Datenschutzerklärung

1. Gemeinsam Verantwortliche (Art. 26 DSGVO)

Die Plattform „Nisty" (nis2.strategiemanufaktur.online) wird von zwei Gesellschaften gemeinsam betrieben. Für die über die Plattform verarbeiteten personenbezogenen Daten sind diese beiden Gesellschaften gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO:

Strategie Manufaktur Unternehmensberatung e.U.
Romatschachen 86, 8212 Pischelsdorf, Österreich
vertreten durch den Inhaber Bernd Steiner, MA BA

Risk-Vision GmbH
Südsiedlung 1/1, 8401 Kalsdorf, Österreich
vertreten durch den Geschäftsführer Manuel Rieger, MA MBA

Gemeinsame E-Mail-Adresse: office@strategiemanufaktur.online

Beide Gesellschaften legen gemeinsam die Zwecke und Mittel der Verarbeitung fest und haben eine Vereinbarung gemäß Art. 26 DSGVO geschlossen, in der ihre jeweiligen Aufgaben und Verantwortlichkeiten festgelegt sind. Das Wesentliche dieser Vereinbarung: Strategie Manufaktur e.U. und Risk-Vision GmbH erbringen den Plattformbetrieb gleichrangig; sie haften gegenüber betroffenen Personen gesamtschuldnerisch. Zentrale Anlaufstelle für die Wahrnehmung Ihrer Betroffenenrechte (siehe Abschnitt 13) und für sämtliche Anfragen ist die oben genannte gemeinsame E-Mail-Adresse. Sie können Ihre Rechte gemäß Art. 26 Abs. 3 DSGVO gegenüber jeder der beiden Gesellschaften geltend machen.

Doppelrolle: Soweit Sie als Kundenunternehmen in der Plattform personenbezogene Daten Dritter verarbeiten (z. B. Daten Ihrer Lieferanten, Mitarbeitenden oder gemeldeter Vorfälle), sind Sie der Verantwortliche und die beiden Gesellschaften handeln insoweit als Auftragsverarbeiter in Ihrem Auftrag. Für diese Konstellation gilt der Auftragsverarbeitungsvertrag (AAV) nach Art. 28 DSGVO.

2. Arten der verarbeiteten Daten

• Bestandsdaten: Name, E-Mail-Adresse, Firmenname
• Nutzungsdaten: Assessment-Antworten, hochgeladene Nachweise, erstellte Richtlinien
• Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeiten (Server-Logs)
• Zahlungsdaten: werden ausschließlich von Stripe verarbeitet (siehe Abschnitt 5)

3. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der Plattform)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Sicherheit, Missbrauchsprävention, Produktverbesserung)
• Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung (z. B. Aufbewahrung des Audit-Logs)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (nur wenn ausdrücklich erteilt)

4. Hosting

Die Plattform wird bei der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland (Unternehmenssitz) gehostet. Die Datenverarbeitung erfolgt ausschließlich in den deutschen Rechenzentren von Hetzner (Standorte Nürnberg und Falkenstein). Hetzner verarbeitet die Daten ausschließlich als unser Auftragsverarbeiter auf Grundlage eines Vertrags nach Art. 28 DSGVO. Rechtsgrundlage des Hostings: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

5. Zahlungsabwicklung

Zahlungen werden über Stripe (Stripe Payments Europe Ltd., Irland, sowie Stripe Inc., USA) abgewickelt. Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert. Stripe ist hinsichtlich der Zahlungsdaten eigenständig (mit-)verantwortlich. Soweit eine Übermittlung in die USA erfolgt, ist diese durch EU-Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert. Datenschutzerklärung von Stripe: stripe.com/privacy

6. Cookies

Diese Plattform verwendet ausschließlich technisch notwendige Session-Cookies. Es werden keine Tracking-Cookies, Marketing-Cookies oder externe Analyse-Tools (z. B. Google Analytics) eingesetzt.

7. SSL/TLS-Verschlüsselung

Sämtliche Datenübertragungen erfolgen über eine verschlüsselte HTTPS-Verbindung (TLS 1.2 oder höher).

8. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Kontodaten werden nach Kontolöschung innerhalb von 30 Tagen gelöscht. Server-Logs werden maximal 90 Tage aufbewahrt. Abweichende Speicherfristen für Telemetrie- und Audit-Daten sind in den Abschnitten 9 und 10 geregelt.

9. Pseudonymisierte Nutzungsanalyse (intern)

Zur Verbesserung der Plattform und zur Funnel-Analyse erfassen wir technische Nutzungsereignisse innerhalb der Nisty-Plattform. Diese Verarbeitung ist interne Telemetrie — wir geben keine Daten an externe Analyse-Dienstleister weiter (kein Google Analytics, Mixpanel, Posthog o. Ä.).

Was wir erfassen

• Zeitpunkt und Art technischer Aktionen (z. B. „Assessment gestartet", „Compliance-Statusbericht erstellt", „Modul aufgerufen")
• Pseudonymer Bezug zu Ihrem Mandanten (Tenant-ID) und zu Ihrer Nutzer-ID — keine Klarnamen
• Aggregierte Metadaten (Score-Werte, Control-Nummern, verwendete Vorlage)
• Tagesweise rotierender Sitzungs-Hash zur Pseudonymisierung

Was wir nicht erfassen

• IP-Adressen für Journey-Events (für das Sicherheits-Audit-Log siehe Abschnitt 10)
• Browser-Kennungen (User-Agent)
• Namen, E-Mail-Adressen, Telefonnummern oder Kontaktdaten innerhalb der Ereignisdaten — technisch durchgesetzt durch Whitelist-Filter und Regex-Erkennung
• Inhalte von Formularfeldern oder Freitext-Eingaben
• Mausbewegungen, Tastendrücke, Bildschirmaufnahmen
• Aktivitäten außerhalb der Nisty-Plattform

Modul-Navigation

Wenn Sie zwischen Modulen der Plattform navigieren, erfassen wir den Modul-Aufruf als Aggregat pro Mandant — ohne Ihre Nutzer-ID. Diese Information dient ausschließlich der Erkennung, welche Module von KMU-Compliance-Teams bevorzugt genutzt werden, nicht der Beobachtung individueller Mitarbeiter.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung und Conversion-Analyse). Eine Interessenabwägung (Legitimate Interest Assessment) ist intern dokumentiert und wird auf schriftliche Anfrage an office@strategiemanufaktur.online übermittelt.

Speicherdauer

24 Monate ab Erfassung. Danach erfolgt eine automatische Anonymisierung: die Nutzer-ID, die Ereignis-Detailinformation und der Sitzungs-Hash werden auf NULL bzw. leer gesetzt. Bei Löschung Ihres Mandanten werden alle zugehörigen Ereignisdaten unverzüglich mitgelöscht.

Ihr Widerspruchsrecht (Art. 21 DSGVO) — Opt-out

Sie können der Erfassung jederzeit über einen Schalter in Ihren Kontoeinstellungen widersprechen. Bei Widerspruch werden ab sofort keine weiteren Ereignisse mit Bezug zu Ihrer Nutzer-ID erfasst, und bereits erfasste Ereignisdaten zu Ihrer Nutzer-ID werden rückwirkend anonymisiert.

10. Compliance-Audit-Log

Zusätzlich zur Nutzungsanalyse führen wir ein manipulationsgesichertes Audit-Log über sicherheits- und compliance-relevante Aktionen innerhalb Ihres Mandanten (Login-Vorgänge, MFA-Ereignisse, Erstellung/Änderung/Löschung von Richtlinien, Lieferanten-Bewertungen, Incident-Meldungen, Schulungs-Versendung, Compliance-Statusberichts-Erstellung).

Zweck und Rechtsgrundlage

Erfüllung der Rechenschafts- und Nachweispflichten gegenüber NIS-2-Aufsichtsbehörden (Art. 21 + Art. 23 RL 2022/2555), ISO 27001:2022 Stage-2-Auditoren (A.5.33) sowie Wirtschaftsprüfern. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Was wir erfassen

• Zeitpunkt, Aktion (z. B. policy.generated), Outcome (success/failure/denied)
• Pseudonyme Akteur-Kennung (z. B. „User#a7b3c1d8")
• IP-Adresse für Auth-Events — Pflicht-Bestandteil ISO 27001 A.8.15
• Verkettung der Einträge per kryptografischer Hash-Kette (SHA-256) zur Manipulations-Erkennung
• Mapping zu konkreten Compliance-Controls (z. B. ISO27001.A.5.2, NIS2.Art21.2.a)

Speicherdauer

6 Jahre (orientiert an § 132 BAO und ISO 27001 A.5.33). Die Tabelle ist append-only — Einträge können weder geändert noch gelöscht werden, außer bei vollständiger Mandanten-Löschung.

Ihr Audit-Export-Recht

Als Tenant-Administrator können Sie über Ihre Kontoeinstellungen ein vollständiges Audit-Log Ihres Mandanten als JSON oder CSV herunterladen, inklusive Hash-Chain-Anker für unabhängige Verifikation durch Ihre Auditoren.

11. Datenstandort und Drittlandtransfer

Sämtliche Kerndaten der Nisty-Plattform werden ausschließlich auf Servern der Hetzner Online GmbH in Deutschland (Nürnberg/Falkenstein) verarbeitet. Ein Drittlandtransfer findet grundsätzlich nicht statt. Ausnahmen:

• Transaktions-E-Mails werden über Postmark (ActiveCampaign LLC, USA) versendet. Die Übermittlung ist durch EU-Standardvertragsklauseln (SCC) und das EU-US Data Privacy Framework abgesichert (Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023, durch das Gericht der EU im September 2025 bestätigt; ein Rechtsmittel ist anhängig).
• Zahlungsabwicklung über Stripe (siehe Abschnitt 5).

12. Auftragsverarbeitung und Unter-Auftragsverarbeiter

Für die Verarbeitung von Daten, die Sie als Kundenunternehmen in der Plattform speichern, gilt der Auftragsverarbeitungsvertrag (AAV) nach Art. 28 DSGVO. Folgende Unter-Auftragsverarbeiter sind eingebunden:

• Hetzner Online GmbH (Deutschland) — Hosting/Infrastruktur
• Stripe Payments Europe Ltd. / Stripe Inc. (Irland/USA) — Zahlungsabwicklung
• ActiveCampaign LLC / Postmark (USA) — Transaktions-E-Mail

13. Ihre Rechte

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) — siehe Opt-out in Abschnitt 9

Zur Ausübung Ihrer Rechte wenden Sie sich an die zentrale Anlaufstelle der gemeinsam Verantwortlichen: office@strategiemanufaktur.online

14. Beschwerderecht

Sie haben das Recht, eine Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzureichen, insbesondere bei der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien (www.dsb.gv.at).

Stand: Juni 2026

© 2026 Strategie Manufaktur Unternehmensberatung e.U. & Risk-Vision GmbH