Datenschutzerklärung

1. Wer ist für Ihre Daten verantwortlich?

Diese Datenschutzerklärung gilt für die auf der Plattform impact.online veröffentlichten Spendenkampagnen. Da wir Kampagnen für viele verschiedene Organisationen hosten, hängt die für Ihre Daten verantwortliche Stelle vom Kontext der Verarbeitung ab:

Der für die Kampagne Verantwortliche: Die spezifische Non-Profit-Organisation, die in der Fußzeile der Kampagnenseite angegeben ist, ist der Verantwortliche (Data Controller) für Ihre Spenderinformationen (z. B. Name, E-Mail) und die Spendengelder. Sie bestimmt den Zweck der Spendenkampagne.

Der für die Plattform Verantwortliche: Die ceed digital innovation GmbH („Impact Online"), ansässig in der Martinstraße 25/4, 3400 Klosterneuburg, Österreich, fungiert als Verantwortlicher für den technischen Betrieb dieser Website, die Plattform-Sicherheit, Log-Dateien und das Management von Cookies/Einwilligungen.

Technische Bereitstellung: Für die Werbemessung agiert Impact Online als technischer Dienstleister. Wir implementieren die Tracking-Tools (z. B. Meta Pixel) und holen über unser Cookie-Banner die Einwilligung ein, um dem für die Kampagne Verantwortlichen die Messung der Effektivität seiner Anzeigen zu ermöglichen.

2. Welche Daten erfassen wir?

A. Informationen, die Sie bereitstellen (Spenderdaten)

Wenn Sie eine Spende tätigen, erfassen wir als Auftragsverarbeiter (Data Processor) im Auftrag des für die Kampagne Verantwortlichen folgende Daten:

• Kontaktinformationen: Name, E-Mail-Adresse, physische Adresse, Geburtsdatum.
• Transaktionsdaten: Spendenbetrag, Währung, Zeitstempel und ausgewählte Kampagne.
• Zahlungsdaten: Ihre Kreditkartendaten werden direkt in ein sicheres Widget eingegeben, das von Stripe Payments bereitgestellt wird. Impact Online speichert keine vollständigen Kreditkartennummern oder CVC-Codes.

B. Automatisch erfasste Informationen (Besucherdaten)

Wenn Sie eine Kampagnenseite besuchen, erfassen wir (Impact Online) automatisch technische Daten:

• Nutzungsdaten: Aufgerufene Seiten, verbrachte Zeit und angeklickte Links.
• Tracking-Daten (Nur mit Einwilligung): Geräteinformationen (IP-Adresse, Browser-Typ, Gerätemodell) und Cookie-Kennungen (z. B. _fbp, _ga) sowie gehashte technische Signale, die für die Werbe-Attribution verwendet werden.

3. Wie wir Ihre Daten verwenden

4. Datenweitergabe an Dritte

A. Hosting & Infrastruktur (AWS)

Unsere Plattform und alle damit verbundenen Daten werden auf Servern von Amazon Web Services (AWS) gehostet.

• Standort: Wir nutzen vorrangig Server in Dublin, Irland und Frankfurt, Deutschland, um die Datenverarbeitung innerhalb der EU sicherzustellen.
• Datenübermittlung: Da AWS ein US-Unternehmen ist, kann ein technischer Zugriff aus den USA nicht vollständig ausgeschlossen werden. AWS ist unter dem EU-U.S. Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau garantiert.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an einer sicheren und skalierbaren Bereitstellung der Webseite).

B. Zahlungsabwicklung (Stripe)

Wir verwenden Stripe Payments, um Finanztransaktionen abzuwickeln. Ihre Zahlungsdaten werden über eine verschlüsselte Verbindung direkt an Stripe übermittelt. Stripe agiert als eigenständiger Verantwortlicher für die finanzielle Compliance.

Datenschutzerklärung von Stripe: https://stripe.com/privacy

C. Werbeplattformen (Meta & Google)

Wenn (und nur wenn) Sie über unser Cookie-Banner Ihre Einwilligung erteilen, übermitteln wir technische Daten an die Werbekonten des für die Kampagne Verantwortlichen (z. B. Meta Business Manager, Google Ads), um den Erfolg der Spendensammlung zu messen.

• Meta (Facebook/Instagram): Wir können gehashte Conversion Signale (Server-Side API) an Meta senden.
• Google Ads: Wir können Conversion-Labels an Google senden.

Hinweis: Wenn Sie auf „Cookies ablehnen" klicken, werden keine Daten an diese Plattformen gesendet.

D. Produktanalyse (PostHog)

Wir verwenden PostHog, um zu analysieren, wie Besucher mit unseren digitalen Oberflächen interagieren (z. B. um technische Fehler oder Probleme bei der Benutzerfreundlichkeit zu identifizieren).

• Weitergegebene Daten: Maskierte IP-Adresse, Gerätetyp, Mausbewegungen und Klicks.
• Zweck: Verbesserung der Stabilität und Benutzererfahrung der Plattform.
• Standort: Die Daten werden auf Servern in Frankfurt, EU (gehostet von PostHog Inc.) gespeichert.

E. KI-Personalisierung (LLM-Anbieter)

Um ein personalisiertes Erlebnis zu bieten, können wir Ihre Eingaben (z. B. Text, den Sie in Formulare eingeben) mithilfe von Large Language Models (LLMs) verarbeiten. Wir nutzen die „Enterprise/API"-Versionen dieser Dienste, wodurch sichergestellt wird, dass Ihre Daten NICHT zum Trainieren der KI-Modelle der Anbieter verwendet werden.

Je nach Verfügbarkeit und Leistung können wir Daten an die folgenden Anbieter übermitteln:

• OpenAI (GPT-Modelle) – USA/Irland
• Google (Gemini-Modelle) – USA/Irland
• Anthropic (Claude-Modelle) – USA

Schutzmaßnahmen: Alle Übermittlungen in die USA sind durch geeignete Garantien geschützt, einschließlich des EU-U.S. Data Privacy Framework (sofern anwendbar) oder Standardvertragsklauseln (SCCs).

F. Internationale Übermittlungen

Einige unserer Partner (Stripe, PostHog, Meta, Google) haben ihren Sitz in den Vereinigten Staaten. Wir stellen sicher, dass Datenübermittlungen der DSGVO entsprechen, indem wir Rahmenwerke wie das EU-U.S. Data Privacy Framework (DPF) oder Standardvertragsklauseln (SCCs) nutzen, um sicherzustellen, dass Ihre Daten geschützt bleiben.

5. Server-seitiges Tracking & Ihre Privatsphäre

Wir verwenden „Server-Side"-Tracking (z. B. Meta Conversions API), um ein genaues Spenden-Reporting zu gewährleisten. Um Ihre Privatsphäre zu schützen, implementieren wir ein striktes „Consent Gate" (Einwilligungsprüfung):

• Unser Server prüft Ihren Einwilligungsstatus, bevor Daten an Meta oder Google gesendet werden.
• Wenn Sie Cookies auf der Website ablehnen, blockiert unser Server automatisch die Übermittlung Ihrer Daten an Werbenetzwerke, selbst wenn die Transaktion erfolgreich war.

6. Umgang mit nicht identifizierten Nutzern (DSGVO Artikel 11)

Wir speichern möglicherweise technische Protokolle (z. B. Cookie-IDs), die nicht mit Ihrem Namen oder Ihrer E-Mail-Adresse verknüpft sind. Gemäß Artikel 11 DSGVO sind wir nicht verpflichtet, Sie allein zu dem Zweck aus diesen Daten zu identifizieren, um einem Löschersuchen nachzukommen.

• Wenn Sie diese „Besucherdaten" löschen möchten, leeren Sie bitte Ihre Browser-Cookies oder setzen Sie die Werbe-ID Ihres Geräts zurück.
• Wir können Server-Logs nicht auf Anfrage löschen, es sei denn, Sie stellen die spezifische technische Kennung (Cookie-ID) zur Verfügung, die Ihrem Gerät zugeordnet ist.

7. Ihre Rechte

Abhängig von Ihrem Standort (EU/UK/Schweiz) haben Sie das Recht auf Auskunft, Löschung, Berichtigung oder Widerruf der Einwilligung. Sie können Ihre Cookie-Einstellungen jederzeit über den Link „Privatsphäre-Einstellungen" in der Fußzeile aktualisieren.

Um diese Rechte auszuüben:

• Für Spenderdaten: Bitte kontaktieren Sie den für die Kampagne Verantwortlichen (Details in der Fußzeile der Kampagnenseite).
• Für Cookie-/Technische Daten: Bitte kontaktieren Sie Impact Online unter privacy@augedo.com.

Darüber hinaus haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt. In Österreich ist hierfür die Österreichische Datenschutzbehörde zuständig.

8. Wie lange speichern wir Ihre Daten?

• Spenderdaten: Wir bewahren Spendenunterlagen so lange auf, wie es die Steuer- und Buchhaltungsgesetze erfordern (in der Regel 7 Jahre).
• Technische Logs: Server-Protokolle und Sicherheitsaufzeichnungen werden für 90 Tage zur Sicherheitsüberprüfung aufbewahrt und anschließend gelöscht.
• Analysedaten: Tracking-Daten auf Nutzerebene werden nach 18 Monaten gelöscht oder anonymisiert, abhängig von den spezifischen Tool-Einstellungen.