Datenschutzerklärung
Stand: 10. Juli 2026
1. Verantwortlicher
DOCTO24 LTD
Μακαρίου ΙΙΙ, 228, AGIOS PAVLOS, BLOCK A, Floor 7, Flat/Office 712
3030 Limassol, Zypern
E-Mail: info@docto24.de
Datenschutzbeauftragter / EU-Vertreter (Art. 27 DSGVO):
heyData GmbH, Schützenstraße 5, 10117 Berlin, Deutschland — datenschutz@heydata.eu
2. Welche Daten wir verarbeiten
- Kontodaten: Name, E-Mail-Adresse, Passwort (verschlüsselt), Firmendaten inkl. Steuernummer/USt-ID und Bankverbindung für den Rechnungs-Footer (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung).
- Nutzungsdaten des Dienstes: Von dir angelegte Kunden, Angebote, Rechnungen, Notizen und Dokumente. Diese verarbeiten wir ausschließlich in deinem Auftrag als Auftragsverarbeiter (Art. 28 DSGVO); ein AVV ist Vertragsbestandteil.
- Zahlungsdaten: Die Abo-Abrechnung erfolgt über Stripe. Kreditkarten- oder Kontodaten werden ausschließlich von Stripe verarbeitet und erreichen unsere Server nicht (Art. 6 Abs. 1 lit. b DSGVO).
- Server-Logs: IP-Adresse, Zeitstempel, aufgerufene Seiten — zur Betriebssicherheit, Speicherdauer max. 14 Tage (Art. 6 Abs. 1 lit. f DSGVO).
3. Empfänger und Auftragsverarbeiter
- Supabase (Hosting von Datenbank, Authentifizierung und Dateispeicher) — Serverstandort EU.
- Stripe Payments Europe, Ltd. (Dublin, Irland) — Abwicklung der Abo-Zahlungen.
- Resend — technischer Versand transaktionaler E-Mails (z. B. Rechnungs- und Erinnerungs-Mails in deinem Auftrag).
- Hetzner Online GmbH (Gunzenhausen, Deutschland) — Hosting der Anwendung, Serverstandort Deutschland/EU.
Mit allen Dienstleistern bestehen Auftragsverarbeitungsverträge. Eine Übermittlung in Drittländer findet nur statt, sofern ein Angemessenheitsbeschluss oder EU-Standardvertragsklauseln vorliegen.
4. Cookies und Analyse
Wir verwenden ausschließlich technisch notwendige Cookies (Session-Authentifizierung). Es werden keine Tracking- oder Marketing-Cookies gesetzt; ein Cookie-Banner ist daher nicht erforderlich.
5. Speicherdauer und Löschung
Kontodaten speichern wir für die Dauer des Vertrags. Nach Vertragsende bleiben Daten 90 Tage schreibgeschützt abrufbar und werden anschließend gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Du kannst die vollständige Löschung jederzeit per E-Mail verlangen.
6. Deine Rechte
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO) sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde — zuständig ist der Commissioner for Personal Data Protection, 1 Iasonos Street, 1082 Nicosia, Cyprus (www.dataprotection.gov.cy), oder die Aufsichtsbehörde deines Aufenthaltsorts.
7. Datensicherheit
Alle Verbindungen sind TLS-verschlüsselt, Daten werden verschlüsselt gespeichert und täglich gesichert. Der Zugriff ist durch rollenbasierte Berechtigungen und Mandantentrennung auf Datenbankebene (Row Level Security) geschützt.