Zum Inhalt springen

Rechtliches

Datenschutzerklärung

Stand: April 2026

Präambel: Zero-Knowledge-Architektur

Zotto ist als Zero-Knowledge-Dienst konzipiert. Das bedeutet: Ihre persönlichen Notizen, Einträge und Inhalte werden ausschließlich auf Ihrem Gerät verschlüsselt, bevor sie unsere Server erreichen. Der Betreiber (Develogix Agency e.U.) hat technisch keinen Zugang zu Ihren verschlüsselten Inhalten — weder jetzt noch in Zukunft.

Diese Datenschutzerklärung legt offen, welche Metadaten wir dennoch verarbeiten, warum wir dies tun und welche Rechte Sie haben.

1. Verantwortlicher (Art. 13 DSGVO)

Develogix Agency e.U. [PLACEHOLDER: Vorname Nachname des Inhabers]
Johannes-Filzer-Straße 46
5020 Salzburg, Österreich
E-Mail
[PLACEHOLDER: datenschutz@zotto.me oder hallo@zotto.me]
Website
https://zotto.me
Firmenbuchnummer
[PLACEHOLDER: FN XXXXXX x]

Bei Fragen zum Datenschutz können Sie uns jederzeit per E-Mail kontaktieren. Ein gesetzlich benannter Datenschutzbeauftragter ist aufgrund der Unternehmensgröße nicht erforderlich (Art. 37 DSGVO).

2. Grundsätze der Datenverarbeitung

2.1 Zero-Knowledge-Architektur (Basic- und Pro-Tarif)

Zotto verwendet eine client-seitige End-to-End-Verschlüsselung für alle Nutzerinhalte in den Tarifen Basic und Pro. Die Verschlüsselung erfolgt vollständig auf Ihrem Endgerät, bevor Daten an unsere Server übertragen werden.

Was der Betreiber technisch NICHT sehen kann:

  • Den Inhalt Ihrer Notizen, Einträge oder Aufzeichnungen
  • Kategorien, Tags oder Struktur Ihrer Inhalte
  • Passwörter oder Verschlüsselungsschlüssel
  • Beträge, Transaktionen oder sonstige von Ihnen erfasste Zahlen
  • Jeglichen Klartext Ihrer persönlichen Daten

Was der Betreiber sehen kann (Metadaten):

  • Zeitstempel der Erstellung und Änderung von Einträgen (nicht deren Inhalt)
  • Anzahl der synchronisierten verschlüsselten Datensätze
  • Subscription-Status und gewählter Tarif
  • Last-Activity-Timestamp (für optionale Self-Destruct-Funktion)
  • IP-Adresse (temporär, für Rate Limiting und Sicherheit)

Hinweis: Wir können den Inhalt Ihrer Einträge unter keinen Umständen offenlegen — auch nicht im Fall eines Sicherheitsvorfalls. Der Zugang zu Ihren Daten ist uns technisch unmöglich. Niemand außer Ihnen hat Zugriff.

2.2 Free-Tarif

[PLACEHOLDER: Falls im Free-Tarif eine abweichende Verschlüsselungslogik gilt (z. B. serverseitige Verschlüsselung oder kein E2E), ist dies hier gesondert zu beschreiben. Andernfalls diesen Abschnitt entfernen oder angleichen.]

3. Welche Daten werden verarbeitet?

3.1 Bei Registrierung (alle Tarife)

Datenkategorie Details Zweck
E-Mail-Adresse Wird als kryptografischer Hash gespeichert — kein Klartext Kontoidentifikation, Wiederherstellung
Registrierungsdatum Zeitstempel Kontoverwaltung

Ihre E-Mail-Adresse wird vor der Speicherung durch ein Einweg-Hashing-Verfahren verarbeitet. Dadurch können wir die Adresse nicht im Klartext lesen, können jedoch bei Bedarf prüfen, ob eine bestimmte Adresse bereits registriert ist.

[PLACEHOLDER: Falls im Free-Tarif oder für bestimmte Funktionen (z. B. E-Mail-Versand, Passwort-Reset) die E-Mail-Adresse im Klartext verarbeitet wird, ist dies hier transparent zu ergänzen.]

3.2 Bei laufender Nutzung

Datenkategorie Details Zweck
Verschlüsselte Datensätze (Ciphertext) Für den Betreiber vollständig unlesbar Synchronisation zwischen Geräten
Eintrags-Zeitstempel Erstellungs- und Änderungsdatum (kein Inhalt) Sync-Logik, Self-Destruct-Timer
Subscription-Status Gewählter Tarif (Free / Basic / Pro) Zugangssteuerung, Abrechnung
Geräteinformationen Geräte-ID und Name für Passkey-Verwaltung Passkey-Authentifizierung, Geräteverwaltung
IP-Adresse Temporär, max. 7 Tage Rate Limiting, Missbrauchsschutz, Sicherheit
Last-Activity-Timestamp Zeitstempel der letzten Kontoaktivität Self-Destruct-Funktion (sofern aktiviert)
Sync-Zeitstempel Wann zuletzt synchronisiert wurde Konfliktauflösung, Offline-Unterstützung

3.3 Billing und Zahlungsabwicklung (wenn aktiv)

Zahlungen werden über Stripe (Stripe, Inc. / Stripe Payments Europe, Ltd.) abgewickelt. Zotto speichert keine Kreditkartendaten oder vollständigen Zahlungsinformationen auf eigenen Servern.

Folgende Daten werden von Zotto im Zusammenhang mit Billing gespeichert:

  • ·Stripe Customer ID (anonymisierte Referenz)
  • ·Subscription-ID und aktueller Status
  • ·Tarif und Verlängerungsdatum

Für die Verarbeitung Ihrer Zahlungsdaten durch Stripe gilt die Datenschutzerklärung von Stripe: https://stripe.com/de/privacy

4. Rechtsgrundlagen (Art. 6 DSGVO)

Verarbeitungszweck Rechtsgrundlage
Bereitstellung des Dienstes, Konto- und Synchronisationsfunktionen Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung
Rate Limiting, Missbrauchsschutz, Sicherheitsmaßnahmen (IP-Logging) Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen
Billing-Verarbeitung, steuerliche Aufzeichnungen Art. 6 Abs. 1 lit. b und lit. c DSGVO — Vertrag und rechtliche Verpflichtung
Plausible Analytics (sofern aktiv) Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (keine personenbezogenen Daten)
E-Mail-Kommunikation (z. B. bei wesentlichen Änderungen) Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung

5. Speicherdauer

Datenkategorie Speicherdauer
Account-Daten (E-Mail-Hash, Registrierungsdatum) Bis zur Löschung durch den Nutzer oder 30 Tage nach Vertragskündigung
Verschlüsselte Inhalte (Ciphertext) Bis zur aktiven Löschung durch den Nutzer, Auslösung des Self-Destruct oder 30 Tage nach Kündigung
IP-Adresse (Rate-Limiting-Logs) Maximal 7 Tage
Sync- und Aktivitäts-Zeitstempel Bis zur Löschung des Kontos
Billing-Daten / steuerliche Belege 7 Jahre gemäß österreichischer Bundesabgabenordnung (BAO)
Stripe-Referenz-IDs Bis zur Kündigung des Abonnements, danach gemäß Stripe-Richtlinien

6. Empfänger und Datenweitergabe

Wir geben Ihre Daten nicht zu Werbezwecken oder ohne rechtliche Grundlage an Dritte weiter. Im Rahmen des Betriebs setzen wir folgende Auftragsverarbeiter ein:

6.1 Hosting: Hetzner Cloud

Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland

Alle Daten werden auf Servern in EU-Rechenzentren (Deutschland oder Österreich) gespeichert. Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Hetzner ist DSGVO-konform und ISO-zertifiziert.

Datenschutzinformationen Hetzner

6.2 Zahlungsabwicklung: Stripe

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland

Stripe verarbeitet Zahlungsdaten nur, wenn Sie ein kostenpflichtiges Abonnement abschließen. Die Übermittlung erfolgt verschlüsselt und auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

6.3 Analytics: Plausible Analytics (sofern aktiv)

Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland

Plausible Analytics ist ein datenschutzfreundliches, cookieloses Analyse-Tool. Es werden keine personenbezogenen Daten erhoben, keine Cookies gesetzt und keine Tracking-Profile erstellt. EU-Hosting.

Datenschutzinformationen Plausible

6.4 Behördliche Anfragen

Im Fall gesetzlich vorgeschriebener behördlicher Anfragen können wir ausschließlich die unter Abschnitt 3 genannten Metadaten herausgeben. Eine Offenlegung von Inhalts-Daten ist uns aufgrund der Zero-Knowledge-Architektur technisch nicht möglich — auch nicht auf behördliche Anordnung.

7. Betroffenenrechte (Art. 15–22 DSGVO)

Recht Inhalt
Auskunft (Art. 15) Sie können Auskunft über die von uns verarbeiteten Daten verlangen.
Berichtigung (Art. 16) Sie können die Berichtigung unrichtiger Daten verlangen.
Löschung (Art. 17) Sie können die Löschung Ihrer Daten verlangen ("Recht auf Vergessenwerden").
Einschränkung (Art. 18) Sie können die Einschränkung der Verarbeitung verlangen.
Widerspruch (Art. 21) Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
Datenportabilität (Art. 20) Sie können Ihre Daten in einem maschinenlesbaren Format anfordern.

Wichtiger Hinweis zur Zero-Knowledge-Architektur: Aufgrund der client-seitigen Verschlüsselung ist es uns technisch nicht möglich, Auskunft über den Inhalt Ihrer verschlüsselten Einträge zu geben oder diese in lesbarer Form zu exportieren. Für den Export Ihrer eigenen Inhalte verwenden Sie bitte die in der App vorgesehene Export-Funktion (entschlüsselt auf Ihrem Gerät).

Anfragen richten Sie bitte an: [PLACEHOLDER: datenschutz@zotto.me] — wir beantworten Anfragen innerhalb von 30 Tagen.

8. Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DSGVO)

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei der zuständigen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde (DSB) Barichgasse 40–42
1030 Wien, Österreich

Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at

9. Cookies und Tracking

9.1 Notwendige Cookies

Zotto verwendet ausschließlich einen Session-Cookie für die Authentifizierung und Aufrechterhaltung Ihrer Sitzung. Dieser Cookie ist für den Betrieb des Dienstes technisch notwendig und erfordert keine Einwilligung gemäß § 165 Abs. 3 TKG 2021.

Cookie Zweck Speicherdauer
Session-Cookie Authentifizierung, Sitzungsverwaltung Bis zum Ende der Browser-Sitzung / Logout

9.2 Analytics

Sofern aktiv, wird Plausible Analytics eingesetzt. Plausible arbeitet vollständig ohne Cookies und erhebt keine personenbezogenen Daten.

9.3 Was wir NICHT verwenden

  • Kein Google Analytics oder andere Google-Dienste mit personenbezogener Auswertung
  • Kein Facebook Pixel oder Meta-Tracking
  • Keine Werbenetzwerke oder Drittanbieter-Tracker
  • Keine Cross-Site-Tracking-Technologien

10. Datensicherheit

  • TLS/HTTPS: Alle Verbindungen zwischen Ihrem Gerät und unseren Servern sind durch TLS-Verschlüsselung gesichert.
  • End-to-End-Verschlüsselung: Alle Inhalte werden in Basic und Pro client-seitig verschlüsselt — der Server empfängt und speichert ausschließlich Ciphertext.
  • EU-Rechenzentren: Alle Daten werden auf Hetzner-Servern in der Europäischen Union gespeichert, die DSGVO-konform betrieben werden.
  • Minimale Datenhaltung: Wir erheben nur jene Daten, die für den Betrieb des Dienstes zwingend erforderlich sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO).
  • Passkey-Authentifizierung: Zotto unterstützt passwortlose Authentifizierung via Passkeys (WebAuthn), die eine robuste Sicherheit ohne zentrale Passwort-Speicherung bietet.
  • Automatische Datenlöschung: IP-Adressen in Sicherheitslogs werden nach spätestens 7 Tagen automatisch gelöscht.

11. Datenübermittlung in Drittländer

Daten werden grundsätzlich nur in der EU / im EWR verarbeitet. Soweit Stripe (Irland/USA) eingesetzt wird, erfolgt die Datenübermittlung auf Basis des EU-U.S. Data Privacy Framework sowie Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Stripe ist unter dem EU-U.S. DPF zertifiziert (Zertifizierungsregister: www.dataprivacyframework.gov).

12. Konto-Löschung und Self-Destruct

Sie können Ihr Konto jederzeit selbst löschen. Dabei werden alle gespeicherten verschlüsselten Inhalte und Metadaten unwiderruflich gelöscht (mit Ausnahme steuerrechtlich aufbewahrungspflichtiger Billing-Daten gemäß Abschnitt 5).

Zotto bietet optional eine Self-Destruct-Funktion: Wenn Sie diese aktivieren, löscht das System Ihr Konto und alle Daten automatisch nach einer von Ihnen definierten Inaktivitätsdauer. Als Auslöser dient der Last-Activity-Timestamp. Diese Funktion dient dem Schutz Ihrer Privatsphäre im Fall dauerhafter Inaktivität.

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns das Recht vor, diese Datenschutzerklärung bei wesentlichen Änderungen des Dienstes oder der Rechtslage anzupassen. Das aktuelle Datum ist stets oben angegeben.

Bei wesentlichen Änderungen werden wir Sie per E-Mail oder durch einen deutlichen Hinweis im Dienst informieren, bevor die Änderungen in Kraft treten. Die fortgesetzte Nutzung von Zotto nach Inkrafttreten geänderter Bestimmungen gilt als Zustimmung.

14. Kontakt für Datenschutzanfragen

Für alle Fragen und Anliegen zum Datenschutz wenden Sie sich bitte an:

Develogix Agency e.U. Johannes-Filzer-Straße 46, 5020 Salzburg, Österreich
E-Mail: [PLACEHOLDER: datenschutz@zotto.me]

Wir behandeln Ihre Anfragen vertraulich und antworten innerhalb der gesetzlichen Fristen.