Legal

Datenschutzerklärung

Welche Daten wir erheben, zu welchem Zweck und wie lange sie gespeichert werden.

Datenschutzerklärung

Gültig ab: 26. Januar 2026

Diese Datenschutzerklärung informiert Sie über die Art, den Umfang und die Zwecke der Verarbeitung personenbezogener Daten im Rahmen unserer Website und unseres SaaS-Produkts Runward (im Folgenden „Dienst" oder „Plattform").

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung:

Lukas Stepanek
Untere Viaduktgasse 23
1030 Wien
Österreich

E-Mail: hello@runward.at
Website: https://runward.at

2. Kontakt Datenschutz

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

E-Mail: hello@runward.at
Betreff: Datenschutzanfrage

Wir haben derzeit keinen Datenschutzbeauftragten bestellt, da wir nach unserer momentanen Einschätzung nicht zur Bestellung verpflichtet sind. Sollte sich dies künftig ändern, aktualisieren wir diese Erklärung.

3. Datenverarbeitungen

3.1 Besuch unserer Website

3.1.1 Technisch notwendige Daten (Server-Logs)

Bei jedem Aufruf unserer Website erfasst unser Webserver automatisch technische Daten:

  • Welche Daten: IP-Adresse (anonymisiert), Browsertyp/-version, Betriebssystem, Referrer-URL, Datum/Uhrzeit des Zugriffs
  • Zweck: Bereitstellung und Sicherheit der Website, Fehlerdiagnose
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer und funktionsfähiger Website)
  • Speicherdauer: 90 Tage, danach automatische Löschung
  • Empfänger: AWS CloudWatch (gehostet in eu-central-1, Frankfurt)

3.1.2 Website-Analytics (Vercel Analytics)

Wir nutzen Vercel Analytics zur aggregierten Erfassung von Seitenaufrufen, Performance-Metriken und Formularinteraktionen (z. B. Öffnen und Absenden der Pilot-Bewerbung). Die Technologie überträgt keine Query-Strings und ist so konfiguriert, dass keine personenbezogenen Daten (z. B. E-Mail-Adressen oder vollständige URLs) an den Anbieter gelangen. Erfasst werden insbesondere:

  • Welche Daten: Seitenaufrufe ohne Query-Strings, Referrer-Domain (nicht vollständige URL), Device-Klasse (Desktop/Mobil), Browser-Familie, Core Web Vitals sowie anonyme Ereignisse wie „Pilot-Formular geöffnet“ bzw. „Pilot-Formular abgesendet"
  • Zweck: Messung der Website-Performance und Nutzererfahrung sowie Überwachung der Formularnutzung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem technisch stabilen und nutzerzentrierten Website-Auftritt)
  • Speicherdauer: Aggregierte Daten ohne Personenbezug werden entsprechend den Vorgaben von Vercel gespeichert; es erfolgt keine individuelle Profilbildung
  • Empfänger: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA
  • Drittlandtransfer: USA; Vercel Analytics verarbeitet laut Anbieterangaben keine Third-Party-Cookies und keine dauerhafte Nutzerprofile. Sollte es durch künftige Änderungen dennoch zu personenbezogenen Daten kommen, greifen geeignete Garantien (z. B. Standardvertragsklauseln) gemäß Art. 44 ff. DSGVO.
  • Consent: Nach aktuellem Stand setzen wir nur technisch notwendige Mechanismen ein und beabsichtigen keine zustimmungspflichtigen Endgerätezugriffe (§ 165 Abs. 3 TKG 2021). Die eingesetzten Skripte, Cookies, localStorage-/sessionStorage-Nutzung sowie mögliche Query-Parameter werden regelmäßig geprüft; sollte sich durch neue Technologien oder Anbieter (z. B. Marketing-Tags oder zusätzliche Storage-Mechanismen) ein Endgerätezugriff ergeben, implementieren wir vorab ein Consent-Tool und aktualisieren diesen Hinweis.
  • Konfiguration & Review: Wir dokumentieren die aktuelle Konfiguration (Scripts, Storage, ID-Handling) und führen nach jeder Änderung eine technische Prüfung durch. Die Ergebnisse fließen in die laufende Cookie-Überprüfung und die interne Endgerätezugriffsliste ein (siehe legal/cookies.md).

Wichtig: Wir verweisen auf die Datenschutzerklärung von Vercel (https://vercel.com/docs/analytics/privacy-policy) und passen diese Erklärung an, sobald sich Konfiguration oder Produkteinsatz ändern.

3.2 Pilot-Bewerbungsformular

Wenn Sie sich für unser Pilotprogramm bewerben, verarbeiten wir:

  • Welche Daten: Name, geschäftliche E-Mail-Adresse, Firma, Rolle, ERP-System
  • Zweck: Auswahl und Kontaktaufnahme für das Pilotprogramm, vorvertragliche Maßnahmen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Ihre Anfrage)
  • Speicherdauer:
    • Bei Vertragsabschluss: Dauer des Vertragsverhältnisses + 6 Monate
    • Ohne Vertragsabschluss: 12 Monate, danach automatische Löschung
  • Empfänger: AWS RDS (PostgreSQL, eu-central-1), AWS SES (E-Mail-Benachrichtigungen, EU-Region)

3.3 Nutzung der Runward-Plattform (SaaS-Produkt)

3.3.1 Account-Daten

Zur Nutzung der Plattform benötigen wir:

  • Welche Daten: E-Mail-Adresse, Name, Rolle, MFA-Status (TOTP), Tenant-Zuordnung
  • Zweck: Bereitstellung des Dienstes, Authentifizierung, Zugriffsverwaltung
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Speicherdauer: Dauer des Vertragsverhältnisses + 6 Monate
  • Empfänger:
    • AWS RDS (PostgreSQL, eu-central-1)
    • OIDC-Provider (Azure AD, Okta oder Google Workspace; je nach Kundenwahl; EU- oder globale Regionen)

3.3.2 Payment-Daten (Verarbeitung im Auftrag Ihrer Organisation)

Runward verarbeitet Zahlungsdatendateien (SEPA pain.001, CSV) im Auftrag Ihrer Organisation (Sie sind der Verantwortliche, wir sind Auftragsverarbeiter gemäß Art. 28 DSGVO):

  • Welche Daten: IBANs, Lieferantendaten, Rechnungsdaten, Beträge, Zahlungsinformationen
  • Zweck: Gatekeeper-Prüfung, Dual-Control-Enforcement, Audit-Trail-Generierung
  • Rechtsgrundlage: Ihre Organisation ist Verantwortlicher; wir verarbeiten diese Zahlungsdaten als Auftragsverarbeiter ausschließlich nach dokumentierter Weisung gemäß Art. 28 DSGVO (siehe AVV/DPA). Die Entscheidung über Zwecke und Rechtsgrundlagen (Art. 6 / Art. 9) trifft Ihre Organisation als Verantwortlicher.
  • Speicherdauer:
    • Upload-Dateien (SEPA pain.001 / CSV): Werden nach Abschluss der Verarbeitung und nach erfolgreicher Replikation und Verschlüsselungsoffenlegung so schnell wie möglich gelöscht; kurzfristige Backups (z. B. AWS PITR/Snapshot, S3-Versionierung) können noch temporär Kopien enthalten, die ebenfalls im Rahmen der Wiederherstellungszyklen gelöscht werden.
    • Clean Files (SEPA/CSV mit Watermark, Run Receipts, Download-Artefakte): Standardmäßig 90 Tage (Download-Window). Auf dokumentierte Weisung („Archive Mode“) können wir auch längere Fristen (z. B. 7 Jahre) vereinbaren.
    • Evidence Packs (Hash, Watermark, Run-Receipt) und Audit Events (Hash-Chain): Bis zu 7 Jahre, soweit für den Nachweis- und Audit-Zweck erforderlich; kürzere Fristen auf Weisung möglich.
  • Empfänger: AWS RDS (eu-central-1), AWS S3 (eu-central-1, verschlüsselt)
  • Hinweis zur Pflicht zur Bereitstellung: Die Übermittlung der Zahlungsdatendateien (SEPA pain.001 / CSV) ist Voraussetzung für die Nutzung des Dienstes. Ohne die Daten können Gatekeeper-Prüfungen nicht durchgeführt und keine Hilfsdateien erzeugt werden; in diesem Fall ist eine Vertragsausführung nicht möglich.
  • Folgen der Nichtbereitstellung: Wir können kein Gatekeeping durchführen, keine Clean Files erzeugen und dahingehend keine vertraglichen Leistungen erbringen, solange die erforderlichen Dateien fehlen.
  • Details: Siehe Auftragsverarbeitungsvertrag (AVV/DPA)

3.3.3 Trusted Contacts (Verifikations-Kontakte)

Zur Out-of-Band-Verifikation von Bankdatenänderungen verarbeiten wir:

  • Welche Daten: Telefonnummern, E-Mail-Adressen von Lieferantenkontakten
  • Zweck: Dual-Control-Verifikation, Betrugsprävention
  • Rechtsgrundlage:
    • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betrugsprävention)
    • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung mit Ihrer Organisation)
  • Verschlüsselung: AES-256-GCM (Field-Level-Encryption), HMAC-indizierte Lookups
  • Speicherdauer: Dauer des Vertragsverhältnisses + 6 Monate; dann Crypto-Erasure (Schlüssel-Löschung, Daten unlesbar)
  • Empfänger: AWS RDS (eu-central-1), AWS SES (EU-Region, E-Mail-Versand)

Wichtig: Wir speichern keine Telefon-/E-Mail-Aufzeichnungen. Nur Metadaten (wer/wann/welcher Kanal/Ergebnis) werden für den Audit-Trail erfasst.

3.3.4 Operational Logs & Monitoring

  • Welche Daten: IP-Adressen (anonymisiert), Geräteinfos, Request-Logs, Events, Fehlerlogs
  • Zweck: Sicherheit, Debugging, Performance-Monitoring
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Systemumgebung)
  • Speicherdauer: 90 Tage
  • Empfänger: AWS CloudWatch (eu-central-1), Prometheus/Grafana (EU-gehostet)

3.3.5 Support-Anfragen

  • Welche Daten: E-Mail-Adresse, Name, Anfrage-Inhalt, ggf. Anhänge (Evidence Packs, Screenshots)
  • Zweck: Beantwortung von Support-Anfragen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
  • Speicherdauer: 2 Jahre
  • Empfänger: AWS SES (EU-Region), ggf. Slack/Microsoft Teams (je nach Kundenwunsch)

3.4 Keine Marketing-/Tracking-Cookies

Wir setzen keine Marketing- oder Tracking-Cookies ein. Es gibt keine Retargeting-Pixel, keine Social-Media-Plugins (Facebook, LinkedIn, Google Ads). Ein Cookie-Consent-Banner ist nicht erforderlich.

3.5 Pflicht zur Bereitstellung & automatisierte Entscheidungen

  • Pflicht zur Bereitstellung: Bestimmte Daten (Account-Daten, Zahlungsdateien, Support-Anfragen) sind für die Vertragserfüllung und das Gatekeeper-Angebot erforderlich. Ohne die bereitgestellten Dateien kann Runward die vereinbarten Funktionen (Gatekeeping, Clean File-Erzeugung, Kontrolle von Zahlungsfreigaben) nicht leisten.
  • Folgen der Nichtbereitstellung: Eine Nutzung des Dienstes ist nicht möglich, solange die erforderlichen Daten fehlen; wir können keine Clean Files erzeugen, keine Dual-Control-Checks durchführen und keine Audit-Artefakte bereitstellen.
  • Automatisierte Entscheidungen: Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. Alle kritischen Entscheidungen (z. B. automatische Hold/Block-Trigger) werden durch Menschen überprüft oder sind Bestandteil eines Regelwerks, das durch einen menschlichen Eingriff ergänzt wird.

4. Empfänger und Auftragsverarbeiter

Wir geben Ihre Daten ausschließlich an folgende Kategorien von Empfängern weiter:

4.1 Auftragsverarbeiter (Art. 28 DSGVO)

Folgende Dienstleister verarbeiten Daten in unserem Auftrag:

Kategorie Dienstleister Standort Zweck
Hosting & Infrastruktur Amazon Web Services (AWS) eu-central-1 (Frankfurt) Server, Datenbank, Storage
E-Mail-Versand AWS SES EU-Region Transaktionale E-Mails
Authentifizierung Azure AD / Okta / Google Workspace EU/Global OIDC-Login (je nach Kundenwahl)
VoP-Provider SWIFT PPV / SurePay EU Vendor Verification (optional)
TSA-Provider Konfigurationsabhängig (EU-first; bei Drittland z. B. DigiCert oder Sectigo) EU / je nach Anbieter RFC 3161 Timestamping
Monitoring AWS CloudWatch eu-central-1 Logs & Metrics

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO.

4.2 Drittlandtransfer

Website-Analytics (Vercel Analytics):

  • Vercel Analytics erfasst aggregierte Seitenaufrufe, Performance-Metriken und Formularinteraktionen für unsere öffentliche Website runward.at. Diese Verarbeitung erfolgt unter unserer Rolle als Website-Verantwortlicher und betrifft nicht die Kundendaten, die wir im Auftrag verarbeiten.
  • Die Übertragung beschränkt sich auf anonymisierte Metriken (Seitenaufrufe ohne Query-Strings, Referrer-Domain ohne vollständige URL, Device-Klasse, Browser-Familie, Core Web Vitals und Formular-Ereignisse). Sollte trotz der aktuellen Konfiguration einmal eine personenbezogene Information erfasst werden, greifen geeignete Garantien gemäß Art. 44 ff. DSGVO.
  • Garantien: Vercel stellt für den Transfer in die USA geeignete Mechanismen bereit (z. B. Standardvertragsklauseln); wir prüfen die Konfiguration regelmäßig und passen sie bei Bedarf an.

OIDC-Provider (je nach Kundenwahl):

  • Wählt Ihr Unternehmen einen Identitätsanbieter mit Sitz außerhalb der EU (z. B. Google Workspace oder Okta mit US-Mutter), findet ein Drittlandtransfer statt.
  • Garantien: EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie gegebenenfalls zusätzliche Schutzmaßnahmen, die der Provider bereitstellt.

Sonstige Dienste:

  • Alle produktions-kritischen Datenverarbeitungen (Datenbank, Storage, Payment-Files, Audit-Logs) erfolgen ausschließlich in der EU (AWS eu-central-1, Frankfurt).

5. Speicherdauer

Datenart Speicherdauer Grundlage
Server-Logs (Website) 90 Tage Sicherheit, IT-Betrieb
Pilot-Bewerbungen (ohne Vertrag) 12 Monate Vorvertragliche Maßnahmen
Account-Daten Vertragslaufzeit + 6 Monate Vertragserfüllung
Payment Files (Upload) Sofort nach Verarbeitung gelöscht Datenminimierung
Clean Files (SEPA/CSV, Run Receipts) 90 Tage (Download-Window); auf dokumentierte Weisung („Archive Mode“) bis zu 7 Jahre Buchführung, Audit
Evidence Packs & Audit Events Bis zu 7 Jahre, soweit für den Nachweis erforderlich Finanziell/Compliance
Operational Logs 90 Tage Sicherheit, Debugging
Support-Tickets 2 Jahre Support-Historie
Idempotency Keys 24 Stunden Technisch (Race-Prevention)

Nach Ablauf der Speicherdauer werden die Daten automatisch gelöscht oder anonymisiert.

6. Betroffenenrechte

Sie haben folgende Rechte gemäß DSGVO:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können eine Einschränkung der Verarbeitung verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, gängigen Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, widersprechen (bei Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO).

Hinweis für B2B-Kunden:
Falls Sie Runward als Auftragsverarbeiter nutzen (Payment-Gatekeeper), sind Betroffenenrechte primär an Ihre Organisation (als Verantwortlichen) zu richten. Wir unterstützen Sie gemäß AVV/DPA bei der Erfüllung dieser Rechte.

Kontakt für Betroffenenrechte:
E-Mail: hello@runward.at
Betreff: Datenschutzanfrage – Betroffenenrecht

Wir beantworten Ihre Anfrage innerhalb von 30 Tagen.

7. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde (DSB)
Barichgasse 40-42
1030 Wien
Österreich

Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

8. Sicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselung in Transit: TLS 1.2+ (bevorzugt TLS 1.3)
  • Verschlüsselung at Rest: AES-256-GCM (Field-Level für PII), AWS KMS für Volume-Encryption
  • Zugriffskontrolle: Multi-Tenant-Isolation via PostgreSQL Row-Level Security (RLS), Least-Privilege-Prinzip
  • Audit-Trail: Append-only Event Store, Hash-Chaining, tägliches RFC-3161-Timestamping
  • Incident Response: Benachrichtigung binnen 24h nach bestätigtem Datenschutzvorfall

Weitere Details siehe Auftragsverarbeitungsvertrag (AVV/DPA) sowie die dort in Anhang 1 beschriebenen technischen und organisatorischen Maßnahmen (TOMs).

9. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Dienste anzupassen. Die aktuelle Version ist stets auf unserer Website verfügbar.

Letzte Aktualisierung: 26. Januar 2026

10. Kontakt

Bei Fragen zu dieser Datenschutzerklärung wenden Sie sich bitte an:

Lukas Stepanek
Untere Viaduktgasse 23
1030 Wien
Österreich

E-Mail: hello@runward.at