Authagonal

Datenschutzrichtlinie

Zuletzt aktualisiert: 8. April 2026

Authagonal ("wir", "uns", "unser") wird von Sam Critchley (ABN 69 472 204 717), einem australischen Einzelunternehmer, betrieben. Diese Richtlinie beschreibt, wie wir personenbezogene Daten in Übereinstimmung mit den Australian Privacy Principles (APPs) gemäß dem Privacy Act 1988 (Cth) erheben, verwenden, speichern und offenlegen.

1. Daten, die wir erheben

Wir erheben die folgenden Kategorien personenbezogener Daten:

  • Kontoinformationen -- Name, E-Mail-Adresse und Passwort-Hash bei der Registrierung als Mandanteninhaber oder Portal-Administrator.
  • Endbenutzer-Authentifizierungsdaten -- E-Mail-Adressen, Passwort-Hashes, MFA-Anmeldedaten, Sitzungsmetadaten und Anmelde-Zeitstempel von Benutzern, die sich über Ihren Mandanten authentifizieren. Diese Daten werden in Ihrem Auftrag als Auftragsverarbeiter verarbeitet.
  • Abrechnungsinformationen -- wir erheben Ihre E-Mail und Ihren Mandantennamen für den Stripe-Checkout. Zahlungskartendaten werden vollständig von Stripe verarbeitet und berühren niemals unsere Server.
  • Nutzungsdaten -- aggregierte Metriken (Anmeldezahlen, Token-Ausstellungsraten, API-Aufrufvolumen), die pro Mandant für Dashboard-Analysen erhoben werden. Diese enthalten keine personenbezogenen Daten.
  • Technische Daten -- IP-Adressen, User-Agent-Strings und Anfragemetadaten in Serverprotokollen. Protokolle werden 30 Tage lang aufbewahrt.

2. Wie wir Ihre Daten verwenden

  • Zur Bereitstellung und zum Betrieb des Authagonal-Authentifizierungsdienstes.
  • Zur Authentifizierung von Benutzern, Ausstellung von Tokens und Durchsetzung von Sicherheitsrichtlinien, die von Mandantenadministratoren konfiguriert wurden.
  • Zur Zahlungsabwicklung und Verwaltung Ihres Abonnements über Stripe.
  • Zum Versand transaktionsbezogener E-Mails (Kontobestätigungen, Passwortzurücksetzungen). Wir versenden keine Marketing-E-Mails.
  • Zur Überwachung der Dienstverfügbarkeit, Erkennung von Missbrauch und Durchsetzung von Ratenlimits.
  • Zur Bearbeitung von Support-Anfragen.

3. Rolle als Auftragsverarbeiter

Wenn sich Ihre Endbenutzer über Authagonal authentifizieren, handeln wir als Auftragsverarbeiter in Ihrem Auftrag. Sie (der Mandant) sind der Verantwortliche und bestimmen, welche Daten erhoben und wie sie verwendet werden. Wir verarbeiten Endbenutzerdaten ausschliesslich zur Bereitstellung des Authentifizierungsdienstes gemäß Ihrer Konfiguration.

4. Wie wir Daten speichern und schützen

  • Alle Daten werden in Microsoft Azure-Rechenzentren gespeichert. Mandantendaten werden in Azure Table Storage mit mandantenspezifischer Isolation (separate Tabellenpräfixe pro Shard) gespeichert.
  • Alle Verbindungen verwenden TLS 1.2 oder höher. Ruhende Daten werden durch Azure Storage Service Encryption verschlüsselt.
  • Passwörter werden mit bcrypt gehasht. Wir speichern niemals Klartext-Passwörter.
  • Der Zugriff auf die Produktionsinfrastruktur erfordert Multi-Faktor-Authentifizierung und ist auf autorisiertes Personal beschränkt.
  • Signaturschlüssel werden automatisch rotiert und verschlüsselt in Azure Key Vault gespeichert.

5. Offenlegung von Daten

Wir verkaufen keine personenbezogenen Daten. Wir können personenbezogene Daten offenlegen an:

  • Stripe -- zur Zahlungsabwicklung.
  • Microsoft Azure -- als unser Infrastrukturanbieter.
  • Strafverfolgungsbehörden -- wenn dies nach australischem Recht oder durch einen gültigen Gerichtsbeschluss erforderlich ist.

6. Grenzüberschreitende Datenübermittlungen

Unsere Azure-Infrastruktur wird in Australien gehostet (Central US während der Beta). Einige Daten können in anderen Rechtsgebieten durch unsere Unterauftragsverarbeiter (Stripe, Microsoft) verarbeitet werden. Wir ergreifen angemessene Maßnahmen, um sicherzustellen, dass diese Parteien Datenschutzverpflichtungen einhalten, die mit den APPs vergleichbar sind.

7. Datenaufbewahrung

  • Mandantendaten werden für die Dauer Ihres Abonnements aufbewahrt. Nach der Kündigung werden Daten 30 Tage aufbewahrt und anschliessend dauerhaft gelöscht.
  • Mandantenadministratoren können Richtlinien zur Benutzeraufbewahrung konfigurieren (automatische Deaktivierung und Löschung nach einer Inaktivitätsperiode).
  • Serverprotokolle werden 30 Tage lang aufbewahrt.
  • Backups werden 90 Tage lang aufbewahrt.

8. Ihre Rechte

Gemäß den APPs haben Sie das Recht auf:

  • Zugang zu den personenbezogenen Daten, die wir über Sie gespeichert haben.
  • Berichtigung unrichtiger Daten.
  • Löschung Ihres Kontos und der zugehörigen Daten.
  • Beschwerde beim Office of the Australian Information Commissioner (OAIC), wenn Sie der Meinung sind, dass wir gegen die APPs verstossen haben.

Mandantenadministratoren können jederzeit über das Mandantenportal oder die SCIM-API auf Endbenutzerdaten zugreifen, diese exportieren und löschen.

9. Cookies

Authagonal verwendet Sitzungs-Cookies ausschliesslich für Authentifizierungszwecke. Wir verwenden keine Tracking-Cookies, Analyse-Cookies oder Drittanbieter-Werbecookies. Das Mandantenportal verwendet sessionStorage für das OIDC-Zustandsmanagement.

10. Änderungen dieser Richtlinie

Wir können diese Richtlinie von Zeit zu Zeit aktualisieren. Wesentliche Änderungen werden über die mit Ihrem Mandantenkonto verknüpfte E-Mail-Adresse mitgeteilt. Das Datum "Zuletzt aktualisiert" oben auf dieser Seite gibt die letzte Überarbeitung an.

11. Kontakt

Für Datenschutzanfragen oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter privacy@authagonal.io.