Datenschutz
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten nach der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG). Stand: Juli 2026.
1. Verantwortlicher
Michael Fellinger, Neuwiesenstraße 20, 8502 Lannach, Österreich.
E-Mail: office@eunormia.com.
Ein Datenschutzbeauftragter ist nicht bestellt; eine Bestellpflicht nach Art 37 DSGVO besteht nicht.
2. Grundprinzip: Rechnungsdaten werden nicht gespeichert
Die von Ihnen übermittelten Rechnungsdaten und PDF-Dateien werden ausschließlich im Arbeitsspeicher (RAM) verarbeitet und niemals dauerhaft gespeichert. Temporäre Dateien der Konvertierung liegen ausschließlich im flüchtigen Speicher (RAM/tmpfs) und werden unmittelbar nach Auslieferung der Antwort gelöscht. Rechnungsinhalte werden nicht protokolliert. Rechtsgrundlage: Art 6 Abs 1 lit b DSGVO (Vertragserfüllung).
Soweit Ihre Rechnungsdaten personenbezogene Daten Dritter (z. B. Ihrer Kunden) enthalten, verarbeiten wir diese in Ihrem Auftrag als Auftragsverarbeiter (Art 28 DSGVO). Es gilt die Auftragsverarbeitungsvereinbarung, die Bestandteil der Nutzungsbedingungen ist.
3. Verarbeitungen im Einzelnen
| Verarbeitung | Daten | Zweck | Rechtsgrundlage | Dauer |
|---|---|---|---|---|
| Nutzerkonto | E-Mail-Adresse, Passwort (nur als Hash) | Konto, Anmeldung | Art 6(1)(b) | bis Kontolöschung |
| API-Tokens | Token (nur als Hash), Bezeichnung, Zeitpunkte | Authentifizierung der API | Art 6(1)(b) | bis Widerruf |
| Kontingent-Zähler | Nutzungszähler | Nutzungsgrenzen | Art 6(1)(b),(f) | laufender Zeitraum |
| Anmelde-Ereignisse | gekürzte IP-Adresse, Zeitpunkt | IT-Sicherheit | Art 6(1)(f) | max. 2 Monate |
| Reichweitenmessung | Pfad, tageweise gesalzener IP-Hash, grobe Herkunft (Land/Region), grobe Client-Klasse, Referrer-Host | anonyme Statistik, Betrieb | Art 6(1)(f) | aggregiert/anonym |
| Kontakt/Feedback | E-Mail, Freitext, optionale Bewertung | Bearbeitung Ihrer Anfrage | Art 6(1)(b),(f) | bis Erledigung |
| Zwei-Faktor-Auth. | TOTP-Secret, Recovery-Codes (gehasht) | Konto-Sicherheit (optional) | Art 6(1)(b),(f) | bis Deaktivierung |
Die IP-Adresse wird für die Reichweitenmessung ausschließlich als tageweise gesalzener Hash verarbeitet und nie im Klartext gespeichert; eine Rückführung auf Einzelpersonen ist uns nicht möglich.
4. Grobe Herkunftsbestimmung (GeoIP)
Zur groben, anonymen Auswertung (Land/Region) lösen wir die IP-Adresse über eine lokale Datenbank auf (Datenquelle: IP Geolocation by DB-IP, CC-BY-4.0). Die IP-Adresse wird dabei nur flüchtig im Arbeitsspeicher genutzt und nicht an Dritte übermittelt; gespeichert wird ausschließlich das grobe Ergebnis (Ländercode/Regionsname). Rechtsgrundlage: Art 6 Abs 1 lit f DSGVO.
5. Anmeldung mit Google (optional)
Wenn Sie „Sign in with Google“ nutzen, werden Sie zu Google weitergeleitet und es werden die zur Anmeldung erforderlichen Daten (u. a. E-Mail-Adresse) an Google übermittelt. Anbieter ist Google Ireland Limited; dabei kann es zu einer Übermittlung in die USA kommen (abgesichert über das EU-U.S. Data Privacy Framework und/oder EU-Standardvertragsklauseln). Rechtsgrundlage: Art 6 Abs 1 lit b DSGVO. Die Nutzung von Google ist freiwillig; alternativ steht die Anmeldung per E-Mail/Passwort zur Verfügung.
6. Cookies und Reichweitenmessung
Wir setzen ausschließlich technisch notwendige Cookies ein (Anmelde-/Sitzungs-Cookie sowie ein CSRF-Sicherheits-Token). Diese sind für den Betrieb erforderlich und nach § 165 Abs 3 TKG 2021 einwilligungsfrei. Unsere Reichweitenmessung erfolgt cookielos und serverseitig (nur Pfad und tageweise gesalzener IP-Hash; kein User-Agent-Klartext, kein Referrer-Klartext, keine geräteseitige Speicherung). Nach unserer Einschätzung ist daher keine Cookie-Einwilligung (kein Cookie-Banner) erforderlich. Setzen wir künftig einwilligungspflichtige Technologien ein, holen wir Ihre Einwilligung vorab ein.
7. Empfänger / Auftragsverarbeiter
- netcup GmbH, Karlsruhe (Deutschland) — Hosting/Rechenzentrum (Server in Deutschland/EU) sowie E-Mail-Versand. Auftragsverarbeiter nach Art 28 DSGVO; eine Auftragsverarbeitungsvereinbarung wurde abgeschlossen.
- Google Ireland Limited — nur bei Nutzung von „Sign in with Google“ (siehe Ziff. 5).
Darüber hinaus geben wir personenbezogene Daten nur weiter, wenn wir gesetzlich dazu verpflichtet sind.
8. Drittlandübermittlung
Eine Übermittlung in ein Drittland findet nur bei Nutzung von Google statt (siehe Ziff. 5), abgesichert über EU-U.S. Data Privacy Framework bzw. Standardvertragsklauseln. Im Übrigen erfolgt die Verarbeitung innerhalb der EU/des EWR.
9. Ihre Rechte
Sie haben das Recht auf Auskunft (Art 15), Berichtigung (Art 16), Löschung (Art 17), Einschränkung (Art 18), Datenübertragbarkeit (Art 20) und Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art 21 DSGVO). Ihr Konto können Sie jederzeit selbst im Dashboard löschen (Art 17 DSGVO); dies anonymisiert das Konto und widerruft alle Tokens.
Beschwerderecht: Sie können sich bei der Österreichischen Datenschutzbehörde (Barichgasse 40–42, 1030 Wien, www.dsb.gv.at) beschweren.
10. Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung oder ein Profiling mit rechtlicher Wirkung (Art 22 DSGVO) findet nicht statt. Die Validierung von Rechnungen ist eine rein technische Prüfung ohne Bewertung von Personen.