Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO.

Verantwortlicher

Tobias Zehetmayer
Florianigasse 7/12, 1080 Wien, Österreich
tobias@attestiolabs.com

1. Überblick

Diese Erklärung informiert dich darüber, welche personenbezogenen Daten wir verarbeiten, wenn du unsere Website attestiolabs.com besuchst, ein Demo-Termin anfragst, die App unter app.attestiolabs.com nutzt oder anderweitig mit uns Kontakt aufnimmst.

Wir verarbeiten deine Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, österreichisches Datenschutzgesetz, TKG 2021).

2. Welche Daten wir verarbeiten

2.1 Aufruf der Website

Beim Aufruf der Website (attestiolabs.com und app.attestiolabs.com) werden durch unseren Hosting-Provider Vercel technisch erforderliche Daten verarbeitet:

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb der Website).

Speicherdauer: Server-Logs werden von Vercel typischerweise für maximal 30 Tage gespeichert.

2.2 Demo-Termin-Anfrage

Wenn du das Formular „Demo-Termin anfragen" ausfüllst, verarbeiten wir folgende Daten:

Zweck: Bearbeitung deiner Anfrage und Kontaktaufnahme zur Terminvereinbarung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (Beantwortung deiner Kontaktanfrage).

Speicherdauer: Bis zum Abschluss der Anfrage bzw. der Geschäftsbeziehung; danach Löschung nach den gesetzlichen Aufbewahrungsfristen (z.B. § 132 BAO: 7 Jahre für relevante Geschäftsunterlagen).

2.3 E-Mail-Kommunikation

Wenn du uns eine E-Mail schickst, verarbeiten wir die in der E-Mail enthaltenen Daten zur Beantwortung deiner Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b oder lit. f DSGVO.

2.4 Nutzung der App (app.attestiolabs.com)

Die App führt einen Abgleich von Health Claims gegen die EU-Health-Claims-Verordnung (VO 1924/2006) und das autorisierte Claims-Register (VO 432/2012) durch. Mit der Nutzung werden folgende Datenkategorien verarbeitet:

a) Registrierung und Authentifizierung

Zweck: Bereitstellung der Software, Kontoschutz.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Auftragsverarbeiter: Clerk Inc. (Authentifizierung; siehe 3.4), Supabase Inc. (Datenbank; siehe 3.2).

Speicherdauer: Bis zur Löschung des Kontos. Login-Metadaten werden bei Clerk typischerweise nach maximal 30 Tagen aggregiert oder gelöscht.

b) Übermittelte Marketing-Texte und generierte Berichte

Wichtiger Hinweis: Marketing-Texte können inzidente personenbezogene Daten Dritter enthalten (z.B. namentliche Erwähnungen, Testimonials). Wir empfehlen, vor Eingabe in die App alle personenbezogenen Daten Dritter zu entfernen oder zu anonymisieren.

Zweck: Durchführung des HCVO-Register-Abgleichs, Bereitstellung des Berichts an dich, Verlaufsdarstellung im Nutzerkonto, Qualitätssicherung der Pipeline.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Auftragsverarbeiter: Anthropic PBC (KI-Verarbeitung; siehe 3.6), Supabase Inc. (Speicherung der Eingaben und Ergebnisse; siehe 3.2).

Speicherdauer: Bis zur Löschung deines Kontos bzw. einer ausdrücklichen Löschungsanforderung deinerseits.

c) Abonnement und Abrechnung

Vollständige Zahlungsmittel-Daten (Kartennummer, CVC, Ablaufdatum) werden ausschließlich durch Stripe verarbeitet und nicht durch uns gespeichert. Wir erhalten lediglich eine Transaktions-ID sowie den Erfolgs- bzw. Misserfolgshinweis.

Zweck: Vertragsabwicklung, Rechnungsstellung, Quotenverwaltung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).

Auftragsverarbeiter: Stripe Payments Europe Ltd. (Zahlungsabwicklung; siehe 3.5), Supabase Inc. (Abonnement-Status; siehe 3.2).

Speicherdauer: Rechnungs- und Buchhaltungsdaten 7 Jahre gemäß § 132 Abs. 1 BAO; im Einzelfall bis zu 10 Jahre für Geschäftsunterlagen gemäß § 212 UGB. Sonstige Abrechnungsmetadaten werden mit Kontolöschung entfernt, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.

3. Empfänger / Auftragsverarbeiter

Wir setzen sorgfältig ausgewählte Dienstleister ein, die für uns als Auftragsverarbeiter im Sinne von Art. 28 DSGVO tätig sind:

3.1 Vercel (Hosting)

Diese Website wird gehostet von Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Vercel verarbeitet technische Server-Daten (siehe 2.1). Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 DSGVO) sowie ggf. dem EU-US Data Privacy Framework.

Datenschutzerklärung: vercel.com/legal/privacy-policy

3.2 Supabase (Datenbank)

Daten aus dem Demo-Termin-Formular sowie aus der App (Nutzerkonten, eingegebene Marketing-Texte, generierte Berichte, Chat-Verlauf, Abonnement-Status, Nutzungszähler) werden an unseren Datenbank-Provider Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992, übermittelt und in einer EU-Region (Frankfurt, Deutschland) gespeichert. Soweit Supabase Daten zu Wartungs- oder Betriebszwecken außerhalb des EWR verarbeitet, geschieht dies auf Grundlage von Standardvertragsklauseln (Art. 46 DSGVO).

Datenschutzerklärung: supabase.com/privacy

3.3 Google Fonts

Wir verwenden Schriftarten von Google Fonts (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Beim Aufruf der Seite werden Schriftarten von Google-Servern geladen, wodurch deine IP-Adresse an Google übermittelt wird.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, performanten Darstellung).

Datenschutzerklärung: policies.google.com/privacy

3.4 Clerk (Authentifizierung)

Die Anmeldung und Sitzungsverwaltung in der App erfolgt über Clerk, Inc., 660 King St, Suite 345, San Francisco, CA 94107, USA. Clerk verarbeitet E-Mail-Adresse, Authentifizierungs-Token sowie technische Sicherheitsdaten (IP-Adresse und User-Agent zum Login-Zeitpunkt).

Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 DSGVO) sowie ggf. des EU-US Data Privacy Frameworks (Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzerklärung: clerk.com/legal/privacy

3.5 Stripe (Zahlungsabwicklung)

Zahlungen werden abgewickelt durch Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland (Konzernmutter: Stripe Inc., USA). Verarbeitet werden Zahlungsdaten (Kartennummer, Inhaber, Ablaufdatum, CVC), Rechnungsadresse, Transaktionsverlauf sowie Abonnement-Daten.

Vollständige Zahlungsmittel-Daten werden ausschließlich durch Stripe verarbeitet und nicht durch uns gespeichert. Datenübermittlungen innerhalb der Stripe-Infrastruktur können in die USA erfolgen, auf Grundlage von Standardvertragsklauseln (Art. 46 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten der Zahlungsabwicklung).

Datenschutzerklärung: stripe.com/de/privacy

3.6 Anthropic (KI-Verarbeitung der Marketing-Texte)

Die inhaltliche Prüfung deiner in der App eingegebenen Marketing-Texte erfolgt durch ein großes Sprachmodell (Claude) der Anthropic, PBC, 548 Market St PMB 90375, San Francisco, CA 94104, USA.

Welche Daten an Anthropic übermittelt werden: der von dir eingegebene Marketing-Text in vollständiger Form sowie die zugehörige Prüfungsanfrage. Anthropic verarbeitet diese Daten ausschließlich zur Erstellung der angefragten Bewertung und nutzt sie laut Vertrag mit uns nicht zur Trainingsdaten-Erhebung oder Modellverbesserung.

Hinweis zu Inhalten: Falls dein Marketing-Text personenbezogene Daten Dritter enthält (z.B. namentliche Erwähnungen in Erfahrungsberichten), werden diese ebenfalls an Anthropic übermittelt. Wir empfehlen ausdrücklich, vor Eingabe in die App alle personenbezogenen Daten Dritter zu entfernen oder zu anonymisieren.

Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln (Art. 46 DSGVO) sowie ggf. des EU-US Data Privacy Frameworks.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Datenschutzerklärung: anthropic.com/legal/privacy

3.7 Plausible (Reichweitenmessung)

Zur statistischen Auswertung der Website-Nutzung verwenden wir Plausible Analytics der Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland. Plausible erfasst ausschließlich aggregierte, anonymisierte Daten zu Seitenaufrufen, Verweildauer, Referrer-Quellen, Browser- und Geräte-Kategorien sowie Land bzw. Region des Zugriffs. Die Datenverarbeitung erfolgt vollständig auf Servern innerhalb der Europäischen Union.

Wichtig: Plausible setzt keine Cookies, vergibt keine eindeutigen Kennungen und legt keine geräte- oder personenbezogenen Profile an. IP-Adressen werden ausschließlich zur Ableitung des Herkunftslands kurzzeitig verarbeitet und sofort verworfen; sie werden nicht gespeichert. Eine Identifikation einzelner Besucher:innen ist technisch ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datenschutzfreundlichen Reichweitenmessung). Eine Einwilligung gemäß § 165 Abs. 3 TKG 2021 ist nicht erforderlich, da keine Informationen auf deinem Endgerät gespeichert oder ausgelesen werden.

Datenschutzerklärung: plausible.io/data-policy

4. Cookies und Tracking

Diese Website verwendet keine Tracking-Cookies. Zur Reichweitenmessung kommt ausschließlich die cookielose, datenschutzfreundliche Analyse-Lösung Plausible (siehe 3.7) zum Einsatz. Es werden keine Cookies gesetzt, die eine Einwilligung gemäß § 165 Abs. 3 TKG 2021 erfordern würden.

5. Datenübermittlung in Drittländer

Eine Datenübermittlung in Drittländer (außerhalb des EWR) erfolgt im Rahmen der oben genannten Dienste, insbesondere an Vercel (USA), Clerk (USA), Stripe (USA, im Rahmen der Konzernstruktur) und Anthropic (USA). Sie erfolgt ausschließlich auf Grundlage geeigneter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln) und ggf. eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO (EU-US Data Privacy Framework).

6. Deine Rechte

Du hast hinsichtlich der dich betreffenden personenbezogenen Daten folgende Rechte:

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an tobias@attestiolabs.com.

7. Beschwerderecht

Du hast das Recht, dich bei der zuständigen Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Für Österreich:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at

8. Pflicht zur Bereitstellung

Die Bereitstellung deiner Daten im Demo-Termin-Formular bzw. bei der Registrierung in der App ist freiwillig. Ohne die für den jeweiligen Zweck erforderlichen Daten können wir deine Anfrage bzw. die Nutzung der App allerdings nicht bereitstellen.

9. Automatisierte Entscheidungsfindung und KI-Einsatz

In der App setzen wir ein großes Sprachmodell (Claude von Anthropic) zur Bewertung von Marketing-Texten gegen die Health-Claims-Verordnung ein. Diese Bewertung ist beratend und betrifft Marketing-Inhalte, nicht Personen. Eine automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung gegenüber einer natürlichen Person im Sinne von Art. 22 DSGVO findet nicht statt.

10. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, sofern sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version ist unter dieser URL abrufbar.

Stand: Mai 2026