Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG):
Ens Naturale e.U.Inhaber: Cosmin Birtalan
Neustiftgasse 101/1/10
1070 Wien, Österreich
E-Mail: office@compliance-kit.eu
2. Datenschutzbeauftragter
Bei Solo-Founder-Setup besteht keine zwingende Bestellungspflicht (§ 38 BDSG nur bei deutschem Sitz). Bei Fragen zum Datenschutz wenden Sie sich direkt an den Verantwortlichen.
3. Erhebung und Speicherung personenbezogener Daten
3.1 Beim Besuch der Website (Server-Logfiles)
Beim Aufrufen unserer Website werden durch den Browser automatisch Informationen an den Hosting-Server gesendet:
- IP-Adresse des anfragenden Rechners (gekürzt nach Verarbeitung)
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionssicherheit + Cybersicherheit).
Speicherdauer: 7 Tage, danach automatische Löschung.
3.2 Bestellungen (Paddle Checkout)
Bei einer Bestellung werden folgende Daten verarbeitet:
- Firmenname + Anschrift
- Vor- und Nachname Ansprechperson
- E-Mail-Adresse
- Telefonnummer (optional)
- Zahlungsdaten (über Paddle, nicht direkt bei uns gespeichert)
- USt-ID (B2B, für Reverse-Charge)
- Rechnungs- und Lieferadresse
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + lit. c (gesetzliche Aufbewahrungspflichten nach §132 BAO Österreich, §147 AO Deutschland).
Speicherdauer: 7 Jahre (§132 BAO Österreich) bzw. 10 Jahre (§147 AO Deutschland) für Steuer-/Buchhaltungs-Unterlagen.
4. Eingesetzte Drittdienste / Auftragsverarbeiter
4.1 Zahlungsabwicklung über Paddle (Merchant of Record)
Für die Abwicklung von Bestellungen und Zahlungen nutzen wir Paddle als sogenannten Merchant of Record. Vertragspartner des Käufers für die Zahlungsabwicklung ist daher nicht Ens Naturale e.U., sondern eine Paddle-Gesellschaft:
- Bei Käufern mit Wohnsitz/Sitz im EWR: Paddle.com Market B.V., Spuistraat 282, 1012 VX Amsterdam, Niederlande
- Bei Käufern außerhalb des EWR: Paddle.com Market Limited, 110 Bishopsgate, London EC2N 4AY, Vereinigtes Königreich, oder Paddle.com, Inc., 3811 Ditmars Blvd, Astoria NY 11105, USA
Übermittelte personenbezogene Daten: Name, E-Mail-Adresse, Rechnungsadresse, IP-Adresse, Browserinformationen, Zahlungsinformationen sowie USt-IdNr. bei B2B-Käufen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Zahlungsabwicklung und Betrugsprävention).
Datentransfer in das Vereinigte Königreich: Die zentrale Datenverarbeitungs-Infrastruktur von Paddle hat ihren Sitz im Vereinigten Königreich. Die Datenübermittlung erfolgt auf Grundlage des Angemessenheitsbeschlusses (EU) 2021/1772 der Europäischen Kommission vom 28. Juni 2021, gültig bis 27. Juni 2027.
Datentransfer in die USA: Soweit Daten an Paddle.com, Inc. (USA) übermittelt werden, erfolgt dies auf Grundlage der Standardvertragsklauseln (SCC) der EU-Kommission (Durchführungsbeschluss 2021/914) sowie ggf. des EU-US Data Privacy Framework.
Auftragsverarbeitungsvereinbarung: Mit Paddle besteht eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO. Die Datenschutzerklärung von Paddle ist abrufbar unter paddle.com/legal/privacy.
Speicherdauer: Gemäß steuerrechtlicher Aufbewahrungspflichten (in der Regel 10 Jahre).
4.2 E-Mail-Versand — Resend (Resend Inc., USA / EU-Region Frankfurt)
Resend Inc. (US-Anbieter mit EU-Region Frankfurt) wird für transaktionale E-Mails (Bestellbestätigung, Download-Link, Update-Mitteilungen) eingesetzt. Standardvertragsklauseln (SCC) sind abgeschlossen.
| Dienst | Versand transaktionaler E-Mails (Bestellbestätigung, Download-Link, Update-Mitteilungen) |
| Anbieter | Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA — EU-Region Frankfurt |
| Zweck | Zustellung transaktionaler E-Mails an Kunden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Datenkategorien | E-Mail-Adresse, Empfänger-Name, Inhalte der Transaktions-E-Mails |
| Drittland | USA — abgesichert durch Standardvertragsklauseln (SCC); Datenverarbeitung in EU-Region Frankfurt |
| Datenschutzerklärung | resend.com/legal/privacy-policy |
4.3 Hosting / DNS / CDN / Email-Routing — Cloudflare
Cloudflare bündelt für uns mehrere Funktionen: Hosting (Cloudflare Pages, EU-Edge-Auslieferung), DNS-Auflösung, Content Delivery Network, DDoS-/Bot-Schutz und Email-Routing für eingehende E-Mails an office@compliance-kit.eu. Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO ist abgeschlossen.
| Dienst | Statisches Web-Hosting (Cloudflare Pages, EU-Edge), DNS, CDN, DDoS-/Bot-Schutz, Email-Routing (eingehende E-Mails) |
| Anbieter | Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA |
| Zweck | Auslieferung statischer Website-Inhalte über EU-Edge, DNS-Auflösung, CDN-Caching, DDoS-/Bot-Schutz, Routing eingehender E-Mails an office@compliance-kit.eu |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Hosting-Performance, Funktionssicherheit, Cybersicherheit) |
| Datenkategorien | Gekürzte IP-Adresse, User-Agent, Request-Pfad, Zeitstempel; bei Email-Routing: Absender-/Empfänger-Adresse, Inhalt eingehender E-Mails |
| Drittland | USA — abgesichert durch EU-US Data Privacy Framework (DPF) + Standardvertragsklauseln (SCC); AVV nach Art. 28 DSGVO abgeschlossen |
| Datenschutzerklärung | cloudflare.com/privacypolicy |
4.4 Datei-Speicherung und Backend-Funktionen — Firebase (Google LLC)
Nach erfolgreicher Bestellung werden die personalisierten Kit-Dateien (Word-Vorlagen) über Firebase Storage zum Download bereitgestellt; Webhook-Verarbeitung und Versand der Download-Links erfolgen über Firebase Cloud Functions. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist abgeschlossen.
| Dienst | Firebase Storage (Datei-Speicherung der Kit-Lieferungen) + Firebase Cloud Functions (Paddle-Webhook-Verarbeitung, Download-Link-Generierung, transaktionale E-Mail-Trigger) |
| Anbieter | Google Ireland Ltd., Gordon House, 4 Barrow Street, Dublin 4, Irland (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) |
| Zweck | Bereitstellung der gekauften Compliance-Kits zum Download, Verarbeitung von Paddle-Webhooks, Generierung zeitlich limitierter Download-Links, Auslösung transaktionaler E-Mails (über Resend) |
| Region | EU-Region europe-west3 (Frankfurt) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Lieferung der bestellten Kit-Dateien) |
| Datenkategorien | E-Mail-Adresse, Firmenname, Bestellnummer (Paddle-Transaction-ID), Bestelldetails (Kit-Typ, Tier), Download-Link-Token, IP-Adresse |
| Drittland | USA — abgesichert durch EU-US Data Privacy Framework (DPF) + Standardvertragsklauseln (SCC); AVV nach Art. 28 DSGVO abgeschlossen. Datenverarbeitung primär in EU-Region Frankfurt. |
| Speicherdauer | Bestelldaten gemäß steuerrechtlicher Aufbewahrungspflichten (in der Regel 10 Jahre); Download-Links 7 Tage gültig, einmalig verlängerbar auf weitere 7 Tage |
| Datenschutzerklärung | policies.google.com/privacy + firebase.google.com/support/privacy |
5. Cookies
Wir setzen nur technisch notwendige Cookies ein (Session-Cookies, Sicherheits-Token, Sprachwahl). Tracking-Cookies oder Drittanbieter-Cookies werden NICHT gesetzt — daher ist auch kein Cookie-Banner erforderlich.
Paddle Checkout nutzt nur Session-/Sicherheits-Cookies während des Bezahlvorgangs.
6. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Bitte richten Sie Ihre Anfrage an: office@compliance-kit.eu. Wir antworten binnen 1 Monat (verlängerbar auf 3 Monate bei komplexen Anfragen).
7. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:
Österreichische Datenschutzbehörde (DSB)Barichgasse 40-42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at
8. Datensicherheit
Wir nutzen das Verschlüsselungsverfahren TLS 1.3 (HTTPS). Personenbezogene Daten werden verschlüsselt übertragen und gespeichert. Zugriff auf Daten haben nur autorisierte Personen mit Need-to-Know-Prinzip.
9. Aktualität dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand vom 09.05.2026. Bei Änderungen unserer Verarbeitungs-Tätigkeiten passen wir die Erklärung an.