Legal
Datenschutzerklaerung
Stand: 2026-05-26. Verantwortlicher iSd Art. 4 Z 7 DSGVO: Tech Schmiede GmbH, Untere Donaulaende 21, 4020 Linz, Oesterreich.
1. Datenarten, die wir verarbeiten
- Account-Daten: Vorname, Nachname, E-Mail, gehashtes Passwort, Zwei-Faktor-Geheimnis (verschluesselt).
- Profil-Daten: Username, Avatar, Bio, Spezialisierungen, Tier-Status, XP, Streaks.
- Coaching-Daten: Chat-Verlaeufe mit unserer KI, Self-Check-Antworten, Skill-Radar-Werte, Lessons-Learned.
- Telemetrie: User-Agent, IP-Adresse (gekuerzt, 24h-Retention), Klick-Events fuer Funnel-Analyse.
- Billing-Daten: Plan-Stufe, Rechnungsadresse, Stripe-Customer-ID (Stripe-PCI-DSS Level 1 verarbeitet Kartendaten direkt -- wir sehen sie nie).
2. Rechtsgrundlagen
- Art. 6 Abs. 1 lit. b DSGVO -- Erfuellung des Nutzungsvertrags (Account, Coaching-Services).
- Art. 6 Abs. 1 lit. c DSGVO -- gesetzliche Verpflichtung (Rechnungslegung 7 Jahre BAO).
- Art. 6 Abs. 1 lit. f DSGVO -- berechtigte Interessen (Telemetrie zur Funktions-Verbesserung, Missbrauchs-Erkennung).
- Art. 6 Abs. 1 lit. a DSGVO -- Einwilligung (Marketing-E-Mails, optionale Tracker -- Opt-in via Cookie-Banner).
3. Speicherdauer
- Account-Daten: bis Loeschung des Accounts + 30 Tage Wiederherstellungs-Frist.
- Chat-Verlaeufe: 24 Monate nach letzter Interaktion oder bis User-Loeschung.
- Telemetrie: 90 Tage rolling.
- Rechnungsdaten: 7 Jahre (BAO §132).
- Backups: 14 Tage in EU-Region, danach kryptografisch unwiederbringlich.
4. Empfaenger / Auftragsverarbeiter
Wir nutzen folgende sorgfaeltig ausgewaehlte Auftragsverarbeiter (Art. 28 DSGVO):
- Hetzner Online GmbH (DE) -- Hosting, EU-Region, ISO 27001.
- Stripe Payments Europe (IE) -- Payment-Processing, EU-Region.
- OpenAI / Anthropic-- KI-Inferenz (siehe Drittland-Transfer unten). Opt-out via Settings -> Privacy moeglich.
- Cloudflare Inc. (US) -- DDoS-Schutz + DNS, EU-Workers-Region.
- Brevo (FR) -- Transactional + Newsletter-Mail.
5. Drittland-Transfer
Fuer KI-Inferenz nutzen wir Provider mit US-Hauptsitz. Datentransfers basieren auf:
- EU-Standardvertragsklauseln (SCC, Modul 2) iSd Durchfuehrungsbeschluss 2021/914.
- EU-US Data Privacy Framework (DPF) -- Zertifizierung der Anbieter unter dataprivacyframework.gov.
- Optional: lokales Hosting eines EU-Modells (Mistral / Aleph Alpha) ab Mastery-Tier.
6. Betroffenenrechte (Art. 15-22 DSGVO)
- Art. 15 -- Auskunft ueber gespeicherte Daten.
- Art. 16 -- Berichtigung unrichtiger Daten.
- Art. 17 -- Loeschung (Recht auf Vergessenwerden). Innerhalb von 30 Tagen, ausser gesetzliche Aufbewahrungsfristen entgegenstehen.
- Art. 18 -- Einschraenkung der Verarbeitung.
- Art. 20 -- Datenuebertragbarkeit. Export als JSON via Settings -> Privacy.
- Art. 21 -- Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen.
- Art. 22 -- Keine automatisierte Entscheidung mit Rechtswirkung. Unser KI-Coaching gibt Empfehlungen, keine bindenden Entscheidungen.
Ausuebung formlos per Mail an dsb@netcoach.ai. Antwort binnen 30 Tagen.
7. Beschwerderecht
Du hast das Recht auf Beschwerde bei der Aufsichtsbehoerde -- in Oesterreich: Datenschutzbehoerde Oesterreich, Barichgasse 40-42, 1030 Wien.
8. Datenschutzbeauftragter
Datenschutzbeauftragter: Mag. Florian Weber, erreichbar unter dsb@netcoach.ai.