Datenschutzerklärung
[…] markierte Stellen sind noch zu ergänzen.Stand: 2026-06-13
1. Verantwortlicher
[Firma] · [Straße], [PLZ Ort] · E-Mail: [datenschutz@ordnio.de] (Datenschutz-Anfragen bevorzugt hierhin).
Ein Datenschutzbeauftragter ist nicht benannt, da die gesetzlichen Voraussetzungen (Art. 37 DSGVO, § 38 BDSG) nicht vorliegen.
2. Die zwei Rollen von Ordnio
a) Ordnio als Verantwortlicher: Für die Daten, die Sie uns als Besucher der Website oder als Kunde geben (Konto, Vertrags- und Zahlungsdaten, Support-Kommunikation), sind wir Verantwortlicher (Art. 4 Nr. 7 DSGVO). Darauf bezieht sich diese Erklärung.
b) Ordnio als Auftragsverarbeiter: Die Geschäftsdaten, die Sie in Ordnio verarbeiten (Ihre Kunden, Rechnungsempfänger, Belege, hochgeladene Dateien), verarbeiten wir ausschließlich in Ihrem Auftrag und nach Ihrer Weisung (Art. 28 DSGVO). Verantwortlich für diese Daten sind Sie; Grundlage ist der Auftragsverarbeitungsvertrag, der Bestandteil des Nutzungsvertrags ist. Bei uns eingehende Auskunftsersuchen Betroffener leiten wir unverzüglich an Sie weiter.
3. Besuch der Website (ohne Konto)
Beim Aufruf der Website verarbeitet unser Server technisch notwendige Verbindungsdaten (IP-Adresse, Zeitpunkt, aufgerufene Seite, User-Agent) zur Auslieferung der Seite und zur Abwehr von Angriffen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: Server-Logs werden turnusmäßig rotiert und spätestens nach 14 Tagen gelöscht. Die Website setzt keine Cookies und lädt keine Inhalte von Drittservern.
4. Hosting
Ordnio wird gehostet bei [Hosting-Anbieter]; das Rechenzentrum liegt in Deutschland. Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO); eine Übermittlung in Drittländer findet im Hosting nicht statt.
5. Registrierung, Konto und Anwendung
Bei der Registrierung verarbeiten wir: Vor- und Nachname, E-Mail-Adresse, Passwort (als Argon2id-Hash — niemals im Klartext), Firmenname sowie die von Ihnen gepflegten Firmenstammdaten (Anschrift, Steuernummer/USt-IdNr., Bankverbindung). Während der Nutzung fallen Sitzungsdaten, Sicherheits-Protokolldaten (Audit-Log mit Zeitpunkt, Nutzer, Aktion, IP-Adresse) und E-Mail-Versandprotokolle an.
Zwecke: Bereitstellung des Dienstes, Kontosicherheit (Login-Sperren, optionale Zwei-Faktor-Authentifizierung), Nachvollziehbarkeit nach den Grundsätzen ordnungsmäßiger Buchführung (GoBD). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; für Sicherheitsprotokolle zusätzlich lit. f sowie lit. c i. V. m. §§ 146, 147 AO.
Audit-Log: technisch unveränderlich (append-only, kryptografisch verkettet); es sichert die GoBD-Nachvollziehbarkeit und wird nicht anlassbezogen bereinigt, sondern mit dem Konto bzw. nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht. Sensible Felder (IBAN, SMTP-Zugangsdaten) werden zusätzlich AES-256-GCM-verschlüsselt gespeichert; hochgeladene Dateien werden vor dem Ablegen verschlüsselt und bei jedem Abruf auf Unversehrtheit geprüft.
6. Öffentliches Upload-Portal
Versenden unsere Kunden Upload-Links, können deren Geschäftspartner ohne eigenes Konto Dateien bereitstellen. Dabei verarbeiten wir die Dateien, optionale Absenderangaben sowie Zugriffprotokolle (IP-Adresse, Zeitpunkt) zur Missbrauchsabwehr. Diese Verarbeitung erfolgt im Auftrag des jeweiligen Kunden (siehe 2 b); die Protokollierung stützt sich auf Art. 6 Abs. 1 lit. f DSGVO. Dateien werden auf Schadsoftware geprüft und nach den vom Kunden konfigurierten Regeln automatisch gelöscht.
7. E-Mail-Versand
Ordnio versendet System-E-Mails (Registrierung, Passwort-Reset, Fristen-Erinnerungen, Wochenübersicht) sowie — auf Ihre Veranlassung — Geschäftspost wie Rechnungen. Der Versand erfolgt über [SMTP-Anbieter] oder über einen von Ihnen hinterlegten eigenen SMTP-Zugang (dann ist Ihr Anbieter Ihr eigener Auftragsverarbeiter). Versandvorgänge werden protokolliert (Empfänger, Betreff, Zeitpunkt, Zustellstatus). Rechtsgrundlagen: Art. 6 Abs. 1 lit. b DSGVO; Versandprotokoll lit. f.
9. Reichweitenmessung
Wir setzen derzeit keine Reichweitenmessung ein.
10. Backups und Löschung
Zur Betriebssicherheit erstellen wir tägliche, verschlüsselte Gesamtsicherungen (Datenbank und Dateiablage). Backups werden nach 30 Tagen automatisch gelöscht; gelöschte Einzeldaten können daher in Sicherungen für maximal 30 weitere Tage fortbestehen. Eine Wiederherstellung erfolgt nur zur Betriebswiederherstellung.
Nach Vertragsende stellen wir Ihre Daten 30 Tage zum Vollexport bereit (Rechnungen als PDF/E-Rechnung, Stammdaten als CSV, Belegarchiv) und löschen das Konto anschließend auf Ihre Bestätigung; gesetzliche Aufbewahrungspflichten bleiben unberührt. Die Löschung erfolgt als dokumentierter Prozess über [Support-Adresse].
11. Cookies
Ordnio verwendet ausschließlich technisch notwendige Cookies (Sitzung); ein Einwilligungs-Banner ist daher nicht erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG). Einzelheiten: Cookie-Hinweise.
12. Empfänger und Auftragsverarbeiter
Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Eingesetzt werden:
| Leistung | Anbieter | Sitz |
|---|---|---|
| Hosting (Server, Rechenzentrum in Deutschland) | [Anbieter] | [Sitz] |
| Versand von System- und Geschäfts-E-Mails (Plattform-SMTP) | [Anbieter] | [Sitz] |
| Verschlüsselte Sicherungskopien (falls abweichend vom Hoster) | [Anbieter] | [Sitz] |
Eine Übermittlung in Drittländer findet — mit Ausnahme der ggf. unter Ziffer 8 beschriebenen Zahlungsabwicklung — nicht statt.
13. Ihre Rechte
Sie haben die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO). Wenden Sie sich an [datenschutz@ordnio.de]. Sie haben außerdem das Recht auf Beschwerde bei einer Aufsichtsbehörde; für uns zuständig: [Aufsichtsbehörde mit Anschrift].
14. Änderungen
Wir passen diese Erklärung an, wenn sich Funktionen oder Rechtslage ändern; es gilt die jeweils auf dieser Seite veröffentlichte Fassung.