DSGVO Art. 13/14

Datenschutzerklärung

Informationen zur Verarbeitung deiner personenbezogenen Daten nach Art. 13 und Art. 14 DSGVO.

Verantwortlicher

BadKarma — Markus Ertl

Mariahilfer Straße 12/3, 1070 Wien, Österreich

E-Mail: admin@badkarma.at

Welche Daten wir verarbeiten

Wir verarbeiten nur die Daten, die du uns aktiv übergibst oder die für den Betrieb der Plattform technisch nötig sind:

  • Account-Daten: E-Mail-Adresse, gehashtes Passwort (PBKDF2 mit 310 000 Iterationen).
  • Käufe: Plugin-Slug, Betrag, Stripe Session-ID, ausgegebener Lizenz-Code. Keine Kreditkartendaten — die werden ausschließlich von Stripe verarbeitet.
  • Support-Tickets: Inhalte deiner Ticket-Nachrichten und die zugehörige E-Mail-Adresse.
  • Server-Logs: IP-Adresse und User-Agent während eines Requests; nach 30 Tagen Rotation gelöscht.

Zweck der Verarbeitung

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung der gekauften Plugins, Lizenz-Verwaltung, Support.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Schutz vor Missbrauch (Rate-Limits, Account-Lockout, Stripe-Webhook-Verifikation).

Empfänger / Auftragsverarbeiter

  • Stripe Payments Europe Ltd. (Irland) — Zahlungsabwicklung.
  • Resend GmbH — Versand transaktionaler E-Mails (License-Mail, Support-Antworten).
  • Render Inc. (Frankfurt) — Hosting der Website und Persistent-Disk-Storage.

Speicherdauer

  • Account-Daten: bis zur Löschung des Accounts (selbständig per Support-Ticket).
  • Käufe und Lizenzen: 7 Jahre (gesetzliche Aufbewahrungspflicht UStG/BAO).
  • Tickets: 24 Monate nach letztem Update.
  • Server-Logs: 30 Tage.

Deine Rechte

Du hast jederzeit Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Kontakt: admin@badkarma.at. Beschwerderecht bei der Datenschutzbehörde Österreich (https://www.dsb.gv.at/).

Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

  • bk_session — Login-Session (HttpOnly, SameSite=Lax, Secure). 7 Tage Gültigkeit.
  • bk_admin — Admin-Session (gleich konfiguriert). Nur für Administratoren sichtbar.

Tracking- oder Marketing-Cookies werden nicht gesetzt.

Internationale Datenübermittlung

Stripe Payments Europe Ltd. verarbeitet Zahlungsdaten innerhalb des EWR; falls Zahlungsdaten in die USA übertragen werden, geschieht das auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) und dem EU-US Data Privacy Framework. Resend (USA-Betreiber, Adressat EU-Mailrouting) und Render Inc. (Frankfurt-Region für unsere Daten) folgen demselben rechtlichen Mechanismus.