Datenschutzerklärung

Stand: 10.09.2025

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten beim Besuch unserer Website sowie bei Nutzung unserer Nextcloud‑Instanz cloud.kadex‑it.at.

1. Verantwortlicher

Michel Kaderavek / Kadex‑IT
Linzer Straße 435/4/5, 1140 Wien, Österreich
E‑Mail: datenschutz@kadex-it.at

2. Datenschutzbeauftragter

Es ist kein externer Datenschutzbeauftragter bestellt. Ansprechpartner: Michel Kaderavek, datenschutz@kadex-it.at.

3. Zwecke, Rechtsgrundlagen, Speicherdauern

Wir verarbeiten Daten nur, soweit dies erforderlich ist. Im Einzelnen:

3.1 Aufruf der Website / Server‑ und Sicherheitslogs

• Daten: IP‑Adresse, Datum/Uhrzeit, URL, Referrer, User‑Agent, Statuscode, ggf. Fehlermeldungen der Firewall/Reverse‑Proxy (nginx).
• Zweck: Betrieb der Website, Auslieferung von Inhalten, Abwehr von Angriffen (z. B. DDoS/Brute‑Force), Fehleranalyse.
• Rechtsgrundlage: 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem, stabilem Betrieb).
• Speicherdauer: d. R. 14–30 Tage, bei sicherheitsrelevanten Vorfällen bis zur finalen Aufklärung und Dokumentation.

3.2 Kontaktaufnahme (Formular/E‑Mail/Telefon)

• Daten: Name, E‑Mail, Nachricht/Inhalt, meta‑/technische Headerdaten.
• Zweck: Bearbeitung Ihrer Anfrage, Kommunikation, Dokumentation von Supportfällen.
• Rechtsgrundlage: 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. lit. f DSGVO (Interesse an effizienter Kommunikation).
• Speicherdauer: Anfragen 6 Monate nach Abschluss; bei Geschäftsbeziehungen Aufbewahrung nach UGB/BAO 7 Jahre.

3.3 Cookies / lokaler Speicher (Website & Nextcloud)

• Einsatz: Wir verwenden nur technisch notwendige Cookies (z. B. Sitzungs‑/CSRF‑Cookies; bei Nextcloud u. a. oc_sessionPassphrase, nc_session_id, nc_sameSiteCookie).
• Zweck: Login‑Sitzungen, CSRF‑Schutz, Lastverteilung.
• Rechtsgrundlage: 6 Abs. 1 lit. f DSGVO; § 165 Abs. 3 TKG (erforderliche Cookies einwilligungsfrei).
• Speicherdauer: Session‑Cookies bis Sitzungsende; einzelne Sicherheits‑Cookies bis zu 2 h.

3.4 Nextcloud‑Nutzung (cloud.kadex‑it.at)

• Daten: Benutzerkonto‑Daten (Name, Nutzername, E‑Mail), Zugriffsdaten/Log‑Einträge, Datei‑Metadaten (Name, Größe, Typ, Zeitstempel), Inhalte/Dateien, Freigaben/Share‑Links, App‑Nutzungen (z. B. OnlyOffice, Talk – sofern aktiviert).
• Zweck: Team‑Zusammenarbeit, Datei‑Austausch, Synchronisierung, Kalender/Kontakte (sofern genutzt), Rechte‑/Freigabemanagement.
• Rechtsgrundlage: 6 Abs. 1 lit. b DSGVO (Erfüllung von Verträgen/Leistungen); Art. 6 Abs. 1 lit. f DSGVO (IT‑Betrieb/Sicherheit); Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für freiwillige Funktionen/Freigaben an Externe.
• Speicherdauer: Bis zur Löschung durch Nutzer/Admin; Protokolle 14–90 Tage (je Sicherheitsbedarf); Backups siehe 5.3.

3.5 Bewerbungen (falls genutzt)

• Daten: Stammdaten, Kontaktdaten, Bewerbungsunterlagen, Korrespondenz.
• Rechtsgrundlage: 11 DSG, Art. 6 Abs. 1 lit. b DSGVO; Einwilligung für Evidenzhaltung.
• Speicherdauer: d. R. 6 Monate nach Abschluss; bei Einwilligung länger (Evidenzpool), Widerruf jederzeit möglich.

3.6 Newsletter/Marketing

• Aktuell nicht eingesetzt. Bei Einführung erfolgt Information über Zwecke, Frequenz, Double‑Opt‑In und Widerruf.

3.7 Rechtsgrundlagen‑Matrix (Kurzüberblick)

4. Empfänger / Auftragsverarbeiter

Wir geben keine Daten zu Werbezwecken weiter. Empfänger im Rahmen des Betriebs: – Hosting/Serverbetrieb: Eigene Infrastruktur in Österreich (administiert durch Kadex‑IT). Zugriff nur für befugte Personen. – E‑Mail‑Dienst: easyname GmbH (SMTP/IMAP, Österreich) – Versand/Empfang; SPF/DKIM/DMARC eingerichtet. – Zertifikate/Sicherheitsdienste: Let’s Encrypt / ISRG (Ausstellung/Erneuerung TLS‑Zertifikate; sieht Server‑IP im Rahmen der Challenge). – DNS/Domainverwaltung: easyname GmbH (Registrar/DNS‑Provider) – technische Namensauflösung. – IT‑Wartung/Administration: ggf. weitere Dienstleister auf Basis von Art. 28 DSGVO (schriftlicher AV‑Vertrag). Eine aktuelle Liste stellen wir auf Anfrage bereit.

5. Sicherheit, Speicherorte, Backups

5.1 Technische und organisatorische Maßnahmen (TOM)

TLS (HTTPS, HSTS), rollenbasierte Zugriffe, starke Passwörter/MFA, regelmäßige Patches, Netzwerksegmentierung (VLANs), Protokollierung/Überwachung, Prinzip minimaler Rechte, verschlüsselte Datenträger/Backups.

5.2 Speicherorte

Daten werden auf Servern in Österreich verarbeitet. Externe Übermittlungen in Drittländer sind nicht beabsichtigt; Ausnahmen siehe Let’s Encrypt (Zertifikatsabfragen).

5.3 Backups

Verschlüsselte Backups (Nextcloud AIO). Rotationsschema typ. 30–90 Tage; ältere Stände werden überschrieben. Zugriff nur Administratoren; regelmäßige Restore‑Tests.

6. Rechte der betroffenen Personen

Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. f DSGVO.
Fristen: Wir antworten innerhalb eines Monats (verlängerbar um zwei Monate bei komplexen Anfragen). Wir dürfen Ihre Identität verifizieren.
Widerruf: Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Beschwerderecht:
Österreichische Datenschutzbehörde, Barichgasse 40–42, 1030 Wien – https://www.dsb.gv.at, E‑Mail: dsb@dsb.gv.at

7. Pflicht zur Bereitstellung

Die Bereitstellung technischer Verbindungsdaten ist für den Website‑Aufruf erforderlich. Für Nextcloud ist die Bereitstellung der Kontaktdaten erforderlich, um ein Benutzerkonto zu führen; ohne diese ist eine Nutzung nicht möglich.

8. Automatisierte Entscheidungsfindung/Profiling

Findet nicht statt.

9. Drittlandübermittlungen

Grundsätzlich nicht vorgesehen. Werden einzelne Tools/Apps (z. B. CDN, externe Integrationen) künftig eingebunden, informieren wir vorab und holen – falls nötig – Einwilligungen ein.

10. Spezifische Hinweise zu Nextcloud‑Funktionen

• Freigaben/Share‑Links: Öffentlich geteilte Links sind für Personen mit Link zugänglich. Nutzen Sie Passwörter und Ablaufdaten; Admins können Richtlinien erzwingen.
• Office‑Funktionen: Bei Einsatz von OnlyOffice/Collabora werden Dokumentinhalte zur Bearbeitung innerhalb unserer Infrastruktur
• Talk/Audio/Video (optional): Bei Aktivierung fallen zusätzliche Verkehrs‑/Verbindungsdaten an (TURN/STUN). Über eine gesonderte Info wird ggf. informiert.
• Previews/Imaginary: Vorschaubilder werden serverseitig generiert; es werden keine Inhalte an Dritte übertragen.
• Protokolle: Admins sehen sicherheitsrelevante Ereignisse (Login‑Versuche, Freigaben, Fehler). Zweck: Sicherheit/Nachvollziehbarkeit.
• Verschlüsselung: Transportverschlüsselung via TLS; optionale Ende‑zu‑Ende‑Verschlüsselung möglich (sofern aktiviert, Funktionsumfang app‑abhängig).

11. Sicherheitsvorfälle (Data Breach)

Bei einer Verletzung des Schutzes personenbezogener Daten bewerten wir Risiken, dokumentieren den Vorfall und melden ihn – sofern erforderlich – binnen 72 Stunden an die Datenschutzbehörde (Art. 33 DSGVO) und informieren Betroffene (Art. 34 DSGVO).

12. Cookie‑ & Local‑Storage‑Details (Beispiele)

Hinweis: Es werden keine Tracking‑/Marketing‑Cookies gesetzt.

13. E‑Mail‑Versand (SMTP)

Versand über easyname. SPF/DKIM/DMARC im DNS konfiguriert; dies reduziert die Spam‑Wahrscheinlichkeit. Bei Zustellproblemen nutzen wir technische Header/Logs zur Fehleranalyse.

14. Verfahren zur Rechteausübung

Anfragen richten Sie bitte an datenschutz@kadex-it.at. Bitte geben Sie – soweit möglich – den Kontext an (z. B. Nextcloud‑Konto, Zeitraum). Wir beantworten gem. Art. 12 ff. DSGVO innerhalb eines Monats.

15. Änderungen dieser Erklärung

Wir passen diese Erklärung bei Bedarf an. Die jeweils aktuelle Fassung ist hier veröffentlicht; Stand siehe Kopf.

Kontakt

Kadex‑IT, Michel Kaderavek
Linzer Straße 435/4/5, 1140 Wien
E‑Mail: datenschutz@kadex-it.at