Zurück

Datenschutz

Datenschutzerklärung

Gemäß Datenschutz-Grundverordnung (DSGVO) und österreichischem Datenschutzgesetz (DSG). Stand: Februar 2026.

1. Verantwortliche

Johanna Maislinger
Steinbruch 5, 4822 Bad Ischl, Österreich
E-Mail: vision@bodenblick.com

Die Verantwortliche entscheidet allein über Zwecke und Mittel der Verarbeitung personenbezogener Daten in der Web-App „TrackMyHorse" (nachfolgend „TrackMyHorse" oder „die App").

2. Welche Daten wir verarbeiten

Wir verarbeiten ausschließlich die Daten, die für den Betrieb der App notwendig sind bzw. von Ihnen aktiv eingegeben werden:

  • Registrierungsdaten: Name, E-Mail-Adresse, Passwort (gehasht mit bcrypt — das Klartext-Passwort ist uns nie bekannt).
  • Nutzerinhalte: Pferdedaten (Name, Rasse, Geburtsdatum, UELN, Stammbaum), Gesundheitsdaten (Impfungen, Behandlungen), Zuchtdaten (Besamungen, Trächtigkeiten), Finanzdaten (Kosten, Rechnungen), Bilder und Videos.
  • Technische Daten: IP-Adresse, Browser-Typ, Zugriffszeitpunkt (in Server-Logs, max. 30 Tage gespeichert zum Schutz vor Missbrauch).
  • Nutzungseinstellungen (Local Storage): Sprach-Präferenz (DE/EN), Dark-Mode-Einstellung, Auth-Token. Diese verbleiben ausschließlich in Ihrem Browser.

3. Rechtsgrundlagen der Verarbeitung

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) — für die Bereitstellung der App-Funktionen nach Ihrer Registrierung.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) — für Server-Logs zur IT-Sicherheit und Missbrauchsprävention.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — für optionale Funktionen wie KI-Analysen oder E-Mail-Benachrichtigungen, jederzeit widerruflich.

4. Speicherort & Serverstandort

Alle Nutzerdaten (Datenbank, Datei-Uploads) werden in der Europäischen Union gespeichert. Server und Datenbank werden durch unseren Cloud-Hosting-Anbieter (Emergent / Kubernetes-Cluster in der EU) betrieben. Ein Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO liegt vor.

Der Anwendungs-Zugriff (Auslieferung der Web-App und API-Aufrufe) erfolgt über das Cloudflare-Netzwerk (siehe Abschnitt 5, „Cloudflare"), das als Reverse-Proxy, TLS-Terminierung und DDoS-Schutz fungiert. Dabei werden technische Zugriffsdaten (z.B. IP-Adresse) durch Cloudflare kurzzeitig verarbeitet, aber keine anwendungsseitigen Nutzdaten dauerhaft gespeichert.

5. Eingesetzte Drittdienste

TrackMyHorse nutzt ausgewählte Drittanbieter. Diese sind strikt auf technisch notwendige Zwecke beschränkt und erhalten ausschließlich die für den jeweiligen Zweck minimal notwendigen Daten. Es findet kein Tracking, keine Werbung, kein Nutzerprofiling statt.

Google Gemini (KI-Analyse & Rechnungs-OCR)

Bilder/Dokumente, die Sie zur KI-Analyse oder Rechnungs-Erkennung hochladen, werden an Google Gemini übertragen. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Aktivierung optional pro Nutzerkonto. Datenschutz: policies.google.com/privacy

Emergent Object Storage (Datei-Upload)

Hochgeladene Pferdefotos und Dokumente werden im Emergent-eigenen Object Storage (EU) gespeichert. Zugriff nur durch authentifizierte Nutzer.

Resend (E-Mail-Benachrichtigungen)

Für optionale Erinnerungs-E-Mails (z.B. Impfungen fällig) und Password-Reset-Mails nutzen wir den transaktionalen E-Mail-Dienst Resend, betrieben von Plus Five Five, Inc. (USA). Übertragen werden nur Empfänger-E-Mail-Adresse und Inhalt der Benachrichtigung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung für systemrelevante Mails wie Password-Reset).
Auftragsverarbeitung: Ein Auftragsverarbeitungsvertrag (Data Processing Addendum, DPA) nach Art. 28 DSGVO wurde am 14.01.2026 unterzeichnet.
Drittland-Transfer: USA — abgesichert über EU-Standardvertragsklauseln (SCC) gem. Art. 46 Abs. 2 lit. c DSGVO sowie EU-U.S. Data Privacy Framework.
Sub-Auftragsverarbeiter: resend.com/legal/subprocessors
Datenschutzerklärung: resend.com/legal/privacy-policy

Open-Meteo (Wetter-Widget)

Anonyme Abfrage lokaler Wetterdaten. Es werden keine personenbezogenen Daten übertragen. Datenschutz: open-meteo.com/en/terms

OEPS & PZA Turnier-/Zuchtkalender (öffentliche Events)

Öffentlich verfügbare Event-Daten werden automatisiert aus den Webseiten des Österreichischen Pferdesportverbands (OEPS) sowie des Pferdezuchtverbands Austria (PZA) ausgelesen und in unserer Datenbank gespeichert. Es werden keine personenbezogenen Daten verarbeitet.

Schriftarten (self-hosted)

Die verwendeten Schriftarten („Cormorant Garamond" und „Manrope") werden lokal auf unseren EU-Servern gehostet. Es findet keine Verbindung zu Google Fonts oder anderen externen CDNs statt.

Zwei-Faktor-Authentifizierung (optional)

Falls aktiviert, wird ein zeitbasierter Code (TOTP, RFC 6238) lokal auf Ihrem Gerät durch Ihre Authenticator-App generiert. TrackMyHorse speichert nur das zur Verifizierung nötige Secret, verschlüsselt in unserer EU-Datenbank. Es findet keine Übertragung an Dritte statt.

Keine Tracking- oder Analyse-Dienste

TrackMyHorse nutzt weder Google Analytics, PostHog, Facebook Pixel noch andere Tracking-/Analyse-Dienste. Es findet kein Profiling statt, keine Daten werden an Werbenetzwerke übermittelt.

Cloudflare (CDN & DDoS-Schutz)

Unsere Domain trackmyhorse.org wird über das Content-Delivery-Network von Cloudflare, Inc. (101 Townsend St., San Francisco, CA 94107, USA) ausgeliefert. Cloudflare stellt Schutz vor Distributed-Denial-of-Service-Attacken, TLS/HTTPS-Verschlüsselung und Performance-Optimierung bereit. Bei jedem Seitenaufruf verarbeitet Cloudflare zwangsläufig technische Zugriffsdaten (IP-Adresse, Zeitstempel, HTTP-Header, User-Agent) zur Verbindungsherstellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit unserer Dienste).
Auftragsverarbeitung: Cloudflare Customer Data Processing Addendum (DPA) Version 6.4 vom 3. April 2026 — ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO wird mit Nutzung der Dienste automatisch wirksam.
Drittland-Transfer: Teilweise USA — abgesichert über EU-U.S. Data Privacy Framework und EU-Standardvertragsklauseln (SCC) gem. Art. 46 DSGVO inklusive UK-Addendum und Schweizer FADP-Ergänzungen.
Sub-Auftragsverarbeiter: cloudflare.com/gdpr/subprocessors
Zertifizierungen: ISO/IEC 27001, ISO/IEC 27701, SOC 2 Type II, PCI DSS Level 1, Global CBPR & PRP System.
DPA-Text abrufbar: cloudflare.com/cloudflare-customer-dpa

6. Cookies & lokale Speicherung

TrackMyHorse verwendet keine Tracking- oder Marketing-Cookies. Wir speichern im Browser ausschließlich:

  • Technisch notwendig: Auth-Token (für Ihre Anmeldung) – verfällt automatisch.
  • Funktional: Sprach-Präferenz, Dark-Mode-Einstellung – verbleibt ausschließlich bei Ihnen.
  • PWA-Cache (Service Worker): Zwischenspeichern statischer Dateien für den Offline-Modus.

Eine Zustimmung für rein technisch notwendige Speicherung ist nicht erforderlich. Sie können diese Daten jederzeit in Ihrem Browser löschen.

Cookie-Consent-Hinweis (eigenes Tool)

Beim ersten Seitenaufruf erscheint ein selbst entwickelter Informations-Hinweis, der Sie über unsere Datenspeicher-Praxis informiert. Ihre Kenntnisnahme wird ausschließlich lokal in Ihrem Browser gespeichert (localStorage-Schlüssel tmh_cookie_consent_v1, Zeitstempel und Versionsnummer). Es werden keine Daten an Dritte übertragen, kein externes Consent-Management-Tool (wie Cookiebot, Usercentrics o. ä.) wird eingesetzt. Sie können diesen Eintrag jederzeit über die Entwicklerwerkzeuge Ihres Browsers oder durch Löschen der Website-Daten entfernen — dann erscheint der Hinweis beim nächsten Besuch erneut.

7. Speicherdauer

  • Nutzerkonto: Bis zur Löschung durch Sie.
  • Nutzerinhalte: Bis zur Löschung durch Sie oder Kontoschließung.
  • Server-Logs: Maximal 30 Tage, danach automatische Löschung.
  • Backups: Bis zu 90 Tage, anschließend automatische Löschung.

8. Ihre Rechte nach DSGVO

Als betroffene Person haben Sie das Recht auf:

  • Auskunft (Art. 15 DSGVO) – welche Daten über Sie gespeichert sind,
  • Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten,
  • Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden") – vollständige Entfernung Ihrer Daten,
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO) – Export Ihrer Daten in maschinenlesbarem Format,
  • Widerspruch (Art. 21 DSGVO) gegen Verarbeitung auf Basis berechtigter Interessen,
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – jederzeit mit Wirkung für die Zukunft.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte formlos per E-Mail an vision@bodenblick.com. Innerhalb der App können Sie Ihre Daten jederzeit selbst als PDF/Excel exportieren und Pferde bzw. den gesamten Account löschen.

9. Beschwerderecht

Sie haben das Recht, sich bei der Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
Tel.: +43 1 52 152 – 0 · E-Mail: dsb@dsb.gv.at
Web: www.dsb.gv.at

10. Sicherheit

Wir schützen Ihre Daten durch technische und organisatorische Maßnahmen nach dem Stand der Technik:

  • Verschlüsselte Übertragung via HTTPS (TLS 1.2+)
  • Passwort-Hashing mit bcrypt
  • Token-basierte Authentifizierung (JWT)
  • Zugriffsbeschränkung auf Produktionssysteme
  • Regelmäßige Backups

11. Mehrbenutzer-Funktion / Datenfreigabe

Wenn Sie ein Pferd mit anderen Nutzern (z.B. Tierarzt, Reitbeteiligung, Stallbesitzer) teilen, werden die entsprechenden Daten diesen Nutzern innerhalb der App sichtbar. Die Freigabe erfolgt ausschließlich auf Ihre aktive Veranlassung. Sie können Freigaben jederzeit widerrufen.

12. Kinder

TrackMyHorse richtet sich an volljährige Personen bzw. an Minderjährige mit Einwilligung eines Erziehungsberechtigten (mindestens 14 Jahre gemäß § 4 Abs. 4 DSG).

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche oder technische Rahmenbedingungen ändern. Die jeweils aktuelle Version finden Sie stets auf dieser Seite.

Impressum · Datenschutzerklärung · AGB