Sign Up

Datenschutzerklärung

Stand 15.05.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

DARC Management UG (haftungsbeschränkt)
Gewerbestr. 37a
58285 Gevelsberg
Deutschland

Telefon: 02332 9994020
E-Mail: [email protected]

Datenschutzbeauftragter (Kontakt): [email protected]

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer und Kunden grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Applikation sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten erfolgt regelmäßig nur nach Einwilligung der betroffenen Person oder wenn die Verarbeitung durch gesetzliche Vorschriften gestattet ist.

DARION AI ist eine Business-Software-as-a-Service-Plattform (SaaS), die kleinen und mittelständischen Unternehmen Module für Projektmanagement, CRM, Rechnungswesen, Wissensmanagement und KI-gestützte Analyse bereitstellt. Die Plattform richtet sich ausschließlich an gewerbliche Kunden (B2B).

3. Rechtsgrundlagen der Verarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage. Für die Verarbeitung personenbezogener Daten, die zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Gleiches gilt für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — Newsletter, optionale Marketing-Cookies (derzeit nicht aktiv)
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) — Account-Anlage, Nutzung der Plattform-Module, Abrechnung
  • Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung) — Aufbewahrungspflichten nach GoBD (10 Jahre für Belege und Buchungen), Steuerrecht
  • Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse) — Server-Protokolldateien, IT-Sicherheit, Audit-Trail
  • Art. 9 DSGVO (Besondere Kategorien) — Sofern im HR-Modul Gesundheitsdaten (z. B. Krankmeldungen) verarbeitet werden, erfolgt dies auf Grundlage einer ausdrücklichen Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO

4. Verarbeitungszwecke und verarbeitete Daten

4.1 Account-Daten

Bei der Registrierung und Nutzung von DARION AI verarbeiten wir folgende Daten:

  • Name (Vor- und Nachname) und E-Mail-Adresse
  • Unternehmenszugehörigkeit und Rolle innerhalb des Mandanten
  • Zeitstempel der Anmeldung und letzten Aktivität
  • Passwort (ausschließlich als kryptografischer Hash gespeichert)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).
Speicherdauer: Die Account-Daten werden bis zu 30 Tage nach Kündigung des Vertrags gespeichert. In dieser Zeit können Kunden einen Daten-Export über die Admin-Oberfläche abrufen. Anschließend erfolgt die vollständige Löschung.

4.2 Mandanten-Daten (Modul-Inhalte)

Alle durch Kunden in den Plattform-Modulen (Projekte, CRM, Belege, Wissensmanagement, IT-Asset-Management etc.) eingegebenen Daten werden ausschließlich im Auftrag des jeweiligen Mandanten verarbeitet und unterliegen einer strikten mandantenweisen Trennung auf Datenbankebene mittels PostgreSQL Row-Level-Security (RLS).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit dem Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO.
Speicherdauer: Konfigurierbar pro Mandant gemäß vertraglicher Vereinbarung; Rechnungsbelege und Buchungen mindestens 10 Jahre (GoBD/§ 147 AO).

4.3 KI-Anfragen

Sofern Nutzer die KI-gestützten Funktionen von DARION AI verwenden, werden die eingegebenen Inhalte (Prompts) an externe KI-Dienstleister weitergegeben (siehe Abschnitt 6). Die Verarbeitung erfolgt ausschließlich zur Generierung der angeforderten Antwort; eine Nutzung der Daten zum Training von Modellen durch die Anbieter ist vertraglich ausgeschlossen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: KI-Konversationen werden standardmäßig 90 Tage gespeichert; Mandanten können diesen Wert in den Einstellungen kürzen oder auf sofortige Löschung umstellen.

4.4 Server-Protokolldateien

Beim Aufruf der Plattform übermittelt Ihr Browser automatisch folgende Informationen an unsere Server:

  • IP-Adresse (gekürzt nach spätestens 24 Stunden)
  • Datum und Uhrzeit des Zugriffs
  • URL der aufgerufenen Ressource
  • HTTP-Statuscode und übertragene Datenmenge
  • Referrer-URL sowie Browser-User-Agent

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit und Fehlerdiagnose).
Speicherdauer: 14 Tage, danach automatische Löschung.

4.5 Audit-Trail

Zur Erfüllung der Anforderungen aus DSGVO, NIS2 und GoBD führt DARION AI einen revisionssicheren Audit-Trail, der alle lesenden und schreibenden Zugriffe auf schützenswerte Daten protokolliert (Zeitstempel, Benutzer-ID, betroffene Ressource, Aktion).

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) und Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: Bis zu 10 Jahre (regulatorische Anforderungen).

4.6 Belege und Buchhaltungsdaten

Im Rechnungs- und Belegwesen verarbeitete Dokumente (Eingangs- und Ausgangsrechnungen, Buchungsbelege) werden GoBD-konform unveränderbar gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO, § 257 HGB).
Speicherdauer: 10 Jahre ab Entstehungsdatum, anschließend unwiderrufliche Löschung.

5. Cookies und Tracking

DARION AI setzt ausschließlich technisch notwendige Cookies ein. Tracking- oder Werbe-Cookies werden nicht verwendet.

CookieZweckLaufzeit
sb-auth-tokenAuthentifizierungs-Session (Supabase)Session / 7 Tage (Remember Me)
NEXT_LOCALEGespeicherte Sprachpräferenz1 Jahr
layout-styleGespeicherte Sidebar-Layout-Einstellung1 Jahr
themeGespeicherte Farbthema-Einstellung1 Jahr

Da ausschließlich technisch notwendige Cookies verwendet werden, ist gem. § 25 Abs. 2 TTDSG keine Einwilligung erforderlich. Weitere Details entnehmen Sie unserer Cookie-Richtlinie.

6. Auftragsverarbeiter und Drittempfänger

Für den Betrieb von DARION AI setzen wir folgende Auftragsverarbeiter ein. Mit allen Anbietern besteht ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO:

AnbieterLandZweckSchutzmaßnahme
Hetzner Online GmbHDEServer-Infrastruktur, PostgreSQL-Datenbanken, Object Storage (Standorte: NBG1 Nürnberg, FSN1 Falkenstein)Verarbeitung in der EU, AVV
Supabase Inc.USAuthentifizierung, Datenbank-Backend (Region: eu-central-1 Frankfurt)EU-Standardvertragsklauseln (SCC)
Mistral La Plateforme SASFRLarge Language Model für KI-Helfer-Funktion (kein Training mit Kundendaten)Verarbeitung in der EU, AVV
Amazon Web Services EMEA SARLLUAWS Bedrock Frankfurt (eu-central-1) für Claude-Modelle (kein Training mit Kundendaten)Verarbeitung in der EU (Frankfurt), AVV
Stripe Payments Europe Ltd.IEZahlungsabwicklung (derzeit in Beta-Vorbereitung, noch nicht produktiv)Verarbeitung in der EU, SCCs für US-Transfers, AVV
Cloudflare Germany GmbHDECDN, DDoS-Schutz (soweit für Tunnel-Betrieb aktiv)EU-SCC, AVV
Microsoft Ireland Operations Ltd.IEMicrosoft Bookings für die Terminbuchung über die Schaltfläche „Beratung buchen" (verarbeitet Name, E-Mail und gewählten Termin)Verarbeitung in der EU, AVV

Eine Weitergabe personenbezogener Daten an sonstige Dritte erfolgt nicht, es sei denn, dies ist gesetzlich vorgeschrieben oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.

7. Datenübermittlung in Drittländer

Supabase Inc. hat seinen Hauptsitz in den USA. Da die Datenverarbeitung für DARION-Nutzer auf Servern in der AWS-Region eu-central-1 (Frankfurt) erfolgt, findet die eigentliche Datenspeicherung in der EU statt. Für etwaige Support- und Wartungszugriffe durch Supabase aus den USA gelten die EU-Standardvertragsklauseln (SCC) gemäß dem Angemessenheitsbeschluss der Europäischen Kommission bzw. den Art. 46 Abs. 2 lit. c DSGVO.

Amazon Web Services EMEA SARL hat ihren Sitz in Luxemburg (EU). Die für AWS Bedrock verwendeten Rechenzentren befinden sich in Frankfurt (eu-central-1). Eine Drittlandsübermittlung findet bei regulärem Betrieb nicht statt.

Alle anderen in Abschnitt 6 genannten Anbieter verarbeiten Daten ausschließlich innerhalb des Europäischen Wirtschaftsraums (EWR).

8. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

  • Transportverschlüsselung mittels TLS 1.2+ für alle Client-Server-Verbindungen
  • Verschlüsselung der Datenbankvolumes at rest (AES-256) auf Hetzner-Infrastruktur
  • Mandantenweise Datentrennung auf Datenbankebene mittels PostgreSQL Row-Level-Security (RLS)
  • Zugangsbeschränkung zu Produktionssystemen durch mehrstufige Authentifizierung (MFA)
  • Regelmäßige Sicherheitsupdates und Patch-Management (ADR-019)
  • Revisionssicherer Audit-Trail aller privilegierten Zugriffe

9. Rechte der betroffenen Personen

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) — Sie können Auskunft über die von uns zu Ihrer Person gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO) — Sie können die unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO) — Sie können die Löschung Ihrer gespeicherten Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) — Sie können einen strukturierten, maschinenlesbaren Daten-Export Ihrer Mandantendaten über die Admin-Oberfläche anfordern.
  • Widerspruchsrecht (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) jederzeit widersprechen.
  • Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) — Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Geltendmachung Ihrer Rechte wenden Sie sich bitte an: [email protected]. Wir beantworten Ihr Anliegen in der Regel innerhalb von 30 Tagen.

Sie haben ferner das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Kavalleriestr. 2–4
40213 Düsseldorf
www.ldi.nrw.de

10. Speicherdauern – Übersicht

DatenkategorieSpeicherdauer
Account-Daten (Name, E-Mail, Rolle)Bis 30 Tage nach Vertragsende, dann Löschung
Rechnungsbelege und Buchungen10 Jahre (GoBD / § 147 AO)
Server-Protokolldateien14 Tage
Audit-TrailBis zu 10 Jahre (regulatorische Anforderungen)
KI-KonversationenStandard 90 Tage, konfigurierbar pro Mandant (bis sofortige Löschung)
Mandanten-Modul-DatenGemäß Vertrag; Löschung nach Kündigung auf Anfrage

11. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn dies aufgrund neuer Technologien, geänderter Rechtslage oder neuer Verarbeitungsvorgänge erforderlich wird. Die jeweils aktuelle Fassung ist stets unter dieser URL abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.

Stand dieser Datenschutzerklärung: 15. Mai 2026

Fragen zum Datenschutz? [email protected]

Back to home