Datenschutzerklärung
Stand: 18. Februar 2026
1. Verantwortlicher
Digitale Projekte RF GmbH
Franzensdorf 55, 2301 Groß-Enzersdorf, Österreich
Firmenbuch: FN 668519 t
E-Mail: kiara@digitaleprojekte.at
Website: kurseonline.at
Geschäftszweig: Entwicklung und Betrieb von Webseiten für Onlinekurse und -shops, Entwicklung und Verkauf von KI-gestützten Programmen.
Verantwortlich für die Verarbeitung personenbezogener Daten auf der Plattform KURSEonline im Sinne der Datenschutz-Grundverordnung (DSGVO).
2. Grundsätze der Datenverarbeitung
Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen (DSGVO, DSG, TKG 2021). Die Weitergabe an Dritte erfolgt nur, wenn dies zur Vertragserfüllung zwingend erforderlich ist – insbesondere bei der Zahlungsabwicklung über Stripe. Darüber hinaus geben wir keine personenbezogenen Daten an Dritte weiter.
3. Welche Daten wir erheben
3.1 Registrierung und Benutzerkonto
Bei der Registrierung erheben wir: E-Mail-Adresse, Vor- und Nachname. Optional können Sie ein Profilbild, eine Rechnungsadresse sowie Telefonnummer hinterlegen. Bei Unternehmenskonten erfassen wir zusätzlich den Firmennamen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.2 Nutzungsdaten
Während der Nutzung der Plattform speichern wir Lernfortschritte, Kurseinschreibungen, Quiz-Ergebnisse und Zertifikate. Diese Daten sind für die Bereitstellung der Lernplattform erforderlich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.3 Zahlungsdaten
Bei kostenpflichtigen Kursen oder Abonnements werden Zahlungsinformationen (Kreditkartendaten, SEPA-Daten) ausschließlich von Stripe verarbeitet. Wir selbst speichern keine Zahlungsmittel-Details – lediglich eine Referenz-ID für die Zuordnung sowie den Rechnungsbetrag.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
3.4 Session-Daten
Für die Authentifizierung verwenden wir ein Session-Cookie (ko_session).
Dieses Cookie ist technisch erforderlich und enthält keine personenbezogenen Daten –
lediglich eine zufällig generierte Session-ID. Die Session-Daten werden serverseitig
gespeichert und nach maximal 5 Tagen automatisch gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionalität).
4. Drittanbieter und Auftragsverarbeiter
Für den Betrieb der Plattform setzen wir folgende Drittanbieter ein. Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.
4.1 Stripe – Zahlungsabwicklung
| Anbieter | Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland |
| Zweck | Abwicklung von Einmalzahlungen und Abonnements, Rechnungsstellung, Erstattungen, Kundenverwaltung (Billing Portal) |
| Übermittelte Daten | E-Mail-Adresse, Name, Rechnungsadresse (bei Checkout), Stripe-Kunden-ID |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Zahlungsabwicklung ist für den Kaufvertrag zwingend erforderlich) |
| Speicherdauer | Gemäß steuerrechtlicher Aufbewahrungspflichten (7 Jahre in Österreich) |
| Datenschutz | stripe.com/at/privacy |
Stripe ist als Zahlungsdienstleister der einzige Drittanbieter, dem wir personenbezogene Daten übermitteln – und dies ausschließlich im Rahmen der Zahlungsabwicklung. Ohne diese Datenübermittlung können keine kostenpflichtigen Leistungen erbracht werden.
4.2 Brevo – Transaktions-E-Mails
| Anbieter | Brevo (ehemals Sendinblue), Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin, Deutschland |
| Zweck | Versand transaktionaler E-Mails: Login-Links, Registrierungsbestätigungen, Einladungen, Kursbenachrichtigungen |
| Übermittelte Daten | E-Mail-Adresse des Empfängers (keine weiteren personenbezogenen Daten) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zustellung systemrelevanter E-Mails) |
| Speicherdauer | E-Mail-Adressen werden nur für den jeweiligen Versandvorgang verarbeitet, keine dauerhafte Speicherung zu Marketingzwecken |
| Datenschutz | brevo.com/de/legal/privacypolicy |
Brevo wird ausschließlich für systemrelevante Transaktions-E-Mails eingesetzt – kein Newsletter, kein Marketing. Es wird lediglich die E-Mail-Adresse des Empfängers übermittelt. Der E-Mail-Inhalt wird von unserem Server generiert.
4.3 Bunny.net – Video-Streaming und Datei-Hosting
| Anbieter | BunnyWay d.o.o., Cesta komandanta Staneta 4A, 1215 Medvode, Slowenien (EU) |
| Zweck | Hosting und Auslieferung von Kursvideos (Stream), Profilbildern, Kursunterlagen (PDFs), Audio-Dateien und Zertifikaten über ein Content Delivery Network (CDN) |
| Übermittelte Daten | IP-Adresse (technisch bedingt bei jedem CDN-Abruf). Es werden keine personenbezogenen Daten aktiv an Bunny.net übermittelt – die Dateien selbst enthalten keine Benutzerdaten. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der performanten und sicheren Auslieferung von Inhalten) |
| Speicherdauer | Dateien werden gespeichert, solange der zugehörige Kurs oder Inhalt aktiv ist |
| Datenschutz | bunny.net/privacy |
Bunny.net ist ein europäischer CDN- und Streaming-Anbieter mit Sitz in Slowenien. Die Server, die für KURSEonline verwendet werden, befinden sich innerhalb der EU. Es werden keine personenbezogenen Nutzerdaten an Bunny.net übermittelt – lediglich die IP-Adresse wird technisch bedingt beim Abruf von Inhalten verarbeitet.
4.4 IONOS – Server-Hosting
| Anbieter | IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Deutschland |
| Zweck | Hosting der Anwendung, Datenbank und Session-Verwaltung (Webserver, PostgreSQL-Datenbank, Redis) |
| Übermittelte Daten | Alle auf der Plattform verarbeiteten Daten werden auf IONOS-Servern gespeichert (Datenbank, Sessions). Es erfolgt keine Weitergabe an IONOS als eigenständigen Empfänger – IONOS stellt lediglich die Infrastruktur bereit. |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am zuverlässigen Betrieb der Plattform) sowie Art. 28 DSGVO (Auftragsverarbeitung) |
| Serverstandort | Deutschland (EU) |
| Datenschutz | ionos.de/terms-gtc/datenschutzerklaerung |
5. Keine Weitergabe an Dritte zu Marketingzwecken
Wir verkaufen, vermieten oder teilen Ihre personenbezogenen Daten nicht mit Dritten zu Marketing- oder Werbezwecken. Die Datenübermittlung an die unter Punkt 4 genannten Auftragsverarbeiter erfolgt ausschließlich zum Zweck der Vertragserfüllung und des Plattformbetriebs.
6. Cookies
KURSEonline verwendet ausschließlich ein technisch notwendiges Session-Cookie:
| Name | Zweck | Dauer | Art |
|---|---|---|---|
ko_session | Authentifizierung und Session-Verwaltung | max. 5 Tage | Technisch erforderlich (HttpOnly, Secure, SameSite=Lax) |
Da es sich um ein technisch notwendiges Cookie handelt, ist gemäß § 165 Abs. 3 TKG 2021 keine Einwilligung erforderlich. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.
7. Ihre Rechte
Sie haben jederzeit das Recht auf:
Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie gespeichert haben. Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten. Löschung (Art. 17 DSGVO) – Löschung Ihrer Daten, sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Einschränkung der Verarbeitung (Art. 18 DSGVO). Datenübertragbarkeit (Art. 20 DSGVO) – Ihre Daten in einem maschinenlesbaren Format. Widerspruch (Art. 21 DSGVO) – Gegen die Verarbeitung auf Basis berechtigter Interessen.
Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter kiara@digitaleprojekte.at.
8. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt, es sei denn, gesetzliche Aufbewahrungspflichten stehen dem entgegen. Im Einzelnen:
Benutzerkonto: Bis zur Löschung des Kontos durch den Nutzer oder auf Anfrage. Zahlungsdaten: 7 Jahre gemäß § 132 BAO (Bundesabgabenordnung). Session-Daten: Maximal 5 Tage, danach automatische Löschung. Lernfortschritte: Bis zur Löschung des Benutzerkontos.
9. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten: verschlüsselte Übertragung (TLS/HTTPS), HttpOnly-Session-Cookies, passwortloses Login-Verfahren (Magic Links), serverseitige Session-Verwaltung in Redis mit automatischer Ablaufzeit sowie regelmäßige Sicherheitsupdates.
10. Datenübermittlung in Drittländer
Stripe hat seinen europäischen Sitz in Irland und verarbeitet Daten innerhalb der EU. Eine Übermittlung in die USA kann im Rahmen der Stripe-Infrastruktur stattfinden – dies ist durch das EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023) abgedeckt.
Alle anderen Auftragsverarbeiter (Brevo, Bunny.net, IONOS) verarbeiten Daten ausschließlich innerhalb der EU.
11. Beschwerderecht
Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
E-Mail: dsb@dsb.gv.at
Website: dsb.gv.at
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf zu aktualisieren, insbesondere bei Änderungen der eingesetzten Dienste oder der Rechtslage. Die aktuelle Fassung ist stets auf dieser Seite abrufbar.