interesses
• Beschwerderecht bei der Österreichischen Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien

10. Sicherheitsmaßnahmen

TLS 1.3 verschlüsselte Übertragung, bcrypt-Passwort-Hashing, JWT-Authentifizierung mit kurzer Lebensdauer, optionale Zwei-Faktor-Authentifizierung (TOTP), Row-Level-Security in der Datenbank, vollständiger Audit-Trail, Backup-Verschlüsselung at rest.

11. Datenschutz-Kontakt

Für alle Anfragen zum Datenschutz wenden Sie sich bitte per E-Mail an: [wird ergänzt]. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).