← Zurück

Datenschutzerklärung

1 · Verantwortlicher

BOTFORCE GmbH
Wienerbergstraße 11/12A
1100 Wien, Österreich
E-Mail: raul.heggio@outlook.com

Ein Datenschutzbeauftragter ist nicht bestellt, da keine der in Art. 37 DSGVO genannten Voraussetzungen (Kerntätigkeit mit umfangreicher systematischer Überwachung oder umfangreicher Verarbeitung besonderer Datenkategorien) vorliegt.

2 · Grundsatz

Wir verarbeiten personenbezogene Daten nur im erforderlichen Umfang und auf Basis der DSGVO sowie des österreichischen Datenschutzgesetzes (DSG). Diese Erklärung beschreibt, welche Daten wir zu welchem Zweck verarbeiten und welche Rechte dir zustehen.

3 · Verarbeitete Daten, Zwecke und Rechtsgrundlagen

| Datenkategorie | Zweck | Rechtsgrundlage (Art. 6 DSGVO) | |---|---|---| | Konto (E-Mail-Adresse, Name, Login-Daten) | Bereitstellung und Verwaltung des Nutzerkontos | Art. 6 Abs. 1 lit. b — Vertragserfüllung | | Steam-URL / App-ID (Eingabe durch den Nutzer) | Durchführung des Audits | Art. 6 Abs. 1 lit. b — Vertragserfüllung | | Öffentliche Steam-Store-Inhalte zur eingegebenen App-ID (Texte, Bilder, Tags, Bewertungen) | Verarbeitung durch KI-Modelle zur Erstellung des Audits | Art. 6 Abs. 1 lit. b — Vertragserfüllung | | Audit-Ergebnisse (Scores, Findings, Synthesetext, Fix-Reihenfolge) | Anzeige und Speicherung der Audit-Historie | Art. 6 Abs. 1 lit. b — Vertragserfüllung | | Nutzungs- und Log-Daten (IP-Adresse, Zeitstempel, Fehlerlogs) | Betrieb, Sicherheit, Missbrauchsabwehr | Art. 6 Abs. 1 lit. f — berechtigtes Interesse | | Abrechnungsdaten | Zahlungsabwicklung über Paddle als Merchant of Record | Art. 6 Abs. 1 lit. b — Vertragserfüllung; Art. 6 Abs. 1 lit. c — gesetzliche Pflicht | | Support-Nachrichten | Bearbeitung von Anfragen | Art. 6 Abs. 1 lit. b — Vertragserfüllung |

4 · KI-Verarbeitung — Kernfunktion des Dienstes

Die zentrale Funktion von Mira besteht darin, öffentlich zugängliche Steam-Store-Inhalte (Texte, Bilder, Tags, Bewertungen zur eingegebenen App-ID) an KI-Dienstleister zu übermitteln und dort verarbeiten zu lassen. Diese Übermittlung ist produktimmanent und für die Erbringung des Audits zwingend erforderlich. Die verarbeiteten Inhalte sind in der Regel öffentliche Daten; personenbezogene Daten (z. B. E-Mail-Adresse oder Name des Nutzers) werden nicht an KI-Dienstleister übermittelt, sofern sie nicht Bestandteil der öffentlichen Steam-Inhalte sind.

Nach unserem Kenntnisstand verwenden unsere KI-Dienstleister API-Inhalte nicht zum Training ihrer Modelle; dies wird in den jeweiligen Auftragsverarbeitungsverträgen (Art. 28 DSGVO) festgehalten.

Eine ausschließlich automatisierte Entscheidung mit rechtlicher oder ähnlich erheblicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt. Das Audit ist eine unverbindliche Einschätzung.

5 · Auftragsverarbeiter (Subprozessoren)

Folgende Dienstleister erhalten im Rahmen der Leistungserbringung Zugang zu personenbezogenen Daten. Mit jedem Auftragsverarbeiter besteht bzw. wird ein Vertrag gemäß Art. 28 DSGVO abgeschlossen.

| Empfänger | Funktion | Sitz | |---|---|---| | Supabase Inc. | Datenbank, Authentifizierung, Datei-Storage | Projekt-Region: EU (eu-north-1, Stockholm) | | Vercel Inc. | Anwendungs-Hosting und Auslieferung | USA | | Anthropic, PBC | KI-Verarbeitung: Audit-Analyse (Description, Tags, Screenshots, Reviews, Synthese) und Mira-Chat | USA | | Google LLC | KI-Verarbeitung: Bild- und Capsule-Analyse (Gemini-Modelle) | USA | | Paddle.com Market Ltd | Merchant of Record / Zahlungsabwicklung | UK | | Resend Inc. | Transaktions-E-Mail-Versand | USA |

Steam / Valve Corporation wird zur Abfrage öffentlicher Store-Daten genutzt; dabei werden keine personenbezogenen Nutzerdaten übermittelt.

6 · Datenübermittlung in Drittländer

Vercel, Anthropic, Google und Resend sind in den USA ansässig. Die Übermittlung personenbezogener Daten erfolgt auf Basis von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO sowie, sofern der Anbieter zertifiziert ist, des EU-US Data Privacy Frameworks. Paddle ist im Vereinigten Königreich ansässig; für Übermittlungen in das UK gilt der Angemessenheitsbeschluss der Europäischen Kommission.

7 · Speicherdauer

  • Konto- und Audit-Daten: bis zur Löschung des Nutzerkontos.
  • Abrechnungsbelege: gesetzliche Aufbewahrungsfrist gemäß § 132 BAO (in Österreich in der Regel 7 Jahre).
  • Log-Daten: 30–90 Tage.

Nach Ablauf der jeweiligen Fristen bzw. nach Kontolöschung werden die Daten unverzüglich gelöscht, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht. Die Kontolöschung kann direkt in den Kontoeinstellungen ausgelöst werden.

8 · Deine Rechte (Art. 15–21 DSGVO)

Du hast das Recht auf:

  • Auskunft (Art. 15) über die zu deiner Person verarbeiteten Daten
  • Berichtigung (Art. 16) unrichtiger oder unvollständiger Daten
  • Löschung (Art. 17) — „Recht auf Vergessenwerden"
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft

Auskunft und Löschung können teilweise direkt in den Kontoeinstellungen ausgelöst werden. Alle übrigen Anfragen richtest du an: raul.heggio@outlook.com

Beschwerderecht: Du hast das Recht, eine Beschwerde bei der österreichischen Datenschutzbehörde einzureichen:
Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien — dsb.gv.at

9 · Cookies

Mira setzt ausschließlich technisch notwendige Cookies. Es wird ein Session-Cookie von Supabase gesetzt, der für die Authentifizierung (Login-Sitzung) zwingend erforderlich ist. Ohne diesen Cookie ist ein Login nicht möglich. Eine Einwilligung ist hierfür nicht erforderlich (§ 165 Abs. 3 TKG 2021).

Analyse-, Marketing- oder Tracking-Cookies werden nicht eingesetzt.

| Cookie | Zweck | Anbieter | Laufzeit | |---|---|---|---| | sb-*-auth-token | Authentifizierungs-Session | Supabase (EU, eu-north-1) | Bis zur Abmeldung |

10 · Datensicherheit

Wir setzen dem Stand der Technik entsprechende technische und organisatorische Maßnahmen ein: Datenzugriff auf Nutzerebene (Row-Level-Security), verschlüsselte Übertragung (TLS/HTTPS), verschlüsserte Speicherung von API-Schlüsseln. Zugriff auf Nutzerdaten erfolgt nur, soweit für Betrieb oder Support erforderlich.

11 · Hinweis für Nutzer außerhalb der EU

Da Zahlungen über Paddle weltweit abgewickelt werden können, gilt ergänzend für Nutzer aus Drittstaaten (insbesondere Kalifornien, CCPA/CPRA):

  • Wir verkaufen personenbezogene Daten nicht und geben sie nicht für kontextübergreifende Werbung weiter.
  • Erhobene Kategorien: Identifikatoren (E-Mail, Name), Kontoinhalte und Eingaben, Nutzungsdaten, Abrechnungsdaten (über Paddle).
  • Rechte (CCPA/CPRA): Auskunft, Löschung, Berichtigung, Nicht-Diskriminierung. Anfragen an raul.heggio@outlook.com.
  • Da keine Daten verkauft oder geteilt werden, ist kein „Do Not Sell or Share"-Link erforderlich.

Stand: Mai 2026. Diese Erklärung ersetzt nicht eine individuelle Rechtsberatung.

ImpressumDatenschutzAGBWiderruf