DocKI

Rechtliches

Datenschutzerklärung

Stand: Juni 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Dipl.-Ing. Philipp Pirker (BSc), handelnd unter der Geschäftsbezeichnung „Intellia“
Hinterleitenstraße 58b, 8523 Laßnitz, Österreich
E-Mail: info@docki.at

Ein Datenschutzbeauftragter ist derzeit nicht bestellt, da keine gesetzliche Bestellpflicht besteht. Datenschutzanfragen richten Sie bitte an die oben angegebene E-Mail-Adresse.

2. Gegenstand und Auftragsverarbeitung

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei Nutzung der Website docki.at sowie der SaaS-Anwendung DocKI, bei Registrierung, Vertragsabschluss, Zahlung, Support und Kommunikation.

Soweit Kunden personenbezogene Daten ihrer Mitarbeiter oder sonstiger Personen in DocKI eingeben, verarbeitet DocKI diese Daten als Auftragsverarbeiter im Auftrag des jeweiligen Kunden (Art. 28 DSGVO). Der Kunde bleibt datenschutzrechtlich Verantwortlicher für diese Inhalte.

3. Verarbeitete Datenkategorien

  • Stammdaten: Name, Unternehmen, Funktion, geschäftliche E-Mail-Adresse, Rechnungsadresse
  • Accountdaten: Login-Daten, Benutzerrollen, Organisation, Tarif, Einladungen, Zeitstempel
  • Zahlungsdaten: gewählter Plan, Trial-Status, Rechnungen, Zahlungsstatus, Stripe-Kunden-ID; vollständige Kartendaten werden nicht bei DocKI gespeichert
  • Inhaltsdaten: KI-Tool-Inventar, Beschreibungen, Risikoeinstufungen, Compliance-Dokumentation
  • Schulungsnachweise: Namen und E-Mail-Adressen von Mitarbeitern, Schulungszuordnung, Abschlussstatus
  • Kommunikationsdaten: Support-Nachrichten, E-Mail-Metadaten
  • Technische Daten: IP-Adresse, Browser, Betriebssystem, Session- und Logdaten, Sicherheitsereignisse

4. Zwecke und Rechtsgrundlagen

  • Bereitstellung der Anwendung und Website: Art. 6 Abs. 1 lit. b und lit. f DSGVO
  • Registrierung, Vertragsabschluss, Trial und Kundenverwaltung: Art. 6 Abs. 1 lit. b DSGVO
  • Zahlungsabwicklung und Rechnungslegung: Art. 6 Abs. 1 lit. b und lit. c DSGVO
  • Verarbeitung von Kundendaten innerhalb der Anwendung: Art. 28 DSGVO (Auftragsverarbeitung)
  • Support, Fehleranalyse und Kommunikation: Art. 6 Abs. 1 lit. b und lit. f DSGVO
  • Sicherheit, Protokollierung und Missbrauchsvermeidung: Art. 6 Abs. 1 lit. f DSGVO
  • Erfüllung gesetzlicher Pflichten: Art. 6 Abs. 1 lit. c DSGVO
  • Nicht notwendige Cookies oder Marketing: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

5. Mitarbeiterdaten unserer Kunden

Kunden können in DocKI Namen und E-Mail-Adressen von Mitarbeitern für Schulungszuweisungen und -nachweise erfassen. Diese Daten stammen vom jeweiligen Kunden (Arbeitgeber) und werden von DocKI ausschließlich nach Weisung des Kunden als Auftragsverarbeiter verarbeitet.

6. Empfänger und Auftragsverarbeiter

Zur Bereitstellung von DocKI setzen wir folgende Dienstleister ein:

DienstleisterZweckStandort / Transfer
Vercel Inc.Hosting, CDN, Serverless-Funktionen, LogsUSA; EU-US DPF zertifiziert, SCCs
Supabase Inc.Datenbank, Authentifizierung, DatenspeicherFrankfurt am Main (EU); DPA vorhanden
Stripe Payments Europe, Ltd.Zahlungsabwicklung, Betrugsprävention, Rechnungs- und Zahlungsdaten; je nach Verarbeitung als Auftragsverarbeiter oder eigenverantwortlich (eigener Verantwortlicher)Irland (EU); verbundene Stripe-Gesellschaften ggf. Drittland; DPA/SCCs vorhanden
Resend / Plus Five Five, Inc.Transaktionale E-Mails (Login, Einladungen, Benachrichtigungen)USA; SCCs, DPA vorhanden
Plausible Insights OÜCookielose Reichweitenmessung (keine Cookies, keine persistenten Identifier, keine Speicherung von IP-Adressen)EU-gehostet (Deutschland); DPA vorhanden
Vercel Inc. (Vercel Web Analytics)Cookielose Reichweitenmessung, technische NutzungsstatistikenUSA; EU-US DPF / SCCs soweit erforderlich

Mit allen Auftragsverarbeitern bestehen Vereinbarungen gemäß Art. 28 DSGVO. Die Einzelheiten der Auftragsverarbeitung im Verhältnis zu unseren Kunden regelt die Vereinbarung zur Auftragsverarbeitung (AVV). Eine aktuelle Liste der Unterauftragsverarbeiter kann zusätzlich unter info@docki.at angefordert werden.

7. Drittlandübermittlungen

Eine Verarbeitung außerhalb der EU/EWR kann bei Vercel und Resend sowie deren Unterauftragsverarbeitern stattfinden. Drittlandübermittlungen erfolgen nur, soweit ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, der konkrete Empfänger wirksam unter dem EU-US Data Privacy Framework zertifiziert ist, oder geeignete Garantien nach Art. 46 DSGVO – insbesondere EU-Standardvertragsklauseln einschließlich einer Transfer-Risiko-Bewertung – vereinbart sind.

8. Cookies und ähnliche Technologien

DocKI verwendet ausschließlich technisch notwendige Cookies und Session-Daten (Authentifizierung, Sicherheitsfunktionen, CSRF-Schutz). Die Rechtsgrundlage für Österreich ist § 165 Abs. 3 TKG 2021, für Nutzer in Deutschland zusätzlich § 25 Abs. 2 TDDDG, jeweils in Verbindung mit Art. 6 Abs. 1 lit. b und lit. f DSGVO. Zur Reichweitenmessung setzen wir die cookielosen Analysedienste Plausible und Vercel Web Analytics ein; diese speichern keine Cookies und keine personenbezogenen Daten auf Ihrem Endgerät und erfordern daher keine Einwilligung (Rechtsgrundlage: berechtigtes Interesse an einer datensparsamen Reichweitenmessung, Art. 6 Abs. 1 lit. f DSGVO). Nicht notwendige Marketing-Technologien werden nur mit Einwilligung eingesetzt; derzeit werden keine solchen Dienste verwendet.

9. Speicherdauer

  • Account- und Vertragsdaten: für die Dauer des Vertragsverhältnisses sowie gesetzlicher Aufbewahrungsfristen
  • Rechnungs- und Zahlungsdaten: 7 Jahre (§ 132 BAO, § 212 UGB)
  • Kundendaten in der Anwendung: bis Vertragsende, danach Löschung innerhalb von 30 Tagen
  • Backups: laufende Überschreibung, regulär innerhalb von 90 Tagen
  • Technische Logs: bis zu 90 Tage
  • Trial-Daten ohne Vertragsabschluss: innerhalb von 30 Tagen nach Trial-Ablauf

10. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten zu schützen: Zugriffsbeschränkungen, Authentifizierung, verschlüsselte Übertragung (TLS), Rollentrennung, Mandantentrennung sowie Protokollierung sicherheitsrelevanter Ereignisse.

11. Keine automatisierte Entscheidungsfindung

Es findet keine ausschließlich automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die rechtliche Wirkung entfaltet. Die Risikoeinstufungen, Klassifizierungen und Hinweise in DocKI beruhen auf regelbasierter, deterministischer Logik (keine generative KI, kein LLM); sie dienen der Unterstützung der Dokumentation und ersetzen keine menschliche Prüfung. Sollten künftig generative KI-Funktionen eingeführt werden, wird diese Datenschutzerklärung vorab entsprechend angepasst.

12. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Verarbeiten wir Ihre Daten als Auftragsverarbeiter für einen Kunden, richten Sie Ihre Anfrage bitte an den jeweiligen Kunden als Verantwortlichen.

Kontakt für Datenschutzanfragen: info@docki.at

13. Beschwerderecht

Sie haben das Recht, Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen. Für den Betreiber zuständig ist:

Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
E-Mail: dsb@dsb.gv.at · Web: www.dsb.gv.at

Betroffene Personen in Deutschland können sich an die für sie zuständige Landesbehörde wenden.

14. Hinweise für Personen in der Schweiz

Soweit das Schweizer Bundesgesetz über den Datenschutz (revDSG) anwendbar ist, gelten die vorstehenden Hinweise sinngemäß. Betroffene Personen können ihre Rechte nach dem revDSG geltend machen. Zuständige Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), www.edoeb.admin.ch.

Datenübermittlungen in die Schweiz und aus der Schweiz in die EU/den EWR sind aufgrund gegenseitiger Angemessenheit grundsätzlich zulässig. Übermittlungen in die USA erfolgen nur an Empfänger, die unter dem Swiss-US Data Privacy Framework zertifiziert sind, oder auf Grundlage geeigneter Garantien (Standardvertragsklauseln). Eine Vertreterbestellung in der Schweiz nach Art. 14 revDSG erfolgt derzeit nicht, da nach aktueller Einschätzung dessen Voraussetzungen nicht erfüllt sind.

15. Änderungen

Diese Datenschutzerklärung kann bei rechtlichen, technischen oder organisatorischen Änderungen angepasst werden. Es gilt stets die auf dieser Website veröffentlichte aktuelle Fassung.