FinOptory for SAP®

Datenschutzerklärung

gemäß Art. 13, 14 DSGVO · Stand: Februar 2026

1. Verantwortlicher

GD Green Dopamine GmbH
Seehügelweg 1f
9500 Villach, Österreich
UID-Nr.: ATU78344267
E-Mail: backoffice@green-dopamine.at
Web: www.green-dopamine.at

2. Geltungsbereich

Diese Datenschutzerklärung gilt für die folgenden Dienste der GD Green Dopamine GmbH (nachfolgend „wir"):

  • finoptory.ai — Marketing-Website mit Informations- und Kontaktangeboten,
  • app.finoptory.ai — SaaS-Plattform „FinOptory for SAP RISE" zur vertraglichen und wirtschaftlichen Steuerung von SAP-RISE-Verträgen.

Soweit Abschnitte nur für einen der beiden Dienste gelten, ist dies ausdrücklich gekennzeichnet.

3. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten vertraulich und ausschließlich im Einklang mit der Datenschutz-Grundverordnung (DSGVO), dem österreichischen Datenschutzgesetz (DSG) sowie dieser Datenschutzerklärung.

Personenbezogene Daten werden nur erhoben, soweit dies zur Bereitstellung unserer Dienste erforderlich ist oder Sie eingewilligt haben. Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten.

4. Website (finoptory.ai)

4.1 Hosting

Die Website wird bei Vercel Inc. (440 N Barranca Ave #4133, Covina, CA 91723, USA) gehostet. Beim Besuch der Website erfasst Vercel automatisch technische Zugriffsdaten in Server-Logfiles:

  • IP-Adresse des anfragenden Rechners,
  • Datum und Uhrzeit des Zugriffs,
  • Name und URL der abgerufenen Datei,
  • übertragene Datenmenge,
  • Browsertyp und -version, Betriebssystem,
  • Referrer-URL.

Diese Daten sind technisch erforderlich, um die Website bereitzustellen, und werden zur Gewährleistung von Stabilität und Sicherheit verarbeitet.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: Server-Logfiles werden nach spätestens 30 Tagen gelöscht.

4.2 Kontakt- und Lead-Formulare

Bei Nutzung unserer Kontakt- oder Lead-Formulare werden folgende Daten erhoben:

  • Name, E-Mail-Adresse, Nachricht,
  • optional: Unternehmen, Telefonnummer.

Die Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Der E-Mail-Versand erfolgt über Resend Inc. (2261 Market Street #5039, San Francisco, CA 94114, USA).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung).
Speicherdauer: Nach abschließender Bearbeitung Ihrer Anfrage werden die Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

4.3 Webanalyse (Plausible)

Wir setzen Plausible Analytics ein — einen datenschutzfreundlichen Analysedienst, der keine Cookies verwendet, keine personenbezogenen Daten erhebt und keine Nutzerprofile erstellt. Es werden ausschließlich aggregierte, anonyme Nutzungsstatistiken erfasst (z. B. Seitenaufrufe, Verweisquellen, Gerätekategorie).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Websiteoptimierung).
Weitere Informationen: plausible.io/data-policy

5. SaaS-Plattform (app.finoptory.ai)

Die nachfolgenden Abschnitte gelten für registrierte Nutzer der Plattform „FinOptory for SAP RISE". Der Zugang setzt einen Vertrag zwischen uns und dem Unternehmen des Nutzers (dem „Auftraggeber") voraus.

5.1 Nutzerkonten und Authentifizierung

Bei der Registrierung und Nutzung eines Kontos verarbeiten wir:

  • Vor- und Nachname, geschäftliche E-Mail-Adresse,
  • Passwort-Hash (wir speichern Passwörter nie im Klartext),
  • Unternehmenszugehörigkeit, Abteilung, Funktion/Rolle,
  • Login-Zeitpunkte, IP-Adresse bei Anmeldung.

Die Authentifizierung erfolgt über E-Mail/Passwort oder Single Sign-On (Azure Entra ID). Für alle Nutzer ist Multi-Faktor-Authentifizierung (MFA) verpflichtend. Die Kontoverwaltung erfolgt über Supabase Inc. (San Francisco, USA).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Kontodaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Vertragsende gemäß den Regelungen in Abschnitt 8 gelöscht.

5.2 Vertragsdaten und Dokumentenspeicher

Im Rahmen der Vertragssteuerung verarbeiten wir Vertragsdokumente und -daten, die vom Auftraggeber hochgeladen oder eingegeben werden. Diese können personenbezogene Daten enthalten (z. B. Kontaktpersonen, Unterschriften, Ansprechpartner in SAP-RISE-Verträgen).

Dokumente werden verschlüsselt gespeichert (AES-256 at rest). Der Zugriff ist durch mandantenbasierte Datentrennung (Row-Level Security) und rollenbasierte Zugriffskontrolle beschränkt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); für in Dokumenten enthaltene Daten Dritter: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Auftraggebers an der Vertragssteuerung).
Speicherdauer: Für die Dauer des Vertragsverhältnisses. Nach Vertragsende siehe Abschnitt 8.

5.3 KI-gestützte Vertragsanalyse

Auf Anforderung des Nutzers analysiert unsere Plattform Vertragsdokumente mithilfe von KI-Modellen (Anthropic, PBC, San Francisco, USA). Dabei werden Vertragsinhalte an die API von Anthropic übermittelt, ausschließlich zur Verarbeitung der konkreten Anfrage.

Anthropic speichert übermittelte Daten nicht dauerhaft und nutzt sie nicht zum Training von KI-Modellen. Die Verarbeitung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — die KI-Analyse ist Bestandteil des beauftragten Managed Service).

5.4 Audit-Protokollierung

Zur Nachvollziehbarkeit und Sicherheit protokollieren wir alle datenschutzrelevanten Aktivitäten auf der Plattform:

  • Nutzer (Name/ID), durchgeführte Aktion, Zeitstempel,
  • betroffene Entität (z. B. Vertrag, Dokument).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit, Nachvollziehbarkeit und Compliance) sowie Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, soweit einschlägig).
Speicherdauer: Audit-Logs werden für die Dauer des Vertragsverhältnisses sowie für die Dauer gesetzlicher Aufbewahrungspflichten gespeichert.

5.5 Transaktionale E-Mails

Für den Versand systembezogener E-Mails (Einladungen, Benachrichtigungen, Passwort-Zurücksetzung) nutzen wir den Dienst Resend Inc. Dabei wird Ihre E-Mail-Adresse und ggf. Ihr Name an Resend übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.6 Session-Management

Die Plattform verwendet technisch notwendige Session-Tokens (Cookies bzw. Local Storage) zur Aufrechterhaltung der authentifizierten Sitzung. Diese enthalten keine personenbezogenen Daten und werden bei Logout oder nach Ablauf der Sitzungszeitbegrenzung gelöscht. Ein Cookie-Banner ist hierfür nicht erforderlich, da es sich ausschließlich um technisch notwendige Cookies handelt (Art. 5 Abs. 3 ePrivacy-Richtlinie).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Empfänger und Auftragsverarbeiter

Wir setzen die folgenden Dienstleister als Auftragsverarbeiter ein. Mit jedem Dienstleister besteht eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

Dienstleister Sitz Zweck Dienst
Supabase, Inc. San Francisco, USA Datenbank, Authentifizierung, verschlüsselter Dateispeicher App
Vercel, Inc. San Francisco, USA Hosting, Serverless Functions, CDN Website + App
Anthropic, PBC San Francisco, USA KI-gestützte Vertragsanalyse App
Resend, Inc. San Francisco, USA Transaktionale E-Mails (Formulare, Einladungen, Benachrichtigungen) Website + App
Plausible Insights OÜ Tallinn, Estland (EU) Cookielose Webanalyse (keine personenbezogenen Daten) Website

Eine weitergehende Übermittlung an sonstige Dritte findet nicht statt, es sei denn, wir sind gesetzlich dazu verpflichtet oder Sie haben ausdrücklich eingewilligt.

7. Datenübermittlung in Drittländer

Einige unserer Dienstleister haben ihren Sitz in den USA. Wir stellen sicher, dass ein angemessenes Datenschutzniveau gewährleistet ist, insbesondere durch:

  • EU-Standardvertragsklauseln (SCCs) gemäß Durchführungsbeschluss (EU) 2021/914,
  • Angemessenheitsbeschlüsse der Europäischen Kommission, soweit anwendbar (EU-U.S. Data Privacy Framework).

Auf Anfrage stellen wir Ihnen die jeweils einschlägigen Garantien zur Verfügung.

8. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Website-Formulardaten: Nach abschließender Bearbeitung der Anfrage, sofern keine gesetzliche Aufbewahrungspflicht besteht.
  • Server-Logfiles: Maximal 30 Tage.
  • Plattform-Nutzerkonten: Für die Dauer des Vertragsverhältnisses zwischen uns und dem Auftraggeber.
  • Vertragsdaten und Dokumente: Für die Dauer des Vertragsverhältnisses. Nach Vertragsende kann der Auftraggeber innerhalb von vier (4) Wochen einen Datenexport anfordern. Danach werden alle Daten unwiderruflich gelöscht.
  • Audit-Logs: Für die Dauer des Vertragsverhältnisses zuzüglich etwaiger gesetzlicher Aufbewahrungsfristen.

Soweit gesetzliche Aufbewahrungspflichten bestehen (z. B. nach BAO, UGB), werden betroffene Daten bis zum Ablauf der Frist gesperrt und anschließend gelöscht.

9. Cookies und lokale Speicherung

Website (finoptory.ai): Unsere Website verwendet keine Cookies und kein Tracking. Plausible Analytics arbeitet vollständig cookielos.

App (app.finoptory.ai): Die Plattform setzt ausschließlich technisch notwendige Session-Tokens ein (via Cookie oder Local Storage), um Ihre authentifizierte Sitzung aufrechtzuerhalten. Diese werden bei Logout oder nach Ablauf der Sitzung automatisch entfernt. Marketing- oder Analyse-Cookies werden nicht eingesetzt.

10. SSL-/TLS-Verschlüsselung

Sämtliche Verbindungen zu unseren Diensten sind mit TLS 1.2 oder höher verschlüsselt. Ruhende Daten in der SaaS-Plattform werden zusätzlich mit AES-256 verschlüsselt.

11. Ihre Rechte

Sie haben gemäß DSGVO jederzeit folgende Rechte:

  • Auskunft (Art. 15 DSGVO) — Welche Daten wir über Sie verarbeiten,
  • Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten,
  • Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten, soweit keine Aufbewahrungspflicht besteht,
  • Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung,
  • Datenübertragbarkeit (Art. 20 DSGVO) — Herausgabe Ihrer Daten in einem gängigen Format,
  • Widerspruch (Art. 21 DSGVO) — Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen.

Für Website-Besucher: Richten Sie Ihre Anfrage an backoffice@green-dopamine.at.

Für Plattform-Nutzer: Bitte wenden Sie sich zunächst an den Datenschutzbeauftragten oder die zuständige Stelle Ihres Unternehmens (des Verantwortlichen). Wir unterstützen Ihren Arbeitgeber bei der Erfüllung Ihrer Rechte im Rahmen unserer Auftragsverarbeitung.

12. Externe Links

Unsere Dienste enthalten Links zu externen Websites Dritter. Auf deren Inhalte haben wir keinen Einfluss. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter verantwortlich.

13. Beschwerderecht bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

14. Data Processing Agreement (B2B)

Soweit wir personenbezogene Daten im Auftrag unserer Geschäftskunden verarbeiten, gelten die Bestimmungen unseres Data Processing Agreement (DPA) nach Art. 28 DSGVO. Die aktuelle Fassung ist unter finoptory.ai/auftragsverarbeitung veröffentlicht.

15. Aktualität dieser Datenschutzerklärung

Diese Datenschutzerklärung ist aktuell gültig. Stand: Februar 2026.

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder Änderungen unserer Dienste anzupassen. Die jeweils aktuelle Fassung ist unter finoptory.ai/privacy-policy abrufbar.

Bei Fragen zum Datenschutz wenden Sie sich an backoffice@green-dopamine.at.