← Zurück zur Startseite

Datenschutzerklärung

1. Verantwortlicher

Strategie Manufaktur Unternehmensberatung e.U.
{{ADRESSE}}
E-Mail: office@strategiemanufaktur.online

2. Arten der verarbeiteten Daten

• Bestandsdaten: Name, E-Mail-Adresse, Firmenname
• Nutzungsdaten: Assessment-Antworten, hochgeladene Nachweise, erstellte Richtlinien
• Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeiten (Server-Logs)
• Zahlungsdaten: werden ausschließlich von Stripe verarbeitet (siehe Abschnitt 5)

3. Rechtsgrundlagen

Die Verarbeitung erfolgt auf Grundlage von:

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Bereitstellung der Plattform)
• Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Sicherheit, Missbrauchsprävention)
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (nur wenn ausdrücklich erteilt)

4. Hosting

Die Plattform wird bei Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland gehostet. Hetzner ist ein deutscher Hosting-Anbieter mit Serverstandorten in Deutschland und Finnland. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 28 DSGVO (Auftragsverarbeitung).

5. Zahlungsabwicklung

Zahlungen werden über Stripe Inc. abgewickelt. Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet und nie auf unseren Servern gespeichert. Datenschutzerklärung von Stripe: stripe.com/privacy

6. Cookies

Diese Plattform verwendet ausschließlich technisch notwendige Session-Cookies. Es werden keine Tracking-Cookies, Marketing-Cookies oder Analyse-Tools (z.B. Google Analytics) eingesetzt.

7. SSL/TLS-Verschlüsselung

Sämtliche Datenübertragungen erfolgen über eine verschlüsselte HTTPS-Verbindung (TLS 1.2+).

8. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt. Kontodaten werden nach Kontolöschung innerhalb von 30 Tagen gelöscht. Server-Logs werden maximal 90 Tage aufbewahrt.

9. Pseudonymisierte Nutzungsanalyse (intern)

Zur Verbesserung der Plattform und zur Funnel-Analyse erfassen wir technische Nutzungsereignisse innerhalb der Nisty-Plattform. Diese Verarbeitung ist interne Telemetrie — wir geben keine Daten an externe Analyse-Dienstleister weiter (kein Google Analytics, Mixpanel, Posthog o. Ä.).

Was wir erfassen

• Zeitpunkt und Art technischer Aktionen (z. B. „Assessment gestartet“, „Zertifikat erstellt“, „Modul aufgerufen“)
• Pseudonymer Bezug zu Ihrem Mandanten (Tenant-ID) und zu Ihrer Nutzer-ID — keine Klarnamen
• Aggregierte Metadaten (Score-Werte, Control-Nummern, verwendete Vorlage)
• Tagesweise rotierender Sitzungs-Hash zur Pseudonymisierung

Was wir nicht erfassen

• IP-Adressen für Journey-Events (für Sicherheits-Audit-Log siehe Abschnitt 10)
• Browser-Kennungen (User-Agent)
• Namen, E-Mail-Adressen, Telefonnummern oder Kontaktdaten innerhalb der Ereignisdaten — technisch durchgesetzt durch Whitelist-Filter und Regex-Erkennung
• Inhalte von Formularfeldern oder Freitext-Eingaben
• Mausbewegungen, Tastendrücke, Bildschirmaufnahmen
• Aktivitäten außerhalb der Nisty-Plattform

Modul-Navigation

Wenn Sie zwischen Modulen der Plattform navigieren, erfassen wir den Modul-Aufruf als Aggregat pro Mandant — ohne Ihre Nutzer-ID. Diese Information dient ausschließlich der Erkennung, welche Module von KMU-Compliance-Teams bevorzugt genutzt werden, nicht der Beobachtung individueller Mitarbeiter.

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Produktverbesserung und Conversion-Analyse). Eine Interessenabwägung (Legitimate Interest Assessment) ist intern dokumentiert und wird auf schriftliche Anfrage an office@strategiemanufaktur.online übermittelt.

Speicherdauer

24 Monate ab Erfassung. Danach erfolgt eine automatische Anonymisierung: die Nutzer-ID, die Ereignis-Detailinformation und der Sitzungs-Hash werden auf NULL bzw. leer gesetzt. Bei Löschung Ihres Mandanten werden alle zugehörigen Ereignisdaten unverzüglich mitgelöscht.

Ihr Widerspruchsrecht (Art. 21 DSGVO) — Opt-out

Sie können der Erfassung jederzeit über einen Schalter in Ihren Kontoeinstellungen widersprechen. Bei Widerspruch werden ab sofort keine weiteren Ereignisse mit Bezug zu Ihrer Nutzer-ID erfasst, und bereits erfasste Ereignisdaten zu Ihrer Nutzer-ID werden rückwirkend anonymisiert.

10. Compliance-Audit-Log

Zusätzlich zur Nutzungsanalyse führen wir ein manipulationsgesichertes Audit-Log über sicherheits- und compliance-relevante Aktionen innerhalb Ihres Mandanten (Login-Vorgänge, MFA-Ereignisse, Erstellung/Änderung/Löschung von Richtlinien, Lieferanten-Bewertungen, Incident-Meldungen, Schulungs-Versendung, Zertifikats-Erstellung).

Zweck und Rechtsgrundlage

Erfüllung der Rechenschafts- und Nachweispflichten gegenüber NIS-2-Aufsichtsbehörden (Art. 21 + Art. 23 RL 2022/2555), ISO 27001:2022 Stage-2-Auditoren (A.5.33), sowie Wirtschaftsprüfern. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Was wir erfassen

• Zeitpunkt, Aktion (z. B. policy.generated), Outcome (success/failure/denied)
• Pseudonyme Akteur-Kennung (z. B. „User#a7b3c1d8“)
• IP-Adresse für Auth-Events — Pflicht-Bestandteil ISO 27001 A.8.15
• Verkettung der Einträge per kryptografischer Hash-Kette (SHA-256) zur Manipulations-Erkennung
• Mapping zu konkreten Compliance-Controls (z. B. ISO27001.A.5.2, NIS2.Art21.2.a)

Speicherdauer

6 Jahre (orientiert an §132 BAO + ISO 27001 A.5.33). Die Tabelle ist append-only — Einträge können weder geändert noch gelöscht werden, außer bei vollständiger Mandanten-Löschung.

Ihr Audit-Export-Recht

Als Tenant-Administrator können Sie über Ihre Kontoeinstellungen ein vollständiges Audit-Log Ihres Mandanten als JSON oder CSV herunterladen, inklusive Hash-Chain-Anker für unabhängige Verifikation durch Ihre Auditoren.

11. Datenstandort

Sämtliche Daten der Nisty-Plattform werden ausschließlich auf Servern der Hetzner Online GmbH in Nürnberg, Deutschland verarbeitet. Es findet kein Drittlandtransfer in die USA oder andere Nicht-EU-Länder statt. Ausnahme: Transaktions-Mails über Postmark (USA), abgesichert per EU-Standardvertragsklauseln und EU-US Data Privacy Framework.

12. Ihre Rechte

Sie haben das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO) — siehe Opt-out in Abschnitt 9

Zur Ausübung Ihrer Rechte wenden Sie sich an: office@strategiemanufaktur.online

13. Beschwerderecht

Sie haben das Recht, eine Beschwerde bei der österreichischen Datenschutzbehörde einzureichen:
Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien
www.dsb.gv.at

Stand: April 2026