Datenschutzerklärung
1. Verantwortlicher
RiFa Holding & Advertising GmbH
Emil-von-Behring-Straße 14
9500 Villach
Österreich
E-Mail: datenschutz@rifa-holding.at
2. Überblick der Verarbeitungen
Versandklar („Service") prüft und korrigiert Lieferadressen aus Xentral Sales Orders automatisiert mithilfe des Adressvalidierungsdienstes Adresslabor.de. Die nachfolgende Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten.
3. Verarbeitete personenbezogene Daten
Im Rahmen der Nutzung des Service werden folgende Daten verarbeitet:
- Bestandsdaten: E-Mail-Adresse, verschlüsseltes Passwort (bei Registrierung)
- Adressdaten aus Xentral: Vorname, Nachname, Firma, Straße, Hausnummer, PLZ, Ort, Land (Lieferadresse aus Sales Orders)
- Nutzungsdaten: Zeitstempel der Adressprüfungen, Validierungsergebnisse (Ampelstatus, Score), Xentral Sales Order IDs
- Abrechnungsdaten: Stripe Customer ID, Subscription-Status (keine Kreditkartendaten – diese verbleiben bei Stripe)
4. Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung des Service (Adressvalidierung) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Abrechnung über Stripe | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Fehlerbehebung und Service-Verbesserung | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
5. Auftragsverarbeiter
Zur Erbringung des Service setzen wir folgende Auftragsverarbeiter gemäß Art. 28 DSGVO ein:
| Dienstleister | Zweck | Standort |
|---|---|---|
| Adresslabor GmbH | Adressvalidierung und -korrektur (DACH-Raum) | Deutschland (EU) |
| Stripe, Inc. | Zahlungsabwicklung und Subscription-Management | USA (EU-Standardvertragsklauseln / DPF) |
| Railway Corp. | Cloud-Hosting (Server, Datenbank, Redis) | USA (EU-Standardvertragsklauseln) |
Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO geschlossen. Adresslabor verarbeitet die Daten ausschließlich innerhalb der EU.
6. Datenübermittlung an Drittstaaten
Stripe und Railway haben ihren Sitz in den USA. Die Datenübermittlung erfolgt auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) bzw. des EU-U.S. Data Privacy Frameworks. Wir stellen sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist.
7. Speicherdauer und Löschung (Retention Policy)
Personenbezogene Adressdaten (Originaladresse, geprüfte Adresse, korrigierte Adresse, Kunden-IDs) werden automatisch nach 90 Tagen anonymisiert. Dabei werden die Adressfelder geleert; nicht-personenbezogene Metadaten (Prüfstatus, Score, Abrechnungsstatus) bleiben für statistische Zwecke erhalten.
Die automatische Bereinigung erfolgt täglich durch einen serverseitigen Retention-Cleanup-Prozess.
Bestandsdaten (E-Mail, Passwort) werden bei Kontolöschung unverzüglich gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Abrechnungsdaten werden gemäß den gesetzlichen Aufbewahrungsfristen (7 Jahre gem. § 132 BAO bzw. § 212 UGB) aufbewahrt.
8. Verschlüsselung und Sicherheit
- Xentral API-Schlüssel werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert
- Passwörter werden mit bcrypt (Cost Factor 12) gehasht
- Die Kommunikation zwischen Client und Server erfolgt ausschließlich über HTTPS/TLS
- Webhook-Signaturen werden mit HMAC-SHA256 verifiziert
9. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15 DSGVO) – Welche Daten wir über Sie speichern
- Berichtigungsrecht (Art. 16 DSGVO) – Korrektur unrichtiger Daten
- Löschungsrecht (Art. 17 DSGVO) – Löschung Ihrer Daten („Recht auf Vergessenwerden")
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten in maschinenlesbarem Format
- Widerspruchsrecht (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@rifa-holding.at
10. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
www.dsb.gv.at
11. Cookies
Der Service verwendet ausschließlich technisch notwendige Cookies (Session-Token im localStorage). Es werden keine Tracking- oder Analyse-Cookies eingesetzt. Eine Einwilligung ist daher nicht erforderlich.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen oder Änderungen des Service anzupassen. Es gilt die jeweils aktuelle Fassung.
Stand: Februar 2026