1. Verantwortlicher
Employee Challenge SaaS-Plattform für Mitarbeiter-Challenges & Team-Wettbewerbe Webformance OG Dreihackengasse 7/29 8020 Graz, Österreich E-Mail: office@employee-challenge.com
Stand: April 2026
Employee Challenge SaaS-Plattform für Mitarbeiter-Challenges & Team-Wettbewerbe Webformance OG Dreihackengasse 7/29 8020 Graz, Österreich E-Mail: office@employee-challenge.com
Der Schutz personenbezogener Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten ausschließlich auf Grundlage der Datenschutz-Grundverordnung (DSGVO) sowie des österreichischen Datenschutzgesetzes (DSG). Diese Datenschutzerklärung richtet sich an Nutzer (Mitarbeiter der Kundenunternehmen), die die Plattform "Employee Challenge" verwenden, sowie an Administratoren und Ansprechpartner der Kundenunternehmen.
Der Anbieter von Employee Challenge verarbeitet personenbezogene Daten der Nutzer im Auftrag des jeweiligen Kundenunternehmens (Arbeitgeber). In diesem Verhältnis ist das Kundenunternehmen Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO und der Anbieter Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Für die Verarbeitung personenbezogener Daten von Kunden, Interessenten und Website-Besuchern ist der Anbieter selbst Verantwortlicher.
Bei der Registrierung und Nutzung der Plattform werden verarbeitet: • Name, E-Mail-Adresse • Unternehmenszugehörigkeit, Abteilung/Team • Profilbild (optional) • Rolle (Nutzer/Administrator) Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Nutzer können freiwillig Aktivitäten erfassen: • Art der Aktivität (z.B. Laufen, Radfahren, Meditation) • Dauer und/oder Distanz • Datum und Uhrzeit • Optionale Fotos oder Kommentare Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung), soweit Gesundheitsbezug besteht.
Nutzer können optional ihre Fitness-Tracker und Gesundheits-Apps verbinden. Dabei können je nach Anbieter folgende Daten synchronisiert werden: • WHOOP: Workouts, Strain Score, Recovery Score, Schlafdaten • Garmin: Workouts, Schritte, Distanz, Herzfrequenz • Apple HealthKit: Workouts, Schritte, Distanz (lokal auf dem Gerät gelesen und an unser Backend übermittelt) • Google Health Connect: Workouts, Schritte, Distanz Die Verbindung zu Health-APIs ist vollständig freiwillig und erfordert die ausdrückliche Einwilligung des Nutzers. Jeder Nutzer kann die Verbindung jederzeit in den Plattform-Einstellungen widerrufen. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung für Gesundheitsdaten).
Im Rahmen von Challenges werden verarbeitet: • Punktestände, Rankings, Team-Zugehörigkeit • Fortschrittsdaten, Challenge-Ergebnisse Diese Daten sind für andere Teilnehmer derselben Challenge innerhalb des Unternehmens sichtbar (Leaderboard). Der Nutzer wird bei Beitritt zu einer Challenge darüber informiert. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch freiwillige Teilnahme).
Beim Zugriff auf die Plattform werden automatisch verarbeitet: • IP-Adresse (anonymisiert) • Browser-Typ und Version • Betriebssystem, Gerätetyp • Zugriffszeitpunkte, Referrer-URL Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Bereitstellung und Sicherheit der Plattform).
Von Administratoren und Ansprechpartnern der Kundenunternehmen verarbeiten wir: Name, E-Mail-Adresse, Telefonnummer (optional), Position/Funktion, Kommunikationsverlauf. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Aktivitätsdaten können Rückschlüsse auf den Gesundheitszustand von Nutzern erlauben und stellen daher besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO dar. Die Verarbeitung dieser Daten erfolgt ausschließlich auf Basis der ausdrücklichen Einwilligung des Nutzers (Art. 9 Abs. 2 lit. a DSGVO). Die Einwilligung wird bei Registrierung und bei Aktivierung von Health-API-Integrationen separat eingeholt. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
Folgende Daten sind innerhalb des Kundenunternehmens sichtbar: • Für alle Challenge-Teilnehmer: Vorname, Profilbild, Punktestand, Ranking, Team-Zugehörigkeit • Für Administratoren zusätzlich: Teilnahmestatus, Aktivitätsübersichten, Export-Daten • Nicht sichtbar für andere Nutzer oder Administratoren: Detaillierte Gesundheitsdaten aus Health-APIs (Recovery Score, Herzfrequenz, Schlafdaten etc.) Hinweis: Die erste und letzte Platzierung innerhalb eines Teams fließen nicht in die Team-Wertung ein. Dies ist eine bewusste Designentscheidung zum Schutz der Nutzer.
Die Plattform wird ausschließlich auf Servern innerhalb der Europäischen Union gehostet: • Hosting: Vercel (EU-Region, Frankfurt am Main) • Datenbank: Supabase (EU-Region, Frankfurt am Main) • Authentifizierung: Supabase Auth (EU-Region)
Wir verwenden PostHog zur Produktanalyse und Verbesserung der Nutzererfahrung. Anbieter: PostHog Ltd., London, Vereinigtes Königreich. PostHog erfasst Nutzungsverhalten innerhalb der Plattform, insbesondere Seitenaufrufe, Klickverhalten, Feature-Nutzung und Session-Daten. Die Daten werden zur Analyse der Produktnutzung, Fehlererkennung und Verbesserung der Benutzeroberfläche herangezogen. Wir nutzen die EU-Cloud-Variante von PostHog, sodass die Datenverarbeitung ausschließlich innerhalb der Europäischen Union erfolgt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Produktverbesserung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), sofern Cookies oder vergleichbare Technologien eingesetzt werden.
Für die Bereitstellung und Verarbeitung von Kontakt- und Anfrageformularen verwenden wir selbst entwickelte Formulare. Die im Rahmen der Formulare eingegebenen Daten (z. B. Name, E-Mail-Adresse, Nachricht) werden direkt an unsere Systeme übermittelt und dort zur Bearbeitung der Anfrage verarbeitet. Es erfolgt keine Weitergabe an externe Formulardienstleister. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen).
Zum Schutz vor automatisierten Zugriffen (Bots) und Spam verwenden wir Google reCAPTCHA. Anbieter: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland. Bei der Nutzung von reCAPTCHA können folgende Daten an Google übermittelt werden: • IP-Adresse • Referrer-URL • Informationen über das Betriebssystem und den Browser • Cookies, die von Google gesetzt werden • Mausbewegungen und Tastatureingaben zur Unterscheidung von Menschen und Bots Google kann diese Daten zur Verbesserung eigener Dienste verwenden. Es gelten die Datenschutzbestimmungen und Nutzungsbedingungen von Google. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz der Plattform vor Missbrauch und Spam).
Wir setzen folgende Unterauftragsverarbeiter ein:
| Anbieter | Zweck | Standort | Rechtsgrundlage Drittland |
|---|---|---|---|
| Vercel Inc. | Hosting, CDN | EU (Frankfurt) | - |
| Supabase Inc. | Datenbank, Auth, Realtime | EU (Frankfurt) | - |
| Stripe Inc. | Zahlungsabwicklung | EU/USA | SCCs |
| Resend Inc. | E-Mail-Versand | USA | SCCs |
| PostHog Inc. | Produktanalyse | USA/EU | SCCs (falls Cloud) |
| Google Ireland Ltd. | reCAPTCHA (Bot-Schutz) | EU/USA | SCCs |
Die Plattform verwendet technisch notwendige Cookies für die Authentifizierung und Session-Verwaltung. Analyse-Cookies (z.B. durch PostHog) und Cookies von Google reCAPTCHA werden – sofern sie über das technisch Notwendige hinausgehen – nur nach ausdrücklicher Einwilligung des Nutzers aktiviert.
Einige der eingesetzten Dienstleister können Daten in die USA oder andere Drittländer übermitteln. Die Übermittlung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO oder vergleichbaren Garantien. Wir prüfen regelmäßig, ob angemessene Schutzniveaus gewährleistet sind, und ergreifen bei Bedarf zusätzliche Maßnahmen (z.B. Verschlüsselung, Datenanonymisierung).
• Kontodaten: Für die Dauer der Nutzung und bis 30 Tage nach Kontolöschung oder Vertragsende. • Aktivitätsdaten: Für die Dauer der Nutzung bis auf Widerruf. Danach Anonymisierung oder Löschung. • Health-API-Daten: Werden nur temporär verarbeitet und nicht länger als für die jeweilige Challenge-Auswertung erforderlich gespeichert. • Rechnungs- und Vertragsdaten: 7 Jahre gemäß den steuerrechtlichen Aufbewahrungspflichten (BAO). • Technische Logs: Maximal 90 Tage. • PostHog-Analysedaten: Maximal 12 Monate, danach automatische Löschung oder Anonymisierung.
Sie haben folgende Rechte gemäß DSGVO: • Auskunft (Art. 15 DSGVO) • Berichtigung (Art. 16 DSGVO) • Löschung (Art. 17 DSGVO) • Einschränkung der Verarbeitung (Art. 18 DSGVO) • Datenübertragbarkeit (Art. 20 DSGVO) • Widerspruch (Art. 21 DSGVO) • Jederzeitiger Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: legal@employee-challenge.com Da Ihr Arbeitgeber der datenschutzrechtlich Verantwortliche ist, kann es sein, dass wir Ihre Anfrage an Ihren Arbeitgeber weiterleiten müssen.
Sie haben das Recht, Beschwerde bei der österreichischen Datenschutzbehörde einzubringen: Österreichische Datenschutzbehörde Barichgasse 40–42 1030 Wien E-Mail: dsb@dsb.gv.at Website: www.dsb.gv.at
Wir setzen angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ein, insbesondere: • Verschlüsselung der Datenübertragung (TLS) • Verschlüsselung gespeicherter Daten (Encryption at Rest) • Zugriffskontrolle und rollenbasierte Berechtigungen • Regelmäßige Sicherheitsupdates • Pseudonymisierung und Anonymisierung, wo möglich • Regelmäßige Sicherheitsüberprüfungen und Penetrationstests
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen der Rechtslage, der Plattform-Funktionen oder der eingesetzten Dienste. Die jeweils aktuelle Fassung ist auf der Plattform abrufbar. Bei wesentlichen Änderungen informieren wir die Nutzer über die Plattform oder per E-Mail.