Datenschutzerklärung
Avora FlexCo Kohlplatz 7, 6600 Pflach, Österreich Firmenbuchnummer: 644584v UID: ATU81621238
Stand: 24. Februar 2026
Der Schutz deiner persönlichen Daten ist für uns kein Nebenschauplatz, sondern das Fundament einer vertrauensvollen Partnerschaft mit dir. In dieser Datenschutzerklärung erklären wir dir transparent und verständlich, welche Daten wir erheben, warum wir sie verarbeiten und welche Rechte du in Bezug auf deine Daten hast. Wir verarbeiten deine Daten ausschließlich auf Grundlage der gesetzlichen Bestimmungen, insbesondere der EU-Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG).
§ 1 – Verantwortlicher und Datenschutzbeauftragter
1.1 Verantwortlicher
Verantwortlicher für die Datenverarbeitung im Sinne der DSGVO ist:
Avora FlexCo Kohlplatz 7, 6600 Pflach, Österreich FN 644584v | UID ATU81621238 E-Mail: hello@avora.digital Website: avora.digital
1.2 Datenschutzbeauftragter
Wir haben einen spezialisierten externen Datenschutzbeauftragten benannt, der uns berät und dir als unabhängiger Ansprechpartner für alle Datenschutzfragen zur Verfügung steht:
Eduard Simetzberger Okra Studio e.U. Sturzgasse 45/15, 1150 Wien, Österreich E-Mail: privacy@okra.studio
§ 2 – Grundlagen der Datenverarbeitung
2.1 Anwendbares Recht
Die Verarbeitung personenbezogener Daten auf der Avora Digital Plattform erfolgt nach den Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) sowie des österreichischen Datenschutzgesetzes (DSG). Ergänzend gelten die Bestimmungen des Telekommunikationsgesetzes 2021 (TKG 2021) für elektronische Kommunikation.
2.2 Grundprinzipien
Wir verarbeiten deine Daten unter strikter Einhaltung der Grundsätze der Datenminimierung, Zweckbindung, Richtigkeit, Speicherbegrenzung und Integrität. Wir erheben nur jene Daten, die für den jeweiligen Zweck tatsächlich erforderlich sind.
2.3 Rechtsgrundlagen
Für die Verarbeitung deiner Daten stützen wir uns auf folgende Rechtsgrundlagen der DSGVO:
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung: Die Verarbeitung ist zur Erfüllung eines Vertrags erforderlich, dessen Vertragspartei du bist (z. B. Bereitstellung deines Nutzerkontos, des KI-Coachs, der Digitalen Roadmap, der Lerninhalte oder der Zahlungsabwicklung).
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, sofern nicht deine Interessen oder Grundrechte überwiegen (z. B. anonymisierte Nutzungsanalyse, Plattformsicherheit, Betrugsprävention, Fehlererkennung).
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Du hast deine Einwilligung zur Verarbeitung für einen bestimmten Zweck gegeben (z. B. Marketing-E-Mails, Newsletter, Produktanalyse). Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z. B. Aufbewahrung von Rechnungsdaten nach der Bundesabgabenordnung).
§ 3 – Übersicht der Datenverarbeitung
Die nachfolgende Tabelle gibt dir einen kompakten Überblick über unsere Verarbeitungstätigkeiten. Detaillierte Erläuterungen findest du in den jeweils referenzierten Paragraphen.
| Zweck | Verarbeitete Daten (Beispiele) | Rechtsgrundlage | Speicherdauer | Details |
|---|---|---|---|---|
| Plattform-Bereitstellung und Hosting | IP-Adresse, Browser-Typ, Zeitstempel | Art. 6(1)(f) | 3–7 Tage (Logs) | § 4 |
| Registrierung und Kontoverwaltung | Name, E-Mail, gehashtes Passwort, Profilbild | Art. 6(1)(b) | Bis Kontolöschung | § 5 |
| KI-Coach und Digitale Roadmap | Branche, Ziele, Chat-Nachrichten, Roadmap-Daten, KI-Memory | Art. 6(1)(b) | Bis Kontolöschung | § 6 |
| Video-Streaming und Lerninhalte | IP-Adresse, Gerätetyp, Viewtime, Kursfortschritt | Art. 6(1)(b) | Bis Kontolöschung | § 7 |
| Multi-Seat Organisationen | Org-Name, Mitglieder-E-Mails, Seat-Zuweisung | Art. 6(1)(b) | Bis Org-Auflösung | § 8 |
| Expertennetzwerk | Expertenprofil, NDA-Daten, Kommunikation | Art. 6(1)(b) | Siehe § 9 | § 9 |
| Zahlungsabwicklung | Rechnungsadresse, Transaktions-IDs, Nutzungsmetriken | Art. 6(1)(b), (c) | 7 Jahre (BAO) | § 10 |
| E-Mail-Kommunikation | E-Mail-Adresse, Versandprotokolle, Eventdaten | Art. 6(1)(b), (a) | Bis Kontolöschung / Abmeldung | § 11 |
| Affiliate-Marketing | IP-Adresse, Referrer, Conversion-Events | Art. 6(1)(f) | Laufzeit des Partnerprogramms | § 11 |
| Produktanalyse und Events | Eventdaten, Profilbezug (consent-gesteuert) | Art. 6(1)(a), (f) | Bis Kontolöschung / Widerruf | § 12 |
| Fehlererkennung und Betrieb | Fehlerberichte, Stack-Traces, Request-Kontext | Art. 6(1)(f) | Kurzfristig | § 13 |
§ 4 – Besuch der Plattform und Hosting
4.1 Server-Logfiles
Bei jedem Aufruf der Avora Digital Plattform erfasst unser Hostinganbieter automatisiert technische Daten, die dein Browser übermittelt. Hierzu zählen insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite und Ressource, HTTP-Statuscode, übertragene Datenmenge, Browser-Typ und -Version, Betriebssystem sowie die verweisende Seite (Referrer). Diese Daten sind technisch notwendig, um die Plattform sicher, stabil und performant bereitzustellen und Angriffe auf unsere Infrastruktur zu erkennen. Eine Zusammenführung dieser Daten mit anderen Datenquellen findet nicht statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren Bereitstellung der Plattform).
4.2 Hosting-Infrastruktur
Die Avora Digital Plattform wird von Vercel Inc. (USA) gehostet. Vercel stellt die Serverinfrastruktur, Edge Functions und das Content-Delivery-Network bereit. Dabei werden HTTP-Anfragen einschließlich IP-Adressen und Request-Metadaten verarbeitet. Server-Logs werden für 3–7 Tage aufbewahrt. Vercel wird darüber hinaus als KI-Gateway für die Anbindung an OpenAI-Modelle eingesetzt (vgl. § 6) und stellt eine Feature-Flag-Infrastruktur bereit, über die Plattformfunktionen kontextabhängig gesteuert werden (z. B. auf Basis von Nutzerrolle oder Plan). Hierbei werden keine zusätzlichen personenbezogenen Daten erhoben, die über die ohnehin verarbeiteten Kontodaten hinausgehen.
4.3 Datenbank
Die Speicherung aller Nutzerdaten erfolgt in einer PostgreSQL-Datenbank bei Neon Inc. in der EU-Region. Neon fungiert als Auftragsverarbeiter für den Datenbankbetrieb. Die Datenverarbeitung findet vollständig innerhalb der Europäischen Union statt.
4.4 Dateispeicher und Medien
Für die Speicherung von Uploads, Anhängen und Medieninhalten nutzen wir Cloudflare R2 sowie Cloudflare Images (Cloudflare Inc., USA). Cloudflare R2 speichert Dateien und zugehörige Metadaten. Cloudflare Images übernimmt die optimierte Auslieferung von Bildinhalten. Technische Zugriffsdaten (z. B. IP-Adressen) werden in Server-Logs kurzfristig verarbeitet.
Für Hintergrundverarbeitungen (z. B. PDF-Export, Transkriptions-Workflows) setzen wir Cloudflare Workers ein. Dabei werden die jeweils verarbeiteten Inhalte (z. B. Audio- oder PDF-Inhalte) sowie technische Job-Metadaten temporär verarbeitet und nach Abschluss des Jobs nicht dauerhaft auf Cloudflare-Servern gespeichert.
4.5 Caching und Hintergrundverarbeitung
Für temporäres Caching, Rate-Limiting und Stream-Resumption setzen wir Upstash Redis (EU) ein. Hierbei werden ausschließlich kurzlebige, technische Daten verarbeitet, die automatisch nach Ablauf gelöscht werden.
Für die asynchrone Job-Orchestrierung (z. B. zeitgesteuerte Aufgaben, Webhook-Verarbeitung) nutzen wir Upstash QStash (EU). QStash verarbeitet Job-Payloads und technische Metadaten; die Daten werden nach Ausführung des Jobs gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.
§ 5 – Registrierung und Nutzerkonto
5.1 Erhobene Daten
Um die personalisierten Funktionen der Avora Digital Plattform nutzen zu können, ist ein Nutzerkonto erforderlich. Bei der Registrierung werden folgende Daten erhoben: Name (zur Anzeige auf der Plattform), E-Mail-Adresse (als eindeutige Kennung und für die Kommunikation) sowie ein Passwort (das ausschließlich in sicher gehashter Form gespeichert wird). Optional kannst du ein Profilbild und weitere Profilangaben hinzufügen.
5.2 Authentifizierungsmethoden
Avora bietet dir mehrere Möglichkeiten zur Authentifizierung an. Die Authentifizierung wird über Better Auth verwaltet, eine auf unserer eigenen Infrastruktur betriebene Authentifizierungslösung:
E-Mail und Passwort: Klassische Registrierung mit sicher gehashtem Passwort.
Magic Link: Passwortlose Anmeldung über einen per E-Mail zugesandten Einmal-Link.
OAuth (Social Login): Anmeldung über bestehende Konten bei Google, Apple, GitHub, Microsoft, LinkedIn oder Zoom. Hierbei werden die vom jeweiligen Anbieter bereitgestellten Profilinformationen (in der Regel Name, E-Mail und Profilbild, abhängig vom gewählten Scope) an Avora übermittelt. Die Datenverarbeitung durch den jeweiligen OAuth-Anbieter unterliegt dessen eigener Datenschutzerklärung.
Passkeys: Biometrische oder gerätebasierte Authentifizierung ohne Passwortübertragung. Die Passkey-Credentials werden lokal auf deinem Gerät gespeichert; Avora erhält lediglich den öffentlichen Schlüssel.
5.3 Standort- und Adresssuche im Onboarding
Im Rahmen des Onboarding-Prozesses bieten wir eine Adress- und Standortsuche an, um dein Unternehmensprofil zu vervollständigen. Hierfür nutzen wir den Dienst Mapbox Inc. (USA). Dabei werden deine Suchanfragen sowie ggf. Standort- und Geo-Informationen an Mapbox übermittelt. Die Nutzung dieser Funktion ist freiwillig.
5.4 Session-Daten
Zur Sicherung deiner Anmeldesitzung werden Session-Tokens erstellt und gespeichert. Zusätzlich werden bei jeder Anmeldung die IP-Adresse und der User-Agent deines Browsers protokolliert, um unberechtigte Zugriffe auf dein Konto erkennen zu können.
5.5 Kostenlose Testphase (Free Trial)
Wenn du eine kostenlose Testphase für ein kostenpflichtiges Abonnement nutzt, ist die Hinterlegung einer gültigen Zahlungsmethode erforderlich. Die Zahlungsmethode wird ausschließlich beim Zahlungsdienstleister Stripe gespeichert und erst bei einer tatsächlichen Umwandlung in ein kostenpflichtiges Abonnement belastet. Während der Testphase werden dieselben Daten wie bei einem regulären Abonnement verarbeitet (vgl. § 10). Wird die Testphase nicht in ein kostenpflichtiges Abonnement umgewandelt, werden die beim Zahlungsdienstleister hinterlegten Zahlungsdaten gemäß dessen Löschrichtlinien entfernt.
5.6 Speicherung und Löschung
Deine Kontodaten werden in unserer Datenbank bei Neon (EU) gespeichert und dort bis zu deiner Löschanfrage aufbewahrt. Nach einer Löschanfrage werden deine personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen entgegenstehen (vgl. § 15).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Adresssuche im Onboarding).
§ 6 – KI-Coach und Digitale Roadmap
6.1 Zweck und Funktionsweise
Ein Kernbestandteil der Avora Digital Plattform ist der KI-Coach, der dich bei der Erstellung und laufenden Optimierung deiner persönlichen Digitalen Roadmap unterstützt. Der KI-Coach analysiert deine individuellen Angaben, um personalisierte strategische Empfehlungen und Handlungsvorschläge zu erstellen.
6.2 Verarbeitete Daten
Im Rahmen der KI-Coach-Nutzung werden insbesondere folgende Daten verarbeitet: deine Antworten aus dem Onboarding-Fragebogen (Discovery-Daten zu Branche, Zielen, Ressourcen und aktuellem Digitalisierungsstand), Chat-Nachrichten zwischen dir und dem KI-Coach, Roadmap-Daten (Ziele, Aufgaben, Fortschritt, Check-ins, Versionen) sowie Audit-Logs der KI-Interaktionen (Zeitstempel, ausgeführte Aktionen, Ein- und Ausgaben).
Die Beantwortung des Onboarding-Fragebogens ist freiwillig. Für die Erstellung einer sinnvollen Roadmap sind jedoch die grundlegenden Angaben erforderlich.
6.3 KI-Dienstleister und Datenfluss
Für die KI-gestützten Funktionen nutzen wir spezialisierte Dienstleister. Der Datenfluss verläuft wie folgt: Deine Eingaben werden über das Vercel AI Gateway (Vercel Inc., USA) an das jeweilige Sprachmodell weitergeleitet. Das AI Gateway dient als zentrale Schnittstelle für Routing, Monitoring und Ausfallsicherheit, ohne dass dort eigene Kopien deiner Daten dauerhaft gespeichert werden.
OpenAI, L.L.C. (USA): Bereitstellung des Sprachmodells für den KI-Coach, die Roadmap-Generierung und die Tool-Ausführung. Die Anbindung erfolgt über das Vercel AI Gateway.
Google LLC / Google Ireland Limited (USA/Irland): Bereitstellung der Google-Gemini-API, die insbesondere für die Audio-Transkription von Inhalten eingesetzt wird.
6.4 KI-Memory (Personalisierung)
Zur Verbesserung der Personalisierung des KI-Coachs nutzen wir Mem0 AI Inc. (USA) als KI-Memory-Dienst. Mem0 speichert strukturierte Memory-Fakten (z. B. deine Präferenzen, wiederkehrende Themen, Projektkontexte) pro Nutzer bzw. Projekt, um kontextbezogene und konsistente KI-Antworten über mehrere Sitzungen hinweg zu ermöglichen. Mem0 ist SOC 2 Type I zertifiziert. Die Datenübermittlung in die USA erfolgt auf Grundlage geeigneter Garantien (vgl. § 14).
Du kannst die Löschung deiner KI-Memory-Daten jederzeit anfordern.
6.5 Datenschutzhinweise zur KI-Verarbeitung
Deine Daten werden nicht zum Training allgemeiner KI-Modelle verwendet. Weder OpenAI noch Google nutzen deine personenbezogenen Daten oder vertraulichen Unternehmenseingaben zum Training ihrer öffentlich verfügbaren Modelle. Die Datenübermittlung erfolgt ausschließlich zur Verarbeitung deiner konkreten Anfrage.
Sämtliche KI-Tool-Ausführungen werden in einem Audit-Log mit Zeitstempel, Aktionstyp und Ergebnis protokolliert. Dies dient der Nachvollziehbarkeit und Qualitätssicherung.
6.6 Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt, findet nicht statt. Sämtliche KI-Empfehlungen sind Vorschläge; die endgültige Entscheidung triffst stets du.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
§ 7 – Video-Streaming und Lerninhalte
7.1 Video-Bereitstellung
Für die Auslieferung von Spotlights, Basiskursen und Masterclasses nutzen wir den Video-Streaming-Dienst Mux, Inc. (USA). Mux übernimmt das Video-Hosting, die Wiedergabe, die Thumbnail-Generierung sowie die Bereitstellung von Transkripten. Beim Abspielen eines Videos werden technische Daten (IP-Adresse, Gerätetyp, User-Agent, Zeitstempel) an Mux übertragen, die für die zuverlässige Wiedergabe und Qualitätsoptimierung erforderlich sind.
7.2 Viewtime-Tracking
Zur Bereitstellung der Lernfortschrittsfunktionen und zur korrekten Verwaltung des Masterclass-Credit-Systems erfassen wir Viewtime-Daten auf mehreren Ebenen: pro Video (Abspieldauer und Fortschritt), pro Kurs (Gesamtlernzeit), pro Themenbereich und plattformweit. Diese Daten sind für die ordnungsgemäße Verrechnung von Masterclass-Credits und die Anzeige deines individuellen Lernfortschritts erforderlich.
7.3 Quiz und Zertifikate
Wenn du ein Quiz absolvierst oder ein Zertifikat erwirbst, speichern wir die zugehörigen Ergebnisdaten (Abschlussstatus, Datum, erreichtes Ergebnis). Zertifikate werden als PDF generiert (über Cloudflare Workers, vgl. § 4.4) und enthalten deinen Namen, den Kurstitel, das Abschlussdatum und eine eindeutige Kennung.
7.4 Kein Profiling
Die erfassten Viewtime- und Lernfortschrittsdaten dienen ausschließlich betrieblichen Zwecken (Fortschrittsanzeige, Credit-Verrechnung) und werden nicht zur Erstellung von Nutzerprofilen oder für Verhaltensanalysen verwendet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Qualitätssicherung der Videowiedergabe).
§ 8 – Multi-Seat Organisationen
8.1 Organisationsdaten
Wenn du als Owner eine Organisation erstellst, verarbeiten wir den Organisationsnamen, deine Kontakt- und Abrechnungsdaten sowie die Verwaltung der zugewiesenen Seats. Bei der Einladung von Teammitgliedern wird deren E-Mail-Adresse verarbeitet und eine Einladungs-E-Mail versendet.
8.2 Datenschutz innerhalb der Organisation
Der Schutz individueller Nutzerdaten innerhalb einer Organisation ist uns besonders wichtig:
Individuelle KI-Coach-Chats: Deine Chat-Verläufe mit dem KI-Coach sind privat und können weder vom Owner noch von anderen Teammitgliedern eingesehen werden.
Persönliche Digitale Roadmap: Deine persönliche Roadmap ist ausschließlich für dich sichtbar. Die Unternehmens-Roadmap der Organisation ist davon getrennt und wird vom Owner verwaltet.
Lernfortschritt: Dein individueller Lernfortschritt ist nur für dich sichtbar. Der Owner erhält lediglich aggregierte Nutzungsstatistiken (z. B. letzter Anmeldezeitpunkt, Anzahl gestarteter Kurse).
8.3 Austritt aus einer Organisation
Wenn du aus einer Organisation entfernt wirst oder selbst austrittst, wird dein Konto auf den Starter-Plan herabgestuft. Deine individuellen Daten (persönliche Roadmap, KI-Coach-Verlauf, Lernfortschritt) verbleiben bei deinem Nutzerkonto. Der Zugang zur Unternehmens-Roadmap wird entzogen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
§ 9 – Expertennetzwerk
9.1 Expertenprofile
Experts, die sich über die Plattform listen, erstellen ein öffentlich sichtbares Profil mit Angaben zu Name, Fachgebieten, Qualifikationen und Kontaktinformationen. Die Sichtbarkeit und Bearbeitung des Profils liegt in der Verantwortung des jeweiligen Experts.
9.2 NDA-System
Wenn du deine Roadmap mit einem Expert teilst, muss dieser zuvor eine Vertraulichkeitsvereinbarung (NDA) akzeptieren. Zur rechtlichen Absicherung protokollieren wir bei der NDA-Akzeptanz: Zeitstempel, IP-Adresse, User-Agent, akzeptierte NDA-Version und ggf. das Fälligkeitsdatum für eine Erneuerung. Diese Daten werden aus berechtigtem rechtlichem Interesse unbefristet aufbewahrt.
9.3 Roadmap-Sharing
Du entscheidest selbst, welche Teile deiner Roadmap du mit einem Expert teilst. Der Zugang für den Expert ist zeitlich begrenzt: standardmäßig 30 Tage, bei erhöhter Vertraulichkeit 14 Tage. Nach Ablauf dieser Frist wird der Zugriff des Experts automatisch entzogen.
9.4 Kommunikationsverläufe
Nachrichten zwischen dir und Experts werden auf der Plattform gespeichert, um die Nachvollziehbarkeit der Beratung sicherzustellen. Diese Kommunikation unterliegt der NDA-Verpflichtung des Experts.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der rechtlichen Absicherung der NDA-Dokumentation).
§ 10 – Zahlung und Abrechnung
10.1 Billing- und Zahlungsdienstleister
Für das Plan-, Feature- und Usage-Management nutzen wir Autumn (USA) als Billing- und Entitlement-Plattform. Autumn verwaltet Kundendaten, Nutzungsmetriken und den Bezug zu den jeweiligen Abonnementplänen.
Die eigentliche Zahlungsabwicklung erfolgt über Stripe, Inc. (USA), eingebunden über das Autumn- und Better-Auth-Ökosystem. Stripe verarbeitet Kreditkarten-, SEPA- und weitere Zahlungsdaten.
10.2 Verarbeitete Daten
Im Rahmen der Zahlungsabwicklung werden verarbeitet: Rechnungsadresse, Zahlungsmethode (Kreditkarte, SEPA, etc.), Transaktions-IDs und Zeitstempel, Abonnementverlauf und Rechnungen, Nutzungsmetriken (für nutzungsbasierte Abrechnung) sowie Erstattungs- und Rückbuchungsdaten.
10.3 Sicherheit der Zahlungsdaten
Avora speichert keine vollständigen Kreditkartendaten. Die Speicherung und Verarbeitung sensibler Zahlungsinformationen erfolgt ausschließlich auf den PCI-DSS-zertifizierten Servern von Stripe. Avora speichert lediglich die letzten vier Ziffern der Kartennummer, den Kartentyp und das Ablaufdatum zur Anzeige in deinem Konto. Für wiederkehrende Zahlungen wird ein sicheres Token (kein vollständiger Kartendatensatz) verwendet.
10.4 Speicherdauer
Zahlungs- und Rechnungsdaten werden gemäß den Bestimmungen der österreichischen Bundesabgabenordnung (BAO) für sieben Jahre aufbewahrt. Diese gesetzliche Aufbewahrungspflicht besteht unabhängig von einer Kontolöschung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung zur Aufbewahrung steuerrelevanter Unterlagen).
§ 11 – E-Mail-Kommunikation und Benachrichtigungen
11.1 E-Mail-Versand
Für den Versand sämtlicher E-Mails nutzen wir den Dienst Loops.so (USA). Loops verarbeitet dabei deine E-Mail-Adresse, deinen Namen sowie Trigger- und Eventdaten, die den Versandanlass bestimmen.
Transaktionale E-Mails umfassen Registrierungsbestätigungen, Passwort-Zurücksetzungen, Magic Links, Abonnementbestätigungen, Rechnungen und wichtige Kontomitteilungen (z. B. Anmeldung von einem neuen Gerät). Diese E-Mails sind für den Betrieb deines Kontos erforderlich und können nicht abbestellt werden.
Marketing-E-Mails umfassen Onboarding-Sequenzen, Feature-Updates, Lerntipps, Newsletter und Sonderangebote. Der Versand erfolgt ausschließlich auf Grundlage deiner Einwilligung. Jede Marketing-E-Mail enthält einen Abmeldelink, über den du dich jederzeit mit einem Klick abmelden kannst.
11.2 Push-Benachrichtigungen und Echtzeit-Updates
Für Echtzeit-Benachrichtigungen auf der Plattform (z. B. Roadmap-Updates, Meilenstein-Benachrichtigungen, Expertennetzwerk-Nachrichten, Upload-Status) setzen wir Ably Realtime Ltd (UK/EU) ein. Ably verarbeitet dabei Event-Payloads einschließlich IDs und Statusdaten sowie Verbindungsmetadaten (Nutzer-ID, Session-Token, Zeitstempel). Echtzeitnachrichten werden nicht persistent gespeichert.
Push-Benachrichtigungen über die Web-Push-API erfolgen nur nach deiner ausdrücklichen Zustimmung. Hierfür werden Push-Subscription-Endpunkte und kryptographische Schlüssel in deinem Browser bzw. beim Push-Service deines Browsers gespeichert. Du kannst Push-Benachrichtigungen jederzeit in den Browser- oder Plattformeinstellungen deaktivieren.
11.3 Affiliate-Marketing und Link-Attribution
Für unser Affiliate- und Partnerprogramm nutzen wir Dub.co (Dub Technologies, Inc., USA) als Link-Attribution-Plattform. Dub erstellt und verwaltet Tracking-Links für Affiliate-Partner und erfasst dabei Conversion-Events (z. B. Klicks auf Empfehlungslinks, Registrierungen, Abonnementabschlüsse). Verarbeitet werden insbesondere IP-Adressen, Referrer-Informationen, Geräte- und Browser-Daten sowie Conversion-Zeitstempel. Diese Daten werden verwendet, um Affiliate-Provisionen korrekt zuzuordnen und die Wirksamkeit von Partnerprogrammen auszuwerten.
11.4 In-App-Benachrichtigungen
Benachrichtigungen innerhalb der Plattform (z. B. Erinnerungen, Coach-Hinweise, Statusänderungen) werden in deinem Nutzerkonto gespeichert und bei Kontolöschung gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (transaktionale E-Mails, In-App-Benachrichtigungen); Art. 6 Abs. 1 lit. a DSGVO (Marketing-E-Mails, Push-Benachrichtigungen); Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der korrekten Zuordnung von Affiliate-Provisionen).
§ 12 – Produktanalyse, Cookies und lokale Speicherung
12.1 Produktanalyse mit OpenPanel
Zur Verbesserung unserer Plattform nutzen wir OpenPanel, eine datenschutzfreundliche Analytics-Software, die wir selbst auf unserer eigenen Infrastruktur innerhalb der EU betreiben.
OpenPanel verwendet keine Cookies und erfasst Eventdaten sowie einen Profilbezug ausschließlich auf Basis deiner Einwilligung (Consent-Steuerung im Frontend). Ohne deine Zustimmung werden keine personenbezogenen Analysedaten erhoben. OpenPanel gibt keine Daten an Dritte weiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für personenbezogene Eventdaten; Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für vollständig anonymisierte, aggregierte Auswertungen.
12.2 Cookies
Avora verwendet keine Tracking-Cookies, keine Werbe-Cookies und keine Cookies von Drittanbietern zu Marketingzwecken. Wir setzen ausschließlich technisch notwendige Cookies ein:
Session-Cookie: Speichert dein Sitzungstoken für die sichere Authentifizierung. Gültigkeitsdauer: bis zum Logout oder maximal 30 Tage.
CSRF-Schutz-Cookie: Schützt vor Cross-Site-Request-Forgery-Angriffen. Rein technisch, enthält keine personenbezogenen Daten.
Für technisch notwendige Cookies ist gemäß § 165 Abs. 3 TKG 2021 keine Einwilligung erforderlich.
12.3 Lokale Speicherung (LocalStorage)
Im LocalStorage deines Browsers speichern wir: Authentifizierungs-Tokens (Access- und Refresh-Token), UI-Einstellungen (z. B. Dark/Light-Mode, Sidebar-Status) und temporäre Formulardaten (nicht serverseitig gespeichert). Diese Daten werden lokal auf deinem Gerät verarbeitet und bei Logout oder manueller Löschung entfernt.
§ 13 – Fehlererkennung, Monitoring und interne Benachrichtigungen
13.1 Error Monitoring
Zur Erkennung und Behebung von technischen Fehlern setzen wir Sentry ein, das wir selbst auf unserer eigenen Infrastruktur innerhalb der EU betreiben. Sentry erfasst Fehlerberichte, Stack-Traces und Request-Kontext (z. B. URL, Browser-Version, Zeitstempel). Der Umfang der erfassten Daten hängt von der jeweiligen Konfiguration ab; wir sind bestrebt, die Erfassung personenbezogener Daten in Fehlerberichten auf das technisch Notwendige zu beschränken. Da Sentry self-hosted betrieben wird, findet keine Datenübermittlung an Dritte statt.
13.2 Interne Statusbenachrichtigungen
Für die interne Benachrichtigung des Betriebsteams nutzen wir die Telegram Bot API (Telegram FZ-LLC, Vereinigte Arabische Emirate / Telegram Group Inc., Vereinigtes Königreich). Über einen internen Bot werden Statusmeldungen zu plattformrelevanten Ereignissen an das Betriebsteam übermittelt. Hierzu können zählen: technische Fehlermeldungen und Alert-Metadaten, Benachrichtigungen über neue Registrierungen, Masterclass-Verkäufe, Experten-Bewerbungen oder sonstige geschäftsrelevante Vorgänge. In diesen Benachrichtigungen können personenbezogene Daten enthalten sein (z. B. Name, E-Mail-Adresse, Art des Vorgangs). Die Übermittlung erfolgt ausschließlich an einen geschlossenen, internen Telegram-Kanal und dient der operativen Betriebsführung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der operativen Betriebsführung, Sicherstellung des Plattformbetriebs und der schnellen Reaktion auf geschäftsrelevante Ereignisse).
§ 14 – Internationale Datenübertragungen und Auftragsverarbeiter
14.1 Grundsätze
Soweit wir personenbezogene Daten an Dienstleister in Drittstaaten (insbesondere die USA) übermitteln, stellen wir durch geeignete Garantien sicher, dass deine Daten ein angemessenes Schutzniveau erhalten.
14.2 Übertragungsmechanismen
Für Datenübertragungen in die USA stützen wir uns primär auf das EU-US Data Privacy Framework (DPF) gemäß dem Angemessenheitsbeschluss der EU-Kommission sowie ergänzend auf die Standardvertragsklauseln (Standard Contractual Clauses, SCCs) der EU-Kommission. Für Dienstleister in der EU/im EWR ist kein besonderer Übermittlungsmechanismus erforderlich. Für das Vereinigte Königreich (UK) liegt ein Angemessenheitsbeschluss der EU-Kommission vor. Für Datenübertragungen in weitere Drittstaaten (z. B. Vereinigte Arabische Emirate) stützen wir uns auf Standardvertragsklauseln (SCCs).
14.3 Übersicht der Auftragsverarbeiter
| Dienstleister | Sitz | Zweck | Übermittlungsmechanismus |
|---|---|---|---|
| Vercel Inc. | USA | Hosting, Edge Functions, CDN, AI Gateway, Feature Flags | DPF + SCCs |
| Neon Inc. | EU | PostgreSQL-Datenbank | Kein Transfer (EU) |
| Cloudflare Inc. | USA | Dateispeicher (R2), Bildauslieferung (Images), Hintergrundverarbeitung (Workers) | DPF + SCCs |
| Mux, Inc. | USA | Video-Hosting, Streaming, Thumbnails, Transkripte | DPF + SCCs |
| OpenAI, L.L.C. | USA | KI-Dienst (KI-Coach, Roadmap) via Vercel AI Gateway | DPF + SCCs |
| Google LLC / Google Ireland Ltd | USA/Irland | KI-Dienst (Gemini), Audio-Transkription | DPF + SCCs |
| Mem0 AI Inc. | USA | KI-Memory / Personalisierung | DPF + SCCs |
| Stripe, Inc. | USA | Zahlungsabwicklung (via Autumn / Better Auth) | DPF + SCCs |
| Autumn | USA | Billing, Entitlements, Usage-Management | DPF + SCCs |
| Loops.so | USA | Transaktionale und Marketing-E-Mails, Event-Tracking | DPF + SCCs |
| Ably Realtime Ltd | UK/EU | Echtzeit-Benachrichtigungen, Presence, Upload-Status | Angemessenheitsbeschluss UK |
| Upstash (Redis + QStash) | EU | Caching, Rate-Limiting, Job-Orchestrierung | Kein Transfer (EU) |
| Dub Technologies, Inc. | USA | Affiliate-Marketing, Link-Attribution | DPF + SCCs |
| Mapbox Inc. | USA | Adress- und Standortsuche im Onboarding | DPF + SCCs |
| OpenPanel | EU (self-hosted) | Produktanalyse und Events | Kein Transfer (EU) |
| Sentry | EU (self-hosted) | Error Monitoring | Kein Transfer (EU) |
| Telegram (Bot API) | VAE/UK | Interne Statusbenachrichtigungen (Betrieb) | Angemessenheitsbeschluss UK; VAE: SCCs |
Die folgenden OAuth-Anbieter werden im Rahmen der Social-Login-Funktion eingesetzt. Bei Nutzung eines Social Logins werden die vom Anbieter bereitgestellten Profilbasisdaten (abhängig vom gewählten Scope) an Avora übermittelt:
| Anbieter | Sitz | Übermittlungsmechanismus |
|---|---|---|
| Google LLC | USA/Irland | DPF + SCCs |
| Apple Inc. | USA | DPF + SCCs |
| GitHub Inc. (Microsoft) | USA | DPF + SCCs |
| Microsoft Corp. | USA | DPF + SCCs |
| LinkedIn Corp. (Microsoft) | USA | DPF + SCCs |
| Zoom Video Communications | USA | DPF + SCCs |
Mit allen Auftragsverarbeitern wurden Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen bzw. deren Standardbedingungen geprüft und für angemessen befunden.
§ 15 – Speicherdauer und Löschung
15.1 Allgemeiner Grundsatz
Wir speichern deine personenbezogenen Daten nur so lange, wie es für die Erbringung unserer Dienste erforderlich ist oder gesetzliche Aufbewahrungsfristen es vorschreiben.
15.2 Speicherdauer nach Datenkategorie
Kontodaten (Name, E-Mail, Profil): Bis zur Löschanfrage; nach Anfrage Löschung innerhalb von 30 Tagen.
KI-Coach-Daten (Chat-Verläufe, Roadmap, KI-Memory): Bis zur Kontolöschung; nach Anfrage Löschung innerhalb von 30 Tagen.
Lernfortschritt und Zertifikate: Bis zur Kontolöschung. Hinweis: Zertifikate können vor der Löschung exportiert werden (PDF).
Zahlungs- und Rechnungsdaten: Sieben Jahre ab Ende des Geschäftsjahrs gemäß österreichischer Bundesabgabenordnung (BAO).
NDA-Protokolldaten: Unbefristete Aufbewahrung zur Sicherung der rechtlichen Nachweisbarkeit.
Server-Logs: 3–7 Tage.
Fehlerberichte (Sentry): Kurzfristige Aufbewahrung zur Fehlerbehebung; automatische Löschung nach konfiguriertem Zeitraum.
Session-Tokens: Sofortige Löschung bei Logout oder Kontolöschung.
15.3 Kontolöschung
Du kannst dein Konto jederzeit in den Kontoeinstellungen löschen. Die Löschung ist nach Ablauf der 30-Tage-Frist unwiderruflich. Unmittelbare Auswirkungen der Löschung: Dein Konto wird gesperrt und alle Funktionen sind nicht mehr zugänglich. Daten, die einer gesetzlichen Aufbewahrungsfrist unterliegen (insb. Zahlungsdaten, NDA-Protokolle), werden erst nach Ablauf der jeweiligen Frist gelöscht.
15.4 Anonymisierung
Bestimmte Daten (z. B. aggregierte Viewtime-Statistiken, anonymisierte Nutzungsanalysen) werden anstelle einer Löschung anonymisiert. Anonymisierte Daten lassen keinen Rückschluss auf deine Person zu und unterliegen nicht mehr der DSGVO.
15.5 Datenexport
Vor einer Kontolöschung kannst du gemäß Art. 20 DSGVO einen Export deiner personenbezogenen Daten anfordern. Hierzu zählen insbesondere deine Roadmap (PDF oder maschinenlesbares Format), Zertifikate, Lernfortschritt und KI-Coach-Verläufe. Wende dich dazu an privacy@okra.studio oder nutze die Exportfunktion in deinen Kontoeinstellungen.
15.6 Verarbeitung durch Drittanbieter nach Löschung
Unsere KI-Dienstleister (OpenAI, Google) können Chat-Daten für bis zu 90 Tage gemäß ihren eigenen Richtlinien aufbewahren. Mem0 löscht KI-Memory-Daten nach Löschanfrage gemäß seinen Richtlinien. Der Zahlungsdienstleister Stripe bewahrt Transaktionsdaten gemäß seinen gesetzlichen Verpflichtungen auf. Avora hat auf die Löschfristen bei Drittanbietern keinen direkten Einfluss, stellt jedoch vertraglich sicher, dass die Daten nach Ablauf der jeweiligen Fristen gelöscht werden.
§ 16 – Deine Rechte
16.1 Überblick
Als betroffene Person stehen dir nach der DSGVO folgende Rechte zu:
Recht auf Auskunft (Art. 15 DSGVO): Du hast das Recht, eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten wir über dich verarbeiten, sowie eine Kopie dieser Daten zu erhalten.
Recht auf Berichtigung (Art. 16 DSGVO): Du hast das Recht, die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten zu verlangen. Viele Angaben (Name, E-Mail, Profil) kannst du direkt in deinen Kontoeinstellungen ändern.
Recht auf Löschung (Art. 17 DSGVO): Du hast das Recht, die Löschung deiner personenbezogenen Daten zu verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Du kannst dein Konto direkt in den Einstellungen löschen oder eine gezielte Datenlöschung bei uns anfordern.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du hast das Recht, die Einschränkung der Verarbeitung zu verlangen, z. B. wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, deine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Recht auf Widerspruch (Art. 21 DSGVO): Du hast das Recht, gegen die Verarbeitung deiner Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) Widerspruch einzulegen. Dies gilt insbesondere für die Nutzungsanalyse. Gegen die Verarbeitung zu Direktmarketingzwecken kannst du jederzeit ohne Angabe von Gründen widersprechen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf deiner Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.
16.2 Ausübung deiner Rechte
Du kannst deine Rechte auf folgende Weise ausüben:
Self-Service: Viele Änderungen (Profilbearbeitung, Kontolöschung, Datenexport, Marketing-Abmeldung) kannst du direkt in deinen Kontoeinstellungen vornehmen.
Datenschutzbeauftragter: Für alle Datenschutzanfragen wende dich an unseren externen Datenschutzbeauftragten: privacy@okra.studio.
Rechtsabteilung: Alternativ erreichst du uns unter legal@avora.digital.
Support: Für plattformbezogene Fragen mit Datenschutzbezug (z. B. Konto-Einstellungen, Datenexport) steht dir unser Support unter support@avora.digital zur Verfügung.
Anfragen werden kostenfrei und innerhalb von 30 Tagen bearbeitet. Bei besonders komplexen oder zahlreichen Anfragen kann die Frist um weitere 60 Tage verlängert werden; in diesem Fall informieren wir dich vorab. Zur Identitätsprüfung kann bei sensiblen Anfragen ein Nachweis erforderlich sein.
16.3 Beschwerde bei der Aufsichtsbehörde
Du hast das Recht, dich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren, wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt. Die für uns zuständige Aufsichtsbehörde ist:
Österreichische Datenschutzbehörde (DSB) Barichgasse 40–42, 1030 Wien Website: www.dsb.gv.at E-Mail: dsb@dsb.gv.at
§ 17 – Datensicherheit, Änderungen und Schlussbestimmungen
17.1 Datensicherheit
Wir schützen deine Daten durch angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Hierzu zählen insbesondere: SSL/TLS-Verschlüsselung für sämtliche Datenübertragungen, sichere Passwort-Hashes nach aktuellem Stand der Technik, verschlüsselte Datenhaltung in der Datenbank (Encryption at Rest), rollenbasierte Zugriffskontrolle für interne Systeme, Rate-Limiting und Schutz vor Brute-Force-Angriffen, regelmäßige Sicherheitsüberprüfungen, self-hosted Error Monitoring und Vertraulichkeitsverpflichtungen für alle Mitarbeiter und Auftragnehmer.
17.2 Kinder und Minderjährige
Die Avora Digital Plattform richtet sich an volljährige Personen (ab 18 Jahren). Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Sollten wir Kenntnis davon erlangen, dass ein Minderjähriger ohne Zustimmung der Erziehungsberechtigten Daten übermittelt hat, werden diese unverzüglich gelöscht.
17.3 Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen, neue Plattformfunktionen oder aktualisierte Auftragsverarbeiter anzupassen. Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir dich mindestens 30 Tage vor Inkrafttreten per E-Mail an deine hinterlegte E-Mail-Adresse. Für deinen Besuch gilt stets die unter avora.digital/privacy veröffentlichte aktuelle Fassung.
17.4 Anwendbares Recht und Gerichtsstand
Es gilt österreichisches Recht unter Ausschluss der Verweisungsnormen des internationalen Privatrechts. Gerichtsstand ist – soweit gesetzlich zulässig – das sachlich zuständige Gericht am Sitz der Avora FlexCo. Die Anwendbarkeit des österreichischen Konsumentenschutzgesetzes (KSchG) bleibt für Verbraucher unberührt; insbesondere bleibt der Gerichtsstand am Wohnsitz des Verbrauchers gewahrt.
17.5 Kanonische URL
Die jeweils aktuelle Fassung dieser Datenschutzerklärung ist dauerhaft unter avora.digital/privacy abrufbar.
Bei Fragen zum Datenschutz wende dich bitte an unseren Datenschutzbeauftragten: Eduard Simetzberger – privacy@okra.studio