Datenschutzerklärung
Gemäß Art. 13 & 14 DSGVO (EU) 2016/679, dem österreichischen Datenschutzgesetz (DSG 2018) und § 165 TKG 2021. Stand: Juli 2026.
1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Ein gesetzlich benannter Datenschutzbeauftragter ist für unser Unternehmen nicht verpflichtend (Art. 37 DSGVO). Datenschutzanfragen richten Sie bitte direkt an die oben genannte E-Mail-Adresse.
2. Welche personenbezogenen Daten wir verarbeiten
2.1 Registrierungs- und Profildaten
Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert, nie im Klartext), Profilbild, Berufsbezeichnung, Kurzbiographie, Fähigkeiten (Skills), Standort (Bundesland, Stadt), bevorzugte Sprache. Bei Unternehmenskonten zusätzlich: Unternehmensname, Unternehmensgröße, Branche, Firmenbuchnummer (FNr), UID-Nummer, Stadt und Bundesland des Unternehmens sowie selbst deklarierter Vertreternachweis.
2.2 Nutzungs- und Interaktionsdaten
Erstellte Inserate und Bedarfsmeldungen (RFQs), Bewerbungen auf Inserate, gespeicherte Inserate und Suchanfragen, gesendete und empfangene Nachrichten (Inhalt und Zeitstempel), Credit-Transaktionen, Profilaufruf-Statistiken (aggregiert, ohne Speicherung individueller Besucher-Identitäten), hochgeladene Dateien (Profilbild, Coverbild, Portfolio-Elemente).
2.3 Technische Zugangsdaten
Authentifizierungs-Token (Sitzungs-Token für die sichere Anmeldung), Zeitstempel der letzten Aktivität (lastSeenAt), IP-Adresse des letzten Logins (temporär für Sicherheitsprüfungen, nicht dauerhaft protokolliert).
2.4 KI-Matching-Vektoren
Semantische Einbettungsvektoren (Embeddings), die aus Ihren Profildaten lokal berechnet werden, um passende Inserate zu empfehlen. Diese Vektoren enthalten keine rohen personenbezogenen Daten, werden aber einem Nutzerprofil zugeordnet.
2.5 Verifikationsdaten (Unternehmenskonten)
OTP-Code (Hash) für E-Mail-Verifikation (wird nach Nutzung sofort invalidiert), Firmenbuch-Auszugsdaten (öffentlich zugänglich via openfirmenbuch.at), selbst deklarierter Vertreternachweis (Name + Funktion). Ausweisdokumente werden ausdrücklich nicht gespeichert — der Identitätsabgleich erfolgt clientseitig im Browser ohne Übertragung an unsere Server.
3. Verarbeitungszwecke und Rechtsgrundlagen (Art. 6 DSGVO)
| Verarbeitungszweck | Rechtsgrundlage | Erläuterung |
|---|---|---|
| Registrierung, Anmeldung, Profilverwaltung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Notwendig zur Erbringung der Plattformleistungen |
| Inserate, Bewerbungen, Nachrichten, RFQs | Art. 6 Abs. 1 lit. b DSGVO | Kernfunktionen der Plattform |
| Transaktionale E-Mails (Willkommensmail, OTP, Systembenachrichtigungen) | Art. 6 Abs. 1 lit. b DSGVO | Erforderlich für die Vertragsabwicklung |
| Optionale E-Mail-Benachrichtigungen (Matches, Digest) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Widerrufbar jederzeit in den Einstellungen → Benachrichtigungen |
| KI-gestütztes Matching (Empfehlungen) | Art. 6 Abs. 1 lit. b & f DSGVO | Vertragserfüllung + berechtigtes Interesse an Plattformqualität; keine rechtsverbindliche automatisierte Entscheidung (Art. 22 DSGVO nicht anwendbar) |
| Sicherheit, Missbrauchsprävention, Log-Dateien | Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) | Schutz der Nutzer und der Plattformintegrität |
| Unternehmensverifikation (Firmenbuchabgleich) | Art. 6 Abs. 1 lit. b & f DSGVO | Qualitätssicherung der Plattform; öffentliche Daten aus openfirmenbuch.at |
| Gesetzliche Aufbewahrungspflichten (Buchungsbelege, Rechnungen) | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) | UGB § 212: 7 Jahre; BAO: 7 Jahre |
Bei Verarbeitungen auf Basis berechtigter Interessen (lit. f) haben Sie das Recht, jederzeit Widerspruch einzulegen (Art. 21 DSGVO). Wenden Sie sich dazu an matioumagdy331@gmail.com.
4. Empfänger und Auftragsverarbeiter (Art. 28 DSGVO)
Ihre Daten werden nicht für Werbezwecke an Dritte weitergegeben. Wir setzen folgende technische Dienstleister als Auftragsverarbeiter ein, mit denen Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO geschlossen wurden:
| Anbieter | Zweck | Sitz | Drittlandgarantie |
|---|---|---|---|
| Convex, Inc. | Datenbank & Backend-Infrastruktur | USA | EU-US Data Privacy Framework (Zertifizierung) + SCCs |
| Resend, Inc. | Transaktionale E-Mails (OTP, Willkommen, Benachrichtigungen) | USA | Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO) |
| Vercel, Inc. | Web-Hosting & Edge-Delivery | USA | Standardvertragsklauseln (SCCs) |
| openfirmenbuch.at (Justiz) | Firmenbuchabfragen bei Unternehmensregistrierung | Österreich (EU) | Öffentliches Register, kein AVV erforderlich |
Öffentliche Profilseiten (Name, Berufsbezeichnung, Unternehmensname) sind für nicht eingeloggte Nutzer sichtbar, sofern Sie Ihr Profil als öffentlich markiert haben. Die Sichtbarkeit können Sie jederzeit in den Profileinstellungen ändern.
Eine Weitergabe an Strafverfolgungsbehörden erfolgt ausschließlich auf Basis einer gesetzlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
5. Speicherdauer und Löschfristen (Art. 13 Abs. 2 lit. a DSGVO)
| Datenkategorie | Speicherdauer |
|---|---|
| Profildaten, Nutzungsdaten | Bis zur Kontolöschung, dann innerhalb von 30 Tagen gelöscht |
| Nachrichten | Bis zur Kontolöschung eines Teilnehmers |
| OTP-Codes (E-Mail-Verifikation) | 10 Minuten nach Ausstellung, dann automatisch invalidiert |
| Sitzungs-Token (Auth) | Bis zum Logout oder Ablauf der Session |
| KI-Embedding-Vektoren | Bis zur Kontolöschung |
| Rechnungen, Credit-Transaktionen (steuerrelevant) | 7 Jahre (UGB § 212, BAO § 132) |
| Hochgeladene Dateien (Profilbild, Portfolio) | Bis zum Löschen durch den Nutzer oder Kontolöschung |
| Einwilligungsnachweise (Consent-Log) | 3 Jahre nach Widerruf (Nachweispflicht Art. 7 Abs. 1 DSGVO) |
Nach Ablauf der jeweiligen Frist werden die Daten automatisch und unwiderruflich gelöscht oder anonymisiert, sofern keine abweichenden gesetzlichen Aufbewahrungspflichten greifen.
6. Automatisierte Verarbeitung und KI-Matching (Art. 22 DSGVO)
Die Plattform berechnet automatisiert semantische Ähnlichkeits-Scores zwischen Nutzerprofilen und Inseraten (KI-Matching). Technisch basieren diese Scores auf einem lokalen Sprachmodell (Xenova/all-MiniLM-L6-v2), das ausschließlich auf unseren Servern läuft — keine Übertragung Ihrer Daten an externe KI-Dienste (z. B. OpenAI, Google). Die Match-Scores sind rein informative Empfehlungen; es handelt sich um keine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO. Sie können alle Inserate unabhängig vom Score einsehen, darauf reagieren oder sich bewerben.
7. Cookies und lokale Speicherung (§ 165 TKG 2021)
Gemäß § 165 Abs. 3 TKG 2021 dürfen technisch notwendige Cookies ohne Einwilligung gesetzt werden. Für alle anderen Cookies ist eine vorherige, freiwillige und informierte Einwilligung erforderlich.
Technisch notwendige Cookies (keine Einwilligung erforderlich)
| Name | Zweck | Ablauf | Anbieter |
|---|---|---|---|
| __convex_session | Authentifizierungs-Session (sicherer Plattformzugang) | Session / bis Logout | Convex Auth |
| goconnecta_cookie_consent_v2 | Speichert Ihre Cookie-Einwilligung (localStorage) | Dauerhaft (bis Browserdaten gelöscht) | goconnecta |
| goconnecta_company_signup_form | Speichert Zwischenstand des Registrierungsformulars (localStorage), damit Eingaben bei versehentlichem Schließen erhalten bleiben | Bis Abschluss der Registrierung | goconnecta |
Optionale Cookies (Einwilligung erforderlich)
Zum aktuellen Zeitpunkt setzt goconnecta keine optionalen Analyse-, Tracking- oder Marketing-Cookies ein. Sollte sich dies in Zukunft ändern, werden wir diese Datenschutzerklärung aktualisieren und Ihre erneute Einwilligung einholen.
Sie können alle Cookies und lokale Speicherdaten jederzeit in den Datenschutzeinstellungen Ihres Browsers löschen. Das Löschen des Sitzungs-Tokens bewirkt eine automatische Abmeldung.
8. Ihre Rechte als betroffene Person (Art. 15–22 DSGVO)
Auskunft (Art. 15 DSGVO): Sie haben das Recht, unentgeltlich Auskunft darüber zu verlangen, welche Daten wir über Sie verarbeiten, zu welchen Zwecken, wer die Empfänger sind und wie lange die Daten gespeichert werden.
Berichtigung (Art. 16 DSGVO): Unrichtige oder unvollständige Daten können Sie direkt in Ihrem Profil (Einstellungen → Profil) jederzeit korrigieren.
Löschung / Recht auf Vergessenwerden (Art. 17 DSGVO): Über Einstellungen → Konto → Konto dauerhaft löschen können Sie Ihr Konto und alle damit verbundenen personenbezogenen Daten unwiderruflich löschen. Gesetzliche Aufbewahrungspflichten (z. B. Buchungsbelege) bleiben davon unberührt.
Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird, z. B. wenn Sie die Richtigkeit bestreiten oder Widerspruch eingelegt haben.
Datenübertragbarkeit (Art. 20 DSGVO): Über Einstellungen → Datenschutz → Meine Daten exportieren können Sie alle Ihre Daten in einem maschinenlesbaren Format (JSON) herunterladen.
Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f) jederzeit widersprechen. Wir stellen dann die Verarbeitung ein, sofern keine zwingenden schutzwürdigen Gründe überwiegen.
Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Einwilligungen (z. B. für optionale E-Mail-Benachrichtigungen) können Sie jederzeit mit Wirkung für die Zukunft in den Einstellungen widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.
Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen:
Österreichische Datenschutzbehörde (DSB)
Barichgasse 40–42, 1030 Wien, Österreich
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at
Zur Ausübung Ihrer Rechte wenden Sie sich bitte per E-Mail an matioumagdy331@gmail.com. Wir beantworten Ihre Anfrage innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO). Bei komplexen Anfragen kann diese Frist um weitere 60 Tage verlängert werden, worüber wir Sie vorab informieren werden.
9. Datensicherheit (Art. 32 DSGVO)
Wir treffen angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer personenbezogenen Daten:
- Verschlüsselte Übertragung aller Daten via HTTPS/TLS
- Passwörter werden ausschließlich als bcrypt-Hash gespeichert, niemals im Klartext
- Sitzungs-Token werden nach Logout serverseitig invalidiert
- Zugriff auf Produktionsdaten ist auf autorisiertes Personal beschränkt
- KYC-Dokumente werden clientseitig verarbeitet und niemals auf unsere Server übertragen
- Regelmäßige Sicherheitsüberprüfungen der Infrastruktur durch unsere Auftragsverarbeiter
Bei einer Datenschutzverletzung (Art. 33 DSGVO) informieren wir die Datenschutzbehörde innerhalb von 72 Stunden. Betroffene Personen werden unverzüglich benachrichtigt, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht (Art. 34 DSGVO).
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei wesentlichen Änderungen unserer Dienste oder der gesetzlichen Grundlagen zu aktualisieren. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert. Das aktuelle Datum der letzten Überarbeitung ist am Ende dieser Seite angegeben. Wir empfehlen, diese Seite regelmäßig zu prüfen.
Letzte Aktualisierung:Juli 2026 · Gültig ab: Juli 2026 · Verantwortlicher: Matiou Faltas, Graz