Datenschutzerklärung

Stand: 20. April 2026

1. Verantwortlicher

Verantwortlicher für die in dieser Datenschutzerklärung beschriebenen Verarbeitungen ist die:

TOPO GmbH
Brockenweg 2
6060 Hall in Tirol
Österreich

E-Mail: office@topo-software.com
Telefon: +43 660 6217405

Wenn Sie Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte haben, können Sie sich jederzeit an uns wenden.

2. Wofür diese Datenschutzerklärung gilt

Diese Datenschutzerklärung gilt für:

1. den Besuch unserer Websites und öffentlichen Seiten,
2. die Registrierung, Anmeldung und Nutzung von LAIMS,
3. Support-, Kontakt- und Kommunikationsvorgänge,
4. die Bereitstellung unserer B2B-SaaS-Leistungen gegenüber Geschäftskunden.

Wichtiger Hinweis zur Rollenverteilung:

1. Soweit wir personenbezogene Daten zur Bereitstellung unserer eigenen Website, zur Verwaltung von Benutzerkonten, für Vertragsabwicklung, Abrechnung, IT-Sicherheit, Support und Produktbetrieb verarbeiten, handeln wir in der Regel als Verantwortlicher.
2. Soweit Geschäftskunden LAIMS nutzen, um eigene Kunden-, Auftrags-, Produktions-, Dokumenten- oder sonstige Geschäftsdaten in der Anwendung zu verarbeiten, handelt die TOPO GmbH in der Regel als Auftragsverarbeiter im Auftrag des jeweiligen Geschäftskunden. In diesen Fällen ist der jeweilige Geschäftskunde datenschutzrechtlich Verantwortlicher gegenüber den betroffenen Personen.

3. Website-Aufruf und technisch erforderliche Protokolle

Beim Aufruf unserer Websites und öffentlich erreichbaren Seiten verarbeiten wir technisch erforderliche Verbindungs- und Protokolldaten, insbesondere:

1. IP-Adresse,
2. Datum und Uhrzeit des Zugriffs,
3. aufgerufene URL und angeforderte Ressourcen,
4. Referrer-URL,
5. Browsertyp, Browserversion, Betriebssystem und User-Agent,
6. HTTP-Statuscodes sowie vergleichbare technische Ereignisdaten.

Die Verarbeitung erfolgt zur Bereitstellung der Website, zur Aufrechterhaltung von Stabilität und Sicherheit, zur Abwehr von Missbrauch sowie zur Fehleranalyse.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einem sicheren, stabilen und wirtschaftlichen Betrieb unserer Online-Angebote.

Soweit auf einzelnen Seiten keine gesondert aktivierten Analyse- oder Marketingdienste eingebunden sind, verarbeiten wir auf den öffentlichen Seiten nur die für Auslieferung, Sicherheit und Betrieb erforderlichen Daten.

4. Kontaktaufnahme

Wenn Sie uns per E-Mail, Telefon, Kontaktformular oder auf sonstigem Weg kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten, insbesondere:

1. Name,
2. Kontaktdaten,
3. Unternehmensbezug,
4. Inhalt Ihrer Anfrage,
5. Kommunikations- und Bearbeitungshistorie.

Die Verarbeitung erfolgt zur Bearbeitung Ihrer Anfrage, zur Vertragsanbahnung, zur Durchführung bestehender Vertragsbeziehungen oder zur Bearbeitung sonstiger Anliegen.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO, soweit Ihre Anfrage auf einen Vertrag oder vorvertragliche Maßnahmen gerichtet ist, und Art. 6 Abs. 1 lit. f DSGVO für sonstige Anfragen und allgemeine Kommunikation.

5. Registrierung, Benutzerkonto und Authentifizierung

Bei der Registrierung und Nutzung von LAIMS verarbeiten wir insbesondere folgende Daten:

1. Name,
2. E-Mail-Adresse,
3. Unternehmensname,
4. Benutzer- und Rolleninformationen,
5. Mitgliedschaften zu Workspaces bzw. Mandanten,
6. Anmeldedaten und Sicherheitsinformationen,
7. Verifikations- und Login-Token,
8. Zeitpunkte von Registrierung, Login, Verifikation und sicherheitsrelevanten Aktionen.

Zur Anmeldung nutzt LAIMS je nach Konfiguration insbesondere:

1. Magic-Link- bzw. OTP-Verfahren per E-Mail,
2. technisch erforderliche Session-Informationen, Cookies und vergleichbare Speichermechanismen.

Diese Verarbeitung ist erforderlich, um Benutzerkonten bereitzustellen, Nutzer zu authentifizieren, Zugriffsrechte zu verwalten, Workspaces zuzuordnen und die Sicherheit des Systems zu gewährleisten.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in einer sicheren Zugriffskontrolle, Missbrauchsverhinderung und Nachvollziehbarkeit sicherheitsrelevanter Vorgänge.

6. Nutzung von LAIMS und Mandantentrennung

LAIMS ist als zentrale Multi-Tenant-Anwendung aufgebaut. Dabei werden personenbezogene Daten nicht nur in einer globalen Kontoverwaltung, sondern auch mandantenbezogen verarbeitet.

Dies umfasst insbesondere:

1. eine Control Plane für globale Konten, Rollen, Einladungen, Mitgliedschaften, Einstellungen, Audit- und Sicherheitsprotokolle,
2. separate Tenant-Datenbanken für operative Geschäftsdaten je Kunde bzw. je Firma.

Je nach Nutzung des Produkts können in LAIMS insbesondere folgende Datenkategorien verarbeitet werden:

1. Stammdaten von Ansprechpartnern, Beschäftigten und Kunden,
2. Adress- und Kontaktdaten,
3. Auftrags-, Angebots-, Rechnungs- und Lieferdaten,
4. Produktions- und Dokumentationsdaten,
5. hochgeladene Dateien, Dokumente, Vorschaubilder, Rechnungs-PDFs, Lieferscheine und sonstige Dateianhänge,
6. interne Notizen, Status- und Bearbeitungsinformationen,
7. Nutzungs- und Auditdaten im Rahmen der Anwendung.

Dateien und Dokumente werden nach der aktuellen Systemarchitektur grundsätzlich direkt in der jeweiligen Tenant-PostgreSQL-Datenbank gespeichert und nicht in einem separaten externen Blob-Storage.

Soweit wir diese Daten im Auftrag unserer Geschäftskunden verarbeiten, erfolgt die Verarbeitung ausschließlich nach dokumentierter Weisung des jeweiligen Kunden und auf Grundlage eines Auftragsverarbeitungsvertrags, soweit ein solcher rechtlich erforderlich ist.

7. Support, Feedback, Screenshots und Anhänge

Wenn Nutzer innerhalb von LAIMS Support- oder Feedbackfunktionen verwenden, verarbeiten wir insbesondere:

1. Namen und E-Mail-Adressen der meldenden Nutzer,
2. Titel und Inhalt von Support- oder Feedbackmeldungen,
3. Status- und Kommunikationsverläufe,
4. optional hochgeladene Anhänge,
5. optional erstellte Screenshots,
6. technische Bearbeitungs- und Synchronisationsinformationen.

Supportzugriffe können außerdem über gesonderte Support-Mitgliedschaften erfolgen. Solche Zugriffe werden aus Sicherheits- und Nachweisgründen protokolliert.

Wenn das externe Ticketsystem für den betreffenden Mandanten aktiviert ist, können Support- oder Feedbackinhalte an ein externes Ticketsystem gespiegelt werden. Nach aktuellem technischen Stand ist hierfür insbesondere eine Synchronisation mit GitHub Issues vorgesehen. Dabei können insbesondere Ticketinhalte, Name und E-Mail der meldenden Person sowie signierte Abruflinks für Screenshots und Anhänge an das externe Ticketsystem übermittelt werden, soweit dies zur Bearbeitung erforderlich ist.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO für vertraglich geschuldete Supportleistungen sowie Art. 6 Abs. 1 lit. f DSGVO für die effiziente, nachvollziehbare und sichere Bearbeitung von Produktfeedback, Supportfällen und technischen Störungen. Soweit wir Supportdaten im Auftrag eines Geschäftskunden verarbeiten, erfolgt die Verarbeitung außerdem im Rahmen unseres Auftragsverarbeitungsverhältnisses mit dem jeweiligen Kunden.

8. E-Mail-Kommunikation

Wir versenden transaktionale E-Mails, insbesondere für:

1. Verifikation von Benutzerkonten,
2. Magic Links oder Einmalcodes zur Anmeldung,
3. sicherheitsbezogene Hinweise,
4. vertragsbezogene Kommunikation,
5. Support- und Servicekommunikation.

Hierfür setzen wir einen SMTP-basierten E-Mail-Dienstleister ein. Dabei werden die für den Versand erforderlichen Kommunikationsdaten verarbeitet, insbesondere E-Mail-Adresse, Versandzeitpunkt, technische Zustellinformationen und der Nachrichteninhalt, soweit dies für den Versand oder die Bearbeitung von Zustellfehlern erforderlich ist.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. f DSGVO.

9. Sicherheits-, Audit- und Missbrauchsprotokolle

Zur Erkennung, Analyse und Abwehr von Missbrauch sowie zur Nachvollziehbarkeit sicherheitsrelevanter Vorgänge verarbeiten wir Protokolldaten, insbesondere:

1. IP-Adresse,
2. User-Agent,
3. Benutzer- und Mandantenbezug,
4. Rollen- und Zugriffsänderungen,
5. Login- und Logout-Ereignisse,
6. sicherheitsrelevante System- und Administrationsereignisse,
7. Supportzugriffe und vergleichbare Berechtigungsänderungen.

Diese Verarbeitung dient der IT-Sicherheit, der Integrität des Systems, der Fehleranalyse, der Missbrauchsverhinderung, der Nachweisbarkeit wesentlicher Vorgänge und der Erfüllung vertraglicher sowie gesetzlicher Anforderungen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Soweit gesetzliche Aufbewahrungs- oder Nachweispflichten bestehen, erfolgt die Verarbeitung zusätzlich auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

10. Fehleranalyse und Monitoring

Zur technischen Überwachung, Fehlererkennung und Störungsbehebung setzen wir Monitoring- und Error-Tracking-Dienste ein, insbesondere Sentry.

Dabei können je nach Fehlerfall insbesondere technische Diagnosedaten verarbeitet werden, zum Beispiel:

1. Zeitpunkte und Art eines Fehlers,
2. betroffene Seiten, Routen oder Funktionen,
3. technische Request- und Response-Metadaten,
4. Geräte-, Browser- und Laufzeitinformationen,
5. Anwendungs- und Stacktrace-Informationen,
6. in Ausnahmefällen Inhalte, die im unmittelbaren Fehlerkontext technisch mitübertragen werden.

Wir bemühen uns, diese Datenverarbeitung datensparsam auszugestalten und unnötige personenbezogene Inhalte zu vermeiden. Gleichwohl kann nicht ausgeschlossen werden, dass in Einzelfällen personenbezogene oder personenbeziehbare Informationen im Fehlerkontext verarbeitet werden.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt im sicheren, stabilen und effizienten Betrieb von LAIMS.

11. Abrechnung und Zahlungen

Soweit Zahlungs- oder Billing-Funktionen aktiviert sind, verarbeiten wir abrechnungsbezogene Daten, insbesondere:

1. Vertrags- und Paketinformationen,
2. Rechnungs- und Zahlungsstatus,
3. abrechnungsrelevante Nutzungs- oder Leistungsdaten,
4. gegebenenfalls Zahlungsdienstleister-Referenzen.

Wenn Online-Zahlungsfunktionen aktiviert sind, kann hierfür Stripe als Zahlungsdienstleister eingesetzt werden. In diesem Fall verarbeitet Stripe die für die Zahlungsabwicklung erforderlichen Daten in eigener datenschutzrechtlicher Verantwortlichkeit bzw. teilweise als eigenständiger Verantwortlicher.

Rechtsgrundlagen sind Art. 6 Abs. 1 lit. b DSGVO und Art. 6 Abs. 1 lit. c DSGVO.

12. Empfänger und eingesetzte Dienstleister

Wir geben personenbezogene Daten nur weiter, wenn dies rechtlich zulässig ist und für die jeweiligen Zwecke erforderlich ist. Empfänger können insbesondere sein:

1. Hosting-, Infrastruktur- und CDN-Dienstleister,
2. Datenbank- und Cache-Dienstleister,
3. E-Mail- und Kommunikationsdienstleister,
4. Monitoring- und Fehleranalyse-Dienstleister,
5. externe Ticketsysteme und Supportwerkzeuge,
6. Zahlungsdienstleister,
7. Steuer-, Rechts- oder sonstige professionelle Berater,
8. Behörden und Gerichte, soweit eine gesetzliche Verpflichtung besteht.

Nach dem aktuellen technischen Stand und der aktuellen Produktarchitektur kommen insbesondere folgende Kategorien bzw. Dienstleister in Betracht:

1. Vercel für Hosting, Deployment, Web-Auslieferung und Runtime,
2. Neon für PostgreSQL-Datenbanken und Datenbank-Provisionierung,
3. Upstash für Cache, Rate Limiting und vergleichbare technische Schutzfunktionen,
4. Sentry für Fehlererkennung und technische Störungsanalyse,
5. ein jeweils eingesetzter SMTP-/E-Mail-Dienstleister für transaktionale E-Mails,
6. GitHub für externen Ticket- und Supportsync, soweit diese Funktion aktiviert ist,
7. Stripe für Zahlungsabwicklung, soweit Zahlungsfunktionen aktiviert sind.

13. Drittlandübermittlungen

Wir sind bestrebt, Dienste so zu konfigurieren, dass Daten bevorzugt in der EU bzw. im EWR verarbeitet werden. Nach aktuellem technischen Stand sind zentrale Regionen für Laufzeit und Datenbankbetrieb insbesondere auf Frankfurt am Main ausgerichtet. Gleichwohl kann es im Zusammenhang mit einzelnen Dienstleistern zu Verarbeitungen in Drittstaaten, insbesondere in den USA, kommen.

Soweit personenbezogene Daten in Drittstaaten übermittelt werden, erfolgt dies nur unter Beachtung der gesetzlichen Voraussetzungen. Je nach Dienstleister kann dies insbesondere auf Grundlage von:

1. Angemessenheitsbeschlüssen,
2. einer Zertifizierung nach dem EU-U.S. Data Privacy Framework,
3. Standardvertragsklauseln der Europäischen Kommission,
4. ergänzenden vertraglichen, technischen und organisatorischen Schutzmaßnahmen

erfolgen.

Weitere Informationen zu den konkreten Schutzmechanismen der eingesetzten Anbieter stellen wir auf Anfrage gerne im Rahmen des rechtlich Zulässigen zur Verfügung.

14. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen.

Die konkrete Speicherdauer richtet sich insbesondere nach:

1. der Dauer der Vertragsbeziehung,
2. dem Zweck der jeweiligen Verarbeitung,
3. gesetzlichen Nachweis- und Aufbewahrungspflichten,
4. Verjährungsfristen,
5. berechtigten Interessen an IT-Sicherheit, Missbrauchsabwehr, Dokumentation und Rechtsverteidigung.

Typischerweise bedeutet dies:

1. Kontodaten speichern wir grundsätzlich für die Dauer des Nutzungsverhältnisses und darüber hinaus nur, soweit hierfür ein rechtlicher Grund besteht.
2. Vertrags- und Abrechnungsdaten speichern wir entsprechend gesetzlicher Aufbewahrungspflichten.
3. Audit-, Sicherheits- und Fehlerprotokolle speichern wir nur so lange, wie dies für Sicherheit, Nachweisbarkeit und Störungsbearbeitung erforderlich ist.
4. Support- und Feedbackdaten speichern wir grundsätzlich für die Dauer der Bearbeitung und darüber hinaus nur, soweit dies für Dokumentation, Nachverfolgung oder Rechtsverteidigung erforderlich ist.
5. Mandantenspezifische Geschäftsdaten werden im Rahmen der Vorgaben des jeweiligen Geschäftskunden und der vertraglichen bzw. gesetzlichen Aufbewahrungspflichten gespeichert, exportiert, gelöscht oder anonymisiert.

15. Pflicht zur Bereitstellung von Daten

Die Bereitstellung bestimmter personenbezogener Daten ist für den Vertragsschluss, die Einrichtung von Benutzerkonten, die Anmeldung, die Nutzung von LAIMS oder die Bearbeitung von Supportanfragen erforderlich. Ohne diese Daten können wir die jeweilige Leistung ganz oder teilweise nicht erbringen.

16. Ihre Rechte

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

1. Recht auf Auskunft gemäß Art. 15 DSGVO,
2. Recht auf Berichtigung gemäß Art. 16 DSGVO,
3. Recht auf Löschung gemäß Art. 17 DSGVO,
4. Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO,
5. Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO,
6. Recht auf Widerspruch gemäß Art. 21 DSGVO,
7. Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft, soweit die Verarbeitung auf Einwilligung beruht.

Wenn wir Daten als Auftragsverarbeiter im Auftrag eines Geschäftskunden verarbeiten, bitten wir betroffene Personen, sich zunächst an den jeweiligen Geschäftskunden als datenschutzrechtlich Verantwortlichen zu wenden. Wir unterstützen unsere Kunden selbstverständlich bei der Erfüllung ihrer datenschutzrechtlichen Pflichten.

17. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzubringen. Zuständig für uns ist insbesondere die österreichische Datenschutzbehörde:

Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Österreich
E-Mail: dsb@dsb.gv.at
Website: https://dsb.gv.at

18. Auftragsverarbeitungsvertrag (AVV)

Soweit wir personenbezogene Daten für unsere Geschäftskunden als Auftragsverarbeiter verarbeiten, schließen wir mit dem jeweiligen Kunden einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, soweit dies rechtlich erforderlich ist.

Ein solcher AVV betrifft die Beziehung zwischen uns und dem jeweiligen Geschäftskunden. Er ersetzt nicht diese öffentliche Datenschutzerklärung, sondern ergänzt sie.

19. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn dies aufgrund technischer, rechtlicher oder geschäftlicher Änderungen erforderlich ist. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.