← Zurück zur Startseite

Datenschutzerklärung

Der Schutz Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung unserer Website aufträge.io (erreichbar unter aufträge.io sowie auftraege.io) sowie unserer SaaS-Plattform. Grundlage ist die Datenschutz-Grundverordnung (DSGVO), das österreichische Datenschutzgesetz (DSG) sowie das Telekommunikationsgesetz 2021 (TKG 2021).

Der Schutz Ihrer personenbezogenen Daten ist uns ein zentrales Anliegen. Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung unserer Website aufträge.io (erreichbar unter aufträge.io sowie auftraege.io) sowie unserer SaaS-Plattform. Grundlage ist die Datenschutz-Grundverordnung (DSGVO), das österreichische Datenschutzgesetz (DSG) sowie das Telekommunikationsgesetz 2021 (TKG 2021).

§ 1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

RFXSearch FlexCo

Stephansplatz 8/20

1010 Wien, Österreich

Firmenbuchnummer: FN 674966 y · Firmenbuchgericht: Handelsgericht Wien

UID-Nummer: ATU83107406

E-Mail: office@auftraege.io

Ein externer Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind. Anfragen zum Datenschutz richten Sie bitte an die oben genannte E-Mail-Adresse.

§ 2 Allgemeine Hinweise zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen. Personenbezogene Daten werden nur erhoben, verarbeitet und genutzt, soweit dies für die Bereitstellung der Website, der SaaS-Plattform sowie der damit verbundenen Services erforderlich ist oder Sie eine entsprechende Einwilligung erteilt haben.

Eine Übermittlung an Dritte erfolgt nur in den in dieser Erklärung beschriebenen Fällen, insbesondere an sorgfältig ausgewählte Auftragsverarbeiter (§ 10). Eine Weitergabe Ihrer Daten an Dritte zu deren eigenen Werbe- oder Marketingzwecken findet nicht statt.

§ 3 Besuch der Website

Beim Aufruf unserer Website werden durch unsere Hosting- und CDN-Dienstleister (Northflank Ltd., Cloudflare, Inc.) automatisch technische Daten erfasst, die Ihr Browser übermittelt:

  • IP-Adresse (soweit technisch möglich gekürzt verarbeitet bzw. zur Sicherheitsanalyse)
  • Datum und Uhrzeit der Anfrage
  • aufgerufene Seite / URL
  • Referrer-URL (zuvor besuchte Seite)
  • Browser-Typ und -Version, Betriebssystem
  • übertragene Datenmenge, HTTP-Statuscode

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer technisch fehlerfreien, sicheren und stabilen Bereitstellung der Website sowie an der Abwehr von Angriffen).

Speicherdauer: Server-Logs werden in der Regel nach 14 Tagen automatisch gelöscht oder anonymisiert. Bei sicherheitsrelevanten Vorfällen behalten wir uns eine längere Speicherung zur Beweissicherung vor.

§ 4 Cookies und keine Reichweitenmessung

Wir setzen auf unserer Website ausschließlich technisch notwendige Cookies und vergleichbare Technologien ein, die für den Betrieb der Website und die Bereitstellung der von Ihnen ausdrücklich angeforderten Funktionen (z. B. Login, Sitzungsverwaltung) erforderlich sind.

Diese Cookies sind nach § 165 Abs. 3 TKG 2021 sowie Art. 6 Abs. 1 lit. f DSGVO zustimmungsfrei. Auf dieser Website findet im Live-Betrieb kein Tracking, keine Reichweitenmessung und keine analytische Auswertung statt. Es werden ausschließlich technisch notwendige Verarbeitungen vorgenommen. Ein Consent-Banner ist daher nicht erforderlich. Hinweis: Innerhalb unseres Newsletter-Versands kommen Tracking-Pixel zum Einsatz – diese sind in § 14 transparent erläutert und erfassen ausschließlich Öffnungs- und Klickverhalten auf Basis Ihrer Einwilligung.

Sie können das Setzen von Cookies in Ihrem Browser jederzeit unterbinden oder bestehende Cookies löschen. In diesem Fall stehen einzelne Funktionen der Website oder der SaaS-Plattform unter Umständen nicht im vollen Umfang zur Verfügung.

§ 5 Registrierung und Nutzung der SaaS-Plattform

Zur Nutzung unserer SaaS-Plattform aufträge.io ist die Anlage eines Nutzerkontos erforderlich. Im Rahmen der Registrierung und Nutzung verarbeiten wir folgende Daten:

  • Name und E-Mail-Adresse
  • Passwort (ausschließlich verschlüsselt gespeichert) bzw. Magic-Link-Token
  • Unternehmensdaten (Firma, Branche, Rolle)
  • Login- und Nutzungsdaten (Zeitpunkte, IP, Geräte- und Browser-Informationen)
  • Inhalte, die Sie in der Plattform anlegen (z. B. Filter, Merklisten, Kommentare)

Anmeldemethoden: E-Mail/Passwort sowie Magic Links per E-Mail. Sofern aktiviert, kann zusätzlich die Anmeldung über Google OAuth angeboten werden (siehe § 7).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Betrugsprävention und Verbesserung des Dienstes).

Speicherdauer: Daten des Nutzerkontos werden für die Dauer des Vertragsverhältnisses gespeichert und nach dessen Beendigung gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (insbesondere § 132 BAO – sieben Jahre für rechnungsrelevante Unterlagen) entgegenstehen.

§ 6 Website-Analyse zur Erstellung Ihres Such- und Leistungsprofils

Zur Vorbereitung von Analysen und zur Erstellung eines ersten Such- und Leistungsprofils können wir öffentlich zugängliche Inhalte der Unternehmenswebsite automatisiert auswerten. Die auszuwertende Website kann dabei insbesondere aus der von Ihnen angegebenen E-Mail-Domain abgeleitet werden (z. B. max@ihrunternehmen.at → ihrunternehmen.at). Die Ableitung erfolgt ausschließlich im Zusammenhang mit der von Ihnen angegebenen geschäftlichen E-Mail-Adresse.

Verarbeitet werden dabei insbesondere Leistungsbeschreibungen, Branchenangaben, Keywords sowie Produkt- und Referenzinformationen.

Diese Verarbeitung erfolgt ausschließlich zur Unterstützung bei der Profilerstellung sowie zur Verbesserung der Such- und Matching-Qualität auf unserer Plattform. Das erzeugte Profil können Sie jederzeit einsehen, anpassen oder löschen.

Die Auswertung erfolgt ausschließlich auf Grundlage öffentlich zugänglicher Informationen und dient nicht der Bewertung einzelner Personen.

Soweit im Rahmen dieser Auswertung technische Dienstleister (insbesondere Google Cloud EMEA Ltd. und Weaviate B.V.) eingesetzt werden, gelten die Angaben in § 10 und § 13 entsprechend.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und Leistungserbringung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten und nutzerfreundlichen Profilerstellung).

§ 7 Anmeldung über Google OAuth (sofern aktiviert)

Sofern wir die Anmeldeoption „Mit Google anmelden“ aktivieren, agiert Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) als eigenständiger Verantwortlicher (Controller-to-Controller).

Übermittelte Daten: Name, E-Mail-Adresse und ggf. Profilbild des Google-Kontos. Es wird kein Passwort an uns übermittelt; die Authentifizierung erfolgt vollständig bei Google.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) sowie Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Auswahl des Login-Wegs).

Hinweise zur Datenverarbeitung durch Google finden Sie unter: https://policies.google.com/privacy

§ 8 Verarbeitung von Ausschreibungs- und Marktdaten

Im Rahmen unserer Plattform aggregieren wir öffentlich zugängliche Daten aus über 100 Vergabeportalen im DACH-Raum (Bekanntmachungen, Vergabeentscheidungen, Auftragnehmer-Informationen). Diese Daten enthalten in geringem Umfang personenbezogene Angaben (z. B. Ansprechpartner in Auftraggeber- oder Auftragnehmer-Organisationen), soweit diese durch die jeweilige Vergabestelle veröffentlicht wurden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer marktüblichen, nachvollziehbaren Vergabe-Transparenz und an der Bereitstellung einer Recherche- und Marktbeobachtungslösung für unsere Nutzer).

Hinweis zur Datenqualität: Die Daten werden aus öffentlichen Quellen automatisiert übernommen. Eine Vollständigkeit oder Aktualität wird nicht garantiert; verbindliche Informationen entnehmen Sie bitte stets dem jeweiligen Originalportal.

Eine eigenständige Bewertung oder ein Profiling einzelner Personen findet dabei nicht statt; wir werten Vergabeprozesse und Marktstrukturen aus, nicht Personen.

Betroffene Personen können die Berichtigung oder Löschung ihrer Daten jederzeit unter datenschutz@auftraege.io verlangen.

§ 9 Kontaktaufnahme & Demo-Buchung

Bei einer Kontaktaufnahme per E-Mail oder über die Demo-Buchung verarbeiten wir die von Ihnen mitgeteilten Daten (Name, E-Mail-Adresse, Unternehmen, Anliegen, Wunschtermin) zur Bearbeitung Ihrer Anfrage.

Demo-Buchungen erfolgen über Cal.com, Inc. (siehe § 10). Dabei werden Name, E-Mail-Adresse und der gewählte Termin verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung eines Vertragsverhältnisses) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Kommunikation mit Interessenten).

Speicherdauer: Anfragen werden gelöscht, sobald sie abschließend bearbeitet wurden, spätestens jedoch nach drei Jahren, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

§ 10 Auftragsverarbeiter und Drittlandtransfer

Eingesetzte Dienstleister gem. Art. 28 DSGVO – mit allen genannten Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVVs).

Zur Bereitstellung der Website, der SaaS-Plattform, des Newsletter-Versands sowie für Zahlungsabwicklung, Fehler-Monitoring und KI-gestützte Analysefunktionen setzen wir folgende externe Dienstleister ein:

<strong>Supabase, Inc.</strong> (USA) – Datenbank, Authentifizierung, Backend. Hosting erfolgt über Amazon Web Services (AWS), Region eu-central-1 (Frankfurt, Deutschland). Sub-Processor: Supabase Pte. Ltd., Singapur. Transfergarantie: SCCs (EU 2021/914) Modul 2 + 3.

<strong>Cal.com, Inc.</strong> (USA, EU-Hosting) – Terminbuchung für Demo-Termine. Verarbeitete Daten: Name, E-Mail, Termin. Transfergarantie: SCCs Modul 2.

<strong>Cloudflare, Inc.</strong> (USA, globales CDN) – CDN, DNS, Hosting (Pages, Workers), Web Application Firewall. Verarbeitete Daten: IP-Adressen, Request-Metadaten sowie technische Verbindungs- und Zugriffsdaten. Transfergarantie: EU-U.S. Data Privacy Framework + SCCs Modul 2 + 3 + Global PRP.

<strong>Northflank Ltd.</strong> (Vereinigtes Königreich, London) – Container-Hosting des Backends. Verarbeitete Daten: Nutzer-Requests, Session-Metadaten, Log-Daten (IP). Transfergarantie: UK-Angemessenheitsbeschluss der EU-Kommission (gültig bis 27.12.2031).

<strong>Weaviate B.V.</strong> (Niederlande, Amsterdam) – Vektordatenbank für KI-Matching. Verarbeitete Daten: Unternehmens- und Ausschreibungsdaten, Embeddings, Suchanfragen. Sitz im EWR – kein Drittlandtransfer.

<strong>Stripe Payments Europe Ltd.</strong> (Irland, Dublin) – Zahlungsabwicklung für Abonnements und Rechnungsstellung. Verarbeitete Daten: Zahlungsdaten, Rechnungsadresse, Transaktionsdaten. Transfergarantie für etwaige US-Übermittlungen: DPF + SCCs Modul 1 + 2. Hinweis zur Doppelrolle siehe § 11.

<strong>Brevo GmbH</strong>, Köpenicker Straße 126, 10179 Berlin, Deutschland (USt-ID DE276534027) – Newsletter- und Transaktionsmail-Versand. Verarbeitete Daten: E-Mail-Adresse, Name, Öffnungs- und Klickverhalten im Newsletter. Verarbeitung in der EU.

<strong>Functional Software, Inc.</strong> (Sentry, USA, EU-Region eu.sentry.io) – Fehler-Monitoring und Performance-Erfassung. Verarbeitete Daten: Error-Logs, Session-Daten, Browser-/OS-Informationen, gekürzte IP-Adresse. Transfergarantie: DPF + SCCs Modul 2 + 3. Hinweis zum PII-Scrubbing siehe § 12.

<strong>Google Cloud EMEA Ltd.</strong> (Irland, EU-Region europe-west3 Frankfurt) – KI-gestütztes Matching über Gemini / Vertex AI. Verarbeitete Daten: Ausschreibungs- und Unternehmensdaten (API-Anfragen). Transfergarantie: DPF + SCCs Modul 1–3. Hinweis zur KI-Verarbeitung siehe § 13.

Drittlandtransfer: Soweit personenbezogene Daten in Drittländer (insbesondere USA, UK, Singapur) übermittelt werden, erfolgt dies ausschließlich auf Grundlage geeigneter Garantien gem. Art. 44 ff. DSGVO – konkret: Angemessenheitsbeschlüsse (EU-U.S. Data Privacy Framework, UK Adequacy Decision) sowie EU-Standardvertragsklauseln (SCCs gem. Durchführungsbeschluss EU 2021/914) als zusätzliche Absicherung.

§ 11 Stripe – Doppelrolle bei der Zahlungsabwicklung

Stripe Payments Europe Ltd. agiert in einer Doppelrolle: Einerseits als Auftragsverarbeiter für die Zahlungsabwicklung in unserem Auftrag (Art. 28 DSGVO), andererseits als eigenständiger Verantwortlicher für gesetzlich vorgeschriebene Prüfungen wie Betrugsprävention, Anti-Geldwäsche (AML) und Know-Your-Customer (KYC).

Für die Tätigkeit als eigenständiger Verantwortlicher gelten die Datenschutzhinweise von Stripe: https://stripe.com/at/privacy

§ 12 Sentry – Fehler-Monitoring mit PII-Scrubbing

Unser Fehler-Monitoring über Sentry ist datenschutzfreundlich konfiguriert: Die Option send_default_pii ist deaktiviert, das Data-Scrubbing ist aktiv und die Verarbeitung erfolgt in der EU-Region (eu.sentry.io). Personenbezogene Daten werden – soweit technisch möglich – minimiert bzw. entfernt, bevor Fehlerberichte gespeichert werden.

Fehlerberichte können dennoch technische Daten wie Browser-Typ, Betriebssystem und gekürzte IP-Adressen enthalten. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität, Sicherheit und Fehlerbehebung).

§ 13 KI-gestützte Verarbeitung (Gemini / Vertex AI)

Wir nutzen Google Gemini über Vertex AI (Paid Tier) zur KI-gestützten Sortierung, Relevanzbewertung und semantischen Suche von Ausschreibungen sowie zur Anreicherung von Unternehmensprofilen. Die Verarbeitung erfolgt in der EU-Region europe-west3 (Frankfurt).

An Google werden ausschließlich Ausschreibungs- und Unternehmensdaten übermittelt. Eine Verarbeitung von Kontakt- oder Kontodaten unserer Nutzer zu KI-Zwecken findet nicht statt. Soweit in öffentlichen Unternehmensdaten vereinzelt personenbezogene Angaben (z. B. Geschäftsführer-Namen aus Firmenbuchauszügen) enthalten sind, werden diese nicht zu einer Bewertung oder Einstufung einzelner Personen verwendet.

Im Rahmen des Paid Tier werden Ihre Daten nicht zum Training der zugrundeliegenden KI-Modelle verwendet (Google Cloud Data Processing Addendum).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, präzisen Marktrecherche für unsere Nutzer). Zusätzlich informieren wir gemäß Art. 13 Abs. 2 lit. f DSGVO transparent über den Einsatz automatisierter Verarbeitung.

§ 14 Newsletter

Sofern Sie sich für unseren Newsletter anmelden, verarbeiten wir Ihre E-Mail-Adresse sowie optional Ihren Namen zum Versand redaktioneller und produktbezogener Informationen. Der Versand erfolgt über Brevo GmbH (Berlin).

Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach Eintragung Ihrer E-Mail-Adresse erhalten Sie eine Bestätigungs-E-Mail. Erst nach Klick auf den darin enthaltenen Bestätigungslink wird Ihre Adresse in den Verteiler aufgenommen.

Im Rahmen des Versands setzen wir Tracking-Pixel und individualisierte Links ein, um Öffnungs- und Klickverhalten auszuwerten. Erfasst werden dabei: IP-Adresse, Zeitpunkt des Abrufs, Geräteinformationen sowie Interaktionen mit den Inhalten. Diese Auswertung dient der Verbesserung unserer Inhalte und der Relevanz für unsere Empfänger.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit widerrufen, insbesondere über den Abmeldelink am Ende jedes Newsletters oder per E-Mail an datenschutz@auftraege.io. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

§ 15 Keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO – einschließlich Profiling mit rechtlicher Wirkung oder vergleichbar erheblicher Beeinträchtigung – findet nicht statt.

Wir setzen KI-gestützte Verfahren (Gemini / Vertex AI) zur Sortierung, Filterung und Relevanzbewertung von Ausschreibungen ein. Diese Verfahren beziehen sich ausschließlich auf Ausschreibungs- und Unternehmensdaten, nicht auf einzelne Personen. Die daraus resultierenden Bewertungen sind reine Empfehlungen und Hilfestellungen ohne rechtliche Wirkung und ohne vergleichbar erhebliche Beeinträchtigung; sie ersetzen keine Beurteilung durch den Nutzer. Es erfolgt keine vollautomatische Entscheidung; die Entscheidung darüber, ob ein Angebot abgegeben oder eine Ausschreibung verfolgt wird, trifft ausschließlich der Nutzer selbst auf Basis der Originaldaten der jeweiligen öffentlichen Vergabeportale.

§ 16 Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen (TOMs) gem. Art. 32 DSGVO, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder unberechtigten Zugriff zu schützen. Hierzu zählen insbesondere:

  • TLS-Verschlüsselung der Datenübertragung (HTTPS)
  • Verschlüsselte Speicherung von Passwörtern (Hashing) und sensiblen Daten
  • Zugriffskontrollen, rollenbasierte Berechtigungen, 2-Faktor-Authentifizierung intern
  • regelmäßige Backups und Disaster-Recovery-Tests
  • laufende Sicherheits-Updates, Web Application Firewall (Cloudflare)

Unsere Sicherheitsmaßnahmen werden regelmäßig überprüft und an den Stand der Technik angepasst.

§ 17 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Insbesondere gelten:

  • Server- und Sicherheits-Logs: in der Regel 14 Tage
  • Nutzerkonto-Daten: für die Dauer des Vertragsverhältnisses
  • Rechnungs- und steuerrelevante Unterlagen: sieben Jahre gem. § 132 BAO
  • Newsletter-Daten: bis zum Widerruf der Einwilligung
  • Anfragen via E-Mail/Demo: maximal drei Jahre nach abschließender Bearbeitung

§ 18 Ihre Rechte als betroffene Person

Ihnen stehen nach der DSGVO folgende Rechte zu:

  • Recht auf Auskunft (Art. 15 DSGVO)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  • Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), insbesondere gegen Verarbeitungen auf Basis berechtigter Interessen
  • Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte genügt eine formlose E-Mail an datenschutz@auftraege.io. Wir bearbeiten Ihre Anfrage unverzüglich, spätestens innerhalb der gesetzlichen Fristen.

§ 19 Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Zuständig ist insbesondere die

Österreichische Datenschutzbehörde (DSB)

Barichgasse 40–42, 1030 Wien, Österreich

Telefon: +43 1 52 152-0

E-Mail: dsb@dsb.gv.at

Web: https://www.dsb.gv.at

In Deutschland und der Schweiz können Sie sich an die jeweils für Ihren Wohnsitz zuständige Datenschutzaufsichtsbehörde wenden.

§ 20 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Weiterentwicklungen unserer Plattform, Änderungen eingesetzter Dienstleister oder geänderter Rechtslage. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar; Versionsnummer und Stand werden am Ende des Dokuments ausgewiesen.

Stand: 29. April 2026 · Version 2.8