Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG):
Ens Naturale e.U.Inhaber: Cosmin Birtalan
Neustiftgasse 101/1/10
1070 Wien, Österreich
E-Mail: [email protected]
2. Datenschutzbeauftragter
Bei Solo-Founder-Setup besteht keine zwingende Bestellungspflicht (§ 38 BDSG nur bei deutschem Sitz). Bei Fragen zum Datenschutz wenden Sie sich direkt an den Verantwortlichen.
3. Erhebung und Speicherung personenbezogener Daten
3.1 Beim Besuch der Website (Server-Logfiles)
Beim Aufrufen unserer Website werden durch den Browser automatisch Informationen an den Hosting-Server gesendet:
- IP-Adresse des anfragenden Rechners (gekürzt nach Verarbeitung)
- Datum und Uhrzeit des Zugriffs
- Name und URL der abgerufenen Datei
- Website, von der aus der Zugriff erfolgt (Referrer-URL)
- Verwendeter Browser und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Funktionssicherheit + Cybersicherheit).
Speicherdauer: 7 Tage, danach automatische Löschung.
3.2 Bestellungen (Online-Checkout via Stripe)
Der Verkauf erfolgt durch Ens Naturale e.U.; die Zahlung wickelt der Zahlungsdienstleister Stripe über einen gehosteten Online-Checkout ab (Details siehe Ziffer 4.1). Bei einer Bestellung werden folgende Daten über das Bestellformular bzw. den Stripe-Checkout erhoben:
- Firmenname + Anschrift
- Vor- und Nachname Ansprechperson
- E-Mail-Adresse
- Telefonnummer (optional)
- USt-ID (B2B, für Reverse-Charge)
- Rechnungs- und Lieferadresse
- Kit-Auswahl + ggf. Multi-License-Option
Ablauf:
- Sie wählen ein Kit und gelangen zum von Stripe gehosteten Checkout.
- Sie zahlen direkt bei Stripe (Vorkasse); Stripe berechnet die Umsatzsteuer automatisch (Stripe Tax).
- Nach Zahlungsbestätigung erstellen wir Ihre personalisierten Unterlagen und stellen sie Ihnen samt Rechnung innerhalb von 24 Stunden (Werktage) per E-Mail / Download-Link bereit.
Wichtig: Zahlungsdaten (z. B. Kreditkartennummer) geben Sie ausschließlich auf der von Stripe gehosteten Bezahlseite ein — sie werden nicht auf unserer Website erhoben oder gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) + lit. c (gesetzliche Aufbewahrungspflichten nach §132 BAO Österreich, §147 AO Deutschland).
Speicherdauer: 7 Jahre (§132 BAO Österreich) bzw. 10 Jahre (§147 AO Deutschland) für Steuer-/Buchhaltungs-Unterlagen.
4. Eingesetzte Drittdienste / Auftragsverarbeiter
4.1 Zahlungsabwicklung — Stripe (Online-Checkout)
Die Bezahlung erfolgt über den von Stripe gehosteten Checkout (Stripe Hosted Checkout). Vertragspartner für die Zahlungsabwicklung im EWR ist Stripe Payments Europe, Limited (Dublin, Irland), Teil der Stripe-Gruppe; im Rahmen der Verarbeitung können personenbezogene Daten an Stripe, LLC (USA) übermittelt werden. Eine Auftragsverarbeitungsvereinbarung (DPA) nach Art. 28 DSGVO ist abgeschlossen. Vertragspartner für die gelieferte Leistung bleibt ausschließlich Ens Naturale e.U.
Wichtig: Die Eingabe von Zahlungsdaten (z. B. Kreditkartennummer) erfolgt ausschließlich auf der von Stripe gehosteten Bezahlseite — diese Daten werden nicht auf unserer Website erhoben, übertragen oder gespeichert. Ens Naturale e.U. erhält von Stripe lediglich eine Zahlungsbestätigung sowie die Rechnungs-/Stammdaten, jedoch keine vollständigen Kartendaten.
Ablauf:
- Sie wählen ein Kit und gelangen über den Bestell-Button zum von Stripe gehosteten Checkout.
- Sie zahlen direkt bei Stripe (Vorkasse). Stripe berechnet die anfallende Umsatzsteuer automatisch (Stripe Tax); bei gültiger USt-IdNr. eines EU-B2B-Kunden außerhalb Österreichs wird das Reverse-Charge-Verfahren angewendet.
- Nach erfolgreicher Zahlung erstellen wir Ihre personalisierten Unterlagen und stellen sie Ihnen samt Rechnung innerhalb von 24 Stunden (Werktage) per E-Mail / Download-Link bereit.
Welche personenbezogenen Daten werden an Stripe übermittelt?
- Firmenname, Name der Ansprechperson, E-Mail-Adresse
- Rechnungsadresse, USt-IdNr. (bei B2B/Reverse-Charge)
- Kaufbetrag, Kit-Auswahl + Tier, Bestell-/Lizenznummer
- Zahlungsmittel-Daten (z. B. Kartendaten) — diese verarbeitet ausschließlich Stripe; wir erhalten sie nicht.
| Dienst | Online-Zahlungsabwicklung (Stripe Hosted Checkout), Rechnungserstellung, Umsatzsteuer-Berechnung (Stripe Tax) |
| Vertragspartner (EWR) | Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin D02 H210, Irland (EU) |
| US-Datentransfer | Stripe, LLC (USA) — Datenübermittlung gemäß Stripe Data Transfers Addendum |
| Zweck | Abwicklung der Online-Zahlung, Betrugsprävention, Rechnungs- und Steuerberechnung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (steuer-/handelsrechtliche Pflichten); Art. 28 DSGVO (Auftragsverarbeitung) |
| Datenkategorien | Firmenname, Ansprechperson, E-Mail, Rechnungsadresse, USt-IdNr., Kaufbetrag, Kit-/Tier-Auswahl; Zahlungsmittel-Daten nur bei Stripe |
| Drittland | USA — abgesichert durch EU-US Data Privacy Framework (DPF, aktive Stripe-Zertifizierung) + Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914); AVV nach Art. 28 DSGVO abgeschlossen |
| Speicherdauer | Rechnungs-/Zahlungsdaten gemäß steuerrechtlicher Aufbewahrungspflichten (7 Jahre §132 BAO / 10 Jahre §147 AO) |
| Datenschutzerklärung | stripe.com/privacy |
4.2 E-Mail-Versand — Resend (Resend Ireland Limited, Irland / EU)
Vertragspartner für transaktionale E-Mails (Bestellbestätigung, Download-Link, Update-Mitteilungen) ist Resend Ireland Limited (Dublin, Irland) — die EU-Tochtergesellschaft der Resend Inc. (USA). Die Datenverarbeitung erfolgt primär in der EU (Irland/Frankfurt). Auftragsverarbeitungsvereinbarung (DPA) nach Art. 28 DSGVO ist abgeschlossen. Da Resend Ireland Limited Tochter eines US-Konzerns ist, sind Standardvertragsklauseln (SCC) der EU-Kommission (Modul 3, Beschluss 2021/914) zusätzlich abgeschlossen, um etwaige Subprozessor-Zugriffe der US-Muttergesellschaft DSGVO-konform abzusichern.
| Dienst | Versand transaktionaler E-Mails (Bestellbestätigung, Download-Link, Update-Mitteilungen) |
| Vertragspartner | Resend Ireland Limited, 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland (EU) |
| Muttergesellschaft | Resend Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA (potentieller Subprozessor-Zugriff) |
| Zweck | Zustellung transaktionaler E-Mails an Kunden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 28 DSGVO (Auftragsverarbeitung) |
| Datenkategorien | E-Mail-Adresse, Empfänger-Name, Inhalte der Transaktions-E-Mails |
| Datenverarbeitung | EU (Irland/Frankfurt) — kein regulärer Drittlandtransfer; US-Zugriff durch Muttergesellschaft abgesichert durch SCC (EU-Beschluss 2021/914) |
| Datenschutzerklärung | resend.com/legal/privacy-policy |
4.3 Hosting, Backend, Datei-Speicherung, DNS, CDN, Email-Routing — Cloudflare (Single-Vendor-Stack)
Cloudflare bündelt für uns den gesamten technischen Stack: Hosting (Cloudflare Pages, EU-Edge-Auslieferung), Backend-Funktionen (Cloudflare Pages Functions / Workers), Datei-Speicherung der Kit-Lieferungen (Cloudflare R2 Object Storage, EU-Region), Key-Value-Speicher für Rate-Limiting (Cloudflare KV), DNS-Auflösung, Content Delivery Network, DDoS-/Bot-Schutz, Cloudflare Turnstile (DSGVO-konformes, cookieloses CAPTCHA) und Email-Routing für eingehende E-Mails an [email protected]. Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO ist abgeschlossen.
| Dienste | Cloudflare Pages (statisches Hosting, EU-Edge) · Cloudflare Pages Functions (Backend-Endpoints /api/checkout, /api/download) · Cloudflare R2 (Object-Storage der Kit-ZIP-Dateien, EU-Region) · Cloudflare KV (Rate-Limit-Counter) · Cloudflare DNS · Cloudflare CDN · Cloudflare DDoS-/Bot-Schutz · Cloudflare Turnstile (CAPTCHA, cookielos) · Cloudflare Email-Routing (eingehend) |
| Anbieter | Cloudflare, Inc., 101 Townsend Street, San Francisco, CA 94107, USA |
| Zweck | Auslieferung statischer Website-Inhalte über EU-Edge, Verarbeitung von Bestellformularen, Bereitstellung der gekauften Compliance-Kits zum Download (HMAC-signierte Token, 7 Tage gültig), Rate-Limiting + Bot-Schutz beim Bestellvorgang, Routing eingehender E-Mails |
| Region | EU-Region: R2-Bucket EU-Storage-Region (Daten verbleiben in der EU), Pages/Workers-Edge-Auslieferung primär aus dem nächstgelegenen EU-Datacenter (Wien/Frankfurt/Amsterdam) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Lieferung der bestellten Kit-Dateien) + Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Hosting-Performance, Funktionssicherheit, Cybersicherheit, Spam-/Bot-Schutz) |
| Datenkategorien | Gekürzte IP-Adresse, User-Agent, Request-Pfad, Zeitstempel; Bestelldaten (Firmenname, E-Mail, Rechnungsadresse, USt-IdNr.); Download-Link-Token (HMAC-SHA256, kein klassisches Datenbank-Token); Kit-Auswahl + Tier; bei Email-Routing: Absender-/Empfänger-Adresse, Inhalt eingehender E-Mails |
| Drittland | USA — abgesichert durch EU-US Data Privacy Framework (DPF, aktive Cloudflare-Zertifizierung) + Standardvertragsklauseln (SCC, Durchführungsbeschluss 2021/914); AVV nach Art. 28 DSGVO abgeschlossen. R2-Object-Storage liegt in EU-Region — Datei-Inhalte verlassen die EU nicht. |
| Speicherdauer | Server-Logs 7 Tage; Rate-Limit-Counter 1 Stunde; Bestelldaten gemäß steuerrechtlicher Aufbewahrungspflichten (7 Jahre §132 BAO / 10 Jahre §147 AO); Download-Links 7 Tage gültig, einmalig verlängerbar auf weitere 7 Tage; Kit-ZIP-Dateien dauerhaft in R2 (statische Lieferinhalte) |
| Datenschutzerklärung | cloudflare.com/privacypolicy |
5. Cookies
Wir setzen nur technisch notwendige Cookies ein (Session-Cookies, Sicherheits-Token, Sprachwahl). Tracking-Cookies oder Drittanbieter-Cookies werden NICHT gesetzt — daher ist auch kein Cookie-Banner erforderlich.
Die Bezahlung erfolgt über eine von Stripe gehostete Bezahlseite (Weiterleitung). Auf unserer Website ist kein Checkout-Iframe eingebunden — durch den Bezahlvorgang werden daher keine Cookies auf unserer Domain gesetzt. Auf der Stripe-Bezahlseite gelten die Cookie- und Datenschutzhinweise von Stripe.
6. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)
Bitte richten Sie Ihre Anfrage an: [email protected]. Wir antworten binnen 1 Monat (verlängerbar auf 3 Monate bei komplexen Anfragen).
7. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist:
Österreichische Datenschutzbehörde (DSB)Barichgasse 40-42
1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: [email protected]
Web: www.dsb.gv.at
8. Datensicherheit
Wir nutzen das Verschlüsselungsverfahren TLS 1.3 (HTTPS). Personenbezogene Daten werden verschlüsselt übertragen und gespeichert. Zugriff auf Daten haben nur autorisierte Personen mit Need-to-Know-Prinzip.
9. Aktualität dieser Datenschutzerklärung
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand vom 09.05.2026. Bei Änderungen unserer Verarbeitungs-Tätigkeiten passen wir die Erklärung an.