Desk ist nur auf dem Desktop verfügbar.

Bitte öffne diese Seite auf einem Computer.

DatenschutzerklärungStand: Mai 2026 · ODM

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Dominik Leitner
Reithofferplatz 11/27
1150 Wien, Österreich
E-Mail: support@do-o-om.com
Pflichtangaben zum Anbieter: Impressum

Ein gesonderter Datenschutzbeauftragter ist nur erforderlich, wenn die gesetzlichen Voraussetzungen vorliegen; derzeit ist kein externer Datenschutzbeauftragter bestellt. Datenschutzanfragen richtest du bitte an die genannte E-Mail-Adresse mit dem Betreff „Datenschutz“.

§ 2 Allgemeines zur Datenverarbeitung

Für Nutzerinnen und Nutzer mit Wohnsitz oder Sitz in einem Mitgliedstaat der Europäischen Union bzw. des Europäischen Wirtschaftsraums (EU/EWR) ist maßgeblich die Datenschutz-Grundverordnung (DSGVO) in Verbindung mit den nationalen Umsetzungsgesetzen — in Österreich das Datenschutzgesetz (DSG).

Schweiz: Für betroffene Personen mit Bezug zur Schweiz gelten ergänzend bzw. im Überschneidungsbereich die Vorgaben des Bundesgesetzes über den Datenschutz (revDSG / nFADP). Soweit schweizerisches Recht unmittelbar anwendbar ist, werden wir entsprechende Betroffenenrechte im Rahmen des Zulässigen berücksichtigen.

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung des Dienstes erforderlich ist, du eingewilligt hast oder eine sonstige Rechtsgrundlage der DSGVO (bzw. des DSG bzw. anwendbarem Schweizer Recht) erfüllt ist.

Hosting und Infrastruktur: Beim Aufruf der Anwendung werden durch den Hosting-Anbieter und ggf. Zwischennetzbetreiber technisch notwendige Daten verarbeitet (z. B. IP-Adresse, Datum und Uhrzeit der Anfrage, übertragene Datenmenge, User-Agent, Referrer, HTTP-Status). Dies dient der Auslieferung, Sicherheit (Abwehr von Angriffen) und Stabilität des Dienstes. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und effizientem Betrieb) sowie Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

§ 3 Kategorien personenbezogener Daten

Im Rahmen von ODM können insbesondere folgende Daten verarbeitet werden:

  • Stammdaten / Kontodaten: Name, E-Mail-Adresse, Authentifizierungsdaten (z. B. Passworthash, nicht das Klartextpasswort), Zeitpunkt der Registrierung, Verifizierungsstatus der E-Mail.
  • Absender- und Firmendaten: von dir freiwillig hinterlegte Angaben wie Firmenname, Adresse, Telefon, Website, Bankverbindung, UID, Steuernummer, Logos (Bilddateien in codierter Form).
  • Inhalts- und Geschäftsdaten: Projekte, Dokumente (Rechnungen, Angebote, Schreiben etc.), Positionstexte, Beträge, Steuersätze, Anhänge, Ausgaben, Zeiterfassung, Kontakte, Papierkorb, Archivdaten — jeweils so, wie du sie eingibst oder importierst.
  • Interne Notizen und Vorlagen (Bereich „Notes“): von dir freiwillig hinterlegte Texte und E-Mail-Vorlagen für den internen Gebrauch.
  • Private Buchungen (Bereich „Privat“): von dir erfasste Entnahmen und Einlagen zwischen Firma und Privat, ggf. mit Beleganhängen.
  • Metadaten: Zeitstempel von Änderungen, Export- bzw. Sperrstatus, ggf. technische Kennungen von Dokumenten.
  • Sitzungs- und Sicherheitsdaten: Session-Token (Cookie), Ablaufzeiten von Sitzungen, ggf. IP-Adresse und User-Agent in Verbindung mit der Sitzung (je nach Konfiguration des Auth-Systems).
  • Kommunikation: Inhalte von E-Mails, die du an uns sendest, sowie Protokolle von Systemnachrichten (z. B. Verifizierungsmail).

Hinweis zu Daten in deinen Dokumenten: Wenn du in Rechnungen oder anderen Dokumenten personenbezogene Daten deiner Kunden, Mitarbeiter oder sonstiger Dritter erfasst, kannst du in Bezug auf diese Daten selbst datenschutzrechtlich als Verantwortlicher auftreten. In diesem Fall bist du für die Rechtmäßigkeit der Verarbeitung (Einwilligung, Vertrag, berechtigtes Interesse, Rechtsgrundlagen, Informationspflichten gegenüber den Betroffenen usw.) selbst verantwortlich. Wir verarbeiten diese Daten ausschließlich als Auftragsverarbeiter im Rahmen der von dir angestoßenen Speicherung — soweit anwendbar — bzw. zur Vertragserfüllung.

§ 4 Zwecke und Rechtsgrundlagen im Einzelnen

(1) Vertragserfüllung und vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO): Bereitstellung des Nutzerkontos, Authentifizierung, Speicherung und Abruf deiner Inhalte, E-Mail-Verifikation, technischer Support, der sich auf deinen Account bezieht.

(2) Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Gewährleistung der IT-Sicherheit, Missbrauchsprävention, Rate-Limiting bei Anmeldung, Logging technischer Vorfälle, Weiterentwicklung und Fehleranalyse in anonymisierter oder aggregierter Form, wo möglich.

(3) Rechtspflichten (Art. 6 Abs. 1 lit. c DSGVO): Erfüllung gesetzlicher Aufbewahrungs- und Auskunftspflichten gegenüber Behörden, soweit wir der gesetzlichen Verpflichtung unterliegen.

(4) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Soweit wir Funktionen anbieten, die eine ausdrückliche Einwilligung erfordern (derzeit insbesondere keine nicht notwendigen Marketing-Cookies), verarbeiten wir Daten nur nach deiner erteilten, widerruflichen Einwilligung.

§ 5 Cookies und lokale Speicherung

Für die Anmeldung und Sitzungsverwaltung setzen wir einen technisch notwendigen Session-Cookie ein (Better Auth: z. B. better-auth.session_token bzw. unter HTTPS mit Präfix __Secure-). Dieser Cookie ist für die Nutzung des geschützten Bereichs erforderlich. Es werden keine Werbe- oder Tracking-Cookies zu Profilbildungszwecken eingesetzt.

Rechtsgrundlage für notwendige Cookies ist — je nach Einordnung — Art. 6 Abs. 1 lit. b DSGVO und/oder § 165 Abs. 3 TKG 2021 (Speicherung von Informationen im Endgerät, soweit unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen).

§ 6 Empfänger, Auftragsverarbeiter, Drittlandübermittlung

Eine Weitergabe deiner Daten an Dritte erfolgt nur, wenn dies zur Vertragserfüllung erforderlich ist, wir gesetzlich verpflichtet sind, du eingewilligt hast oder wir berechtigte Interessen wahren (z. B. Rechtsverteidigung).

Wir setzen folgende Kategorien von Dienstleistern ein (Auftragsverarbeiter bzw. Unterauftragsverarbeiter):

  • Vercel Inc. (USA) — Hosting, Auslieferung und Ausführung der Anwendung. Mit Vercel kann ein Auftragsverarbeitungsvertrag (DPA) geschlossen werden: vercel.com/legal/dpa
  • Neon Inc. (USA / Region konfigurierbar) — verwaltete PostgreSQL-Datenbank. DPA: neon.tech/dpa
  • Zoho Corporation Pvt. Ltd. — Versand transaktionaler E-Mails (z. B. E-Mail-Verifikation) über SMTP. Datenschutzhinweise: zoho.com/privacy
  • Cloudflare, Inc. — Objektspeicher (R2): Dateianhänge und Medien werden in einem privaten Bucket gespeichert und nur über die Anwendung nach Anmeldung ausgeliefert; Desktop-Installationsdateien können in einem separaten, öffentlich zugänglichen Bucket bereitgestellt werden. Datenschutz- und Auftragsverarbeitungsunterlagen: cloudflare.com/trust-hub

Soweit Daten in ein Drittland (außerhalb EU/EWR) übermittelt werden, stützen wir uns — sofern kein Angemessenheitsbeschluss der Kommission vorliegt — auf geeignete Garantien gemäß Art. 46 DSGVO (insbesondere EU-Standardvertragsklauseln) und/oder zusätzliche technische und organisatorische Maßnahmen. Kopien der wesentlichen Garantien kannst du bei den Anbietern oder auf Anfrage bei uns anfordern, soweit uns dies möglich ist.

§ 7 Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen entgegenstehen.

Nutzerkonto: Solange das Konto besteht, werden die zugehörigen Daten in der Regel gespeichert. Bei Löschung des Kontos durch dich werden die zugehörigen personenbezogenen Daten und Inhalte, soweit technisch und organisatorisch möglich, gelöscht oder anonymisiert, es sei denn, gesetzliche Aufbewahrungspflichten stehen entgegen.

Sitzungen: Session-Daten unterliegen den im System konfigurierten Ablaufzeiten (z. B. Ablauf nach Inaktivität oder maximale Sitzungsdauer).

Backups: Gelöschte Daten können aus technischen Gründen noch in Sicherungskopien vorhanden sein und werden im Rahmen der Backup-Rotation überschrieben oder entfernt.

§ 8 Sicherheit der Verarbeitung

Wir treffen nach dem Stand der Technik angemessene technische und organisatorische Maßnahmen (TOM), insbesondere TLS-Verschlüsselung bei der Übertragung, Zugriffsbeschränkungen, getrennte Umgebungen für Produktion, gehashte Passwörter und regelmäßige Aktualisierung der Softwarekomponenten. Ein absolutes Schutzniveau ist technisch nicht erreichbar.

§ 9 Automatisierte Entscheidungen und Profiling

Wir führen keine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung einschließlich Profiling im Sinne von Art. 22 DSGVO durch, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt.

§ 10 Pflicht zur Bereitstellung von Daten

Die Bereitstellung der für die Registrierung und Nutzung erforderlichen Daten ist vertraglich notwendig. Ohne diese Daten können wir den Dienst nicht erbringen.

§ 11 Rechte der betroffenen Person

Dir stehen — vorbehaltlich der gesetzlichen Voraussetzungen — folgende Rechte zu:

  • Auskunft (Art. 15 DSGVO) über die von uns verarbeiteten personenbezogenen Daten,
  • Berichtigung (Art. 16 DSGVO) unrichtiger Daten — teilweise direkt in den Einstellungen,
  • Löschung (Art. 17 DSGVO) — z. B. durch Löschung des Kontos in den Einstellungen, soweit keine Aufbewahrungspflicht entgegensteht,
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO), soweit wir Daten in strukturierter, gängiger und maschinenlesbarer Form verarbeiten — teilweise über Export-/Backupfunktionen,
  • Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (Art. 21 DSGVO),
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO), ohne die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung zu berühren.

Zur Ausübung deiner Rechte genügt eine Nachricht an support@do-o-om.com. Wir können vor Auskunft, Löschung oder Einschränkung eine Identitätsprüfung verlangen, um Missbrauch zu verhindern.

§ 12 Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutzaufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat deines gewöhnlichen Aufenthaltsorts, deines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Österreich: Datenschutzbehörde (DSB)

Deutschland: zuständig ist je nach Sachverhalt die Landesdatenschutzaufsicht (z. B. für private Anbieter häufig der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit — bfdi.bund.de — oder die Landesbehörde deines Bundeslandes).

Schweiz: Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB)

§ 13 Datenquellen

Die überwiegende Mehrheit der Daten stammt von dir (Eingabe, Upload, Nutzung des Dienstes). Soweit wir Daten aus Drittquellen beziehen (z. B. technische Header von deinem Browser), sind diese der Kommunikation mit dem Dienst inhärent.

§ 14 Minderjährige

Der Dienst richtet sich an volljährige und geschäftsfähige Nutzer bzw. an Unternehmer in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit. Eine wissentliche Erhebung von Daten von Kindern unter 16 Jahren ohne Einwilligung der Erziehungsberechtigten erfolgt nicht.

§ 15 Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unseres Dienstes abbildet. Für deinen erneuten Besuch gilt die jeweils aktuelle Fassung unter /desk/datenschutz.

← Zurück zu ODM · Impressum · AGB