Datenschutzerklärung

Datenschutzerklärung

Stand: April 2026

1. Verantwortlicher im Sinne der DSGVO

Verantwortlicher für die Verarbeitung personenbezogener Daten auf dieser Website ist:

Digivize – Julian Stahl

c/o IP-Management #2654
Ludwig-Erhard-Straße 18
20459 Hamburg

E-Mail: info@wisotest.at Website: https://wisotest.at

Nachfolgend „wir", „uns" oder „Digivize".2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Geltungsbereich

Diese Datenschutzerklärung gilt für die Nutzung unseres Online-Angebots wisotest.at – einer kostenpflichtigen Online-Prüfungsvorbereitung für den WISO-Aufnahmetest der Wirtschaftsuniversität Wien (nachfolgend „Dienst"). Sie informiert Sie über Art, Umfang und Zwecke der Verarbeitung personenbezogener Daten sowie über Ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

2.2 Begriffsbestimmungen

Diese Datenschutzerklärung verwendet die in Art. 4 DSGVO definierten Begriffe (u. a. „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Einwilligung").

2.3 Rechtsgrundlagen im Überblick

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Bei der Verarbeitung zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen dient Art. 6 Abs. 1 lit. b DSGVO. Soweit eine Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage. Ist die Verarbeitung zur Wahrung eines berechtigten Interesses erforderlich, dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage.

2.4 Datensicherheit

Wir verwenden eine SSL-/TLS-Verschlüsselung, um die Übertragung vertraulicher Inhalte zu schützen. Eine verschlüsselte Verbindung erkennen Sie an „https://" in der Adresszeile Ihres Browsers. Darüber hinaus treffen wir geeignete technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO, um Ihre Daten gegen zufällige oder vorsätzliche Manipulation, teilweisen oder vollständigen Verlust, Zerstörung oder unberechtigten Zugriff Dritter zu schützen.

3. Bereitstellung der Website und Erstellung von Server-Logfiles

Beim Aufruf unserer Website erhebt unser Hosting-Dienstleister (siehe Abschnitt 8) automatisch Informationen, die Ihr Browser an den Server übermittelt. Dies sind:

  • IP-Adresse des anfragenden Geräts

  • Datum und Uhrzeit des Zugriffs

  • Name und URL der abgerufenen Datei

  • Referrer-URL

  • Verwendeter Browser und ggf. das Betriebssystem Ihres Geräts

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Gewährleistung eines störungsfreien Verbindungsaufbaus, einer komfortablen Nutzung unserer Website, der Auswertung der Systemsicherheit und -stabilität sowie zu weiteren administrativen Zwecken.

Die Daten werden nicht mit anderen Datenquellen zusammengeführt, um konkrete Personen zu identifizieren. Server-Logs werden nach spätestens 14 Tagen automatisch gelöscht, soweit sie nicht zur Aufklärung oder Abwehr von Sicherheitsvorfällen benötigt werden.

4. Benutzerkonto und Nutzung des Dienstes

4.1 Registrierung

Zur Nutzung unseres Dienstes ist die Erstellung eines Benutzerkontos erforderlich. Im Rahmen der Registrierung erheben wir:

  • E-Mail-Adresse

  • Name (selbst gewählter Anzeigename oder bürgerlicher Name)

  • Passwort (verschlüsselt gespeichert)

Die Authentifizierung und Passwortverwaltung erfolgt über unseren Auftragsverarbeiter Supabase (siehe Abschnitt 8). Passwörter werden ausschließlich als kryptografischer Hash gespeichert und sind für uns nicht einsehbar.

Zweck: Bereitstellung des Benutzerkontos, Authentifizierung, Kommunikation bezüglich des Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. Durchführung vorvertraglicher Maßnahmen). Speicherdauer: Bis zur Löschung des Benutzerkontos durch den Nutzer oder durch uns.

4.2 Prüfungssimulationen und Lernfortschritt

Während der Nutzung unseres Dienstes verarbeiten wir folgende Daten:

  • Gegebene Antworten auf Prüfungsfragen

  • Prüfungsergebnisse (Punktzahlen, Auswertungen)

  • Bearbeitungsdauer pro Frage und pro Simulation

  • Zeitpunkt und Anzahl der absolvierten Simulationen

Zweck: Bereitstellung der Kernfunktionalität des Dienstes, insbesondere Anzeige des Lernfortschritts, Auswertung der Klausursimulationen sowie statistische Einordnung Ihrer Ergebnisse. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Löschung des Benutzerkontos.

4.3 Karteikarten und Spaced-Repetition-Lernfunktion

Unser Dienst bietet eine Karteikarten-Lernfunktion auf Basis eines Spaced-Repetition-Algorithmus (Leitner-System mit vier Wiederholungs-Intervallen). Damit Karten zum optimalen Zeitpunkt zur Wiederholung angezeigt werden können, speichern wir pro Nutzer und Karteikarte folgende Daten:

  • Nutzer-ID (Verknüpfung mit dem Benutzerkonto)

  • Karteikarten-ID (welche Karte bearbeitet wurde)

  • Aktuelle Lernbox (Stufe 1 bis 4 im Algorithmus)

  • Zeitpunkt der nächsten Fälligkeit

  • Zeitpunkt der letzten Bearbeitung

  • Selbsteinschätzung des Nutzers („gewusst", „knapp", „nicht gewusst")

Darüber hinausgehende Daten werden nicht erhoben — insbesondere keine Antwortzeiten, keine Geräte-Daten und keine Verhaltensanalyse über das Lernen hinaus.

Der Algorithmus wertet ausschließlich die eigenen Lerndaten des jeweiligen Nutzers aus, um den individuellen Wiederholungszeitpunkt zu berechnen. Es findet kein Vergleich mit oder Zugriff auf Daten anderer Nutzer statt und keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO.

Die Daten verbleiben innerhalb der bestehenden Supabase-Infrastruktur (siehe Abschnitt 8.2) und werden nicht an Dritte übermittelt.

Zweck: Bereitstellung der Spaced-Repetition-Lernfunktion. Ohne Speicherung des Lernfortschritts ist die Funktion technisch nicht möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: Bis zur Löschung des Benutzerkontos. Die Lernfortschritts-Daten werden bei Kontolöschung automatisch mitgelöscht (Datenbank-Cascade-Delete); eine separate Lösch-Anfrage ist nicht erforderlich.

4.4 Schutz vor unberechtigter Kontonutzung (Account-Sharing-Erkennung)

Da unser Angebot eine kostenpflichtige, personengebundene Einzellizenz darstellt, setzen wir technische Maßnahmen zum Schutz vor unberechtigter Weitergabe von Zugangsdaten ein. Hierzu vergleichen wir das beim Login erzeugte Session-Token mit Merkmalen der Verbindung, insbesondere:

  • IP-Adresse

  • User-Agent (Browser- und Gerätekennung)

Weichen diese Merkmale während einer aktiven Session signifikant ab, wird dies in einem Protokoll vermerkt. Sie haben jederzeit die Möglichkeit, andere aktive Sessions über Ihr Benutzerkonto manuell zu beenden.

Zweck: Missbrauchsprävention, Schutz unseres Geschäftsmodells und der Vertragsbeziehung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Durchsetzung der Nutzungsbedingungen sowie dem Schutz vor wirtschaftlichen Schäden durch unbefugte Kontoweitergabe. Wir haben die betroffenen Interessen sorgfältig abgewogen und verarbeiten die Daten ausschließlich zu diesem Zweck, getrennt von Marketing- oder Profilbildungsprozessen. Speicherdauer: Protokolleinträge werden spätestens mit Löschung des Benutzerkontos, in der Regel jedoch nach 90 Tagen, gelöscht, sofern keine konkreten Missbrauchsverdachtsfälle bestehen.

5. Kaufabwicklung und Zahlungsverarbeitung

5.1 Dodo Payments als Merchant of Record

Der Kauf unseres Dienstes erfolgt über Dodo Payments (Dodo Payments Inc., 8 The Green, STE A, Dover, Delaware 19901, USA), das als Merchant of Record (MoR) auftritt. Das bedeutet:

  • Dodo Payments ist Ihr rechtlicher Vertragspartner für die Zahlungsabwicklung.

  • Dodo Payments übernimmt die vollständige steuerliche Abwicklung (inkl. Umsatzsteuer, VAT, Sales Tax) sowie die Rechnungsstellung gegenüber dem Kunden.

  • Zahlungsmethoden, Kartendaten, Rechnungsadressen und steuerlich relevante Daten werden ausschließlich von Dodo Payments verarbeitet und gespeichert.

Wir selbst erhalten von Dodo Payments im Rahmen der Kaufbestätigung lediglich:

  • E-Mail-Adresse des Käufers (zur Zuordnung zum Benutzerkonto)

  • Order-ID und Kaufzeitpunkt

  • Kaufbetrag und Produktbezeichnung

  • Ggf. Land des Käufers (zur Missbrauchsprävention)

Zweck: Freischaltung des erworbenen Zugangs, Kaufnachweis, Support. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Aufbewahrungspflichten). Speicherdauer: Die bei uns gespeicherten Kaufinformationen werden entsprechend der gesetzlichen Aufbewahrungsfristen von 6 Jahren (§ 257 HGB) bzw. 10 Jahren (§ 147 AO) aufbewahrt.

Weitere Informationen zur Datenverarbeitung durch Dodo Payments finden Sie in deren Datenschutzerklärung: https://dodopayments.com/legal/privacy-policy

5.2 Datenübermittlung in die USA

Dodo Payments hat seinen Sitz in den USA. Die Übermittlung personenbezogener Daten erfolgt auf Grundlage geeigneter Garantien gemäß Kapitel V DSGVO, insbesondere über Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO sowie – soweit zertifiziert – im Rahmen des EU-U.S. Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023).

6. Referral-Programm

Nutzer, die unseren Dienst erworben haben, können über ihr Benutzerkonto einen persönlichen Empfehlungscode generieren. Neukunden erhalten beim Einlösen eines solchen Codes einen Rabatt von 10 %.

Im Rahmen des Referral-Programms verarbeiten wir:

  • Zuordnung von Empfehlungscode zu generierendem Benutzerkonto

  • Zuordnung von eingelöstem Code zum Käufer

  • Zeitpunkt der Erstellung und Einlösung

Es gelten folgende Regeln: Codes verfallen automatisch nach 30 Tagen und sind maximal einmalig einlösbar.

Zweck: Durchführung und Abrechnung des Empfehlungsprogramms, Betrugsprävention. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Wirksamkeitskontrolle des Programms). Speicherdauer: Bis zur Löschung des Benutzerkontos, spätestens jedoch mit Ablauf der gesetzlichen Aufbewahrungsfristen.

7. Cookies, lokale Speicherung und Consent-Management

7.1 Allgemeines

Wir setzen auf unserer Website Cookies sowie vergleichbare Technologien (insbesondere localStorage) ein. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Wir unterscheiden zwischen technisch notwendigen und optionalen Cookies.

7.2 Technisch notwendige Cookies

Die folgenden Cookies bzw. Storage-Einträge sind zur Bereitstellung des Dienstes zwingend erforderlich und werden ohne gesonderte Einwilligung gesetzt:

Bezeichnung Anbieter Zweck Speicherdauer sb-access-token Supabase Authentifizierung, Login-Session Sitzung / bis zu 1 Stunde sb-refresh-token Supabase Erneuerung der Session ohne erneuten Login Bis zu 30 Tage wiso_cookie_consent (localStorage) wisotest.at Speicherung Ihrer Cookie-Einstellungen 12 Monate

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (Speicherung unbedingt erforderlich) i. V. m. Art. 6 Abs. 1 lit. b und lit. f DSGVO.

7.3 Optionale Cookies und Dienste (nur mit Einwilligung)

Die folgenden Dienste werden ausschließlich nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner aktiviert (Kategorie „Analyse / Marketing"). Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird.

Die folgenden Cookies werden bei Einwilligung gesetzt:

Bezeichnung Anbieter Zweck Speicherdauer _ga Google Analytics Unterscheidung eindeutiger Nutzer 14 Monate _ga_* Google Analytics Speicherung des Sitzungsstatus 14 Monate _clck Microsoft Clarity Speicherung der Clarity-Nutzer-ID und Einstellungen 12 Monate _clsk Microsoft Clarity Verknüpfung von Seitenaufrufen zu einer Sitzung 1 Tag MUID Microsoft Clarity Identifikation eindeutiger Webbrowser (Microsoft-weit) 13 Monate

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung).

Google Analytics 4 (optional, nur bei Einwilligung)

Sofern wir Google Analytics einsetzen und Sie hierin einwilligen, verwenden wir Google Analytics 4, einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics verwendet Cookies, die eine Analyse der Benutzung der Website durch Sie ermöglichen.

Wir betreiben Google Analytics mit aktivierter IP-Anonymisierung (anonymize_ip: true), sodass Ihre IP-Adresse vor einer etwaigen Übermittlung gekürzt wird. Eine Zusammenführung mit anderen Daten von Google findet durch uns nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Empfänger: Google Ireland Limited; ggf. Google LLC, USA. Drittlandtransfer: USA auf Grundlage von Standardvertragsklauseln und des EU-U.S. Data Privacy Framework. Speicherdauer: Analytics-Cookies werden je nach Typ für bis zu 14 Monate gespeichert.

Microsoft Clarity (optional, nur bei Einwilligung)

Sofern Sie über das Cookie-Banner einwilligen, setzen wir Microsoft Clarity ein, ein Web-Analyse-Tool der Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA). Clarity erstellt Heatmaps und Sitzungs-Wiedergaben, um Bedienprobleme auf unserer Website zu erkennen und die Nutzererfahrung zu verbessern.

Microsoft Clarity erfasst dabei:

  • Mausbewegungen, Klicks und Scroll-Verhalten

  • Sitzungs-Wiedergaben (Aufzeichnungen des sichtbaren Browser-Inhalts während des Besuchs)

  • Heatmaps auf Seitenebene (aggregierte Klick- und Scroll-Verteilungen)

  • Geräte-Informationen (Bildschirmgröße, Browser, Betriebssystem)

  • Anonymisierte IP-Adresse (von Microsoft clientseitig vor Übertragung anonymisiert)

  • Gerätegenerierte Pseudonym-IDs zur Wiedererkennung gleicher Sitzungen

Texteingabefelder werden standardmäßig maskiert (Microsoft-Voreinstellung); Passwortfelder sind grundsätzlich von der Aufzeichnung ausgeschlossen. Sensible Bereiche der Anwendung (Konto-Einstellungen, Zahlungsabwicklung, Lernfortschritts-Details) werden zusätzlich von der Aufzeichnung ausgenommen. Es werden keine Klarnamen, E-Mail-Adressen oder sonstige unmittelbar personenbezogene Daten bewusst übertragen.

Die erfassten Daten werden ausschließlich aggregiert oder pseudonymisiert ausgewertet. Es findet keine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO und keine personalisierte Werbe-Aussteuerung anhand der Clarity-Daten statt.

Ohne Ihre Einwilligung wird das Clarity-Skript nicht geladen und es findet keinerlei Datenübertragung an Microsoft statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO sowie § 25 Abs. 1 TDDDG (Einwilligung). Empfänger: Microsoft Corporation als Auftragsverarbeiter (Art. 28 DSGVO). Ein Auftragsverarbeitungsvertrag wurde abgeschlossen (Microsoft Online Services Data Protection Addendum). Drittlandtransfer: Die primäre Verarbeitung erfolgt in EU-Rechenzentren (Azure Europa). Durch den US-Mutterkonzern besteht ein Restrisiko der Datenübermittlung in die USA (z. B. bei Support- oder Wartungszugriffen). Microsoft ist unter dem EU-U.S. Data Privacy Framework zertifiziert; zusätzlich kommen EU-Standardvertragsklauseln zur Anwendung. Speicherdauer: Sitzungsdaten werden von Microsoft nach maximal 13 Monaten automatisch gelöscht. Aggregierte, anonymisierte Heatmap-Statistiken können darüber hinaus gespeichert werden. Datenschutzerklärung Microsoft: https://privacy.microsoft.com/de-DE/privacystatement

Verknüpfung von Google Analytics und Microsoft Clarity

Wir betreiben Google Analytics 4 und Microsoft Clarity in verknüpfter Form (Clarity-GA4-Integration). Dies bedeutet, dass die GA4-Session-ID an Microsoft Clarity übermittelt wird und umgekehrt die Clarity-Sitzungsdaten mit der zugehörigen GA4-Sitzung verknüpft werden. Dadurch können wir Seitenaufrufstatistiken (GA4) und Verhaltensaufzeichnungen (Clarity) gemeinsam auswerten, um ein umfassenderes Bild der Nutzererfahrung auf unserer Website zu erhalten.

Durch die Verknüpfung erweitert sich der Empfängerkreis: Microsoft erhält Zugriff auf die pseudonyme GA4-Session-ID und Google erhält ggf. Kenntnis von der Clarity-Nutzer-ID. Es entsteht ein anbieterübergreifendes, pseudonymes Nutzungsprofil (Seitenaufrufe, Verweildauer, Klickverhalten, Scroll-Muster, Sitzungs-Wiedergaben). Dieses Profil dient ausschließlich der UX-Optimierung und wird nicht für personalisierte Werbung, Scoring oder automatisierte Einzelentscheidungen verwendet.

Die Verknüpfung ist nur aktiv, wenn Sie beiden Diensten über das Cookie-Banner zugestimmt haben. Wird die Einwilligung zu einem der beiden Dienste widerrufen, findet keine anbieterübergreifende Datenverknüpfung mehr statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Widerruf der Einwilligung: Sie können Ihre Einwilligung zu Google Analytics und Microsoft Clarity jederzeit über die Cookie-Einstellungen (Link im Footer) widerrufen.

7.4 Cookie-Einstellungen ändern

Sie können Ihre Cookie-Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer der Website anpassen oder widerrufen.

8. Auftragsverarbeiter und eingesetzte Dienste

Wir setzen im Rahmen des Betriebs unseres Dienstes sorgfältig ausgewählte Dienstleister ein, mit denen – soweit erforderlich – Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen wurden.

8.1 Hosting – Vercel

Unsere Website wird gehostet durch Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel verarbeitet in unserem Auftrag insbesondere Server-Logdaten zur Bereitstellung der Website. Eine Auftragsverarbeitungsvereinbarung (Data Processing Addendum) wurde abgeschlossen.

Drittlandtransfer: USA. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln sowie – soweit anwendbar – des EU-U.S. Data Privacy Framework. Datenschutzerklärung: https://vercel.com/legal/privacy-policy

8.2 Datenbank und Authentifizierung – Supabase

Für die Bereitstellung der Datenbank und der Authentifizierungsinfrastruktur nutzen wir Supabase, Inc., 970 Toa Payoh North #07-04, Singapore 318992. Unsere Projekt-Instanz ist in der Region EU (Frankfurt, Deutschland) gehostet, sodass sämtliche Nutzerdaten (Kontoinformationen, Prüfungsergebnisse, Session-Daten) innerhalb der EU gespeichert werden.

Eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO wurde abgeschlossen.

Datenschutzerklärung: https://supabase.com/privacy

8.3 Zahlungsabwicklung – Dodo Payments

Siehe Abschnitt 5. Ein Data Processing Agreement (DPA) gemäß Art. 28 DSGVO, einschließlich der EU-Standardvertragsklauseln (SCCs), wurde abgeschlossen. Das DPA ist einsehbar unter: https://dodopayments.com/legal/data-processing-agreement

8.4 Google Fonts (lokal eingebunden)

Wir verwenden zur konsistenten Darstellung von Schriftarten Google Fonts. Die Schriftarten werden lokal von unserem Server ausgeliefert, sodass beim Seitenaufruf keine Verbindung zu Google-Servern hergestellt und keine personenbezogenen Daten an Google übermittelt werden.

8.5 E-Mail-Versand

Für den Versand von E-Mails setzen wir zwei Dienstleister ein:

a) Authentifizierungs-E-Mails (Supabase)

E-Mails, die unmittelbar mit der Authentifizierung zusammenhängen (Bestätigungs-E-Mail bei Registrierung, Passwort-Reset-Links, E-Mail-Änderung), werden über die in Supabase integrierte Versandinfrastruktur zugestellt. Hierbei werden Ihre E-Mail-Adresse sowie der E-Mail-Inhalt verarbeitet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

b) Transaktionale und Marketing-E-Mails (dogado)

Alle weiteren E-Mails – insbesondere Willkommens-E-Mails, Kaufbestätigungen, Servicemitteilungen sowie Marketing-E-Mails (z. B. Lerntipps, Produktneuigkeiten, Aktionen) – werden über die E-Mail-Infrastruktur der dogado GmbH, Saarlandstraße 25, 44139 Dortmund, Deutschland, versendet. Die Server von dogado stehen ausschließlich in Deutschland (Rechenzentrum Düsseldorf). Ein Drittlandtransfer findet nicht statt.

Hierbei werden verarbeitet: E-Mail-Adresse, Name (sofern angegeben), Zeitpunkt des Versands, Zustellstatus.

Rechtsgrundlagen:

  • Transaktionale E-Mails (Willkommens-E-Mail, Kaufbestätigung, Servicemitteilungen): Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

  • Marketing-E-Mails: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i. V. m. § 7 Abs. 2 Nr. 3 UWG.

Einwilligung und Abmeldung bei Marketing-E-Mails:

Der Versand von Marketing-E-Mails erfolgt ausschließlich nach ausdrücklicher Einwilligung des Nutzers, die im Rahmen der Registrierung durch eine separate, nicht vorausgewählte Checkbox erteilt wird. Diese Einwilligung ist freiwillig und keine Voraussetzung für die Nutzung des Dienstes.

Sie können Ihre Einwilligung zum Erhalt von Marketing-E-Mails jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Der Widerruf ist möglich über:

  • den Abmeldelink im Footer jeder Marketing-E-Mail,

  • die Nutzereinstellungen in Ihrem Benutzerkonto unter dem Menüpunkt „Benachrichtigungen" oder vergleichbar,

  • eine formlose E-Mail an info@wisotest.at.

Datenschutzerklärung dogado: https://www.dogado.de/agb-datenschutz

9. Weitergabe von Daten an Dritte

Eine Übermittlung Ihrer personenbezogenen Daten an Dritte zu anderen als den in dieser Datenschutzerklärung genannten Zwecken findet nicht statt. Insbesondere findet kein Verkauf Ihrer Daten statt.

Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, wenn:

  • Sie Ihre ausdrückliche Einwilligung dazu erteilt haben (Art. 6 Abs. 1 lit. a DSGVO),

  • die Weitergabe zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe haben (Art. 6 Abs. 1 lit. f DSGVO),

  • für die Weitergabe eine gesetzliche Verpflichtung besteht (Art. 6 Abs. 1 lit. c DSGVO), oder

  • dies gesetzlich zulässig und zur Vertragsabwicklung erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO).

10. Speicherdauer im Überblick

Datenkategorie Speicherdauer Kontodaten (E-Mail, Name, Passwort-Hash) Bis zur Kontolöschung Prüfungsergebnisse, Antworten, Bearbeitungsdauer Bis zur Kontolöschung Karteikarten-Lernfortschritt (Box, Fälligkeit, Selbsteinschätzung) Bis zur Kontolöschung Marketing-Einwilligung (Opt-in-Status) Bis zum Widerruf bzw. Kontolöschung Session- und Refresh-Tokens Max. 30 Tage, bei Logout sofort Account-Sharing-Protokolle Max. 90 Tage, spätestens mit Kontolöschung Referral-Daten Bis zur Kontolöschung Kaufdaten (Order-ID, Betrag, Produkt) 6 Jahre (§ 257 HGB) bzw. 10 Jahre (§ 147 AO) Server-Logfiles Max. 14 Tage Cookie-Einwilligung 12 Monate

Nach Ablauf der jeweiligen Fristen werden die Daten routinemäßig gelöscht, sofern sie nicht für die Anbahnung, Durchführung oder Beendigung eines Vertrages erforderlich sind und/oder kein berechtigtes Interesse unsererseits an der Weiterspeicherung besteht.

11. Rechte der betroffenen Personen

Sie haben uns gegenüber folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir von Ihnen verarbeiten.

  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).

  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitstellen.

  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten, die auf Grundlage eines berechtigten Interesses erfolgt, jederzeit widersprechen.

  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte genügt eine formlose Nachricht an: info@wisotest.at

11.1 Widerspruchsrecht bei Verarbeitung aufgrund berechtigter Interessen

Hinweis gemäß Art. 21 DSGVO: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. f DSGVO erfolgt, Widerspruch einzulegen. Wir verarbeiten die personenbezogenen Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

11.2 Selbstständige Kontolöschung

Sie können Ihr Benutzerkonto jederzeit selbstständig und ohne Angabe von Gründen über die entsprechende Funktion in den Kontoeinstellungen löschen. Bei der Löschung werden alle mit Ihrem Konto verknüpften Daten kaskadierend entfernt, insbesondere:

  • Kontodaten (E-Mail, Name, Passwort-Hash)

  • Prüfungsergebnisse und gegebene Antworten

  • Aktive und vergangene Sessions

  • Referral-Daten und generierte Codes

  • Account-Sharing-Protokolle

Gesetzlich zur Aufbewahrung verpflichtete Daten (insbesondere Kauf- und Rechnungsdaten) werden für die Dauer der gesetzlichen Aufbewahrungsfristen eingeschränkt weiterverarbeitet und anschließend gelöscht.

12. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18 91522 Ansbach Deutschland Telefon: +49 (0) 981 180093-0 E-Mail: poststelle@lda.bayern.de Website: https://www.lda.bayern.de

13. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO, einschließlich Profiling mit rechtlicher Wirkung, findet nicht statt. Die Auswertung Ihrer Prüfungsergebnisse dient ausschließlich der Anzeige Ihres Lernfortschritts und hat keine rechtlichen oder in vergleichbarer Weise erheblichen Auswirkungen auf Sie.

14. Minderjährigenschutz

Unser Dienst richtet sich an volljährige Personen sowie an Jugendliche ab dem 16. Lebensjahr, die sich auf den WU-Aufnahmetest vorbereiten. Nutzer unter 16 Jahren dürfen unseren Dienst nur mit ausdrücklicher Einwilligung der Erziehungsberechtigten nutzen. Sollten wir Kenntnis davon erlangen, dass ein Nutzer unter 16 Jahren ohne entsprechende Einwilligung ein Konto erstellt hat, werden wir das Konto unverzüglich löschen.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Die jeweils aktuelle Fassung ist stets unter https://wisotest.at/datenschutz abrufbar. Das Datum der letzten Aktualisierung finden Sie am Anfang dieses Dokuments.