Doconio
ENDE
Early Access anfragen

Data Act

Internationale Datenzugriffe

Infrastruktur-Gerichtsbarkeiten und Maßnahmen gegen unzulässige internationale staatliche Zugriffe.

Version: 0.9 — Stand: 2026-07-12

Kanonische Fundstelle der deutschen Fassung: https://doconio.com/de/legal/international-data-access/

Dieses Dokument informiert über die Gerichtsbarkeiten der für Doconio eingesetzten IKT-Infrastruktur und über allgemeine technische, organisatorische und vertragliche Maßnahmen gegen einen internationalen staatlichen Zugriff auf oder eine internationale staatliche Übermittlung von in der Europäischen Union gespeicherten nicht personenbezogenen Daten, wenn der Zugriff oder die Übermittlung dem Unionsrecht oder dem anwendbaren Recht eines Mitgliedstaats widersprechen würde. Es dient insbesondere der Transparenz nach Artikel 28 der Verordnung (EU) 2023/2854 (Data Act).

Personenbezogene Daten werden zusätzlich nach DSGVO, Auftragsverarbeitungsvertrag, Subprocessor-Liste und den dort beschriebenen Transfermechanismen behandelt.

1. Anbieter und anwendbares Vertragsrecht

Anbieter von Doconio ist die Gallien Ventures GmbH, Schwarzmeerstraße 42, 10319 Berlin, Deutschland. Für die SaaS-Vertragsbeziehung gilt deutsches Recht nach Maßgabe der SaaS-Vertragsbedingungen.

Doconio betreibt keine eigenen Rechenzentren. Die produktive Plattform nutzt die in Abschnitt 2 genannten Cloud- und Kommunikationsdienste. Die dort genannten Regionen beschreiben den dokumentierten produktiven Betriebsstand. Sie schließen gesetzlich zulässige Support-, Sicherheits- oder Betriebszugriffe nach den Verträgen des jeweiligen Dienstleisters nicht pauschal aus.

2. IKT-Infrastruktur und Gerichtsbarkeiten

Dienst / Infrastruktur Anbieter und vertraglicher Bezug Standort / Datenregion Relevante Gerichtsbarkeit und Einordnung
Doconio API, Azure SQL, Blob Storage, Key Vault, Application Insights und Log Analytics Microsoft Ireland Operations Ltd. / Microsoft Azure Azure Germany West Central, Deutschland Infrastruktur in Deutschland innerhalb der EU; Microsoft-Vertragsbeziehung über die irische Gesellschaft und Microsoft-DPA. Gesetzlich zulässige Support-/Betriebszugriffe können nach Microsoft-Vertragswerk einen internationalen Bezug haben.
Doconio Kunden-App und Marketing-Site Microsoft Ireland Operations Ltd. / Azure Static Web Apps West Europe für statische Assets EU-Region; produktive Fach- und Dokumentdaten verbleiben in der Datenplattform Azure Germany West Central. Early-Access-Anfragen über die Website werden gesondert nach der Website-Datenschutzerklärung behandelt.
Transaktionaler E-Mail-Versand Microsoft Ireland Operations Ltd. / Azure Communication Services Email Data Location Europe; produktive Ressourcen mit dokumentierter Datenlokation Europa EU-/Europa-Datenlokation nach der produktiven Konfiguration; Microsoft-DPA und darin vorgesehene Transfermechanismen gelten für etwaige internationale Support-/Betriebszugriffe.
Geschäfts- und Support-E-Mail IONOS SE Nach dem eingesetzten IONOS-Vertragswerk EU/EWR; für Mail Basic genannte relevante Subunternehmen in Deutschland/EU Deutscher Anbieter und EU-/EWR-Verarbeitung nach dem dokumentierten Leistungs-/Subprocessor-Stand; bei Produkt- oder Anbieteränderung wird die Einordnung erneut geprüft.

Die aktuelle kundensichtbare Anbieter-, Zweck-, Datenkategorien-, Regionen- und Transferübersicht steht in der Subprocessor-Liste. Bei einer wesentlichen Änderung der Infrastruktur wird diese Seite zusammen mit Subprocessor-Liste und Vertragsunterlagen überprüft und aktualisiert.

3. Technische Maßnahmen

Doconio setzt nach dem dokumentierten Betriebsstand insbesondere folgende technische Maßnahmen ein:

  • produktive Fach- und Dokumentdaten in Azure Germany West Central,
  • Trennung von Production, Staging und Development; keine produktiven Kundendaten in Development oder Staging,
  • Transportverschlüsselung über HTTPS mit TLS 1.2 oder höher; TLS 1.2 ist für API App Service, Azure SQL und Azure Storage als Mindestversion konfiguriert,
  • Verschlüsselung ruhender Daten nach dem Standard der eingesetzten Azure-Plattformdienste,
  • private Blob-Container für Kundendokumente und keine anonymen Blob-Zugriffe als Standardleistung,
  • tenant-, rollen- und soweit einschlägig organisationseinheitenbezogene Zugriffskontrollen,
  • Azure Key Vault für produktive Secrets und Connection Strings,
  • keine Ausgabe von Passwörtern, Client-/Webhook-Secrets oder API-Key-Hashes über Read-Endpunkte,
  • technische Audit-, Monitoring- und Security-Protokollierung ohne unnötige Secrets oder Rohdaten.

Customer-Managed Keys, eine vollständig private Netzwerkarchitektur und WORM-Speicherung sind kein Bestandteil der Standardleistung und werden durch diese Transparenzinformation nicht zugesagt.

4. Organisatorische Maßnahmen

Doconio begrenzt produktive Betreiberzugriffe nach Need-to-know und auf Zwecke wie Betrieb, Support, Sicherheit, Fehlerbehebung oder Vertragserfüllung. Berechtigungen, Berechtigungsreviews und Notfallzugriffe unterliegen dokumentierten Betriebsprozessen. Produktive Secrets werden nicht im Quellcode-Repository gespeichert.

Neue oder wesentlich geänderte Anbieter und Datenflüsse werden vor produktiver Nutzung auf Zweck, Datenarten, Region, Zugriffsmöglichkeiten, Vertragsgrundlage und Sicherheitsniveau geprüft. Doconio minimiert bei Support- und Betriebsfällen die offengelegten Daten auf den für den konkreten Zweck erforderlichen Umfang.

5. Vertragliche Maßnahmen

  • Mit Microsoft gilt das Microsoft Products and Services Data Protection Addendum einschließlich der dort vorgesehenen Datenschutz-, Sicherheits- und Transfermechanismen.
  • Für Azure Communication Services gelten zusätzlich die dokumentierten europäischen Datenlokations-/Privacy-Eigenschaften der produktiven Konfiguration.
  • Mit IONOS gilt der dokumentierte Auftragsverarbeitungsvertrag einschließlich Leistungsbeschreibung, TOMs und Subprocessor-Anhang.
  • Unterauftragsverarbeiter werden nach dem AVV und der aktuellen Subprocessor-Liste gesteuert.
  • Doconio gibt keine Zusage zu Datenlokation, Supportzugriff oder Transfermechanismen, die über das geprüfte Vertragswerk und die dokumentierte Produktkonfiguration des jeweiligen Anbieters hinausgeht.

6. Umgang mit staatlichen Drittlandsanfragen

Erhält Doconio eine gerichtliche oder behördliche Anforderung eines Drittlands auf Zugang zu oder Übermittlung von in der EU gespeicherten nicht personenbezogenen Kundendaten, gilt folgender Grundprozess, soweit zwingendes Recht nichts anderes verlangt:

  1. Identität und Zuständigkeit der anfragenden Stelle sowie Echtheit, Bestimmtheit, Rechtsgrundlage und Verbindlichkeit der Anforderung werden geprüft.
  2. Doconio prüft, ob eine anwendbare internationale Übereinkunft, insbesondere ein Rechtshilfeabkommen, oder eine andere unionsrechtlich zulässige Grundlage besteht.
  3. Rechtswidrige, unverhältnismäßige oder zu weitgehende Anforderungen werden, soweit rechtlich und tatsächlich möglich, abgelehnt, eingeschränkt oder mit verfügbaren Rechtsbehelfen angefochten. Bei Bedarf wird rechtlicher Rat oder die Stellungnahme einer zuständigen nationalen Stelle eingeholt.
  4. Ist eine Offenlegung rechtlich erforderlich, wird sie auf die nach angemessener Auslegung zulässige Mindestmenge beschränkt und über einen angemessen geschützten Übertragungsweg ausgeführt.
  5. Der betroffene Kunde wird vor der Offenlegung informiert, sofern und sobald dies rechtlich zulässig ist. Bei einem zeitweiligen gesetzlichen Informationsverbot erfolgt die Information nach dessen Wegfall, soweit rechtlich zulässig.
  6. Anfrage, Prüfung, Entscheidung und Offenlegungsumfang werden intern nachvollziehbar dokumentiert, soweit keine gesetzlichen Gründe entgegenstehen.

Entsprechende Anforderungen, die unmittelbar bei einem Unterauftragsverarbeiter eingehen, richten sich zusätzlich nach dessen anwendbarem Vertragswerk und gesetzlichen Pflichten. Doconio prüft bei der Anbieterauswahl und bei relevanten Änderungen die öffentlich bzw. vertraglich verfügbaren Angaben zum Umgang des Anbieters mit staatlichen Anfragen.

7. Grenzen der Transparenzinformation

Diese Seite beschreibt allgemeine Maßnahmen und begründet keine Garantie, dass rechtmäßige staatliche Zugriffe vollständig ausgeschlossen werden können. Sicherheitsdetails werden nur so weit veröffentlicht, wie dadurch Schutzmechanismen, Rechte anderer Kunden, Geschäftsgeheimnisse oder laufende Ermittlungen nicht beeinträchtigt werden.

Zwingende gesetzliche Pflichten, anwendbare Datenschutzrechte und vertragliche Kundenrechte bleiben unberührt.

8. Versionierung und Aktualisierung

Die jeweils aktuelle Fassung wird ohne Anmeldung als HTML sowie speicherbar bzw. druckbar unter https://doconio.com/de/legal/international-data-access/ veröffentlicht. Version und Stand sind dort sichtbar; bei wesentlichen Änderungen werden Vorversion und Änderungszeitpunkt archiviert.

9. Verweise