Datenschutzerklärung Partner-Portal

Diese Datenschutzerklärung gilt für die Nutzung des Partner-Portals partners.mk-i.net. Sie ergänzt die allgemeine Datenschutzerklärung von MK-i Automations um die Vermittler-spezifischen Verarbeitungen.

Inhaltsverzeichnis

Verantwortlicher
Verarbeitete Daten
Zwecke und Rechtsgrundlagen
Speicherdauer
Empfänger und Auftragsverarbeiter
Technische Sicherheitsmaßnahmen
Cookies und Sessions
Rechte der betroffenen Person
Beschwerderecht
Änderungen dieser Erklärung

1. Verantwortlicher

Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO ist:

MK-i Automations GesmbH (in Gründung)
M.-Lang-Gasse 5, 2380 Perchtoldsdorf, Österreich
Geschäftsführer: Mario Kammerer
E-Mail: [email protected]
Telefon: +43 6991 5555 327

Für datenschutzrechtliche Anfragen: [email protected].

2. Verarbeitete Daten

Im Rahmen der Vermittler-Beziehung und der Portal-Nutzung verarbeitet MK-i folgende Daten-Kategorien:

Kategorie	Konkrete Daten
Stammdaten	Name, Vorname, Firma, Anrede, Adresse (Straße, PLZ, Ort, Land), Geburtsdatum (optional)
Kontaktdaten	E-Mail-Adresse, Telefonnummer
Authentifizierung	Login-E-Mail, mit Argon2id gehashtes Passwort, optional ein verschlüsseltes 2FA-TOTP-Geheimnis (AES-256-GCM mit serverseitigem Schlüssel), Recovery-Codes als Hashes
Bank- und Steuerdaten	IBAN, BIC (optional), Kontoinhaber, UID-Nummer (für Vermittler-Rechnungen), Steuernummer (optional)
Vermittler-Aktivität	REF- und/oder DREF-Code, vermittelte Aufträge (Domain, Endkunde, Status), Provisionen / Cashback-Beträge, Auszahlungshistorie, Stornofälle
Portal-Nutzung	Login-Zeitpunkte, IP-Adresse beim Login (zur Brute-Force-Erkennung), Session-Cookie-ID
Kontaktanfragen	Inhalt von Anfragen, die über das Kontaktformular im Portal gestellt werden, inklusive Zeitstempel und Anfragetyp

3. Zwecke und Rechtsgrundlagen

Verarbeitung	Zweck	Rechtsgrundlage
Stamm- und Kontaktdaten	Vertragsabwicklung, Kontaktaufnahme	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Login-Daten, Passwort, 2FA	Authentifizierung am Portal, Schutz des Vermittler-Kontos	Art. 6 Abs. 1 lit. b DSGVO und lit. f DSGVO (berechtigtes Interesse an Konto-Sicherheit)
IBAN, UID, Steuernummer	Auszahlung von Provisionen / Cashback, Erstellung von Provisionsabrechnungen	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und lit. c DSGVO (Erfüllung steuer- und umsatzsteuerrechtlicher Pflichten)
Vermittler-Aktivität, Auszahlungshistorie	Pipeline-Übersicht, Abrechnung, Stornoabwicklung	Art. 6 Abs. 1 lit. b DSGVO
Login-IP, Brute-Force-Schutz	Abwehr unbefugter Zugriffe, Konto-Sicherheit	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Buchhalterische Aufbewahrung	Steuer- und unternehmensrechtliche Pflichten	Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 132 BAO und § 212 UGB

4. Speicherdauer

Stamm-, Kontakt- und Aktivitätsdaten: für die Dauer der aktiven Vermittler-Beziehung. Nach Beendigung gemäß § 8 der Vermittler-AGB werden Konto und Login-Daten innerhalb von 30 Tagen gelöscht oder anonymisiert.
Steuerlich oder buchhalterisch relevante Daten (Provisionsabrechnungen, ausgezahlte Beträge, Vermittler-Rechnungen, IBAN-bezogene Buchungen): 7 Jahre nach Ablauf des Geschäftsjahres gemäß § 132 BAO (Bundesabgabenordnung).
Login-IP-Adressen: 30 Tage rotierend, ausschließlich zur Brute-Force-Abwehr.
2FA-TOTP-Geheimnis: bis zur Deaktivierung von 2FA durch den Nutzer oder bis zur Konto-Beendigung.
Kontaktanfragen über das Portal-Formular: 24 Monate nach letzter Reaktion, danach Löschung oder Anonymisierung.

5. Empfänger und Auftragsverarbeiter

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte erfolgt nur, soweit dies zur Vertragserfüllung notwendig oder gesetzlich vorgeschrieben ist. Klassische Empfänger:

Bank-Dienstleister: IBAN-Daten an die Hausbank von MK-i zur Auszahlung von Provisionen
Steuerberater: Provisionsabrechnungen für buchhalterische Erfassung
Behörden: bei gesetzlicher Auskunftspflicht (Finanzbehörden, Strafverfolgung)
E-Mail-Versand-Infrastruktur: selbst betriebener Exchange-Server in Österreich, keine externen Mail-Provider als Auftragsverarbeiter

Zusätzlich werden im Rahmen der Auftragsbearbeitung externe Auftragsverarbeiter eingesetzt. Übermittelt werden ausschließlich für den jeweiligen Zweck erforderliche Datenkategorien:

Cloud-basierte KI-Sprachmodelle (Drittland USA): für die Erstellung von Website-Entwürfen aus den im Auftrag enthaltenen Daten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandgarantie: EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO.
Cloud-Infrastruktur-Dienstleister (Drittland USA): für die TLS-gesicherte Auslieferung der Website-Aufrufe. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandgarantie: Angemessenheitsbeschluss EU-US Data Privacy Framework gemäß Art. 45 DSGVO (Anbieter DPF-zertifiziert).
Messaging-Dienste (Drittland mit internationaler Niederlassung): für interne Workflow-Benachrichtigungen an MK-i-Mitarbeiter. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter interner Auftragsbearbeitung).

Hinweise zur KI-Verarbeitung: Mit den eingesetzten Anbietern bestehen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO. Die Eingaben werden ausschließlich zur Erfüllung des konkreten Auftrags verarbeitet und nicht zu Trainingszwecken des Anbieters genutzt. Die Speicherdauer beim KI-Anbieter beschränkt sich auf die Dauer der jeweiligen Anfrage zuzüglich technisch notwendiger Sicherheits-Logs (üblicherweise 30 Tage). Bitte beachten Sie, dass generative KI-Systeme statistisch wahrscheinliche Inhalte erzeugen - eine inhaltliche Letztprüfung des Entwurfs verbleibt bei MK-i Automations bzw. bei Ihnen.

Eine Kopie der Standardvertragsklauseln und weitere Informationen zu den eingesetzten Drittland-Garantien sind auf Anfrage bei [email protected] erhältlich.

Authentifizierungsdaten, Bankingdaten und abrechnungsrelevante Daten werden nicht an die oben genannten externen Auftragsverarbeiter (KI-Sprachmodelle, Cloud-Infrastruktur, Messaging-Dienste) übermittelt. Zahlungsverkehrsdaten werden ausschließlich an die für die Zahlungsausführung erforderlichen Banken weitergegeben.

6. Technische Sicherheitsmaßnahmen

Zum Schutz Ihrer Daten setzen wir folgende technische Maßnahmen ein:

Transportverschlüsselung: Der gesamte Portal-Verkehr läuft ausschließlich über TLS 1.2/1.3 (HTTPS).
Passwort-Speicherung: Passwörter werden nie im Klartext gespeichert. Es kommt der Hash-Algorithmus Argon2id mit individuellem Salt zum Einsatz.
Zwei-Faktor-Authentifizierung (2FA): Optional via TOTP (RFC 6238). Das TOTP-Geheimnis wird mit AES-256-GCM unter einem serverseitigen Master-Key verschlüsselt gespeichert.
Brute-Force-Schutz: Login-Rate-Limiting pro IP und pro Account. Nach mehreren Fehlversuchen wird der Account temporär gesperrt.
Session-Management: Server-Sessions mit Cookie-Flags HttpOnly, Secure und SameSite=Lax. Session-Lifetime begrenzt, automatische Abmeldung bei Inaktivität.
Datenbank-Zugriff: Nur über authentifizierte Anwendungsschicht; kein direkter Netzwerk-Zugang von außen. Backups werden täglich verschlüsselt auf ein internes Storage-System geschrieben.
Logging: Login-Zeitpunkte und IP-Adressen werden protokolliert (max. 30 Tage), inhaltliche Aktivitäten im Portal werden minimal-invasiv geloggt.

7. Cookies und Sessions

Das Partner-Portal nutzt ausschließlich technisch notwendige Cookies:

Session-Cookie (connect.sid oder vergleichbar) - speichert Ihre Sitzungs-ID, damit Sie nach dem Login eingeloggt bleiben. Lebensdauer: bis zum Logout oder Browser-Schluss.
2FA-Verifikation-Token (kurzlebig) - während des Logins zur Übergabe zwischen Passwort- und TOTP-Schritt.

Es werden keine Tracking-, Analytics- oder Werbe-Cookies eingesetzt. Dritt-Anbieter-Cookies sind nicht aktiv.

Da nur technisch notwendige Cookies verwendet werden, ist gemäß § 165 Abs. 3 TKG keine separate Einwilligung erforderlich.

8. Rechte der betroffenen Person

Ihnen stehen nach DSGVO folgende Rechte zu:

Auskunft (Art. 15) - welche Daten zu Ihrer Person verarbeitet werden
Berichtigung (Art. 16) - Korrektur unrichtiger Daten (im Profil-Tab des Portals teilweise selbst durchführbar)
Löschung (Art. 17) - sofern keine gesetzliche Aufbewahrungspflicht entgegensteht
Einschränkung der Verarbeitung (Art. 18)
Datenübertragbarkeit (Art. 20) - Erhalt Ihrer Daten in maschinenlesbarem Format
Widerspruch (Art. 21) - gegen Verarbeitungen auf Basis berechtigten Interesses

Anfragen zur Ausübung dieser Rechte richten Sie bitte an [email protected]. Wir werden Ihre Anfrage innerhalb von einem Monat bearbeiten.

Hinweis zur Löschung: Vermittler-Daten, die in Provisionsabrechnungen, Vermittler-Rechnungen oder Buchhaltungs-Belegen enthalten sind, dürfen wir aus steuer- und unternehmensrechtlichen Gründen 7 Jahre lang nicht löschen (§ 132 BAO). Eine Löschung erfolgt erst nach Ablauf dieser Frist.

9. Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt:

Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: [email protected]
Web: www.dsb.gv.at

10. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung ändert (etwa durch neue Funktionen im Portal). Über wesentliche Änderungen werden Sie per E-Mail an die im Profil hinterlegte Adresse informiert. Die jeweils aktuelle Fassung ist im Portal unter /datenschutz abrufbar.