Datenschutzerklärung

Artikel 2 – Begriffe, Datenquellen und Rechtsgrundlagen

Wir verarbeiten Daten, die Sie uns aktiv bereitstellen (z. B. Registrierungs- und Bestelldaten), Daten, die automatisch beim Besuch der Website anfallen (Log- und Telemetriedaten), sowie Informationen, die wir aus rechtlichen Gründen bei Dritten abfragen (z. B. Umsatzsteuer-Identnummern beim VIES-Dienst).

• Art. 6 Abs. 1 lit. b DSGVO für alle Verarbeitungsvorgänge, die unmittelbar zur Vertragserfüllung (Bestellungen, Kundenkonto, Downloads) erforderlich sind.
• Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit steuer- und handelsrechtlichen Verpflichtungen (BAO, UGB, UStG) sowie § 165 Abs. 3 TKG 2021.
• Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen wie IT-Sicherheit, Betrugsvermeidung, Logistiksteuerung und die bedarfsgerechte Weiterentwicklung unseres Angebots.
• Art. 6 Abs. 1 lit. a DSGVO, soweit wir Sie um ausdrückliche Einwilligungen bitten (z. B. optionale Marketingkommunikation). Einwilligungen können jederzeit widerrufen werden.

Soweit wir uns auf berechtigte Interessen stützen, weisen wir Sie gesondert auf Ihr Recht zum Widerspruch hin (Artikel 21 DSGVO).

Artikel 3 – Betrieb der Website, Server-Logfiles und Monitoring

Beim Aufruf unserer Website erheben wir serverseitig Protokolldaten, die für die Auslieferung, Fehleranalyse, Missbrauchsvermeidung und Lastverteilung erforderlich sind. Dazu zählen insbesondere:

• IP-Adresse, Datum, Uhrzeit, Request-URL, HTTP-Status, übertragene Datenmenge und Referer.
• Browser- und Betriebssysteminformationen, Session- oder Instance-IDs unseres Traefik-Gateways sowie Fehlerstapel aus dem Angular-SSR-Layer.
• Aggregierte Leistungskennzahlen (Micrometer/Prometheus) wie Antwortzeiten, Fehlerraten und CPU-Last, die keinen direkten Personenbezug enthalten.

Logdateien werden in der Regel nach 30 Tagen automatisiert gelöscht oder anonymisiert; eine längere Aufbewahrung erfolgt nur, soweit dies zur Aufklärung sicherheitsrelevanter Vorfälle erforderlich ist. Die Verarbeitung beruht auf Art. 6 Abs. 1 lit. f DSGVO.

Artikel 4 – Cookies und lokale Speichertechnologien

Wir setzen ausschließlich technisch notwendige Cookies bzw. vergleichbare lokale Speicher ein; es kommen keine Tracking- oder Marketing-Cookies zum Einsatz.

• „testsam-cart-id“ (HTTP-Only-Cookie, 30 Tage): anonymer Warenkorb-Identifikator, damit Reservierungen und Versandkostenberechnungen funktionieren (Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO i.V.m. § 165 Abs. 3 TKG 2021).
• authToken (Local Storage): JSON Web Token mit Nutzer-ID, Rollen und Ablaufzeit, das nur lokal gespeichert und beim Logout gelöscht wird (Art. 6 Abs. 1 lit. b DSGVO).
• selectedLanguage, selectedCountry, store, theme (Local Storage): Komfortfunktionen zur Speicherung Ihrer letzten Sprache, des Shop-Bereichs und der Dark-Mode-Einstellung (Art. 6 Abs. 1 lit. f DSGVO). Sie können diese Werte jederzeit über Ihren Browser löschen.

Ohne die genannten Technologien können zentrale Shop-Funktionen (Warenkorb, Download-Center, Authentifizierung) nicht bereitgestellt werden.

Artikel 5 – Kundenkonto, Authentifizierung und Sicherheitsfunktionen

Für die Registrierung und Verwaltung Ihres Accounts verarbeiten wir die im Formular abgefragten Pflicht- und freiwilligen Angaben:

• Identifikationsdaten (Vor- und Nachname, akademische Titel, Anrede/Geschlecht, Geburtsdatum) zur vertraglichen Zuordnung und altersgemäßen Bereitstellung unseres Angebots.
• Kontakt- und Kommunikationsdaten (E-Mail-Adresse, Telefonnummer) für Bestätigungen, Sicherheitswarnungen und Support.
• Adress- und Lieferdaten (Rechnungs- und Lieferadresse, optionale Adresszusätze) inklusive Länderspezifika.
• Unternehmensbezogene Daten (Kundentyp, Firmenname, Umsatzsteuer-ID, Angabe zur Vorsteuerabzugsberechtigung, Client-Group-Zugehörigkeit) für B2B-Konditionen.
• Zugangsdaten wie Passwörter (BCrypt-Hash), Aktivierungs-, Reset- und E-Mail-Änderungs-Token mit einstündiger Gültigkeit sowie Fehlanmeldeversuche und Sperrfristen zur Missbrauchsprävention.

Die Verarbeitung ist für Vertragsdurchführung und gesetzliche Pflichten erforderlich (Art. 6 Abs. 1 lit. b und lit. c DSGVO). Wir bewahren Ihre Kontodaten bis zur Löschung oder, soweit erforderlich, bis zum Ablauf gesetzlicher Aufbewahrungsfristen auf.

Artikel 6 – Bestellabwicklung, Versand und digitale Downloads

Zur Abwicklung von Bestellungen erfassen wir Rechnungs- und Lieferanschriften, bestellte Produkte, Warenkorb- und Versandkosten, Zahlungsstatus, interne Notizen, Serien-/Downloadnummern sowie Versand- bzw. Trackinginformationen. Digitale Inhalte werden über geschützte Speicherbereiche ausgeliefert; dazu erzeugen wir Bestellgeheimnisse und Download-Token, die nur den Berechtigten zur Verfügung gestellt werden.

Download-Benachrichtigungen können auf Ihren Wunsch hin auch an Dritte gesendet werden; dabei verarbeiten wir die von Ihnen angegebene Empfänger-E-Mail sowie die notwendige Token-ID. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Rechnungen, Lieferscheine und digitale Belege werden revisionssicher gespeichert (PostgreSQL, geschützte Dateispeicher). Zugriff erhalten nur autorisierte Personen (Vertrieb, Versand, Buchhaltung).

Artikel 7 – Zahlungsabwicklung (Stripe) und Betrugsprävention

Kartenzahlungen wickeln wir über Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland, ab. Dazu übermitteln wir u. a. Name, E-Mail-Adresse, Rechnungs- und Lieferland, Bestellnummer, Positionsdaten, Brutto-/Netto-Beträge, Währung sowie Erfolg-/Abbruch-URLs an Stripe, damit dort ein Checkout-Session-Link generiert werden kann.

Stripe verarbeitet die Zahlungsdaten als eigenständig Verantwortlicher und kann sie zur Betrugsprävention mit weiteren Konzernunternehmen (Stripe, Inc., USA) austauschen. Die Datenübermittlung erfolgt auf Basis der von Stripe implementierten EU-Standardvertragsklauseln und zusätzlicher Sicherheitsmaßnahmen. Wir erhalten von Stripe lediglich die Session-ID, den Zahlungstatus sowie Informationen zur Rechnungslegung; Zahlungsinstrumente werden bei uns nicht gespeichert.

Artikel 8 – Kommunikation, Benachrichtigungen und Support

Transaktionale E-Mails (Registrierungsbestätigungen, Passwort-Reset, Bestell- und Versandbestätigungen, Download-Benachrichtigungen, Rechnungsversand) senden wir über Mailgun Technologies, Inc., USA. Dabei werden Empfängeradresse, Name, E-Mail-Inhalt sowie ggf. Rechnungsanhänge verarbeitet. Mailgun betreibt EU-Standorte; soweit ein Drittlandtransfer erfolgt, stützt er sich auf EU-Standardvertragsklauseln.

Kontaktieren Sie uns per E-Mail oder über Administrationsfunktionen, verarbeiten wir die von Ihnen bereitgestellten Informationen zur Bearbeitung Ihres Anliegens (Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO).

Artikel 9 – Umsatzsteuer-ID-Prüfung, Kundengruppen und Profiling

Bei B2B-Bestellungen überprüfen wir Umsatzsteuer-Identifikationsnummern über das Mehrwertsteuer-Informationsaustauschsystem (VIES) der Europäischen Kommission. Es werden lediglich das Länderkürzel, die UID und der Zeitpunkt der Prüfung übermittelt; das Ergebnis speichern wir zur Erfüllung steuerrechtlicher Pflichten (Art. 6 Abs. 1 lit. c und lit. f DSGVO).

Kundengruppen (z. B. Buchhandlungen, Bildungseinrichtungen) und Rabatte werden manuell anhand Ihrer Angaben gepflegt. Es findet keine automatisierte Entscheidungsfindung oder Profiling mit Rechtswirkung statt.

Artikel 10 – Empfänger, Auftragsverarbeiter und Drittlandtransfers

Je nach Prozess erhalten folgende Kategorien Zugriff auf personenbezogene Daten:

• Interne Fachabteilungen (Vertrieb, Versand, Buchhaltung, Support) mit rollenbasierten Berechtigungen.
• Hosting- und Infrastrukturpartner (Container-Orchestrierung, PostgreSQL-Datenbank, geschlossene Storage-Volumes) innerhalb der EU/EWR.
• Zahlungsdienstleister Stripe (siehe Artikel 7).
• Mailgun als Versanddienst für transaktionale E-Mails.
• Versand- und Logistikdienstleister, sofern physische Produkte ausgeliefert werden, sowie elektronische Download-Provider.
• Steuerberater, Banken, Versicherungen oder Behörden, soweit dies zur Erfüllung gesetzlicher Pflichten erforderlich ist.

Mit sämtlichen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Drittlandübermittlungen erfolgen ausschließlich auf Grundlage geeigneter Garantien (insbesondere EU-Standardvertragsklauseln).

Artikel 11 – Speicherdauer und Löschkonzept

• Kundenkonten bleiben aktiv, bis Sie die Löschung beantragen; gesetzliche Aufbewahrungspflichten bleiben unberührt.
• Vertrags-, Rechnungs- und steuerrelevante Daten bewahren wir gemäß §§ 132 BAO und 212 UGB sieben Jahre, in Einzelfällen bis zu zehn Jahre, auf.
• Logdaten, temporäre Download-Token sowie Warenkörbe werden nach maximal 30 Tagen gelöscht.
• Sicherheits-Token für Aktivierung, Passwort-Reset oder E-Mail-Änderungen verfallen automatisch nach einer Stunde.
• Support- und Gewährleistungsunterlagen speichern wir grundsätzlich drei Jahre (Verjährungsfrist), bei offenen Ansprüchen länger.

Erfolgt eine Speicherung auf Grundlage Ihrer Einwilligung, löschen oder anonymisieren wir die Daten nach Widerruf, sofern keine übergeordneten Pflichten entgegenstehen.

Artikel 12 – Rechte der betroffenen Personen und Beschwerderecht

Sie haben die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder lit. f DSGVO beruhen. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Bitte richten Sie Ihre Anliegen an info@testsam.at. Wir beantworten Anfragen grundsätzlich binnen eines Monats.

Sie haben zudem das Recht, eine Beschwerde bei der Österreichischen Datenschutzbehörde, Barichgasse 40–42, 1030 Wien, oder bei einer anderen zuständigen Aufsichtsbehörde einzubringen.

Artikel 13 – Datensicherheit und keine automatisierten Entscheidungen

Wir setzen TLS-Verschlüsselung, rollenbasierte Zugriffskontrollen, Protokollierung aller administrativen Aktionen, regelmäßige Backups, Secret-Handling über getrennte Konfigurationsquellen sowie aktuelle Kryptographie (u. a. BCrypt für Passwörter, signierte JWTs) ein. Es findet keine automatisierte Entscheidungsfindung oder Profiling mit rechtlicher Wirkung statt.

Artikel 14 – Änderungen dieser Datenschutzerklärung

Gesetzliche Vorgaben oder funktionale Anpassungen unseres Angebots können eine Aktualisierung dieser Datenschutzerklärung erforderlich machen. Die jeweils aktuelle Version veröffentlichen wir an dieser Stelle. Stand: 11. November 2025.