Datenschutzerklärung

Verantwortlich für die Datenverarbeitung ist:

ApfelKomm GmbH
Biberstraße 9/VIII
1010 Wien, Österreich
E-Mail: office@neben-bei.at

(nachfolgend „wir“ oder „nebenbei“).

Bei der Registrierung erheben wir folgende Daten:

• E-Mail-Adresse (zur Anmeldung und Benachrichtigung)
• Name (freiwillig, für dein öffentliches Profil)
• Standort und Kategorien (freiwillig, für passende Aufträge)

Bei der Nutzung der Plattform entstehen zusätzlich:

• Inserate, Nachrichten und Bewerbungen, die du selbst erstellst
• Bewertungen, die du erhältst oder abgibst
• Hochgeladene Fotos (Profilbild, Inserat-Fotos, Portfolio)
• Push-Benachrichtigungs-Abonnements (Endpoint-URL, Verschlüsselungsschlüssel)
• Herkunftsinformationen (UTM-Parameter bei Registrierung)
• Technische Daten (IP-Adresse, Browser) für Sicherheitszwecke

Wenn jemand auf eines deiner Inserate reagiert, senden wir dir eine transaktionale E-Mail-Benachrichtigung an deine registrierte E-Mail-Adresse. Diese Benachrichtigungen sind ein wesentlicher Bestandteil des Dienstes.

Rechtsgrundlage: berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Der E-Mail-Versand erfolgt über Resend (Resend Inc., USA) unter EU-Standardvertragsklauseln (Modul 2): resend.com/legal/dpa.

Du kannst diese Benachrichtigungen in deinen Profileinstellungen deaktivieren.

Wir senden gelegentlich News, Tipps und Angebote — nur mit deiner ausdrücklichen, separaten Einwilligung. Die Registrierung ist nicht von dieser Einwilligung abhängig.

So funktioniert die Einwilligung:

• Bei der Registrierung: separates, nicht vorab angekreuztes Kontrollkästchen
• Jederzeit in den Profileinstellungen änderbar
• Direkt-Abmelden-Link in jeder Marketing-E-Mail (ohne Login)

Audit-Protokoll (Art. 7 Abs. 1 DSGVO): Wir speichern bei jeder Einwilligungs-Änderung den genauen Wortlaut, Zeitpunkt, IP-Adresse und Browser-Kennung als Nachweis.

Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, jederzeit widerrufbar nach Art. 7 Abs. 3 DSGVO.

Mit deiner Zustimmung senden wir Browser-Push-Benachrichtigungen über neue Nachrichten. Verarbeitete Daten:

• Push-Subscription-Endpoint (vom Browser generierte URL)
• Verschlüsselungsschlüssel (p256dh, auth)

Speicherung: Supabase (EU), ausschließlich für Versand. Versand über Web Push API (VAPID).

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), jederzeit über Browsereinstellungen widerrufbar.

Daten werden sicher in der EU gespeichert (Supabase, Irland – eu-west-1) und nicht zu Werbezwecken an Dritte weitergegeben.

• Konto- und Inhaltsdaten — solange Konto aktiv. Bei Löschung: innerhalb 30 Tagen unwiderruflich entfernt.
• Marketing-Einwilligungs-Audit — solange Konto besteht. Bei Kontolöschung mit entfernt (Art. 17 DSGVO).
• UTM-/Kampagnenparameter — mit Konto entfernt. Nur kategorisch, ohne persönliche Identifikatoren.
• Reichweitenmessung — 90 Tage (siehe §8).
• Sicherheits- und Login-Logs — bis 90 Tage.
• Push-Subscriptions — bis Kontolöschung oder Widerruf.

Folgende Dienstleister setzen wir ein:

Eine Weitergabe an sonstige Dritte findet nicht statt, es sei denn, wir sind gesetzlich verpflichtet.

Wir messen Nutzung ausschließlich cookielos und datenschutzfreundlich. Keine Tracking-Cookies, keine IP-Speicherung, keine Werbenetzwerke.

Vercel Speed Insights + Analytics — Web-Vitals und Seitenaufrufe direkt über Vercel (EU). Cookielos.

Eigene Reichweitenmessung in Supabase (EU): pro Seitenaufruf speichern wir besuchte Seite, externer Verweis, User-Agent, Ländercode, zufällige Besucher-ID (localStorage). Keine IP-Adressen, keine Geo-Daten unter Länderebene, keine persönlichen Identifikatoren.

Speicherdauer: 90 Tage (Art. 5 Abs. 1 lit. e DSGVO).

Widerspruch:

• Schalter „Anonyme Reichweitenmessung“ in deinen Profileinstellungen
• Wir respektieren Global Privacy Control (Sec-GPC) und Do Not Track (DNT) automatisch
• Lokalen Browserspeicher löschen — entfernt die Besucher-ID sofort

Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), bei Widerspruch entfällt die Verarbeitung vollständig.

Du hast jederzeit das Recht auf:

• Auskunft über deine gespeicherten Daten
• Berichtigung unrichtiger Daten
• Löschung (Recht auf Vergessenwerden) — siehe Konto löschen
• Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Beschwerde bei der österreichischen Datenschutzbehörde (dsb.gv.at)

Nur technisch notwendige Cookies. Keine Tracking-, Werbe- oder Drittanbieter-Cookies (§165 Abs. 3 TKG 2021 — daher kein Cookie-Banner nötig).

Lokaler Speicher: Caching, zufällige Besucher-ID (siehe §8). Jederzeit per Browser-Reset entfernbar.

Wenn du dich mit Google anmeldest, erhalten wir: E-Mail, Name, Profilbild-Link, Google-Konto-ID. Wir greifen nicht auf Gmail, Kontakte, Kalender oder Drive zu.

Verwendung: Kontoerstellung, Anmeldung, Anzeige von Name und Profilbild auf deinem öffentlichen Profil.

Speicherung: EU (Supabase Irland), zusammen mit deinen übrigen Kontodaten.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) + Einwilligung über das Google-Anmeldefenster (Art. 6 Abs. 1 lit. a DSGVO).

Anbieter: Google Ireland Limited, Dublin. Datenschutzhinweise: policies.google.com/privacy.

Widerruf: nebenbei-Konto in den Einstellungen löschen oder Zugriff in Google-Drittanbieter-Berechtigungen entziehen.

Technische und organisatorische Maßnahmen:

• Verschlüsselte Übertragung (HTTPS/TLS)
• Row Level Security (RLS) auf Datenbankebene
• Passwort-Hashing (bcrypt via Supabase Auth)
• Zugriffsbeschränkung auf personenbezogene Daten