Datenschutzerklärung

1 Verantwortlicher im Sinne der DSGVO

Verantwortlicher für die Verarbeitung personenbezogener Daten auf der Plattform Ghostshopper (www.ghostshopper.at) ist:

2 Grundsätze der Verarbeitung

Wir verarbeiten personenbezogene Daten unter strikter Einhaltung der Grundsätze gemäß Art. 5 DSGVO:

• Rechtmäßigkeit, Treu und Glauben, Transparenz – Daten werden nur auf Basis einer gültigen Rechtsgrundlage verarbeitet.
• Zweckbindung – Daten werden nur für festgelegte, eindeutige und legitime Zwecke erhoben.
• Datenminimierung – Es werden nur jene Daten erhoben, die für den jeweiligen Zweck erforderlich sind.
• Richtigkeit – Unrichtige Daten werden unverzüglich korrigiert oder gelöscht.
• Speicherbegrenzung – Daten werden nicht länger als notwendig gespeichert.
• Integrität & Vertraulichkeit – Daten werden durch geeignete technische und organisatorische Maßnahmen geschützt.

3 Erhobene personenbezogene Daten

3.1 Registrierungsdaten

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (gespeichert ausschließlich als PBKDF2-Hash mit individuellem Salt – niemals im Klartext)
• Rolle (Tester:in oder Unternehmen)
• Registrierungsdatum und IP-Adresse zum Zeitpunkt der Registrierung

3.2 Profildaten

• Bankverbindung (IBAN, BIC, Kontoinhaber:in) – AES-256-verschlüsselt, ausschließlich für Auszahlungen
• Unternehmensdaten (Firmenname, Adresse, Branche, Webseite – nur bei Unternehmenskonten)

3.3 Nutzungs- und Transaktionsdaten

• Auftrags- und Bewertungsdaten (Beschreibungen, Feedback, Bewertungen)
• Auszahlungshistorie und Gutschriften
• Login-Zeitpunkte und IP-Adressen (für Sicherheitszwecke)
• Kommunikation über das Support-System

3.4 Technische Daten

• IP-Adresse (anonymisiert nach 30 Tagen)
• Browser-Typ und -Version, Betriebssystem
• Datum, Uhrzeit und aufgerufene URLs (Serverlogs, 30 Tage)
• HTTP-Statuscodes

3.5 Kontaktformulardaten

Bei Nutzung des Kontaktformulars: Name, E-Mail-Adresse, Rolle und Nachrichteninhalt.

4 Verarbeitungszwecke und Rechtsgrundlagen

4.1 Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

• Bereitstellung und Betrieb der Ghostshopper-Plattform
• Abwicklung von Testrequests und Bewertungsaufträgen
• Auszahlung von Aufwandsentschädigungen
• Erstellung von Gutschriften und Belegen
• Support und Bearbeitung von Anfragen

4.2 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

• Sicherheit der Plattform (Fraud-Erkennung, Login-Protokollierung)
• Verbesserung und Weiterentwicklung der Plattform
• Schutz vor Missbrauch und unberechtigtem Zugriff

4.3 Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

• Aufbewahrung von Rechnungs- und Buchführungsunterlagen gemäß UGB und BAO (7 Jahre)
• Auskunftspflichten gegenüber Behörden

4.4 Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

• Versand von E-Mail-Benachrichtigungen zu neuen Bewertungsaufträgen (jederzeit widerrufbar)
• Verwendung von nicht technisch notwendigen Cookies

5 Datenweitergabe an Dritte

5.1 Auftragsverarbeiter (Art. 28 DSGVO)

• Mailjet SAS (Frankreich / EU) – E-Mail-Versand. Angemessenes Schutzniveau durch EU-Standardvertragsklauseln.
• Hetzner / Microsoft Azure (EU) – Serverhosting und Datenbankbetrieb innerhalb der EU.
• Google reCAPTCHA (USA) – Spam-Schutz. Es gelten die Google-Datenschutzbestimmungen. Übermittlung auf Basis von EU-Standardvertragsklauseln.

5.2 Behörden

Wir sind gesetzlich verpflichtet, auf Anfrage zuständiger Behörden Daten herauszugeben, soweit dies gesetzlich vorgeschrieben ist.

5.3 Keine Weitergabe zu Werbezwecken

Wir verkaufen, vermieten oder tauschen Ihre personenbezogenen Daten nicht an Dritte zu Werbezwecken.

6 Speicherdauer

• Kontodaten: Für die Dauer des aktiven Kontos; nach Löschungsantrag innerhalb von 30 Tagen.
• Transaktions- und Rechnungsdaten: 7 Jahre gemäß § 212 UGB und BAO.
• Serverlogs / IP-Adressen: 30 Tage, danach anonymisiert.
• Support-Tickets: 3 Jahre nach Abschluss.
• Kontaktformularanfragen: 12 Monate nach Bearbeitung.
• Abgelehnte Registrierungen: 6 Monate.

7 Cookies und technische Speicherung

7.1 Technisch notwendige Cookies

• __gs_auth – Authentifizierungs-Cookie. HttpOnly, Secure, SameSite=Strict. Gültig für 8 Stunden bzw. 30 Tage bei „Angemeldet bleiben".
• __RequestVerificationToken – CSRF-Schutz-Token. Session-Cookie.

7.2 Keine Tracking-Cookies

Es werden keine Marketing-, Werbe- oder Analyse-Cookies von Drittanbietern verwendet. Es findet kein Cross-Site-Tracking statt.

7.3 Google reCAPTCHA

Auf Registrierungs-, Kontakt- und Testrequest-Formularen wird Google reCAPTCHA v2 eingesetzt. Dabei können technische Daten an Google übertragen werden. Es gelten die Datenschutzbestimmungen von Google.

8 Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer personenbezogenen Daten ein:

• Verschlüsselung der Übertragung via TLS/HTTPS (HSTS aktiviert)
• Passwort-Hashing
• AES-256-Verschlüsselung für sensible Bankdaten (IBAN, BIC)
• Zwei-Faktor-Authentifizierung
• Account-Lockout
• Schutz vor SQL-Injection
• CSRF-Schutz
• Security-Header
• Rate-Limiting
• Automatisches Blockieren bekannter Scanner, Bots und Angriffspfade

9 Ihre Rechte als betroffene Person

Art. 15 DSGVO – Auskunftsrecht

Sie haben das Recht, Auskunft darüber zu erhalten, ob und welche personenbezogenen Daten wir von Ihnen verarbeiten sowie über Zwecke, Kategorien, Empfänger, Speicherdauer und Ihre Rechte.

Art. 16 DSGVO – Recht auf Berichtigung

Sie haben das Recht, die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Art. 17 DSGVO – Recht auf Löschung

Sie haben das Recht, die Löschung Ihrer Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung

Sie haben das Recht, die Einschränkung der Verarbeitung unter bestimmten Voraussetzungen zu verlangen.

Art. 20 DSGVO – Recht auf Datenübertragbarkeit

Sie haben das Recht, Ihre Daten in einem strukturierten, maschinenlesbaren Format zu erhalten.

Art. 21 DSGVO – Widerspruchsrecht

Sie haben das Recht, der Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f) aus Gründen Ihrer besonderen Situation zu widersprechen.

Widerruf einer Einwilligung

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Art. 77 DSGVO – Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:

Zur Ausübung Ihrer Rechte: datenschutz@ghostshopper.at — Bearbeitung innerhalb von 30 Tagen.

10 Minderjährige

Die Ghostshopper-Plattform richtet sich ausschließlich an Personen ab 18 Jahren. Wir erheben wissentlich keine Daten von Minderjährigen. Sollte uns bekannt werden, dass ein Minderjähriger ein Konto erstellt hat, wird dieses unverzüglich gelöscht und alle zugehörigen Daten entfernt.

11 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen – insbesondere bei Änderungen der gesetzlichen Anforderungen, der Plattformfunktionen oder der Verarbeitungspraktiken. Die jeweils aktuelle Version ist unter www.ghostshopper.at/Datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer:innen per E-Mail informiert.

12 Kontakt Datenschutz

Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte wenden Sie sich bitte an: