Rechtliches
Datenschutzerklärung
Stand: Juni 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Dipl.-Ing. Philipp Pirker (BSc), handelnd unter der Geschäftsbezeichnung „Intellia“
Hinterleitenstraße 58b, 8523 Laßnitz, Österreich
E-Mail: info@docki.at
Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da keine gesetzliche Bestellpflicht besteht. Datenschutzanfragen richten Sie bitte an die oben angegebene E-Mail-Adresse.
2. Gegenstand und Auftragsverarbeitung
Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Website docki.at sowie der SaaS-Anwendung DocKI, bei Registrierung, Vertragsabschluss, Zahlung, Support und Kommunikation.
Soweit Kunden personenbezogene Daten ihrer Mitarbeiter oder sonstiger Personen in DocKI eingeben, verarbeitet DocKI diese Daten als Auftragsverarbeiter im Auftrag des jeweiligen Kunden (Art. 28 DSGVO). Der Kunde bleibt datenschutzrechtlich Verantwortlicher für diese Inhalte.
3. Verarbeitete Datenkategorien
- Stammdaten: Name, Unternehmen, Funktion, geschäftliche E-Mail-Adresse, Rechnungsadresse
- Accountdaten: Login-Daten, Benutzerrollen, Organisation, Tarif, Einladungen, Zeitstempel
- Zahlungsdaten: gewählter Plan, Trial-Status, Rechnungen, Zahlungsstatus, Stripe-Kunden-ID; vollständige Kartendaten werden nicht bei DocKI gespeichert
- Inhaltsdaten: KI-Tool-Inventar, Beschreibungen, Risikoeinstufungen, Compliance-Dokumentation
- Schulungsnachweise: Namen und E-Mail-Adressen von Mitarbeitern, Schulungszuordnung, Abschlussstatus
- Kommunikationsdaten: Support-Nachrichten, E-Mail-Metadaten
- Technische Daten: IP-Adresse, Browser, Betriebssystem, Session- und Logdaten, Sicherheitsereignisse
4. Zwecke und Rechtsgrundlagen
- Bereitstellung der Anwendung und Website: Art. 6 Abs. 1 lit. b und lit. f DSGVO
- Registrierung, Vertragsabschluss, Trial und Kundenverwaltung: Art. 6 Abs. 1 lit. b DSGVO
- Zahlungsabwicklung und Rechnungslegung: Art. 6 Abs. 1 lit. b und lit. c DSGVO
- Verarbeitung von Kundendaten innerhalb der Anwendung: Art. 28 DSGVO (Auftragsverarbeitung)
- Support, Fehleranalyse und Kommunikation: Art. 6 Abs. 1 lit. b und lit. f DSGVO
- Sicherheit, Protokollierung und Missbrauchsvermeidung: Art. 6 Abs. 1 lit. f DSGVO
- Erfüllung gesetzlicher Pflichten: Art. 6 Abs. 1 lit. c DSGVO
- Nicht notwendige Cookies oder Marketing: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
5. Mitarbeiterdaten unserer Kunden
Kunden können in DocKI Namen und E-Mail-Adressen von Mitarbeitern für Schulungszuweisungen und -nachweise erfassen. Diese Daten stammen vom jeweiligen Kunden (Arbeitgeber) und werden von DocKI ausschließlich nach Weisung des Kunden als Auftragsverarbeiter verarbeitet.
6. Empfänger und Auftragsverarbeiter
Zur Bereitstellung von DocKI setzen wir folgende Dienstleister ein:
| Dienstleister | Zweck | Standort / Transfer |
|---|---|---|
| Vercel Inc. | Hosting, CDN, Serverless-Funktionen, Logs | USA; EU-US DPF zertifiziert, SCCs |
| Supabase Inc. | Datenbank, Authentifizierung, Datenspeicher | Frankfurt am Main (EU); DPA vorhanden |
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung, Betrugsprävention, Rechnungs- und Zahlungsdaten; je nach Verarbeitung als Auftragsverarbeiter oder eigenverantwortlich (eigener Verantwortlicher) | Irland (EU); verbundene Stripe-Gesellschaften ggf. Drittland; DPA/SCCs vorhanden |
| Resend / Plus Five Five, Inc. | Transaktionale E-Mails (Login, Einladungen, Benachrichtigungen) | USA; SCCs, DPA vorhanden |
| Plausible Insights OÜ | Cookielose Reichweitenmessung (keine Cookies, keine persistenten Identifier, keine Speicherung von IP-Adressen) | EU-gehostet (Deutschland); DPA vorhanden |
| Vercel Inc. (Vercel Web Analytics) | Cookielose Reichweitenmessung, technische Nutzungsstatistiken | USA; EU-US DPF / SCCs soweit erforderlich |
Mit allen Auftragsverarbeitern bestehen Vereinbarungen gemäß Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung im Verhältnis zu unseren Kunden regelt die Vereinbarung zur Auftragsverarbeitung (AVV). Eine aktuelle Liste der Unterauftragsverarbeiter kann zusätzlich unter info@docki.at angefordert werden.
7. Drittlandübermittlungen
Eine Verarbeitung außerhalb der EU/EWR kann bei Vercel und Resend sowie deren Unterauftragsverarbeitern stattfinden. Drittlandübermittlungen erfolgen nur, soweit ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, der konkrete Empfänger wirksam unter dem EU-US Data Privacy Framework zertifiziert ist, oder geeignete Garantien nach Art. 46 DSGVO – insbesondere EU-Standardvertragsklauseln einschließlich einer Transfer-Risiko-Bewertung – vereinbart sind.
8. Cookies und ähnliche Technologien
DocKI verwendet ausschließlich technisch notwendige Cookies und Session-Daten (Authentifizierung, Sicherheitsfunktionen, CSRF-Schutz). Die Rechtsgrundlage für Österreich ist § 165 Abs. 3 TKG 2021, für Nutzer in Deutschland zusätzlich § 25 Abs. 2 TDDDG, jeweils in Verbindung mit Art. 6 Abs. 1 lit. b und lit. f DSGVO. Zur Reichweitenmessung setzen wir die cookielosen Analysedienste Plausible und Vercel Web Analytics ein; diese speichern keine Cookies und keine personenbezogenen Daten auf Ihrem Endgerät und erfordern daher keine Einwilligung (Rechtsgrundlage: berechtigtes Interesse an einer datensparsamen Reichweitenmessung, Art. 6 Abs. 1 lit. f DSGVO). Nicht notwendige Marketing-Technologien werden nur mit Einwilligung eingesetzt; derzeit werden keine solchen Dienste verwendet.
9. Speicherdauer
- Account- und Vertragsdaten: für die Dauer des Vertragsverhältnisses sowie gesetzlicher Aufbewahrungsfristen
- Rechnungs- und Zahlungsdaten: 7 Jahre (§ 132 BAO, § 212 UGB)
- Kundendaten in der Anwendung: bis Vertragsende, danach Löschung innerhalb von 30 Tagen
- Backups: laufende Überschreibung, regulär innerhalb von 90 Tagen
- Technische Logs: bis zu 90 Tage
- Trial-Daten ohne Vertragsabschluss: innerhalb von 30 Tagen nach Trial-Ablauf
10. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen: Zugriffsbeschränkungen, Authentifizierung, verschlüsselte Übertragung (TLS), Rollentrennung, Mandantentrennung sowie Protokollierung sicherheitsrelevanter Ereignisse.
11. Keine automatisierte Entscheidungsfindung
Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet. Die Risikoeinstufungen, Klassifizierungen und Hinweise in DocKI beruhen auf regelbasierter, deterministischer Logik (keine generative KI, kein LLM); sie dienen der Unterstützung der Dokumentation und ersetzen keine menschliche Prüfung. Sollten künftig generative KI-Funktionen eingeführt werden, wird diese Datenschutzerklärung vorab entsprechend angepasst.
12. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.
Verarbeiten wir Ihre Daten als Auftragsverarbeiter für einen Kunden, richten Sie Ihre Anfrage bitte an den jeweiligen Kunden als Verantwortlichen.
Kontakt für Datenschutzanfragen: info@docki.at
13. Beschwerderecht
Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen. Für den Betreiber zuständig ist:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
E-Mail: dsb@dsb.gv.at · Web: www.dsb.gv.at
Betroffene Personen in Deutschland können sich an die für sie zuständige Landesbehörde wenden.
14. Hinweise für Personen in der Schweiz
Soweit das Schweizer Bundesgesetz über den Datenschutz (revDSG) anwendbar ist, gelten die vorstehenden Hinweise sinngemäß. Betroffene Personen können ihre Rechte nach dem revDSG geltend machen. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), www.edoeb.admin.ch.
Datenübermittlungen in die Schweiz und aus der Schweiz in die EU/den EWR sind aufgrund gegenseitiger Angemessenheit grundsätzlich zulässig. Übermittlungen in die USA erfolgen nur an Empfänger, die unter dem Swiss-US Data Privacy Framework zertifiziert sind, oder auf Grundlage geeigneter Garantien (Standardvertragsklauseln). Eine Vertreterbestellung in der Schweiz nach Art. 14 revDSG erfolgt derzeit nicht, da nach aktueller Einschätzung dessen Voraussetzungen nicht erfüllt sind.
15. Änderungen
Diese Datenschutzerklärung kann bei rechtlichen, technischen oder organisatorischen Änderungen angepasst werden. Es gilt stets die auf dieser Website veröffentlichte aktuelle Fassung.