Datenschutzerklärung
Gültig ab: März 2026
Diese Datenschutzerklärung beschreibt, wie personenbezogene Daten erhoben, verwendet und geschützt werden, wenn Sie die Ai on Edge Plattform ("Plattform", "Dienst") nutzen, betrieben von:
Michael König-Weichhardt Bachweg 10, 8410 Wildon, Steiermark, Österreich E-Mail: privacy@aionedge.app
Diese Erklärung entspricht der EU-Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) und dem österreichischen Datenschutzgesetz (DSG).
1. Verantwortlicher
Der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO ist:
Michael König-Weichhardt Bachweg 10, 8410 Wildon, Steiermark, Österreich E-Mail: privacy@aionedge.app
2. Kategorien erhobener personenbezogener Daten
2.1. Website-Betreiber (Admin-Nutzer)
Bei der Registrierung einer Website auf der Plattform erheben wir:
- Website-Name und Subdomain — zur Erstellung und Identifizierung Ihrer Website
- Admin-Passwort — gespeichert als PBKDF2-Hash (100.000 Iterationen); das Klartext-Passwort wird niemals gespeichert
- IP-Adresse — temporär verarbeitet für Ratenlimitierung und Missbrauchsprävention; nicht dauerhaft gespeichert
2.2. Website-Besucher (Endnutzer)
Wenn Besucher sich auf einer Website registrieren oder Website-Funktionen nutzen, können folgende Daten vom Website-Betreiber erhoben werden (der als eigener Verantwortlicher handelt):
- Name, E-Mail-Adresse, Passwort — für die Benutzerkontoregistrierung
- Newsletter-E-Mail — bei Anmeldung zum Newsletter einer Website
- Zahlungsinformationen — Plattform-Abonnements werden vollstaendig von Paddle (Merchant of Record) verarbeitet; Tenant-Shop-Zahlungen werden von Stripe verarbeitet. Die Plattform speichert niemals Kreditkartennummern oder Zahlungsanmeldedaten
2.3. Automatisch erhobene Daten
Die Plattform selbst verwendet keine Cookies für Tracking-, Analyse- oder Werbezwecke.
- Sitzungstoken — Im localStorage des Browsers zur Authentifizierung gespeichert. Diese sind streng notwendig fuer das Funktionieren des Dienstes.
- Server-Logs — Cloudflare kann Anfragemetadaten (IP-Adresse, User-Agent, Zeitstempel) als Teil seiner Infrastrukturdienste verarbeiten. Siehe die Datenschutzrichtlinie von Cloudflare für Details.
3. Zweck und Rechtsgrundlage der Verarbeitung
| Zweck | Daten | Rechtsgrundlage (DSGVO) |
|---|---|---|
| Bereitstellung des Dienstes | Website-Name, Subdomain, Passwort-Hash | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Ratenlimitierung und Missbrauchsprävention | IP-Adresse (temporär) | Art. 6 Abs. 1 lit. f — Berechtigtes Interesse |
| E-Mail-Zustellung | E-Mail-Adressen, E-Mail-Inhalte | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Zahlungsabwicklung (Plattform-Abos) | Zahlungsdaten (ueber Paddle) | Art. 6 Abs. 1 lit. b — Vertragserfuellung |
| Zahlungsabwicklung (Tenant-Shops) | Zahlungsdaten (ueber Stripe) | Art. 6 Abs. 1 lit. b — Vertragserfuellung |
| KI-Funktionen | Zur KI-Verarbeitung übermittelte Inhalte | Art. 6 Abs. 1 lit. b — Vertragserfüllung |
| Authentifizierungs-Cookies | Sitzungscookie (cms_token) | Art. 6 Abs. 1 lit. f — Berechtigtes Interesse (streng notwendig) |
4. Datenempfänger und Drittanbieter-Dienste
Personenbezogene Daten können an folgende Drittanbieter weitergegeben werden, die jeweils als Auftragsverarbeiter oder eigenständiger Verantwortlicher handeln:
| Dienst | Zweck | Rechenzentrumsstandort | Datenschutzrichtlinie |
|---|---|---|---|
| Cloudflare, Inc. | Hosting, CDN, Workers, R2-Speicher, Containers, Analytics Engine | Global (EU-konform) | cloudflare.com/privacypolicy |
| Paddle.com Market Limited | Plattform-Abonnement-Abrechnung, Rechnungsstellung, Steuererhebung (Merchant of Record) | UK | paddle.com/legal/privacy |
| Stripe, Inc. | Tenant-Shop-Zahlungsabwicklung. Jeder Tenant verwaltet seine eigenen Stripe-Produkte und -Konten. | EU/USA (PCI DSS Level 1) | stripe.com/privacy |
| Mailgun (Sinch) | E-Mail-Zustellung | Frankfurt, Deutschland (EU) | mailgun.com/legal/privacy-policy |
| Groq, Inc. | KI-Inferenz (Content-Erstellung, Transkription, Moderation). Es werden ausschliesslich Inhaltsdaten uebermittelt, keine Besucherdaten. | USA | groq.com/privacy-policy |
4.1. Internationale Datenübermittlungen
Soweit Daten außerhalb der EU/des EWR übermittelt werden (z. B. an US-basierte Dienste), erfolgen solche Übermittlungen auf Grundlage von:
- EU-US Data Privacy Framework (soweit zertifiziert)
- Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
- Angemessenheitsbeschlüssen gemäß Art. 45 DSGVO
5. Datenspeicherung
| Daten | Aufbewahrungsfrist |
|---|---|
| Website-Inhalte (Beiträge, Seiten, Medien) | Bis zur Löschung durch den Nutzer oder Kontokündigung |
| Admin-Sitzungen | 7 Tage (automatischer Ablauf) |
| Benutzersitzungen | 30 Tage (automatischer Ablauf) |
| IP-Adressen für Ratenlimitierung | Nur im Arbeitsspeicher; nicht dauerhaft gespeichert |
| E-Mail-Daten | Bis zur Löschung durch den Nutzer |
| Kontodaten nach Kündigung | 30 Tage, danach endgültig gelöscht |
6. Ihre Rechte nach der DSGVO
Als betroffene Person haben Sie folgende Rechte:
- Recht auf Auskunft (Art. 15 DSGVO) — Kopie Ihrer personenbezogenen Daten anfordern
- Recht auf Berichtigung (Art. 16 DSGVO) — Unrichtige Daten korrigieren
- Recht auf Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden")
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Einschränken, wie Ihre Daten verwendet werden
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten
- Widerspruchsrecht (Art. 21 DSGVO) — Der Verarbeitung aufgrund berechtigten Interesses widersprechen
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Soweit die Verarbeitung auf Einwilligung beruht, diese jederzeit widerrufen
Zur Ausübung dieser Rechte kontaktieren Sie: privacy@aionedge.app
Wir werden Ihrem Antrag innerhalb eines Monats nachkommen (Art. 12 Abs. 3 DSGVO).
7. Recht auf Beschwerde
Sie haben das Recht, eine Beschwerde bei der österreichischen Datenschutzbehörde einzureichen:
Österreichische Datenschutzbehörde Barichgasse 40-42, 1030 Wien, Österreich E-Mail: dsb@dsb.gv.at Website: dsb.gv.at
8. Datensicherheit
Die Plattform setzt folgende technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO um:
- Verschlüsselung bei der Übertragung — Alle Daten werden über HTTPS/TLS übertragen
- Passwort-Hashing — PBKDF2 mit 100.000 Iterationen und zufälligem Salt
- Zeitkonstante Authentifizierung — Verhindert Timing-basierte Angriffe
- Ratenlimitierung — Schützt vor Brute-Force-Angriffen
- Eingabevalidierung — Verhindert Injection-Angriffe
- Minimale Datenerhebung — Nur für den Dienst erforderliche Daten werden erhoben
- Kein Tracking — Keine Analyse-, Werbe- oder Drittanbieter-Tracking-Skripte
9. Cookies
Die Plattform verwendet nur streng notwendige Cookies:
| Cookie | Zweck | Dauer | Typ |
|---|---|---|---|
site_gate | Plattform-Zugangsprüfung | 24 Stunden | Funktional (streng notwendig) |
Für streng notwendige Cookies ist kein Einwilligungs-Banner erforderlich, gemäß Art. 5 Abs. 3 der ePrivacy-Richtlinie und dem österreichischen Telekommunikationsgesetz 2021 (TKG 2021, § 165).
Die Plattform verwendet nicht:
- Tracking-Cookies
- Werbe-Cookies
- Analyse-Cookies (kein Google Analytics, kein Meta Pixel)
- Social-Media-Cookies
10. Schriftarten-Selbsthosting (DSGVO-Konformität)
Auf der Plattform verwendete Google Fonts werden auf Cloudflare R2 selbst gehostet. Wenn ein Besucher eine Website lädt, werden Schriftarten über das CDN von Cloudflare bereitgestellt — es wird keine Verbindung zu Googles Servern hergestellt, und keine Besucherdaten (IP-Adresse, Browser-Fingerprint) werden an Google übermittelt. Dies entspricht dem richtungsweisenden Bescheid der österreichischen Datenschutzbehörde (DSB, Dezember 2021) und dem deutschen Urteil (LG München I, Januar 2022) zu Google Fonts und DSGVO.
Hinweis: Der Schrift-Picker im Admin-Panel führt einen serverseitigen API-Aufruf an die Google Fonts API durch, um die Liste verfügbarer Schriftarten abzurufen. Dieser Aufruf wird vom Cloudflare Worker (serverseitig) getätigt, nicht vom Browser des Besuchers. Keine Besucherdaten werden durch diesen Mechanismus an Google übermittelt.
11. KI-Datenverarbeitung
Wenn KI-Funktionen genutzt werden (SEO-Generierung, KI-Chat, Inhaltsvorschläge):
- Inhalte werden zur Verarbeitung an die API von Groq gesendet
- Groq verarbeitet die Daten, um eine Antwort zu generieren, und verwendet sie nicht für das Modelltraining
- Keine personenbezogenen Daten von Website-Besuchern werden an KI-Dienste gesendet, es sei denn, sie werden vom Website-Betreiber explizit in Inhalte aufgenommen
- KI-Chat-Gespräche werden nach Sitzungsende nicht auf den Servern der Plattform gespeichert
12. Datenverarbeitung für Website-Betreiber
Wenn Sie eine Website auf der Plattform betreiben und personenbezogene Daten Ihrer Besucher erheben (durch Benutzerregistrierung, Newsletter oder E-Mail), sind Sie der Verantwortliche für diese Daten nach der DSGVO. Sie sind verantwortlich für:
- Die Bereitstellung einer eigenen Datenschutzerklärung für Ihre Besucher
- Die Einholung erforderlicher Einwilligungen
- Die Beantwortung von Betroffenenanfragen Ihrer Besucher
- Die Einhaltung aller anwendbaren Datenschutzgesetze
Der Plattformbetreiber handelt als Auftragsverarbeiter (Art. 28 DSGVO) für die Daten, die Sie über die Plattform erheben. Grundlage für dieses Verarbeitungsverhältnis sind die AGB, die als Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Abs. 3 DSGVO fungieren. Für ein formelles AVV-Dokument kontaktieren Sie privacy@aionedge.app.
13. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Die Plattform führt keine automatisierte individuelle Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO durch. KI-Funktionen (SEO-Generierung, Chat-Widget, Inhaltsvorschläge) sind unterstützende Werkzeuge, die keine Entscheidungen mit rechtlichen oder ähnlich erheblichen Auswirkungen auf betroffene Personen treffen.
14. Besondere Kategorien von Daten (Art. 9 DSGVO)
Die Plattform erhebt oder verarbeitet nicht vorsätzlich besondere Kategorien personenbezogener Daten (rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gesundheitsdaten, biometrische Daten usw.). Website-Betreiber sollten die Plattform nicht zur Erhebung solcher Daten verwenden, ohne eine Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO geschaffen zu haben.
15. Meldung von Datenschutzverletzungen (Art. 33/34 DSGVO)
Im Falle einer Verletzung des Schutzes personenbezogener Daten:
- Der Betreiber wird die Österreichische Datenschutzbehörde unverzüglich und, soweit möglich, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung benachrichtigen (Art. 33 DSGVO)
- Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge hat, werden die betroffenen Personen unverzüglich informiert (Art. 34 DSGVO)
- Website-Betreiber, die als Verantwortliche handeln, werden umgehend benachrichtigt, damit sie ihre eigenen Meldepflichten erfüllen können
16. Datenschutz von Kindern
Der Dienst richtet sich nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren. Wenn wir erfahren, dass ein Kind unter 16 Jahren personenbezogene Daten bereitgestellt hat, werden wir Schritte zur Löschung unternehmen.
17. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung aktualisieren, um Änderungen unserer Praktiken oder gesetzlicher Anforderungen widerzuspiegeln. Wesentliche Änderungen werden per E-Mail oder durch einen Hinweis auf der Plattform mitgeteilt. Das Datum am Anfang dieses Dokuments gibt die letzte Überarbeitung an.
18. Kontakt
Für datenschutzbezogene Anfragen:
Michael König-Weichhardt Bachweg 10, 8410 Wildon, Steiermark, Österreich E-Mail: privacy@aionedge.app