Datenschutzerklärung

Stand: 4.6.2026

Wir, IT Peter Fehringer e.U. (im Folgenden „wir"), nehmen Datenschutz ernst und verarbeiten personenbezogene Daten nur im gesetzlich erlaubten Rahmen. Diese Erklärung beschreibt, wie wir Daten verarbeiten, wenn du Flieger nutzt.

1. Verantwortlicher

IT Peter Fehringer e.U.
Föhrenstraße 5, 3363 Neufurth, Österreich
Kontakt: [email protected]

2. Welche Daten wir verarbeiten

  • Account-Daten: E-Mail-Adresse, Name, Rolle (Creator / KMU / Admin), OAuth-Provider-IDs
  • Creator-Profil: Anzeigename, Bio, Bezirk, Niches, Preise, Profilbild, Instagram-Username
  • Instagram-Daten (nur bei Creators mit verknüpftem IG-Business-Konto): Username, Follower-Zahl, Media-Count, letzte 30 Posts (Caption, Likes, Comments, Timestamp)
  • Business-Profil: Firmenname, Anschrift, UID-Nummer, Gewerbe, Website, Telefon, Logo
  • Zahlungs-Daten: Mollie-Customer-ID (KMU), Mollie-Organization-ID + OAuth-Tokens (Creator). Karten-, IBAN- und sonstige Zahlungsdaten werden ausschließlich von Mollie verarbeitet, nicht von uns.
  • Inhalte: Kampagnen-Briefs, Content-Submissions, Chat-Nachrichten, Bewertungen
  • Rechnungs-Daten: fortlaufende Rechnungsnummer, Beträge, PDF-Archiv (7 Jahre aufbewahrt, BAO §132)
  • Audit-Log: jede sicherheits- oder vertrauensrelevante Aktion mit User-ID, IP, User-Agent, Zeitstempel
  • Technische Daten: Server-Logs (IP, Zeitstempel, Request), Session-Cookies

3. Rechtsgrundlage

  • Art. 6 Abs 1 lit. b DSGVO (Vertragserfüllung) — für alle Daten die nötig sind, um Bookings, Zahlungen und Posts abzuwickeln.
  • Art. 6 Abs 1 lit. c DSGVO (rechtliche Verpflichtung) — Rechnungs-Aufbewahrung, Audit-Log.
  • Art. 6 Abs 1 lit. f DSGVO (berechtigtes Interesse) — Betriebssicherheit, Missbrauchs-Prävention, Authentizitäts-Scoring.
  • Art. 6 Abs 1 lit. a DSGVO (Einwilligung) — nur sofern wir später nicht-essenzielle Cookies oder Newsletter einführen.

4. Auftragsverarbeiter & Empfänger

Wir nutzen folgende Dienste mit Auftragsverarbeitungsverträgen:

  • Railway (US, EU-Datenzentrum) — Hosting
  • Mollie B.V. (Keizersgracht 313, 1016 EE Amsterdam, Niederlande) — Zahlungsabwicklung, Treuhand-Verwahrung des KMU-Honorars bis zur Auszahlung an den Creator, Auszahlungs-Routing über Mollie Connect für Marketplaces
  • Meta Platforms Ireland Ltd. — Instagram-Graph-API (nur Creator-Daten)
  • Anthropic PBC (USA) — LLM-Verarbeitung für Brief-Generator, Authentizitäts-Score, Content-Check. Standard-Vertragsklauseln (SCCs) abgeschlossen. Übermittelte Daten werden NICHT zum Modell-Training verwendet.
  • Cloudflare R2 (EU) — Datei-Hosting (Content-Submissions, Rechnungs-PDFs)
  • Resend Inc. (USA, EU-Region) — E-Mail-Zustellung (SCCs)

5. Speicherdauer

  • Account-Daten: bis zur Löschung des Accounts (Selfservice unter „Konto löschen")
  • Rechnungs- und steuerrelevante Daten: 7 Jahre ab Rechnungsdatum (BAO §132)
  • Audit-Log mit anonymisierter User-ID nach Account-Löschung: 3 Jahre
  • Server-Logs: 30 Tage rolling

6. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (Authentifizierung, Session, CSRF-Schutz, Sprache).Kein Tracking, kein Analytics-Tool. Solltest du dem Cookie-Banner zustimmen, ist das eine Bestätigung, keine Einwilligung zu zusätzlichen Cookies.

7. Deine Rechte (DSGVO Art. 15–22)

  • Auskunft (Art. 15): Im Selfservice unter „Meine Daten exportieren" — JSON-Download aller deiner Daten.
  • Berichtigung (Art. 16): Profil bearbeiten oder Mail an uns.
  • Löschung (Art. 17): Selfservice „Konto löschen". Steuerrelevante Daten bleiben rechtsbedingt erhalten.
  • Einschränkung (Art. 18) und Widerspruch (Art. 21): Mail an [email protected].
  • Datenübertragbarkeit (Art. 20): über das Datenexport-Tool (maschinenlesbares JSON).
  • Beschwerde: Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien · [email protected].

8. Datenübermittlung in Drittländer

Anthropic und Resend verarbeiten Daten teilweise in den USA. Wir setzen die EU-Standard-Vertragsklauseln (SCCs gem. Beschluss 2021/914) ein und beschränken übermittelte Daten auf das Notwendigste (z.B. werden nur Post-Statistiken zum Authentizitäts-Scoring übergeben, keine vollen Profile).

9. Datensicherheit

Wir setzen HTTPS-only mit HSTS, Content-Security-Policy, restriktive Cookies (HttpOnly, Secure, SameSite), Rate-Limiting, Audit-Log und regelmäßige Postgres-Backups ein. Vorfälle werden unverzüglich an die DSB gemeldet (Art. 33 DSGVO, binnen 72 h).

Datenschutz · Flieger