← Zurück zur Startseite

Datenschutzerklärung (Privacy Policy)

Informationen gemäß Art. 13 und 14 DSGVO (EU) bzw. DSG (Österreich)

Privacy Policy

Stand: 2026-07-08 · SGA · Hub

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG):

SGA - Sovereign Global Alliance, Marcel Hermann Rappold, Bruder-Willram-Straße 7, 6300 Wörgl, Österreich

E-Mail (allgemein): info@sga-connect.org

E-Mail (technischer Support / Plattform): support@sga-connect.org

E-Mail (Datenschutzanfragen): info@sga-connect.org

Impressum: http://localhost:3000/legal/impressum

2. Geltungsbereich

Diese Datenschutzerklärung gilt für SGA - Sovereign Global Alliance (SGA) und umfasst:

• die öffentliche Informationsseite https://sga-connect.org (Grundlagen, Praxisbeispiele, Referenz, Downloads, Kontaktformular, Seminaranmeldung)

• die SGA Connect (Mitgliederbereich, APIs, XRPL/Xaman-Login, optionale Module wie E-Mail, Shop, Zahlungen, AI/Usage, LiveKit)

• künftig über den Hub bereitgestellte Locale-Varianten der Organisations-Webseite

Sofern einzelne Zweckbetriebe eigene Verantwortliche sind (z. B. eigene Shop- oder E-Mail-Domain), können ergänzend deren Datenschutzhinweise gelten.

Für Wallet-Anbieter (z. B. Xaman) und Zahlungsdienstleister gelten deren eigene Datenschutzinformationen.

3. Website sga-connect.org — Kontakt & Seminare

Auf der öffentlichen Website https://sga-connect.org verarbeiten wir Daten, die Sie uns freiwillig übermitteln:

  • Kontaktformular: Name, optional Telefon, E-Mail, Nachricht — Zweck: Bearbeitung Ihrer Anfrage (Art. 6 Abs. 1 lit. b und lit. f DSGVO)
  • Seminaranmeldung: Rufname, Familienname, Geburtsdatum/-ort/-land, Domizil, E-Mail, Telefon, Seminarauswahl, Sicherheitsprüfung — Zweck: Organisation und Bestätigung des Grundlagenseminars GA IV (Art. 6 Abs. 1 lit. b DSGVO)
  • Einwilligung im Anmeldeformular: Verarbeitung zum Zweck der Seminarorganisation; keine Weitergabe an Dritte außerhalb der in dieser Erklärung genannten Auftragsverarbeiter
  • Landingpage & Vorschau: technische Zugriffsdaten beim Seitenaufruf (IP gekürzt in Statistik optional, Zeitpunkt, Browser) — Art. 6 Abs. 1 lit. f DSGVO (Betrieb und Sicherheit)

Stornierungen zu Seminaren: seminars@sga-connect.org. Seminarpreise (Stand Website): Erstteilnahme 250 EUR, Wiederholer 210 EUR.

Technische Zugriffsdaten (IP, Zeitpunkt, Browser) können beim Aufruf der Website in Server-Logs anfallen (Art. 6 Abs. 1 lit. f DSGVO — Betrieb und Sicherheit).

4. Kategorien personenbezogener Daten

Wir verarbeiten je nach Nutzung, Rolle und aktivierten Modulen insbesondere folgende Datenkategorien:

  • Stammdaten: Name, Anzeigename, Kontakt (E-Mail, Telefon), Sprache, Adresse, Mitglieds- und Zweckbetriebszuordnung
  • Authentifizierungs- und Identitätsdaten: XRPL-Adresse, XID, Session-Token, Nonce/Ablaufzeit, Signaturnachweise, Rollen, Berechtigungen, Login-Historie
  • Nutzungs- und Protokolldaten: API-Aufrufe, Feature-Nutzung, AI-Token-/Kosten-Usage, Audit-Events, Fehler- und Sicherheitslogs
  • Prozess-Performance-Telemetrie (PPO): pseudonymisierte Laufzeit-Messungen zu definierten Plattform-Flows (z. B. Voice-Triage, DMS, Site Studio) — ohne Klartext-Member-ID in Rohdaten
  • Kommunikationsdaten: E-Mail-Inhalte, Betreff, Empfänger/Absender, Anhänge-Metadaten (im E-Mail-Modul)
  • Zahlungs- und Transaktionsdaten: Beträge, Währung, Zahlungsstatus, Payment-Intent-IDs, Wallet-Salden und Buchungshistorie (je nach Modul)
  • Inhaltsdaten: Webseiten-Blöcke, Dokumente, Seminar-Registrierungen, Buchhaltungs-/EÜR-Einträge, hochgeladene Dateien
  • Technische Daten: IP-Adresse, Zeitstempel, Browser/User-Agent, Geräteinformationen, Referrer, Cookies und localStorage-Inhalte (soweit personenbezogen)
  • Sprach-/Mediendaten: bei Nutzung von Voice/AI oder LiveKit können Audio-Metadaten und Verbindungsdaten anfallen

5. Zwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten nur, wenn eine Rechtsgrundlage vorliegt. Die wichtigsten Zwecke und Grundlagen sind:

  • Bereitstellung der Plattform, Vertragserfüllung, Mitgliederverwaltung — Art. 6 Abs. 1 lit. b DSGVO
  • XRPL/Xaman-Login, Identitätsbindung, Session-Management — Art. 6 Abs. 1 lit. b und lit. f DSGVO (berechtigtes Interesse an sicherer Authentifizierung und Missbrauchsvermeidung)
  • Rollen-, ABAC- und Berechtigungsprüfungen, Governance — Art. 6 Abs. 1 lit. b, lit. c und lit. f DSGVO
  • E-Mail-, Shop- und Zahlungsabwicklung — Art. 6 Abs. 1 lit. b DSGVO
  • AI-/Usage-Protokollierung (Kosten, Quotas, Abrechnung) — Art. 6 Abs. 1 lit. b und lit. f DSGVO
  • IT-Sicherheit, Fehleranalyse, Audit-Nachweise — Art. 6 Abs. 1 lit. f DSGVO
  • Prozess-Performance-Optimierung (PPO): technische Spannen zu Ladezeiten und Systemstabilität — Art. 6 Abs. 1 lit. f DSGVO; optional erweiterte Diagnose-Spannen nur mit Opt-in in den Stammdaten — Art. 6 Abs. 1 lit. a DSGVO
  • Erfüllung gesetzlicher Pflichten (z. B. Aufbewahrung, Auskunft an Behörden) — Art. 6 Abs. 1 lit. c DSGVO
  • Einwilligungsbasierte Verarbeitung (z. B. optionaler Newsletter, nicht notwendige Cookies) — Art. 6 Abs. 1 lit. a DSGVO (jederzeit widerruflich)

6. Bereitstellung der Daten und Folgen der Nichtbereitstellung

Für die Nutzung des Mitgliederbereichs sind bestimmte Angaben erforderlich (z. B. erfolgreiche Authentifizierung, Zuordnung zu Rolle/Zweckbetrieb). Ohne diese Daten können wir den Zugang nicht bereitstellen.

Optionale Angaben (z. B. zusätzliche Kontaktdaten) dienen der Komfortnutzung; deren Verweigerung schränkt Kernfunktionen in der Regel nicht ein.

7. XRPL, Xaman (XUMM) und Blockchain

Bei Anmeldung über Xaman/XUMM erzeugen wir einen Sign-In-Payload. Verarbeitet werden u. a. XID, Nonce, Ablaufzeit, XRPL-Adresse sowie das Ergebnis der kryptografischen Signaturprüfung auf unseren Servern.

Xaman/XUMM (Xumm BV, Niederlande) ist ein separater Anbieter der Wallet-App. Dessen Datenschutz und Bedingungen gelten zusätzlich: https://xumm.app/legal/privacy

Wir übermitteln an die XUMM-API nur die für den Sign-In technisch erforderlichen Payload-Daten. API-Schlüssel werden serverseitig gespeichert und nicht im Browser offengelegt.

Transaktionen und Kontostände auf der XRP Ledger (XRPL) können öffentlich einsehbar sein. Wir speichern darüber hinaus Zuordnungen (z. B. Mitglied ↔ XRPL-Adresse) in unseren Systemen gemäß dieser Erklärung.

8. Empfänger und Auftragsverarbeiter

Daten können — abhängig von Konfiguration und Umgebung — an folgende Kategorien von Empfängern übermittelt werden. Mit Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO, soweit erforderlich:

  • Hosting/Frontend-Deployment (z. B. Vercel Inc., USA — Server-Logs, IP)
  • Datenbank/Auth (z. B. Supabase/PostgreSQL — Speicherung von Mitglieds- und Nutzungsdaten)
  • E-Mail-Transport (z. B. Stalwart auf eigenem VPS oder Brevo/Sendinblue — Zustellung)
  • Zahlungsdienstleister (z. B. Stripe, Inc. — Zahlungsabwicklung, Betrugsprävention)
  • AI-/Sprachdienste (z. B. Aethera-Service, xAI/Grok bei TTS — nur bei aktiver Nutzung)
  • Realtime-Kommunikation (z. B. LiveKit, Inc. — Audio/Video-Signaling und Medienrelay)
  • Xaman/XUMM API (Xumm BV, NL — Sign-In-Payload-Erstellung und Status)
  • IT-Dienstleister im Rahmen von Wartung und Support (Zugriff nur nach Need-to-know)

9. Übermittlung in Drittländer

Einige Dienstleister haben Sitz außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in den USA (z. B. Vercel, Stripe, LiveKit).

Soweit erforderlich, stellen wir geeignete Garantien sicher, insbesondere EU-Standardvertragsklauseln (SCC) gemäß Art. 46 DSGVO, ergänzende technische und organisatorische Maßnahmen sowie — wo verfügbar — Zertifizierungen des Anbieters.

Konkrete Garantien und Unterauftragsverarbeiter können auf Anfrage unter info@sga-connect.org mitgeteilt werden.

10. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen bestehen. Grundsätze:

  • Session- und Login-Daten: bis Abmeldung oder Ablauf der Session; Refresh-Token gemäß Sicherheitskonfiguration
  • Audit- und Sicherheitslogs: typischerweise 6–24 Monate, länger bei laufenden Vorfällen oder gesetzlicher Pflicht
  • AI-/Usage-Protokolle: für Abrechnung und Quota in der Regel bis zu 24 Monate, sofern keine längere gesetzliche Pflicht besteht
  • PPO-Roh-Spannen: standardmäßig 14 Tage; mit Opt-in „erweiterte Prozess-Telemetrie“ bis zu 90 Tage; stündliche Aggregate ohne Personenbezug bis zu 400 Tage
  • Vertrags-, Buchhaltungs- und Zahlungsbelege: bis zu 7 Jahre gemäß österreichischen Aufbewahrungsvorschriften, sofern anwendbar
  • E-Mail-Inhalte: gemäß Zweckbetriebs-Richtlinie und technischer Architektur; Löschung nach Wegfall des Zwecks, sofern keine Archivpflicht
  • Demo-/Testdaten (Staging): können gekennzeichnet und nach Testzweck früher gelöscht werden

11. Prozess-Performance-Telemetrie (PPO)

Zur Verbesserung von Ladezeiten und Stabilität erfassen wir technische Messpunkte (Spannen) zu definierten Nutzerflows. Dabei gilt:

  • Pseudonymisierung: Rohdaten enthalten keinen Klartext-Member-ID, sondern einen HMAC-Hash
  • Datensparsamkeit: nur catalog-definierte technische Attribute; keine Roh-Audio, keine E-Mail-/Benachrichtigungstexte, keine IP in PPO-Spannen
  • Standard-Retention: Roh-Spannen 14 Tage; anonymisierte Stunden-Rollups ohne Personenbezug länger
  • Opt-in: In den Stammdaten können Sie „erweiterte Prozess-Telemetrie“ aktivieren — dann zusätzliche technische Detailattribute und bis zu 90 Tage Roh-Retention
  • Widerruf: Opt-in jederzeit in den Stammdaten deaktivierbar; Löschung auf Anfrage an info@sga-connect.org
  • Kein Marketing-Tracking: PPO ist keine Werbe-Analytics und erfordert kein separates Marketing-Cookie-Banner

12. Cookies, localStorage und ähnliche Technologien

Wir setzen technisch notwendige Speichermechanismen ein (Cookies, sessionStorage, localStorage), um Login-Status, XRPL-Session, Demo-Kontext, Stammdaten-Cache und Sicherheitsfunktionen bereitzustellen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

Nicht notwendige Analyse-, Marketing- oder Tracking-Cookies verwenden wir nur mit Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), sofern überhaupt aktiviert.

Sie können Cookies im Browser löschen oder blockieren; dies kann die Funktionsfähigkeit der Plattform einschränken.

13. Automatisierte Entscheidungen und Profiling

Rollen- und Berechtigungsprüfungen (ABAC) erfolgen automatisiert, um Zugriff auf Funktionen zu steuern. Dies führt nicht zu rechtlich bindenden Entscheidungen im Sinne von Art. 22 DSGVO gegenüber Verbrauchern ohne menschliche Beteiligung.

Wir betreiben kein werbliches Profiling über die beschriebenen Kernfunktionen hinaus. Sollte sich dies ändern, informieren wir gesondert.

14. Ihre Rechte als betroffene Person

Sie haben nach DSGVO insbesondere folgende Rechte. Zur Ausübung genügt eine Nachricht an info@sga-connect.org. Wir können zur Identitätsprüfung eine Bestätigung über Ihre Wallet-/Mitgliedsidentität verlangen.

  • Auskunft über verarbeitete Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO), soweit anwendbar
  • Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird.

15. Antwortfrist und Beschwerderecht

Wir beantworten Anfragen zu Betroffenenrechten in der Regel innerhalb eines Monats (Art. 12 Abs. 3 DSGVO). Bei komplexen Fällen kann die Frist um bis zu zwei weitere Monate verlängert werden; wir informieren Sie dann vorab.

Sie haben das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen (Art. 77 DSGVO).

Zuständige Aufsichtsbehörde in Österreich: Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, https://www.dsb.gv.at

16. Sicherheit der Verarbeitung

Wir treffen angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, u. a. Zugriffskontrolle nach Rollen (ABAC), Signaturprüfung bei Web3-Login, Verschlüsselung in Transit (TLS), Least-Privilege, Protokollierung sicherheitsrelevanter Ereignisse und Trennung von Test-/Produktivumgebungen.

Absolute Sicherheit kann nicht garantiert werden. Sie tragen Mitverantwortung für Ihre Wallet, Geräte und Zugangsdaten.

Bei Verdacht auf Datenpannen kontaktieren Sie uns umgehend unter info@sga-connect.org.

17. Minderjährige

Die Plattform richtet sich nicht an Kinder unter 14 Jahren. Wenn Sie Kenntnis von Datenverarbeitung Minderjähriger ohne erforderliche Einwilligung haben, kontaktieren Sie uns zur Prüfung und Löschung.

18. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Technik oder Leistungsumfang wesentlich ändern. Die aktuelle Fassung ist abrufbar unter http://localhost:3000/legal/privacy (Stand: 2026-07-08).

English summary: SGA processes member data for platform operation, XRPL/Xaman login, roles, optional email/shop/payments/AI. Processors may include Vercel, Supabase, Stripe, LiveKit, XUMM. GDPR requests: info@sga-connect.org. Technical support: support@sga-connect.org. Austrian DSB is the supervisory authority.

Diese Fassung ist die rechtsverbindliche Originalversion auf Deutsch.