Datenschutzerklärung

1. Verantwortlicher

2. Allgemeines

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen (DSGVO, österreichisches DSG). In dieser Erklärung informieren wir dich darüber, welche Daten wir wozu erheben und welche Rechte du hast.

Rechtsgrundlagen sind je nach Verarbeitung Art. 6 Abs. 1 lit. a (deine Einwilligung), lit. b (Vertragserfüllung), lit. c (rechtliche Verpflichtung) oder lit. f (berechtigtes Interesse) DSGVO.

3. Aufruf der Website (Server-Logs)

Beim Aufruf der Website verarbeitet unser Hosting-Provider (Hostinger International Ltd., Zypern) automatisch technische Daten wie IP-Adresse, Datum/Uhrzeit, aufgerufene URL, Browser und Betriebssystem. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (sicherer Betrieb). Speicherdauer: in der Regel max. 30 Tage.

4. Cookies, Speicher und Tracking

Wir verwenden technisch notwendige Cookies, um deinen Login-Status zu speichern. Eingesetzt wird NextAuth.js mit JWT-basierten Session-Cookies (next-auth.session-token), die ausschließlich auf montilab.at gesetzt werden.

• Zweck: Authentifizierung und Aufrechterhaltung deiner Sitzung.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Speicherdauer: bis zum Logout, max. 30 Tage.

Die folgende Übersicht listet alle Cookies und Browser-Speicher, die wir einsetzen. Essentielle Einträge sind für den Betrieb des Shops erforderlich und werden ohne Einwilligung gesetzt; sie lassen sich nicht abwählen. Analyse-Cookies setzen wir nur nach deiner ausdrücklichen Einwilligung.

Google Analytics 4 (nur mit Einwilligung)

Sofern du im Cookie-Banner der Kategorie Analysezustimmst, setzen wir Google Analytics 4 (Google Ireland Ltd., Irland; Google LLC, USA) zur anonymisierten Reichweitenmessung ein. Dabei werden die Cookies _ga und _ga_* (Laufzeit 2 Jahre) gesetzt. Wir nutzen den Google Consent Mode v2: Vor deiner Einwilligung wird GA nicht geladen, danach werden Analyse-Daten erst übermittelt.

• Empfänger: Google Ireland Ltd. / Google LLC.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung); du kannst sie jederzeit mit Wirkung für die Zukunft widerrufen.
• Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.
• Datenschutzerklärung: policies.google.com/privacy

Du kannst deine Einstellungen jederzeit unter Cookie-Einstellungen ändern oder widerrufen.

Alternativ zur Anmeldung mit Passwort bieten wir eine passwortlose Anmeldung per E-Mail-Link (Magic Link) an. Dabei senden wir an die von dir angegebene E-Mail-Adresse einen einmaligen Anmelde-Link, dem ein in unserer Datenbank gespeicherter Verifizierungs-Token zugrunde liegt. Dieser Token ist 15 Minuten gültig und wird nach Verwendung bzw. Ablauf ungültig. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

5. Kundenkonto & Bestellungen

Bei Registrierung und Bestellung verarbeiten wir Name, E-Mail-Adresse, Liefer- und Rechnungsadresse sowie Bestellhistorie. Diese Daten werden in unserer Datenbank (Supabase Postgres, EU-Region) gespeichert und für die Vertragsabwicklung sowie zur Erfüllung gesetzlicher Aufbewahrungspflichten (BAO: 7 Jahre) verwendet.

6. Zahlungsabwicklung (Stripe)

Zahlungen werden über Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin, Irland) abgewickelt. Beim Bezahlvorgang gibst du deine Zahlungsdaten direkt bei Stripe ein — wir speichern keine Kartendaten. Stripe ist nach PCI-DSS zertifiziert.

• Empfänger: Stripe Payments Europe, Ltd.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
• Datenschutzerklärung: stripe.com/at/privacy

7. Transaktions-E-Mails (Resend)

Für Bestell-, Versand- und Kontobestätigungen setzen wir ggf. Resend (Resend, Inc., USA) als E-Mail-Versanddienst ein. Übermittelt werden Empfänger-E-Mail und der Mailinhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datentransfer in die USA erfolgt auf Basis der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.

8. Kontaktformular & E-Mail

Wenn du uns über das Kontaktformular oder per E-Mail schreibst, werden deine Angaben (Name, E-Mail, Nachricht) zur Bearbeitung der Anfrage gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Wir löschen diese Daten, sobald die Anfrage erledigt ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

9. Reichweitenmessung (Plausible Analytics)

Zur anonymisierten Reichweitenmessung setzen wir Plausible Analytics ein. Plausible arbeitet cookielos und kommt daher ohne Cookie-Banner aus. Es werden keine Cookies gesetzt und keine personenbezogenen Profile gebildet; IP-Adressen werden nicht gespeichert. Die Auswertung erfolgt vollständig anonymisiert und ausschließlich aggregiert.

• Verarbeitung & Hosting innerhalb der EU (EU-Server).
• Zweck: anonyme Statistik über die Nutzung der Website (z. B. Seitenaufrufe).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer datensparsamen Reichweitenmessung).
• Datenschutzerklärung: plausible.io/data-policy

10. Fehler-Tracking (Sentry)

Zur technischen Stabilität setzen wir Sentry (Functional Software, Inc., USA) als Auftragsverarbeiter ein; der Betrieb erfolgt teilweise über die Infrastruktur von GitHub. Sentry erfasst Daten nur bei tatsächlichen Fehlern (etwa Fehlermeldung, betroffene Seite und technische Browser-/Server-Infos), damit wir diese beheben können. Es werden bewusst keine personenbezogenen Daten (keine PII) erfasst und keine Session-Replays aufgezeichnet.

• Empfänger: Functional Software, Inc. (Sentry).
• Zweck: Erkennung und Behebung technischer Fehler (sicherer Betrieb).
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
• Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.
• Datenschutzerklärung: sentry.io/privacy

11. Weitergabe an Dritte

Eine Weitergabe deiner Daten findet ausschließlich an Dienstleister statt, die für den Betrieb des Shops erforderlich sind: Hosting (Hostinger), Datenbank (Supabase), Zahlung (Stripe), Mailversand (Resend), Versanddienstleister ([VERSANDDIENSTLEISTER]). Mit allen Auftragsverarbeitern bestehen entsprechende Verträge gemäß Art. 28 DSGVO.

12. Deine Rechte

Du hast jederzeit das Recht auf:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Dein Recht auf Auskunft (Art. 15) und dein Recht auf Löschung (Art. 17) kannst du als eingeloggte:r Kund:in direkt selbst ausüben: unter Konto → Einstellungenlöst der Button „Datenkopie anfordern“ eine Auskunft aus (Bearbeitung binnen 30 Tagen), und „Konto löschen“ entfernt deine Daten unmittelbar. Details siehe Abschnitt „Konto-Löschung & Datenkopie“. Alternativ genügt eine formlose Nachricht an office@montilab.at.

Beschwerden kannst du bei der österreichischen Datenschutzbehörde einreichen: dsb.gv.at.

13. Newsletter

Wenn du dich für unseren Newsletter anmeldest, verarbeiten wir deine E-Mail-Adresse, um dir Informationen zu neuen Produkten, pädagogischen Inhalten und saisonalen Aktionen zuzusenden. Die Anmeldung erfolgt im Double-Opt-In-Verfahren: Nach der Eingabe deiner Adresse senden wir dir eine Bestätigungs-Mail; erst nach Klick auf den darin enthaltenen Link nehmen wir dich in den Verteiler auf.

• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine ausdrückliche Einwilligung).
• Verarbeitete Daten: E-Mail-Adresse, Anmeldestatus sowie Zeitpunkt von Anmeldung und Bestätigung (Protokollierung der Einwilligung).
• Versanddienstleister: Resend (Resend, Inc.) als Auftragsverarbeiter gemäß Art. 28 DSGVO.
• Speicherdauer: bis zur Abmeldung; danach Löschung bzw. Sperrung der Daten.

Du kannst deine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Jeder Newsletter enthält dafür einen Abmelde-Link; alternativ genügt eine formlose Nachricht an uns.

14. Warenkorb-Erinnerungen & Verfügbarkeits-Benachrichtigungen

Damit dir keine Bestellung verloren geht, bieten wir zwei optionale E-Mail-Services an:

• Warenkorb-Erinnerung: Wenn du im Bestellvorgang auf „Zur Kasse“ klickst, speichern wir den Inhalt deines Warenkorbs sowie die dabei angegebene bzw. deine im Konto hinterlegte E-Mail-Adresse. Schließt du die Bestellung nicht ab, senden wir dir einmalig eine Erinnerung mit einem Link, über den du deinen Warenkorb wiederherstellen kannst.
• „Wieder verfügbar“-Benachrichtigung: Ist ein Produkt ausverkauft, kannst du deine E-Mail-Adresse hinterlassen. Sobald das Produkt wieder lieferbar ist, benachrichtigen wir dich einmalig.

• Zweck: Wiederaufnahme abgebrochener Bestellungen bzw. Information über erneute Verfügbarkeit.
• Verarbeitete Daten: E-Mail-Adresse, Warenkorb- bzw. Produkt-Bezug, Zeitstempel.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
• Versanddienstleister: Resend (Resend, Inc.) als Auftragsverarbeiter gemäß Art. 28 DSGVO.
• Speicherdauer: automatische Löschung nach 6 Monaten; du kannst der Verarbeitung jederzeit widersprechen (Art. 21 DSGVO).

15. Treueprogramm (Punkte)

Als eingeloggte:r Kund:in nimmst du automatisch an unserem Treueprogramm teil. Dafür führen wir ein Punkte-Konto, in dem wir deine gesammelten und eingelösten Punkte sowie die zugehörigen Vorgänge (Bestellungen, Newsletter-Anmeldung, erste Bewertung) protokollieren.

• Zweck: Verwaltung und Anzeige deines Punktestands sowie Einlösung von Punkten als Rabatt.
• Verarbeitete Daten: Kontobezug (User-ID), Punktestand, Vorgangstyp, Punktebetrag, Bezug zur jeweiligen Bestellung und Zeitstempel.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Speicherdauer: für die Dauer deines Kundenkontos. Bei Löschung deines Kontos werden auch dein Punkte-Konto und die zugehörigen Vorgänge vollständig gelöscht.

16. Datenbank-Hosting (Supabase)

Konto-, Bestell- und Shop-Daten werden in einer PostgreSQL-Datenbank bei Supabase gespeichert. Der Betrieb erfolgt in einer EU-Region.

• Empfänger: Supabase (Datenbank-Hosting), EU-Region.
• Verarbeitete Daten: alle in dieser Erklärung genannten Konto-, Bestell- und Shop-Daten.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• Speicherdauer: für die Dauer des Vertragsverhältnisses bzw. bis zur Kontolöschung; Bestelldaten gemäß gesetzlicher Aufbewahrungspflicht (BAO: 7 Jahre).
• Drittland-Transfer: nein (EU-Region).

17. KI-Assistent „Monty“ (Google AI Studio / Gemini)

Sofern unser KI-Assistent „Monty“ aktiviert ist und du ihn nutzt, werden die von dir eingegebenen Chat-Nachrichten zur Beantwortung an Google AI Studio (Gemini, Google Ireland Ltd. / Google LLC, USA) übermittelt. Gib dort bitte keine sensiblen personenbezogenen Daten ein.

• Empfänger: Google (Gemini API) — nur bei aktiver Chat-Nutzung.
• Verarbeitete Daten: deine Chat-Eingaben.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem hilfreichen Assistenten); keine Speicherung über die Beantwortung der Anfrage hinaus durch uns.
• Datentransfer in die USA auf Basis der EU-Standardvertragsklauseln bzw. des EU-US Data Privacy Framework.

18. Konto-Löschung & Datenkopie

Unter Konto → Einstellungen kannst du deine DSGVO-Rechte selbst ausüben:

• Konto löschen (Art. 17): Deine personenbezogenen Daten (Name, E-Mail, Adressen, Merkliste, Bewertungen, Treuepunkte) werden unmittelbar und unwiderruflich gelöscht bzw. anonymisiert. Du erhältst eine Bestätigung per E-Mail. Bereits abgeschlossene Bestellungen behalten wir aus steuer- und handelsrechtlichen Gründen (BAO: 7 Jahre), entkoppeln sie aber von deiner Person.
• Datenkopie anfordern (Art. 15): Auf Wunsch stellen wir dir eine Kopie der bei uns gespeicherten Daten zur Verfügung. Die Anforderung wird intern bearbeitet; du erhältst die Auskunft innerhalb der gesetzlichen Frist von 30 Tagen.

19. Kontakt für Datenschutz-Anfragen

Wende dich für Datenschutz-Anliegen jederzeit an office@montilab.at. Wir antworten in der Regel binnen 30 Tagen.