Datenschutzerklärung

Stand November 2024

Vorwegzuschicken ist, dass sich sämtliche Substantive geschlechtsneutral verstehen, sodass alle Personen gleichermaßen angesprochen werden. Von einem umfassenden Gendern wurde der Lesbarkeit wegen abgesehen.

Verantworlicher der Datenverarbeitung ist die SDI RATING GmbH, Heinrichsgasse 2/8, 1010 Wien, Österreich, FN 571979 x beim HG Wien, UID-Nr.: ATU77731607, Tel-Nr.: +43 1 5353509, Email: office@sdi-rating.com (im Folgenden: "SDI-RATING" oder "wir"). Da die gesetzlichen Voraussetzungen für einen verpflichtenden Datenschutzbeauftragten nicht vorliegen, haben wir keinen solchen bestellt. Kontaktieren Sie für Datenschutzfragen und die Geltendmachung etwaiger Betroffenenrechte uns daher unter vorgenannten Kontaktdaten.

Einleitend ist festzahlten, dass wir die Verarbeitung der Daten des Kunden und etwaiger Dritter für das SDI-Rating im Auftrag und in der Verantwortung des Kunden als dessen Auftragsverarbeiter durchführen. Diesbezüglich gilt zwischen Kunden und uns der bei der Registrierung abzuschließende Vertrag gemäß Art 28 DSGVO (Auftragsverarbeitervertrag).

Wir verarbeiten Daten unserer User/ Kunden in eigener Verarbeitung zu den folgenden Zwecken:

1. Erhebung für SDI-Vertragsabschluss

1.1 Für die Nutzung aller Funktionen der SDI-RATING-Website - insbesondere die SDI-Ermittlung und SDI-Administration, einschließlich (elektronischer) Kommunikation zu diesen Zwecken - ist die Registrierung eines Unternehmens sowie eines Users (Administrators) erforderlich. Dazu und in weiterer Folge erheben wir (in eigener Verantwortung zur Vertragserfüllung und unabhängig von der Verantwortung des Kunden für das SDI-Rating) Daten beim User und folgende Datenkategorien aus Drittquellen: Energiekennzahlen, CO2-Werte, Wasserverbauchszahlen, selbsterzeugte Energie in kWh, Flächenverbrauch in m2, Abfallaufkommen, Lehrlingszahlen, Schulungsstunden, Krankenstände, Unfallzahlen. (Darüber hinaus generieren wir folgende Datenkategorien: SDI des Kunden, Bestell- und Abrechnungsdaten:

Name und E-Mail des Ansprechpartners (Users), Passwort, Branche, Unternehmensname, Firmen-Website, UID-Nummer, rechtlicher Firmenwortlaut, Firmen-Adresse, Firmen-eMail-Adresse und Telefonnummer

1.2 Die Bereitstellung der Daten durch den Kunden/ User ist gesetzlich bzw vertraglich vorgeschrieben bzw für den Vertragsabschluss und die Vertragsabwicklung erforderlich, wobei Folge der Nicht-Bereitstellung ist, dass der Vertrag nicht geschlossen bzw erfüllt werden kann, insbesondere auch weil wir unseren gesetzlichen Pflichten nicht nachkommen können.

1.3 Es findet keine automatisierte Entscheidungsfindung gemäß DSGVO (Profiling gemäß Artikel 22 Absätze 1 und 4) statt.

1.4 Rechtsgrundlage für die Verarbeitung ist die (vor)vertragliche (Art 6 Abs 1 lit b DSGVO) und auch die unternehmens- und steuerrechtliche Erforderlichkeit (Art 6 Abs 1 lit c DSGVO).

1.5 Die SDI- und Nutzungs-Daten bleiben während der Vertragslaufzeit und dann - wie auch allgemein die unternehmens- und steuerrechtlich relevanten Daten - für sieben Jahre nach Ende unseres jeweiligen Wirtschaftsjahres gespeichert und werden dann gelöscht oder anonymisiert (Art 6 Abs 1 lit f DSGVO: berechtigte Interessen an der anonymen Datenhaltung für statistische Zwecke).

1.6 Wir setzen folgende Dienstleister ("Empfänger" im Sinne der DSGVO) ein, welche personenbezogene Daten des Kunden in unserem Auftrag verarbeiten:

Empfänger Sitz Dienstleistung
INTERTREU SteuerberatungsGmbH Lainzer Strasse 11/4, 1130 Wien, Österreich Abrechnungs- und Buchhaltungspflicht
Stripe Payments Europe, Limited (SPEL) 354 Oyster Point Blvd, South San Francisco, CA 94080, United States Payment-Provider, Abrechnung, Finanzdienstleistung
RSIT Rainer Schuster GmbH Liechtensteinstraße 9, 1090 Wien, Österreich Programmieren der Software
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen | Germany Hosting der verschlüsselten Daten

Soweit die Zahlungen des Kunden an uns über einen Payment Provider abgewickelt werden, ist dieser getrennter Verantwortlicher und gelten dessen Geschäftsbedingungen und Datenschutzinformationen in der zum Zeitpunkt des Zahlungsvorganges jeweils gültigen Fassung.

2. SDI-Benchmarking

2.1 Teil des SDI-Service ist ein SDI-Benchmarking/ SDI-Branchenvergleich. Dafür ist es erforderlich, dass auch die Daten den Kunden in das SDI-Benchmarking einfließen: Es werden die Informationen bzw. Ergebnisse des Kunden mit jenen anderer Unternehmen bzw anderer unserer Kunden aggregiert, um ein KPI-Benchmarking zu ermöglichen. Die Aggregierung, welche nicht mehr auf den einzelnen Kunden rückführbar ist, betrifft beim Kunden erhobene Datenkategorien, nämlich Energiekennzahlen, CO2-Werte, Wasserverbauchszahlen, selbsterzeugte Energie in kWh, Flächenverbrauch, Abfallaufkommen, Schulungsstunden, Krankenstände etc.

2.2 Die Bereitstellung der Daten durch den Kunden/ User ist bei entsprechendem Auftrag/ Einwilligung vertraglich vorgeschrieben, wobei Folge der Nicht-Bereitstellung ist, dass ein Benchmarking nicht stattfinden kann.

2.3 Es findet im Rahmen des Benchmarkings keine automatisierte Entscheidungsfindung gemäß DSGVO (Profiling gemäß Artikel 22 Absätze 1 und 4) statt.

2.4 Rechtsgrundlage für die Aggregierung ist die vertragliche Erforderlichkeit (Art 6 Abs 1 lit b DSGVO) bzw Einwilligung (Art 6 Abs 1 lit a DSGVO).

2.5 Die aggregierten bzw anoymen, weil nicht rückführbaren Daten bleiben voraussichtlich unbeschränkt gespeichert.

2.6 Wir setzen im Rahmen des SDI-Benchmarking folgende Dienstleister ("Empfänger" im Sinne der DSGVO) ein, welche die Daten in unserem Auftrag verarbeiten:

Empfänger Sitz Dienstleistung
RSIT Rainer Schuster GmbH Liechtensteinstraße 9, 1090 Wien, Österreich Programmieren der Software
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen | Germany Hosting der verschlüsselten Daten

3. Log-Daten-Verarbeitung bei Nutzung unserer Website

3.1 Bei jedem Zugriff auf unsere Seite erhebt und speichert der Server automatisch in Log-Files Informationen, die der Browser des Users an SDI-RATING übermittelt. Diese sind: IP-Adresse, User-ID, Browsertyp/-version, verwendetes Betriebssystem, spezifische Geräteidentifikationsnummern, Uhrzeit und Datum der Serveranfrage, URLs der besuchten Seiten, sowie verwendetes Endgerät.

3.2 Die Bereitstellung der Daten durch den Kunden/ User ist zur Nutzung unserer Website erforderlich, wobei Folge der Nicht-Bereitstellung ist, dass eine Nutzung unserer Website nicht möglich ist.

3.3 Es findet im Rahmen unserer Websitenutzung keine automatisierte Entscheidungsfindung gemäß DSGVO (Profiling gemäß Artikel 22 Absätze 1 und 4) statt.

3.4 Rechtsgrundlage für die Verarbeitung ist die vertragliche Erforderlichkeit (Art 6 Abs 1 lit b DSGVO) bzw berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), nämlich Statistik und Analyse zur technischen Weiterentwicklung der SDI-RATING-Website.

3.5 Die Website-Log-Daten bleiben für 31 Tage gespeichert und werden dann gelöscht bzw anonymisiert.

3.6 Wir setzen im Rahmen unserer Website folgende Dienstleister ("Empfänger" im Sinne der DSGVO) ein, welche die Daten in unserem Auftrag verarbeiten:

Empfänger Sitz Dienstleistung
RSIT Rainer Schuster GmbH Liechtensteinstraße 9, 1090 Wien, Österreich Programmieren der Software
Hetzner Online GmbH Industriestr. 25, 91710 Gunzenhausen | Germany Hosting der verschlüsselten Daten

4. Empfänger

4.1 Zur Erbringung unserer Leistungen setzen wir folgende Dienstleister ein, welche unter Umständen Zugriff auf die Daten des Users erhalten (datenschutzrechtliche Empfänger):

Empfänger: INTERTREU SteuerberatungsGmbH
Sitz des Empfängers: Lainzer Strasse 11/4, 1130 Wien, Österreich
Folgende personenbezogenen Daten werden übermittelt: Name, Adresse, Rechnungsdaten des Kunden
Zweck: Speicherung zur Zweckerfüllung: Abrechnungs- und Buchhaltungspflicht

Empfänger: Stripe Payments Europe, Limited (SPEL)
Sitz des Empfängers: 354 Oyster Point Blvd, South San Francisco, CA 94080, United States 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland
Folgende personenbezogenen Daten werden übermittelt: Name, Adresse, Rechnungsdaten des Kunden
Zweck: Speicherung zur Zweckerfüllung: Abrechnung, Finanzdienstleistung

Empfänger: RSIT Rainer Schuster GmbH
Sitz des Empfängers: Liechtensteinstraße 9, 1090 Wien, Österreich
Folgende personenbezogenen Daten werden übermittelt: Username, Email, Adresse
Zweck: Programmieren der Software

Empfänger: Hetzner Online GmbH
Sitz des Empfängers: Industriestr. 25, 91710 Gunzenhausen | Germany
Zweck: Hosting der verschlüsselten Daten

Empfänger: Mailchimp
Sitz des Empfängers: The Rocket Science Group, LLC
405 N. Angier Ave. NE, Atlanta, GA 30312 USA
Zweck: E-Mail-Marketing; Erstellung und Versand von personalisierten E-Mail

5. Betroffenenrechte

5.1 Recht auf Widerruf der Einwilligung: Soweit die Verarbeitung der Daten des Users auf der Einwilligung beruht, hat jeder User das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Bei den einzelnen Einwilligungserklärungen gegenüber SDI-RATING sind Prozesse zur Erklärung des Widerrufs angegeben. Der Widerruf der einzelnen Einwilligungen ist auch auf folgende Art und Weise möglich: formlose Mitteilung an office@sdi-rating.com.

5.2 Recht auf Auskunft: Der User hat das Recht, von SDI-RATING eine Bestätigung darüber zu verlangen, ob den User betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat der User ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen durch SDI-RATING:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht beim User erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das (Nicht)Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling. SDI-RATING stellt diesfalls eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die beantragt werden, kann SDI-RATING unter Umständen ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt der User den Antrag elektronisch, so sind die Informationen von SDI-RATING in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern vom User nichts anderes angegeben wird.

5.3 Recht auf Berichtigung und Löschung: Der User hat das Recht, von SDI-RATING unverzüglich die Berichtigung den User betreffende unrichtige personenbezogene Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat der User das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen. Weiters hat der User das Recht, von SDI-RATING zu verlangen, dass den User betreffende personenbezogene Daten unverzüglich gelöscht werden und SDI-RATING ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Der User widerruft seine Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Der User legt erfolgreich Widerspruch (siehe gleich unten) gegen die Verarbeitung ein.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der SDI-RATING unterliegt.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft (Einwilligung eines Kindes) erhoben. Das Recht auf Löschung besteht insbesondere dann nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung von SDI-RATING erforderlich ist und/oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

5.4 Recht auf Einschränkung der Verarbeitung: der User hat das Recht, von SDI-RATING die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  1. Die Richtigkeit der personenbezogenen Daten wird/wurde von dem User bestritten, und zwar gilt dann die Einschränkung für eine Dauer, die es SDI-RATING ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
  2. die Verarbeitung ist unrechtmäßig und der User hat die Löschung der personenbezogenen Daten abgelehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
  3. SDI-RATING benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, aber der User benötigt diese nach einer entsprechend begründeten Erklärung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, oder
  4. der User erklärt Widerspruch gegen die Verarbeitung, wobei die Einschränkung solange erfolgt, solange noch nicht feststeht, ob die berechtigten Gründe von SDI-RATING gegenüber seinen überwiegen. Wurde die Verarbeitung eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit einer Einwilligung des Users oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses des Staates verarbeitet werden. Wenn der User eine Einschränkung der Verarbeitung erwirkt hat, wird der User von SDI-RATING unterrichtet, bevor die Einschränkung aufgehoben wird.

5.5 Recht auf Datenübertragbarkeit: Sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, hat der User das Recht, die den User betreffenden personenbezogenen Daten, die den User SDI-RATING bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Bei der Ausübung des Rechts auf Datenübertragbarkeit hat der User das Recht, zu erwirken, dass die personenbezogenen Daten direkt von SDI-RATING einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

5.6 Widerspruchsrecht: der User hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung den User betreffender personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die SDI-RATING übertragen wurde, oder die zur Wahrung der berechtigten Interessen von SDI-RATING oder eines Dritten erforderlich ist, erfolgt, Widerspruch einzulegen. SDI-RATING verarbeitet dann die personenbezogenen Daten nicht mehr, es sei denn, SDI-RATING kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die seine Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat der User das Recht, jederzeit Widerspruch gegen die Verarbeitung der betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Widerspricht der User der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

5.7 Beschwerderecht bei der Aufsichtsbehörde: der User hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat seines Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn der User der Ansicht ist, dass die Verarbeitung der den User betreffenden personenbezogenen Daten gegen die gesetzlichen Vorgaben verstößt. Die Österreichische Datenschutzbehörde ist erreichbar unter: Barichgasse 40-42, 1030 Wien, Österreich; Telefon: +43 1 52 152-0, E-Mail: dsb@dsb.gv.at, Website: https://www.dsb.gv.at.

6. Weitere Informationen und Datensicherheit

6.1 Diese Datenschutzerklärung gilt für sämtliche Services von SDI-RATING, insbesondere über die SDI-RATING-Website. Bei Links der SDI-RATING Website, die auf Internet-Seiten Dritter führen, gilt diese Datenschutzerklärung nicht für diese, sondern sie unterliegen den jeweiligen für diese Seiten anwendbaren Datenschutzbestimmungen.

6.2 Wir halten jeweils gültigen Branchenstandard zum Schutz uns übermittelter personenbezogener Daten ein, und zwar sowohl während ihrer Übermittlung als auch nach Erhalt. Keines der Verfahren zur Übermittlung von Daten über das Internet oder per Mobiltelefon ist allerdings 100 % sicher, wobei gleiches auch für die Verfahren der elektronischen Speicherung gilt. Daher können wir, auch wenn wir uns mit der gebotenen Sorgfalt bemühen, personenbezogenen Daten mit wirtschaftlich zumutbaren Mitteln zu schützen, keine absolute Sicherheit für die Daten garantieren.

Archiv:

Datenschutzerklärung Version Juni 2022

Sie haben noch Fragen?

Schreiben Sie uns - wir kontaktieren Sie!

Vielen Dank! Wir haben deine Einsendung erhalten.
Fehler! Versuche es bitte nochmal.