Datenschutzerklärung
Für die AccessDoc-Anwendung · Stand: 8. Juli 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
IFDB GmbH
Karlsplatz 3
80335 München
Telefon: +49 (0) 89 2000 32 16 8
E-Mail: privacy@ifdb.io
2. Erhebung und Speicherung personenbezogener Daten
a) Beim Besuch der Anwendung
Beim Aufruf von AccessDoc werden durch den Browser automatisch Informationen an den Server unserer Anwendung gesendet und temporär in Protokolldateien gespeichert (IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Ressource, Browsertyp). Die Verarbeitung erfolgt zur Sicherstellung eines reibungslosen Verbindungsaufbaus, der Systemsicherheit und -stabilität auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Das Hosting erfolgt ausschließlich in Rechenzentren innerhalb der Europäischen Union (Hetzner Online GmbH, Deutschland) auf Grundlage eines Auftragsverarbeitungsvertrags.
b) Bei Registrierung und Nutzung eines Kontos
Für die Einrichtung und Nutzung eines AccessDoc-Kontos verarbeiten wir E-Mail-Adresse, Name (optional), Organisationsdaten sowie sicherheitsbezogene Daten (Passwort — ausschließlich als kryptografischer Hash gespeichert —, Sitzungsdaten, optional Daten der Zwei-Faktor-Authentisierung). Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung).
c) Bei der Konvertierung von Dokumenten
Von Ihnen hochgeladene PDF-Dokumente werden zum Zweck der Konvertierung in barrierearm aufbereitete Formate (PDF/UA) verarbeitet. Die Dokumente werden auf unseren Systemen verschlüsselt gespeichert (AES-256) und ausschließlich innerhalb der Europäischen Union technisch konvertiert. Die Ausgangsdatei wird kurz nach Abschluss der Konvertierung gelöscht; die dabei entstehenden Verarbeitungsvorgänge werden nach Abschluss gelöscht. Konvertierte Dokumente werden gemäß der von Ihrer Organisation gewählten Aufbewahrungsfrist (30/90/180/365 Tage oder manuelle Löschung) automatisch gelöscht; vor einer automatischen Löschung erinnern wir per E-Mail und in der Anwendung. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Soweit hochgeladene Dokumente personenbezogene Daten Dritter enthalten, bleibt der Kunde hierfür datenschutzrechtlich Verantwortlicher; wir verarbeiten diese Inhalte ausschließlich als Auftragsverarbeiter nach Maßgabe des Auftragsverarbeitungsvertrags (Anlage 1 der AGB).
d) Einsatz von Zahlungsdienstleistern
Die Zahlungsabwicklung (Abonnements und Einzelkäufe) erfolgt über Stripe Payments Europe, Ltd., Irland. Stripe erhält die für die Zahlungsabwicklung erforderlichen Daten (insbesondere E-Mail-Adresse, Zahlungsdaten, Rechnungsdaten). Kreditkartendaten werden ausschließlich durch Stripe verarbeitet und von uns zu keinem Zeitpunkt gespeichert. Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO. Soweit Stripe Daten in Drittländer übermittelt, geschieht dies auf Grundlage geeigneter Garantien im Sinne der Art. 44 ff. DSGVO (EU-Standardvertragsklauseln).
e) E-Mail-Versand und Newsletter
Transaktionale E-Mails (z. B. Registrierungsbestätigung, Konvertierungs- und Sicherheitsbenachrichtigungen, Erinnerungen vor automatischer Löschung) versenden wir über unseren Auftragsverarbeiter Brevo (Sendinblue SAS, Frankreich) auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b und f DSGVO. Einen Newsletter erhalten Sie nur mit Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO); die Einwilligung können Sie jederzeit in den Einstellungen unter „Datenschutz & meine Daten“ mit Wirkung für die Zukunft widerrufen.
f) Support-Anfragen (Ticketsystem)
Wenn Sie über die Anwendung eine Support-Anfrage stellen, verarbeiten wir die von Ihnen gemachten Angaben (Betreff, Beschreibung, Ihre Konto-E-Mail-Adresse) zur Bearbeitung Ihres Anliegens über unseren Auftragsverarbeiter Zammad GmbH (Deutschland) auf Grundlage von Art. 6 Abs. 1 S. 1 lit. b und f DSGVO. Bitte übermitteln Sie in Support-Anfragen keine Passwörter oder nicht erforderlichen personenbezogenen Daten Dritter.
3. Weitergabe von personenbezogenen Daten
Eine Übermittlung Ihrer Daten an Dritte zu anderen als den hier genannten Zwecken findet nicht statt. Wir setzen folgende Dienstleister als Auftragsverarbeiter bzw. Empfänger ein: Hetzner Online GmbH (Hosting, Deutschland), Brevo / Sendinblue SAS (E-Mail-Versand, Frankreich), Zammad GmbH (Support-Ticketsystem, Deutschland) und Stripe Payments Europe, Ltd. (Zahlungsabwicklung, Irland). Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eine Übermittlung in Drittländer findet — mit Ausnahme der unter 2. d) beschriebenen möglichen konzerninternen Übermittlungen von Stripe — nicht statt.
4. Betroffenenrechte
Sie haben das Recht:
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen;
- gemäß Art. 16 DSGVO die Berichtigung unrichtiger Daten zu verlangen;
- gemäß Art. 17 DSGVO die Löschung Ihrer Daten zu verlangen;
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung zu verlangen;
- gemäß Art. 20 DSGVO Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Datenübertragbarkeit);
- gemäß Art. 7 Abs. 3 DSGVO eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen;
- gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einzulegen; und
- sich gemäß Art. 77 DSGVO bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
Datenexport (Art. 15/20) und Löschantrag (Art. 17) stehen Ihnen direkt in der Anwendung unter „Einstellungen → Datenschutz & meine Daten“ zur Verfügung; im Übrigen wenden Sie sich an privacy@ifdb.io.
5. Dauer der Datenspeicherung
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist: Kontodaten für die Dauer des Vertragsverhältnisses, konvertierte Dokumente gemäß der gewählten Aufbewahrungsfrist (siehe 2. c), Abrechnungsdaten für die Dauer der gesetzlichen Aufbewahrungspflichten (insbesondere § 147 AO, § 257 HGB). Nach Wegfall des Zwecks bzw. Ablauf der Fristen werden die Daten gelöscht.
6. Cookies
AccessDoc verwendet ausschließlich technisch notwendige Cookies (Sitzungs-Cookie, Zwischenschritt der Zwei-Faktor-Anmeldung, gewählte Organisation). Diese sind für den Betrieb der Anwendung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG, Art. 6 Abs. 1 S. 1 lit. f DSGVO). Tracking-, Analyse- oder Marketing-Cookies werden nicht eingesetzt; ein Einwilligungsbanner ist daher nicht erforderlich.
7. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen nach dem Stand der Technik, insbesondere: Transportverschlüsselung (TLS), verschlüsselte Speicherung hochgeladener und konvertierter Dokumente (AES-256), Passwort-Speicherung ausschließlich als Argon2id-Hash, Zwei-Faktor-Authentisierung, rollenbasierte Zugriffskontrolle und mandantengetrennte Datenhaltung, Protokollierung sicherheitsrelevanter Ereignisse sowie Hosting ausschließlich in der EU.
8. Aktualität und Änderung dieser Datenschutzerklärung
Durch die Weiterentwicklung unserer Anwendung oder aufgrund geänderter gesetzlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. Die jeweils aktuelle Fassung ist jederzeit unter dieser Adresse abrufbar.