Datenschutzerklärung

1. Verantwortlicher und Auftragsverarbeiter

Verantwortlicher im Sinne der DSGVO für die Verarbeitung der Empfängerdaten ist die jeweilige Kanzlei (Auftraggeber), die den Newsletter über diese Plattform versendet.

Technischer Betreiber und Auftragsverarbeiter gemäß Art. 28 DSGVO ist:

2. Welche Daten werden verarbeitet?

2.1 Newsletter-Empfänger

E-Mail-Adressen und Namen der Empfänger werden ausschließlich beim Versanddienstleister Brevo (Sendinblue GmbH, EU) im Klartext gespeichert. In der lokalen Datenbank werden lediglich SHA-256-Hashwerte der E-Mail-Adressen sowie technische Referenz-IDs gespeichert. Zur Anzeige in der Kanzlei-Webapp werden E-Mail-Adressen bei Bedarf vom Versanddienstleister abgerufen und nicht lokal zwischengespeichert.

2.2 Kanzlei-Benutzer (Kundenportal)

E-Mail-Adresse und Name des Ansprechpartners. Der Zugang erfolgt über Magic Links (Einmal-Token, 1 Stunde gültig). Es wird kein persistentes Passwort gespeichert.

2.3 Administrator-Benutzer

E-Mail-Adresse, Name und ein bcrypt-gehashtes Passwort. Administratoren haben keinen Zugriff auf individuelle Empfängerdaten (E-Mail-Adressen, Namen). Dieser Zugriff ist technisch unterbunden.

2.4 Protokolldaten

Audit-Logs verwenden ausschließlich technische IDs oder gehashte E-Mail-Adressen. Es werden keine Klartext-E-Mail-Adressen oder Namen in Protokollen gespeichert.

3. Zweck und Rechtsgrundlage

• Empfängerdaten: Versand von Newslettern im Auftrag der jeweiligen Kanzlei. Rechtsgrundlage ist die Einwilligung des Empfängers (Art. 6 Abs. 1 lit. a DSGVO) oder ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), jeweils verantwortet durch die Kanzlei.
• Kanzlei- und Admin-Daten: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für den Betrieb der Plattform.
• Audit-Logs: Berechtigtes Interesse an Nachvollziehbarkeit und Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).

4. Empfänger und Subauftragsverarbeiter

Eine Übermittlung in Drittländer findet nicht statt. Der Abgleich gegen die RTR/ECG-Werbeabmelderliste erfolgt über die Schnittstelle der Rundfunk und Telekom Regulierungs-GmbH (Regulierungsbehörde, kein Auftragsverarbeiter).

5. Speicherdauer und Löschung

6. Ihre Rechte

Als betroffene Person haben Sie folgende Rechte gemäß DSGVO:

• Auskunft (Art. 15) über die zu Ihrer Person gespeicherten Daten
• Berichtigung (Art. 16) unrichtiger Daten
• Löschung (Art. 17) Ihrer Daten
• Einschränkung (Art. 18) der Verarbeitung
• Datenübertragbarkeit (Art. 20)
• Widerspruch (Art. 21) gegen die Verarbeitung

Newsletter-Abmeldung: Sie können sich jederzeit über den Abmeldelink im Newsletter-Footer abmelden. Die Abmeldung wird sofort wirksam.

Erste Anlaufstelle für Betroffenenrechte ist die jeweilige Kanzlei, die den Newsletter versendet. Bei technischen Fragen können Sie sich an den Plattformbetreiber wenden: christoph@salat.tech

Sie haben das Recht, eine Beschwerde bei der österreichischen Datenschutzbehörde einzureichen: www.dsb.gv.at

7. Technische Sicherheitsmaßnahmen

• Verschlüsselung aller Verbindungen (HTTPS/TLS)
• Mandantentrennung: Empfängerdaten sind logisch pro Kanzlei getrennt
• Pseudonymisierung: E-Mail-Adressen lokal nur als SHA-256-Hash
• HMAC-Signaturvalidierung auf eingehenden Webhooks
• Rate Limiting zum Schutz vor Missbrauch
• Passwörter werden mit bcrypt gehasht