Datenschutzerklärung – Spritbiene Business (B2B)

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO), des österreichischen Datenschutzgesetzes (DSG) sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Spritbiene wird derzeit als Privatperson (natürliche Person) betrieben. Eine Eintragung im Firmenbuch sowie eine Umsatzsteuer-Identifikationsnummer bestehen zum Stand dieser Erklärung nicht. Die vollständige Anbieterkennzeichnung finden Sie im Impressum.

Ein betrieblicher Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Voraussetzungen nach Art. 37 Abs. 1 DSGVO nicht vorliegen: Es findet weder eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen statt, noch werden besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO als Kerngeschäftstätigkeit verarbeitet.

Für alle datenschutzrechtlichen Anliegen, insbesondere Auskunfts-, Berichtigungs- und Löschungsersuchen, wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

Spritbiene Business ist eine kostenpflichtige Webanwendung für Unternehmen, Selbstständige und Flottenbetreiber zur Verwaltung von Firmenfahrzeugen, Fahrern, Tank- und sonstigen Belegen sowie zur Führung eines digitalen Fahrtenbuchs.

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten der Verantwortliche im Rahmen der Bereitstellung und Nutzung dieser Business-Webanwendung verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte Ihnen als betroffene Person zustehen.

Spritbiene nimmt im Rahmen dieser Webanwendung zwei unterschiedliche datenschutzrechtliche Rollen ein, die hier klar getrennt werden:

a) Verantwortlicher (Art. 4 Nr. 7 DSGVO): Für die Daten, die Sie selbst als Inhaber:in eines Business-Kontos (im Folgenden „Kunde“ oder „Owner“) bereitstellen – insbesondere Kontoinformationen, Anmelde-, Vertrags- und Rechnungsdaten sowie sicherheitsrelevante Protokolle – ist Spritbiene eigenständig Verantwortlicher.

b) Auftragsverarbeiter (Art. 28 DSGVO): Für personenbezogene Daten, die Sie als Kunde über Ihre Mitarbeitenden, Fahrerinnen und Fahrer in die Anwendung einpflegen oder einpflegen lassen (z. B. Name, Zuordnung zu einem Fahrzeug, hochgeladene Belege, Einträge im Fahrtenbuch), sind Sieder Verantwortliche im Sinne der DSGVO. Spritbiene verarbeitet diese Daten ausschließlich nach Ihrer Weisung als Ihr Auftragsverarbeiter.

Vor Aufnahme der Verarbeitung von Mitarbeitendendaten ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 Abs. 3 DSGVO erforderlich. Der vollständige Vertragstext inklusive der Anlagen (Sub-Auftragsverarbeiter und technisch-organisatorische Maßnahmen) ist unter b2b.spritbiene.at/avv abrufbar.

Sie als Kunde sind verpflichtet, Ihre Mitarbeitenden, Fahrerinnen und Fahrer eigenverantwortlich über die Verarbeitung ihrer Daten in der Anwendung gemäß Art. 13 bzw. 14 DSGVO zu informieren. Bei Beschäftigten sind dabei zusätzlich die nationalen Vorschriften zum Arbeitnehmerdatenschutz (insbesondere Art. 88 DSGVO i.V.m. § 96 Abs. 1 Z 3 und § 96a ArbVG zur Mitbestimmung bzw. Betriebsvereinbarung bei Kontrollmaßnahmen) zu beachten.

(1) Bei jedem Aufruf der Webanwendung werden durch unseren Hosting-Anbieter Cloudflare, Inc. technische Zugriffsdaten in Server-Logs erhoben. Dazu zählen insbesondere:

• IP-Adresse des zugreifenden Endgeräts
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL bzw. API-Endpunkt und HTTP-Statuscode
• Referrer-URL, sofern vorhanden
• verwendeter Browser und Betriebssystem (User-Agent)
• Länder- bzw. Regionscode (abgeleitet aus der IP)

Diese Daten sind technisch erforderlich, um die Anwendung bereitzustellen, deren Stabilität und Sicherheit zu gewährleisten und Angriffe abzuwehren (insbesondere Bot- und DDoS-Schutz).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb der Anwendung).

Speicherdauer bei Cloudflare: gemäß Cloudflare-Standardrichtlinie typischerweise bis zu 30 Tage.

(2) Die Anwendung wird auf der globalen Edge-Infrastruktur von Cloudflare ausgeliefert; Anfragen werden üblicherweise am nächstgelegenen Standort verarbeitet (innerhalb der EU bevorzugt). Die Datenbank- und Authentifizierungsdienste werden in einem Rechenzentrum in der Region eu-central-2 (Zürich, Schweiz) betrieben. Für die Schweiz liegt ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vor. Beleg-Uploads werden in einem Speicherbereich mit EU-Jurisdiktion innerhalb der Europäischen Union abgelegt.

Für die Nutzung der Business-Webanwendung ist die Anlage eines Kontos erforderlich. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse
• Passwort (ausschließlich als kryptografischer Hash gespeichert)
• Bezeichnung des Unternehmens bzw. der Organisation
• Bestätigung der Kenntnisnahme rechtlich relevanter Dokumente (z. B. AGB, Datenschutzerklärung)
• Zeitstempel von Registrierung und Anmeldungen

Die Authentifizierung wird über unseren technischen Anbieter Supabase Pte. Ltd. abgewickelt. Es kommt Sitzungs-Authentifizierung mittels HTTP-only-Cookies zum Einsatz.

Zwecke:Bereitstellung und Schutz des Kundenkontos, Anmeldung, Verhinderung missbräuchlicher Zugriffe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherheit des Kontos).

Im eingeloggten Bereich verwalten Sie Ihre Organisation, Fahrzeuge, Fahrer-Codes, Belege und Vertrags- bzw. Tarifdaten. Verarbeitet werden insbesondere von Ihnen eingegebene Stammdaten (Bezeichnung der Organisation, Tarifwahl, ggf. zugeordnete Mitglieder) sowie Nutzungsmetadaten (z. B. Erstellungs- und Änderungszeitpunkte).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Für die Abwicklung von Bezahlvorgängen, Abonnements und die Erstellung steuerrechtlich ordnungsgemäßer Belege nutzen wir die Dienste der Stripe Payments Europe, Ltd. (Sitz: Dublin, Irland) und deren US-Konzernmutter Stripe, Inc. (im Folgenden gemeinsam „Stripe“). Im Einsatz sind insbesondere Stripe Checkout (extern gehostete Bezahlseite), Stripe Customer Portal, Stripe Subscriptions, Stripe Tax sowie Webhook-Schnittstellen zur Verbuchung von Zahlungsereignissen.

An Stripe übermittelt werden insbesondere:

• E-Mail-Adresse und Name der zahlenden Person
• Rechnungs- und Lieferadresse
• Ländercode
• USt-Identifikationsnummer (sofern angegeben)
• Tarif- und Buchungsdaten, Transaktionsdaten
• Zahlungsmittel-Tokens (eigentliche Zahlungsdaten wie Kartennummern werden direkt von Stripe erfasst und sind dem Verantwortlichen nicht zugänglich)

Stripe ist im Rahmen der Bezahlabwicklung in Teilen eigener Verantwortlicher (insbesondere im Hinblick auf gesetzliche Pflichten zur Geldwäsche- und Betrugsprävention). Die Datenschutzhinweise von Stripe finden Sie unter stripe.com/at/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des kostenpflichtigen Vertrags), Art. 6 Abs. 1 lit. c DSGVO (Erfüllung steuerrechtlicher und handelsrechtlicher Aufbewahrungs- und Nachweispflichten, insbesondere § 132 BAO und § 212 UGB) sowie Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).

Speicherdauer: Rechnungs- und Buchhaltungsbelege werden für die Dauer der gesetzlichen Aufbewahrungsfrist von sieben Jahren ab Ende des jeweiligen Kalenderjahres aufbewahrt.

Im Rahmen des Funktionsumfangs können Sie und berechtigte Mitarbeitende Belege (z. B. Tank-, Hotel-, Parkplatz- oder Mautbelege) sowie sonstige Dokumente hochladen. Die Dateien werden in einem Speicherbereich mit EU-Jurisdiktion bei Cloudflare, Inc. (Cloudflare R2) abgelegt.

Verarbeitet werden insbesondere der Dateiinhalt selbst, der ursprüngliche Dateiname, Dateigröße, Dateityp, Hochlade-Zeitpunkt sowie die Zuordnung zur Organisation, zum Fahrzeug und ggf. zur hochladenden Person.

Rechtsgrundlage: Für Belege Ihres eigenen Kontos: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); soweit es sich um Mitarbeitendendaten handelt, erfolgt die Verarbeitung in Ihrem Auftrag (Art. 28 DSGVO; siehe § 4 und § 10).

Speicherdauer: grundsätzlich bis zur Löschung durch Sie oder bis zur Beendigung des Vertragsverhältnisses, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Im Rahmen der Flottenverwaltung können Sie als Kunde Fahrzeuge anlegen und diesen optional Fahrerinnen bzw. Fahrer zuordnen (z. B. durch Hinterlegung eines Standard-Fahrernamens oder durch Vergabe eines persönlichen Zugangscodes). Diese Personen können anschließend über die zugehörige Endnutzer-App eigene Tankvorgänge und ggf. Fahrten erfassen, die Ihrer Organisation zugeordnet werden.

Verarbeitet werden insbesondere:

• Name bzw. Bezeichnung der zugeordneten Person
• Zuordnung zu einem Fahrzeug (Kennzeichen, Beschreibung)
• Tank- und Belegdaten (Datum, Menge, Preis, Tankstelle)
• Fahrtenbucheinträge (Start, Ziel, Zweck, Kilometerstand)
• ggf. Bewegungsdaten und Wegpunkte, sofern diese durch die Endnutzer-App übermittelt werden

Für diese Daten ist der Kundeder Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Spritbiene verarbeitet sie ausschließlich nach dokumentierten Weisungen des Kunden im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO (siehe AVV).

Der Kunde ist verpflichtet, eine geeignete Rechtsgrundlage für die Verarbeitung sicherzustellen (insbesondere im Verhältnis zu Beschäftigten), die betroffenen Personen umfassend zu informieren und erforderlichenfalls Mitbestimmungsrechte zu beachten.

Zum Versand transaktionaler System-E-Mails setzen wir den Dienst Resend (Resend, Inc., USA) ein. Darüber werden insbesondere E-Mails zur Bestätigung der E-Mail-Adresse und zur Passwort-Zurücksetzung, zur Einladung zugeordneter Personen (z. B. weiterer Administratoren oder Mitarbeitender) in eine Organisation sowie konto- und abrechnungsbezogene Benachrichtigungen versendet. Verarbeitet werden dabei die Empfänger-E-Mail-Adresse und die Inhalte der jeweiligen Nachricht.

Es werden ausschließlich E-Mails versendet, die zur Erbringung des Dienstes erforderlich sind. Werbe- oder Newsletter-Mails werden derzeit nicht versendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb, Wiederherstellung von Zugangsdaten).

Zur Erkennung, Behebung und Vermeidung von Programm- und Laufzeitfehlern setzen wir den Dienst Sentry der Functional Software, Inc. (San Francisco, USA) ein. Die Erfassung erfolgt ausschließlich serverseitig (innerhalb unserer Backend-Infrastruktur); ein Einbinden des Sentry-Browser-SDKs in der Webanwendung findet nicht statt.

Verarbeitet werden insbesondere:

• Stack-Traces und Fehlermeldungen
• betroffener Pfad bzw. API-Endpunkt
• Zeitstempel des Fehlers
• technische Umgebungsinformationen (Laufzeit, Version)

Die automatische Erfassung personenbezogener Standardfelder (z. B. IP-Adresse, Cookies, Header) ist deaktiviert (sendDefaultPii: false). Performance-Tracing ist im Produktivbetrieb auf 0 % konfiguriert; es werden also nur Fehler, keine routinemäßigen Anfragen, übermittelt. Sentry-Daten werden in der EU-Region (Frankfurt am Main, Deutschland) gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Stabilität, Sicherheit und Verfügbarkeit der Anwendung sowie schnelle Reaktion auf Programmfehler. Die Verarbeitung erfolgt ausschließlich nach Eintritt eines Fehlers, ohne automatisches Tracking, mit auf das Notwendige reduzierten Daten. Die schutzwürdigen Interessen der betroffenen Personen treten dahinter zurück, da kein durchgängiges Verhaltensprofil erstellt wird.

Speicherdauer: 90 Tage gemäß Sentry-Standardrichtlinie.

Zusätzlich zu den Server-Logs des Hosting-Anbieters erhebt der Verantwortliche eigene anwendungsbezogene Protokolle, in denen sicherheitsrelevante Vorgänge (z. B. fehlgeschlagene Anmeldeversuche, sensible administrative Aktionen, Zugriffe auf Belege) erfasst werden. Verarbeitet werden insbesondere die handelnde Nutzeridentifikation (pseudonyme Kennung), Zeitstempel, Aktion, Ergebnis sowie ggf. die IP-Adresse.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Erkennung und Abwehr von Angriffen, Nachvollziehbarkeit sicherheitsrelevanter Ereignisse, Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sowie Beweissicherung im Falle einer Datenpanne.

Widerspruchsrecht (Art. 21 DSGVO): Sie können dieser Verarbeitung jederzeit aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen. Wir verarbeiten Ihre Daten dann nicht weiter, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Speicherdauer: 60 Tage; sicherheitsrelevante Audit-Einträge bis zu 12 Monate.

Die Webanwendung verwendet ausschließlich solche Cookies und Speichermechanismen am Endgerät, die technisch unbedingt erforderlich sind, um den von Ihnen ausdrücklich angeforderten Dienst bereitzustellen (vgl. § 165 Abs. 3 TKG 2021 sowie Art. 5 Abs. 3 ePrivacy-Richtlinie). Marketing-, Profiling- oder Reichweitenmess-Cookies werden nicht gesetzt. Zur Reichweitenmessung kommt eine cookielose Technologie zum Einsatz (siehe unten), die weder Cookies setzt noch andere Informationen auf Ihrem Endgerät speichert oder ausliest.

Derzeit werden insbesondere folgende Cookies verwendet:

Reichweitenmessung mit Cloudflare Web Analytics

Zur statistischen Auswertung der Nutzung unserer Webanwendung setzen wir Cloudflare Web Analytics ein, einen Dienst der Cloudflare, Inc. Dieser Dienst arbeitet bewusst datensparsam: Er setzt keineCookies, verwendet keinen Local Storage, erstellt keinGeräte- oder Browser-Fingerprinting und verfolgt Sie nicht seitenübergreifend. Es werden ausschließlich aggregierte Kennzahlen ermittelt (z. B. aufgerufene Seite, verweisende Seite, ungefähres Land, Browser- und Gerätetyp sowie Ladezeit-Metriken). Eine Wiedererkennung einzelner Besucher findet nicht statt; es wird kein Nutzerprofil gebildet.

Die zur Auslieferung des Mess-Skripts technisch übermittelte IP-Adresse wird von Cloudflare nicht zur Wiedererkennung gespeichert und uns gegenüber nicht offengelegt. Wir erhalten ausschließlich zusammengefasste, anonyme Statistiken.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Verständnis der Nutzung und kontinuierliche Verbesserung unseres Angebots auf rein statistischer Basis. Da der Dienst cookielos arbeitet und keine Informationen auf Ihrem Endgerät speichert oder ausliest, ist hierfür keine Einwilligung nach § 165 Abs. 3 TKG 2021 bzw. Art. 5 Abs. 3 ePrivacy-Richtlinie erforderlich. Sie können dieser Verarbeitung gemäß Art. 21 DSGVO jederzeit widersprechen.

Da derzeit keine einwilligungsbedürftigen Cookies eingesetzt werden, ist eine Einwilligung über ein Cookie-Banner nicht erforderlich. Sollten in Zukunft Statistik-, Reichweiten- oder Marketing-Technologien hinzukommen, erfolgt deren Einsatz erst nach Ihrer ausdrücklichen Einwilligung über ein dann bereitgestelltes Consent-Werkzeug. Diese Datenschutzerklärung wird in diesem Fall entsprechend angepasst.

Wenn Sie auf der Bezahlseite zum externen Anbieter Stripe weitergeleitet werden, können dort eigene Cookies und Technologien zum Einsatz kommen. Für diese ist Stripe eigenverantwortlich; Hinweise dazu finden Sie in den Datenschutzinformationen von Stripe.

Personenbezogene Daten werden grundsätzlich nur weitergegeben, soweit dies für die Erbringung des Dienstes erforderlich ist oder eine gesetzliche Verpflichtung dazu besteht. Folgende Kategorien von Empfängern kommen in Betracht:

• Cloudflare, Inc. (USA, Edge-Standorte weltweit; bevorzugt EU) – Hosting der Webanwendung, Bot- und DDoS-Schutz, Speicherung von Beleg-Uploads in einem Bereich mit EU-Jurisdiktion. Auftragsverarbeiter.
• Supabase Pte. Ltd. (65 Chulia Street #38-02/03, OCBC Centre, Singapur 049513; Datenhaltung in Zürich, Schweiz, Region eu-central-2) – Datenbank- und Authentifizierungsdienste. Auftragsverarbeiter.
• Stripe Payments Europe, Ltd. (Dublin, Irland) und Stripe, Inc. (USA) – Zahlungsabwicklung, Steuerberechnung, Rechnungsstellung. Eigenverantwortlich, soweit gesetzliche Pflichten (z. B. Geldwäsche- und Betrugsprävention) Stripe als Verantwortlichen treffen; im Übrigen Auftragsverarbeiter.
• Functional Software, Inc. (Sentry) (USA; EU-Region: Frankfurt am Main, Deutschland) – serverseitige Fehlerprotokollierung. Auftragsverarbeiter.
• Resend, Inc. (USA) – Versand transaktionaler System-E-Mails (E-Mail-Bestätigung, Passwort-Zurücksetzung, Einladung zugeordneter Personen, Konto- und Abrechnungsbenachrichtigungen). Auftragsverarbeiter.
• Steuerberater, Rechnungsprüfer, Behörden und Gerichte im Rahmen gesetzlicher Verpflichtungen.

Mit allen genannten Auftragsverarbeitern bestehen vertragliche Vereinbarungen, die den Anforderungen des Art. 28 DSGVO entsprechen. Eine vollständige Liste der eingesetzten Subdienstleister mit Sitzland und Funktion findet sich in Anlage 1 des Auftragsverarbeitungsvertrags.

Einige der eingesetzten Anbieter haben ihren Sitz außerhalb der Europäischen Union. Soweit es im Rahmen ihres Betriebs zu Datenübermittlungen in Drittländer kommen kann, stützen wir diese auf folgende Garantien:

• Cloudflare, Inc., Stripe, Inc. sowie Functional Software, Inc. (Sentry) sind unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Der Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 ist insoweit anwendbar (vgl. dataprivacyframework.gov).
• Für Supabase Pte. Ltd. (Singapur) und Resend, Inc. (USA) bestehen Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO als zusätzliche Garantie. Die Datenhaltung der Supabase-Plattform erfolgt primär in der Schweiz (Region eu-central-2, Zürich); für die Schweiz liegt ein Angemessenheitsbeschluss der Europäischen Kommission nach Art. 45 DSGVO vor.

Hinweis zum US-CLOUD-Act: Auch bei Speicherung in der EU können US-amerikanische Konzerngesellschaften theoretisch US-Behördenanordnungen unterliegen, die zu einer Datenherausgabe verpflichten können. Wir reduzieren dieses Restrisiko durch die Auswahl von Anbietern mit EU-Rechenzentren, durch Verschlüsselung während der Übertragung, Datenminimierung und durch vertragliche Verpflichtungen unserer Auftragsverarbeiter.

Restrisiko und laufende Prüfung: Die Nichtigkeitsklage gegen den EU-U.S.-DPF-Angemessenheitsbeschluss (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023) wurde vom Gericht der Europäischen Union mit Urteil vom 3. September 2025 (Rechtssache Latombe, T-553/23) abgewiesen; der Beschluss bleibt aufrecht. Ein Rechtsmittel an den EuGH ist möglich, die Rechtslage kann sich daher ändern. Fällt der Beschluss künftig weg, stützen wir die Übermittlung ergänzend auf die Standardvertragsklauseln samt einzelfallbezogener Prüfung und Zusatzmaßnahmen (Transportverschlüsselung, Datenminimierung) im Sinne der Rechtsprechung des EuGH (Urteil vom 16. Juli 2020, C-311/18, Schrems II). Wir überprüfen die Garantien der eingesetzten Anbieter laufend.

Personenbezogene Daten werden gespeichert, solange dies für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Im Überblick:

Ihnen stehen gegenüber dem Verantwortlichen hinsichtlich Ihrer personenbezogenen Daten folgende Rechte zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO gestützt sind (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Diese Rechte können Sie formlos per E-Mail an dsgvo@spritbiene.at geltend machen. Für das Konto stehen Ihnen außerdem ein integrierter Datenexport sowie eine Möglichkeit zur Konto-Löschung zur Verfügung; eine Löschung kann auch jederzeit per E-Mail beantragt werden.

Beschwerderecht (Art. 77 DSGVO): Unbeschadet eines anderweitigen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Die für Spritbiene zuständige Aufsichtsbehörde ist:

Die Bereitstellung Ihrer personenbezogenen Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Sie sind nicht verpflichtet, uns Ihre Daten zur Verfügung zu stellen. Eine Nutzung der Business-Webanwendung ist jedoch nur möglich, wenn die zur Vertragsabwicklung erforderlichen Daten (insbesondere E-Mail-Adresse, Passwort, Bezeichnung der Organisation und Zahlungsinformationen) bereitgestellt werden. Werden diese Daten nicht bereitgestellt, kann das Konto nicht eingerichtet bzw. der Vertrag nicht abgewickelt werden.

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt, findet durch den Verantwortlichen nichtstatt – mit folgender Ausnahme:

Im Rahmen der Zahlungsabwicklung über Stripe wird jede Transaktion automatisiert auf Anzeichen von Betrug geprüft (Stripe Radar). Dabei werden insbesondere Transaktions-, Geräte- und Verhaltensmerkmale gegen ein maschinell lernendes Modell von Stripe abgeglichen. Eine als hochriskant eingestufte Transaktion kann automatisch abgelehnt werden. Sie können nach Art. 22 Abs. 3 DSGVO eine Darlegung der Entscheidung, eine menschliche Prüfung sowie die Anfechtung der Entscheidung verlangen, indem Sie sich an den Verantwortlichen oder direkt an Stripe wenden.

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um personenbezogene Daten vor Verlust, Manipulation und unberechtigtem Zugriff zu schützen. Dazu zählen insbesondere:

• Transportverschlüsselung sämtlicher Verbindungen mittels TLS
• Verschlüsselung gespeicherter Daten beim jeweiligen Hosting- bzw. Datenbankanbieter
• Sichere Speicherung von Passwörtern als kryptografische Hashes
• Mehrstufige Zugriffskontrolle auf Datenbank- und Speicherbereiche
• Trennung von Berechtigungen anhand der Rolle (z. B. Owner, Mitglied)
• Ratenbegrenzung und Bot-Schutz (insbesondere für sicherheitskritische Endpunkte)
• Absicherung von Zahlungs- und Webhook-Schnittstellen mittels Signaturprüfung
• Regelmäßige Aktualisierung eingesetzter Komponenten und Sicherheitsbibliotheken
• Datensparsame Konfiguration von Drittdiensten (z. B. deaktivierte Erfassung personenbezogener Standardfelder bei Sentry)

Eine ausführliche Darstellung der technischen und organisatorischen Maßnahmen findet sich in Anlage 2 des Auftragsverarbeitungsvertrags.

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche diese unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde, soweit nicht voraussichtlich kein Risiko für die Rechte und Freiheiten betroffener Personen besteht.

Im Anwendungsbereich der Auftragsverarbeitung informieren wir außerdem den betroffenen Kunden unverzüglich, spätestens innerhalb von 48 Stunden nach Bekanntwerden, damit dieser seinerseits seinen Melde- und Informationspflichten gegenüber den betroffenen Personen nachkommen kann. Bei voraussichtlich hohem Risiko für die Rechte und Freiheiten betroffener Personen werden auch diese unverzüglich informiert.

Diese Datenschutzerklärung wird angepasst, wenn sich die Verarbeitungstätigkeiten ändern oder wenn neue rechtliche Anforderungen dies erfordern. Die jeweils aktuelle Fassung ist unter b2b.spritbiene.at/datenschutz abrufbar. Wesentliche Änderungen werden eingeloggten Kund:innen zusätzlich auf geeignetem Weg (z. B. per E-Mail oder Hinweis im Dashboard) mitgeteilt. Frühere Fassungen sind auf Anfrage erhältlich.

Maßgeblich ist die jeweils deutsche Fassung.