Datenschutzerklärung
für die Plattform „marktbase" (marktbase.app)
Stand: 12.06.2026 · Version: 1.0
Teil A — Verantwortlicher und Rollen
1. Verantwortlicher (Art. 4 Z 7 DSGVO)
Verantwortlich für die in Teil B beschriebenen Datenverarbeitungen (Website und eigener Plattformbetrieb) ist:
webtribe – Gesellschaft bürgerlichen Rechts (webtribe GesbR) Lobenhauerngasse 11/2/21 1170 Wien, Österreich
Gesellschafter (gemeinsam vertretungsbefugt): Daniel Leitner, Tim Stehle
- E-Mail: team@marktbase.app
- Telefon: +43 660 713 83 22
- Web: https://marktbase.app
Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, österreichisches DSG, TKG 2021). In dieser Datenschutzerklärung informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website und unserer Plattform.
Datenschutzbeauftragter
Nach derzeitiger Einschätzung besteht keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO, § 5 DSG). Sollte ein Datenschutzbeauftragter bestellt werden, werden dessen Kontaktdaten hier ergänzt.
2. marktbase als SaaS-Plattform — zwei Datenschutz-Rollen
marktbase ist eine Software-as-a-Service-Plattform (SaaS). Unsere Kunden sind Geschäftskunden („Händler" bzw. „Tenants"), die auf der Plattform eigene Websites und Online-Shops erstellen und betreiben. Daraus ergeben sich zwei klar getrennte datenschutzrechtliche Rollen:
| Teil B — marktbase als Verantwortlicher | Teil C — marktbase als Auftragsverarbeiter (Art. 28 DSGVO) | |
|---|---|---|
| Wessen Daten | Daten, die wir für eigene Zwecke verarbeiten | Daten, die Händler über die Plattform verarbeiten |
| Beispiele | Besucher von marktbase.app, Interessenten/Leads, Konto- und Abrechnungsdaten der Händler, Betrieb & Sicherheit | Endkund:innen der Händler (Kontakte, Bestellungen, Nachrichten, Zahlungen im Shop) |
| Verantwortlich | webtribe GesbR | der jeweilige Händler |
| Rechtsrahmen | diese Datenschutzerklärung | Auftragsverarbeitungsvertrag (AVV) zwischen marktbase und Händler |
Wichtig für Endkund:innen eines Shops: Wenn Sie in einem über marktbase betriebenen Shop einkaufen oder Kontakt aufnehmen, ist der jeweilige Händler der für Ihre Daten Verantwortliche. Dessen eigene Datenschutzerklärung ist maßgeblich. marktbase verarbeitet diese Daten ausschließlich in dessen Auftrag und nach dessen Weisung.
Tenant-konfigurierte Integrationen: Welche Drittdienste (insbesondere Zahlungsanbieter, Kommunikations-, Versand- und Social-Media-Dienste) im Einzelfall zum Einsatz kommen, hängt davon ab, welche Integrationen der jeweilige Händler in seinem Konto aktiviert und konfiguriert hat. Die in Teil C genannten Dienste werden daher nicht durchgehend, sondern nur bei entsprechender Konfiguration durch den Händler wirksam.
Teil B — Verarbeitungen, für die marktbase verantwortlich ist
3. Datenverarbeitung beim Besuch der Website (marktbase.app)
Beim Aufruf von marktbase.app werden durch unsere Hosting-/Infrastrukturdienstleister automatisch technische Zugriffsdaten („Server-Logs") verarbeitet:
- Datenkategorien: IP-Adresse, Datum und Uhrzeit des Zugriffs, abgerufene Seite/Datei, übertragene Datenmenge, Referrer-URL, Browsertyp und -version, Betriebssystem.
- Zweck: technische Auslieferung der Website, Gewährleistung von Stabilität und IT-Sicherheit (Abwehr von Angriffen, Fehlerdiagnose).
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren, stabilen Betrieb).
- Empfänger: Hosting-/Infrastrukturdienstleister (Abschnitt 14).
- Speicherdauer: Server-/Sicherheitslogs werden längstens 30 Tage gespeichert und danach gelöscht.
Die IP-Adresse gilt bereits als personenbezogenes Datum; eine Verarbeitung findet daher bereits mit dem Seitenaufruf statt.
4. Cookies und Einwilligungsverwaltung (Consent)
Unsere Website verwendet Cookies und vergleichbare Technologien (z. B. localStorage) — kleine Datenpakete, die über den Browser auf Ihrem Endgerät gespeichert werden und keinen Schaden anrichten.
- Technisch notwendige Cookies (z. B. Session, Login, Sicherheit, Speicherung Ihrer Cookie-Auswahl) setzen wir auf Grundlage unseres berechtigten Interesses an einem funktionsfähigen Webauftritt (Art. 6 Abs. 1 lit. f DSGVO; § 165 Abs. 3 TKG 2021).
- Nicht notwendige Cookies / Verarbeitungen (insbesondere Produktanalyse, Abschnitt 9, Web-Analyse via Google Tag Manager und Google Analytics, Abschnitt 9a, sowie etwaige Marketing-Pixel) setzen wir nur mit Ihrer aktiven Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 Abs. 3 TKG 2021), die wir über ein Cookie-/Consent-Banner einholen. Ohne Einwilligung werden diese Dienste nicht geladen.
Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (über „Cookie-Einstellungen" im Footer). Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Sie können Cookies zudem im Browser einschränken oder löschen; dadurch kann die Funktionalität eingeschränkt sein.
5. Registrierung und Verwaltung des Händler-Kontos
Für die Nutzung der Plattform legen Händler ein Benutzerkonto an.
- Datenkategorien: Name, E-Mail-Adresse, Login-/Authentifizierungsdaten, Konto- und Tenant-Stammdaten, ggf. weitere Angaben.
- Zweck: Bereitstellung des Zugangs, Authentifizierung, Verwaltung des Geschäftskundenkontos, Erbringung der vertraglichen Leistungen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzungsvertrag bzw. vorvertragliche Maßnahmen).
- Empfänger: Supabase (Authentifizierung/Datenbank, Speicherort EU; Abschnitt 14).
- Speicherdauer: für die Vertragsdauer zzgl. angemessenem Nachlauf; danach Löschung/Anonymisierung, soweit keine Aufbewahrungspflichten entgegenstehen (Details Abschnitt 17).
Die Bereitstellung ist für den Vertragsabschluss erforderlich; ohne sie kann kein Konto bereitgestellt werden.
6. KI-gestützte Funktionen (Nutzung durch Händler)
Die Plattform enthält KI-Funktionen (z. B. KI-gestützte Website-Bearbeitung und -Generierung, Text- und Designvorschläge, Transkription von Sprachnotizen). Wenn Händler diese Funktionen nutzen, werden ihre Eingaben (Prompts, Texte, ggf. Audioaufnahmen) zur Erzeugung der Ergebnisse an die in Abschnitt 13 b genannten KI-Dienstleister übermittelt.
- Datenkategorien: Eingabeinhalte (können personenbezogene Daten enthalten), generierte Inhalte, technische Metadaten.
- Zweck: Bereitstellung der vom Händler genutzten KI-Funktionen.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erbringung der vertraglichen Leistung). Soweit Eingaben personenbezogene Daten von Endkund:innen enthalten, erfolgt die Verarbeitung im Auftrag des Händlers (Teil C).
- Drittlandtransfer: teilweise USA — siehe Abschnitt 16. Soweit von den Anbietern angeboten, werden Zero-Retention-/No-Training-Optionen aktiviert; eine Nutzung der Eingaben zum Training von KI-Modellen durch uns findet nicht statt.
- Speicherdauer: Eingaben und Verläufe des KI-Chat-Assistenten sowie generierte Inhalte werden als Teil der Konto- bzw. Websitedaten des Händlers gespeichert (Nachvollziehbarkeit der Bearbeitungsverläufe) und nach den für Kontodaten geltenden Regeln gelöscht (Abschnitt 17).
7. Abrechnung unserer SaaS-Leistungen (Plattformgebühren)
Zur Abrechnung der von uns gegenüber Händlern erbrachten kostenpflichtigen Plattformleistungen verarbeiten wir Vertrags- und Abrechnungsdaten. Diese Verarbeitung betrifft ausschließlich unser Verhältnis zum Händler (nicht die Zahlungen, die Endkund:innen in einem Shop tätigen — dazu Abschnitt 12).
- Datenkategorien: Rechnungs-/Vertragsdaten, Beträge, Tarif-/Subscription-Status, Zahlungsdaten des Händlers.
- Zweck: Rechnungsstellung, Einzug der Plattformgebühren, Erfüllung steuer-/handelsrechtlicher Pflichten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten, insb. § 132 BAO).
- Empfänger: Supabase (
billing-Daten, EU) sowie — zur Erfüllung unserer steuer- und handelsrechtlichen Pflichten — unsere Buchhaltung/Steuerberatung. Die Bezahlung der Plattformgebühren erfolgt derzeit per Überweisung auf unser Geschäftskonto. - Speicherdauer: rechnungs-/buchhaltungsrelevante Daten 7 Jahre (§ 132 BAO), danach Löschung.
8. Kontaktaufnahme und Support
Wenn Sie per Kontaktformular, E-Mail oder In-App-Support Kontakt aufnehmen, verarbeiten wir die angegebenen Daten zur Bearbeitung Ihrer Anfrage und für Anschlussfragen.
- Datenkategorien: Name, E-Mail-Adresse, ggf. Telefonnummer, Inhalt der Anfrage, freiwillige Angaben.
- Zweck: Bearbeitung und Beantwortung der Anfrage.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (bei Vertragsanbahnung/-abwicklung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Kommunikation).
- Empfänger: unser E-Mail-/Kollaborationsdienstleister Google Workspace (Google Ireland Ltd., EU-Region; konzernbedingt teilweise Drittlandbezug — Abschnitt 16).
- Speicherdauer: bis zur abschließenden Bearbeitung; danach Löschung, soweit keine Aufbewahrungspflichten bestehen.
9. Produktanalyse und Fehler-Monitoring
Zur Verbesserung und Stabilisierung der Plattform setzen wir folgende Dienste als Verantwortliche ein:
| Dienst | Anbieter | Zweck | Datenkategorien | Speicherort | Rechtsgrundlage |
|---|---|---|---|---|---|
| PostHog | PostHog Inc. (EU-Cloud, eu.i.posthog.com) | Produkt-/Nutzungsanalyse | Nutzungs-/Event-Daten, Geräte-/Browserdaten, ggf. pseudonyme User-IDs | EU | Einwilligung (Art. 6 Abs. 1 lit. a) — wird nur nach Einwilligung geladen (Abschnitt 4) |
| Sentry | Functional Software, Inc. (Region DE, ingest.de.sentry.io) | Fehler-/Crash-Monitoring | Stacktraces, Fehlerkontext, ggf. User-IDs, IP | EU | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) an Stabilität und Fehlerbehebung |
- Speicherdauer: Fehler-Monitoring-Daten (Sentry) werden 90 Tage gespeichert; Analysedaten (PostHog) werden regelmäßig bereinigt und spätestens nach 12 Monaten gelöscht. Daten werden in der EU gespeichert; mit beiden Anbietern bestehen Auftragsverarbeitungsverträge.
9a. Google Tag Manager und Google Analytics
Auf marktbase.app setzen wir den Google Tag Manager (GTM) sowie Google Analytics 4 (GA4) ein (Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; Mutterkonzern Google LLC, USA).
- Google Tag Manager dient ausschließlich der technischen Verwaltung und dem Ausspielen von Tags (u. a. Google Analytics). GTM selbst speichert keine eigenen Analyse-Cookies, lädt aber die über ihn eingebundenen Dienste.
- Google Analytics 4 dient der statistischen Auswertung des Nutzungsverhaltens (Reichweiten- und Conversion-Messung), um unser Angebot zu verbessern. Verarbeitet werden Nutzungs- und Geräte-/Browserdaten sowie eine gekürzte (anonymisierte) IP-Adresse; GA4 kürzt IP-Adressen standardmäßig und speichert keine vollständigen IP-Adressen.
- Datenkategorien: Geräte-/Browserdaten, gekürzte IP-Adresse, Nutzungs-/Event-Daten, pseudonyme Kennungen (Client-/Cookie-IDs), Referrer.
- Zweck: Reichweiten- und Conversion-Analyse der Marketing-Website.
- Rechtsgrundlage: ausschließlich Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO; § 165 Abs. 3 TKG 2021). Google Tag Manager und Google Analytics werden erst nach Ihrer aktiven Einwilligung über das Cookie-Banner (Kategorie „Marketing") geladen; ohne Einwilligung erfolgt keine Einbindung. Wir setzen den Google Consent Mode v2 ein, sodass Google-Tags den Einwilligungsstatus berücksichtigen.
- Empfänger / Drittland: Google; eine Übermittlung in die USA ist möglich (Abschnitt 16). Google LLC ist unter dem EU-US Data Privacy Framework zertifiziert.
- Speicherdauer: Die in Google Analytics gespeicherten nutzer- und ereignisbezogenen Daten werden nach maximal 14 Monaten automatisch gelöscht.
- Widerruf: jederzeit mit Wirkung für die Zukunft über die „Cookie-Einstellungen" im Footer. Zusätzlich können Sie die Erfassung durch Google Analytics mit dem Browser-Add-on von Google unterbinden (https://tools.google.com/dlpage/gaoptout).
10. Transaktionsmitteilungen & eigenes Marketing
Für system- und kontobezogene E-Mails (z. B. Registrierung, Rechnungen, Sicherheitshinweise) sowie — bei entsprechender Einwilligung — für eigene Newsletter/Produktinfos setzen wir den E-Mail-Versanddienstleister Resend (Sitz USA) ein.
- Rechtsgrundlage: Transaktionsmails Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Werbung/Newsletter Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. § 174 TKG 2021 / UWG.
- Widerruf: Newsletter-Einwilligung jederzeit widerrufbar (z. B. Abmeldelink in jeder E-Mail).
- Datenkategorien: E-Mail-Adresse, Name, Mailinhalte, Zustell-/Öffnungs-Events.
- Drittlandtransfer: USA — siehe Abschnitt 16.
Teil C — Verarbeitungen im Auftrag der Händler (Auftragsverarbeitung, Art. 28 DSGVO)
Für die folgenden Verarbeitungen ist der jeweilige Händler verantwortlich; marktbase handelt als Auftragsverarbeiter auf Grundlage des AVV. Die genannten Dienste sind Sub-Auftragsverarbeiter bzw. — bei Zahlungsdienstleistern — eigenständig Verantwortliche. Welche Dienste konkret zum Einsatz kommen, richtet sich nach den Integrationen, die der Händler aktiviert hat.
11. Betrieb der Händler-Shops und -Websites
marktbase speichert und verarbeitet im Auftrag des Händlers die Daten, die dieser über die Plattform erhebt: Endkundenkontakte (CRM), Bestellungen, Site-/Shop-Inhalte, Kommunikationsverläufe. Beim Besuch einer Händler-Website fallen zudem technische Zugriffsdaten (Server-Logs, Abschnitt 3 entsprechend) sowie — je nach Konfiguration des Händlers — Statistik-/Analysedaten an.
- Datenkategorien: Name, Kontaktdaten, Adressen, Bestell-/Kaufhistorie, Kommunikationsinhalte der Endkund:innen, Zugriffsdaten.
- Empfänger (Sub-AV): Hosting-/Infrastrukturdienstleister (Abschnitt 14).
- Löschung: nach Weisung des Händlers bzw. nach Vertragsende gem. AVV (Rückgabe/Löschung; Exportfrist siehe Abschnitt 17).
12. Zahlungsabwicklung im Shop (tenant-konfiguriert)
Die Zahlungsabwicklung für Käufe in einem Shop erfolgt über den vom jeweiligen Händler ausgewählten und in seinem Konto konfigurierten Zahlungsdienstleister — mit den eigenen Konto-/Zugangsdaten des Händlers. marktbase leitet die für den Bezahlvorgang erforderlichen Daten an den vom Händler gewählten Anbieter weiter; welcher Anbieter aktiv ist, hängt allein von der Konfiguration des Händlers ab.
Unterstützte Zahlungsanbieter (je nach Konfiguration des Händlers):
| Anbieter | Rechtsträger / Sitz |
|---|---|
| Stripe (inkl. Connect) | Stripe Payments Europe Ltd., Irland (US-Konzernmutter) |
| PayPal | PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg |
| Mollie | Mollie B.V., Niederlande |
| SumUp | SumUp EU Payments UAB, Litauen (EU) |
- Rolle: Zahlungsdienstleister handeln für die Zahlungsabwicklung regelmäßig als eigenständig Verantwortliche (gesetzliche Pflichten, Aufsicht, Betrugsprävention), teils gemeinsam verantwortlich. Es gelten die Datenschutzbestimmungen des jeweiligen Anbieters.
- Datenkategorien: Name, Beträge, Zahlungs-/Transaktionsdaten; bei Stripe Connect ggf. KYC-Daten des Händlers.
- Rechtsgrundlage (Weiterleitung durch marktbase): Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) im Auftrag des Händlers.
- Drittlandtransfer: teils (US-Konzernmutter) — siehe Abschnitt 16.
- Zugangsdaten/Schlüssel der Händler werden bei marktbase verschlüsselt (AES-256-GCM) gespeichert.
13. Kommunikation, KI-/Sprachfunktionen, Integrationen und Versand (tenant-konfiguriert)
Folgende Funktionen stehen Händlern zur Verfügung und nutzen Drittdienste nur, soweit der Händler sie aktiviert/konfiguriert:
a) Kommunikationsdienste (Versand von E-Mail, SMS, Messaging an Endkund:innen im Auftrag des Händlers)
| Dienst | Anbieter | Datenkategorien | Sitz |
|---|---|---|---|
| Resend | Resend | E-Mail-Adressen, Namen, Mailinhalte, Zustell-/Öffnungs-Events | USA |
| WhatsApp Business API | Meta Platforms Ireland Ltd. | Telefonnummern, Nachrichteninhalte, Metadaten | Irland / USA |
SMS-Versand über Twilio (Twilio Inc., USA) erfolgt ausschließlich über ein eigenes Twilio-Konto des Händlers, das dieser mit seinen eigenen Zugangsdaten verbindet; insoweit gelten die Bedingungen und Datenschutzbestimmungen von Twilio gegenüber dem Händler.
Werbliche Kommunikation an Endkund:innen setzt eine vom Händler einzuholende Rechtsgrundlage voraus (Einwilligung / § 174 TKG / UWG); dafür ist der Händler verantwortlich.
b) KI- und Sprachfunktionen (z. B. Content-/Builder-Unterstützung, Transkription, Sprachsynthese)
| Dienst | Anbieter | Datenkategorien | Sitz |
|---|---|---|---|
| Anthropic (Claude API) | Anthropic, PBC | Prompt-Inhalte, generierte Texte | USA |
| OpenAI | OpenAI | Audio/Sprachaufnahmen, Transkripte, Prompts | EU-Endpunkt, soweit verfügbar; im Übrigen USA |
Bei den KI-Anbietern werden, soweit angeboten, Zero-Retention-/No-Training-Optionen aktiviert. Eine Nutzung der verarbeiteten Daten zum Training von KI-Modellen durch marktbase findet nicht statt.
c) Anbindung externer Konten (OAuth-Integrationen) — vom Händler verbunden, damit marktbase in seinem Auftrag z. B. Social-Media-Beiträge veröffentlicht, Kalender/Events synchronisiert oder Inhalte abruft. Je nach Berechtigungsumfang werden Profil-, Inhalts- und Zugriffstoken-Daten verarbeitet. Mögliche Dienste: Google, Microsoft, Meta (Facebook/Instagram), LinkedIn, Twitter/X, Spotify, SoundCloud, Eventbrite. Für die jeweilige Plattform ist der Drittanbieter eigenständig verantwortlich; Tokens werden verschlüsselt gespeichert.
e) Google-Bewertungen — bei Aktivierung ruft die Plattform über die Google Places API (Google Ireland Ltd.) öffentliche Bewertungen des Betriebs des Händlers ab und zeigt sie auf dessen Website an. Verarbeitet werden die öffentlich einsehbaren Bewertungsdaten (einschließlich der von den Rezensent:innen veröffentlichten Namen und Texte). Rechtsgrundlage: Bereitstellung der vom Händler aktivierten Funktion im Auftrag des Händlers.
f) Stock-Medien-Suche — bei Nutzung der Bildersuche werden ausschließlich die eingegebenen Suchbegriffe an den Anbieter Pexels übermittelt; personenbezogene Daten von Endkund:innen werden dabei nicht verarbeitet.
d) Sendungsverfolgung — bei Aktivierung über Sendcloud (Sendcloud B.V., Eindhoven, Niederlande — EU). Verarbeitet werden Tracking-/Sendungsnummern, ggf. Empfänger-/Lieferdaten. Verarbeitung in der EU; es gilt Datenminimierung (möglichst nur Tracking-IDs).
- Rechtsgrundlage (jeweils): Bereitstellung der vom Händler gebuchten/aktivierten Funktion (Art. 6 Abs. 1 lit. b DSGVO) im Auftrag des Händlers; Drittlandtransfers siehe Abschnitt 16.
Teil D — Übergreifende Informationen
14. Hosting und Infrastruktur
Den Betrieb von Website und Plattform stützen wir auf folgende Infrastruktur-Dienstleister (Auftragsverarbeiter):
| Dienst | Anbieter | Zweck | Speicherort |
|---|---|---|---|
| Supabase | Supabase Inc. | Datenbank (Postgres), Authentifizierung, Object-Storage | AWS eu-west-1, Irland (EU) |
| Vercel | Vercel Inc. | Hosting Frontend, Serverless-/Edge-Funktionen | US-Unternehmen, globales CDN (Abschnitt 16) |
| Hetzner | Hetzner Online GmbH | Server / Hilfsdienste | Deutschland (EU) |
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer, performanter Betrieb) bzw. Art. 6 Abs. 1 lit. b DSGVO.
- Die primäre Datenhaltung (Plattformdaten, Medien) erfolgt in der EU (Supabase, Irland). Mit den Dienstleistern bestehen bzw. werden AVVs geschlossen.
15. Empfänger — Überblick
Eine Weitergabe erfolgt nur an die in dieser Erklärung genannten Empfänger und nur, soweit für die jeweiligen Zwecke erforderlich oder mit Einwilligung. Empfängerkategorien: Hosting-/Infrastrukturdienstleister, Monitoring-/Analyse-Anbieter, E-Mail-Versanddienstleister, KI-/Sprachdienste, Kommunikationsdienste, Zahlungsdienstleister, Versand-/Tracking-Dienste, Buchhaltung/Steuerberatung sowie — auf Veranlassung des Händlers — angebundene Drittplattformen. Darüber hinaus können wir Daten offenlegen, soweit wir gesetzlich dazu verpflichtet sind (z. B. gegenüber Behörden oder Gerichten). Welche Empfänger im Einzelfall betroffen sind, hängt von den genutzten bzw. vom Händler konfigurierten Funktionen ab. Die jeweils aktuelle Subprozessoren-Liste wird intern geführt und Händlern im Rahmen des AVV bereitgestellt.
16. Datenübermittlung in Drittländer
Einige Dienste verarbeiten Daten außerhalb der EU/des EWR, insbesondere in den USA. Eine Übermittlung erfolgt nur mit geeigneten Garantien:
- EU-US Data Privacy Framework (DPF): Für in den USA ansässige, unter dem DPF zertifizierte Anbieter besteht ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO). Das Gericht der EU hat den Angemessenheitsbeschluss mit Urteil vom 03.09.2025 (Rs. T‑553/23, Latombe) bestätigt; ein Rechtsmittel ist anhängig. Sollte der Angemessenheitsbeschluss künftig wegfallen, stützen wir Übermittlungen auf Standardvertragsklauseln.
- Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO: soweit kein Angemessenheitsbeschluss greift, erforderlichenfalls mit zusätzlichen Schutzmaßnahmen (z. B. Verschlüsselung, Datenminimierung).
In der EU/im EWR gespeichert sind insbesondere: Supabase (IE), Hetzner (DE), Sentry (DE), PostHog (EU), Sendcloud (NL), Mollie (NL), PayPal (LU), Spotify (SE), SoundCloud (DE). In Drittländer übermittelt wird insbesondere bei: Vercel, Anthropic, Resend, Twilio, WhatsApp/Meta, Microsoft (teilweise), X, Eventbrite, Stripe (US-Mutter), Google (Google Analytics / Tag Manager). Eine Kopie der Garantien (z. B. SCC) kann unter team@marktbase.app angefordert werden.
17. Speicherdauer / Löschkonzept (Überblick)
| Datenkategorie | Speicherdauer |
|---|---|
| Rechnungs-/Buchhaltungsdaten (Plattformgebühren) | 7 Jahre (§ 132 BAO) |
| Vertrags-/Kontodaten der Händler | Vertragsdauer + angemessener Nachlauf, danach Löschung/Anonymisierung |
| Kundeninhalte/Endkundendaten nach Vertragsende | Exportfrist 60 Tage nach Vertragsende (vgl. AGB), danach Löschung, soweit keine Aufbewahrungspflichten bestehen |
| Server-/Sicherheitslogs | längstens 30 Tage |
| Fehler-Monitoring (Sentry) | 90 Tage |
| Analysedaten (PostHog) | regelmäßige Bereinigung, spätestens 12 Monate |
| Web-Analyse (Google Analytics 4) | max. 14 Monate (automatische Löschung) |
| Marketing-/Lead-Daten (eigene) | bis zum Widerruf, danach regelmäßige Bereinigung |
| Endkundendaten der Händler (Teil C, laufender Vertrag) | nach Weisung des Händlers gem. AVV |
18. Datensicherheit (technische & organisatorische Maßnahmen)
Wir treffen angemessene Maßnahmen gem. Art. 32 DSGVO, insbesondere:
- Verschlüsselung: TLS bei der Übertragung; sensible Daten (z. B. Zahlungs-/Dritt-API-Schlüssel der Händler) at rest mit AES-256-GCM; signierte, httpOnly-JWTs für Nutzer-Sessions.
- Zugriffskontrolle: Zugriff auf produktive Systeme nur für die Gesellschafter; administrative Zugriffe auf Mandantendaten nur durch befugte Personen und protokolliert.
- Mandantentrennung: Multi-Tenant-Architektur mit Trennung nach Tenant.
- Datenminimierung in der Statistik: Die Besucherstatistik speichert keine Roh-IP-Adressen, sondern arbeitet mit täglich wechselnden, gesalzenen Hashwerten (Pseudonymisierung).
- Trennung der Umgebungen: getrennte Entwicklungs-, Staging- und Produktionsumgebungen; Änderungen an der Produktionsdatenbank nur über versionierte Migrationen.
- Datensicherung: regelmäßige Backups zur Wiederherstellung des Gesamtsystems.
- Datenstandort: Primärdaten in der EU.
19. Ihre Rechte als betroffene Person
Ihnen stehen folgende Rechte zu: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21) sowie Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3); die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Wir beantworten Anfragen ohne unangemessene Verzögerung, spätestens binnen eines Monats (Art. 12 Abs. 3 DSGVO).
Zur Ausübung Ihrer Rechte sowie bei Datenschutzfragen: team@marktbase.app.
Betrifft Ihre Anfrage Daten aus einem Shop (Teil C), also Daten, die wir im Auftrag eines Händlers verarbeiten, ist der jeweilige Händler Ihr Ansprechpartner als Verantwortlicher. Wir leiten Ihre Anfrage an diesen weiter bzw. unterstützen ihn bei der Bearbeitung.
20. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig in Österreich ist die
Österreichische Datenschutzbehörde (DSB) Barichgasse 40–42, 1030 Wien E-Mail: dsb@dsb.gv.at · Web: https://www.dsb.gv.at
21. Pflicht zur Bereitstellung von Daten
Soweit Daten zur Begründung/Durchführung des Nutzungsvertrags oder aufgrund gesetzlicher Vorgaben (z. B. steuerliche Pflichten) erforderlich sind, ist deren Bereitstellung notwendig; ohne sie können wir den Vertrag nicht abschließen oder erfüllen. In allen anderen Fällen ist die Bereitstellung freiwillig.
22. Automatisierte Entscheidungsfindung / Profiling
Eine ausschließlich automatisierte Entscheidungsfindung mit rechtlicher Wirkung i. S. d. Art. 22 DSGVO findet nicht statt. Soweit im Rahmen der Produktanalyse pseudonyme Nutzungsprofile gebildet werden, dient dies allein der Verbesserung der Plattform und erfolgt auf Basis Ihrer Einwilligung (Abschnitt 9).
23. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Funktionen oder eingesetzte Dienstleister ändern. Es gilt jeweils die auf marktbase.app veröffentlichte aktuelle Fassung; Versionsstand und Datum sind oben angegeben. Über wesentliche Änderungen informieren wir registrierte Händler in geeigneter Weise.
Version 1.0 · Stand 2026-06-12