Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie gemäß der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG) darüber, welche personenbezogenen Daten wir im Zusammenhang mit dem Betrieb unseres Webshops und der Bereitstellung der Software BIMAC verarbeiten, zu welchen Zwecken und auf welcher Rechtsgrundlage dies geschieht sowie welche Rechte Ihnen als betroffener Person zustehen.

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO für die Verarbeitung Ihrer personenbezogenen Daten ist:

• Build Informed GmbH
• Egger-Lienz-Straße 130, 6020 Innsbruck, Österreich
• Firmenbuchnummer: FN 432666z, Firmenbuchgericht: Landesgericht Innsbruck
• UID-Nummer: ATU69579039
• Geschäftsführer: Jakob Hirn
• E-Mail: support@buildinformed.com

Für sämtliche Fragen zur Verarbeitung Ihrer personenbezogenen Daten sowie zur Ausübung Ihrer Betroffenenrechte können Sie sich jederzeit unter den vorstehenden Kontaktdaten an uns wenden.

2. Datenschutzbeauftragter

Wir sind gesetzlich nicht zur Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO verpflichtet und haben keinen Datenschutzbeauftragten bestellt. Bei allen Anliegen zum Datenschutz erreichen Sie uns unmittelbar unter den oben angeführten Kontaktdaten.

[BITTE BESTÄTIGEN: kein Datenschutzbeauftragter bestellt]

3. Verarbeitungstätigkeiten im Einzelnen

Nachstehend informieren wir Sie über die einzelnen Verarbeitungstätigkeiten jeweils unter Angabe der verarbeiteten Datenarten, des Verarbeitungszwecks, der Rechtsgrundlage und der Speicherdauer.

3.1 Bestellabwicklung und Lizenzierung

• Datenarten: Name, E-Mail-Adresse, Rechnungsadresse, gegebenenfalls UID-Nummer, Bestelldaten (gekauftes Produkt, Bestellzeitpunkt), erzeugter Lizenzschlüssel.
• Zweck: Abwicklung Ihrer Bestellung, Erstellung und Bereitstellung des Lizenzschlüssels, Bereitstellung des zugangsgeschützten Installer-Downloads sowie Erfüllung der vertraglichen Pflichten aus dem mit Ihnen geschlossenen Vertrag über die Nutzungslizenz.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags beziehungsweise Durchführung vorvertraglicher Maßnahmen).
• Speicherdauer: Für die Dauer der Vertragsabwicklung; darüber hinaus, soweit gesetzliche Aufbewahrungspflichten bestehen (siehe Punkt 3.4) oder die Daten zur Wahrung der Lizenz erforderlich sind (siehe Punkt 3.2).

3.2 Lizenzaktivierung (Maschinenbindung)

BIMAC wird mit einer maschinengebundenen Einzelplatzlizenz ausgeliefert. Zur Aktivierung wird Ihr Gerät über eine Maschinen-ID gebunden. Die Maschinen-ID ist ein SHA-256-Hashwert, der aus der Windows-MachineGuid abgeleitet wird; aus diesem Hashwert lässt sich die ursprüngliche Geräteinformation nicht zurückrechnen.

• Datenarten: Maschinen-ID (SHA-256-Hash der Windows-MachineGuid), Lizenzschlüssel, Aktivierungszeitpunkte und Anzahl der Aktivierungen (bis zu drei Aktivierungen pro Lizenzschlüssel).
• Zweck: Aktivierung und Verwaltung der erworbenen Lizenz, Bindung der Lizenz an die zulässige Anzahl von Geräten, Verhinderung einer über den Lizenzumfang hinausgehenden Nutzung sowie Ermöglichung der Offline-Aktivierung über eine maschinengebundene, signierte Lizenzdatei.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags).
• Speicherdauer: Für die Dauer der unbefristeten Lizenz, da die Maschinenbindung und die Aktivierungsdaten für den Bestand und die Nutzung der Lizenz dauerhaft erforderlich sind.

3.3 Zahlungsabwicklung über Stripe

Die Zahlungsabwicklung erfolgt über den Zahlungsdienstleister Stripe. Der Bezahlvorgang einschließlich der Eingabe von Zahlungsdaten findet auf den von Stripe bereitgestellten Seiten statt. Wir selbst erhalten und speichern keine vollständigen Zahlungsmitteldaten (etwa Kreditkartennummern).

• Datenarten: Name, E-Mail-Adresse, Rechnungsadresse, gegebenenfalls UID-Nummer, Bestell- und Transaktionsdaten sowie die für die Zahlung erforderlichen Zahlungsmitteldaten, die Sie unmittelbar bei Stripe eingeben.
• Zweck: Durchführung der Zahlung, Betrugsprävention im Zahlungsverkehr sowie Ermittlung und Abführung der Umsatzsteuer (Stripe Tax) und Erfassung der USt-ID.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags) für die Durchführung der Zahlung; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Betrugsprävention im Zahlungsverkehr); Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuerlicher Pflichten) für die Ermittlung und den Ausweis der Umsatzsteuer (siehe auch Punkt 3.4).
• Speicherdauer: Für die Dauer der Zahlungsabwicklung sowie im Rahmen der bei Stripe und bei uns geltenden gesetzlichen Aufbewahrungsfristen (siehe Punkt 3.4).

Stripe verarbeitet einen Teil der Zahlungsdaten auch als eigenständig Verantwortlicher, insbesondere zur Erfüllung eigener gesetzlicher und aufsichtsrechtlicher Pflichten sowie zur Betrugsprävention. Nähere Informationen entnehmen Sie bitte der Datenschutzerklärung von Stripe unter stripe.com/at/privacy.

3.4 Rechnungs- und Steueraufbewahrung

• Datenarten: Rechnungs- und Bestelldaten (Name, Rechnungsadresse, gegebenenfalls UID-Nummer, Rechnungsbeträge, Steuerbeträge, Bestell- und Zahlungszeitpunkte).
• Zweck: Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten nach dem Steuer- und Unternehmensrecht.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit § 132 BAO sowie § 212 UGB. [BITTE BESTÄTIGEN: einschlägige Aufbewahrungsgrundlagen § 132 BAO und § 212 UGB]
• Speicherdauer: Sieben Jahre ab Ende des Kalenderjahres, für das die Aufzeichnung erstellt wurde, gemäß § 132 BAO (und § 212 UGB); eine längere Aufbewahrung kann sich aus laufenden behördlichen oder gerichtlichen Verfahren ergeben.

3.5 Missbrauchs- und Ratenbegrenzung, Server-Logs

• Datenarten: IP-Adresse, Zeitpunkt des Zugriffs, aufgerufene Ressource sowie technische Verbindungsdaten.
• Zweck: Gewährleistung der technischen Sicherheit und Stabilität des Webshops, Abwehr von Missbrauch, Begrenzung der Zugriffsrate (Rate Limiting) sowie Erkennung und Nachverfolgung von Angriffen.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und missbrauchsfreien Betrieb unserer Dienste).
• Speicherdauer: Kurzfristige Speicherung; Server-Logs und Daten zur Ratenbegrenzung werden nur so lange aufbewahrt, wie dies für die genannten Zwecke erforderlich ist. [BITTE BESTÄTIGEN: konkrete Speicherdauer der Logs, zum Beispiel 30 Tage]

3.6 E-Mail-Versand des Lizenzschlüssels

• Datenarten: E-Mail-Adresse, Lizenzschlüssel, bestellbezogene Angaben.
• Zweck: Zustellung des erworbenen Lizenzschlüssels sowie der Informationen zum Bezug des Installers per E-Mail unmittelbar nach erfolgter Zahlung. Der Versand erfolgt von der Absenderadresse licenses@buildinformed.com.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags).
• Speicherdauer: Für die Dauer der Vertragsabwicklung sowie im Rahmen der unter Punkt 3.4 genannten gesetzlichen Aufbewahrungsfristen.

4. Empfänger und Auftragsverarbeiter

Zur Erbringung unserer Leistungen setzen wir sorgfältig ausgewählte Dienstleister ein. Soweit diese ausschließlich nach unseren Weisungen tätig werden, geschieht dies als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf Grundlage entsprechender Auftragsverarbeitungsverträge:

• Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) als Auftragsverarbeiter: Hosting, Bereitstellung der Webanwendung (Workers), Datenbank (D1), Objektspeicher (R2), Schlüssel-Wert-Speicher (KV) sowie E-Mail-Versand (Email Sending). In der Cloudflare-Datenbank (D1) werden insbesondere Bestellungen, Lizenzschlüssel und Aktivierungsdaten gespeichert.
• Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) sowie Stripe, Inc. (USA): Abwicklung der Zahlungen, Ermittlung und Ausweis der Umsatzsteuer (Stripe Tax) und Erfassung der USt-ID. Stripe verarbeitet die Daten teils nach unseren Weisungen, teils als eigenständig Verantwortlicher zur Erfüllung eigener gesetzlicher Pflichten und zur Betrugsprävention (siehe Punkt 3.3).

Eine Übermittlung an sonstige Dritte erfolgt nur, soweit dies zur Vertragserfüllung erforderlich oder gesetzlich vorgeschrieben ist oder Sie ausdrücklich eingewilligt haben.

5. Datenübermittlung in Drittländer

Im Rahmen der unter Punkt 4 genannten Dienste kann es zu einer Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika (USA) kommen, da Cloudflare, Inc. und Stripe, Inc. ihren Sitz in den USA haben beziehungsweise dort Verarbeitungen durchführen können. Die USA gelten datenschutzrechtlich grundsätzlich als Drittland.

Für diese Übermittlungen bestehen geeignete Garantien im Sinne des Art. 46 DSGVO. Diese werden durch den Abschluss der von der Europäischen Kommission erlassenen Standardvertragsklauseln (Standard Contractual Clauses, SCC) und, soweit die jeweiligen Empfänger zertifiziert sind, durch das EU-US Data Privacy Framework (DPF) gewährleistet. Trotz dieser Garantien kann ein Restrisiko verbleiben, und der dem DPF zugrunde liegende Angemessenheitsbeschluss kann sich künftig ändern. Auf Anfrage stellen wir Ihnen nähere Informationen zu den getroffenen Garantien zur Verfügung.

6. Speicherdauer im Überblick

• Bestell- und Rechnungsdaten: sieben Jahre gemäß § 132 BAO (und § 212 UGB).
• Lizenz- und Aktivierungsdaten (einschließlich Lizenzschlüssel, Maschinen-ID und Aktivierungszeitpunkte): für die Dauer der unbefristeten Lizenz, da sie zur Aufrechterhaltung und Verwaltung der Lizenz erforderlich sind.
• Server-Logs und Daten zur Ratenbegrenzung (einschließlich IP-Adressen): kurzfristig, nur für die Dauer der Erforderlichkeit. [BITTE BESTÄTIGEN: konkrete Speicherdauer der Logs, konsistent mit Punkt 3.5]

Nach Ablauf der jeweiligen Frist werden die betreffenden Daten gelöscht oder datenschutzkonform anonymisiert, sofern keine weitere gesetzliche Aufbewahrungspflicht besteht und die Daten nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind.

7. Cookies und Tracking

Wir verarbeiten ausschließlich technisch notwendige Daten, die für den Betrieb des Webshops und die Abwicklung Ihrer Bestellung erforderlich sind. Wir setzen keine Tracking- oder Marketing-Cookies und keine Analyse- oder Werbedienste zur Erstellung von Nutzungsprofilen ein. Da nur unbedingt erforderliche Verarbeitungen erfolgen, ist hierfür keine Einwilligung nach § 165 Abs. 3 TKG 2021 erforderlich.

Der Bezahlvorgang wird über Stripe abgewickelt und findet auf der Stripe-Domain statt; dabei können von Stripe technisch erforderliche Cookies gesetzt werden. Nähere Informationen entnehmen Sie bitte der Datenschutzerklärung von Stripe. [BITTE BESTÄTIGEN: keine über technisch notwendige Verarbeitung hinausgehenden Cookies oder Skripte im Einsatz]

8. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen. Die Übertragung der Daten über unseren Webshop erfolgt verschlüsselt über das Protokoll TLS (Transport Layer Security).

9. Automatisierte Entscheidungsfindung und Profiling

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

10. Ihre Rechte als betroffene Person

Nach der DSGVO stehen Ihnen hinsichtlich der Sie betreffenden personenbezogenen Daten insbesondere die folgenden Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO).
• Recht auf Berichtigung (Art. 16 DSGVO).
• Recht auf Löschung (Art. 17 DSGVO).
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO).
• Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind, aus Gründen, die sich aus Ihrer besonderen Situation ergeben (Art. 21 DSGVO).
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an die unter Punkt 1 angeführten Kontaktdaten. Wir beantworten Ihr Anliegen grundsätzlich innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Zur Wahrung Ihrer Rechte und zum Schutz vor unberechtigtem Zugriff können wir zur Bestätigung Ihrer Identität ergänzende Angaben verlangen.

11. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsbehördlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. In Österreich ist hierfür zuständig:

• Österreichische Datenschutzbehörde
• Barichgasse 40-42, 1030 Wien, Österreich
• Web: www.dsb.gv.at

12. Stand dieser Datenschutzerklärung

Diese Datenschutzerklärung hat den folgenden Stand: [BITTE BESTÄTIGEN: Stand TT.MM.JJJJ]. Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Verarbeitungstätigkeiten anzupassen.

Hinweis: Bei diesem Text handelt es sich um eine Vorlage. Sie sollte vor dem Live-Gang rechtlich geprüft und an die tatsächlichen Verhältnisse angepasst werden.