Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
[Firmenname, Adresse, E-Mail — identisch mit Impressum]
2. Überblick der Verarbeitung
Kerngrundsatz: Deine Kundendaten (Namen, Adressen, Versicherungsdetails) werden ausschließlich lokal in deinem Browser gespeichert (localStorage). Sie werden zu keinem Zeitpunkt an unseren Server übertragen.
3. Welche Daten wir verarbeiten
3.1 Auf dem Server gespeichert:
- Account-Daten: E-Mail, Name, verschlüsseltes Passwort (PBKDF2-SHA256)
- Session-Daten: Login-Token, Zeitstempel
- Zahlungsdaten: Stripe-Kunden-ID (Kreditkartendaten werden ausschließlich bei Stripe verarbeitet)
- Support-Anfragen: Name, E-Mail, Nachricht
3.2 Nur lokal in deinem Browser:
- Kundendaten (Namen, Kontaktdaten, Adressen)
- Versicherungspolizzen und Bedarfsanalysen
- Pipeline-Status, Aufgaben, Umsatzdaten
- Berichte und Verlaufsdaten
Diese Daten verlassen deinen Browser nicht. Der Server hat keinen Zugriff darauf.
4. Rechtsgrundlage
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Account-Verwaltung, Bereitstellung der App
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Sicherheit, Fehler-Logging
5. Speicherdauer
- Account-Daten: Bis zur Kontolöschung
- Session-Daten: 30 Tage
- Login-Versuche: 24 Stunden
- Fehler-Logs: 90 Tage
- Lokale Browser-Daten: Unter deiner Kontrolle
6. Deine Rechte
Du hast das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) — Konto kann jederzeit gelöscht werden
- Datenübertragbarkeit (Art. 20 DSGVO) — Export-Funktion in der App
- Widerspruch (Art. 21 DSGVO)
Beschwerderecht bei der Datenschutzbehörde: www.dsb.gv.at
7. Auftragsverarbeiter
- Stripe Inc. — Zahlungsabwicklung (USA, EU-Standardvertragsklauseln)
- Hosting-Anbieter: [Name, Standort]
8. Datensicherheit
- HTTPS-Verschlüsselung für alle Verbindungen
- Passwörter: PBKDF2-SHA256 mit 100.000 Iterationen
- Session-Tokens: Kryptographisch sichere Zufallswerte
- Brute-Force-Schutz: Rate-Limiting bei Login
- Security-Headers: X-Frame-Options, CSP, HSTS
9. Cookies
Wir verwenden ausschließlich technisch notwendige Cookies:
- session_token: Login-Session (30 Tage, HttpOnly)
- csrf_token: Schutz gegen Cross-Site-Request-Forgery (24h)
Keine Tracking-Cookies, keine Drittanbieter-Cookies.