Zum Hauptinhalt springen

Rechtliches

Datenschutzerklärung

1. Verantwortlicher

Matthias Seeber
Holbeingasse 3/33
1100 Wien
Österreich

E-Mail: office@ordinoo.eu

Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, DSG, TKG).

2. Verarbeitung personenbezogener Daten

Im Rahmen der Nutzung von Ordinoo werden folgende Daten verarbeitet:

a) Accountdaten

  • Vor- und Nachname
  • Firmenname
  • E-Mail-Adresse
  • Telefonnummer
  • Rechnungsadresse
  • UID-Nummer
  • Zugangsdaten (Passwort ausschließlich gehasht gespeichert)

b) Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Stripe Payments Europe Ltd., Irland. Kreditkartendaten werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert.

c) Server-Logfiles

Bei Aufruf der Website werden automatisch folgende Daten erhoben:

  • IP-Adresse
  • Datum und Uhrzeit
  • aufgerufene Seiten
  • Browser-Informationen

Diese Daten werden aus Sicherheitsgründen gespeichert und nach einigen Monaten gelöscht.

d) Anmeldeprotokolle (Login-Verlauf)

Bei jeder erfolgreichen Anmeldung in Ihrem Konto speichern wir zu Sicherheitszwecken (Erkennung unbefugter Zugriffe) folgende Daten:

  • IP-Adresse
  • ungefährer Standort (Land/Stadt, abgeleitet aus der IP-Adresse)
  • Geräte- und Browser-Informationen
  • Zeitpunkt der Anmeldung

Rechtsgrundlage ist unser berechtigtes Interesse an der Kontosicherheit (Art. 6 Abs. 1 lit. f DSGVO). Diese Anmeldeprotokolle werden nach 90 Tagen automatisch gelöscht.

Die Ableitung des ungefähren Standorts erfolgt offline anhand einer lokalen Datenbank; Ihre IP-Adresse wird dafür nicht an Dritte übermittelt. Die Standortdaten stammen von DB-IP (db-ip.com, CC BY 4.0).

3. Hosting der Anwendung

Die Website und der Anwendungsserver werden auf einem Virtual Private Server (VPS) der IONOS SE in Deutschland betrieben.

IONOS verarbeitet Daten ausschließlich im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO.

4. Datenbank, Authentifizierung und Speicher (Supabase)

Datenbank, Authentifizierung und Dateispeicher betreiben wir über Supabase, einen Dienst der Supabase, Inc. (970 Toa Payoh North #07-04, Singapore; US-amerikanisches Mutterunternehmen). Dabei werden insbesondere verarbeitet:

  • E-Mail-Adresse
  • verschlüsselte (gehashte) Passwörter
  • IP-Adressen und Log-Daten
  • die von Ihnen im System gespeicherten Inhalte (z. B. Anlagen, Prüfprotokolle)

Die Daten werden in der EU-Region Frankfurt (Deutschland) gespeichert. Supabase nutzt hierfür die Infrastruktur von Amazon Web Services (Amazon Web Services EMEA SARL) als Unterauftragsverarbeiter. Die Übertragung erfolgt verschlüsselt (TLS); die Daten werden verschlüsselt gespeichert (Encryption at Rest).

Supabase agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Soweit im Rahmen von Support oder Konfiguration eine Datenübermittlung in die USA stattfindet, stützen wir diese auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als geeignete Garantie.

5. Newsletter und System-E-Mails

a) System-E-Mails

Für den Versand von Systemnachrichten (z. B. Account-Bestätigungen, Passwort-Reset, Rechnungen) verwenden wir Resend. Dabei wird Ihre E-Mail-Adresse verarbeitet. Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

b) Newsletter

Sie können unseren Newsletter über das Anmeldeformular auf unserer Website abonnieren. Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach Eingabe Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den Bestätigungslink wird Ihr Abonnement aktiviert.

Bei der Newsletter-Anmeldung verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • IP-Adresse zum Zeitpunkt der Anmeldung (Nachweis der Einwilligung)
  • Zeitpunkt der Anmeldung und Bestätigung
  • Abonnement-Status (ausstehend, bestätigt, abgemeldet)

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können den Newsletter jederzeit über den Abmeldelink in jeder E-Mail oder durch Nachricht an uns abbestellen. Nach der Abmeldung werden Ihre Daten nach angemessener Frist gelöscht.

Der Versand erfolgt über Resend (Resend, Inc., USA). Resend agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO.

6. Zahlungsdienstleister Stripe

Zahlungen werden über Stripe Payments Europe Ltd., Irland abgewickelt. Stripe verarbeitet:

  • Zahlungsdaten
  • Rechnungsinformationen
  • Transaktionsdaten

Weitere Informationen finden Sie unter: https://stripe.com/privacy

7. Webanalyse (Plausible)

Zur Analyse der Websitenutzung verwenden wir Plausible Analytics, einen datenschutzfreundlichen Analysedienst der Plausible Insights OÜ, Estland (EU).

Plausible erhebt keine personenbezogenen Daten, setzt keine Cookies und speichert keine IP-Adressen. Es werden ausschließlich aggregierte, anonyme Nutzungsstatistiken erfasst.

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Eine Einwilligung ist nicht erforderlich, da keine personenbezogenen Daten verarbeitet werden. Weitere Informationen: https://plausible.io/data-policy

8. Fehler- und Performance-Monitoring (Sentry)

Bei einem Fehler oder Performance-Ereignis in unserer Anwendung werden automatisiert folgende Daten an Sentry übertragen:

  • Fehlermeldung und Stack Trace
  • IP-Adresse (gekürzt/anonymisiert)
  • Browser- und Geräteinformationen, Betriebssystem
  • URL der aufgerufenen Seite und Zeitpunkt des Fehlers
  • pseudonymisierte Nutzer-ID (sofern eingeloggt) zur Zuordnung von Fehlern

Personenbezogene Inhalte werden so weit wie technisch möglich vor der Übertragung herausgefiltert (Data Scrubbing). Sentry agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO; mit Sentry besteht ein Auftragsverarbeitungsvertrag (DPA). Bei Übermittlung in die USA dienen die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als geeignete Garantie.

Ausschließlich in den angemeldeten Bereichen der Anwendung (nicht auf den öffentlichen Seiten) setzen wir zusätzlich die Session-Replay-Funktion von Sentry ein. Tritt dort ein Fehler auf, wird zur Fehlerdiagnose eine technische Aufzeichnung der betroffenen Sitzung an Sentry übermittelt. Sämtliche Texte und Eingaben werden dabei bereits im Browser maskiert, bevor sie übertragen werden; die Inhalte Ihrer Eingaben werden nicht übertragen. Für diese Funktion wird ein technischer Eintrag im Sitzungsspeicher (sessionStorage) Ihres Browsers abgelegt, der beim Schließen des Browser-Tabs automatisch gelöscht wird.

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) am stabilen, sicheren und fehlerfreien Betrieb unserer Anwendung.

Speicherdauer: Fehler- und Ereignisprotokolle werden in der Regel 90 Tage gespeichert und danach automatisch gelöscht.

Weitere Informationen: https://sentry.io/privacy/

9. Schutz vor Missbrauch (Cloudflare Turnstile)

Bei der Registrierung setzen wir Cloudflare Turnstile ein, einen Dienst der Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA). Turnstile schützt das Anmeldeformular vor automatisierten Anfragen und Missbrauch (Bot-Schutz), ohne hierfür ein klassisches Captcha-Rätsel einzublenden.

Dabei werden insbesondere verarbeitet:

  • IP-Adresse
  • technische Browser- und Geräteinformationen (z. B. User-Agent, technische Signale)

Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit unserer Dienste und der Abwehr von Missbrauch (Art. 6 Abs. 1 lit. f DSGVO). Cloudflare agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Bei einer Übermittlung in die USA stützen wir diese auf die EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) als geeignete Garantie.

Weitere Informationen: https://www.cloudflare.com/privacypolicy/

10. Cookies und lokale Speicherung

Ordinoo verwendet ausschließlich technisch notwendige Cookies sowie technisch notwendige lokale Speicherung im Browser Ihres Endgeräts (localStorage und sessionStorage). Diese sind für die Anmeldung, die Sicherheit und den Betrieb der von Ihnen ausdrücklich angeforderten Funktionen unbedingt erforderlich. Wir verwenden keine Werbe-, Tracking- oder Marketing-Cookies und keine Cookies von Drittanbietern zu Werbezwecken.

Das Speichern und Auslesen dieser Informationen ist nach § 165 Abs. 3 TKG 2021 ohne Einwilligung zulässig, da es für die Erbringung des von Ihnen gewünschten Dienstes unbedingt erforderlich ist. Rechtsgrundlage der damit verbundenen Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und funktionsfähigen Betrieb).

a) Cookies

NameZweckSpeicherdauerRechtsgrundlage
csrf_tokenSchutz vor Cross-Site-Request-Forgery (CSRF)24 StundenArt. 6 Abs. 1 lit. f
auth_tokenZugangstoken für die angemeldete Sitzung (HttpOnly)bis zu 7 Tage (gleitend)Art. 6 Abs. 1 lit. b
refresh_tokenVerlängerung der angemeldeten Sitzung (HttpOnly)bis zu 7 Tage (gleitend)Art. 6 Abs. 1 lit. b

b) Lokale Speicherung (localStorage)

localStorage-Einträge verbleiben bis zu ihrer Löschung im Browser. Sie können diese jederzeit über die Einstellungen Ihres Browsers entfernen.

NameZweckRechtsgrundlage
tokenZugangstoken für API-Anfragen der AnwendungArt. 6 Abs. 1 lit. b
sb-<projekt>-auth-tokenSitzung des internen Verwaltungsbereichs (Supabase)Art. 6 Abs. 1 lit. b
ordinoo-active-location, ordinoo-sidebar-collapsedMerkt Ihre Oberflächeneinstellungen (gewählter Standort, Seitenleiste)Art. 6 Abs. 1 lit. f
ordinoo-recent-searchesZuletzt verwendete Suchbegriffe (Komfortfunktion)Art. 6 Abs. 1 lit. f
ordinoo-inspector-name, ordinoo_pruefer_nameMerkt den Prüfernamen für eine schnellere EingabeArt. 6 Abs. 1 lit. f
qr_session_<…>Ablaufsteuerung der öffentlichen QR-PrüfsitzungArt. 6 Abs. 1 lit. f
ordinoo-cookie-notice-dismissedMerkt, dass Sie diesen Cookie-Hinweis geschlossen habenArt. 6 Abs. 1 lit. f

c) Sitzungsspeicher (sessionStorage)

sessionStorage-Einträge werden ausschließlich für die Dauer des geöffneten Browser-Tabs gehalten und beim Schließen automatisch gelöscht.

NameZweckRechtsgrundlage
selectedPlan, billingPeriod, pendingConfirmationEmail, stripe_portal_returnTemporäre Ablaufsteuerung für Registrierung und BuchungArt. 6 Abs. 1 lit. b
ordinoo.impersonation.session_idNur für interne Support-/Verwaltungszugriffe (Mitarbeitersupport)Art. 6 Abs. 1 lit. f

11. Verarbeitung im Auftrag (SaaS-Nutzung)

Ordinoo ist eine B2B-Softwarelösung. Kunden können im Rahmen der Nutzung selbstständig Daten in das System eingeben.

Sofern dabei personenbezogene Daten Dritter verarbeitet werden, erfolgt dies im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO. Ein entsprechender Auftragsverarbeitungsvertrag wird bereitgestellt.

12. Speicherdauer

Personenbezogene Daten werden grundsätzlich nur so lange gespeichert, wie dies für:

  • Vertragserfüllung
  • gesetzliche Aufbewahrungspflichten
  • berechtigte Interessen

erforderlich ist.

Nach einer Kündigung wird das Konto in einen Lesemodus versetzt: Bestehende Prüf- und Kontodaten bleiben im Start-Tarif 5 Jahre, im Plus-Tarif 10 Jahre einsehbar. In diesem Lesemodus sind neue Einträge und der Datenexport gesperrt.

Unabhängig davon können Sie jederzeit die vollständige Löschung Ihres Kontos verlangen. In diesem Fall werden Ihre personenbezogenen Daten – vorbehaltlich gesetzlicher Aufbewahrungspflichten (etwa für Rechnungs- und Buchhaltungsunterlagen) – unwiderruflich gelöscht. Ihr Recht auf Auskunft und Datenübertragbarkeit (siehe Abschnitt 14) können Sie vor einer Löschung ausüben; bitten Sie uns hierfür rechtzeitig um Bereitstellung Ihrer Daten.

13. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Basis von:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

14. Betroffenenrechte

Sie haben das Recht auf:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung
  • Datenübertragbarkeit
  • Widerspruch

Darüber hinaus haben Sie das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren – in Österreich bei der Datenschutzbehörde, in Deutschland bei der jeweils zuständigen Landesdatenschutzbehörde und in der Schweiz beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

15. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schützen.

Nur technisch notwendige Cookies

Ordinoo verwendet nur Cookies und lokale Speicherung, die für Anmeldung und Sicherheit unerlässlich sind – kein Werbe-Tracking und keine zustimmungspflichtigen Cookies. Für eine anonyme, cookielose Reichweitenmessung nutzen wir Plausible. Details finden Sie in unserer Datenschutzerklärung .