Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: Februar 2026

1. Wer wir sind

FolioDoc („wir“, „uns“, „unser“) ist eine Plattform zur Dokumentensammlung. Wir agieren als Auftragsverarbeiter (DSGVO Art. 28) im Auftrag unserer Kunden („Verantwortliche“), die FolioDoc nutzen, um Dokumente von ihren Mandanten zu sammeln.

2. Welche Daten wir erheben

Kontoinhaber: E-Mail-Adresse, vollständiger Name, Firmenname, gehashtes Passwort, Markenlogo und Akzentfarbe.

Empfänger (Dritte): Name, E-Mail-Adresse, Telefonnummer (optional), hochgeladene Dokumente und Textantworten — gemäß den Anweisungen des Kontoinhabers.

3. Rechtsgrundlage der Verarbeitung

Kontoinhaber: Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage der Vertragserfüllung (DSGVO Art. 6(1)(b)) — die Verarbeitung ist zur Bereitstellung des FolioDoc-Dienstes erforderlich.

Empfänger: Der Kunde (Verantwortlicher) ist für die Festlegung und Mitteilung einer Rechtsgrundlage für die Verarbeitung von Empfängerdaten verantwortlich. FolioDoc verarbeitet Empfängerdaten ausschließlich auf dokumentierte Weisung des Verantwortlichen.

4. Datenaufbewahrung

Abgeschlossene und abgelaufene Anfragen werden automatisch gemäß Ihrem Tarif gelöscht:

  • Kostenloser Tarif: 14 Tage nach Abschluss oder Ablauf der Anfrage
  • Pro-Tarif: Bis zu 365 Tage (vom Kontoinhaber konfigurierbar)

Kontoinhaber können einzelne Anfragen oder ihr gesamtes Konto jederzeit löschen. Die automatische Bereinigung läuft mindestens einmal täglich. Bei Löschung werden alle zugehörigen Daten einschließlich hochgeladener Dateien, Empfängerdaten und Benachrichtigungshistorie entfernt. Jede Löschung wird in einem unveränderlichen Audit-Log erfasst. Backups werden nur so lange aufbewahrt, wie für die betriebliche Wiederherstellung erforderlich.

5. Auftragsverarbeiter

Wir nutzen folgende Drittanbieter als Auftragsverarbeiter zur Bereitstellung des Dienstes:

AuftragsverarbeiterZweckVerarbeitete DatenStandort
Hetzner Online GmbHAnwendungshosting, Datenbank, DateispeicherungAlle personenbezogenen DatenEU (Deutschland)
Mailgun (Sinch Email)Transaktionaler E-Mail-VersandEmpfängernamen, E-Mail-AdressenEU
Sentry (Functional Software Inc.)Fehlerüberwachung und AlarmierungNur Fehler-Metadaten (PII bereinigt)USA
Stripe, Inc.Abonnement-Abrechnung und ZahlungsabwicklungE-Mail, Name des Workspace-Eigentümers, PlanauswahlUSA (EU-Daten über Stripe EU-Infrastruktur)
Google LLC (Google Analytics 4)Website-Analyse (nur Marketingseiten)Anonymisierte IP, Seitenaufrufe, Gerätetyp (nur mit Zustimmung)USA

Wir benachrichtigen Kunden mindestens 30 Tage vor dem Hinzufügen oder Ersetzen eines Auftragsverarbeiters per E-Mail.

6. Datenstandort

Personenbezogene Daten werden derzeit in der EU (Hetzner, Deutschland) verarbeitet und gespeichert. Sollten wir in Zukunft weitere Regionen hinzufügen, werden wir diese Richtlinie aktualisieren.

7. Ihre Rechte (DSGVO)

Wenn Sie sich in der EU/im EWR befinden, haben Sie folgende Rechte:

  • Auskunftsrecht (Art. 15): Kontoinhaber können über das Dashboard und per Anfrage-Export auf ihre Daten zugreifen. Empfänger sollten sich an den Kontoinhaber (Verantwortlichen) wenden.
  • Recht auf Berichtigung (Art. 16): Kontoinhaber können ihr Profil in den Einstellungen aktualisieren. Empfänger sollten sich an den Verantwortlichen wenden.
  • Recht auf Löschung (Art. 17): Kontoinhaber können einzelne Anfragen oder ihr gesamtes Konto über die Einstellungen löschen. Empfänger sollten sich an den Verantwortlichen wenden.
  • Recht auf Datenübertragbarkeit (Art. 20): Kontoinhaber können alle ihre Daten über Einstellungen → Datenexport im JSON- oder CSV-Format exportieren. Einzelne Anfragen (CSV und Datei-ZIP-Downloads) sind auch auf der Anfragedetailseite verfügbar.
  • Widerspruchs-/Einschränkungsrecht: Kontaktieren Sie privacy@foliodoc.com.

Wir beantworten alle Betroffenenanfragen innerhalb von 30 Tagen.

8. Sicherheit der Verarbeitung

FolioDoc implementiert folgende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß DSGVO Art. 32:

  • Alle Verbindungen über HTTPS/TLS 1.2+ mit modernen Cipher-Suiten (ECDHE, AES-GCM/CHACHA20) und HSTS-Preloading verschlüsselt
  • Browser-Sicherheitsheader: strenge CSP (kein unsafe-eval), X-Content-Type-Options, X-Frame-Options (DENY), Permissions-Policy, Referrer-Policy (no-referrer)
  • Rollenbasierte Zugangskontrolle mit Eigentümer-, Admin- und Prüfer-Rollen pro Arbeitsbereich
  • JWT-Authentifizierung mit 15-minütigen Zugangs-Tokens, Refresh-Rotation und Sperrung bei Abmeldung
  • Optionale TOTP-basierte Zwei-Faktor-Authentifizierung (2FA) über Authenticator-Apps
  • Passwörter mit PBKDF2 gehasht, mindestens 10 Zeichen erforderlich und längenbegrenzt zur Prävention algorithmischer Komplexitätsangriffe
  • Magic-Link-Tokens mit kryptografisch sicherem Zufallsgenerator erzeugt und nur als SHA-256-Hashes gespeichert
  • Optionale Zugangscode-Verifizierung für das Empfängerportal mit Rate-Limiting und Sperrschutz
  • Datei-Uploads über 5 Stufen validiert: Größe, Content-Type, Erweiterung, Magic-Byte und pro-Empfänger-Kontingente
  • SHA-256-Dateiintegritäts-Prüfsummen beim Upload gespeichert mit periodischer Verifizierung
  • Rate Limiting pro Benutzer, pro IP und pro Endpunkt mit X-Forwarded-For-Spoofing-Schutz
  • Anmeldeereignis-Audit-Protokollierung: Anmeldeversuche, Dokumenteinreichungen und Datenlöschungen mit Zeitstempeln erfasst
  • Audit-Logs über Dashboard verfügbar und als CSV exportierbar mit Formel-Injection-Schutz
  • Unveränderlicher Lösch-Audit-Trail für DSGVO-Rückverfolgbarkeit
  • Sichere Löschworkflows mit Wiederholungsmechanismen für fehlgeschlagene Dateientfernungen
  • Fehlerüberwachung mit PII-Bereinigung (keine Anfragetexte, Tokens oder Zugangsdaten übermittelt)
  • Admin-Zugang auf zugelassene IPs in der Produktion beschränkt
  • Verschlüsselung im Ruhezustand über Hetzner verschlüsselte Volumes
  • Hochgeladene Dateien werden automatisch mit ClamAV auf Viren gescannt; Nutzer sind weiterhin verantwortlich, heruntergeladene Dateien zu überprüfen

9. Cookies und Tracking

Essentielle Cookies: FolioDoc verwendet essentielle Cookies für Sitzungsverwaltung und CSRF-Schutz. Diese sind für die Funktion der Plattform zwingend erforderlich und bedürfen keiner Einwilligung.

Analyse-Cookies (optional): Auf unseren öffentlichen Marketingseiten (Startseite, Preise, Sicherheit und rechtliche Seiten) verwenden wir Google Analytics 4, um zu verstehen, wie Besucher mit unserer Website interagieren. GA4 wird erst nach Ihrer ausdrücklichen Einwilligung über unser Cookie-Banner geladen. Wenn Sie ablehnen, werden keine Analyse-Cookies gesetzt und keine Daten an Google gesendet.

Wenn die Analyse aktiviert ist, erfasst Google Analytics:

  • Besuchte Seiten und Verweildauer
  • Anonymisierte IP-Adresse (IP-Anonymisierung ist aktiviert)
  • Gerätetyp, Browser und Betriebssystem
  • Verweisende Website

Google Analytics läuft nicht in der authentifizierten Anwendung (Dashboard, Einstellungen, Anfrageseiten) oder im Empfängerportal.

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihre Browser-Cookies löschen und die Seite erneut besuchen. Sie können Google Analytics auch vollständig deaktivieren, indem Sie das Google Analytics Opt-out Browser-Add-on.

10. Benachrichtigung bei Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten wird FolioDoc betroffene Verantwortliche unverzüglich nach Kenntniserlangung benachrichtigen, angestrebt innerhalb von 72 Stunden. Die Benachrichtigung umfasst die Art der Verletzung, Kategorien betroffener Daten und ergriffene oder vorgeschlagene Maßnahmen.

11. Kontakt

Für Datenschutzanfragen kontaktieren Sie uns unter: privacy@foliodoc.com