gültig ab 9. Juli 2026
Diese Übersetzung wird zur besseren Verständlichkeit bereitgestellt. Bei Abweichungen ist die englische Fassung maßgeblich.
§1. Verantwortlicher und Kontakt
Diese Datenschutzerklärung erläutert, wie personenbezogene Daten im Dienst Todrawn (der „Dienst“) verarbeitet werden — interaktive Online-Whiteboards zum Zeichnen, Hinzufügen von Formen und Bildern sowie zur Zusammenarbeit mit anderen Nutzern.
Verantwortlicher für deine personenbezogenen Daten ist Jakub Kuźnicki (der „Anbieter“). In Datenschutzfragen ist der Anbieter per E-Mail unter support@todrawn.com erreichbar.
Großgeschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die ihnen in den Nutzungsbedingungen zugewiesen wird.
§2. Welche Daten wir verarbeiten
Je nachdem, wie du den Dienst nutzt, verarbeiten wir:
- Kontodaten — deine E-Mail-Adresse und, bei mit Passwort erstellten Konten, einen Passwort-Hash (das Passwort selbst speichern wir nie); bei Konten, die über Google Sign-In erstellt wurden, wird kein Passwort gesetzt,
- Inhaltsdaten — die von dir erstellten Boards, einschließlich Zeichnungen, Formen, Text und hochgeladener Bilder,
- Abonnementdaten — dein Plan (FREE oder PREMIUM), der Abonnementstatus und die dir von unserem Zahlungsdienstleister zugewiesene Kennung,
- technische Daten — Informationen, die für die Sicherheit und den Betrieb des Dienstes erforderlich sind, etwa der Zeitpunkt bestimmter Aktionen und grundlegende Anfrage-Metadaten in den Serverprotokollen.
Wir verarbeiten keine besonderen Kategorien von Daten und nutzen deine Daten weder für automatisierte Entscheidungsfindung noch für Profiling.
§3. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten deine Daten zu folgenden Zwecken:
- Bereitstellung des Dienstes und deines Kontos — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO),
- Abwicklung der Zahlungen für den PREMIUM-Plan und Erfüllung buchhalterischer Pflichten — rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO),
- Verifizierung deiner E-Mail-Adresse und Abwicklung von Passwort-Zurücksetzungen — Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO),
- Sicherheit des Dienstes und Missbrauchsprävention — unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO),
- Bearbeitung von Beschwerden und Beantwortung deiner Anfragen — unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).
§4. Cookies und Browserspeicher
Der Dienst verwendet keine Werbe-, Analyse- oder Tracking-Cookies. Wir erstellen keine Profile und laden keine Tracking-Skripte von Drittanbietern.
Um dich angemeldet zu halten, speichert der Dienst zwei Authentifizierungs-Tokens im Speicher deines Browsers. Wenn du beim Anmelden „Auf diesem Gerät angemeldet bleiben“ auswählst, werden die Tokens dauerhaft gespeichert (localStorage), sodass deine Sitzung einen Browserneustart übersteht; andernfalls liegen sie im Sitzungsspeicher und werden beim Schließen des Tabs oder Browsers gelöscht. Diese Tokens sind für den Betrieb des Dienstes zwingend erforderlich und werden beim Abmelden entfernt.
Daneben speichert der Dienst einige kleine Einstellungen im Browserspeicher — zum Beispiel deine Wahl zwischen hellem und dunklem Design, deine Werkzeugleisten-Einstellungen und den Hinweis, dass du die Cookie-Meldung geschlossen hast. Sie merken sich deine Auswahl nur auf diesem Gerät; sie enthalten keine Tracking-Kennungen und werden mit niemandem geteilt.
Wenn du dich für die Anmeldung mit Google entscheidest, wird Google Sign-In von Googles Servern geladen und kann eigene Cookies auf der Domain accounts.google.com setzen, gemäß der Datenschutzerklärung von Google. Das geschieht nur, wenn du diese Option aktiv nutzt.
§5. An wen wir Daten weitergeben
Wir geben Daten nur an Dienstleister weiter, die uns beim Betrieb des Dienstes unterstützen, und nur im erforderlichen Umfang:
- Stripe — unser Zahlungsdienstleister, der die Abonnementzahlungen abwickelt. Der Anbieter speichert keine Zahlungskartendaten — sie werden ausschließlich von Stripe verarbeitet,
- Google — wenn du dich mit Google anmeldest, wird das Google-Identitätstoken zur Bestätigung deiner Identität verifiziert.
Verifizierungscodes und Nachrichten zum Zurücksetzen des Passworts werden innerhalb des Dienstes verarbeitet und nicht an externe E-Mail-Anbieter weitergegeben. Wir verkaufen deine personenbezogenen Daten nicht und geben sie nicht zu Marketingzwecken weiter.
§6. Wie lange wir Daten aufbewahren
Konto- und Inhaltsdaten bewahren wir so lange auf, wie du ein Konto besitzt. Du kannst die Nutzung des Dienstes jederzeit beenden und die Löschung des Kontos beim Anbieter beantragen; mit der Löschung werden deine Boards und Bilder entfernt.
Zahlungsbezogene Daten werden für den Zeitraum aufbewahrt, den Buchhaltungs- und Steuerrecht verlangen. Daten, die auf Grundlage unseres berechtigten Interesses verarbeitet werden, bewahren wir auf, bis dieser Zweck erfüllt ist oder du erfolgreich widersprichst — je nachdem, was zuerst eintritt.
In der Praxis bedeutet das folgende Aufbewahrungsfristen:
- Kontodaten (deine E-Mail-Adresse und ggf. ein Passwort-Hash) — bis zur Löschung deines Kontos,
- Whiteboards und Bilder — bis zur Löschung durch den Eigentümer oder bis zur Kontolöschung; hochgeladene Bilder werden über nicht erratbare Links ausgeliefert, und Kopien können bis zu 7 Tage nach der Löschung in Browser- oder Zwischenspeichern verbleiben,
- Codes zur E-Mail-Verifizierung und Passwort-Zurücksetzung — 15 Minuten, danach automatische Löschung,
- Aufzeichnungen administrativer Aktionen an Konten (unser Audit-Protokoll) — 24 Monate ab der Aktion,
- Zustellprotokolle für Marketing-E-Mails — Nachrichteninhalt und Zählwerte bleiben für das Reporting erhalten, aber die E-Mail-Adresse des Empfängers wird in jedem Eintrag 30 Tage nach Versand, Fehlschlag oder Auslassung der Nachricht anonymisiert,
- Kennungen verarbeiteter Zahlungsereignisse (um dieselbe Zahlungsbenachrichtigung nicht doppelt zu verarbeiten) — 90 Tage,
- Serverprotokolle — bis zu 90 Tage, zu Sicherheits- und Diagnosezwecken,
- Zahlungsdaten selbst werden vom Anbieter nicht gespeichert — sie liegen bei Stripe gemäß dessen eigener Aufbewahrungsrichtlinie.
§7. Internationale Datenübermittlungen
Einige unserer Dienstleister (insbesondere Stripe und Google) können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. In solchen Fällen erfolgt die Übermittlung auf Grundlage geeigneter Garantien, insbesondere der Standardvertragsklauseln der Europäischen Kommission.
§8. Deine Rechte
Du hast das Recht auf Auskunft über deine Daten sowie auf deren Berichtigung, Löschung, Einschränkung der Verarbeitung, Übertragbarkeit und Widerspruch gegen die Verarbeitung. Soweit die Verarbeitung auf einer Einwilligung beruht, kannst du diese jederzeit widerrufen, ohne dass die Rechtmäßigkeit der zuvor erfolgten Verarbeitung berührt wird.
Um deine Rechte auszuüben, wende dich an den Anbieter unter der in §1 genannten E-Mail-Adresse. Du hast außerdem das Recht, Beschwerde bei der Aufsichtsbehörde einzulegen — dem Präsidenten der polnischen Datenschutzbehörde (UODO).
§9. Kinder
Der Dienst richtet sich an Personen, die mindestens 16 Jahre alt sind. Minderjährige nutzen den Dienst mit Zustimmung eines Erziehungsberechtigten. Wir verarbeiten wissentlich keine Daten von Kindern unter diesem Alter.
§10. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung aktualisieren, etwa wenn sich das Recht oder die Art der Bereitstellung des Dienstes ändert. Die aktuelle Fassung ist stets im Dienst verfügbar, mit dem unten angegebenen Gültigkeitsdatum. Sofern eine Änderung es erfordert, benachrichtigen wir die Nutzer per E-Mail.
Diese Datenschutzerklärung gilt ab dem 9. Juli 2026.