Zurück

Datenschutzerklärung

Zuletzt aktualisiert: April 2026

Diese Datenschutzerklärung beschreibt, wie DocNado (nachfolgend "wir", "uns" oder "die App") personenbezogene Daten erhebt, verarbeitet und schützt. Wir nehmen den Schutz deiner Daten ernst und verarbeiten nur Daten, die für die Bereitstellung unserer Dienste erforderlich sind.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Rahmen dieser App ist: Guido N., Johanna-Kirchner-Straße 5, 53123 Bonn, Deutschland. E-Mail: info@docnado.app

2. Erhobene Daten

Wir erheben und verarbeiten folgende personenbezogene Daten:

  • Account-Daten: E-Mail-Adresse, Anzeigename, Passwort (verschlüsselt gespeichert). Bei der Registrierung ist eine E-Mail-Bestätigung erforderlich.
  • Dokumentendaten: Von dir erstellte und gescannte Dokumente, Rechnungen, Posten, Teilnehmer, Zahlungsinformationen, Bilder und PDFs deiner Belege.
  • PayPal-Integration (optional): PayPal E-Mail-Adresse, Payer ID, PayPal.Me-Username, Transaktionsdaten (ausschließlich lesender Zugriff via OAuth 2.0).
  • Technische Daten: Browser-Typ, Gerätetyp und Push-Benachrichtigungs-Endpunkt (nur bei aktiven Push-Benachrichtigungen). Wir setzen kein Tracking ein und erheben keine IP-Adressen über die Serverprotokolle hinaus.
  • Verschlüsselungsdaten: Salt-Wert, verschlüsselter Datenverschlüsselungscode (DEK), RSA-Public-Key und verschlüsselter RSA-Private-Key werden serverseitig gespeichert. Dein Master-Passwort und die unverschlüsselten Schlüssel verlassen niemals dein Gerät.
  • Hochgeladene Dokumente: Bilder und PDFs deiner Belege werden verschlüsselt in Supabase Storage gespeichert (Pfad: image-scans/ und pdf-scans/). Die Originaldateien werden nach der Verschlüsselung vom Server entfernt.
  • Push-Benachrichtigungen (optional): Browser-Push-Endpunkt (URL des Push-Dienstes), p256dh- und auth-Schlüssel, User-Agent-String. Diese Daten werden ausschließlich für den Versand von Benachrichtigungen verwendet.

3. Rechtsgrundlage

Die Verarbeitung deiner personenbezogenen Daten erfolgt auf folgenden Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung zur Bereitstellung der App-Funktionen), Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei optionalen Funktionen wie PayPal-Integration, Push-Benachrichtigungen und OCR-Scan), Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse an der Aufrechterhaltung der IT-Sicherheit und Fehlerdiagnose).

4. Zweck der Verarbeitung

Deine Daten werden ausschließlich für folgende Zwecke verwendet:

  • Bereitstellung der Kernfunktionen: Dokumentenverwaltung, Rechnungserstellung und -aufteilung, Kalender, QR-basiertes Teilen von Rechnungen
  • PayPal-Integration: Abgleich von Zahlungen mit deinen Rechnungen, Generierung von PayPal.Me-Links
  • Sicherheit und Schutz vor Missbrauch der Plattform
  • Technischer Support und Fehlerdiagnose bei Problemen
  • KI-gestützte Dokumenterkennung (OCR): Automatische Extraktion von Daten aus hochgeladenen Belegen und Rechnungen
  • Ende-zu-Ende-Verschlüsselung: Schutz deiner Dokumentendaten durch clientseitige AES-256-GCM- und RSA-4096-Verschlüsselung
  • Push-Benachrichtigungen und E-Mail-Erinnerungen: Termingarantie für Rechnungsfristen und Zahlungserinnerungen

5. PayPal-Integration

Wenn du dein PayPal-Konto freiwillig verknüpfst, gilt Folgendes:

  • Authentifizierung: DocNado nutzt PayPal OAuth 2.0 für die sichere Anmeldung – deine PayPal-Zugangsdaten werden nie direkt an uns übermittelt
  • Lesezugriff: Wir erhalten ausschließlich lesenden Zugriff auf deine Transaktionshistorie
  • Keine Zahlungsauslösung: DocNado kann keine Zahlungen automatisch auslösen, Geld überweisen oder dein PayPal-Konto anderweitig verändern
  • Datenabgleich: Transaktionsdaten werden nur zum Abgleich mit deinen Rechnungen verwendet
  • Widerruf: Du kannst die PayPal-Verknüpfung jederzeit in deinen Profil-Einstellungen entfernen
  • PayPal-Datenschutz: Für die Verarbeitung durch PayPal gelten die PayPal-Datenschutzrichtlinien (https://www.paypal.com/de/webapps/mpp/ua/privacy-full)

6. KI-Dokumenterkennung (OCR)

Für die automatische Erkennung und Datenextraktion aus Dokumenten nutzen wir externe KI-Dienstleister:

  • Primärer Dienstleister: Datalab (datalab.to) – spezialisiert auf Dokumentenverarbeitung. Verarbeitung erfolgt auf Servern innerhalb der EU.
  • Verarbeitungszweck: Hochgeladene Belegbilder und PDFs werden analysiert, um Rechnungsdaten (Betrag, Datum, Händler, Artikel) automatisch zu extrahieren.
  • Keine dauerhafte Speicherung: Deine Bilddaten werden bei den OCR-Dienstleistern nicht dauerhaft gespeichert und nach der Verarbeitung unverzüglich gelöscht.
  • Keine Weitergabe: Deine Bilddaten werden von den Dienstleistern nicht an Dritte weitergegeben oder für andere Zwecke (z.B. Modelltraining) verwendet.
  • DSGVO-Konformität: Alle Datenverarbeitungen erfolgen DSGVO-konform. Eine Auftragsverarbeitungsvereinbarung (AVV) besteht mit allen externen Dienstleistern.
  • Freiwilligkeit: Die KI-Erkennung ist ein optionales Feature. Du kannst Dokumentdaten jederzeit manuell eingeben.
  • Verschlüsselung: Wenn die Ende-zu-Ende-Verschlüsselung aktiviert ist, werden die extrahierten Daten auf deinem Gerät verschlüsselt, bevor sie auf den Servern gespeichert werden.

7. Ende-zu-Ende-Verschlüsselung

DocNado bietet eine clientseitige Ende-zu-Ende-Verschlüsselung (E2EE) für deine Dokumente:

  • Master-Schlüssel (MK): Wird lokal auf deinem Gerät aus deinem Passwort mittels PBKDF2 (600.000 Iterationen, SHA-256) abgeleitet. Der Master-Schlüssel verlässt niemals dein Gerät und wird nicht auf unseren Servern gespeichert.
  • Datenverschlüsselungsschlüssel (DEK): Ein zufälliger AES-256-GCM-Schlüssel, der mit dem Master-Schlüssel verschlüsselt (gewrapped) serverseitig gespeichert wird. Nur du kannst den DEK auf deinem Gerät entschlüsseln.
  • Dateiverschlüsselungsschlüssel (FEK): Pro Dokument wird ein individueller AES-256-Schlüssel generiert, der mit dem DEK verschlüsselt wird. Dies gewährt perfekte Vorwärts-Sicherheit.
  • RSA-4096-OAEP: Ein asymmetrisches Schlüsselpaar für das sichere Teilen von Dokumenten zwischen Nutzern. Der öffentliche Schlüssel wird unverschlüsselt gespeichert; der private Schlüssel wird mit dem Master-Schlüssel verschlüsselt.
  • Verschlüsselter Umfang: Dokumentinhalte (Titel, Beschreibung, Beträge, Ort, Rechnungsnummer etc.), Positionen, OCR-Daten und Dateianhänge werden verschlüsselt. Der Server speichert ausschließlich verschlüsselte Daten.
  • Suchindex: Um die Suche über verschlüsselte Daten zu ermöglichen, wird ein Hash-basierter Suchindex erstellt. Die Originalbegriffe sind daraus nicht ableitbar.
  • Zero-Knowledge-Prinzip: Selbst bei einem vollständigen Serverzugriff können wir deine Dokumentinhalte nicht lesen. Bei Verlust deines Passworts ist eine Datenwiederherstellung durch uns nicht möglich.

8. Speicherung und Sicherheit

  • Datenbank: Deine Daten werden in einer PostgreSQL-Datenbank bei Supabase (EU-Region) gespeichert. Supabase ist nach SOC 2 Type II zertifiziert und verarbeitet Daten im Rahmen eines Auftragsverarbeitungsvertrags (AVV).
  • Transportverschlüsselung: Alle Verbindungen zwischen deinem Browser und unseren Servern sind TLS-verschlüsselt (HTTPS).
  • Passwort-Hashing: Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert.
  • Speicherdauer: Daten werden gespeichert, solange dein Account aktiv ist. Nach Account-Löschung werden deine Daten vollständig und unwiderruflich entfernt.
  • Dateispeicher: Hochgeladene Bilder und PDFs werden verschlüsselt in Supabase Storage gespeichert. Dateipfade sind nutzerbezogen isoliert (image-scans/{userId}/, pdf-scans/{userId}/).
  • Lokale Speicherung: Verschlüsselungsschlüssel werden lokal in IndexedDB (Browser) und im Arbeitsspeicher deiner Sitzung gehalten. Der lokale Browser-Cache der PWA enthält keine sensiblen Daten.

9. Auftragsverarbeiter

Folgende Dienstleister verarbeiten personenbezogene Daten in unserem Auftrag (Auftragsverarbeitung gemäß Art. 28 DSGVO):

  • Vercel Inc. (USA/EU) – Hosting und Bereitstellung der App-Infrastruktur. Datenverarbeitung auf Grundlage von Standardvertragsklauseln. Webseite: vercel.com
  • Supabase Inc. (USA, Server in EU) – Datenbank, Authentifizierung, Dateispeicher und Echtzeit-Updates. SOC 2 Type II zertifiziert. Webseite: supabase.com
  • Datalab (datalab.to, EU) – OCR-Dokumenterkennung. Verarbeitung von Belegbildern zur Datenextraktion. Daten werden nach Verarbeitung sofort gelöscht.
  • Resend Inc. (USA) – Versand von Transaktions-E-Mails (Bestätigungen, Erinnerungen). E-Mail-Adresse und Name werden übermittelt. Webseite: resend.com
  • PayPal (Europe) S.à r.l. et Cie, S.C.A. – OAuth-Integration für Transaktionsabgleich (nur bei freiwilliger Verknüpfung). Webseite: paypal.com

10. Cookies und lokale Speicherung

DocNado setzt keine Tracking- oder Werbe-Cookies ein. Folgende technische Cookies und lokale Speicher werden verwendet:

  • Authentifizierungs-Cookies: Supabase setzt Session-Cookies (sb-{projectRef}-auth-token) für die Anmeldung. Diese sind httpOnly und im Produktivbetrieb secure. Sie werden nach dem Logout oder Session-Ablauf automatisch gelöscht.
  • Sprachpräferenz: Ein Cookie (preferred-locale) speichert deine gewählte Sprache (de/en). Gültigkeit: 1 Jahr. SameSite: Lax.
  • IndexedDB: Lokale, verschlüsselte Speicherung deiner Verschlüsselungsschlüssel. Diese Daten verlassen nie dein Gerät und unterliegen nicht unserer Zugriffsmöglichkeit.
  • Service Worker (PWA): Der Service Worker cacht statische Ressourcen (HTML, CSS, JS) für verbesserte Ladezeiten. Es werden keine personenbezogenen Daten im Cache gespeichert.
  • Kein Tracking: Wir setzen weder Google Analytics, Facebook Pixel noch ähnliche Tracking-Dienste ein. Es werden keine Tracking-Cookies gesetzt.

11. Push-Benachrichtigungen

Wenn du Push-Benachrichtigungen aktivierst, gilt Folgendes:

  • Push-Abonnement: Dein Browser erzeugt ein Push-Abonnement mit einer Endpunkt-URL und Verschlüsselungsschlüsseln (p256dh, auth). Diese Daten werden in unserer Datenbank gespeichert.
  • VAPID: Wir nutzen das VAPID-Protokoll (Voluntary Application Server Identification), um uns gegenüber dem Push-Dienst deines Browsers zu authentifizieren.
  • Browser-Push-Dienst: Push-Nachrichten werden über den Push-Dienst deines Browser-Herstellers (z.B. Google Firebase Cloud Messaging für Chrome, Mozilla Push Service für Firefox) zugestellt. Dieser Dienst kann deine IP-Adresse sehen.
  • Inhalt: Push-Nachrichten enthalten keine sensiblen Dokumentinhalte. Sie informieren dich lediglich über anstehende Fristen oder Aktivitäten.
  • Freiwilligkeit: Push-Benachrichtigungen sind vollständig optional und können jederzeit in den Einstellungen deaktiviert werden. Bei Deaktivierung wird das Push-Abonnement gelöscht.

12. Weitergabe an Dritte

Deine personenbezogenen Daten werden nicht verkauft, vermietet oder anderweitig an Dritte weitergegeben, außer in folgenden Fällen:

  • Auftragsverarbeiter: Die in Abschnitt 9 genannten Dienstleister verarbeiten Daten streng nach unseren Weisungen und ausschließlich für die in dieser Erklärung genannten Zwecke.
  • Geteilte Dokumente: Wenn du Dokumente über die Teilen-Funktion mit anderen Nutzern teilst, werden diese verschlüsselt übertragen. Der Empfänger erhält nur Zugriff auf die von dir freigegebenen Dokumente.
  • Gesetzliche Verpflichtung: Bei rechtlicher Anordnung (z.B. gerichtlicher Beschluss) können wir zur Herausgabe von Daten verpflichtet sein. Dies betrifft ausschließlich verschlüsselte Daten, die ohne deinen Schlüssel nicht lesbar sind.

13. Deine Rechte

Nach der DSGVO hast du folgende Rechte. Zur Ausübung wende dich an info@docnado.app:

  • Auskunftsrecht (Art. 15 DSGVO): Auskunft über deine bei uns gespeicherten personenbezogenen Daten
  • Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger personenbezogener Daten
  • Löschung (Art. 17 DSGVO): Löschung deiner Daten. Du kannst deinen Account samt aller Daten jederzeit in den Profil-Einstellungen löschen.
  • Einschränkung (Art. 18 DSGVO): Einschränkung der Verarbeitung deiner Daten
  • Datenübertragbarkeit (Art. 20 DSGVO): Erhalt deiner Daten in einem strukturierten, gängigen Format
  • Widerspruch (Art. 21 DSGVO): Widerspruch gegen die Verarbeitung deiner Daten
  • Beschwerde (Art. 77 DSGVO): Beschwerde bei einer Datenschutz-Aufsichtsbehörde, zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Widerruf einer erteilten Einwilligung (z.B. PayPal-Verknüpfung, Push-Benachrichtigungen) jederzeit möglich, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird

14. Progressive Web App (PWA)

DocNado ist eine Progressive Web App (PWA). Ein Service Worker wird installiert, um die App-Performance zu verbessern und Offline-Funktionalität zu ermöglichen. Lokal auf deinem Gerät gespeicherte Daten (Cache, IndexedDB für Verschlüsselungsschlüssel) unterliegen deiner Kontrolle. Du kannst den Cache jederzeit über die Browsereinstellungen löschen. Die PWA speichert keine sensiblen Daten im Cache.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Einführung neuer Funktionen oder Änderungen der Datenverarbeitung anzupassen. Die jeweils aktuelle Version ist jederzeit in der App einsehbar. Bei wesentlichen Änderungen werden wir dich in der App informieren.

16. Kontakt

Für Fragen zu dieser Datenschutzerklärung oder zur Ausübung deiner Rechte wende dich an: info@docnado.app

docnado • 2026