Datenschutzerklärung
für die PolizzPilot Software-Lösung — gemäß Art. 13 / 14 DSGVO sowie § 1 ff. DSG
Version: 1.1
Stand: 28. Mai 2026
Anwendbares Recht: Österreich (DSGVO + DSG idgF)
§ 1 Verantwortlicher und Datenschutz-Ansprechpartner
(1) Verantwortlicher im Sinne der DSGVO und sonstiger nationaler Datenschutzgesetze für die Verarbeitungen, die sich aus dieser Datenschutzerklärung ergeben, ist:
PolizzPilot
—
UID-Nummer: —
Firmenbuch: —
GISA-Zahl: —
E-Mail: office@polizzpilot.at
Web: https://polizzpilot.at/legal
(2) Datenschutzbeauftragter bzw. interner Ansprechpartner für Datenschutzanfragen:
- Name: —
- E-Mail:
datenschutz@polizzpilot.at - Telefon: —
Sämtliche Anfragen zur Verarbeitung Ihrer personenbezogenen Daten, zur Ausübung Ihrer Betroffenenrechte (vgl. § 9) sowie etwaige Beschwerden können Sie an die oben genannten Kontaktdaten richten.
§ 2 Differenzierung der Datenschutz-Rollen
PolizzPilot tritt im Verhältnis zu unterschiedlichen Personenkreisen in unterschiedlichen Rollen auf:
| Personenkreis | Rolle des Anbieters | Rechtsgrundlage |
|---|---|---|
| Angemeldete Nutzer (Kunden) — Versicherungsvermittler (Makler und Agenten) | Eigenständig Verantwortlicher — Verarbeitung für Vertrags-, Abrechnungs- und Support-Zwecke | Art. 6 Abs. 1 lit. b, c, f DSGVO |
| Endkunden der Kunden — Personen, deren Versicherungsdaten der Kunde in die Software einträgt | Auftragsverarbeiter für den Kunden — Verarbeitung erfolgt im Auftrag und nach Weisung des Kunden gemäß AVV | Art. 28 DSGVO; Rechtsgrundlage liegt beim Kunden |
| Website-Besucher / Lead-Anfragende | Eigenständig Verantwortlicher — Bereitstellung der Website, Analyse, Lead-Bearbeitung | Art. 6 Abs. 1 lit. a, f DSGVO |
| Bewerber:innen (falls zutreffend) | Eigenständig Verantwortlicher — Bewerbungsverfahren | Art. 6 Abs. 1 lit. b DSGVO iVm. § 26 DSG |
Diese Datenschutzerklärung beschreibt alle Verarbeitungen, in denen der Anbieter als eigenständig Verantwortlicher auftritt. Für die Verarbeitung der Endkunden-Daten gelten zusätzlich die Bestimmungen des AVV; soweit dort detailliertere Aussagen getroffen sind, gehen diese vor.
§ 3 Verarbeitete Daten und Verarbeitungszwecke
3.1 Bei angemeldeten Nutzern (Kunden)
| # | Verarbeitungstätigkeit | Datenkategorien | Rechtsgrundlage | Zweck |
|---|---|---|---|---|
| 1 | Konto-Eröffnung & Authentifizierung | E-Mail, Passwort (gehashed), Vor-/Nachname | Art. 6 Abs. 1 lit. b DSGVO | Vertragsdurchführung, Login-Identifizierung |
| 2 | Stammdatenverwaltung | Firmenname, Adresse, UID, GISA, Telefon, Bankverbindung | Art. 6 Abs. 1 lit. b DSGVO | Vertragsabwicklung, Rechnungsstellung |
| 3 | Subscription- & Zahlungsabwicklung | Zahlungsmethode, Rechnungen, Zahlungsstatus | Art. 6 Abs. 1 lit. b, c DSGVO | Vertragserfüllung, gesetzliche Aufbewahrungspflichten (§ 132 BAO) |
| 4 | Support & Kommunikation | E-Mail-Korrespondenz, Support-Tickets, Telefonate | Art. 6 Abs. 1 lit. b, f DSGVO | Beantwortung von Anfragen, Vertragspflicht |
| 5 | Sicherheits-/Audit-Log | Login-Zeitpunkt, IP-Adresse, User-Agent, Aktivitäten in der Software | Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse: Schutz vor Missbrauch, Nachvollziehbarkeit |
| 6 | Direktwerbung an Bestandskunden | E-Mail-Adresse, Firmenname | Art. 6 Abs. 1 lit. f DSGVO iVm. § 174 TKG 2021 | Berechtigtes Interesse: Information über eigene ähnliche Produkte; Widerspruchsmöglichkeit jederzeit |
| 7 | Erfüllung gesetzlicher Pflichten | Diverse, je nach Anforderung | Art. 6 Abs. 1 lit. c DSGVO | Buchhaltung, Steuer, Geldwäsche-Prävention, behördliche Anordnungen |
Hinweis zur Reichweitenmessung: Auf der Website werden derzeit keine Analyse- oder Tracking-Dienste (z.B. Google Analytics, Meta-Pixel) und keine nicht-essentiellen Cookies eingesetzt. Sollten solche Dienste künftig eingeführt werden, erfolgt dies ausschließlich nach vorheriger Einwilligung über ein Cookie-Banner; diese Datenschutzerklärung wird zuvor entsprechend aktualisiert.
3.2 Bei Endkunden der Kunden (Auftragsverarbeitung)
Die Verarbeitung von Endkunden-Daten erfolgt ausschließlich im Auftrag und nach Weisung des Kunden. Der Anbieter ist hier Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Verarbeitete Datenkategorien sind im AVV in Anhang 3 detailliert beschrieben und umfassen unter anderem:
- Stammdaten (Name, Adresse, Geburtsdatum)
- Kontaktdaten (E-Mail, Telefon)
- Vertrags- und Versicherungsdaten (Polizzennummer, Versicherer, Prämie, Vertragsbeginn)
- Fahrzeugdaten (FIN, Kennzeichen) — bei KFZ-Versicherungen
- Bankdaten (IBAN, BIC) — für SEPA-Mandate, verschlüsselt gespeichert
- ggf. Gesundheitsdaten (Art. 9 DSGVO) — bei Krankenversicherungen, Berufsunfähigkeit
- Dokumente (Versicherungspolizzen, Kündigungsschreiben, Vollmachten)
Rechtsgrundlage und Verarbeitungszweck dieser Daten liegen im Verantwortungsbereich des Kunden (Art. 28 Abs. 3 DSGVO). Der Anbieter führt diese Verarbeitung nur auf Grundlage dokumentierter Weisungen durch.
3.3 Bei Website-Besuchern und Lead-Anfragenden
| # | Verarbeitungstätigkeit | Datenkategorien | Rechtsgrundlage | Zweck |
|---|---|---|---|---|
| 1 | Bereitstellung der Website | IP-Adresse, User-Agent, Datum/Uhrzeit, abgerufene Seite | Art. 6 Abs. 1 lit. f DSGVO | Berechtigtes Interesse: Bereitstellung, Sicherheit |
| 2 | Lead-Anfragen über Kontaktformular | Name, E-Mail, Firmenname, Anliegen | Art. 6 Abs. 1 lit. a, b DSGVO | Beantwortung der Anfrage, Vertragsanbahnung |
| 3 | Newsletter (sofern abonniert) | E-Mail-Adresse | Art. 6 Abs. 1 lit. a DSGVO | Versand des Newsletters; jederzeit widerrufbar |
§ 4 Empfänger personenbezogener Daten — Sub-Auftragsverarbeiter
(1) Im Rahmen der Bereitstellung der Software setzen wir Dienstleister ein, die personenbezogene Daten in unserem Auftrag verarbeiten (Sub-Auftragsverarbeiter im Sinne des Art. 28 Abs. 4 DSGVO). Eine vollständige und stets aktuelle Liste dieser Sub-Auftragsverarbeiter ist im AVV (Anhang 1) sowie im Trust-Center unter https://polizzpilot.at/legal/subprocessors einsehbar.
(2) Die wichtigsten Sub-Auftragsverarbeiter sind:
| Anbieter | Sitz / Datenstandort | Zweck |
|---|---|---|
| Google Ireland / Google Cloud EMEA (Firebase) | Irland (EU) — Verarbeitung in europe-west1 (Belgien) |
Hosting, Datenbank, Authentifizierung |
| Google Ireland (Vertex AI / Gemini) | Irland (EU) — primär europe-west1 |
OCR und KI-gestützte Dokumentanalyse |
| Stripe Payments Europe Ltd. (mit Stripe Inc., USA) | Irland (EU) + USA | Zahlungsabwicklung, Rechnungserstellung |
| Twilio Ireland Ltd. (mit Twilio Inc., USA) | Irland (EU) + USA | SMS-Versand |
| Resend, Inc. | USA | Transaktionale E-Mails |
| Microsoft Ireland (Graph API, optional) | Irland (EU) | Outlook-Integration |
(3) Bei Übermittlungen in Drittländer (außerhalb EU/EWR), insbesondere in die USA, stützen wir uns auf:
- den Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023 (EU-US Data Privacy Framework) für zertifizierte US-Empfänger,
- Standardvertragsklauseln (SCCs) der EU-Kommission gemäß Durchführungsbeschluss (EU) 2021/914,
- ergänzende technische und organisatorische Maßnahmen (Verschlüsselung in Transit und at Rest, vertragliche Pflicht zur Information bei behördlichem Datenzugriff).
(4) Eine Übermittlung Ihrer Daten an sonstige Empfänger (z.B. Behörden, Gerichte, Anwälte, Wirtschaftsprüfer) erfolgt nur, soweit dies gesetzlich vorgeschrieben oder im Rahmen einer durchsetzbaren behördlichen Anordnung erforderlich ist.
§ 5 Cookies und vergleichbare Technologien
(1) Wir setzen ausschließlich technisch notwendige Cookies und lokalen Speicher ein, die für die Bereitstellung der Website und der Software erforderlich sind (insbesondere Session-ID und Authentifizierungstoken für den Login sowie die Speicherung Ihrer Anzeige-Präferenzen wie Theme/Sprache). Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. f DSGVO bzw. § 165 Abs. 3 TKG 2021 (technisch erforderlich).
(2) Wir verwenden derzeit keine Analyse-, Tracking- oder Marketing-Cookies und binden keine Drittanbieter-Tracking-Dienste (z.B. Google Analytics, Meta-/Facebook-Pixel) ein — weder auf der Website noch im eingeloggten Bereich der Software. Eine Einwilligung ist daher derzeit nicht erforderlich; ein Cookie-Banner wird nicht eingesetzt.
(3) Sollten wir künftig nicht-essentielle Cookies oder Tracking-Technologien einsetzen, werden diese erst nach Ihrer ausdrücklichen Einwilligung über ein dann eingeblendetes Cookie-Banner aktiviert (Art. 6 Abs. 1 lit. a DSGVO, § 165 TKG 2021); diese Datenschutzerklärung wird zuvor entsprechend angepasst.
§ 6 Speicherdauer
(1) Personenbezogene Daten werden nur so lange gespeichert, wie dies zur Erreichung des jeweiligen Verarbeitungszwecks erforderlich ist oder durch gesetzliche Aufbewahrungspflichten vorgegeben wird.
(2) Konkrete Speicherfristen:
| Datenkategorie | Speicherdauer | Rechtsgrundlage |
|---|---|---|
| Stammdaten (Kunden) | Während der gesamten aktiven Vertragsbeziehung | Vertragsdurchführung |
| Buchhaltungsrelevante Daten (Rechnungen, Verträge) | 7 Jahre nach Abschluss des Geschäftsjahrs | § 132 BAO |
| Beratungsprotokolle (sofern erfasst) | 5 Jahre nach Beendigung des Vertrages | § 137f GewO |
| Dokumente in der Software | Mindestens 7 Jahre, danach automatische Löschung | § 132 BAO |
| Sicherheits-/Audit-Logs | 1 Jahr (Auth-Events), 3 Jahre (Standard), 10 Jahre (sicherheitskritisch) | Art. 6 Abs. 1 lit. f DSGVO |
| Backups | 90 Tage operativ; archivierte Backups gemäß Aufbewahrungspflicht | Vertrags- bzw. gesetzliche Pflichten |
| Newsletter-Daten | Bis zum Widerruf der Einwilligung | Art. 7 DSGVO |
| Lead-Anfragen | 6 Monate nach Abschluss der Anfrage (sofern kein Vertrag zustande kommt) | Art. 6 Abs. 1 lit. f DSGVO |
(3) Daten unter gesetzlicher Aufbewahrungspflicht werden nach Ende der aktiven Verarbeitung in einer geschützten Archivumgebung (Soft-Delete mit Lese-Sperre) aufbewahrt und nach Ablauf der Frist endgültig gelöscht.
§ 7 Automatisierte Entscheidungsfindung und Profiling
(1) Im Rahmen der Software setzen wir KI-gestützte Funktionen zur OCR-Analyse und Datenextraktion aus Versicherungsdokumenten ein (vgl. AVV Anhang 1, Sub-Auftragsverarbeiter „Google Vertex AI / Gemini").
(2) Diese Verarbeitung stellt keine automatisierte Entscheidung mit Rechtswirkung im Sinne des Art. 22 DSGVO dar:
- Die KI-Auswertung dient ausschließlich der Datenerfassung (Texterkennung, Strukturierung in Felder).
- Sämtliche von der KI vorgeschlagenen Inhalte werden dem Kunden als Vorschlag angezeigt und bedürfen seiner aktiven Bestätigung vor Versand oder Speicherung.
- Es findet kein Scoring, keine Bonitäts- oder Risikoprüfung statt.
(3) Ein Profiling im Sinne des Art. 4 Nr. 4 DSGVO findet nicht statt. Eine Auswertung des Nutzungsverhaltens auf Einzelpersonen-Ebene erfolgt nicht.
§ 8 Sicherheit der Verarbeitung
(1) Wir treffen umfangreiche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre Daten vor unberechtigtem Zugriff, Verlust, Veränderung oder Zerstörung zu schützen. Eine vollständige Übersicht ist im AVV (Anhang 2) dokumentiert; die wichtigsten Maßnahmen umfassen:
- Verschlüsselung in Transit (TLS 1.2+) für sämtliche Datenverbindungen
- Verschlüsselung at Rest (AES-256) auf Cloud-Storage- und Datenbank-Ebene
- Mehrstufige Zugriffskontrolle mit individuellen Konten, Rollen-Konzept und auditierbaren Logs
- Sub-Auftragsverarbeiter mit Zertifizierungen (ISO 27001 / 27017 / 27018, SOC 1/2/3)
- Tägliche automatische Backups mit definiertem Recovery-Verfahren (RTO < 24h, RPO < 24h)
- Mandantentrennung auf Datenbank-Ebene durch Firestore Security Rules
- Sicherheitsüberprüfungen durch Code-Reviews; eine externe technische Sicherheitsüberprüfung (Penetrationstest) ist vor dem produktiven Rollout an Dritt-Vermittler vorgesehen
- Incident-Response-Prozess für Datenschutzvorfälle mit definierten Melde- und Eskalationswegen (72-Stunden-Frist gem. Art. 33 DSGVO)
(2) Trotz aller Sicherheitsmaßnahmen ist die Übertragung von Daten über das Internet niemals zu 100 % sicher. Eine absolute Sicherheit kann daher nicht garantiert werden. Sollte es zu einer Datenschutzverletzung kommen, informieren wir Sie unverzüglich gemäß Art. 33 / 34 DSGVO.
§ 9 Ihre Rechte als betroffene Person
Sie haben jederzeit das Recht, die folgenden Rechte gegenüber uns geltend zu machen:
(1) Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft darüber verlangen, welche personenbezogenen Daten wir über Sie verarbeiten, zu welchen Zwecken, an wen sie weitergegeben werden und wie lange sie gespeichert werden.
(2) Recht auf Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
(3) Recht auf Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, soweit kein gesetzlicher Aufbewahrungsgrund entgegensteht.
(4) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
(5) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten oder direkt an einen anderen Verantwortlichen übermitteln lassen.
(6) Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten widersprechen, sofern diese auf Art. 6 Abs. 1 lit. e oder f DSGVO beruht. Im Falle von Direktwerbung haben Sie ein uneingeschränktes Widerspruchsrecht.
(7) Widerrufsrecht (Art. 7 Abs. 3 DSGVO) — Soweit eine Verarbeitung auf Ihrer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.
(8) Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO) — Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig in Österreich ist die Datenschutzbehörde Österreich (Barichgasse 40-42, 1030 Wien, dsb@dsb.gv.at, www.dsb.gv.at).
(9) Geltendmachung der Rechte: Bitte richten Sie Ihre Anfragen an die in § 1 genannten Kontaktdaten. Wir bearbeiten Ihre Anfrage unverzüglich, spätestens innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Zur Identifikation kann eine Verifikation Ihrer Identität erforderlich sein.
§ 10 Pflicht zur Bereitstellung von Daten
(1) Die Bereitstellung Ihrer personenbezogenen Daten ist teilweise gesetzlich oder vertraglich erforderlich:
- Für den Vertragsschluss benötigen wir die in § 3 Abs. 3 lit. a-d AGB genannten Daten (Stammdaten, UID, Adresse).
- Für die Rechnungsstellung sind Adresse und ggf. UID gesetzlich erforderlich.
- Für die Authentifizierung benötigen wir E-Mail und Passwort.
(2) Eine Bereitstellung freiwilliger Daten (z.B. Telefonnummer für Support, Marketing-Einwilligung) ist nicht zwingend; eine Verweigerung führt jedoch dazu, dass wir die entsprechenden Funktionen nicht oder nur eingeschränkt anbieten können.
(3) Die Bereitstellung von Endkunden-Daten durch den Kunden ist für die zweckgemäße Nutzung der Software erforderlich. Die Verantwortung für die Rechtmäßigkeit der Verarbeitung liegt beim Kunden (vgl. AVV § 3).
§ 11 Quelle der Daten (Art. 14 DSGVO)
(1) Personenbezogene Daten von Endkunden verarbeiten wir grundsätzlich nicht direkt vom Betroffenen, sondern erhalten sie vom Kunden (Versicherungsvermittler) im Rahmen der Auftragsverarbeitung. Die Quellen sind insbesondere:
- Eingaben des Kunden in Formulare der Software
- Hochgeladene Dokumente (Versicherungsverträge, Polizzen, Antragsformulare)
- Übernahme aus bestehenden CRM-Systemen des Kunden
(2) Öffentlich zugängliche Daten (z.B. Firmenbuch-Auszüge, GISA-Verzeichnis) verarbeiten wir nicht aktiv. Sollte dies in Ausnahmefällen für Compliance-Prüfungen erforderlich sein, informieren wir die betroffene Person separat gemäß Art. 14 DSGVO.
§ 12 Änderungen dieser Datenschutzerklärung
(1) Wir passen diese Datenschutzerklärung an, sobald Änderungen der Verarbeitungstätigkeiten (z.B. Hinzunahme neuer Sub-Auftragsverarbeiter, Erweiterung des Funktionsumfangs der Software) oder rechtliche Anpassungen dies erforderlich machen.
(2) Bei wesentlichen Änderungen werden Sie über die in der Software hinterlegte E-Mail-Adresse sowie durch In-App-Hinweise informiert. Die jeweils aktuelle Fassung ist im Trust-Center und unter Einstellungen → Recht & Datenschutz einsehbar.
(3) Eine erneute Einwilligung wird eingeholt, soweit die rechtlichen Voraussetzungen dies erfordern.
§ 13 Kontakt für Datenschutzanfragen
Bei Fragen zur Verarbeitung Ihrer personenbezogenen Daten oder zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an:
E-Mail: datenschutz@polizzpilot.at
Telefon: —
Postanschrift: PolizzPilot, —, z.Hd. Datenschutzbeauftragter
Wir nehmen den Schutz Ihrer Daten sehr ernst und beantworten Ihre Anfragen unverzüglich, spätestens innerhalb eines Monats nach Eingang.
Diese Datenschutzerklärung wurde zuletzt am 28. Mai 2026 aktualisiert. Die jeweils gültige Version ist im Trust-Center unter https://polizzpilot.at/legal/datenschutz einsehbar.