LEVCON

Datenschutzerklaerung

LEVCON GmbH

Musterstrasse 1, 1010 Wien, Oesterreich

E-Mail: office@levcon.at

Tel.: +43 1 234 5678

UID-Nr.: ATU00000000

Firmenbuchnr.: FN 000000a | Handelsgericht Wien

Geschaeftsfuehrer: Max Mustermann

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des oesterreichischen Datenschutzgesetzes (DSG) ist:

LEVCON GmbH

Musterstrasse 1

1010 Wien, Oesterreich

E-Mail: office@levcon.at

Telefon: +43 1 234 5678

Wenn Sie Fragen zum Datenschutz haben, erreichen Sie uns jederzeit unter office@levcon.at.

2. Ueberblick der Datenverarbeitungen

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer SaaS-Plattform LEVCON und der zugehoerigen Dienste erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmaessig nur nach Einwilligung des Nutzers oder in Faellen, in denen eine vorherige Einholung einer Einwilligung aus tatsaechlichen Gruenden nicht moeglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.

Arten der verarbeiteten Daten

  • Bestandsdaten (Name, Firmenname, Adresse)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer)
  • Vertragsdaten (Vertragsgegenstand, Laufzeit, Kundenkategorie)
  • Nutzungsdaten (besuchte Seiten, Zugriffszeiten, Geraeteinformationen)
  • Zahlungsdaten (ueber Stripe verarbeitet — siehe Abschnitt 6.2)
  • Inhaltsdaten (Prozessdaten, Berechnungsergebnisse, KPI-Messungen)
  • Meta-/Kommunikationsdaten (IP-Adressen, Zeitangaben)

Betroffene Personen

  • Nutzer der Website und des Rechners
  • Registrierte Kunden der SaaS-Plattform
  • Geschaeftliche Kontaktpersonen

Zwecke der Verarbeitung

  • Bereitstellung der SaaS-Plattform und ihrer Funktionen
  • Durchfuehrung von Berechnungen (Einsparpotentialrechner)
  • Nutzerverwaltung und Authentifizierung
  • Vertragsdurchfuehrung und Abrechnung
  • Kundenkommunikation und Support
  • Gewaehrleistung der IT-Sicherheit

3. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Der Nutzer hat seine Einwilligung in die Verarbeitung gegeben, z.B. fuer funktionale Cookies, Newsletter-Versand oder Rueckruf-Anfragen.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung): Die Verarbeitung ist zur Erfuellung eines Vertrages oder vorvertraglicher Massnahmen erforderlich, z.B. Bereitstellung der SaaS-Plattform, Rechnungsstellung.
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Die Verarbeitung ist zur Erfuellung einer rechtlichen Verpflichtung erforderlich, z.B. steuerliche Aufbewahrungspflichten.
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich, z.B. IT-Sicherheit, Betrugspraevention, Standorterkennung fuer korrekte Waehrungsanzeige.

4. Sicherheitsmassnahmen

Wir treffen nach Massgabe der gesetzlichen Vorgaben unter Beruecksichtigung des Stands der Technik angemessene technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewaehrleisten. Zu den Massnahmen gehoeren insbesondere:

  • Verschluesselung: Alle Daten werden bei der Uebertragung mittels TLS/SSL verschluesselt (HTTPS). Daten in der Datenbank werden im Ruhezustand verschluesselt.
  • Zugangskontrolle: Mehrstufiges Authentifizierungssystem mit Magic-Link und optionaler Zwei-Faktor-Authentifizierung (2FA) fuer Administratoren.
  • Datenisolation: Mandantentrennung durch Row-Level Security (RLS) auf Datenbankebene. Jede Abfrage wird durch die Mandanten-ID gefiltert.
  • Serverstandort: Unsere Datenbank wird bei Supabase im Rechenzentrum Frankfurt am Main (EU) gehostet. Der Webserver wird bei IONOS in Deutschland betrieben.
  • Regelmaessige Updates: Sicherheitspatches und Systemaktualisierungen werden zeitnah eingespielt.
  • Zugriffsbeschraenkung: Zugriff auf personenbezogene Daten nur fuer autorisiertes Personal nach dem Need-to-know-Prinzip.

5. Cookies und lokale Speicherung

Unsere Website verwendet Cookies und lokale Speichermechanismen (localStorage, sessionStorage). Bei Ihrem ersten Besuch werden Sie ueber einen Cookie-Consent-Banner ueber die Verwendung informiert und koennen Ihre Praeferenzen festlegen.

5.1 Notwendige Cookies und Speicher

Diese Cookies und Speichermechanismen sind fuer den Betrieb der Website zwingend erforderlich und koennen nicht deaktiviert werden.

  • Supabase Auth Cookies — Authentifizierung und Session-Verwaltung fuer eingeloggte Nutzer. Typ: HTTP-Cookie. Laufzeit: Sitzungsdauer (wird bei Logout geloescht). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung).
  • cookie-consent — Speichert Ihre Cookie-Einstellungen (welche Kategorien Sie akzeptiert oder abgelehnt haben). Typ: localStorage. Laufzeit: Unbegrenzt (bis manuell geloescht). Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Einwilligungsdokumentation).
  • x-country — Erkennung des Standortlandes (DE/AT/CH) fuer korrekte Waehrungs- und Formatanzeige. Wird aus der IP-Adresse abgeleitet, die IP selbst wird nicht gespeichert. Typ: HTTP-Cookie. Laufzeit: 24 Stunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
  • levcon-bypass — Zugangs-Cookie fuer das Staging/Pre-Launch-System (nur waehrend der Entwicklungsphase aktiv). Typ: HTTP-Cookie. Laufzeit: 24 Stunden. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

5.2 Funktionale Cookies und Speicher

Diese Cookies und Speichermechanismen verbessern die Nutzererfahrung. Sie werden nur gesetzt, wenn Sie der Kategorie "Funktional" im Cookie-Banner zugestimmt haben.

  • rechner_session — Sitzungstoken fuer den Einsparpotentialrechner, ermoeglicht die Wiederherstellung Ihrer Berechnung bei spaeteren Besuchen. Typ: HTTP-Cookie. Laufzeit: 90 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
  • sidebar_state — Merkt sich, ob die Seitenleiste im Cockpit ein- oder ausgeklappt ist. Typ: HTTP-Cookie. Laufzeit: 7 Tage. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • theme — Speichert Ihre Praeferenz fuer den Hell-/Dunkel-Modus. Typ: localStorage. Laufzeit: Unbegrenzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • levcon_pinned_kpis_{tenantId} — Merkt sich, welche Kennzahlen Sie im Dashboard fixiert haben. Typ: localStorage. Laufzeit: Unbegrenzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • levcon_kpi_collapsed_{tenantId} — Merkt sich den Zustand des Kennzahlen-Panels (ein-/ausgeklappt). Typ: localStorage. Laufzeit: Unbegrenzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • onboarding_completed — Markiert, ob Sie das Onboarding abgeschlossen haben, damit es nicht erneut angezeigt wird. Typ: localStorage. Laufzeit: Unbegrenzt. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • rechner-state — Temporaerer Zwischenspeicher fuer den aktuellen Rechner-Zustand innerhalb einer Sitzung. Typ: sessionStorage. Laufzeit: Bis zum Schliessen des Browser-Tabs. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.
  • levcon-theme-manual — Markiert, ob Sie den Theme-Modus manuell geaendert haben (statt automatischer Erkennung). Typ: sessionStorage. Laufzeit: Bis zum Schliessen des Browsers. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

5.3 Statistik-Cookies

Derzeit werden auf unserer Website keine Statistik-, Analyse- oder Tracking-Cookies eingesetzt. Wir verwenden weder Google Analytics noch vergleichbare Dienste.

Sollten wir kuenftig Analyse-Tools einfuehren, werden Sie vorab darueber informiert und ueber den Cookie-Banner um Ihre ausdrueckliche Einwilligung gebeten.

5.4 Cookie-Einstellungen aendern

Sie koennen Ihre Cookie-Einstellungen jederzeit aendern, indem Sie die Cookies in Ihrem Browser loeschen. Beim naechsten Besuch wird der Cookie-Banner erneut angezeigt und Sie koennen Ihre Praeferenzen neu festlegen.

6. Auftragsverarbeiter und Drittanbieter

Wir setzen folgende Dienstleister ein, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit jedem Auftragsverarbeiter wurde ein Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO abgeschlossen bzw. es gelten die jeweiligen Standardvertragsklauseln.

6.1 Supabase Inc.

Zweck: Datenbankhosting (PostgreSQL), Authentifizierung, Datenspeicherung

Daten: Benutzerdaten, Prozessdaten, Inhaltsdaten, Authentifizierungstokens

Standort: Rechenzentrum Frankfurt am Main (EU, aws-eu-central-1)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung), AVV gemaess Art. 28 DSGVO

Datenschutz: Supabase Privacy Policy

6.2 Stripe Inc.

Zweck: Zahlungsabwicklung, Abonnementverwaltung, Rechnungsstellung

Daten: Zahlungsdaten, E-Mail-Adresse, Rechnungsadresse, Transaktionshistorie

Standort: EU und USA (auf Basis von EU-US Data Privacy Framework und Standardvertragsklauseln/SCCs)

Sicherheit: PCI-DSS Level 1 zertifiziert. Kreditkartendaten werden ausschliesslich von Stripe verarbeitet und niemals auf unseren Servern gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung)

Datenschutz: Stripe Privacy Policy

6.3 n8n (Self-Hosted)

Zweck: Workflow-Automatisierung, E-Mail-Versand-Orchestrierung, Benachrichtigungen

Daten: E-Mail-Adressen, Benachrichtigungsinhalte, Rechner-Ergebnisse

Standort: Self-hosted auf IONOS VPS in Deutschland. Es werden keine Daten an externe n8n-Server uebertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung)

Sicherheit: HMAC-SHA256-signierte Webhooks, TLS-verschluesselte Kommunikation

6.4 Resend Inc.

Zweck: Versand transaktionaler E-Mails (Registrierungsbestaetigung, Passwort-Zuruecksetzung, Rechner-Ergebnisse)

Daten: E-Mail-Adresse, Name, E-Mail-Inhalte

Standort: USA (auf Basis von Standardvertragsklauseln/SCCs)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung)

Datenschutz: Resend Privacy Policy

6.5 Calendly LLC

Zweck: Terminvereinbarung fuer Beratungsgespraeche (optional)

Daten: Name, E-Mail-Adresse, gewaehlter Termin

Standort: USA (auf Basis von Standardvertragsklauseln/SCCs)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Nutzung von Calendly ist freiwillig)

Datenschutz: Calendly Privacy Policy

6.6 IONOS SE

Zweck: Hosting des Webservers (VPS) und der n8n-Automatisierung

Daten: Alle ueber die Website verarbeiteten Daten (verschluesselt in Transit und at Rest)

Standort: Rechenzentrum in Deutschland

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung), AVV gemaess Art. 28 DSGVO

Datenschutz: IONOS Datenschutzerklaerung

6.7 Google (OAuth-Anmeldung)

Zweck: Optionale Anmeldung ueber Google-Konto (Single Sign-On)

Daten: E-Mail-Adresse, Profilname, Profilbild-URL

Standort: USA (auf Basis von EU-US Data Privacy Framework)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung — Google-Login ist optional)

Datenschutz: Google Privacy Policy

Hinweis: Wenn Sie sich ueber Google anmelden, erhaelt LEVCON GmbH nur die oben genannten Basisdaten. Wir erhalten keinen Zugriff auf Ihr Google-Konto oder weitere Google-Dienste.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es fuer die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen:

  • Kontodaten (Name, E-Mail, Firma): Fuer die Dauer der Vertragsbeziehung. Nach Kontoloeschung werden die Daten innerhalb von 30 Tagen anonymisiert oder geloescht.
  • Prozessdaten und Berechnungen: Fuer die Dauer der Vertragsbeziehung. Nach Kontoloeschung stehen die Daten 30 Tage zum Export bereit, danach werden sie geloescht.
  • Rechnungs- und Zahlungsdaten: 7 Jahre ab Ende des Kalenderjahres (gemaess § 132 BAO — oesterreichische Bundesabgabenordnung).
  • Rechner-Sessions (ohne Registrierung): 90 Tage nach dem letzten Zugriff.
  • Server-Logs (IP-Adressen, Zugriffszeitpunkte): Maximal 90 Tage, danach automatisch geloescht.
  • E-Mail-Kommunikation: Fuer die Dauer der Geschaeftsbeziehung, maximal 3 Jahre nach letztem Kontakt.
  • Cookie-Einwilligungen: Fuer die Dauer der Einwilligung (bis Widerruf oder Loeschung der Cookies).

8. Betroffenenrechte

Sie haben gegenueber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

8.1 Auskunftsrecht (Art. 15 DSGVO)

Sie haben das Recht, eine Bestaetigung darueber zu verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, haben Sie ein Recht auf Auskunft ueber diese Daten sowie auf weitere Informationen und eine Kopie der Daten.

8.2 Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, die Berichtigung unrichtiger personenbezogener Daten sowie die Vervollstaendigung unvollstaendiger Daten zu verlangen.

8.3 Recht auf Loeschung (Art. 17 DSGVO)

Sie haben das Recht, die Loeschung Ihrer personenbezogenen Daten zu verlangen, sofern einer der in Art. 17 DSGVO genannten Gruende zutrifft, z.B. wenn die Daten fuer die Zwecke, fuer die sie erhoben wurden, nicht mehr notwendig sind.

8.4 Recht auf Einschraenkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschraenkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist, z.B. wenn Sie die Richtigkeit der Daten bestreiten.

8.5 Recht auf Datenuebertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gaengigen und maschinenlesbaren Format (JSON) zu erhalten. Ueber die Plattform koennen Sie einen vollstaendigen Datenexport anfordern.

8.6 Widerspruchsrecht (Art. 21 DSGVO)

Sie haben das Recht, aus Gruenden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die auf Art. 6 Abs. 1 lit. f DSGVO beruht, Widerspruch einzulegen.

8.7 Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Sofern die Verarbeitung auf einer Einwilligung beruht, haben Sie das Recht, die Einwilligung jederzeit zu widerrufen. Die Rechtmaessigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht beruehrt.

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an office@levcon.at. Wir werden Ihr Anliegen unverzueglich, spaetestens jedoch innerhalb eines Monats, bearbeiten.

9. Beschwerderecht bei der Aufsichtsbehoerde

Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehoerde zu, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoesst.

Die fuer uns zustaendige Aufsichtsbehoerde ist:

Oesterreichische Datenschutzbehoerde

Barichgasse 40-42

1030 Wien, Oesterreich

Telefon: +43 1 52 152-0

E-Mail: dsb@dsb.gv.at

Website: dsb.gv.at

Fuer Nutzer aus Deutschland: Sie koennen sich alternativ an den Landesbeauftragten fuer Datenschutz Ihres Bundeslandes wenden.

Fuer Nutzer aus der Schweiz: Der Eidgenoessische Datenschutz- und Oeffentlichkeitsbeauftragte (EDOEB) ist zustaendig. Website: edoeb.admin.ch

10. Datenuebermittlung in Drittlaender

Soweit wir Daten in Laendern ausserhalb des Europaeischen Wirtschaftsraums (EWR) verarbeiten oder Dienstleister einsetzen, die Daten in Drittlaendern verarbeiten, geschieht dies nur auf Grundlage von:

  • Angemessenheitsbeschluessen der EU-Kommission (z.B. EU-US Data Privacy Framework)
  • Standardvertragsklauseln (SCCs) gemaess Art. 46 Abs. 2 lit. c DSGVO
  • Ausdruecklicher Einwilligung gemaess Art. 49 Abs. 1 lit. a DSGVO

Betroffene Dienstleister: Stripe Inc. (USA), Resend Inc. (USA), Calendly LLC (USA), Google LLC (USA). Details finden Sie in Abschnitt 6.

11. Automatisierte Entscheidungsfindung

Wir setzen keine automatisierte Entscheidungsfindung einschliesslich Profiling im Sinne von Art. 22 DSGVO ein. Berechnungen des Einsparpotentialrechners sind rein informativ und stellen keine rechtsverbindlichen Entscheidungen dar.

12. Aenderungen dieser Datenschutzerklaerung

Wir behalten uns vor, diese Datenschutzerklaerung zu aendern, um sie an geaenderte Rechtslagen oder bei Aenderungen des Dienstes oder der Datenverarbeitung anzupassen. Dies gilt jedoch nur bezueglich Erklaerungen zur Datenverarbeitung. Sofern Einwilligungen erforderlich sind oder Bestandteile der Datenschutzerklaerung Regelungen des Vertragsverhaeltnisses enthalten, erfolgen die Aenderungen nur mit Ihrer Zustimmung.

Bitte informieren Sie sich regelmaessig ueber den Inhalt dieser Datenschutzerklaerung.

Bei Fragen wenden Sie sich bitte an office@levcon.at.

Diese Website verwendet Cookies

Wir nutzen Cookies, um Ihnen die bestmögliche Erfahrung zu bieten und unsere Website zu verbessern. Datenschutzerklärung