1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Wagner IT-Solutions e.U.
Inhaber: Alexander Wagner
Adelheid-Popp-Gasse 14/1/36, 1220 Wien, Österreich
Firmenbuch: FN 609574h, Handelsgericht Wien
E-Mail: info@instantpage.at
Telefon: +43 676 5040088
Der Verantwortliche betreibt die Plattform instantpage.at als Software-as-a-Service-Lösung zur Erstellung und zum Betrieb von Unternehmens-Websites für österreichische Unternehmer.
2. Kontakt für Datenschutzanfragen
Für Fragen zur Verarbeitung Ihrer Daten und zur Ausübung Ihrer Betroffenenrechte:
E-Mail (Datenschutz, Auskunft, Widerspruch, Widerruf): datenschutz@instantpage.at
E-Mail (Missbrauchsmeldungen, Notice-and-Takedown nach § 16 ECG): abuse@instantpage.at
Eine bestellte Datenschutzbeauftragte besteht nicht — die Voraussetzungen des Art. 37 DSGVO sind nicht erfüllt (kein Kerngeschäft mit umfangreicher regelmäßiger Beobachtung und keine umfangreiche Verarbeitung besonderer Datenkategorien).
3. Verarbeitungszwecke und Rechtsgrundlagen
Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen:
3.1 Vertragsabwicklung (Plan-Buchung, Portal-Nutzung)
- Zwecke: Anlage und Verwaltung Ihres Plattform-Kontos, Bereitstellung der gebuchten Plan-Leistungen, Self-Service-Portal-Zugriff, Generierung Ihrer Website und der zugehörigen Rechtstexte.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
- Daten: Firmenwortlaut, Anschrift, Rechtsform, Firmenbuchnummer / GISA-Zahl, UID-Nummer, Inhaber-Name, Kontaktdaten (E-Mail, Telefon), bei reglementierten Berufen zusätzlich Berufsbezeichnung, Kammer-Mitgliedschaft, Aufsichtsbehörde.
3.2 Trial-Verwaltung (Vertragsanbahnung)
- Zwecke: 7-Tage-Testphase, technische Bereitstellung der Test-Subdomain, Trial-Reminder-Mails.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
- Daten: wie 3.1, zusätzlich Trial-Start-/-Ende-Datum und Aktivierungsstatus.
3.3 Zahlungsabwicklung
- Zwecke: Abwicklung der Plan-Vergütung, Rechnungsstellung, Erfüllung steuerrechtlicher Aufbewahrungspflichten.
- Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — § 132 BAO, UGB § 212).
- Daten: Stripe-Kunden-ID, Rechnungsnummer, Rechnungsbetrag, Zahlungsmethoden-Token (keine vollständigen Zahlungsdaten — diese verbleiben bei Stripe), Rechnungs-Adresse, UID-Nummer.
3.4 Direktansprache (Cold Outreach)
Befristet: Diese Direktansprache-Verarbeitung erfolgt zeitlich begrenzt im Rahmen der Markteinführungs-Phase. Nach deren Abschluss wird die Verarbeitung eingestellt und dieser Abschnitt entfernt.
- Zwecke: Kontaktaufnahme zu Unternehmern, deren Kontaktdaten öffentlich gelistet sind (WKO-Firmenverzeichnis firmen.wko.at, FirmenABC, öffentliche Branchenverzeichnisse), zur Information über das Angebot der Plattform.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Vermarktung B2B-Software an öffentlich identifizierbare Unternehmer).
- Speicherdauer: 12 Monate nach Erstkontakt, danach Löschung; bei Opt-out sofortige Aufnahme in Suppression-Liste mit dauerhafter Sperre.
- Widerspruchsrecht: jederzeit über den Abmelde-Link im Mail-Footer oder formlos an datenschutz@instantpage.at.
3.5 Newsletter (nur bei aktivem Opt-in)
- Zwecke: Versand von Produkt-Updates, Branchen-Tipps und neuen Funktionen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Abmelde-Link in jedem Newsletter).
- Daten: E-Mail-Adresse, Anrede, Firmenname, Anmelde-Datum, Opt-in-Beweis (Double-Opt-in-Logfile).
3.6 Produktverbesserung und Statistik
- Zwecke: Auswertung der Nutzung der Plattform zur Verbesserung der Funktionen, Identifikation technischer Fehler, Sicherstellung der Stabilität.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — Produktentwicklung).
- Daten: Pageviews, Referrer, Device-Klasse (aggregiert via Cloudflare Web Analytics, ohne Cookies, ohne IP-Speicherung); Portal-Aktivitäts-Logs.
3.7 Sicherheit und Bot-Schutz
- Zwecke: Abwehr von Angriffen, Schutz vor Bot-Submissions, technische Verfügbarkeit.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO und Art. 32 DSGVO (technisch-organisatorische Maßnahmen).
- Daten: IP-Adressen in Webserver-Logs (30 Tage), Bot-Schutz-Token (Cloudflare Turnstile, ohne Cookies), Error-Events (ohne PII).
3.8 Erfüllung gesetzlicher Pflichten
- Zwecke: Rechnungs-Aufbewahrung, Buchhaltungsbelege, Auskunfts- und Aufbewahrungspflichten gegenüber Behörden.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
- Daten: Buchhaltungs- und Rechnungsdaten gemäß § 132 BAO und UGB § 212 (7 Jahre).
3.9 Kontaktformular auf instantpage.at
- Zwecke: Bearbeitung und Beantwortung von Anfragen, die Sie über das Kontaktformular auf instantpage.at an uns richten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihre Anfrage) bzw. lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
- Daten: Name, E-Mail-Adresse, Nachrichtentext sowie ein Bot-Schutz-Token (Cloudflare Turnstile, ohne Cookies). Die Eingaben werden nicht in unserer Datenbank gespeichert, sondern ausschließlich per E-Mail (Subprozessor Resend) an unser Postfach info@instantpage.at weitergeleitet (Pure-Forwarder). Eine Aufbewahrung ergibt sich nur aus der E-Mail-Korrespondenz; die Versand-Logs von Resend werden nach ca. 30 Tagen gelöscht.
3.10 Website-Import vor der Registrierung (optional)
- Zwecke: Wenn Sie zu Beginn des Einrichtungs-Ablaufs freiwillig die Adresse einer bestehenden Website angeben, lesen wir diese einmalig aus, um den Fragebogen für Sie vorzubefüllen (Firmenname, Leistungen, Kontaktdaten u. ä.). Dieser Schritt erfolgtanonym und ohne Benutzerkonto, auf Ihre eigene Initiative, noch vor jeder Registrierung.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer reibungslosen, vorvertraglichen Einrichtung auf Ihre Veranlassung). Der Schritt ist optional — Sie können den Fragebogen auch ohne Import ausfüllen.
- Daten und Empfänger: die von Ihnen eingegebene Website-Adresse sowie ein Bot-Schutz-Token (Cloudflare Turnstile, ohne Cookies). Zum Auslesen wird die Adresse an Jina AI (USA) zum Abruf der Seite und an Anthropic (USA) zur Extraktion der Angaben übermittelt (US-Übermittlung gestützt auf das EU-US Data Privacy Framework, siehe Abschnitt 6). Die ausgelesenen Inhalte verbleiben ausschließlich in Ihrem Browser, bis Sie ein Konto anlegen — eine Speicherung in unserer Datenbank erfolgt vor der Registrierungnicht.
- Speicherdauer: Der Seiteninhalt selbst wird nicht dauerhaft gespeichert. Es entsteht lediglich eine technische, nicht personenbezogene Nutzungs-/Kostenzeile (nur Verbrauchs- und Kostenwerte des KI-Aufrufs, ohne Seiteninhalt und ohne Kontobezug), die nach 90 Tagen automatisch gelöscht wird.
4. Datenkategorien im Überblick
Wir verarbeiten folgende Datenkategorien:
- Plattform-Stammdaten: Firmenwortlaut, Anschrift, Rechtsform, FN, UID, GISA
- Kontaktdaten: E-Mail, Telefon, Inhaber-Name
- Kontaktformular-Daten: Name, E-Mail, Nachricht (Pure-Forwarder über instantpage.at/kontakt, keine DB-Speicherung)
- Zahlungs-Metadaten: Stripe-Kunden-ID, Rechnungsnummer, Betrag
- Trial-Daten: Test-Start, Test-Ende, Aktivierungsstatus
- Newsletter-Daten: E-Mail, Opt-in-Beweis, Abmelde-Datum
- Portal-Aktivitäts-Logs: Aufgerufene Funktion, Zeitstempel, IP
- Outreach-Lead-Daten: Firmenname, öffentliche E-Mail, Branche
- Technische Logs: IP, User-Agent, Referrer (aggregiert)
Besondere Datenkategorien (Art. 9 DSGVO) werden auf der Plattform nicht verarbeitet. Falls Sie als Kunde Heilberufsdaten verarbeiten, erfolgt dies außerhalb unserer Plattform — die generierte Website ist nicht für die Verarbeitung von Gesundheitsdaten oder Mandantendaten konzipiert (siehe AGB § 6 Abs. 4).
5. Empfänger und Subprozessoren
Zur Erbringung unserer Leistungen setzen wir folgende Auftragsverarbeiter und Subprozessoren ein. Mit allen ist ein Auftragsverarbeitungsvertrag (AVV) bzw. Data Processing Agreement (DPA) abgeschlossen.
- Cloudflare — DNS, CDN, Hosting (Workers + Pages), Speicherung (R2), Custom Hostnames, Web Analytics. Verarbeitungsort: USA-Mutterkonzern; Edge-Netz global. Datenhaltende Komponenten EU-gelockt: R2 mit Jurisdiction EU (Hard-Constraint).. Drittland-Bezug: ja (EU-U.S. Data Privacy Framework).
- Supabase — Datenbank, Storage, Authentifizierung. Verarbeitungsort: Frankfurt (EU). Drittland-Bezug: nein.
- Stripe — Zahlungsabwicklung. Verarbeitungsort: Irland (EU-Hauptsitz) und USA. Drittland-Bezug: ja (EU-U.S. Data Privacy Framework).
- Anthropic — KI-Sprachmodell (Claude) für Text-Generierung und Import-Klassifizierung. Verarbeitungsort: USA. Drittland-Bezug: ja (EU-U.S. Data Privacy Framework).
- Microsoft 365 — E-Mail-Postfächer (Exchange Online + Protection); weitere Workloads im Tenant nicht aktiv. Verarbeitungsort: Tenant-Standort Österreich (Customer Data at Rest); zugesicherte Geografie EU/EFTA für operative Verarbeitungen. Drittland-Bezug: nein (Verarbeitung innerhalb EU/EFTA).
- Resend — Transaktionale E-Mails (Welcome, Trial-Reminder, Forwarder für Kundenseiten). Verarbeitungsort: USA mit EU-Servern. Drittland-Bezug: ja (EU-U.S. Data Privacy Framework).
- Cloudflare Turnstile — Bot-Schutz auf Formularen (token-basiert, ohne Cookies). Verarbeitungsort: USA mit EU-Servern. Drittland-Bezug: ja (EU-U.S. Data Privacy Framework).
- easyname.at — Domain-Registrierung. Verarbeitungsort: Österreich. Drittland-Bezug: nein.
- Jina AI — Auslesen der vom Kunden angegebenen eigenen Website beim optionalen Onboarding-Import (Reader-API; liefert den oeffentlichen Seitentext als Markdown). Verarbeitungsort: USA. Drittland-Bezug: ja (EU-U.S. Data Privacy Framework).
Die jeweils aktuelle Liste finden Sie auf instantpage.at/subprozessoren. Bei Beauftragung neuer Subprozessoren werden Sie informiert und haben binnen 30 Tagen Widerspruchsrecht (siehe AVV-Anhang III).
Custom-Domains (Professional-Plan): Wenn Sie eine eigene Domain mit Ihrer Website verbinden, übermitteln wir den von Ihnen eingegebenen Domainnamen an unseren Subprozessor Cloudflare zur Einrichtung des Custom-Hostname-Routings und zur Ausstellung des TLS/SSL-Zertifikats für Ihre Domain (Cloudflare for SaaS). Rechtsgrundlage ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Der Domainname wird zusätzlich in unserer Datenbank (Supabase, Frankfurt) gespeichert. Die Übermittlung an Cloudflare ist über das EU-U.S. Data Privacy Framework abgesichert (siehe Abschnitt 6).
6. Drittlandsübermittlung
Einige Subprozessoren haben ihren Sitz in den USA oder verarbeiten Daten auch in den USA: Cloudflare, Stripe, Anthropic, Resend, Jina AI. Diese Übermittlungen erfolgen auf Grundlage des EU-U.S. Data Privacy Framework (DPF, Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023, Beschluss (EU) 2023/1795). Alle eingesetzten US-Anbieter sind nach dem DPF zertifiziert.
Für Bilder auf Kundenseiten kann der Anbieter lizenzfreie Stockfotos einsetzen. Diese werden auf unseren eigenen Servern (Supabase, Frankfurt) gehostet; an die Foto-Plattform werden dabei keine personenbezogenen Daten der Websitebesucher übermittelt.
Microsoft 365 verarbeitet unsere Mail-Daten im Tenant-Standort Österreich. Microsoft sichert für Customer Data at Rest die Geografie Österreich zu; operative Verarbeitungen können konzernintern innerhalb der zugesicherten EU/EFTA-Geografie stattfinden. Eine USA-Übermittlung über Microsoft findet aktuell nicht statt.
Wir prüfen quartalsweise den Zertifizierungs-Status der eingesetzten US-Anbieter und überwachen Änderungen am Angemessenheitsbeschluss.
7. Speicherdauer
Wir speichern Ihre Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen:
- Plattform-Stammdaten: Vertragsdauer + 7 Jahre (UGB § 212)
- Zahlungs-Metadaten: 7 Jahre nach Vertragsende (UGB § 212, BAO § 132)
- Login- und Auth-Sessions: bis Logout + 30 Tage Refresh-Token
- Portal-Activity-Logs: 12 Monate, danach Anonymisierung
- Cloudflare-Webserver-Logs: 30 Tage
- Cloudflare Web Analytics: 30 Tage, aggregiert, kein PII
- Newsletter-Anmeldung: bis Abmeldung + 3 Jahre (UWG-Verjährung)
- Outreach-Lead-Daten: 12 Monate nach Erstkontakt
- Support-Mails: 12 Monate, bei Geschäftsvorfall 7 Jahre (UGB § 212)
- Kontaktformular-Anfragen (instantpage.at): keine DB-Speicherung; Resend-Versand-Logs ca. 30 Tage; die per E-Mail eingegangene Anfrage wird wie Support-Mails behandelt (12 Monate, bei Geschäftsvorfall 7 Jahre)
- Supabase Pro tägliche Backups: 7 Tage Aufbewahrung
- Eigene DB-Backups auf R2: 30 Tage rolling (Daily-Backup)
- Storage-Sync zu R2 (Logos, Bilder): 30 Tage rolling
Nach Vertragsende werden Plattform-Daten und die zugehörige Website für insgesamt 90 Tage in einem Grace-Status aufbewahrt (30 Tage Reaktivierung + 60 Tage Soft-Delete). Danach werden personenbezogene Daten endgültig gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
8. Ihre Rechte (Betroffenenrechte)
Sie haben das Recht:
- Auskunft über die Sie betreffenden personenbezogenen Daten zu erhalten (Art. 15 DSGVO).
- Berichtigung unrichtiger oder unvollständiger Daten zu verlangen (Art. 16 DSGVO).
- Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO).
- Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO).
- Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO) — für Plattform-Stammdaten direkt über den Self-Service-Datenexport im Portal.
- Widerspruch gegen Verarbeitungen, die auf berechtigtem Interesse beruhen (Art. 21 DSGVO).
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).
- Beschwerde bei der Aufsichtsbehörde einzureichen. In Österreich: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at.
Anfragen richten Sie bitte an datenschutz@instantpage.at. Wir beantworten Anfragen innerhalb eines Monats nach Eingang (Art. 12 Abs. 3 DSGVO). Zur Identifikation kann ein Identitätsnachweis erforderlich sein.
9. Cookies und vergleichbare Technologien
9.1 Plattform instantpage.at
Wir setzen auf der Plattform-Website folgende Cookies und Technologien ein:
Funktional notwendige Cookies (ohne Einwilligungspflicht gemäß § 165 Abs. 3 TKG):
- Auth-Session-Cookie — speichert Ihren Login-Status (Supabase Auth, Session-Token).
- Refresh-Token-Cookie — automatische Verlängerung der Session (30 Tage).
- CSRF-Token — Schutz vor Cross-Site-Request-Forgery-Angriffen.
Tracking-, Marketing- oder Analyse-Cookies setzen wir derzeit nicht ein. Sollte künftig Paid-Acquisition (z. B. Meta- oder Google-Ads-Pixel) aktiviert werden, werden solche Cookies ausschließlich nach Ihrer aktiven Einwilligung über ein dann eingebundenes Consent-Banner geladen; diese Datenschutzerklärung wird vorher entsprechend aktualisiert.
Cloudflare Web Analytics ist Cookie-frei und arbeitet ohne PII auf aggregierter Ebene — kein Banner-Trigger.
9.2 Kundenseiten (*.instantpage.at Subdomains)
Auf den von unseren Kunden betriebenen Websites unter *.instantpage.at werden keine Tracking-Cookies eingesetzt. Es laufen ausschließlich funktional notwendige Mechanismen (Cloudflare Turnstile als Bot-Schutz auf Formularen, token-basiert ohne Cookies). Kundenseiten sind damit banner-frei.
Verantwortlicher für die Datenverarbeitung auf einer Kundenseite ist der jeweilige Kunde (siehe AGB § 8). Für die Datenverarbeitung im Kontaktformular gilt die Datenschutzerklärung der jeweiligen Kunden-Website.
10. KI-Verarbeitung und automatisierte Entscheidungen
10.1 Einsatz von KI bei der Text-Generierung
Bei der Erstellung Ihrer Website werden Texte (Über-uns-Beschreibung, Leistungs-Texte, Hero-Section, FAQ) unter Einsatz des KI-Sprachmodells Claude (Anbieter: Anthropic PBC, San Francisco, USA) generiert. Diese Verarbeitung umfasst:
- die von Ihnen im Fragebogen eingegebenen Stammdaten und Beschreibungen,
- ggf. importierte Inhalte einer von Ihnen angegebenen bestehenden Website (das Auslesen selbst kann bereits vor der Registrierung erfolgen — siehe Abschnitt 3.10),
- branchen-spezifische Konfigurations-Hinweise unsererseits (z.B. defensive Formulierungs-Regeln bei reglementierten Berufen — siehe AGB § 5 Abs. 4).
Die Verarbeitung erfolgt über die kommerzielle API von Anthropic. Anthropic verarbeitet API-Inputs nicht zum Modell-Training und speichert sie gemäß kommerziellen Vertragsbedingungen nur für den Verarbeitungs-Zeitraum (Standard 30 Tage Operational Logs, danach Löschung).
Drittland: Anthropic verarbeitet Daten in den USA. Übermittlung erfolgt auf Grundlage EU-U.S. Data Privacy Framework (siehe Abschnitt 6).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Text-Generierung ist Kern-Leistung der Plattform).
10.2 Aktive Freigabe vor Veröffentlichung
Die generierten Inhalte werden Ihnen vor der Veröffentlichung im Portal zur Prüfung angezeigt. Eine Veröffentlichung erfolgt erst nach aktiver Bestätigung durch Sie über einen Freigabe-Klick (AGB § 5 Abs. 5). Sie tragen damit die letzte inhaltliche Verantwortung für die veröffentlichten Texte.
10.3 Keine automatisierte Entscheidung im Sinne Art. 22 DSGVO
Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung statt. Die KI-gestützte Text-Generierung ist eine inhaltliche Hilfestellung, keine Entscheidung über Sie. Es findet kein Profiling im Sinne von Art. 4 Z 4 DSGVO statt.
10.4 AI Act 2026 — Transparenz-Hinweis
Die Texte Ihrer generierten Website werden unter Einsatz von KI-Systemen erstellt und vor der Veröffentlichung durch Sie freigegeben. Ein entsprechender Transparenz-Hinweis (im Sinne des Art. 50 EU-AI-Act, ab 02.08.2026) ist in der Datenschutzerklärung Ihrer generierten Website enthalten (Abschnitt „Hinweis zu KI-generierten Inhalten“).
11. Sicherheit der Verarbeitung
Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere:
- TLS-Verschlüsselung auf allen Verbindungen (HTTPS)
- Passwörter werden ausschließlich gesalzen und kryptografisch gehasht über Supabase Auth gespeichert (niemals im Klartext)
- Datenbank-Verschlüsselung at-rest (Supabase Pro)
- Backup-Verfahren mit RPO/RTO gestuft nach Plan-Klasse
- Zugriffsbeschränkungen nach Need-to-Know
- Audit-Logging für administrative Aktionen
- Quartalsweise interne Sicherheits-Reviews
Eine vollständige Beschreibung der technisch-organisatorischen Maßnahmen ist in AVV-Anhang II hinterlegt.
12. Änderungen dieser Datenschutzerklärung
Diese Datenschutzerklärung wird bei Änderungen der Verarbeitungstätigkeiten, neuen Subprozessoren oder rechtlichen Anpassungen aktualisiert. Die jeweils aktuelle Version ist unter instantpage.at/datenschutz abrufbar; das Datum der letzten Aktualisierung steht am Anfang dieser Erklärung.
Wesentliche Änderungen (insbesondere neue Verarbeitungszwecke oder Drittland-Konstellationen) teilen wir Ihnen aktiv per E-Mail mit.