Datenschutzerklaerung

Informationen zum Datenschutz gemaess Art. 13 und 14 der Datenschutz-Grundverordnung (DSGVO) fuer Mitarbeiterinnen und Mitarbeiter der LST-Brandmayr.

1. Verantwortlicher

LST-Brandmayr

Gabriel Brandmayr

Uhlandstrasse 39, A-4600 Wels

UID: ATU 77284136

E-Mail: office@lst-brandmayr.at

2. Geltungsbereich

Diese Anwendung (LST-APP) ist eine hausinterne Betriebssoftware und wird ausschliesslich von Mitarbeiterinnen und Mitarbeitern der LST-Brandmayr genutzt. Kunden oder externe Dritte haben keinen Zugang zu dieser Anwendung.

3. Zweck der Datenverarbeitung

Im Rahmen des Beschaeftigungsverhaeltnisses werden folgende Daten verarbeitet:

  • Auftragsverwaltung: Erfassung, Bearbeitung und Nachverfolgung von Kundenauftraegen
  • Zeiterfassung: Dokumentation von Arbeitszeiten pro Auftrag und Maschine
  • Kundenverwaltung: Verwaltung von Kundenstammdaten fuer die Auftragsabwicklung
  • Projektverwaltung: Planung und Nachverfolgung von Projekten und Meilensteinen
  • Lagerverwaltung: Bestandsfuehrung und Inventurpruefungen
  • Digitale Signaturen: Auftragsabschluss-Bestaetigungen

4. Rechtsgrundlage

  • Art. 6 Abs. 1 lit. b DSGVO: Erfuellung des Arbeitsvertrages — Zeiterfassung, Aufgabenzuweisung
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse — Betriebliche Organisation und Auftragsabwicklung
  • Art. 6 Abs. 1 lit. c DSGVO: Gesetzliche Verpflichtung — Aufbewahrungspflichten (BAO, UGB: 7 Jahre)
  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfuellung — Digitale Signaturen zur Auftrags- und Abholbestaetigung (Uebergabenachweis)

5. Verarbeitete Datenkategorien

Mitarbeiterdaten

Name, E-Mail-Adresse, Rolle, Schweisser-ID, Arbeitszeiten

Kundenstammdaten

Firmenname, Ansprechpartner, Adresse, Telefon, E-Mail

Auftragsdaten

Auftragsnummern, Beschreibungen, Fotos, Status-Verlauf

Digitale Unterschriften

Unterschriftsbild als Vektor-Pfad (SVG), Name des Unterzeichners, Zeitpunkt. Es werden keine biometrischen Merkmale (Druck, Geschwindigkeit, Beschleunigung) erfasst.

6. Speicherdauer

Personenbezogene Daten werden fuer die Dauer des Beschaeftigungsverhaeltnisses gespeichert. Nach Beendigung gelten die gesetzlichen Aufbewahrungsfristen von 7 Jahren gemaess Bundesabgabenordnung (BAO) und Unternehmensgesetzbuch (UGB). Nach Ablauf werden die Daten anonymisiert oder geloescht.

Digitale Signaturen (Abholbestaetigungen) werden gemaess § 212 Abs. 1 Unternehmensgesetzbuch (UGB) fuer 7 Jahre ab Ende des Geschaeftsjahrs aufbewahrt. Danach erfolgt die Loeschung manuell durch die Geschaeftsfuehrung (kein automatischer Prozess, bewusste Einzelfall-Pruefung).

7. Ihre Rechte (Art. 15-21 DSGVO)

Als Mitarbeiterin oder Mitarbeiter haben Sie folgende Rechte bezueglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15): Auskunft ueber Ihre gespeicherten Daten
  • Berichtigung (Art. 16): Korrektur unrichtiger Daten
  • Loeschung (Art. 17): Loeschung, sofern keine Aufbewahrungspflichten entgegenstehen
  • Datenportabilitaet (Art. 20): Erhalt Ihrer Daten in maschinenlesbarem Format
  • Widerspruch (Art. 21): Widerspruch gegen die Verarbeitung
  • Beschwerde: Bei der oesterreichischen Datenschutzbehoerde (dsb.gv.at)

Zur Ausuebung Ihrer Rechte wenden Sie sich bitte an: office@lst-brandmayr.at

8. Technische Schutzmassnahmen

  • Verschluesselung: TLS 1.3 fuer alle Datenuebertragungen
  • Zugriffskontrolle: Rollenbasiertes Berechtigungssystem (Lager, Verwaltung, Admin) mit Row-Level Security
  • Authentifizierung: Passwortgeschuetzter Zugang mit Komplexitaetsanforderungen (min. 10 Zeichen, Gross-/Kleinbuchstaben, Zahl, Sonderzeichen)
  • Hosting: Hetzner Online GmbH, Rechenzentrum Deutschland (EU), ISO 27001
  • Backups: Taegliche automatische Datensicherung
  • Audit-Logging: Protokollierung von Datenzugriffen

9. Weitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt grundsaetzlich nicht. Auftragsbestaetigungen werden ausschliesslich an die jeweiligen Kunden versendet. Eine Ausnahme bildet die optionale KI-Auftragserfassung (siehe Abschnitt 11), bei der hochgeladene Bestelldokumente zur Extraktion an einen Auftragsverarbeiter innerhalb der EU uebermittelt werden. Eine Datenuebermittlung in Drittlaender ausserhalb der EU erfolgt nicht.

10. Signatur-Erfassung zur Abholbestaetigung

Stand: April 2026 (Entwurf, in Pruefung durch den Datenschutzbeauftragten)

Bei der Abholung fertiggestellter Auftraege erfassen wir eine handschriftliche digitale Unterschrift des Kunden oder einer bevollmaechtigten Person auf einem Tablet-Geraet im Lager. Diese Unterschrift dient als Beweis der ordnungsgemaessen Uebergabe.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfuellung — Uebergabe des Werks) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem Uebergabenachweis)

Datenkategorie: einfache personenbezogene Daten (keine besondere Kategorie nach Art. 9 DSGVO)

Erfasste Daten: Unterschriftsbild als Vektor-Pfad (SVG), Name des Unterzeichners, Zeitpunkt, Geraet

Keine biometrische Verarbeitung: Es werden ausschliesslich die grafischen Konturen der Unterschrift gespeichert. Druck, Geschwindigkeit, Beschleunigung oder andere verhaltenstypische Merkmale werden nicht erfasstund es findet keine automatisierte Identifizierung statt. Die Unterschrift ist daher kein biometrisches Datum im Sinne von Art. 4 Nr. 14 und Art. 9 DSGVO (vgl. EDPB-Position zur "specific technical processing"-Schwelle).

Aufbewahrung: 7 Jahre gemaess UGB § 212, danach manuelle Anonymisierung

Uebergabeprotokoll: Jede Signatur-Erfassung wird in einem Append-Only-Protokoll (pickup_consent_log) als Uebergabenachweis dokumentiert. Betroffene koennen der weiteren Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen; bereits dokumentierte Uebergaben bleiben wegen bestehender Aufbewahrungspflichten (UGB § 212) unberuehrt.

Die Signaturdaten werden ausschliesslich auf unseren EU-Servern (Hetzner Online GmbH, Deutschland) gespeichert und nicht an Dritte weitergegeben.

11. Externe Auftragsverarbeiter — KI-Auftragserfassung

Fuer die optionale Funktion KI-gestuetzte Auftragserfassung werden hochgeladene Bestelldokumente (PDF, Bilder, Plaintext, .docx) zur strukturierten Extraktion an einen externen Auftragsverarbeiter uebermittelt. Die Funktion ist standardmaessig deaktiviert und wird pro Mitarbeiter ausschliesslich durch den Administrator aktiviert.

Auftragsverarbeiter: Mistral AI SAS

Sitz: Paris, Frankreich (EU)

Verarbeitungsort: EU-Rechenzentren (Modell mistral-large-latest)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Auftragsabwicklung) in Verbindung mit Art. 28 DSGVO (Auftragsverarbeitung)

Auftragsverarbeitungsvertrag (DPA): legal.mistral.ai/terms/data-processing-addendum

Keine Nutzung fuer Modell-Training (Scale-Tarif): LST nutzt den Mistral Scale-Tarif. Mistral AI nutzt uebermittelte API-Aufrufe im Scale-Tarif per Default NICHT zum Training der Modelle (Account-Einstellung “Anonyme Verbesserungsdaten” — Scale-Tarif-Default).

Uebermittelte Daten: Inhalt der hochgeladenen Bestelldokumente (z.B. Kundenname, Artikel, Mengen, Liefertermin, Freitext-Notizen). Es werden ausschliesslich die fuer die Auftragsextraktion notwendigen Daten uebermittelt.

Opt-Out: Mitarbeiterinnen und Mitarbeiter koennen die Nutzung der KI-Auftragserfassung jederzeit verweigern und Bestellungen manuell anlegen. Die Funktion ist eine Arbeitserleichterung und keine Voraussetzung fuer die Taetigkeit.

Stand: April 2026 (v1.1)