Datenschutzerklärung

Stand: März 2026

Vorwegzuschicken ist, dass sich sämtliche personenbezogenen Bezeichnungen geschlechtsneutral verstehen und alle Personen gleichermaßen angesprochen werden. Aus Gründen der besseren Lesbarkeit wurde auf eine durchgehende geschlechtsspezifische Differenzierung verzichtet.
‍
1. Verantwortlicher
‍
Verantwortlicher für die Datenverarbeitung im Zusammenhang mit der Website unter sdi-hub.com sowie mit dem Produkt SDI*Score ist die

SDI Rating GmbH
Heinrichsgasse 2/8
1010 Wien
Österreich
FN 571979 x
UID-Nr.: ATU77731607
E-Mail: office@sdi-hub.com

Im Folgenden wird die SDI Rating GmbH als „SDI“ bezeichnet. Die gesetzliche Firmenbezeichnung bleibt bis zu einer allfälligen Umfirmierung unverändert.

2. Abgrenzung zu KSV1870 ESG-Profile und KSV1870 ESG-Monitor

Soweit SDI Leistungen im Zusammenhang mit den Produkten KSV1870 ESG-Profile und KSV1870 ESG-Monitor erbringt, erfolgt die Verarbeitung personenbezogener Daten durch SDI ausschließlich als Auftragsverarbeiter im Auftrag der KSV1870 Information GmbH gemäß Art. 28 DSGVO. Vertragsabschluss, Kundenbeziehung und Abrechnung erfolgen in diesem Zusammenhang über KSV. SDI verarbeitet die Daten insoweit ausschließlich nach Weisung von KSV und nur soweit dies für die vereinbarte Produkt- und Serviceerbringung erforderlich ist.

Im Rahmen dieser Leistungserbringung verarbeitet SDI insbesondere personenbezogene Daten (Stammdaten), Firmenname, Firmenadresse, Firmenbuchnummer, E-Mail-Adresse, KSV1870 Nummer, ÖNACE-Code sowie ESG-Daten, soweit dies für die Erbringung von KSV1870 ESG-Profile oder KSV1870 ESG-Monitor erforderlich ist.

Die Produkte KSV1870 ESG-Profile und KSV1870 ESG-Monitor dienen der strukturierten Erhebung, Bereitstellung und Auswertung von ESG-Daten. Sie stellen kein ESG-Rating, keine Zertifizierung, keine externe Assurance und keine Bewertung der Nachhaltigkeitsleistung im Sinne von „gut“ oder „schlecht“ dar. Soweit Dokumente angefordert werden, dienen diese ausschließlich einem dokumentbasierten Datenabgleich im jeweils vorgesehenen Umfang. Beim ESG-Profile können für definierte Datenpunkte verpflichtende Dokumente vorgesehen sein; beim ESG-Monitor können Dokumente je nach Regelwerk optional oder verpflichtend angefordert werden, wobei bei kundenspezifischen Zusatzfragen standardmäßig kein Dokumenten-Check durch SDI erfolgt, sofern dies nicht gesondert beauftragt wurde.

Betroffenenrechte im Zusammenhang mit KSV1870 ESG-Profile und KSV1870 ESG-Monitor sind grundsätzlich gegenüber dem jeweiligen Verantwortlichen, also der KSV1870 Information GmbH, geltend zu machen. SDI unterstützt KSV dabei im Rahmen der gesetzlichen und vertraglichen Pflichten. Nach Beendigung der zugrunde liegenden Vereinbarungen erfolgt die Löschung oder Herausgabe der im KSV-Kontext verarbeiteten Daten und Verarbeitungsergebnisse im Rahmen der zwischen SDI und KSV getroffenen Vereinbarungen. Soweit eine Herausgabe vorgesehen ist, erfolgt diese in einem gängigen Format beziehungsweise in dem zwischen den Parteien vereinbarten Format.

3. Datenverarbeitung im Zusammenhang mit SDI*Score

SDI verarbeitet personenbezogene Daten im Zusammenhang mit SDI*Score insbesondere zur Registrierung und Verwaltung von Nutzerkonten, zur Anbahnung, zum Abschluss und zur Abwicklung von Verträgen, zur Bereitstellung und Nutzung des Produkts, zur Kommunikation mit Nutzern und Kunden, für Support, Fehlerbehebung, technische Weiterentwicklung, Abrechnung sowie zur Wahrung der Systemsicherheit und Missbrauchsprävention.

Dabei verarbeitet SDI insbesondere folgende Kategorien personenbezogener Daten: Name und E-Mail-Adresse von Ansprechpartnern und Nutzern, Login- und Kontodaten, Unternehmensstammdaten, Vertrags-, Bestell- und Abrechnungsdaten, Kommunikationsdaten, Nutzungs- und Protokolldaten sowie produktbezogene Eingaben im Zusammenhang mit SDI*Score.

Soweit im Rahmen von SDI*Score ESG-bezogene Unternehmensdaten verarbeitet werden, erfolgt dies zur strukturierten Erfassung, Aufbereitung, Auswertung und Darstellung von ESG-bezogenen Informationen im Produktkontext.

4. Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten durch SDI erfolgt je nach Anlass auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit dies zur Anbahnung, zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Verpflichtungen bestehen, auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO, soweit die Verarbeitung zur Wahrung berechtigter Interessen von SDI erforderlich ist, insbesondere zur IT-Sicherheit, Systemstabilität, internen Administration, Produktverbesserung und Missbrauchsvermeidung, sowie gegebenenfalls auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erteilt wurde.

5. Pflicht zur Bereitstellung

Die Bereitstellung bestimmter Daten ist für Registrierung, Vertragsabschluss, Vertragsdurchführung und Nutzung von SDI*Score erforderlich. Werden diese Daten nicht bereitgestellt, kann SDI bestimmte Leistungen nicht erbringen oder keinen Vertrag abschließen.

6. Keine automatisierte Entscheidung

Im Rahmen der Nutzung von SDI*Score erfolgt keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO.

7. Speicherdauer

Personenbezogene Daten im Zusammenhang mit SDI*Score werden grundsätzlich für die Dauer des Vertragsverhältnisses gespeichert. Darüber hinaus werden Daten so lange aufbewahrt, wie dies zur Erfüllung gesetzlicher Aufbewahrungspflichten oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Unternehmens- und steuerrechtlich relevante Daten werden in der Regel für sieben Jahre nach Ende des jeweiligen Wirtschaftsjahres aufbewahrt. Danach werden sie gelöscht oder anonymisiert, soweit keine weitere Aufbewahrung erforderlich ist.

8. Aggregierte Auswertungen und Benchmarking

Soweit im Rahmen von SDI*Score aggregierte oder anonymisierte Auswertungen und Vergleiche durchgeführt werden, erfolgt dies ausschließlich in einer Form, die keinen Rückschluss auf einzelne Personen oder Unternehmen zulässt. Solche Auswertungen dienen statistischen, methodischen und produktbezogenen Zwecken.  

9. Nutzung der Website und Log-Daten

Bei jedem Zugriff auf die Website von SDI werden durch den Server automatisch technische Informationen verarbeitet. Dazu zählen insbesondere IP-Adresse, Datum und Uhrzeit der Anfrage, Browsertyp und Browserversion, verwendetes Betriebssystem, Geräteinformationen, Referrer-URL, aufgerufene Seiten und Dateien sowie technische Status- und Zugriffsdaten. Diese Verarbeitung ist erforderlich, um die Website technisch bereitzustellen, die Systemsicherheit zu gewährleisten, Fehler zuanalysieren und Missbrauch zu verhindern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Log-Daten werden grundsätzlich für 31 Tage gespeichert und danach gelöscht oder anonymisiert, sofern keine längere Speicherung zur Aufklärung konkreter Sicherheitsvorfälle erforderlich ist.

10. Kontaktaufnahme

Wenn Nutzer SDI per E-Mail, Kontaktformular oder auf sonstigem Weg kontaktieren, verarbeitet SDI die bekanntgegebenen Daten zur Bearbeitung der Anfrage, zur weiteren Kommunikation sowie gegebenenfalls zur Anbahnung oder Abwicklung eines Vertragsverhältnisses. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, soweit die Anfrage auf einen Vertrag gerichtet ist, andernfalls Art. 6 Abs. 1 lit. f DSGVO.

11. Empfänger und Dienstleister

Zur Erbringung ihrer Leistungen setzt SDI-Dienstleister ein, die personenbezogene Daten im erforderlichen Umfang erhalten können. Empfänger erhalten Daten jeweils nur insoweit, als dies zur Erfüllung ihrer Leistungen erforderlich ist. Soweit SDI personenbezogene Daten als Verantwortlicher verarbeitet, betrifft dies insbesondere folgende Empfänger bzw. Auftragsverarbeiter: 
    
- INTERTREU SteuerberatungsGmbH, Lainzer Straße 11/4, 1130 Wien, Österreich – Buchhaltung und steuerrechtliche Abwicklung
- Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Irland – Zahlungsabwicklung, soweit Zahlungen unmittelbar über SDI abgewickelt werden
- RSIT Rainer Schuster GmbH, Liechtensteinstraße 9, 1090 Wien, Österreich – Softwareentwicklung, technischer Betrieb und Support
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland – Hosting und technische Infrastruktur

Soweit SDI personenbezogene Daten im Zusammenhang mit KSV1870 ESG-Profile oder KSV1870 ESG-Monitor ausschließlich als Auftragsverarbeiter für KSV verarbeitet, werden insbesondere folgende Sub-Auftragsverarbeiter bzw. technische Dienstleister eingesetzt:
‍
- RSIT Rainer Schuster GmbH, Liechtensteinstraße 9, 1090 Wien, Österreich – Softwareentwicklung, technischer Betrieb und Support
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland – Hosting und technische Infrastruktur

Der Einsatz weiterer Dienstleister oder Sub-Auftragsverarbeiter erfolgt nur, soweit dies datenschutzrechtlich zulässig ist. Soweit SDI Daten im Rahmen der Auftragsverarbeitung für KSV verarbeitet, erfolgt der Einsatz weiterer Sub-Auftragsverarbeiter ausschließlich im Rahmen der mit KSV getroffenen Vereinbarungen. KSV wird vor der Beauftragung weiterer Sub-Auftragsverarbeiter entsprechend den vertraglichen Vorgaben informiert; erforderliche Vereinbarungen mit Sub-Auftragsverarbeitern werden im Einklang mit Art. 28 Abs. 4 DSGVO abgeschlossen. 

12. Ort der Verarbeitung

Soweit SDI personenbezogene Daten selbst als Verantwortlicher verarbeitet, erfolgt die Verarbeitung grundsätzlich innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums.

Auch im Rahmen der Auftragsverarbeitung für KSV ist vorgesehen, dass Datenverarbeitungstätigkeiten ausschließlich innerhalb der EU bzw. des EWR durchgeführt werden. Eine Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur unter Einhaltung der Voraussetzungen der Art. 44 ff DSGVO erfolgen.

13. Datensicherheit

SDI trifft angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO, um personenbezogene Daten vor Verlust, Zerstörung, unbefugtem Zugriff, unbefugter Veränderung oder unzulässiger Offenlegung zu schützen.

Auch im Rahmen der Auftragsverarbeitung für KSV ist SDI vertraglich verpflichtet, geeignete Sicherheitsmaßnahmen zu gewährleisten, die Vertraulichkeit der mit der Verarbeitung befassten Personen sicherzustellen und KSV bei datenschutzrechtlichen Pflichten zu unterstützen.

Ungeachtet dessen ist darauf hinzuweisen, dass keine Datenübertragung über das Internet und keine Form der elektronischen Speicherung absolute Sicherheit gewährleisten kann.

14. Betroffenenrechte

Soweit SDI personenbezogene Daten als Verantwortlicher verarbeitet, haben betroffene Personen nach Maßgabe der gesetzlichen Voraussetzungen insbesondere das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen sowie den Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft.

Zur Ausübung dieser Rechte kann SDI unter office@sdi-hub.com kontaktiert werden.

Soweit SDI personenbezogene Daten ausschließlich als Auftragsverarbeiter für KSV1870 ESG-Profile oder KSV1870 ESG-Monitor verarbeitet, sind Betroffenenrechte grundsätzlich gegenüber KSV1870 Information GmbH geltend zu machen. SDI unterstützt KSV dabei im Rahmen der gesetzlichen und vertraglichen Verpflichtungen.

15. Beschwerderecht

Betroffene Personen haben unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt.

Zuständige Aufsichtsbehörde in Österreich ist insbesondere:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien
Österreich
E-Mail: dsb@dsb.gv.at 

16. Produktbezogene Klarstellung

SDI*Score ist ein ESG-bezogenes Performance- und Analyseinstrument zur strukturierten Erfassung, Aufbereitung, Auswertung und Darstellung von Unternehmensdaten im Produktkontext. SDI*Score stellt kein externes Rating, keine Bonitätsbeurteilung, keine Empfehlung und keine Grundlage für Entscheidungen über Finanzprodukte, Finanzierungen, Investitionen oder Kreditvergaben dar.

Ebenso stellen KSV1870 ESG-Profile und KSV1870 ESG-Monitor kein ESG-Rating, keine Zertifizierung und keine externe Assurance dar. Das ESG-Profile ist auf standardisierte Datenerfassung und Offenlegung ausgerichtet; Ergebnis ist ein ESG-Profil samt Transparenz-Score, der den Offenlegungsgrad zeigt und ausdrücklich kein Qualitäts- oder Performance-Score ist. Der ESG-Monitor dient der strukturierten Erfassung, Auswertung und risikobasierten Steuerung von ESG-Informationen in Lieferketten.

17. Externe Links

Soweit die Website von SDI Links zu Websites Dritter enthält, gilt diese Datenschutzerklärung nicht für diese externen Inhalte. Für die Datenverarbeitung auf verlinkten Seiten sind ausschließlich deren jeweilige Betreiber verantwortlich.

18. Änderungen dieser Datenschutzerklärung

SDI behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere wenn sich rechtliche, technische oder organisatorische Rahmenbedingungen ändern oder neue Leistungen eingeführt werden. Es gilt jeweils die auf der Website veröffentlichte Fassung.