Datenschutzerklärung

3. Begriffsbestimmungen

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören insbesondere Name, E-Mail-Adresse, Telefonnummer, IP-Adresse, Nutzungsdaten, Vertragsdaten, Zahlungsdaten sowie Inhalte, die Nutzerinnen und Nutzer in unsere Plattform eingeben, sofern diese Rückschlüsse auf Personen zulassen.

Verarbeitung umfasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten, insbesondere das Erheben, Speichern, Verwenden, Übermitteln, Offenlegen, Löschen oder Auswerten.

Verantwortlicher ist jene Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.

Auftragsverarbeiter ist jene Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

4. Rolle von IIA Analysis Suite e.U.

a) Verantwortliche

Wir sind Verantwortliche, wenn wir personenbezogene Daten für eigene Zwecke verarbeiten, insbesondere bei:

• Betrieb unserer Website
• Bearbeitung von Anfragen
• Vertragsabschluss und Kundenverwaltung
• Rechnungslegung und Buchhaltung
• Zahlungsabwicklung
• Direktkommunikation mit Interessenten und Kunden
• Erfüllung gesetzlicher Pflichten
• IT-Sicherheit, Missbrauchsvermeidung und Systemadministration
• Marketing, sofern zulässig oder eingewilligt

b) Auftragsverarbeiterin

Soweit Kunden unsere SaaS-Plattform nutzen und dabei eigene personenbezogene Daten oder personenbezogene Daten ihrer Endkunden, Mitarbeitenden, Leads, Bewerber, Geschäftspartner oder sonstiger Dritter in die Plattform eingeben, verarbeiten wir diese Daten grundsätzlich als Auftragsverarbeiterin im Sinne des Art. 28 DSGVO.

In diesem Fall bleibt der jeweilige Kunde Verantwortlicher für die Rechtmäßigkeit der Datenverarbeitung, die Auswahl der Daten, die Zwecke der Verarbeitung, die Information der betroffenen Personen und die Wahrung der Betroffenenrechte.

Für diese Verarbeitung gilt ergänzend unsere Auftragsverarbeitungsvereinbarung, die unter Abschnitt „Auftragsverarbeitungsvereinbarung“ bereitgestellt wird.

5. Datenkategorien

5.1 Website- und Zugriffsdaten

• IP-Adresse
• Datum und Uhrzeit des Zugriffs
• aufgerufene Seiten
• Browsertyp und Browserversion
• Betriebssystem
• Referrer-URL
• technische Geräteinformationen
• Logfiles
• Cookie- und Consent-Informationen

5.2 Kontakt- und Kommunikationsdaten

• Name
• E-Mail-Adresse
• Telefonnummer
• Unternehmen
• Funktion oder Rolle
• Inhalt von Nachrichten
• Kommunikationshistorie

5.3 Vertrags- und Kundendaten

• Name/Firma
• Rechnungsadresse
• UID-Nummer
• Vertragsdaten
• gebuchte Leistungen
• Nutzungsdauer
• Zahlungsstatus
• Supportanfragen
• Vertragskorrespondenz

5.4 Nutzerkontodaten

• Name
• E-Mail-Adresse
• Benutzerrolle
• Login-Daten
• Passwort in verschlüsselter Form
• Organisationszugehörigkeit
• Berechtigungen
• Authentifizierungsdaten
• Protokolldaten zur Nutzung

5.5 SaaS-Nutzungsdaten

• Login-Zeitpunkte
• genutzte Funktionen
• Systemereignisse
• Analyse- und Dashboard-Aktivitäten
• hochgeladene oder eingegebene Inhalte
• Abfragen, Prompts oder Eingaben in KI-Funktionen
• Ergebnisse, Auswertungen und generierte Inhalte
• technische Fehler- und Sicherheitsprotokolle

5.6 Kundendaten innerhalb der Plattform

Kunden können im Rahmen der Nutzung unserer SaaS-Plattform eigene Daten hochladen, erfassen oder analysieren. Diese Daten können je nach Nutzung personenbezogene Daten enthalten.

• Kundendaten
• Lead-Daten
• Unternehmensdaten mit Personenbezug
• Vertriebsdaten
• Kommunikationsdaten
• Transaktionsdaten
• Analyse- und Reportingdaten
• sonstige vom Kunden bereitgestellte Inhalte

Der Kunde ist dafür verantwortlich, nur solche Daten in die Plattform einzugeben, die rechtmäßig verarbeitet werden dürfen.

5.7 Zahlungs- und Abrechnungsdaten

• Rechnungsdaten
• Zahlungsinformationen
• Transaktionsstatus
• Buchhaltungsdaten
• Steuerlich relevante Informationen

Zahlungsdaten können über externe Zahlungsdienstleister verarbeitet werden. Die konkret eingesetzten Zahlungsdienstleister werden in dieser Datenschutzerklärung oder im Rahmen des Zahlungsvorgangs genannt.

6. Zwecke der Verarbeitung

• Bereitstellung der Website
• Bereitstellung, Betrieb und Weiterentwicklung der SaaS-Plattform
• Einrichtung und Verwaltung von Nutzerkonten
• Authentifizierung und Zugriffskontrolle
• Vertragsabschluss und Vertragserfüllung
• Kundenbetreuung und Support
• Rechnungslegung und Zahlungsabwicklung
• Bereitstellung von Analyse-, Reporting- und KI-Funktionen
• technische Stabilität und Sicherheit
• Fehleranalyse und Missbrauchserkennung
• Protokollierung sicherheitsrelevanter Ereignisse
• Erfüllung gesetzlicher Aufbewahrungs- und Nachweispflichten
• Kommunikation mit Interessenten, Kunden und Geschäftspartnern
• Verbesserung der Benutzerfreundlichkeit und Produktqualität
• Marketing und Newsletter, sofern zulässig oder eingewilligt
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

7. Rechtsgrundlagen der Verarbeitung

a) Art. 6 Abs. 1 lit. b DSGVO

Vertragserfüllung und vorvertragliche Maßnahmen, insbesondere für Bereitstellung unserer SaaS-Leistungen, Einrichtung von Nutzerkonten, Kundenkommunikation, Angebotserstellung, Vertragsabwicklung und Support.

b) Art. 6 Abs. 1 lit. c DSGVO

Rechtliche Verpflichtung, insbesondere steuerliche, unternehmensrechtliche, buchhalterische und gesetzliche Aufbewahrungspflichten.

c) Art. 6 Abs. 1 lit. f DSGVO

Berechtigtes Interesse, insbesondere IT-Sicherheit, Missbrauchsprävention, Systemadministration, Fehleranalyse, Produktverbesserung, Direktwerbung im zulässigen Umfang, Dokumentation von Geschäftsprozessen und Verteidigung von Rechtsansprüchen.

d) Art. 6 Abs. 1 lit. a DSGVO

Einwilligung, insbesondere für optionale Cookies, Tracking-Technologien, Newsletter und bestimmte Marketingmaßnahmen. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

e) Art. 28 DSGVO

Soweit wir personenbezogene Daten im Auftrag unserer Kunden innerhalb der SaaS-Plattform verarbeiten, erfolgt die Verarbeitung auf Grundlage einer Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO.

8. KI-Funktionen und Verarbeitung durch künstliche Intelligenz

Unsere SaaS-Plattform kann KI-gestützte Funktionen enthalten, etwa zur Analyse von Daten, Mustererkennung, Zusammenfassungen, Prognosen, Empfehlungen, Strukturierung oder Entscheidungsunterstützung.

8.1 Art der KI-Verarbeitung

• Analyse eingegebener oder hochgeladener Daten
• Verarbeitung von Prompts und Abfragen
• Generierung von Texten, Zusammenfassungen, Reports oder Empfehlungen
• Klassifizierung, Strukturierung oder Priorisierung von Informationen
• Unterstützung bei datenbasierten Auswertungen
• Erkennung von Mustern und Zusammenhängen
• Erstellung von Prognosen oder Handlungsvorschlägen

8.2 Keine ausschließlich automatisierte Entscheidung mit Rechtswirkung

Unsere KI-Funktionen sind grundsätzlich als Unterstützungs- und Analysewerkzeuge konzipiert. Sie dienen nicht dazu, betroffene Personen ausschließlich automatisiert Entscheidungen zu unterwerfen, die ihnen gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.

8.3 Verantwortung der Kunden bei KI-Eingaben

Kunden und Nutzer dürfen in KI-Funktionen nur solche personenbezogenen Daten eingeben, zu deren Verarbeitung sie berechtigt sind. Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO dürfen nur verarbeitet werden, wenn hierfür eine ausdrückliche Rechtsgrundlage besteht und dies vertraglich zugelassen ist.

8.4 Datenminimierung bei KI-Nutzung

Wir empfehlen, bei der Nutzung von KI-Funktionen personenbezogene Daten soweit möglich zu vermeiden, zu anonymisieren oder zu pseudonymisieren.

8.5 Nutzung von KI-Drittanbietern

Sofern für KI-Funktionen externe KI-Dienstleister eingesetzt werden, erfolgt dies nur auf Grundlage geeigneter vertraglicher Vereinbarungen.

• Amazon Web Services EMEA SARL (AWS Bedrock)
• Sitz: Luxemburg (EU)
• Serverstandort: eu-central-1, Frankfurt am Main, Deutschland
• Zweck: Bereitstellung KI-gestützter Analyse- und Generierungsfunktionen über das Claude-Modell von Anthropic
• Datenkategorien: verarbeitete Prompts, extrahierte und strukturierte Inhaltsausschnitte sowie technische Nutzungsdaten (z. B. Zeitstempel, Request-Metadaten). Keine Übermittlung von Original-PDFs oder Original-Bilddateien.
• Drittlandübermittlung: keine. Die KI-Verarbeitung erfolgt ausschließlich innerhalb der EU auf AWS-Infrastruktur in Frankfurt (eu-central-1). Eine Übermittlung personenbezogener Daten in Drittländer findet nicht statt.
• Speicherdauer beim Anbieter: ausschließlich im technisch erforderlichen Umfang für den API-Betrieb. AWS Bedrock speichert Prompts und Antworten nicht dauerhaft und verwendet diese nicht für Modelltraining.
• Nutzung zu Trainingszwecken: vertraglich ausgeschlossen. AWS garantiert im Rahmen des AWS Data Processing Addendum (DPA), dass Kundendaten nicht zum Training von KI-Modellen verwendet werden.
• Auftragsverarbeitung: ja, auf Basis des AWS Data Processing Addendum gemäß Art. 28 DSGVO.

Das verwendete Modell (Claude von Anthropic) wird über die AWS-Bedrock-Infrastruktur bereitgestellt. Eine direkte Datenübermittlung an Anthropic, PBC (USA) findet nicht statt. Die IIA Analysis Suite ist so aufgebaut, dass primäre Rechnungs- und Vertragsdokumente in der Plattform verarbeitet und gespeichert werden. Für KI-Funktionen werden ausschließlich die jeweils erforderlichen, minimierten Verarbeitungsdaten übermittelt.

8.6 Training von KI-Modellen

Personenbezogene Kundendaten werden nicht ohne gesonderte Rechtsgrundlage und nicht ohne ausdrückliche vertragliche Regelung zum Training eigener oder fremder KI-Modelle verwendet.

8.7 Transparenz bei KI-generierten Inhalten

Soweit Inhalte durch KI generiert oder wesentlich verändert werden, kann dies innerhalb der Plattform kenntlich gemacht werden.

9. Cookies und ähnliche Technologien

9.1 Technisch notwendige Cookies

Technisch notwendige Cookies sind erforderlich, um die Website und die Plattform sicher und funktionsfähig bereitzustellen.

• Login und Authentifizierung
• Warenkorb oder Bestellprozess, sofern vorhanden
• Sicherheit
• Spracheinstellungen
• Consent-Verwaltung
• Sitzungsverwaltung

Die Verarbeitung erfolgt auf Grundlage unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO bzw. zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

9.2 Optionale Cookies

Optionale Cookies, insbesondere für Analyse, Marketing oder externe Medien, werden nur gesetzt, wenn eine entsprechende Einwilligung vorliegt.

9.3 Cookie-Übersicht

Name: [einsetzen]
Anbieter: [einsetzen]
Zweck: [einsetzen]
Speicherdauer: [einsetzen]
Kategorie: notwendig / Analyse / Marketing / externe Medien

10. Webanalyse und Tracking

Wir setzen Webanalyse- oder Tracking-Technologien nur ein, soweit dies rechtlich zulässig ist und – sofern erforderlich – eine Einwilligung vorliegt.

Derzeit eingesetzte Analyse-Tools:

• IIA Landing-Telemetrie (First-Party, serverseitig)
• Anbieter: IIA Analysis Suite e.U.
• Zweck: Analyse der Websitenutzung und Verbesserung unseres Angebots
• Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO für optionale Analyse-Events; technisch notwendige Mess- und Sicherheitsdaten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
• Drittlandübermittlung: nein; die Analyse-Events werden innerhalb der eigenen Plattform verarbeitet und gespeichert

Derzeit werden keine externen Webanalyse-Dienste wie Google Analytics, Matomo Cloud oder Plausible Cloud eingesetzt.

11. Hosting und technische Infrastruktur

Unsere Website und SaaS-Plattform werden über technische Dienstleister betrieben.

Hosting-Anbieter:

• Anbieter: Render (Render Services, Inc.)
• Sitz: United States
• Serverstandort: Frankfurt, Deutschland (EU)
• Zweck: Hosting, Infrastruktur, Speicher, Datenbanken, Sicherheitsdienste
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO
• Auftragsverarbeitung: ja

KI-Infrastruktur:

• Anbieter: Amazon Web Services EMEA SARL
• Sitz: Luxemburg (EU)
• Serverstandort: eu-central-1, Frankfurt am Main, Deutschland
• Zweck: KI-Inferenz über AWS Bedrock (Claude-Modell)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO
• Auftragsverarbeitung: ja, gemäß AWS Data Processing Addendum

12. Empfänger personenbezogener Daten

Personenbezogene Daten können – soweit erforderlich – an folgende Kategorien von Empfängern übermittelt werden:

• Hosting- und Cloud-Dienstleister
• IT- und Wartungsdienstleister
• KI-Dienstleister
• Zahlungsdienstleister
• Buchhaltung und Steuerberatung
• Rechtsberatung
• Kommunikations- und E-Mail-Dienstleister
• CRM- oder Supportsysteme
• Analyse- und Monitoringdienste
• Behörden und Gerichte, soweit gesetzlich erforderlich
• sonstige Dienstleister, die zur Erbringung unserer Leistungen erforderlich sind

13. Drittlandübermittlungen

Eine Übermittlung personenbezogener Daten in Staaten außerhalb des EWR erfolgt nur, wenn die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

• Angemessenheitsbeschluss der Europäischen Kommission
• EU-Standardvertragsklauseln
• zusätzliche technische und organisatorische Maßnahmen
• ausdrückliche Einwilligung
• sonstige gesetzliche Ausnahme

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

• Vertrags- und Rechnungsdaten: grundsätzlich 7 Jahre
• Kommunikationsdaten: solange erforderlich
• Nutzerkontodaten: für die Dauer des aktiven Kontos und danach soweit erforderlich
• Logfiles: grundsätzlich kurzfristig
• Supportdaten: für die Dauer der Bearbeitung und Nachweisinteressen
• Daten innerhalb der SaaS-Plattform: nach Maßgabe des Kundenvertrags und der AVV
• Bewerbungsdaten: grundsätzlich maximal 6 bis 7 Monate

15. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.

• Zugriffskontrollen
• Authentifizierungs- und Berechtigungskonzepte
• Verschlüsselung bei der Übertragung
• Verschlüsselung oder Pseudonymisierung, soweit angemessen
• Protokollierung sicherheitsrelevanter Ereignisse
• regelmäßige Sicherungen
• Updates und Sicherheitsmaßnahmen
• getrennte Mandanten- und Kundendatenbereiche, soweit technisch vorgesehen
• Vertraulichkeitsverpflichtungen
• Auswahl zuverlässiger Dienstleister
• Maßnahmen zur Verfügbarkeit und Belastbarkeit der Systeme
• Verfahren zur Wiederherstellung von Daten
• laufende Prüfung und Verbesserung der Sicherheitsmaßnahmen

16. Betroffenenrechte

Betroffene Personen haben nach Maßgabe der DSGVO folgende Rechte:

• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch
• Recht auf Widerruf einer Einwilligung
• Recht, nicht einer unzulässigen ausschließlich automatisierten Entscheidung unterworfen zu werden

Zur Ausübung dieser Rechte genügt eine Nachricht an: office@iia-analysis.at

Wenn wir personenbezogene Daten ausschließlich als Auftragsverarbeiterin im Auftrag eines Kunden verarbeiten, leiten wir Betroffenenanfragen grundsätzlich an den jeweiligen Verantwortlichen weiter oder unterstützen diesen nach Maßgabe der Auftragsverarbeitungsvereinbarung.

17. Widerruf von Einwilligungen

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

18. Widerspruchsrecht

Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen eine Verarbeitung personenbezogener Daten Widerspruch einzulegen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruht.

Im Fall von Direktwerbung kann jederzeit ohne Angabe von Gründen widersprochen werden.

19. Beschwerderecht bei der Datenschutzbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen.

In Österreich ist zuständig:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien
Österreich
Website: www.dsb.gv.at

20. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für den Abschluss und die Durchführung eines Vertrags erforderlich. Ohne diese Daten können wir unsere Leistungen unter Umständen nicht oder nicht vollständig erbringen.

Die Bereitstellung von Daten für Marketing, optionale Cookies oder bestimmte Analysefunktionen ist freiwillig.

21. Automatisierte Entscheidungsfindung

Wir treffen keine ausschließlich automatisierten Entscheidungen im Sinne des Art. 22 DSGVO, die gegenüber betroffenen Personen rechtliche Wirkung entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen.

Soweit KI-Funktionen Empfehlungen, Bewertungen, Analysen oder Prognosen generieren, dienen diese als Entscheidungsunterstützung und ersetzen keine eigenständige menschliche Prüfung.

22. Newsletter und Direktwerbung

Wenn Sie unseren Newsletter abonnieren oder in den Erhalt elektronischer Werbung einwilligen, verarbeiten wir Ihre E-Mail-Adresse und gegebenenfalls Ihren Namen zum Versand entsprechender Informationen.

Rechtsgrundlage ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder – soweit gesetzlich zulässig – unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.

Sie können den Newsletter jederzeit abbestellen oder der werblichen Nutzung Ihrer Daten widersprechen.

23. Kontaktaufnahme

Wenn Sie uns per E-Mail, Kontaktformular oder auf anderem Weg kontaktieren, verarbeiten wir die von Ihnen angegebenen Daten zur Bearbeitung Ihrer Anfrage und für Anschlussfragen.

Rechtsgrundlage ist je nach Inhalt der Anfrage Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. c DSGVO.

24. Kundenkonto und Plattformzugang

Für die Nutzung unserer SaaS-Plattform kann die Erstellung eines Kunden- oder Nutzerkontos erforderlich sein. Dabei verarbeiten wir insbesondere Registrierungsdaten, Login-Daten, Rollen, Berechtigungen und Nutzungsprotokolle.

Die Verarbeitung erfolgt zur Vertragserfüllung, zur Zugriffskontrolle, zur Sicherheit der Plattform und zur Nachvollziehbarkeit von Systemereignissen.

25. Support und Fehleranalyse

Im Rahmen von Supportanfragen können wir personenbezogene Daten verarbeiten, die zur Bearbeitung des jeweiligen Anliegens erforderlich sind.

Sofern ein Zugriff auf Kundendaten innerhalb der Plattform erforderlich ist, erfolgt dieser nur soweit notwendig, zweckgebunden und unter Beachtung angemessener Vertraulichkeits- und Sicherheitsmaßnahmen.

26. Vertraulichkeit

Alle Personen, die bei uns oder in unserem Auftrag mit personenbezogenen Daten umgehen, werden zur Vertraulichkeit verpflichtet oder unterliegen entsprechenden gesetzlichen Verschwiegenheitspflichten.

27. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche, technische oder organisatorische Änderungen ergeben.

Die jeweils aktuelle Version wird auf unserer Website veröffentlicht.