Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG):
Ens Naturale e.U.Inhaber: Cosmin Birtalan
Neustiftgasse 101/1/10
1070 Wien, Österreich
E-Mail: [email protected]
2. Datenschutzbeauftragter
Bei Solo-Founder-Setup besteht keine zwingende Bestellungspflicht (§ 38 BDSG nur bei deutschem Sitz). Bei Fragen zum Datenschutz wenden Sie sich direkt an den Verantwortlichen.
3. Erhebung und Speicherung personenbezogener Daten
3.1 Beim Besuch der Website (Server-Logfiles)
Beim Aufrufen unserer Website werden durch den Browser automatisch Informationen an den Hosting-Server gesendet:
- IP-Adresse des anfragenden Rechners (gekürzt nach Verarbeitung)
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionssicherheit + Cybersicherheit).
Speicherdauer: 7 Tage, danach automatische Löschung.
3.2 Bestellungen (Direktverkauf via Banküberweisung)
Der Vertrieb erfolgt im Direktverkauf durch Ens Naturale e.U. — es ist kein externer Zahlungsdienstleister (kein Paddle, kein Stripe, kein PayPal) zwischengeschaltet. Bei einer Bestellung werden folgende Daten über das Bestellformular auf der Website erhoben und per verschlüsselter E-Mail an uns übermittelt:
- Firmenname + Anschrift
- Vor- und Nachname Ansprechperson
- E-Mail-Adresse
- Telefonnummer (optional)
- USt-ID (B2B, für Reverse-Charge)
- Rechnungs- und Lieferadresse
- Kit-Auswahl + ggf. Multi-License-Option
Ablauf der Zahlungsabwicklung:
- Bestelldaten gehen per E-Mail bei uns ein (über Cloudflare Pages Function + Resend)
- Sie erhalten von uns eine Auftragsbestätigung mit Rechnung (PDF) inkl. IBAN/BIC
- Sie überweisen den Rechnungsbetrag auf das Geschäftskonto von Ens Naturale e.U.
- Nach Zahlungseingang erhalten Sie per E-Mail den Download-Link zu Ihrem Kit
Wichtig: Es werden keine Zahlungsdaten (Kreditkarte, IBAN-Eingaben, PayPal-Account etc.) auf der Website erhoben oder gespeichert. Die Zahlung erfolgt ausschließlich klassisch per Banküberweisung über Ihr eigenes Hausbank-Konto.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + lit. c (gesetzliche Aufbewahrungspflichten nach §132 BAO Österreich, §147 AO Deutschland).
Speicherdauer: 7 Jahre (§132 BAO Österreich) bzw. 10 Jahre (§147 AO Deutschland) für Steuer-/Buchhaltungs-Unterlagen.
4. Eingesetzte Drittdienste / Auftragsverarbeiter
4.1 Zahlungsabwicklung — Direktverkauf via Banküberweisung (kein externer Zahlungsdienstleister)
Vertragspartner und alleiniger Verantwortlicher für die Zahlungsabwicklung ist Ens Naturale e.U. (Inhaber: Cosmin Birtalan, Neustiftgasse 101/1/10, 1070 Wien, Österreich). Es ist kein externer Merchant-of-Record-Dienstleister (Paddle, Stripe, PayPal, Lemon Squeezy o. ä.) zwischengeschaltet — die Bezahlung erfolgt klassisch per Banküberweisung nach Rechnungsstellung.
Ablauf:
- Sie senden Ihre Bestelldaten über das Bestellformular der Website (Datenfluss: Cloudflare Pages Function → Resend → E-Mail an
[email protected]). - Ens Naturale e.U. erstellt eine Rechnung (PDF) gemäß §11 UStG / Art. 226 MwSt-SystRL und sendet diese per E-Mail an Sie zurück.
- Sie überweisen den Rechnungsbetrag von Ihrer Hausbank auf das angegebene Geschäftskonto.
- Nach Eingang des Zahlbetrags erhalten Sie den zeitlich limitierten Download-Link zu Ihrem Kit.
Welche personenbezogenen Daten werden verarbeitet?
- Rechnungsadresse, Firmenname, USt-IdNr. (bei B2B/Reverse-Charge)
- E-Mail-Adresse, Name der Ansprechperson
- Bestellnummer + Kit-Auswahl
- Aus der Banküberweisung: IBAN/BIC des Absenders, Verwendungszweck, Betrag (diese Daten sehen wir ausschließlich auf dem Kontoauszug unserer Hausbank — sie werden nicht in irgendeinem Online-Checkout verarbeitet)
Wichtig: Kreditkartennummern, PayPal-Account-Daten oder ähnliche Online-Zahlungsdaten werden weder erhoben noch verarbeitet noch gespeichert, da kein Online-Checkout existiert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten — §132 BAO Österreich, §147 AO Deutschland).
Speicherdauer: 7 Jahre (§132 BAO Österreich) bzw. 10 Jahre (§147 AO Deutschland) für Steuer-/Buchhaltungs-Unterlagen.
Drittlandtransfer: Findet im Rahmen der Zahlung nicht statt (Inlandsbanken-Transaktion innerhalb des SEPA-Raums).
4.2 E-Mail-Versand — Resend (Resend Ireland Limited, Irland / EU)
Vertragspartner für transaktionale E-Mails (Bestellbestätigung, Download-Link, Update-Mitteilungen) ist Resend Ireland Limited (Dublin, Irland) — die EU-Tochtergesellschaft der Resend Inc. (USA). Die Datenverarbeitung erfolgt primär in der EU (Irland/Frankfurt). Auftragsverarbeitungsvereinbarung (DPA) nach Art. 28 DSGVO ist abgeschlossen. Da Resend Ireland Limited Tochter eines US-Konzerns ist, sind Standardvertragsklauseln (SCC) der EU-Kommission (Modul 3, Beschluss 2021/914) zusätzlich abgeschlossen, um etwaige Subprozessor-Zugriffe der US-Muttergesellschaft DSGVO-konform abzusichern.
| Dienst | Versand transaktionaler E-Mails (Bestellbestätigung, Download-Link, Update-Mitteilungen) |
| Vertragspartner | Resend Ireland Limited, 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland (EU) |
| Muttergesellschaft | Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA (potentieller Subprozessor-Zugriff) |
| Zweck | Zustellung transaktionaler E-Mails an Kunden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 28 DSGVO (Auftragsverarbeitung) |
| Datenkategorien | E-Mail-Adresse, Empfänger-Name, Inhalte der Transaktions-E-Mails |
| Datenverarbeitung | EU (Irland/Frankfurt) — kein regulärer Drittlandtransfer; US-Zugriff durch Muttergesellschaft abgesichert durch SCC (EU-Beschluss 2021/914) |
| Datenschutzerklärung | resend.com/legal/privacy-policy |
4.3 Hosting, Backend, Datei-Speicherung, DNS, CDN, Email-Routing — Cloudflare (Single-Vendor-Stack)
Cloudflare bündelt für uns den gesamten technischen Stack: Hosting (Cloudflare Pages, EU-Edge-Auslieferung), Backend-Funktionen (Cloudflare Pages Functions / Workers), Datei-Speicherung der Kit-Lieferungen (Cloudflare R2 Object Storage, EU-Region), Key-Value-Speicher für Rate-Limiting (Cloudflare KV), DNS-Auflösung, Content Delivery Network, DDoS-/Bot-Schutz, Cloudflare Turnstile (DSGVO-konformes, cookieloses CAPTCHA) und Email-Routing für eingehende E-Mails an [email protected]. Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO ist abgeschlossen.
| Dienste | Cloudflare Pages (statisches Hosting, EU-Edge) · Cloudflare Pages Functions (Backend-Endpoints /api/order, /api/download) · Cloudflare R2 (Object-Storage der Kit-ZIP-Dateien, EU-Region) · Cloudflare KV (Rate-Limit-Counter) · Cloudflare DNS · Cloudflare CDN · Cloudflare DDoS-/Bot-Schutz · Cloudflare Turnstile (CAPTCHA, cookielos) · Cloudflare Email-Routing (eingehend) |
| Anbieter | Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA |
| Zweck | Auslieferung statischer Website-Inhalte über EU-Edge, Verarbeitung von Bestellformularen, Bereitstellung der gekauften Compliance-Kits zum Download (HMAC-signierte Token, 7 Tage gültig), Rate-Limiting + Bot-Schutz beim Bestellvorgang, Routing eingehender E-Mails |
| Region | EU-Region: R2-Bucket EU-Storage-Region (Daten verbleiben in der EU), Pages/Workers-Edge-Auslieferung primär aus dem nächstgelegenen EU-Datacenter (Wien/Frankfurt/Amsterdam) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Lieferung der bestellten Kit-Dateien) + Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Hosting-Performance, Funktionssicherheit, Cybersicherheit, Spam-/Bot-Schutz) |
| Datenkategorien | Gekürzte IP-Adresse, User-Agent, Request-Pfad, Zeitstempel; Bestelldaten (Firmenname, E-Mail, Rechnungsadresse, USt-IdNr.); Download-Link-Token (HMAC-SHA256, kein klassisches Datenbank-Token); Kit-Auswahl + Tier; bei Email-Routing: Absender-/Empfänger-Adresse, Inhalt eingehender E-Mails |
| Drittland | USA — abgesichert durch EU-US Data Privacy Framework (DPF, aktive Cloudflare-Zertifizierung) + Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914); AVV nach Art. 28 DSGVO abgeschlossen. R2-Object-Storage liegt in EU-Region — Datei-Inhalte verlassen die EU nicht. |
| Speicherdauer | Server-Logs 7 Tage; Rate-Limit-Counter 1 Stunde; Bestelldaten gemäß steuerrechtlicher Aufbewahrungspflichten (7 Jahre §132 BAO / 10 Jahre §147 AO); Download-Links 7 Tage gültig, einmalig verlängerbar auf weitere 7 Tage; Kit-ZIP-Dateien dauerhaft in R2 (statische Lieferinhalte) |
| Datenschutzerklärung | cloudflare.com/privacypolicy |
5. Cookies
Wir setzen nur technisch notwendige Cookies ein (Session-Cookies, Sicherheits-Token, Sprachwahl). Tracking-Cookies oder Drittanbieter-Cookies werden NICHT gesetzt — daher ist auch kein Cookie-Banner erforderlich.
Da der Vertrieb ausschließlich per Banküberweisung (Direktverkauf) erfolgt, ist auf der Website kein Online-Checkout-Iframe eingebunden — entsprechend werden auch keine Checkout-Cookies von externen Zahlungsdienstleistern gesetzt.
6. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Bitte richten Sie Ihre Anfrage an: [email protected]. Wir antworten binnen 1 Monat (verlängerbar auf 3 Monate bei komplexen Anfragen).
7. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:
Österreichische Datenschutzbehörde (DSB)Barichgasse 40-42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: [email protected]
Web: www.dsb.gv.at
8. Datensicherheit
Wir nutzen das Verschlüsselungsverfahren TLS 1.3 (HTTPS). Personenbezogene Daten werden verschlüsselt übertragen und gespeichert. Zugriff auf Daten haben nur autorisierte Personen mit Need-to-Know-Prinzip.
9. Aktualität dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand vom 09.05.2026. Bei Änderungen unserer Verarbeitungs-Tätigkeiten passen wir die Erklärung an.