Datenschutzerklärung

Stand: 10. Juni 2026 · Information gemäß Art. 13 und 14 DSGVO

Fortissim befindet sich derzeit in der Vorstart-Phase („Pre-Launch“): Über diese Website kannst du dich für ein Konto vorregistrieren. Diese Erklärung beschreibt, welche personenbezogenen Daten wir dabei verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage und welche Rechte dir zustehen. Datenschutzrechtlich gelten die Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG).

1. Verantwortlicher

Verantwortlicher: Joel Pfister
Anschrift: Rüttenenstrasse 14, 6800 Feldkirch, Österreich
E-Mail: joel@fortissim.app

Ein Datenschutzbeauftragter ist nicht bestellt, da keine gesetzliche Pflicht dazu besteht.

2. Welche Daten wir verarbeiten

a) Kontodaten aus der Vorregistrierung

Bei der Vorregistrierung erheben wir: E-Mail-Adresse, Anzeigename, optional ein Benutzername, Geburtsjahr sowie ein Passwort. Das Passwort wird ausschließlich als kryptografischer Hash gespeichert, niemals im Klartext. Die Registrierung wird erst nach Bestätigung deiner E-Mail-Adresse wirksam (Double-Opt-in).

b) Server-Logs

Beim Aufruf der Website verarbeitet unsere Hosting-Infrastruktur (Cloudflare) technisch bedingt Verbindungsdaten, insbesondere IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL und User-Agent (Browser-/Gerätekennung). Diese Daten dienen der Bereitstellung der Website, der Sicherheit und der Abwehr von Angriffen und Missbrauch.

c) E-Mail-Zustellmetadaten

Für den Versand von Verifizierungs- und Konto-E-Mails fallen bei unserem E-Mail-Dienstleister (Resend) Zustellmetadaten an (Empfängeradresse, Zustellstatus, Zeitpunkt).

d) Web-Schriftarten

Zur einheitlichen Darstellung lädt diese Website Schriftdateien von externen Anbietern: „Inter“ von rsms.me sowie „Bricolage Grotesque“ über Google Fonts (Google Ireland Limited bzw. Google LLC, USA); die Web-App lädt „Bricolage Grotesque“ über das CDN jsDelivr (cdn.jsdelivr.net). Beim Laden der Schriftdateien wird deine IP-Adresse technisch bedingt an den jeweiligen Anbieter übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer einheitlichen, performanten Darstellung). Für etwaige Übermittlungen in die USA gelten die Garantien aus Abschnitt 5.

3. Zwecke und Rechtsgrundlagen

Kontoerstellung und Vorregistrierung — Verarbeitung der Kontodaten zur Anlage und Verwaltung deines Kontos: Art. 6 Abs. 1 lit. b DSGVO (Vertrag bzw. vorvertragliche Maßnahmen).
E-Mail-Verifizierung (Double-Opt-in) — Versand und Auswertung der Bestätigungs-E-Mail: Art. 6 Abs. 1 lit. b DSGVO.
Sicherheit, Missbrauchsabwehr und Server-Logs — Schutz der Plattform, Fehleranalyse und Abwehr von Angriffen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und stabilen Betrieb).

Soweit wir in Zukunft Verarbeitungen auf deine Einwilligung stützen (Art. 6 Abs. 1 lit. a DSGVO), kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen.

4. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister ein, die personenbezogene Daten in unserem Auftrag bzw. als eigenständige Anbieter verarbeiten:

Anbieter	Zweck / Rolle
Cloudflare	Hosting, CDN und Edge-Infrastruktur der Website und API, einschließlich Speicherdiensten (Workers KV, R2) — Auftragsverarbeiter.
Neon Inc.	Hosting der PostgreSQL-Datenbank (Kontodaten) — Auftragsverarbeiter.
Resend	Versand transaktionaler E-Mails (Verifizierungs- und Konto-E-Mails) — Auftragsverarbeiter.
Sentry GmbH	Fehler- und Stabilitätsüberwachung (Error Monitoring); Datenannahme über den EU-Endpunkt ingest.de.sentry.io — Auftragsverarbeiter.
PostHog	Produktanalyse ausschließlich in den (kommenden) Mobile-Apps für iOS und Android — nicht auf dieser Website.
Stripe	Zahlungsabwicklung für Event-Tickets — erst ab dem Start der Bezahlfunktionen relevant.
Apple / Google	Optionale Anmeldung über „Sign in with Apple“ bzw. „Google Sign-In“ (Social Login), nur wenn du diese Option wählst.
Google Fonts / rsms.me / jsDelivr	Auslieferung der Web-Schriftarten; beim Laden der Schriftdateien wird deine IP-Adresse an den jeweiligen Anbieter übermittelt (siehe Abschnitt 2 d) — Empfänger.

Eine Weitergabe deiner Daten zu Werbezwecken oder ein Verkauf deiner Daten findet nicht statt.

5. Internationale Datenübermittlung

Einige der genannten Anbieter — insbesondere Cloudflare, Resend und Stripe — sind US-Unternehmen bzw. verarbeiten Daten auch in den USA. Übermittlungen in Drittländer erfolgen auf Grundlage von EU-Standardvertragsklauseln (SCCs, Art. 46 Abs. 2 lit. c DSGVO) und/oder einer Zertifizierung nach dem EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss gemäß Art. 45 DSGVO).

6. Speicherdauer

Kontodaten: für die Dauer des Bestehens deines Kontos. Löschst du dein Konto, wird es sofort deaktiviert (Soft-Delete); nach einer Wiederherstellungsfrist von 30 Tagen werden die Daten endgültig gelöscht.
E-Mail-Zustellprotokolle: nur so lange, wie es für den Nachweis und die Fehlerbehebung der Zustellung erforderlich ist.
Server-Logs: nur so lange, wie es für Betrieb, Sicherheit und Missbrauchsabwehr erforderlich ist.

Gesetzliche Aufbewahrungspflichten bleiben unberührt.

7. Cookies und lokale Speicherung (Client-seitig)

Auf dieser Website kommen ausschließlich technisch notwendige Speichertechnologien zum Einsatz:

localStorage: dein Zugriffstoken (JWT) für die angemeldete Sitzung sowie UI-Einstellungen (z. B. Darstellungspräferenzen).
Cookie „ea_rt“: ein httpOnly-Refresh-Cookie zur sicheren Verlängerung deiner Anmeldung. Dieses Cookie ist technisch unbedingt erforderlich (§ 165 Abs. 3 TKG 2021); eine Einwilligung ist dafür nicht erforderlich.

Wir setzen auf dieser Website keine Tracking-, Analyse- oder Werbe-Cookies von Drittanbietern ein. Deshalb wird auch kein Cookie-Banner angezeigt — es gibt nichts, in das du einwilligen müsstest.

8. Deine Rechte (Betroffenenrechte)

Dir stehen nach der DSGVO insbesondere folgende Rechte zu:

Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
Berichtigung unrichtiger Daten (Art. 16 DSGVO)
Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
Einschränkung der Verarbeitung (Art. 18 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Zwei dieser Rechte kannst du direkt im Produkt ausüben:

Datenexport: Einstellungen → Privatsphäre → Datenexport anfordern.
Kontolöschung: jederzeit in den Einstellungen — sofortige Deaktivierung, endgültige Löschung nach 30 Tagen.

Für alle Anliegen erreichst du uns unter joel@fortissim.app.

9. Beschwerderecht bei der Aufsichtsbehörde

Wenn du der Ansicht bist, dass die Verarbeitung deiner Daten gegen die DSGVO verstößt, hast du das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO). In Österreich ist dies die:

Behörde: Österreichische Datenschutzbehörde
Anschrift: Barichgasse 40-42, 1030 Wien, Österreich
Website: dsb.gv.at

10. Mindestalter

Die Nutzung von Fortissim ist erst ab einem Alter von 14 Jahren zulässig (Alter der digitalen Einwilligungsfähigkeit in Österreich, § 4 Abs. 4 DSG). Das Registrierungsformular prüft dies über die Angabe des Geburtsjahres.

11. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

12. Änderungen dieser Erklärung

Wir passen diese Datenschutzerklärung an, wenn sich die Verarbeitung ändert — insbesondere zum Launch der Plattform und der Mobile-Apps. Es gilt jeweils die hier veröffentlichte aktuelle Fassung; das Datum oben zeigt den Stand an.

Privacy Policy

Last updated: June 10, 2026 · Information pursuant to Art. 13 and 14 GDPR · The German version is authoritative.

Fortissim is currently in its pre-launch phase: this website lets you pre-register for an account. This policy explains which personal data we process, for which purposes, on which legal basis, and which rights you have. The EU General Data Protection Regulation (GDPR/DSGVO) and the Austrian Data Protection Act (DSG) apply.

1. Controller

Controller: Joel Pfister
Address: Rüttenenstrasse 14, 6800 Feldkirch, Austria
Email: joel@fortissim.app

No data protection officer has been appointed, as there is no legal obligation to do so.

2. What data we process

a) Account data from pre-registration

When you pre-register, we collect: email address, display name, an optional username, year of birth, and a password. The password is stored exclusively as a cryptographic hash, never in plain text. Registration only becomes effective after you confirm your email address (double opt-in).

b) Server logs

When you visit the website, our hosting infrastructure (Cloudflare) technically processes connection data, in particular IP address, date and time of access, requested URL, and user agent (browser/device identifier). This data is used to deliver the website and to ensure security and prevent attacks and abuse.

c) Email delivery metadata

Sending verification and account emails generates delivery metadata at our email provider (Resend), such as recipient address, delivery status, and timestamp.

d) Web fonts

For consistent typography this website loads font files from external providers: “Inter” from rsms.me and “Bricolage Grotesque” via Google Fonts (Google Ireland Limited or Google LLC, USA); the web app loads “Bricolage Grotesque” via the jsDelivr CDN (cdn.jsdelivr.net). When the font files are loaded, your IP address is, for technical reasons, transmitted to the respective provider. Legal basis: Art. 6(1)(f) GDPR (legitimate interest in a consistent, performant presentation). For any transfers to the United States, the safeguards described in section 5 apply.

3. Purposes and legal bases

Account creation and pre-registration — processing of account data to create and manage your account: Art. 6(1)(b) GDPR (contract or pre-contractual steps).
Email verification (double opt-in) — sending and evaluating the confirmation email: Art. 6(1)(b) GDPR.
Security, abuse prevention, and server logs — protecting the platform, diagnosing errors, and fending off attacks: Art. 6(1)(f) GDPR (legitimate interest in secure and stable operation).

Where we base future processing on your consent (Art. 6(1)(a) GDPR), you may withdraw that consent at any time with effect for the future.

4. Recipients and processors

We use the following service providers, which process personal data on our behalf or as independent providers:

Provider	Purpose / role
Cloudflare	Hosting, CDN, and edge infrastructure for the website and API, including storage services (Workers KV, R2) — processor.
Neon Inc.	Hosting of the PostgreSQL database (account data) — processor.
Resend	Transactional email delivery (verification and account emails) — processor.
Sentry GmbH	Error and stability monitoring; data ingestion via the EU endpoint ingest.de.sentry.io — processor.
PostHog	Product analytics exclusively in the (upcoming) iOS and Android mobile apps — not on this website.
Stripe	Payment processing for event tickets — relevant only once payment features launch.
Apple / Google	Optional sign-in via “Sign in with Apple” or “Google Sign-In” (social login), only if you choose that option.
Google Fonts / rsms.me / jsDelivr	Web font delivery; loading the font files transmits your IP address to the respective provider (see section 2 d) — recipient.

We do not share your data for advertising purposes and we never sell your data.

5. International data transfers

Some of the providers listed above — in particular Cloudflare, Resend, and Stripe — are US companies or also process data in the United States. Transfers to third countries are based on the EU Standard Contractual Clauses (SCCs, Art. 46(2)(c) GDPR) and/or a certification under the EU-US Data Privacy Framework (DPF, adequacy decision pursuant to Art. 45 GDPR).

6. Storage duration

Account data: for as long as your account exists. If you delete your account, it is deactivated immediately (soft delete); after a 30-day recovery period the data is permanently erased.
Email delivery logs: only as long as required to verify and troubleshoot delivery.
Server logs: only as long as required for operation, security, and abuse prevention.

Statutory retention obligations remain unaffected.

7. Cookies and local storage (client-side)

This website only uses strictly necessary storage technologies:

localStorage: your access token (JWT) for the signed-in session and UI preferences (e.g. display settings).
Cookie “ea_rt”: an httpOnly refresh cookie used to securely renew your session. This cookie is strictly necessary (§ 165(3) of the Austrian Telecommunications Act, TKG 2021); no consent is required for it.

We use no third-party tracking, analytics, or advertising cookies on this website. That is why you do not see a cookie banner — there is nothing you would need to consent to.

8. Your rights (data subject rights)

Under the GDPR you have, in particular, the following rights:

Access to the data we process (Art. 15 GDPR)
Rectification of inaccurate data (Art. 16 GDPR)
Erasure (“right to be forgotten”, Art. 17 GDPR)
Restriction of processing (Art. 18 GDPR)
Data portability (Art. 20 GDPR)
Objection to processing based on legitimate interests (Art. 21 GDPR)
Withdrawal of any consent given, with effect for the future (Art. 7(3) GDPR)

Two of these rights are available directly in the product:

Data export: Settings → Privacy → Request data export.
Account deletion: at any time in Settings — immediate deactivation, permanent erasure after 30 days.

For all requests, contact us at joel@fortissim.app.

9. Right to lodge a complaint with the supervisory authority

If you believe that the processing of your data violates the GDPR, you have the right to lodge a complaint with a supervisory authority (Art. 77 GDPR). In Austria this is the:

Authority: Österreichische Datenschutzbehörde (Austrian Data Protection Authority)
Address: Barichgasse 40-42, 1030 Vienna, Austria
Website: dsb.gv.at

10. Minimum age

Fortissim may only be used by persons aged 14 or older (the Austrian age of digital consent, § 4(4) DSG). The registration form enforces this via a birth-year check.

11. No automated decision-making

No automated decision-making, including profiling, within the meaning of Art. 22 GDPR takes place.

12. Changes to this policy

We will update this privacy policy whenever our processing changes — in particular at the launch of the platform and the mobile apps. The version published here always applies; the date above indicates the current revision.