Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Österreichischen Datenschutzgesetzes (DSG):

KSV1870 Nimbusec GmbH
Kaisergasse 16b
4020 Linz
Österreich
Telefon: +43 (0)732 860 626
E-Mail: office@nimbusec.com
Website: nimbusec.com

2.1. Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage nach Artikel 6 DSGVO vorliegt:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

   Sie haben freiwillig in die Verarbeitung Ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke eingewilligt.

2. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

   Die Verarbeitung ist zur Erfüllung eines Vertrags mit Ihnen oder zur Durchführung vorvertraglicher Maßnahmen auf Ihre Anfrage erforderlich.

3. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

   Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, z.B. aus buchhalterischen Vorschriften oder der DORA.

4. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

   Die Verarbeitung ist zur Wahrung unserer oder der berechtigten Interessen eines Dritten erforderlich, sofern nicht Ihre Interessen oder Grundrechte überwiegen.

2.2. Kategorien verarbeiteter Daten

Wir verarbeiten folgende Kategorien personenbezogener Daten:

• Identifikationsdaten, wie z.B. Name, Vorname, Firma, Position
• Kontakt- und Kundendaten, wie z.B. E-Mail-Adresse, Telefonnummer, Postanschrift
• Vertragsdaten, wie z.B. Kundenummer, Vertragsdetails, Bestellhistorie
• Zahlungsdaten, wie z.B. Rechnungsadresse, UID, Bankverbindung
• Technische Daten, wie z.B. IP-Adresse, Browser-Informationen, Nutzungsverhalten
• Kommunikationsdaten, wie z.B. Inhalte der Korrespondenz, Support-Anfragen

3.1. Vertragserfüllung und Kundenbetreuung

• Zweck: Abschluss und Erfüllung von Verträgen, Kundenbetreuung, technischer Support
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
• Datenarten: Identifikations-, Kontakt-, Vertrags- und Zahlungsdaten
• Speicherdauer: Bis zur vollständigen Vertragsabwicklung, dann gemäß gesetzlichen Aufbewahrungsfristen

3.2. Abrechnung und Buchhaltung

• Zweck: Rechnungsstellung, Buchhaltung, Steuerrecht
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Datenarten: Vertrags-, Zahlungs- und Rechnungsdaten
• Speicherdauer: während der Dauer des Vertragsverhältnisses und für 7 Jahre nach Ablauf des Kalenderjahres der Erhebung, sofern die Unterlagen nicht für ein anhängiges gerichtliches oder behördliches Verfahren benötigt werden (§ 132 BAO, § 212 UGB)

3.3. Marketing und Werbung

• Zweck: Newsletter, Produktinformationen, Marketingkommunikation
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, insbesondere für Newsletter) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Datenarten: Kontaktdaten, Kommunikationsdaten
• Speicherdauer: Bis zum Widerruf der Einwilligung oder bis zum Widerspruch, maximal 3 Jahre nach letztem Kontakt

3.4. Sicherheit und Compliance

• Zweck: Sicherstellung der IT-Sicherheit, Betrugsprävention, Compliance
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Datenarten: Technische Daten, Zugriffsprotokolle
• Speicherdauer: 12 Monate, sofern nicht andere gesetzliche Verpflichtungen bestehen

4.1. Direkte Erhebung

Personenbezogene Daten erheben wir direkt von Ihnen in folgenden Situationen:

• Registrierung für unsere Services
• Abschluss von Verträgen
• Datenerhebung über DORA-Modul und Cyberrisk Rating
• Kontaktaufnahme über Formulare oder E-Mail
• Teilnahme an Webinaren oder Events
• Newsletter-Anmeldung

4.2. Indirekte Erhebung

Im Rahmen unserer Services für Kunden können wir auch personenbezogene Daten verarbeiten, die nicht direkt bei Ihnen erhoben wurden. Die Erhebung dieser Daten erfolgt für unsere Kunden, insbesondere zur Erfüllung regulatorischer Anforderungen (z. B. DORA). Diese Daten stammen von unserem Kunden oder von Lieferanten unserer Kunden und werden an diese als Empfänger weitergeleitet, z.B. für die Erstellung des DORA-Informationsregisters.

• Zweck: Erfüllung vertraglicher Pflichten gegenüber dem Kunden zur Einhaltung regulatorischer Anforderungen (z. B. DORA)
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Datenarten: Identifikationsdaten, Kontakt- und Kundendaten
• Speicherdauer: Bis zur vollständigen Vertragsabwicklung, dann gemäß gesetzlichen Aufbewahrungsfristen

4.3. Automatische Erhebung

Beim Besuch unserer Website werden automatisch folgende Daten erhoben:

• IP-Adresse
• Browser-Typ und -Version
• Betriebssystem
• Referrer-URL
• Zugriffszeitpunkt
• Aufgerufene Seiten

Bei diesen Daten handelt es sich ausschließlich um für den ordnungsgemäßen Betrieb der Website technisch notwendige Daten.

4.4. Drittquellen

In begrenztem Umfang können wir Daten aus öffentlich zugänglichen Quellen (z.B. Firmenbuch, Grundbuch, öffentliche Profile, Websites) zur Vervollständigung und Aktualisierung bestehender Kundendaten nutzen.

5.1. Auftragsverarbeiter

Wir arbeiten mit vertrauenswürdigen Dienstleistern zusammen, die uns bei der Erbringung unserer Services unterstützen:

• Cloud-Hosting-Anbieter: Für die Bereitstellung unserer Online-Services
• IT-Consulting-Anbieter: Für die Datenerhebung und die Qualitätssicherung
• Zahlungsdienstleister: Für die Abwicklung von Zahlungen
• E-Mail-Service-Provider: Für den Versand von Newslettern und Transaktions-E-Mails
• Support-Software-Anbieter: Für Office-Aufgaben und die Kundenbetreuung

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO und diese sind unter anderem zur Etablierung und Aufrechterhaltung angemessener technischer und organisatorischer Schutzmaßnahmen verpflichtet.

5.2. Gesetzliche Verpflichtungen

Eine Weitergabe personenbezogener Daten an andere Dritte erfolgt nur, wenn:

• Eine rechtliche Verpflichtung besteht (z.B. steuerliche Prüfung)
• Behördliche Anfragen rechtmäßig gestellt werden
• Die Durchsetzung von Rechtsansprüchen erforderlich ist

5.3. Keine Weitergabe an Dritte zu Werbezwecken

Ihre personenbezogenen Daten werden nicht an Dritte zu Werbezwecken verkauft oder anderweitig übermittelt.

6.1. Ort der Datenverarbeitung

Die Services von Nimbusec und alle damit verbundenen Datenspeicherungen werden ausschließlich über Server in der EU bereitgestellt.

6.2. Internationale Datentransfers in Drittländer

Daten werden grundsätzlich ausschließlich in der EU gespeichert und verarbeitet. Sollten Daten in Ausnahmefällen in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übertragen werden, erfolgt dies nur bei Vorliegen angemessener Garantien:

• Angemessenheitsbeschlüsse der EU-Kommission
• Standardvertragsklauseln der EU-Kommission
• Zertifizierte Datenschutz-Frameworks (z.B. EU-US Data Privacy Framework)

Sie haben nach der DSGVO folgende Rechte:

7.1. Auskunftsrecht (Art. 15 DSGVO)

Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen, einschließlich:

• Zwecke der Verarbeitung
• Kategorien der verarbeiteten Daten
• Empfänger der Daten
• Geplante Speicherdauer
• Herkunft der Daten

7.2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

7.3. Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, wenn:

• Die Daten für die ursprünglichen Zwecke nicht mehr erforderlich sind;
• Sie Ihre Einwilligung widerrufen haben;
• Die Daten unrechtmäßig verarbeitet wurden; oder
• Keine gesetzlichen Aufbewahrungspflichten bestehen.

7.4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können die Einschränkung der Verarbeitung verlangen, wenn:

• Die Richtigkeit der Daten bestritten wird
• Die Verarbeitung unrechtmäßig ist
• Die Daten für rechtliche Ansprüche benötigt werden

7.5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übertragen lassen.

7.6. Widerspruchsrecht (Art. 21 DSGVO)

Sie können der Verarbeitung Ihrer Daten widersprechen, wenn:

• Die Verarbeitung auf berechtigten Interessen beruht
• Die Daten für Direktwerbung verwendet werden
• Eine automatisierte Entscheidungsfindung erfolgt

7.7. Recht auf Widerruf der Einwilligung

Soweit die Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit widerrufen. Der Widerruf wirkt für die Zukunft und berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.

7.8. Ausübung der Rechte

Ihre Rechte können Sie per E-Mail an datenschutz@nimbusec.com oder schriftlich an unsere Geschäftsadresse geltend machen. Wir werden Ihre Anfrage innerhalb eines Monats nach deren Eingang bearbeiten, wobei diese Frist unter Umständen gemäß Art. 12 DSGVO um weitere zwei Monate verlängert werden kann. Über eine solche Verlängerung informieren wir Sie innerhalb eines Monats nach Eingang Ihrer Anfrage.

7.9. Identitätsnachweis

Bei Anfragen bezüglich Ihrer personenbezogenen Daten können wir einen Identitätsnachweis verlangen, um Missbrauch zu verhindern.

8.1. Allgemeine Grundsätze

Ihre Daten werden nur so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

8.2. Spezifische Speicherfristen

• Vertragsdaten: 7 Jahre nach Vertragsende (§ 132 BAO)
• Rechnungsunterlagen: 7 Jahre nach Rechnungsstellung (§ 132 BAO, § 212 UGB)
• Korrespondenz: 7 Jahre nach letztem Kontakt (§ 132 BAO)
• Newsletter-Einwilligungen: Bis zum Widerruf, maximal 3 Jahre nach letztem Kontakt
• Website-Logs: 12 Monate

8.3. Automatische Löschung

Wir haben technische und organisatorische Maßnahmen implementiert, die eine automatische Löschung von Daten nach Ablauf der jeweiligen Speicherfristen gewährleisten.

9.1. Verwendung von Cookies

Unsere Website verwendet technisch notwendige Cookies, die auf Ihrem Gerät gespeichert werden:

• Zweck: Grundfunktionalität der Website
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
• Speicherdauer: Session oder bis zu 12 Monate

Bei diesen Daten handelt es sich ausschließlich um für den ordnungsgemäßen Betrieb der Website technisch notwendige Daten.

9.2. Webanalyse

Wir verwenden Matomo (gehostet in der EU) zur Analyse der Website-Nutzung:

• IP-Adressen werden pseudonymisiert (letzte 2 Oktetts Daten werden grundsätzlich ausschließlich in der EU gespeichert und verarbeitet. gelöscht)
• Respektierung der "Do Not Track"-Einstellung
• Keine Weitergabe an Dritte

10.1. Technische und organisatorische Maßnahmen

Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten:

Technische Maßnahmen

• SSL-/TLS-Verschlüsselung bei der Datenübertragung
• Verschlüsselung von Daten bei der Speicherung
• Regelmäßige Sicherheitsupdates und Patches
• Firewalls und Intrusion-Detection-Systeme
• Regelmäßige Backups und Disaster-Recovery-Pläne

Organisatorische Maßnahmen

• Zugriffskontrolle und Berechtigungskonzept
• Schulung der Mitarbeiter im Datenschutz
• Verpflichtung auf das Datengeheimnis nach § 6 DSG
• Regelmäßige Überprüfung der Sicherheitsmaßnahmen
• Incident-Response-Verfahren

10.2. Datenschutzverletzungen

Im Falle einer Datenschutzverletzung werden wir:

• Die österreichische Datenschutzbehörde innerhalb von 72 Stunden informieren
• Sie unverzüglich benachrichtigen, wenn ein hohes Risiko für Ihre Rechte und Freiheiten besteht
• Geeignete Maßnahmen zur Schadensbegrenzung ergreifen

Sie haben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42
1030 Wien
Österreich
Telefon: +43 (0)1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: www.dsb.gv.at

Für alle Fragen zum Datenschutz und zur Ausübung Ihrer Betroffenenrechte iSd DSGVO (siehe Abschnitt 7.) wenden Sie sich bitte an:

E-Mail: datenschutz@nimbusec.com
Post: KSV1870 Nimbusec GmbH, Kaisergasse 16b, 4020 Linz, Österreich

13.1. Aktualisierung

Diese Datenschutzerklärung wird regelmäßig überprüft und bei Bedarf aktualisiert. Die aktuelle Version ist immer auf unserer Website verfügbar.

13.2. Benachrichtigung

Wesentliche Änderungen werden wir über einen deutlichen Hinweis auf unserer Website mitteilen.

13.3. Datum der letzten Änderung

Diese Datenschutzerklärung wurde zuletzt im Juni 2025 aktualisiert.