Rechtliches

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten bei Nutzung der Website und unserer Leistungen.

Diese Datenschutzerklärung beschreibt die derzeit genutzten Website-Funktionen sowie typische technische Dienste im Rahmen unserer Leistungen. Bei funktionalen Änderungen wird die Erklärung entsprechend aktualisiert.

1. Verantwortlicher

  • AFANDI e.U. – Digitale Lern- und IT-Infrastruktur für Bildung
  • Inhaber: Husam Afandi
  • Adresse: Franz-Heider-Gasse 1A/B5, 1230 Wien, Österreich
  • Telefon: 013210005 / 06765037450
  • E-Mail: kontakt@afandi.org
  • Website: afandi.org

Es ist derzeit keine gesonderte Datenschutzbeauftragte bzw. kein gesonderter Datenschutzbeauftragter benannt. Datenschutzanfragen können direkt an kontakt@afandi.org gerichtet werden.

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der anwendbaren Datenschutzvorschriften (insbesondere DSGVO und DSG) sowie – soweit einschlägig – telekommunikationsrechtlicher Bestimmungen.

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unserer Website, zur Kommunikation, zur Vertragsanbahnung und -erfüllung, zur IT‑Sicherheit sowie zur Erbringung unserer IT‑Dienstleistungen erforderlich ist.

3. Verarbeitete Datenkategorien, Zwecke und Rechtsgrundlagen

Je nach Nutzung unserer Website und unserer Dienstleistungen verarbeiten wir insbesondere folgende Daten:

  • Stammdaten und Kontaktdaten (z. B. Name, E‑Mail, Telefonnummer, Organisation)
  • Kommunikationsdaten (E‑Mails, Ticketinhalte, Supportanfragen, Dokumentation)
  • Nutzungs- und Verbindungsdaten (z. B. IP-Adresse, Zeitstempel, Browser, Logfiles)
  • Projekt- und Systemdaten im Rahmen der Betreuung von Moodle/LMS, Helpdesk oder IT‑Systemen
  • Fernwartungs- und Supportdaten (z. B. Verbindungsprotokolle bei Remote-Support)

Rechtsgrundlagen sind insbesondere:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtungen)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, z. B. IT‑Sicherheit, Dokumentation, Missbrauchsabwehr)
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern erforderlich, z. B. bei bestimmten Cookies/Tools)

4. Hosting (SiteGround) und Server-Logfiles

Unsere Website wird bei SiteGround gehostet. Wir wählen – soweit technisch verfügbar und im Kundenkonto konfiguriert – ein EU-Rechenzentrum in Frankfurt (Deutschland).

Im Rahmen des Hostings werden zur Auslieferung der Website und zur Gewährleistung von Sicherheit und Stabilität Server-Logfiles verarbeitet (z. B. IP-Adresse, Zeitpunkt, angeforderte URL, User-Agent, Referrer, Statuscodes).

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und stabilem Betrieb der Website).

Mit dem Hostinganbieter werden – soweit erforderlich – datenschutzrechtliche Vereinbarungen (insbesondere Auftragsverarbeitung) abgeschlossen.

5. Sicherheits- und Performance-Dienste (Cloudflare)

Wir nutzen Cloudflare zur Absicherung und optimierten Bereitstellung unserer Online-Dienste (z. B. Schutz vor Missbrauch/Angriffen, Performance, Caching, Netzwerksicherheit).

Dabei können technische Verbindungsdaten (insbesondere IP-Adresse, Header-Informationen, Anfragedaten) verarbeitet werden.

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (IT‑Sicherheit, Verfügbarkeit, Missbrauchsabwehr).

Je nach Konfiguration können Daten auch außerhalb der EU/des EWR verarbeitet werden. In diesem Fall erfolgt die Absicherung durch geeignete Garantien (z. B. EU-Standardvertragsklauseln) bzw. andere zulässige Übermittlungsmechanismen.

Zusätzliche Cloudflare-Produkte wie Web-Analytics oder Turnstile werden auf dieser Website derzeit nicht als separate Tracking- oder Marketingdienste eingesetzt. Falls sich das ändert, wird diese Datenschutzerklärung ergänzt.

6. Datenbank- / Backend-Dienste (Supabase)

Soweit wir für Webanwendungen, Helpdesk-Funktionen oder projektbezogene Anwendungen Supabase einsetzen, werden die hierfür erforderlichen Daten in einer Supabase-Instanz verarbeitet.

Wir wählen – sofern für das jeweilige Projekt technisch verfügbar und konfiguriert – eine EU-Region (z. B. Frankfurt) für Datenbank-/Backend-Ressourcen.

Die Verarbeitung erfolgt je nach Kontext auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertrag), lit. f DSGVO (technischer Betrieb) oder lit. a DSGVO (Einwilligung, sofern erforderlich).

Mit dem Anbieter werden – soweit erforderlich – Vereinbarungen zur Auftragsverarbeitung abgeschlossen.

Supabase wird projekt- bzw. anwendungsbezogen nur für jene Module eingesetzt, die für die jeweilige Funktion technisch erforderlich sind (z. B. Datenbank, Authentifizierung oder Storage).

7. Passwortverwaltung und Zugangsdaten (Bitwarden)

Zur sicheren Verwaltung von Kunden-Logins, Shared Vaults und MFA-Backupcodes verwenden wir Bitwarden.

Dies dient der sicheren Administration von Kundensystemen und dem Schutz vor unbefugten Zugriffen (Art. 6 Abs. 1 lit. f DSGVO; bei Vertragsbezug zusätzlich Art. 6 Abs. 1 lit. b DSGVO).

Dabei werden Zugangsdaten und zugehörige Verwaltungsinformationen in einer gesicherten Passwortverwaltung verarbeitet. Der Einsatz erfolgt ausschließlich für berechtigte Administrations- und Supportzwecke.

Bitwarden wird ausschließlich für internes Zugangs- und Berechtigungsmanagement verwendet. Die konkrete Betriebsform (Cloud oder Self-Hosting) richtet sich nach dem jeweiligen technischen Setup.

8. Remote-Support / Fernwartung (AnyDesk)

Für Support- und Fernwartungsleistungen verwenden wir AnyDesk oder ein gleichwertiges Tool.

Fernwartungszugriffe erfolgen nur im Rahmen eines Supportfalls und grundsätzlich nach Freigabe durch die Kundin/den Kunden; unbeaufsichtigter Zugriff nur bei ausdrücklicher Vereinbarung.

Dabei können Verbindungs- und Protokolldaten sowie – abhängig vom Supportfall – Inhalte auf dem betreuten System eingesehen oder verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Support) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente und sichere Störungsbehebung).

9. Kontaktaufnahme (E-Mail, Telefon, Website)

Wenn Sie uns per E-Mail, Telefon, Kontaktformular oder auf anderem Weg kontaktieren, verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage und für mögliche Anschlussfragen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Kommunikation) oder Art. 6 Abs. 1 lit. f DSGVO (allgemeine Kommunikation und Dokumentation).

Wir speichern Anfragen grundsätzlich so lange, wie dies für die Bearbeitung und nachvollziehbare Dokumentation erforderlich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

10. Terminvereinbarung

Für Terminvereinbarungen (z. B. über https://termine.afandi.org/) werden die dafür erforderlichen Daten (z. B. Name, Kontaktdaten, gewünschter Termin, Nachricht) verarbeitet.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen/Terminorganisation).

Die Terminbuchung läuft über die AFANDI-Terminplattform unter eigener Domain. Sofern innerhalb der Terminplattform zusätzliche Drittanbieter-Module eingesetzt werden, gelten ergänzend deren Datenschutzhinweise.

11. Cookies und ähnliche Technologien

Unsere Website kann technisch notwendige Cookies bzw. vergleichbare Speichertechnologien verwenden, die für den sicheren und funktionsfähigen Betrieb erforderlich sind (z. B. Sicherheits- oder Sitzungsfunktionen).

Nicht unbedingt erforderliche Cookies/Technologien setzen wir nur auf Basis einer aktiven Einwilligung, sofern dies rechtlich erforderlich ist.

Auf der Website wird derzeit primär ein technisch erforderlicher Browser-Speicher-Eintrag zur Speicherung Ihrer Cookie-/Einwilligungsauswahl verwendet. Tracking- oder Marketing-Cookies werden ohne aktive Einwilligung nicht gesetzt.

12. Empfänger / Auftragsverarbeiter

Wir übermitteln personenbezogene Daten nur, soweit dies für die genannten Zwecke erforderlich ist. Empfänger können insbesondere sein:

  • Hosting-/Infrastrukturanbieter (z. B. SiteGround)
  • Sicherheits- und Netzwerkdienstleister (z. B. Cloudflare)
  • Datenbank-/Backend-Dienstleister (z. B. Supabase, sofern eingesetzt)
  • Passwort- und Zugangsverwaltungsdienst (Bitwarden, sofern eingesetzt)
  • Fernwartungsdienstleister (AnyDesk, sofern eingesetzt)
  • sonstige IT-Dienstleister, Subunternehmer oder Behörden, soweit gesetzlich erforderlich

Mit Auftragsverarbeitern schließen wir – soweit erforderlich – Vereinbarungen gemäß Art. 28 DSGVO.

13. Datenübermittlungen in Drittländer

Einige eingesetzte Anbieter können Daten auch in Drittländern (insbesondere außerhalb des EWR) verarbeiten oder darauf zugreifen.

Soweit dies der Fall ist, achten wir auf geeignete Garantien gemäß DSGVO (z. B. EU-Standardvertragsklauseln) und/oder andere zulässige Übermittlungsmechanismen. Details entnehmen Sie bitte den Datenschutzhinweisen der jeweiligen Anbieter.

Soweit Anbieter Daten außerhalb des EWR verarbeiten, stützen wir die Übermittlung auf die jeweils verfügbaren datenschutzrechtlichen Garantien (z. B. EU-Standardvertragsklauseln) und die Angaben der jeweiligen Anbieter.

14. Datenschutzhinweise externer Anbieter

Bei verlinkten oder technisch eingebundenen Diensten Dritter gelten ergänzend die Datenschutzhinweise der jeweiligen Anbieter. Das betrifft insbesondere Hosting, Sicherheitsdienste, Terminplattformen und externe Links (z. B. Google Maps).

Bitte beachten Sie, dass beim Öffnen externer Seiten oder Portale (z. B. Terminbuchung, Intern, Wartung & Review) die Datenverarbeitung durch den jeweiligen Betreiber bzw. die jeweilige Plattform erfolgt.

15. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Typische Kriterien sind insbesondere: Vertragsdauer, Gewährleistungs-/Verjährungsfristen, steuer- und unternehmensrechtliche Aufbewahrungspflichten sowie IT-Sicherheits- und Nachweispflichten.

Soweit keine gesetzliche Aufbewahrungspflicht besteht, löschen oder anonymisieren wir Daten nach Wegfall des Zwecks im Rahmen unserer technischen und organisatorischen Prozesse.

16. Rechte betroffener Personen

Betroffene Personen haben – im Rahmen der gesetzlichen Voraussetzungen – insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte unter den oben genannten Kontaktdaten.

17. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. In Österreich ist dies insbesondere:

  • Österreichische Datenschutzbehörde (DSB)
  • Barichgasse 40–42, 1030 Wien
  • E-Mail: dsb@dsb.gv.at

Unabhängig davon können Sie sich auch an eine andere zuständige Aufsichtsbehörde in der EU/EWR wenden.

18. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen Verlust, Missbrauch und unbefugte Zugriffe zu schützen.

Dazu gehören insbesondere Zugriffsbeschränkungen, Passwort-/Zugangsmanagement, Verschlüsselung (soweit technisch verfügbar) und dokumentierte Support- und Administrationsprozesse.

19. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche, technische oder organisatorische Rahmenbedingungen ändern. Es gilt die jeweils auf unserer Website veröffentlichte Fassung.