Crimebaker Digital

Datenschutzerklärung

Gültig für crimebaker.com und Subdomains. Stand: 11.05.2026 (v5).

1

Verantwortlicher

Florian Krimbacher, einzelunternehmerisch tätig unter dem Namen Crimebaker Digital, nicht im Firmenbuch eingetragen
Reimmichlgasse 11 Top A04, 6020 Innsbruck, Österreich
E-Mail: office@crimebaker.com

Weitere Stammdaten (GISA, WKO, Steuernummer): siehe Impressum.

Ein Datenschutzbeauftragter ist nicht bestellt; die Voraussetzungen des Art. 37 DSGVO (umfangreiche systematische Beobachtung, Verarbeitung besonderer Datenkategorien nach Art. 9 oder 10 DSGVO in großem Umfang) liegen nicht vor.

2

Gegenstand

Diese Erklärung regelt die Verarbeitung personenbezogener Daten im Zusammenhang mit:

  • Besuch und Nutzung der Website crimebaker.com (Blog, Tools, Kontaktformular)
  • Kontaktaufnahme per E-Mail, Telefon oder Kontaktformular
  • Anbahnung und Abwicklung von Verträgen (Beratungen, Custom-Dev-Projekte, Workshops)
  • Rechnungsstellung und Buchhaltung

Rechtsgrundlagen: DSGVO (VO (EU) 2016/679), DSG 2018, TKG 2021.

3

Grundsätze

Personenbezogene Daten werden nur verarbeitet, soweit dies für den jeweiligen Zweck erforderlich ist und eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO vorliegt. Besondere Kategorien nach Art. 9 DSGVO werden nicht verarbeitet.

4

Verarbeitungszwecke und Rechtsgrundlagen

4.1 Website-Betrieb und Reichweitenmessung

IP-Adresse, Browsertyp, Betriebssystem, Referrer-URL und Zeitstempel werden zur Sicherstellung des technischen Betriebs und zur Abwehr von Missbrauch verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem Betrieb).

Für Reichweitenmessung und Performance-Überwachung kommen Vercel Analytics und Vercel Speed Insights zum Einsatz. Beide Dienste arbeiten cookieless, ohne Personenprofile und ohne Cross-Site-Tracking. Erfasst werden ausschließlich aggregierte Kennzahlen wie Seitenaufrufe und Ladezeiten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sachgerechter Pflege der eigenen Website).

Tracking-Cookies, Werbenetzwerke, Social-Media-Plugins und Profiling-Tools werden nicht eingesetzt.

4.2 Kontaktaufnahme

Name, E-Mail-Adresse und Nachrichteninhalt werden zur Beantwortung der Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f (berechtigtes Interesse an Kommunikation).

4.3 Vertragsabwicklung und Rechnungslegung

Name, Anschrift, E-Mail-Adresse, Firmenbuchdaten, Zahlungsdaten und Geschäftskorrespondenz werden für Vertragsabschluss, Leistungserbringung, Rechnungsstellung und gesetzliche Aufbewahrung verarbeitet. Ohne diese Daten kann ein Vertrag nicht abgeschlossen oder abgewickelt werden. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO i.V.m. § 132 BAO, § 212 UGB.

5

Speicherdauer

  • Website-Server-Logs: 14 Tage (Sicherheit, Fehlersuche)
  • Kontaktanfragen ohne Vertragsanbahnung: 12 Monate
  • Kontaktdaten aus Vertragsanbahnung: bis zu 3 Jahre nach letztem Kontakt (zivilrechtliche Verjährungsfristen, Wiederanknüpfung bei Folgeprojekten · Widerspruch nach Art. 21 DSGVO jederzeit möglich)
  • Rechnungs- und Buchhaltungsdaten, Verträge: 7 Jahre ab Ende des Geschäftsjahres (§ 132 BAO, § 212 UGB)

Nach Ablauf werden Daten gelöscht oder wirksam anonymisiert.

6

Auftragsverarbeiter und Empfänger

6.1 Auftragsverarbeiter nach Art. 28 DSGVO

Mit folgenden Anbietern bestehen Auftragsverarbeitungsverträge (DPA). Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Verantwortlichen.

Vercel Inc. — Hosting, Vercel Analytics, Vercel Speed Insights

Hosting der Website, Edge-Network, SSL-Terminierung sowie cookieless Reichweiten- und Performance-Messung. Sitz: USA, Betriebsregion EU verfügbar. Drittlandtransfer in die USA: Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Supabase Inc. — Datenbank und Authentifizierung

Datenhaltung für Admin-Funktionen und Kontaktformular. Sitz: USA, Datenverarbeitung in der EU-Region Frankfurt. Drittlandtransfer in die USA nur im Rahmen des Konzern-Supports über Standardvertragsklauseln.

Google Ireland Limited — Google Workspace

Gmail, Drive, Calendar und Gemini for Workspace für Geschäftskommunikation, Vertragsablage und Termin-Koordination. EU-Vertragspartner, primäre Datenverarbeitung in der EU. Drittlandtransfer in die USA über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

OpenAI Ireland Ltd. — KI-gestützte Texterstellung

Einsatz für KI-gestützte Texterstellung, soweit dabei personenbezogene Daten verarbeitet werden. Mit OpenAI Ireland Ltd. besteht ein eigener DPA mit Zero Data Retention (keine Speicherung von Eingaben, keine Trainingsnutzung). Drittlandtransfer in die USA über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

Resend Inc. — transaktionaler E-Mail-Versand

System-Mails (z.B. Vertragsbestätigungen), sofern technisch aktiviert. Sitz: USA. Drittlandtransfer über Standardvertragsklauseln, DPA über die Resend-Geschäftsbedingungen.

Cloudflare Inc. — Domain-Registrar

Reine DNS- und Whois-Verwaltung der Domain crimebaker.com, kein Routing personenbezogener Inhalte. Sitz: USA. Drittlandtransfer über Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

6.2 Weitere Empfänger

  • Steuerberater (Österreich): Rechnungs- und Buchhaltungsdaten im Rahmen gesetzlicher Pflichten
  • Behörden: auf gesetzliche Anforderung (Finanzamt, SVS, WKO, Datenschutzbehörde)
  • Custom-Dev-Kunden mit eigener Infrastruktur („Option Y“): Daten der beauftragten Anwendungen liegen ausschließlich auf der Infrastruktur des Kunden. Crimebaker tritt insoweit als technischer Dienstleister nach Weisung auf und ist nicht eigenständig Verantwortlicher iSd Art. 4 Z 7 DSGVO. Ein Auftragsverarbeitungsvertrag wird auf Wunsch des Kunden geschlossen.

7

Drittlandtransfer

Soweit personenbezogene Daten in die USA übermittelt werden, stützt sich die Übermittlung auf das EU-US Data Privacy Framework (für zertifizierte Anbieter) und auf Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO. Ergänzend kommen TLS-Verschlüsselung, Verschlüsselung at Rest und Datenminimierung zum Einsatz.

8

Cookies und lokale Speicherung

Nur technisch notwendige Cookies

  • Session-Cookie: Sitzungsverwaltung im Admin-Bereich (Erstanbieter, Sitzungsdauer)
  • CSRF-Token: Schutz vor Cross-Site-Request-Forgery (Erstanbieter, Sitzungsdauer)

Es kommen ausschließlich Cookies zum Einsatz, die für die Bereitstellung der ausdrücklich gewünschten Dienste technisch erforderlich sind. Nach § 165 Abs. 3 TKG 2021 ist hierfür keine Einwilligung erforderlich. Tracking-, Profiling- und Werbe-Cookies werden nicht eingesetzt.

Local Storage

Für optionale Komfortfunktionen (z.B. Theme-Präferenz) kann Local Storage verwendet werden. Diese Daten verlassen den Browser nicht und lassen keine Rückschlüsse auf Personen zu.

9

Betroffenenrechte

Betroffenen Personen stehen nach DSGVO folgende Rechte zu:

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung / Recht auf Vergessenwerden (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3)

Anfragen an: office@crimebaker.com. Bearbeitung erfolgt innerhalb eines Monats (Art. 12 Abs. 3 DSGVO).

10

Datensicherheit

Maßnahmen nach Art. 32 DSGVO:

  • TLS-Verschlüsselung für alle Website- und Mail-Verbindungen
  • AES-256-Verschlüsselung at Rest bei Supabase und Vercel
  • Zwei-Faktor-Authentifizierung für alle Admin-Zugänge
  • Row-Level-Security in der Datenbank
  • Backup mit Point-in-Time-Recovery

11

Minderjährigenschutz

Die angebotenen Dienste richten sich nicht an Personen unter 14 Jahren. Daten von Minderjährigen unter 14 Jahren werden wissentlich nicht erhoben (§ 4 Abs. 4 DSG i.V.m. Art. 8 DSGVO).

12

Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.

13

Änderungen

Diese Datenschutzerklärung kann angepasst werden, wenn sich Rechtslage, eingesetzte Dienste oder Verarbeitungen ändern. Die jeweils aktuelle Fassung ist unter crimebaker.com/datenschutz abrufbar.

14

Beschwerde bei der Aufsichtsbehörde

Sollte die Verarbeitung personenbezogener Daten nach Auffassung der betroffenen Person gegen die DSGVO verstoßen, besteht ein Beschwerderecht bei:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
www.dsb.gv.at
dsb@dsb.gv.at

← Zurück zur StartseiteStand: 11.05.2026 (v5)