Datenschutzerklärung für dms-secure.de
Wir freuen uns über Ihr Interesse an unserer cloudbasierten Dokumentenmanagement-Plattform (nachfolgend „DMS-System“ oder „Plattform“). Der Schutz Ihrer personenbezogenen Daten hat für uns höchste Priorität. Im Folgenden informieren wir Sie ausführlich über den Umgang mit Ihren Daten gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).
1. Verantwortlicher für die Datenverarbeitung
Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze ist:
Adam Koch Weißensteinstr. 44 58093 Hagen Deutschland E-Mail: biuro@konveria.com
2. Zero-Knowledge-Architektur und Datensicherheit (Grundprinzip)
Das Fundament unserer Plattform ist das Zero-Knowledge-Prinzip. Dies bedeutet für die Verarbeitung von personenbezogenen Daten, die in den von Ihnen hochgeladenen Dokumenten enthalten sind:
-
End-to-End-Verschlüsselung: Alle Dokumente werden bereits auf Ihrem Endgerät (clientseitig) mittels AES-256 verschlüsselt, bevor sie an unsere Server übermittelt werden.
-
Kein Zugriff durch den Anbieter: Wir als Betreiber verfügen über keine Schlüssel zur Entschlüsselung dieser Daten. Wir können den Inhalt Ihrer Dokumente weder einsehen, auswerten noch an Dritte weitergeben.
-
Passwort-Sicherheit: Ihre Zugangsdaten (Master-Passwort) werden niemals im Klartext gespeichert. Wir nutzen moderne Hashing-Verfahren (z. B. Argon2), die höchste Sicherheit gegen Brute-Force-Angriffe bieten.
3. Verarbeitung von Daten bei der reinen Website-Nutzung
Wenn Sie unsere Website (CMS) nur informatorisch nutzen, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt (Server-Logfiles):
-
IP-Adresse
-
Datum und Uhrzeit der Anfrage
-
Inhalt der Anforderung (konkrete Seite)
-
Zugriffsstatus/HTTP-Statuscode
-
Jeweils übertragene Datenmenge
-
Browser, Betriebssystem und deren Oberfläche
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. f DSGVO (Berechtigtes Interesse an der Gewährleistung der Stabilität und Sicherheit der Website). Diese Daten werden nach spätestens 7 Tagen gelöscht oder anonymisiert.
4. Verarbeitung bei Registrierung und Nutzung des DMS-Systems
Wenn Sie sich als Kunde (Unternehmer, Kanzlei) auf unserer Plattform registrieren und das DMS-System nutzen, verarbeiten wir folgende Daten:
-
Stammdaten: E-Mail-Adresse, Vor- und Nachname des Account-Inhabers, Firmen-/Kanzleidaten.
-
Authentifizierungsdaten: Technische Kennungen für die Multi-Faktor-Authentifizierung (MFA), wie z. B. Seriennummern oder Hardware-IDs von eingesetzten FIDO2-Passkeys oder OTPC-N Hardware-Tokens.
-
Abrechnungsdaten: Informationen, die für das Billing-Modul und die Rechnungsstellung erforderlich sind.
Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. b DSGVO (Vertragserfüllung). Wir speichern diese Daten für die Dauer des Vertragsverhältnisses und darüber hinaus zur Erfüllung gesetzlicher (insb. steuer- und handelsrechtlicher) Aufbewahrungsfristen.
5. GoBD-Konformität und Audit-Logs
Zur Erfüllung der Anforderungen der GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) führt unser System unveränderbare Audit-Logs (Protokolle). Hierbei werden Meta-Informationen (Wer hat wann eine Aktion wie Upload, Änderung, Freigabe nach dem 4-Augen-Prinzip durchgeführt?) revisionssicher protokolliert. Rechtsgrundlage: Art. 6 Abs. 1 S. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) in Verbindung mit Art. 6 Abs. 1 S. 1 lit. f DSGVO.
6. Auftragsverarbeitung (AVV) für Kundendaten
Wenn Sie als Berufsgeheimnisträger (z. B. Steuerberater) oder Unternehmer das DMS-System nutzen, um personenbezogene Daten Ihrer Mandanten oder Mitarbeiter zu verwalten, handeln Sie als Verantwortlicher, und wir werden als Auftragsverarbeiter tätig. Trotz der Zero-Knowledge-Verschlüsselung (die als technische und organisatorische Maßnahme - TOM - gewertet wird) ist hierfür der Abschluss eines Vertrags zur Auftragsverarbeitung (AV-Vertrag gemäß Art. 28 DSGVO) zwingend erforderlich. Dieser Vertrag regelt die weisungsgebundene Verarbeitung der verschlüsselten Datenpakete auf unseren in Deutschland (Data Residency) befindlichen Servern.
7. Hosting und Datenübermittlung
Ihre verschlüsselten Dokumente sowie die Systemdaten werden auf Servern innerhalb der Bundesrepublik Deutschland gehostet (Hetzner, EU). Eine Übermittlung der von Ihnen hochgeladenen, Ende-zu-Ende-verschlüsselten Dokumente in Drittstaaten findet nicht statt.
Im Zusammenhang mit der mobilen App können bei Nutzung von Google-Diensten (Google Play Billing, optionale Google-Anmeldung, Firebase Cloud Messaging) bestimmte Metadaten (z. B. Kauf-Token, Konto-Kennung, Push-Token) durch Google verarbeitet werden, ggf. auch außerhalb des EWR (insb. USA). Soweit dies erfolgt, stützt sich die Übermittlung auf geeignete Garantien (EU-US Data Privacy Framework bzw. Standardvertragsklauseln gem. Art. 46 DSGVO). Dokumentinhalte sind hiervon nicht betroffen.
8. Nutzung unserer mobilen Anwendung (Android-App „Vaultix")
a) Bereitstellung über Google Play. Die App wird über den Google Play Store (Google Ireland Limited, Dublin) bereitgestellt; beim Download verarbeitet Google Daten in eigener Verantwortung (https://policies.google.com/privacy).
b) In-App-Käufe / Abonnements. Zahlungen erfolgen ausschließlich über Google Play Billing. Wir erhalten keine vollständigen Zahlungsdaten, sondern nur einen Kauf-Token, die Produkt-ID und den Abonnementstatus. Zur Verifikation übermitteln wir den Kauf-Token an die Google Play Developer API. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
c) Anmeldung mit Google (optional). Bei „Mit Google fortfahren" übermittelt Google uns Ihre E-Mail-Adresse und eine Konto-Kennung (signiertes ID-Token). Eine Anmeldung per E-Mail/Passwort ist alternativ möglich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b, ggf. lit. a DSGVO.
d) Push-Benachrichtigungen. Wir nutzen Firebase Cloud Messaging (Google). Hierfür wird ein gerätebezogenes Push-Token erzeugt und gespeichert. Dokumentinhalte werden nicht über FCM übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f, ggf. lit. a DSGVO.
e) Geräteberechtigungen. Kamera – Scannen von Belegen und QR-Codes; die Erkennung erfolgt lokal auf dem Gerät (Google ML Kit, On-Device), Kamerabilder werden nicht zur Erkennung übermittelt. Biometrie – optionale App-Sperre; biometrische Merkmale verbleiben ausschließlich im gesicherten Bereich des Geräts (Android Keystore/BiometricPrompt). Benachrichtigungen und Internet – Service-Hinweise bzw. Serverkommunikation.
f) Geräte- und Nutzungsdaten. Technische Kennungen (Gerätemodell, OS-Version, App-Version) sowie das Push-Token zur Bereitstellung und Absicherung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
g) Lokale Speicherung auf dem Endgerät. Für die Zero-Knowledge-Verschlüsselung und den Offline-Betrieb speichert die App lokal: Ihren passwortverschlüsselten privaten Schlüssel, Authentifizierungs-Token sowie eine Warteschlange noch nicht hochgeladener Belege. Diese Daten verbleiben auf dem Gerät.
h) Freigabe an Empfänger / Kontakte. Bei Freigabe eines Dokuments oder Bestätigung eines Kontakts verarbeiten wir die E-Mail-Adresse des Empfängers, um die verschlüsselte Freigabe zu ermöglichen. Der Inhalt bleibt Ende-zu-Ende-verschlüsselt (der Schlüssel wird clientseitig für den Empfänger neu verschlüsselt). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
i) Löschung des Kontos. Sie können Ihr Konto in der App (Einstellungen → „Konto löschen") löschen. Zugang, Stammdaten und Schlüssel werden gelöscht; Dokumente mit gesetzlicher Aufbewahrungspflicht (GoBD/§ 147 AO) und die revisionssicheren Audit-Logs werden für die Dauer der gesetzlichen Aufbewahrungsfrist aufbewahrt (insoweit kein Löschanspruch, Art. 17 Abs. 3 lit. b DSGVO).
j) Keine Tracking- oder Analysedienste. Die App nutzt keine Werbe-, Tracking- oder Analysedienste (kein Analytics, keine Werbe-IDs).
9. Ihre Rechte als betroffene Person
Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
-
Recht auf Auskunft (Art. 15 DSGVO)
-
Recht auf Berichtigung oder Löschung (Art. 16 und Art. 17 DSGVO)
-
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
-
Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
-
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren (Art. 77 DSGVO).
Stand: 07.06.2026