Art. 13 und 14 DSGVO
Datenschutzhinweis
Dieser Datenschutzhinweis erläutert, wie die ROARK GmbH personenbezogene Daten im Zusammenhang mit dieser Website und unseren B2B-SaaS-Leistungen verarbeitet.
Verantwortlicher
ROARK GmbH
Bossigasse 24/8
1130 Wien
Österreich
Geschäftsführerin: Juliamarie Curto
Geschäftsführer: Marcello Curto
E-Mail: datenschutz@roark.at
Telefon: +43 660 375 8455
Weitere Unternehmensangaben finden Sie im Impressum.
Datenschutzrechtliche Rollen
- Für diese Website und unsere eigenen Geschäftsprozesse handeln wir als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
- Für personenbezogene Daten, die unsere Kunden in unserem SaaS verarbeiten, handeln wir in der Regel als Auftragsverarbeiter nach Art. 28 DSGVO.
- Ein Auftragsverarbeitungsvertrag ist Bestandteil des SaaS-Setups. Eine Vorlage ist unter DPA / AVV verfügbar.
Kategorien betroffener Personen und personenbezogener Daten
- Besucher dieser Website
- Ansprechpartner von Interessenten, Kunden und Partnern
- Nutzer unserer B2B-SaaS-Anwendungen
Je nach Nutzung verarbeiten wir insbesondere:
- Stammdaten (zum Beispiel Name, Unternehmen, geschäftliche Kontaktdaten)
- Kommunikationsdaten (zum Beispiel E-Mail-Inhalte und Metadaten)
- Nutzungs- und Protokolldaten (zum Beispiel IP-Adresse, Zeitstempel, URL, User Agent)
- Authentifizierungs- und Zugriffsdaten (zum Beispiel Benutzerkennung, geschäftliche E-Mail-Adresse, Rollen, Anmeldeereignisse und IP-Adresse)
- Vertrags- und Abrechnungsdaten
- Kundendaten und Inhalte, die im SaaS verarbeitet werden
Verarbeitungstätigkeiten, Zwecke, Rechtsgrundlagen und Speicherdauer
| Verarbeitungstätigkeit | Zweck | Datenkategorien | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|---|
| Bereitstellung der Website (Server-Logs) | Stabilität, Sicherheit, Fehleranalyse | IP-Adresse, URL, Zeitstempel, User Agent, Referrer | Art. 6 Abs. 1 lit. f DSGVO | In der Regel kurzfristig; länger nur bei Sicherheitsvorfällen |
| Sprachpräferenz (NEXT_LOCALE) | Auslieferung der gewählten Sprache | Sprachcode, technische Cookie-Daten | § 165 Abs. 3 österreichisches TKG 2021, Art. 6 Abs. 1 lit. f DSGVO | Bis zu 12 Monate oder bis zur Löschung im Browser |
| E-Mail-Kommunikation | Bearbeitung von Anfragen sowie vorvertragliche und laufende Kundenkommunikation | Kontaktdaten, Nachrichteninhalte, Metadaten | Art. 6 Abs. 1 lit. b und lit. f DSGVO | Bis zum Abschluss der Anfrage, danach nach gesetzlichen oder vertraglichen Pflichten |
| Benutzerauthentifizierung und Zugriffskontrolle | Sicherer Login, Konto-Zugriff, Identitätsprüfung und Schutz vor unbefugtem Zugriff | Geschäftliche Accountdaten, Benutzerkennungen, E-Mail-Adresse, Rollen, Anmelde-Metadaten und IP-Adresse | Art. 6 Abs. 1 lit. b und lit. f DSGVO | Während der aktiven Kontonutzung, danach nach vertraglichen, sicherheitsbezogenen und gesetzlichen Aufbewahrungspflichten |
| Erfüllung des B2B-SaaS-Vertrags | Bereitstellung der vereinbarten SaaS-Funktionen | Account-, Nutzungs-, Inhalts- und Konfigurationsdaten | Art. 6 Abs. 1 lit. b DSGVO | Während der Vertragslaufzeit, danach Löschung gemäß Vertrag oder AVV |
| Compliance, Rechtsverteidigung und Buchhaltung | Erfüllung gesetzlicher Pflichten und Abwehr von Ansprüchen | Vertrags-, Abrechnungs- und Kommunikationsdaten | Art. 6 Abs. 1 lit. c und lit. f DSGVO | Gesetzliche Aufbewahrungsfristen (insbesondere 7 Jahre nach BAO oder UGB), länger nur bei Streitigkeiten |
Cookies
Wir verwenden keine Tracking-, Marketing- oder Profiling-Cookies. Auf dieser Website kann lediglich das technisch erforderliche Cookie NEXT_LOCALE gesetzt werden, um Ihre Sprachpräferenz zu speichern. Unsere SaaS-Anwendungen können zusätzlich technisch notwendige Session- oder Sicherheits-Cookies für den Login, die Aufrechterhaltung authentifizierter Sitzungen und den Schutz vor Missbrauch verwenden.
Empfänger und Auftragsverarbeiter
Wir setzen die folgenden Anbieter ein. Soweit erforderlich, haben wir Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen.
| Anbieter | Zweck | Datenkategorien | Rolle | Verarbeitungsort | Drittlandtransfer / Schutzmechanismus | Speicherdauer | Status AVV |
|---|---|---|---|---|---|---|---|
| Hetzner | Infrastruktur-Hosting | Nutzungs- und Protokolldaten | Auftragsverarbeiter | EU (vor allem Deutschland oder Finnland) | Kein durch uns veranlasster Transfer über diesen Dienst | Abhängig von Vertragskonfiguration; Löschung nach Vertrag oder AVV | Vorhanden |
| Convex | Cloud-Plattform-Dienste | Account-, Nutzungs- und Inhaltsdaten | Auftragsverarbeiter | EU und weitere Regionen je nach Projektkonfiguration | SCC und vertragliche Schutzmaßnahmen gemäß Anbieterbedingungen | Abhängig von Anbieter- oder Projekteinstellungen; Löschung nach Vertrag oder AVV | Vorhanden |
| Microsoft Azure | Cloud-Plattform-Dienste | Account-, Nutzungs- und Inhaltsdaten | Auftragsverarbeiter | EU und weitere Regionen je nach Konfiguration | SCC und zusätzliche Schutzmaßnahmen gemäß Microsoft DPA | Abhängig von Anbieter- oder Projekteinstellungen | Vorhanden |
| Microsoft Entra ID | Identitäts- und Zugriffsmanagement für den Benutzer-Login | Geschäftliche Accountdaten, Benutzerkennungen, E-Mail-Adresse, Rollen, Anmelde-Metadaten und IP-Adresse | Auftragsverarbeiter | EU und weitere Regionen je nach Konfiguration | SCC und zusätzliche Schutzmaßnahmen gemäß Microsoft DPA | Abhängig von Anbieter- oder Projekteinstellungen | Vorhanden |
| Amazon Web Services | Cloud- und Kommunikationsdienste | Kommunikationsdaten, Nutzungsdaten und zugehörige Metadaten | Auftragsverarbeiter | EU und weitere Regionen je nach Konfiguration | SCC und vertragliche Schutzmaßnahmen gemäß AWS DPA | Abhängig von Anbieter- oder Projekteinstellungen | Vorhanden |
| Vercel | Webhosting und Auslieferung | Request- und Protokolldaten | Auftragsverarbeiter | EU und weitere Regionen je nach Delivery-Setup | SCC und zusätzliche Schutzmaßnahmen gemäß Vercel DPA | Abhängig von Anbieter- oder Projekteinstellungen | Vorhanden |
| bunny.net | DNS- und Edge-Delivery-Dienste | DNS-Anfragen und technische Metadaten | Auftragsverarbeiter | EU und globale Edge-Standorte je nach Routing | SCC und vertragliche Schutzmaßnahmen gemäß Anbieterbedingungen | Abhängig von Anbieter- oder Projekteinstellungen | Vorhanden |
| netcup | Infrastruktur-Hosting und Domain-Dienste | Nutzungs- oder Protokolldaten, Domain-Administrationsdaten, abrechnungsrelevante Daten | Auftragsverarbeiter oder eigenständiger Verantwortlicher je nach Vorgang | EU (vor allem Deutschland) | Kein durch uns veranlasster Transfer über diesen Dienst | Nach Projekt-, Registrar- und steuerrechtlichen Fristen | Vorhanden, soweit Auftragsverarbeitung vorliegt |
| Migadu | E-Mail-Dienste | E-Mail-Inhalte und Metadaten, Kontaktdaten | Auftragsverarbeiter | Schweiz und gegebenenfalls weitere Standorte über Subunternehmer | Angemessenheitsbeschluss für die Schweiz, ansonsten SCC | Abhängig von Mailbox- und Vertragseinstellungen | Vorhanden |
Infrastruktur-Datenfluss
- Die genannten Anbieter werden für Hosting, Betrieb der Cloud-Plattform, Benutzerauthentifizierung und Zugriffsmanagement, Kommunikation, DNS oder Edge-Delivery sowie Domain-Dienste eingesetzt.
Subunternehmer
Die aktuellen Subunternehmer der genannten Anbieter sind auf deren offiziellen Subprocessor- und Datenschutzseiten aufgeführt. Wesentliche Änderungen an unserem eigenen Subunternehmer-Setup teilen wir Vertragspartnern nach dem vereinbarten Mechanismus mit.
Weitergabe an zusätzliche Empfänger
Über die vorstehend genannten Fälle hinaus werden Daten nur offengelegt:
- wenn dies rechtlich zulässig ist,
- wenn es zur Vertragserfüllung erforderlich ist,
- wenn wir gesetzlich dazu verpflichtet sind oder
- wenn Sie eingewilligt haben.
Speicherung und Löschung
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Danach werden die Daten gelöscht oder anonymisiert, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
In Österreich ergeben sich einschlägige Aufbewahrungspflichten insbesondere aus BAO und UGB (typischerweise 7 Jahre für buchhaltungsrelevante Unterlagen).
Sicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten vor Verlust, unbefugtem Zugriff und Manipulation zu schützen.
Ihre Rechte
Nach der DSGVO haben Sie insbesondere das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO)
- Widerruf einer Einwilligung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter datenschutz@roark.at.
Beschwerderecht
Sie können eine Beschwerde bei einer Datenschutzaufsichtsbehörde einreichen. In Österreich ist zuständig:
Österreichische Datenschutzbehörde (Datenschutzbehoerde)
Barichgasse 40-42
1030 Wien
Website: https://www.dsb.gv.at/
E-Mail: dsb@dsb.gv.at
Aktualisierungen dieses Datenschutzhinweises
Wir aktualisieren diesen Datenschutzhinweis, wenn sich Verarbeitungstätigkeiten, rechtliche Anforderungen oder eingesetzte Dienstleister wesentlich ändern.
Stand: 24. März 2026