DATENSCHUTZERKLÄRUNG
Noteastic OG
Gültig ab: 21. April 2026
1. Begriffsbestimmungen und Auslegung
1.1 In dieser Datenschutzerklärung haben die nachstehend festgelegten Begriffe folgende Bedeutung:
(a) „Konto” bezeichnet das Nutzerkonto, das für den Zugriff auf die Anwendung erforderlich ist.
(b) „Anwendung” oder „Noteastic-Anwendung” bezeichnet die Softwareanwendung Noteastic für Microsoft Windows, die über den Microsoft Store vertrieben wird.
(c) „Verantwortlicher” bezeichnet die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, im Sinne von Art. 4 Nr. 7 DSGVO.
(d) „Betroffene Person” bezeichnet eine identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
(e) „EWR” bezeichnet den Europäischen Wirtschaftsraum.
(f) „DSGVO” bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
(g) „Microsoft Store” bezeichnet die von der Microsoft Corporation betriebene digitale Vertriebsplattform.
(h) „Noteastic”, „wir”, „uns” oder „unser” bezeichnet die Noteastic OG, die in Abschnitt 2 identifizierte juristische Person.
(i) „Personenbezogene Daten” hat die in Art. 4 Nr. 1 DSGVO festgelegte Bedeutung.
(j) „Erklärung” oder „Datenschutzerklärung” bezeichnet das vorliegende Dokument.
(k) „Verarbeitung” (und verwandte Ausdrücke) hat die in Art. 4 Nr. 2 DSGVO festgelegte Bedeutung.
(l) „Dienste” bezeichnet die Anwendung, die Website und alle damit zusammenhängenden Dienste, die wir erbringen.
(m) „Auftragsverarbeiter” bezeichnet jeden von uns eingesetzten Verarbeiter, der personenbezogene Daten in unserem Auftrag verarbeitet.
(n) „Telemetriedaten” bezeichnet Daten zu Leistung, Stabilität und Nutzung der Anwendung, wie in Abschnitt 5 näher beschrieben.
(o) „Nutzer” oder „Sie” bezeichnet eine natürliche Person, die die Dienste nutzt.
(p) „Website” bezeichnet die unter noteastic.app und deren Subdomains erreichbare Website.
1.2 Überschriften dienen allein der Übersichtlichkeit und haben keinen Einfluss auf die Auslegung. Verweise auf Rechtsvorschriften umfassen jede Änderung oder Neuerlassung dieser Vorschriften. Der Singular umfasst den Plural und umgekehrt. Wird eine Bestimmung durch „insbesondere” oder „einschließlich” eingeleitet, ist die Aufzählung nicht abschließend zu verstehen.
2. Identität des Verantwortlichen und Kontakt
2.1 Verantwortlicher im Sinne dieser Datenschutzerklärung ist:
Noteastic OG
Anton-Baumgartner-Straße 44
1230 Wien
Republik ÖsterreichÖsterreichische Umsatzsteuer-Identifikationsnummer (UID): ATU81638239
Firmenbuchnummer: FN 644438 d
Gesellschafter: Dilan Boskan, Lukas Koinig
2.2 In allen Angelegenheiten, die diese Datenschutzerklärung, die Ausübung Ihrer Rechte als betroffene Person oder den Datenschutz im Allgemeinen betreffen, können Sie uns unter privacy@noteastic.app kontaktieren.
2.3 Wir haben keinen Datenschutzbeauftragten im Sinne von Art. 37 DSGVO bestellt, da die gesetzlichen Voraussetzungen für eine verpflichtende Bestellung auf unsere Verarbeitungstätigkeiten nicht zutreffen. Die Kontaktadresse in Abschnitt 2.2 dient als unsere designierte Anlaufstelle für datenschutzrechtliche Angelegenheiten.
3. Geltungsbereich dieser Datenschutzerklärung
3.1 Diese Datenschutzerklärung gilt für personenbezogene Daten, die wir im Zusammenhang mit folgenden Sachverhalten verarbeiten:
(a) Ihrer Nutzung der Anwendung;
(b) Ihrem Besuch der Website;
(c) Ihrer Erstellung und Nutzung eines Kontos;
(d) Ihrer Übermittlung von Feedback an uns über einen beliebigen Kanal; und
(e) jeder sonstigen Interaktion zwischen Ihnen und uns in Ihrer Eigenschaft als Nutzer oder potenzieller Nutzer.
3.2 Diese Datenschutzerklärung richtet sich an Nutzer weltweit. Wir haben uns dafür entschieden, die Standards der DSGVO als Grundlage für alle Nutzer anzuwenden, unabhängig von der Rechtsordnung, in der Sie ansässig sind.
3.3 Diese Datenschutzerklärung gilt nicht für personenbezogene Daten, die von Dritten verarbeitet werden, die unabhängige Dienste betreiben, darunter (i) die Microsoft Corporation beim Betrieb des Microsoft Store, (ii) Google LLC oder die Microsoft Corporation beim Betrieb von Identitätsdiensten und (iii) Betreiber sozialer Plattformen, über die Sie mit uns interagieren können. Die Verarbeitung durch diese Parteien unterliegt deren eigener Datenschutzdokumentation.
4. Mindestalter
4.1 Die Dienste sind nicht für Personen unter sechzehn (16) Jahren bestimmt und dürfen von diesen nicht genutzt werden. Sie müssen mindestens sechzehn (16) Jahre alt sein, um ein Konto zu erstellen oder die Dienste anderweitig zu nutzen. Mit der Erstellung eines Kontos bestätigen Sie, dass Sie diese Altersvoraussetzung erfüllen.
4.2 Wir erheben wissentlich keine personenbezogenen Daten von Personen unter sechzehn (16) Jahren. Werden wir darauf aufmerksam, dass wir personenbezogene Daten einer Person unterhalb dieser Altersgrenze erhoben haben, löschen wir diese unverzüglich.
5. Von uns verarbeitete personenbezogene Daten
5.1 Wir verarbeiten die folgenden Kategorien personenbezogener Daten:
(a) Kontodaten:
(i) Ihre E-Mail-Adresse;
(ii) Ihren Vornamen;
(iii) Ihren Familiennamen;
(iv) eine gehashte Darstellung Ihrer Authentifizierungsdaten, sofern Sie sich per E-Mail und Passwort authentifizieren; und
(v) sofern Sie die Authentifizierung über einen Drittanbieter-Identitätsdienst wählen, die von diesem Anbieter ausgestellte Subject-ID zusammen mit den in (i) bis (iii) genannten Angaben, wie sie von diesem Anbieter übermittelt werden.
(b) Telemetrie- und Diagnosedaten:
(i) eine anonyme Nutzer-Kennung, die beim ersten Start der Anwendung erzeugt wird;
(ii) Ereignisse des Anwendungs-Lebenszyklus, einschließlich Anwendungsstart und -beendigung;
(iii) Ereignisse zur Feature-Nutzung;
(iv) Absturzberichte und Fehlerdiagnosen;
(v) Geräte-Metadaten, einschließlich Gerätefamilie, Geräteformfaktor und Betriebssystemversion;
(vi) grobe Standortinformationen, abgeleitet aus Ihrer Netzwerkverbindung;
(vii) die IP-Adresse, von der aus Telemetriedaten der Anwendung übertragen werden; und
(viii) die innerhalb der Anwendung konfigurierte Sprache.
(c) Attributions- und Onboarding-Daten:
(i) Ihre — sofern angegebene — Antwort auf die Frage, wie Sie auf die Anwendung aufmerksam geworden sind; und
(ii) Ihre — sofern angegebene — Antwort auf die Frage, ob Sie Studierender sind und, falls ja, Ihr Studienfach.
(d) Feedback-Daten:
(i) der Inhalt des Feedbacks, das Sie freiwillig über die Anwendung übermitteln; und
(ii) sofern Sie eine solche angeben, eine Kontakt-E-Mail-Adresse, unter der wir Ihnen antworten können.
(e) Website-Daten:
(i) die IP-Adresse, von der aus Sie auf die Website zugreifen, verwendet wie in Abschnitt 11 näher beschrieben;
(ii) sofern Sie das Banner für Website-Analyse akzeptiert haben, eine persistente anonyme Kennung, die in einem First-Party-Cookie gespeichert wird, wie in Abschnitt 11.3 beschrieben; sofern Sie nicht akzeptiert haben, ein täglich rotierender serverseitiger Hash, der von unserem Analyse-Auftragsverarbeiter aus Ihrer IP-Adresse, dem User-Agent und zugehörigen Verbindungsmetadaten berechnet wird, wie in Abschnitt 11.4 beschrieben;
(iii) Seitenaufruf-Ereignisse und zugehörige technische Metadaten, einschließlich der Referrer-URL und der von Ihrem Browser übermittelten User-Agent-Zeichenkette; und
(iv) sämtliche UTM-Parameter, die in der URL enthalten sind, über die Sie auf die Website gelangt sind, nämlich Source, Medium, Campaign und Owner.
(f) Korrespondenzdaten: sofern Sie uns kontaktieren oder wir öffentlich veröffentlichte Inhalte empfangen, die über einen in Abschnitt 14 beschriebenen Kanal auf uns Bezug nehmen, den Inhalt der Kommunikation zusammen mit jeder Kennung, durch die die Kommunikation Ihnen zugeordnet wird (E-Mail-Adresse, Plattform-Nutzername oder öffentlicher Anzeigename), sowie das Datum der Kommunikation.
5.2 Wir verarbeiten keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO und keine personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO. Sollten Sie Informationen dieser Art freiwillig in einer Feedback-Übermittlung oder sonstigen Korrespondenz enthalten, verwenden wir sie ausschließlich zur Beantwortung Ihrer Mitteilung und löschen sie, sobald sie nicht mehr benötigt werden.
5.3 Personenbezogene Kennungen, die in Telemetriedaten verwendet werden, werden vor der Übertragung gehasht, soweit dies technisch möglich ist. Da Hashing eine Re-Identifizierung nicht zwingend ausschließt, behandeln wir gehashte Kennungen im Sinne dieser Datenschutzerklärung als personenbezogene Daten.
5.4 Notizen, Zeichnungen und sonstige Inhalte, die Sie mit der Anwendung erstellen, werden ausschließlich lokal auf Ihrem Gerät gespeichert. Wir übermitteln, speichern und verarbeiten diese Inhalte weder über einen von uns betriebenen Dienst noch über einen Auftragsverarbeiter.
6. Zwecke und Rechtsgrundlagen der Verarbeitung
6.1 Wir verarbeiten personenbezogene Daten zu den nachstehend aufgeführten Zwecken auf den angegebenen Rechtsgrundlagen.
| Zweck | Kategorien personenbezogener Daten | Rechtsgrundlage |
|---|---|---|
| Erstellung, Authentifizierung und Pflege Ihres Kontos | Kontodaten (§ 5.1(a)) | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
| Bereitstellung der Anwendung | Kontodaten; Telemetriedaten (§ 5.1(a), § 5.1(b)) | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
| Verifizierung Ihrer E-Mail-Adresse | Kontodaten (§ 5.1(a)(i)) | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
| Versand transaktionaler Mitteilungen (Kontobestätigung, Willkommensnachricht) | Kontodaten (§ 5.1(a)) | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
| Diagnose und Behebung von Fehlern und Mängeln in der Anwendung | Telemetriedaten (§ 5.1(b)) | Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Aufrechterhaltung eines zuverlässigen Dienstes) |
| Statistische Auswertung der Feature-Nutzung zur Produktverbesserung | Telemetriedaten (§ 5.1(b)); Attributionsdaten (§ 5.1(c)) | Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Verbesserung der Anwendung) |
| Statistische Auswertung der Website-Nutzung und der Akquisekanäle, sofern Sie das Banner für Website-Analyse akzeptiert haben | Website-Daten (§ 5.1(e)) | Art. 6 Abs. 1 lit. a DSGVO — Einwilligung |
| Aggregierte statistische Auswertung der Website-Nutzung, sofern Sie nicht akzeptiert haben, unter Verwendung des in Abschnitt 11.4 beschriebenen cookielosen Server-Hash-Verfahrens | Website-Daten (§ 5.1(e)(i), (iii), (iv)) während der Übertragung | Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Verständnis der aggregierten Website-Nutzung) |
| Auswertung der in der Anwendung erfassten Attributionsantworten | Attributionsdaten (§ 5.1(c)); Telemetriedaten (§ 5.1(b)) | Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Verständnis, wie Nutzer auf die Anwendung aufmerksam werden) |
| Berücksichtigung und Umsetzung von Nutzer-Feedback | Feedback-Daten (§ 5.1(d)); Korrespondenzdaten (§ 5.1(f)) | Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Verbesserung der Anwendung) |
| Versand von Beta-Programm-Aktualisierungsbenachrichtigungen an abonnierte Nutzer | Kontodaten (§ 5.1(a)(i)) | Art. 6 Abs. 1 lit. a DSGVO — Einwilligung |
| Einhaltung unserer rechtlichen Verpflichtungen | Je nach einschlägiger Verpflichtung | Art. 6 Abs. 1 lit. c DSGVO — rechtliche Verpflichtung |
| Begründung, Ausübung oder Verteidigung von Rechtsansprüchen | Je nach Erforderlichkeit für den jeweiligen Anspruch | Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen |
6.2 Soweit wir uns auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) stützen, haben wir eine Interessenabwägung vorgenommen, bei der wir unsere Interessen gegen Ihre Interessen sowie Ihre Grundrechte und Grundfreiheiten abgewogen haben. Sie können einer solchen Verarbeitung jederzeit gemäß Abschnitt 10 widersprechen.
6.3 Soweit wir uns auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) stützen, können Sie Ihre Einwilligung jederzeit widerrufen, ohne dass dadurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.
7. Empfänger und Auftragsverarbeiter
7.1 Wir legen personenbezogene Daten ausschließlich gegenüber Auftragsverarbeitern offen, die personenbezogene Daten in unserem Auftrag auf Grundlage einer schriftlichen Vereinbarung verarbeiten, die den Anforderungen von Art. 28 DSGVO entspricht, sowie gegenüber Dritten, die in den begrenzten Fällen gemäß Abschnitt 7.3 als eigenständige Verantwortliche handeln.
7.2 Auftragsverarbeiter. Die folgenden Auftragsverarbeiter verarbeiten personenbezogene Daten in unserem Auftrag:
| Auftragsverarbeiter | Rolle | Verarbeitete Daten | Ort der Verarbeitung |
|---|---|---|---|
| Microsoft Ireland Operations Ltd (Azure App Service) | Hosting der Noteastic-Backend-API | Kontodaten, Korrespondenzdaten, Telemetriedaten während der Übertragung | EWR (Irland) |
| Microsoft Ireland Operations Ltd (Azure Database for PostgreSQL) | Primärdatenbank des Noteastic-Backends | Kontodaten | EWR (Irland) |
| Microsoft Ireland Operations Ltd (Azure Monitor und Application Insights) | Telemetrie-Erfassung, Diagnoseprotokollierung und Fehlerberichterstattung | Telemetriedaten | EWR (Irland) |
| Microsoft Ireland Operations Ltd (Azure Communication Services) | Versand transaktionaler E-Mails | Kontodaten (E-Mail-Adresse, Vorname) | EWR (Region Europa) |
| Microsoft Ireland Operations Ltd (Azure Key Vault, Entra ID, Static Web Apps, Azure DNS) | Unterstützende Infrastruktur (Secrets-Verwaltung, Administratoren-Identitäten, Website-Hosting, DNS) | Geringfügige beiläufige Exposition; keine substanzielle Verarbeitung personenbezogener Nutzerdaten | EWR (Irland) |
| PostHog Inc. (zugegriffen über einen First-Party-Reverse-Proxy unter anal.noteastic.app) | Website-Analyse | Website-Daten (§ 5.1(e)) | EWR (PostHog Cloud EU, Frankfurt, Deutschland) |
| Grafana Labs, Inc. | Observability und Log-Aggregation | Telemetriedaten | EWR (EU-Cloud-Stack) |
| Google LLC (Google Workspace / Gmail) | Empfang und Speicherung eingehender E-Mails unter unseren veröffentlichten Kontaktadressen | Korrespondenzdaten für E-Mail-Kommunikation | EWR (mit auf die Ruhespeicherung anwendbarer Google-Workspace-EU-Datenresidenz) |
7.3 Eigenständige Verantwortliche. Die folgenden Dritten erhalten personenbezogene Daten im Zusammenhang mit den Diensten, handeln in Bezug auf die betreffende Verarbeitung jedoch als eigenständige Verantwortliche:
(a) die Microsoft Corporation beim Betrieb des Microsoft Store und des Microsoft Partner Center, im Hinblick auf Ihre Installation der Anwendung, die Abgabe von Rezensionen und damit zusammenhängende Aktivitäten im Store;
(b) Google LLC oder die Microsoft Corporation, sofern Sie sich mit deren Identitätsdiensten bei den Diensten anmelden, im Hinblick auf die Authentifizierungs-Interaktion selbst.
7.4 Die Liste der Auftragsverarbeiter in Abschnitt 7.2 gibt unsere Vereinbarungen zum Gültig-ab-Datum dieser Datenschutzerklärung wieder und kann sich ändern. Soweit eine Änderung Ihre Rechte oder den Ort der Verarbeitung wesentlich berührt, aktualisieren wir diese Datenschutzerklärung gemäß Abschnitt 17.
8. Internationale Datenübermittlung
8.1 Nach unserer derzeitigen Architektur werden die von uns verarbeiteten personenbezogenen Daten innerhalb des Europäischen Wirtschaftsraums gespeichert und verarbeitet. Wir nehmen keine routinemäßigen Übermittlungen personenbezogener Daten außerhalb des EWR vor.
8.2 Soweit ein Auftragsverarbeiter letztlich von einem außerhalb des EWR ansässigen Mutterunternehmen kontrolliert wird (insbesondere PostHog Inc. und Grafana Labs, Inc., beide mit Sitz in den Vereinigten Staaten von Amerika), besteht die Möglichkeit, dass im Rahmen von Support-Aktivitäten des Mutterunternehmens oder aufgrund von Rechtsverfahren im Hoheitsgebiet des Mutterunternehmens von außerhalb des EWR auf personenbezogene Daten zugegriffen wird. Mit jedem dieser Auftragsverarbeiter haben wir vertragliche Schutzmaßnahmen getroffen, die diesem Restrisiko angemessen sind, einschließlich der von der Europäischen Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO genehmigten Standardvertragsklauseln, soweit anwendbar.
8.3 Sie können eine Abschrift der einschlägigen Schutzmaßnahmen anfordern, indem Sie uns unter der in Abschnitt 2.2 genannten Adresse schreiben.
9. Aufbewahrungsfristen
9.1 Wir bewahren personenbezogene Daten nur so lange auf, wie dies für die Zwecke, zu denen sie erhoben wurden, erforderlich ist oder wie das anwendbare Recht dies sonst vorschreibt.
9.2 Die einzelnen Aufbewahrungsfristen lauten wie folgt:
| Kategorie | Aufbewahrung |
|---|---|
| Kontodaten | Für die Dauer des Kontos; gelöscht bei Beendigung des Kontos gemäß Abschnitt 9.3 |
| Telemetrie- und Diagnosedaten | 365 Tage ab Erhebung |
| Bei unserem Analyse-Auftragsverarbeiter vorgehaltene Website-Analysedaten | 1 Jahr ab Erhebung |
| Feedback-Archive aus Reddit, Microsoft Store-Rezensionen und sonstigen in Abschnitt 14 genannten externen Kanälen | 3 Jahre ab dem Datum der zugrunde liegenden Kommunikation |
| E-Mail-Korrespondenz an unseren veröffentlichten Kontaktadressen | 3 Jahre ab Erhalt |
| Daten, die wir gesetzlich aufbewahren müssen (z. B. Buchhaltungs- oder Steuerunterlagen, soweit anwendbar) | Für den nach anwendbarem Recht vorgeschriebenen Zeitraum |
9.3 Wenn Sie Ihr Konto beenden, führen wir eine sofortige Löschung Ihrer Kontodaten durch. Wir betreiben weder eine Karenzphase noch ein Soft-Delete-Verfahren. Telemetriedaten, die nicht mehr zu Ihnen zurückverfolgt werden können, können für den in Abschnitt 9.2 genannten Zeitraum weiter vorgehalten werden.
10. Ihre Rechte als betroffene Person
10.1 Unter den in der DSGVO festgelegten Bedingungen und Ausnahmen stehen Ihnen die folgenden Rechte in Bezug auf Ihre personenbezogenen Daten zu:
(a) das Auskunftsrecht gemäß Art. 15 DSGVO;
(b) das Recht auf Berichtigung gemäß Art. 16 DSGVO;
(c) das Recht auf Löschung („Recht auf Vergessenwerden”) gemäß Art. 17 DSGVO;
(d) das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO;
(e) das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO;
(f) das Widerspruchsrecht gegen eine Verarbeitung auf Grundlage berechtigter Interessen oder zu Zwecken der Direktwerbung gemäß Art. 21 DSGVO;
(g) das Recht, eine Einwilligung jederzeit gemäß Art. 7 Abs. 3 DSGVO zu widerrufen, ohne dass dadurch die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird; und
(h) das Recht auf Beschwerde bei einer Aufsichtsbehörde, wie in Abschnitt 19 näher beschrieben.
10.2 Zur Ausübung dieser Rechte wenden Sie sich bitte an uns unter privacy@noteastic.app. Wir antworten innerhalb der in Art. 12 Abs. 3 DSGVO festgelegten Fristen. Wir können Informationen anfordern, die vernünftigerweise erforderlich sind, um Ihre Identität zu bestätigen, bevor wir antworten.
10.3 Wir erheben keine Gebühr für die Ausübung von Betroffenenrechten, sofern ein Antrag nicht offenkundig unbegründet oder exzessiv ist; in diesem Fall können wir gemäß Art. 12 Abs. 5 DSGVO eine angemessene Gebühr verlangen oder den Antrag ablehnen.
11. Cookies und ähnliche Technologien
11.1 Dieser Abschnitt beschreibt die Verwendung von Cookies und vergleichbaren Tracking-Technologien auf der Website. Unsere Nutzung solcher Technologien unterliegt Art. 5 Abs. 3 der ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der jeweils geltenden Fassung und in ihrer jeweiligen nationalen Umsetzung), der für jede Speicherung auf Ihrem Endgerät bzw. jeden Zugriff darauf Ihre vorherige Einwilligung verlangt, sofern die Tätigkeit nicht für die Bereitstellung eines von Ihnen angeforderten Dienstes unbedingt erforderlich ist.
11.2 Einwilligungs-Banner. Bei Ihrem ersten Besuch der Website wird ein Einwilligungs-Banner angezeigt. Bis Sie mit dem Banner interagieren, wird weder ein Analyse-Cookie noch ein anderer persistenter Speichermechanismus in Ihrem Browser abgelegt; die Standardeinstellung ist, dass keine Einwilligung erteilt wurde. Das Banner enthält eine „Akzeptieren”-Aktion und eine „Ablehnen”-Aktion mit gleicher Prominenz sowie einen Link auf diese Datenschutzerklärung. Ihre Einwilligungsentscheidung wird lokal auf Ihrem eigenen Gerät gespeichert und bleibt wirksam, bis Sie den Browser-Speicher für die Website leeren oder die Entscheidung anderweitig zurücksetzen; in diesem Fall wird das Banner bei Ihrem nächsten Besuch erneut angezeigt.
11.3 Wenn Sie akzeptieren. Akzeptieren Sie über das Einwilligungs-Banner, aktivieren wir anonyme Website-Analyse über unseren Auftragsverarbeiter PostHog Inc. (siehe Abschnitt 7.2). Zu diesem Zweck werden unter der Domain noteastic.app ein oder mehrere First-Party-Cookies gesetzt. Der wichtigste Cookie trägt den Namen ph_phc_HO6DnH2BGvgT9LhE3YUn3wc8YeAZ35EAGTmhSFVQ4kh_posthog und speichert eine persistente anonyme Kennung zusammen mit Sitzungs-Metadaten für bis zu 365 Tage. Die Analyse-Bibliothek erfasst Seitenaufruf-Ereignisse, Interaktionen mit Seitenelementen (einschließlich Klicks und Formularübermittlungen, unter Ausschluss der in Formularfelder eingegebenen Inhalte), Web-Vitals-Leistungsmetriken sowie JavaScript-Fehler. Wir verwenden auf der Website keine Drittanbieter-Cookies, keine Werbe-Pixel und keine Retargeting-Technologien.
11.4 Wenn Sie nicht akzeptieren. Lehnen Sie über das Einwilligungs-Banner ab oder haben Sie noch nicht mit dem Banner interagiert, wird weder ein Cookie noch ein anderer persistenter Speichermechanismus in Ihrem Browser abgelegt. Ungeachtet dessen empfangen wir beim Abruf einer Seite durch Ihren Browser im Netzwerkverkehr zwangsläufig Ihre IP-Adresse, Ihre User-Agent-Zeichenkette und die Metadaten der von Ihnen erzeugten Seitenaufrufe. Zum Zweck der aggregierten Website-Analyse in diesem Zustand berechnet PostHog Inc. serverseitig einen täglich rotierenden Hash aus Ihrer IP-Adresse, Ihrem User-Agent und zugehörigen Anfrage-Metadaten in Verbindung mit einem zufälligen Salt, der für den jeweiligen Kalendertag erzeugt und am Ende dieses Tages unwiderruflich gelöscht wird. Der resultierende Hash kann nicht umgekehrt werden und kann nicht tagesübergreifend mit Ihnen verknüpft werden. Es wird keine persistente, auf Sie zurückführbare Kennung vorgehalten. Rechtsgrundlage dieser Verarbeitung ist unser berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO am Verständnis der aggregierten Website-Nutzung.
11.5 Widerruf und Änderung der Einwilligung. Sie können Ihre Einwilligung jederzeit widerrufen, ändern oder erneut erteilen, indem Sie den Browser-Speicher für diese Website leeren oder eine von Ihrem Browser bereitgestellte Einwilligungsverwaltung nutzen; im Anschluss wird das Einwilligungs-Banner bei Ihrem nächsten Besuch erneut angezeigt.
11.6 Unbedingt erforderliche Speicherung. Die Website setzt keine Cookies und keine vergleichbaren Speichermechanismen zu anderen Zwecken als der in diesem Abschnitt beschriebenen Analyse.
11.7 Die Anwendung. Die Anwendung verwendet keine Cookies. Die Telemetrie innerhalb der Anwendung nutzt eine persistente anonyme Kennung, die gemäß Abschnitt 5.1(b)(i) auf Ihrem Gerät gespeichert wird.
12. Automatisierte Entscheidungsfindung und Profiling
12.1 Wir nehmen keine automatisierte Entscheidungsfindung — einschließlich Profiling — vor, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt im Sinne von Art. 22 DSGVO.
13. Sicherheit
13.1 Wir setzen technische und organisatorische Maßnahmen um, die dem Risiko der Verarbeitung angemessen sind, gemäß Art. 32 DSGVO. Dazu zählen:
(a) Beschränkung des Zugriffs auf Produktivsysteme auf befugtes Personal, geschützt durch Mehrfaktor-Authentifizierung;
(b) identitätsbasierte Authentifizierung gegenüber Systemen, in denen personenbezogene Daten gespeichert sind;
(c) Verschlüsselung personenbezogener Daten während der Übertragung unter Verwendung aktueller, industrieüblicher Transportverschlüsselung;
(d) netzwerkseitige Abschottung der Systeme, in denen personenbezogene Daten gespeichert sind;
(e) Protokollierung und Überprüfung privilegierter Zugriffe;
(f) geo-redundante Sicherung der Primärdatenbank mit angemessenem Schutz der Sicherungsmedien;
(g) Verschwiegenheitsverpflichtungen für sämtliches Personal mit Zugriff auf personenbezogene Daten; und
(h) ein dokumentiertes Verfahren zur Bewertung, Eindämmung und Meldung von Verletzungen des Schutzes personenbezogener Daten.
13.2 Sicherheitsvorfälle können uns unter privacy@noteastic.app gemeldet werden. Verletzungen des Schutzes personenbezogener Daten werden vom Verantwortlichen bewertet und, sofern ein Risiko für die Rechte und Freiheiten der betroffenen Personen festgestellt wird, innerhalb von zweiundsiebzig (72) Stunden gemäß Art. 33 DSGVO an die österreichische Datenschutzbehörde gemeldet und, soweit anwendbar, den betroffenen Personen gemäß Art. 34 DSGVO mitgeteilt.
14. Feedback aus externen Kanälen
14.1 Wir beobachten eine begrenzte Anzahl externer Kanäle auf Feedback im Zusammenhang mit der Anwendung. Im Einzelnen:
(a) Reddit. Wir erheben und archivieren öffentlich veröffentlichte Inhalte auf Reddit (einschließlich im Subreddit r/Noteastic und anderswo), die Meinungen, Vorschläge oder Anliegen zu Noteastic zum Ausdruck bringen, zusammen mit dem zugehörigen Reddit-Benutzernamen und dem Veröffentlichungsdatum. Darüber hinaus bewahren wir den Inhalt von Direktnachrichten an unser Reddit-Konto auf.
(b) E-Mail. Wir erheben und archivieren E-Mail-Korrespondenz, die an unsere veröffentlichten Kontaktadressen gesendet wird, zusammen mit der E-Mail-Adresse des Absenders und dem Datum der Kommunikation.
(c) Microsoft Store-Rezensionen. Wir erheben und archivieren Rezensionen, die über die Anwendung im Microsoft Store veröffentlicht werden, zusammen mit dem öffentlichen Anzeigenamen des Rezensenten (sofern angezeigt) und dem Datum der Rezension.
14.2 Rechtsgrundlage dieser Verarbeitung ist unser berechtigtes Interesse am Verständnis der Nutzerstimmung und an der Verbesserung der Anwendung gemäß Art. 6 Abs. 1 lit. f DSGVO. Wir haben geprüft, dass unser Interesse nicht durch die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen überwogen wird, insbesondere in Anbetracht des öffentlichen bzw. direkt kommunikativen Charakters der verarbeiteten Inhalte und des begrenzten Umfangs unserer Archivierungstätigkeit.
14.3 Sie können dieser Verarbeitung jederzeit widersprechen, indem Sie uns unter privacy@noteastic.app kontaktieren und den Inhalt benennen, auf den sich Ihr Widerspruch bezieht.
14.4 Wir verknüpfen Feedback, das wir über einen externen Kanal erhalten, nicht mit einem Konto, das Sie möglicherweise bei uns haben.
15. Authentifizierung über Drittanbieter
15.1 Wenn Sie sich über einen Drittanbieter-Identitätsdienst — Google oder Microsoft — bei den Diensten anmelden, unterliegt die Authentifizierungs-Interaktion der Datenschutzdokumentation des jeweiligen Anbieters. In der Authentifizierungs-Interaktion handelt der Identitätsanbieter als eigenständiger Verantwortlicher.
15.2 Nach erfolgreicher Authentifizierung erhalten wir vom Identitätsanbieter eine Subject-ID zusammen mit Profilinformationen (in der Regel Ihre E-Mail-Adresse, Ihren Vornamen und Ihren Familiennamen). Wir verarbeiten diese Informationen als Kontodaten gemäß Abschnitt 5 und Abschnitt 6.
16. Microsoft Store
16.1 Die Anwendung wird ausschließlich über den Microsoft Store vertrieben. Die Microsoft Corporation betreibt den Microsoft Store als eigenständiger Verantwortlicher und verarbeitet personenbezogene Daten im Zusammenhang mit Ihrer Installation der Anwendung, Ihrer Nutzung von Store-Funktionen (einschließlich des Einreichens von Rezensionen) und, sofern anwendbar, der Bezahlung im Store verfügbarer Angebote.
16.2 Wir erhalten vom Microsoft Store über die Schnittstelle Microsoft Partner Center aggregierte Leistungsstatistiken zur Anwendung (einschließlich monatlicher Besucher, Konversionsraten und Installationszahlen), Absturz- und Diagnosedaten sowie von Nutzern eingereichte Einzelrezensionen. Aggregierte Statistiken stellen in unseren Händen keine personenbezogenen Daten dar. Soweit der Microsoft Store uns personenbezogene Daten in Rezensionen oder anderweitig zur Verfügung stellt, verarbeiten wir diese Daten wie in Abschnitt 14 beschrieben.
17. Änderungen dieser Datenschutzerklärung
17.1 Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen unserer Verarbeitungstätigkeiten, gesetzlicher Anforderungen oder betrieblicher Praktiken abzubilden.
17.2 Soweit eine Änderung nicht wesentlich ist, veröffentlichen wir die aktualisierte Datenschutzerklärung auf der Website und in der Anwendung; die aktualisierte Fassung tritt mit dem im überarbeiteten Dokument oben angegebenen Gültig-ab-Datum in Kraft.
17.3 Soweit eine Änderung wesentlich ist — einschließlich der Einführung eines neuen Verarbeitungszwecks, einer neuen Kategorie personenbezogener Daten, eines neuen Auftragsverarbeiters in einem anderen Hoheitsgebiet oder einer wesentlichen Änderung der Aufbewahrungsfristen oder der Modalitäten zur Ausübung von Betroffenenrechten — werden wir:
(a) Nutzer, die über ein Konto verfügen, vor Inkrafttreten der Änderung per E-Mail und über die Anwendung benachrichtigen; und
(b) sofern die Rechtsgrundlage der neuen Verarbeitung die Einwilligung ist, diese Einwilligung vor Beginn der neuen Verarbeitung einholen.
17.4 Das „Gültig ab”-Datum am Beginn dieser Datenschutzerklärung zeigt den Zeitpunkt an, zu dem die aktuelle Fassung der Datenschutzerklärung in Kraft getreten ist.
18. So erreichen Sie uns
18.1 Sie können uns in Bezug auf diese Datenschutzerklärung, zur Ausübung von Rechten aus ihr oder zur Anforderung weiterer Informationen wie folgt kontaktieren:
Noteastic OG Anton-Baumgartner-Straße 44 1230 Wien Republik Österreich
19. Aufsichtsbehörde
19.1 Sind Sie im Europäischen Wirtschaftsraum ansässig, haben Sie gemäß Art. 77 DSGVO das Recht, bei der Datenschutz-Aufsichtsbehörde Ihres Mitgliedstaats, Ihres Arbeitsorts oder des Orts des mutmaßlichen Verstoßes Beschwerde zu erheben.
19.2 Die für Noteastic OG als Verantwortliche zuständige Aufsichtsbehörde ist:
Österreichische Datenschutzbehörde Barichgasse 40–42 1030 Wien Republik Österreich dsb@dsb.gv.at www.dsb.gv.at
19.3 Außerhalb des Europäischen Wirtschaftsraums ansässige Nutzer können bei der österreichischen Datenschutzbehörde als der Aufsichtsbehörde am Niederlassungsort des Verantwortlichen Beschwerde erheben.
20. Salvatorische Klausel und anwendbares Recht
20.1 Sollte eine Bestimmung dieser Datenschutzerklärung durch ein zuständiges Gericht oder eine zuständige Regulierungsbehörde für ungültig oder nicht durchsetzbar erklärt werden, behalten die übrigen Bestimmungen ihre volle Gültigkeit und Wirksamkeit.
20.2 Diese Datenschutzerklärung unterliegt dem Recht der Republik Österreich und ist nach diesem auszulegen, unbeschadet zwingender datenschutz- oder verbraucherschutzrechtlicher Vorschriften, die in Ihrem Hoheitsgebiet anwendbar sind.
Ende der Datenschutzerklärung.