Legal · Version 1.2
Datenschutzerklärung
Gemäß Art. 13 und Art. 14 DSGVO, des österreichischen DSG, sowie unter Berücksichtigung der Pflichten als Deployer nach Art. 26 EU AI Act. Stand: April 2026.
Verantwortlicher
Verantwortlicher im Sinne der DSGVO (EU) 2016/679 sowie des österreichischen Datenschutzgesetzes (DSG idgF) ist:
Schlachthammerstraße 83 C, 1220 Wien, Österreich
E-Mail: privacy@horizon-scanner.com
Rechtsgrundlage: Art. 13 DSGVO (Informationspflicht bei Direkterhebung); § 1 DSG (österreichisches Grundrecht auf Datenschutz).
Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Einklang mit der DSGVO und dem DSG. Es gilt der Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO): erhoben werden nur jene Daten, die für den Betrieb des Dienstes zwingend erforderlich sind.
Horizon Scanner verarbeitet keine personenbezogenen Daten von Endkunden der Versicherungsunternehmen unserer Kunden. Die Plattform richtet sich ausschließlich an B2B-Nutzer (Compliance-, Legal- und Regulatory-Teams).
Verarbeitete Daten
| Account-Daten | Vorname, Nachname, E-Mail-Adresse, Passwort (gehasht) | Bereitstellung des Nutzerkontos |
| Unternehmensdaten | Unternehmensname, Funktion / Rolle | Personenbezug i.S.d. Art. 4 Nr. 1 DSGVO durch Kombination mit Name |
| Technische Daten | IP-Adresse, Browser-Typ, Login-Zeitstempel | IT-Sicherheit, Missbrauchsprävention |
| Nutzungsdaten | Gesehene Findings, Bestätigungen, Statusänderungen, Berichte | Bestandteil des unveränderlichen Audit Trails (Rechenschaftspflicht Art. 5 Abs. 2 DSGVO) |
| Kommunikation | E-Mail-Adresse für Alerting | Versand von Benachrichtigungen gem. Abonnement |
Zwecke und Rechtsgrundlagen
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung und Betrieb der Plattform, Nutzerkonto-Verwaltung | Art. 6 I lit. b — Vertragserfüllung |
| Versand regulatorischer Alerts per E-Mail | Art. 6 I lit. b — Vertragserfüllung |
| Audit Trail (wer hat wann welchen Befund bestätigt) | Art. 6 I lit. b+c — Vertragserfüllung + rechtl. Verpflichtung (Art. 5 Abs. 2, Art. 32 DSGVO) |
| IP-Adressen, Login-Logs | Art. 6 I lit. f — Berechtigtes Interesse (IT-Sicherheit) |
| Rechnungsstellung, Buchführung | Art. 6 I lit. c — Rechtl. Verpflichtung (§ 132 BAO, § 212 UGB) |
Einsatz von KI-Diensten
Horizon Scanner nutzt zur Verarbeitung regulatorischer Dokumente externe KI-Modelle. Da wir diese Modelle einsetzen, aber nicht entwickeln, sind wir gem. EU AI Act (Verordnung (EU) 2024/1689) als Betreiber (Deployer) einzustufen.
| Dienst | Anbieter | Zweck | PD übermittelt |
|---|---|---|---|
| Google Gemini | Google LLC, USA | Primär-Scoring und Zusammenfassungen | Nein |
| MiniMax | MiniMax AI | Unabhängige Zweitbewertung bei Impact ≥ 3 | Nein |
| Groq | Groq Inc., USA | Fallback bei Nichtverfügbarkeit | Nein |
Alle KI-Modelle verarbeiten ausschließlich öffentlich zugängliche Regulierungstexte — keine personenbezogenen Nutzerdaten werden an KI-APIs übermittelt.
Risikoklassifizierung gem. EU AI Act
Pflichten als Betreiber (Art. 26 EU AI Act)
- Nutzung ausschließlich gemäß den Nutzungsbedingungen der KI-Anbieter
- Keine Übermittlung personenbezogener Daten an KI-APIs
- Human-in-the-loop: KI-Scores sind Entscheidungsunterstützung, keine verbindlichen Feststellungen
- KI-generierte Inhalte sind im Dashboard als solche gekennzeichnet (Art. 50 Abs. 4 EU AI Act)
- Nutzer werden im Onboarding über Funktionsweise und Grenzen der KI informiert (Art. 4 EU AI Act)
Auftragsverarbeiter und Drittempfänger
Folgende Dienstleister werden als Auftragsverarbeiter gem. Art. 28 DSGVO eingesetzt. Mit jedem besteht oder wird vor Produktivbetrieb ein Auftragsverarbeitungsvertrag (AVV) geschlossen.
| Dienstleister | Zweck | Region | Transferbasis |
|---|---|---|---|
| Hosting (EU-Cloud) | Cloud-Hosting, Datenbank | EU / EWR | AVV |
| Vercel Inc. | Landing-Page-Hosting, cookielose Reichweitenmessung | USA (HQ) · EU-Region Frankfurt | EU-US-Data-Privacy-Framework (Art. 45 DSGVO) + DPA |
| E-Mail-Dienst | Versand von Alert-E-Mails | EU | AVV |
| Google LLC (Gemini API) | KI-Scoring | USA | SCCs gem. Art. 46 Abs. 2 lit. c DSGVO |
| Groq Inc. | KI-Fallback | USA | SCCs |
| MiniMax AI | KI-Verifikation | — | SCCs + TIA |
Eine Weitergabe an Dritte zu Marketingzwecken oder ein Datenverkauf findet nicht statt.
Speicherdauer
| Datenkategorie | Frist | Begründung |
|---|---|---|
| Account- und Nutzerdaten | Abo-Laufzeit + 30 Tage | Vertragserfüllung; Nachlauffrist für Datenexport |
| Audit Trail | 5 Jahre | Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO); aufsichtsrechtliche Erwartungen regulierter Kunden |
| IP-Adressen / Login-Logs | 90 Tage | IT-Sicherheit; danach keine Erforderlichkeit |
| Rechnungen, Buchführung | 7 Jahre | § 132 BAO, § 212 UGB |
| E-Mail-Kommunikation | 3 Jahre | Berechtigtes Interesse; § 1489 ABGB |
Cookies und Reichweitenmessung
Horizon Scanner setzt ausschließlich funktionale Cookies und eine cookielose Reichweitenmessung ein. Es gibt keine Tracking-Cookies, keine Third-Party-Werbung und keine personenbezogene Profilbildung.
| Name | Zweck | Dauer | Rechtsgrundlage |
|---|---|---|---|
| hs_lang | Sprachpräferenz (DE / EN); wird nur gesetzt, wenn Sie aktiv den Sprach-Toggle bedienen | 1 Jahr | § 165 Abs. 3 Z 1 TKG · funktional |
| Session-Cookie | Authentifizierung im eingeloggten Bereich | Sitzungsende | § 165 Abs. 3 Z 1 TKG · technisch notwendig |
| CSRF-Token | Schutz vor Cross-Site-Request-Forgery | Sitzungsende | Art. 32 DSGVO · Sicherheit |
Reichweitenmessung (Vercel Web Analytics): Auf der öffentlichen Landing-Page nutzen wir Vercel Web Analytics in der cookielosen Konfiguration. Es werden keine Cookies gesetzt und kein Browser-Fingerprint erzeugt. Verarbeitet werden ausschließlich aggregierte, nicht personenbeziehbare Daten: besuchte URL, Referrer, Gerätetyp und ungenauer Standort (Land) aus der IP-Adresse, bevor diese verworfen wird. Auftragsverarbeitung gem. Art. 28 DSGVO; Vercel Inc. ist nach dem EU-US-Data-Privacy-Framework gem. Art. 45 DSGVO zertifiziert.
Funktional notwendige Cookies und cookielose Reichweitenmessung ohne Personenbezug sind nach § 165 Abs. 3 Z 1 TKG 2021 i.V.m. Art. 5 Abs. 3 ePrivacy-Richtlinie einwilligungsfrei zulässig — es erscheint daher kein Cookie-Banner.
Rechte betroffener Personen
| Recht | Norm | Inhalt |
|---|---|---|
| Auskunft | Art. 15 | Welche Daten wir über Sie verarbeiten |
| Berichtigung | Art. 16 | Korrektur unrichtiger Daten |
| Löschung | Art. 17 | Soweit keine gesetzliche Aufbewahrungspflicht entgegensteht |
| Einschränkung | Art. 18 | Einschränkung der Verarbeitung |
| Datenübertragbarkeit | Art. 20 | Herausgabe in maschinenlesbarem Format |
| Widerspruch | Art. 21 | Insb. gegen Verarbeitung auf Basis lit. f |
| Widerruf | Art. 7 Abs. 3 | Widerruf einer Einwilligung, jederzeit |
Anfragen an privacy@horizon-scanner.com. Antwortfrist: 30 Tage (Art. 12 Abs. 3 DSGVO).
Beschwerderecht: Österreichische Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien · dsb.gv.at
Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen (TOMs) ein:
- Verschlüsselte Übertragung per TLS 1.2 / 1.3 (HTTPS) für alle Endpunkte
- Verschlüsselte Datenspeicherung im Ruhezustand (at-rest encryption)
- Rollenbasierte Zugriffskontrollen (RBAC)
- Hosting ausschließlich auf europäischer Cloud-Infrastruktur
- Regelmäßige Datensicherungen mit Versionierung
- Strikte Mandantentrennung — kein gemeinsamer Datenbankzugriff zwischen Kundenaccounts
Verarbeitung im Auftrag unserer Kunden
Soweit unsere Kunden (Versicherungsunternehmen) uns Nutzerdaten für den Betrieb der Plattform übermitteln, agieren wir als Auftragsverarbeiter i.S.d. Art. 28 DSGVO — das Kundenunternehmen ist der Verantwortliche. Rechtsgrundlage ist der mit dem Kunden abzuschließende Auftragsverarbeitungsvertrag (AVV).
Automatisierte Entscheidungsfindung / Profiling
Es findet kein Profiling und keine automatisierte Entscheidungsfindung gem. Art. 22 DSGVO statt, die für Nutzer rechtliche oder ähnlich weitreichende Folgen hätte. Die KI-Scoring-Funktion bewertet ausschließlich öffentliche Regulierungsdokumente — nicht Nutzerverhalten oder persönliche Eigenschaften.
Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen. Die aktuelle Version ist abrufbar unter horizon-scanner.com/datenschutz. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail mit einer Ankündigungsfrist von mindestens 14 Tagen vor Inkrafttreten.