Datenschutzerklärung

Florma (in Gründung) — Daniel Klaffenböck

Sindhöring 11, 4973 St. Martin im Innkreis

Österreich

E-Mail: office@florma.at

Bei der Nutzung von Florma verarbeiten wir folgende Kategorien personenbezogener Daten:

• Kontodaten: E-Mail-Adresse, optionaler Anzeigename, optionale Firmen-/Gärtnerei-Daten.
• Inhaltsdaten: hochgeladene PDF-Preislisten, manuell erstellte Preislisten-Verknüpfungen, gemeldete Datenfehler.
• Nutzungsdaten: Login-Zeitpunkte, IP-Adresse, Browser-Identifier (für Sicherheitsprotokolle).
• Kommunikationsdaten: Inhalte von Anfragen per E-Mail oder Kontaktformular.

• Bereitstellung der Vergleichsplattform und Verwaltung des Nutzerkontos (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung).
• Extraktion und Verarbeitung hochgeladener Preislisten zur Erbringung der Vergleichsfunktion (Art. 6 Abs. 1 lit. b DSGVO).
• Sicherstellung des sicheren Betriebs (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse).
• Erfüllung gesetzlicher Aufbewahrungspflichten (Art. 6 Abs. 1 lit. c DSGVO).

Wir bedienen uns sorgfältig ausgewählter Auftragsverarbeiter, die uns bei der Bereitstellung des Dienstes unterstützen. Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO (teils über die jeweiligen Standard-Allgemeingeschäftsbedingungen, teils gesondert geschlossen).

• Vercel Inc. (USA, Compute in Frankfurt/EU — Region fra1) — Hosting der Web-Anwendung. Übermittelt werden alle HTTP-Anfragen inklusive IP-Adresse und Browser-Identifier für Sicherheits- und Performance-Logs. Die Serverless-Functions laufen primär in Frankfurt. Datenübermittlung in die USA (Mutter­gesellschaft, interne Replikation) erfolgt auf Basis der EU-Standardvertragsklauseln und des EU-US Data Privacy Frameworks.
• Supabase Inc. (USA, Server in EU/Frankfurt) — Datenbank, Authentifizierung, Datei-Speicher. Server für Florma stehen in der EU-Region (eu-central-1). Verarbeitet werden E-Mail-Adresse, Passwort-Hash, Kontodaten, hochgeladene PDF-Dateien und alle in der Plattform erzeugten Inhalte.
• Anthropic PBC(USA) — KI-basierte Extraktion von PDF-Preislisten (Claude Sonnet/Opus/Haiku API). Übermittelt werden ausschließlich die Inhalte der hochgeladenen PDFs (kein Nutzerkonto, keine E-Mail-Adresse). Diese PDFs können Kontaktdaten der jeweiligen Baumschule enthalten (z. B. E-Mail, Telefon, Name des Geschäftsführers). Anthropic speichert API-Eingaben und ‐Ausgaben standardmäßig für 30 Tage zu Zwecken der Missbrauchserkennung und löscht sie danach automatisch. Eine Verwendung zum Modelltraining erfolgt nicht. Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln, die in den Commercial Terms of Service automatisch integriert sind.
• Stripe Payments Europe Ltd. (Irland, mit Datenfluss zur US-Muttergesellschaft) — Abwicklung von Abonnements und Zahlungen. Übermittelt werden E-Mail-Adresse, Firmen-/Anzeige­name und eine interne Nutzer-Kennung; die Zahlungsdaten (Kreditkarte, SEPA) gibt der Nutzer direkt bei Stripe ein und sie werden nicht an Florma weitergeleitet. Datenübermittlung in die USA auf Basis der EU-Standardvertragsklauseln.
• Resend, Inc. (USA) — Versand der von Ihnen ausgelösten Anfrage-E-Mails an Baumschulen. Übermittelt und gespeichert werden die E-Mail-Adresse der Baumschule, Betreff, Nachrichtentext, die zusammengestellten Anfrage-Positionen sowie — bei Auswahl „Kopie an mich“ — Ihre E-Mail-Adresse. Die Übermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (Resend Data Processing Agreement).
• Telegram FZ-LLC (Vereinigte Arabische Emirate) — interne Benachrichtigung des Betreibers über Neuregistrierungen zur manuellen Freischaltung von Konten. Übermittelt werden die E-Mail-Adresse und der Firmenname des neu registrierten Nutzers an einen privaten Admin-Chat. Eine Weitergabe an Dritte erfolgt nicht.
• Railway Corp. (USA, Compute in Amsterdam/EU — Region eu-west-1) — Hosting des internen PDF-Verarbeitungs-Dienstes, der hochgeladene PDFs entgegennimmt und an die Anthropic-API weiterleitet. Die PDFs werden im Dienst nicht dauerhaft gespeichert (in-memory-Verarbeitung). Datenübermittlung in die USA (Mutter­gesellschaft, interne Replikation) erfolgt auf Basis der EU-Standardvertragsklauseln.
• World4You Internet Services GmbH (Österreich, Linz) — Domain­registrierung und Mail-Hosting für office@florma.at. E-Mails, die Sie an unsere Kontakt­adresse senden, werden auf Servern in Österreich gespeichert. Da der Anbieter seinen Sitz in Österreich hat und die Daten Österreich nicht verlassen, findet keine Datenübermittlung in ein Drittland statt.

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist:

• Kontodaten: bis zur Löschung des Kontos.
• Extrahierte Pflanzendaten in der Datenbank: bis zur Löschung durch den Nutzer oder bis zum Wegfall der Notwendigkeit.
• Original-PDF-Dateien (Upload-Bucket): werden unmittelbar nach erfolgreicher Extraktion automatisch gelöscht.
• Archivierte PDF-Kopien für interne Datenkuratierung: maximal 12 Monate, danach automatisch gelöscht.
• Anthropic-Verarbeitungs-Logs: 30 Tage (von Anthropic kontrolliert, siehe Punkt 4).
• Sicherheitsprotokolle / Upload-Telemetrie (upload_events): 90 Tage, danach automatisch gelöscht.
• Buchhaltungsrelevante Unterlagen: 7 Jahre (§ 132 BAO).

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch (Art. 21 DSGVO)
• Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde — in Österreich: Datenschutzbehörde (dsb.gv.at)

Florma verwendet ausschließlich technisch notwendige Cookies (Login-Session, CSRF-Schutz). Es findet kein Tracking, keine Werbung und keine Analyse durch Drittanbieter statt.

Die Übertragung erfolgt verschlüsselt via HTTPS/TLS 1.3. Passwörter werden nicht im Klartext gespeichert. Datenbank-Zugriff erfolgt ausschließlich serverseitig mit Service-Rollen.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um neue gesetzliche Anforderungen oder Änderungen unserer Leistungen abzubilden. Die jeweils aktuelle Version finden Sie unter /datenschutz.