Datenschutz­richtlinie

Gültig ab 13. Juni 2026

01 — Wer wir sind

hotdoc (hotdoc.io) ist ein Produkt der BRIGHTSOFT, S.L. („hotdoc“, „wir“). Wir sind der Verantwortliche für die hier beschriebene Verarbeitung.

Verantwortlicher:
BRIGHTSOFT, S.L.
NIF B16412264
Rambla Guipúscoa 185, Bloque 1, Piso 1, Puerta 2, 08020 Barcelona, España
E-Mail: hello@hotdoc.io

02 — Geltungsbereich

Diese Richtlinie gilt für die Website (hotdoc.io) und den Dienst — die Dokumentenverarbeitungs-API und die Web-Anwendung (app.hotdoc.io). Wir sind nach dem Prinzip der Datenminimierung aufgebaut: Wir erheben und speichern so wenig personenbezogene Daten wie möglich.

03 — Was wir verarbeiten und warum

  • Website-Besucher. Beim Besuch der Website erfassen unsere Server automatisch technische Daten — IP-Adresse, Browser- und Betriebssystemtyp, besuchte Seiten, Datum/Uhrzeit, Referrer. Diese werden ausschließlich für Betrieb und Sicherheit der Website verwendet. Rechtsgrundlage: unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Auf der Website gibt es keine Registrierungs-, Newsletter- oder Kontaktformulare.
  • Konto und Authentifizierung. Zur Nutzung des Dienstes erstellen Sie ein Konto; wir verarbeiten Ihre E-Mail-Adresse und Authentifizierungsdaten über einen Authentifizierungsanbieter (Supabase). Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
  • Zahlung. Abonnementzahlungen wickelt ein Zahlungsdienstleister (Stripe) ab. Zahlungsdaten gehen direkt an Stripe; wir erhalten und speichern keine vollständigen Kartendaten. Rechtsgrundlage: Vertragserfüllung und unsere rechtlichen Verpflichtungen (Art. 6 Abs. 1 lit. b, c DSGVO).
  • An den Dienst übermittelte Dokumente und API-Schlüssel. Zu verarbeitende Dateien und Ihr Provider-Schlüssel (BYOK) werden im Laufzeitbetrieb verarbeitet. Dateien, Zwischendaten und Verarbeitungsergebnisse werden begrenzte Zeit gespeichert und automatisch gelöscht (Standard-Aufbewahrungsfrist: 7 Tage). Der Provider-Schlüssel (BYOK) wird nur als Eingabe akzeptiert, nie in Antworten zurückgegeben, nur verschlüsselt gespeichert und zusammen mit dem Job gelöscht. Für Extraktion und OCR wird der Dokumenteninhalt an den von Ihnen gewählten KI/OCR-Anbieter übermittelt, der über Ihren Schlüssel angebunden ist; dieser Anbieter verarbeitet die Daten nach seinen eigenen Bedingungen. Enthalten die übermittelten Dokumente personenbezogene Daten, sind Sie der Verantwortliche und wir handeln als Ihr Auftragsverarbeiter auf Grundlage einer Datenverarbeitungsvereinbarung (DPA).

04 — Cookies

Wir verwenden ausschließlich technisch notwendige Cookies, die für den Betrieb der Website und des Dienstes erforderlich sind. Werbe- und Analyse-Cookies von Drittanbietern, die eine Einwilligung erfordern, werden nicht eingesetzt. Weitere Informationen: „Cookies & Einwilligung“.

05 — Speicherung

Wir speichern so gut wie nichts. Technische Server-Logs werden höchstens 90 Tage aufbewahrt. Kontodaten bleiben gespeichert, solange das Konto aktiv ist; Zahlungsunterlagen werden für den gesetzlich vorgeschriebenen Zeitraum nach Steuer- und Buchhaltungsrecht aufbewahrt. Dateien, Zwischendaten und Ergebnisse werden begrenzte Zeit gespeichert und automatisch gelöscht (Standard: 7 Tage); der verschlüsselte Provider-Schlüssel wird zusammen mit dem Job gelöscht, wie oben beschrieben.

06 — An wen wir Daten weitergeben

Wir verkaufen Ihre Daten nicht und geben sie nicht zu Werbezwecken weiter. Wir setzen einen begrenzten Kreis von Dienstleistern (Auftragsverarbeitern) ein, die nach unseren Weisungen handeln: einen Zahlungsdienstleister (Stripe), einen Authentifizierungsanbieter (Supabase) und Cloud-Hosting-/Infrastrukturanbieter. Darüber hinaus wird bei Nutzung des Dienstes der Dokumenteninhalt an den von Ihnen über Ihren Schlüssel (BYOK) gewählten KI/OCR-Anbieter übermittelt. Mit jedem von uns eingesetzten Anbieter besteht eine Datenverarbeitungsvereinbarung. Eine Offenlegung kann auch erfolgen, wenn dies gesetzlich vorgeschrieben ist.

07 — Internationale Datenübermittlungen

Unser Dienst ist global; Ihre Daten können auf Infrastruktur innerhalb oder außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden. Bei Übermittlungen außerhalb des EWR stützen wir uns auf geeignete Garantien — z. B. Standardvertragsklauseln (SCC) der Europäischen Kommission — oder auf einschlägige Ausnahmen nach Art. 49 DSGVO. Informationen zu den Garantien: hello@hotdoc.io.

08 — Sicherheit

TLS bei der Übertragung und Verschlüsselung at rest, Zugang per API-Schlüssel, ausschließlich sitzungsgebundene Verarbeitung sensibler Inhalte. Da wir so wenig speichern, ist das Datenvolumen, das bei einem Sicherheitsvorfall betroffen sein könnte, by design minimal.

09 — Ihre Rechte

Nach Maßgabe des geltenden Rechts können Sie Auskunft, Berichtigung, Löschung, Einschränkung oder Übertragbarkeit Ihrer Daten verlangen sowie der Verarbeitung widersprechen. Kontakt: hello@hotdoc.io; Antwortfrist: 30 Tage.

  • EWR/UK: Rechte nach DSGVO/UK GDPR, einschließlich des Rechts, Beschwerde bei Ihrer zuständigen Aufsichtsbehörde oder bei der spanischen Agencia Española de Protección de Datos (www.aepd.es) einzureichen.
  • Kalifornien (USA): Wir verkaufen personenbezogene Daten nicht und teilen sie nicht im Sinne des CCPA; Sie können Auskunft oder Löschung verlangen, ohne dafür diskriminiert zu werden.
  • Sonstige Regionen: Wir beachten gleichwertige Datenschutzrechte, soweit sie das jeweils anwendbare Recht vorsieht.

10 — Kinder

Der Dienst richtet sich an Unternehmen und nicht an Kinder unter 16 Jahren. Wir erheben wissentlich keine Daten von Kindern.

11 — Automatisierte Entscheidungen

Wir treffen keine Entscheidungen, die Ihnen gegenüber rechtliche oder ähnlich erhebliche Wirkung entfalten, ausschließlich auf Basis automatisierter Verarbeitung.

12 — Änderungen

Wir können diese Richtlinie aktualisieren. Die aktuelle Fassung ist stets unter hotdoc.io/de/privacy abrufbar; das Datum der letzten Aktualisierung ist oben angegeben.

13 — Kontakt

Fragen zu dieser Richtlinie: hello@hotdoc.io.