Foliodex.

Datenschutzerklärung

Diese Erklärung informiert darüber, welche personenbezogenen Daten bei der Nutzung von Foliodex verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage.

A. Verantwortlicher

Nils Waldkötter, Einzelunternehmer
Am Bendmannsfeld 14, 47447 Moers, Deutschland
E-Mail: info@foliodex.de

B. Allgemeine Hinweise

Foliodex ist ein Online-Dienst zur Verarbeitung, Speicherung, Freigabe und Verwaltung von PDF-Dokumenten. Je nach gewähltem Tarif werden Dokumente entweder nur temporär verarbeitet oder dauerhaft im Nutzerkonto gespeichert. Welche Dokumente hochgeladen werden, entscheidet die Nutzerin / der Nutzer selbst.

C. Hosting und technische Infrastruktur

Für den Betrieb von Foliodex werden folgende Dienstleister eingesetzt:
  • Lovable – Hosting- und App-Infrastruktur
  • Supabase – Authentifizierung, Datenbank und Datei-Storage
  • Stripe – Zahlungsabwicklung, soweit relevant
  • Cloudflare – DNS- und Edge-Infrastruktur (kein Tracking)
  • Raumforscher Server Control – Betrieb des Stirling-PDF-Servers in Deutschland
  • Hetzner S3 – Objekt-Storage in Deutschland

D. Nutzerkonto und Authentifizierung

Registrierung und Anmeldung erfolgen über Supabase Auth. Verarbeitet werden insbesondere E-Mail-Adresse, Passwort-Hash, Nutzer-ID und – soweit angegeben – Profildaten wie Anzeigename und Avatar. Optional ist die Anmeldung per Google OAuth möglich. Funktionen wie Passwort-Reset und E-Mail-Bestätigung werden ebenfalls über Supabase Auth abgewickelt. Eine Zwei-Faktor-Authentifizierung ist derzeit nicht aktiv.

E. Dokumentenupload und Speicherung

Nutzer können PDFs und unterstützte Dateien hochladen. Gespeichert werden die Datei selbst sowie Metadaten wie Dateiname, Dateityp, Dateigröße, Speicherpfad, Prüfsumme, Upload-Zeitpunkt und Owner-ID. Die Dateiablage erfolgt in Supabase Storage. Im Free-Tarif werden Dateien nur temporär verarbeitet, in den bezahlten Tarifen dauerhaft bis zur Löschung durch die Nutzerin / den Nutzer oder bis zur Kontolöschung. Gelöschte Dateien aus bezahlten Tarifen werden gemäß Soft-Delete-/Cleanup-Prozess vorgehalten und anschließend endgültig entfernt.

F. PDF-Verarbeitung über Stirling PDF

Die eigentliche PDF-Verarbeitung erfolgt auf einem eigenen Stirling-PDF-Server in Deutschland. Hochgeladene Dateien werden für die Dauer der Verarbeitung an diesen Server übertragen. Funktionen umfassen u. a. Zusammenfügen, Teilen, Drehen, Sortieren, Komprimieren, Wasserzeichen, Passwortschutz, OCR und Konvertierungen. OCR erfolgt technisch auf dem Verarbeitungsserver, nicht über externe KI-Anbieter. Ergebnisse werden je nach Tarif gespeichert oder automatisch gelöscht.

G. Free-Tarif – 24-Stunden-Löschung

Im Free-Tarif werden hochgeladene Dateien, Verarbeitungsergebnisse und zugehörige Jobhistorien automatisch nach 24 Stunden gelöscht bzw. bereinigt. Der Free-Tarif dient zur kurzfristigen Nutzung und zum Testen; ein dauerhafter Cloud-Speicher steht im Free-Tarif nicht zur Verfügung. Auch Share-Links und API-Zugriff sind im Free-Tarif nicht enthalten.

H. Share-Links und öffentliche Freigaben

In berechtigten Tarifen können Dokumente per Link geteilt werden. Empfänger benötigen kein eigenes Foliodex-Konto. Share-Links können optional mit Passwort, Ablaufdatum oder Downloadlimit geschützt werden. Beim Zugriff können Zeitpunkt, Art des Zugriffs (Ansicht/Download), pseudonymisierte IP-Adresse bzw. IP-Hash, User-Agent und ggf. Land protokolliert werden. Zweck ist die Sicherheit, der Missbrauchsschutz sowie die Nachvollziehbarkeit von Zugriffen. Share-Links können jederzeit widerrufen werden.

I. Public API und API-Keys

In berechtigten Tarifen können API-Keys genutzt werden. API-Keys werden nicht im Klartext gespeichert, sondern als Hash inklusive Prefix und letzten vier Zeichen zur Wiedererkennung. API-Nutzung kann protokolliert werden. Über die API können Dokumente hochgeladen und verarbeitet werden, soweit der gewählte Tarif dies zulässt. API-Aufrufe unterliegen denselben Plan-, Speicher-, Retention- und Sicherheitsregeln wie die Web-Anwendung.

J. Teams, Organisationen, Rollen

Foliodex unterstützt Organisationen und Teams. Verarbeitet werden u. a. Organisationsname, Mitgliedschaften, Rollen, Einladungs-E-Mail-Adressen, Einladungstoken und Ablaufdatum der Einladungen. Zweck ist die gemeinsame Nutzung von Dokumenten, die Verwaltung von Berechtigungen sowie die Zusammenarbeit innerhalb einer Organisation.

K. Zahlungsabwicklung über Stripe

Für bezahlte Tarife setzen wir Stripe ein. Zahlungsdaten (z. B. Kartendaten) werden direkt durch Stripe verarbeitet; Foliodex erhält und speichert lediglich Zahlungsmetadaten wie Stripe Customer ID, Subscription ID, Plan, Status, Abrechnungszeitraum sowie ggf. Coupon-/Rabattinformationen. Die verfügbaren Zahlungsarten ergeben sich aus Stripe Checkout. Stripe kann Daten auch außerhalb der EU verarbeiten; Übermittlungen erfolgen auf Grundlage geeigneter Garantien (insbesondere Standardvertragsklauseln).

L. Kommunikation und E-Mails

Über Supabase Auth werden vertragsrelevante E-Mails wie E-Mail-Bestätigung und Passwort-Reset versendet. Ein Newsletter wird derzeit nicht angeboten. Marketing-E-Mails werden nicht versendet. Werden zukünftig Produkt- oder System-E-Mails aktiviert, dienen diese ausschließlich vertragsbezogenen Zwecken.

M. Cookies und lokale Speicherung

Foliodex verwendet ausschließlich technisch notwendige Speicherung im Browser:
  • Supabase-Auth-Session im LocalStorage (Anmeldung)
  • UI-Zustände (z. B. Sidebar) im LocalStorage
  • SessionStorage für Einladungen und temporäre UI-Hinweise
  • Komfortfunktionen wie das Schließen eines Kampagnen-Popups

Es kommen keine Tracking- oder Marketing-Dienste zum Einsatz: kein Google Analytics, kein Meta Pixel, kein Plausible/Matomo/Hotjar/Clarity/Sentry. Für die rein technisch notwendige Speicherung ist nach derzeitigem Stand kein Cookie-Banner erforderlich. Sollten künftig nicht notwendige Dienste eingeführt werden, holen wir vorab eine Einwilligung über ein Consent-Management ein.

N. Protokolle, Sicherheit und Missbrauchsschutz

Zur Sicherstellung des Betriebs und zum Missbrauchsschutz werden u. a. Systemlogs, Auth-Audit-Events, Dokument-Aktivitätslogs, Share-View-Events, Admin-Audit-Logs und Job-Logs geführt. IP-Adressen werden, soweit für diese Zwecke verarbeitet, pseudonymisiert bzw. gehasht gespeichert. Logs werden gemäß interner Retention-Logik regelmäßig bereinigt.

O. Datenexport und Kontolöschung

Nutzer können einen Datenexport ihrer Account-Daten anstoßen sowie ihr Konto löschen. Nach Beantragung der Kontolöschung erfolgt die endgültige Entfernung innerhalb von 30 Tagen. Gesetzliche Aufbewahrungspflichten – insbesondere bei Zahlungs- und Rechnungsdaten – bleiben hiervon unberührt.

P. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung, Bereitstellung des Nutzerkontos und der Tarifleistungen, PDF-Verarbeitung
  • Art. 6 Abs. 1 lit. c DSGVO – gesetzliche Pflichten, insbesondere steuer- und handelsrechtliche Aufbewahrung
  • Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen an Sicherheit, Missbrauchsschutz, Stabilität und Fehleranalyse
  • Art. 6 Abs. 1 lit. a DSGVO – Einwilligung, soweit optionale Dienste später aktiv eingebunden werden

Q. Empfänger und Dienstleister

Personenbezogene Daten werden an folgende Auftragsverarbeiter / Dienstleister weitergegeben, soweit für die jeweilige Funktion erforderlich:
  • Supabase (Auth, Datenbank, Storage)
  • Lovable (Hosting-/App-Infrastruktur)
  • Stripe (Zahlungsabwicklung in bezahlten Tarifen)
  • Cloudflare (DNS- und Edge-Infrastruktur)
  • Eigener Stirling-PDF-Server in Deutschland (PDF-Verarbeitung)

R. Drittlandübermittlungen

Einzelne technische Dienstleister können personenbezogene Daten auch außerhalb der EU verarbeiten. Soweit eine Übermittlung in ein Drittland erfolgt, geschieht dies auf Grundlage geeigneter Garantien, insbesondere Standardvertragsklauseln oder bestehender Angemessenheitsbeschlüsse.

S. Betroffenenrechte

Nutzer haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie auf Widerruf erteilter Einwilligungen. Anfragen können an info@foliodex.de gerichtet werden. Datenexport und Kontolöschung sind zusätzlich unter Einstellungen → Privatsphäre verfügbar. Daneben besteht ein Beschwerderecht bei der zuständigen Datenschutzaufsicht, für unseren Sitz: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.

T. Aktualität

Stand: Juni 2026.