Datenschutzerklärung

Stand: 26.05.2026

Diese Datenschutzerklärung informiert dich darüber, welche personenbezogenen Daten ioumi erhebt, wie und wofür sie verarbeitet werden, an wen sie übermittelt werden und welche Rechte du im Zusammenhang mit dieser Verarbeitung hast.

Die Erklärung unterscheidet zwischen zwei Bereichen:

  • Bereich 1 — Marketing-Webseite (ioumi.com): öffentliche Webseite mit Informationen zu unseren Produkten
  • Bereich 2 — Plattform (app.ioumi.com und Unterdomänen): die eigentliche Software-as-a-Service-Lösung, die unsere Verkäufer und deren Endkunden nutzen

1. Verantwortlicher

ioumi GmbHBahnhofstraße 8a6922 WolfurtÖsterreich

Firmenbuch: FN 672206p, Landesgericht FeldkirchUID-Nummer: ATU82959014

E-Mail: hallo@ioumi.comTelefon: +43 5574 34630

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die ioumi GmbH.

Für datenschutzbezogene Anliegen erreichst du uns unter datenschutz@ioumi.com.

2. Rollenverteilung nach DSGVO

ioumi nimmt zwei unterschiedliche Rollen ein, abhängig davon, welche Daten verarbeitet werden:

Als Verantwortlicher verarbeiten wir:

  • Daten von Besuchern unserer Marketing-Webseite ioumi.com
  • Daten von Interessenten, die ein Demo-Gespräch buchen oder den Newsletter abonnieren
  • Daten unserer Verkäufer (Account-Daten, Onboarding, Kommunikation, Abrechnung)

Als Auftragsverarbeiter im Sinne des Art. 28 DSGVO verarbeiten wir:

  • Daten der Endkunden, die unsere Verkäufer auf der Plattform verarbeiten (z. B. Vertragsdaten, Rechnungsdaten, Zahlungsdaten)

Bei Endkundendaten ist der jeweilige Verkäufer der datenschutzrechtlich Verantwortliche. ioumi verarbeitet diese Daten ausschließlich nach den Weisungen des Verkäufers auf Grundlage eines Auftragsverarbeitungsvertrags.

Bereich 1 — Marketing-Webseite (ioumi.com)

3. Hosting der Marketing-Webseite

Die Marketing-Webseite ioumi.com wird gehostet bei:

Webflow Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, USA

Webflow verarbeitet im Rahmen des Hostings automatisch erhobene Daten (IP-Adressen, Browser-Daten, Zugriffszeitpunkte). Datenübermittlungen in die USA erfolgen auf Grundlage des EU-US Data Privacy Framework sowie ergänzender Standardvertragsklauseln.

Datenschutzerklärung Webflow: https://webflow.com/legal/eu-privacy-policy

4. Erhebung und Verarbeitung bei Besuch der Marketing-Webseite

4.1 Automatisch erfasste Daten

Beim Besuch von ioumi.com werden automatisch folgende Daten erhoben:

  • gekürzte IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL
  • aufgerufene Seiten

Diese Daten dienen der technischen Sicherheit, Fehleranalyse und statistischen Auswertung. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Optimierung).

4.2 Web-Formulare

Wenn du uns über ein Formular auf der Marketing-Webseite kontaktierst (Demo-Anfrage, Beta-Bewerbung, Kontaktformular), verarbeiten wir die von dir eingegebenen Daten (Name, E-Mail, ggf. Telefon, Firma, Nachricht) zur Bearbeitung deiner Anfrage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

4.3 Terminbuchung über Calendly

Für Demo-Termine nutzen wir Calendly LLC, USA. Bei der Buchung übermittelte Daten (Name, E-Mail, Wunschtermin, ggf. Telefon und Firma) werden an Calendly weitergegeben. Calendly verarbeitet diese Daten auf Grundlage von EU-Standardvertragsklauseln.

Datenschutzerklärung Calendly: https://calendly.com/pages/dpa

5. Cookies und Tracking auf der Marketing-Webseite

5.1 Cookie-Banner

Beim ersten Besuch von ioumi.com erhältst du ein Cookie-Banner zur Einwilligungserteilung. Ohne deine Einwilligung werden ausschließlich technisch notwendige Cookies gesetzt.

5.2 Eingesetzte Tracking-Tools (nur nach Einwilligung)

Google Tag Manager (Google Ireland Ltd., Dublin) zur Verwaltung der Tracking-Codes. Der Tag Manager selbst verarbeitet keine personenbezogenen Daten.

Google Analytics 4 (Google Ireland Ltd., Dublin) zur Reichweitenmessung. Mit IP-Anonymisierung. Datenübermittlung in die USA möglich, Rechtsgrundlage: EU-US Data Privacy Framework.

Meta Pixel (Meta Platforms Ireland Ltd., Dublin) zur Erfolgsmessung von Werbeanzeigen. Datenübermittlung in die USA möglich, Rechtsgrundlage: EU-US Data Privacy Framework + Standardvertragsklauseln.

LinkedIn Insight Tag (LinkedIn Ireland Unlimited Company, Dublin) zur Erfolgsmessung von LinkedIn-Werbung. Datenübermittlung in die USA möglich.

Google Ads Conversion Tracking (Google Ireland Ltd., Dublin) zur Messung von Werbe-Conversions.

Rechtsgrundlage für die Tracking-Tools: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über das Cookie-Banner). Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Bereich 2 — Plattform (app.ioumi.com)

6. Hosting der Plattform

Die ioumi-Plattform (app.ioumi.com, api.ioumi.com, pay.ioumi.com, files.ioumi.com) wird ausschließlich in EU-Rechenzentren betrieben.

Plattform-Provider:Ploi Cloud B.V., Amperestraat 16J, 3861HB Nijkerk, NiederlandeKvK: 97693731

Sub-Auftragsverarbeiter (Infrastruktur):

  • Scaleway SAS, 8 rue de la Ville l'Evêque, 75008 Paris, Frankreich (Cloud-Infrastruktur, Container-Registry)
  • UpCloud Ltd, Aleksanterinkatu 15 B, 00100 Helsinki, Finnland (Cloud-Infrastruktur)

Sämtliche Plattform-Daten (Datenbank, File-Storage, Cache, Worker, Backups) werden in EU-Rechenzentren gespeichert. Eine Übermittlung von Plattform-Daten in Drittstaaten findet im Rahmen des Hostings nicht statt.

Mit Ploi Cloud B.V. besteht ein Auftragsverarbeitungsvertrag mit umfassenden technischen und organisatorischen Maßnahmen (ISO 27001, SOC 2 Type II zertifizierte Rechenzentren, AES-256-Verschlüsselung at rest, TLS 1.2+ in transit).

7. Daten der Verkäufer

Wenn du dich als Verkäufer auf ioumi registrierst, verarbeiten wir folgende Daten:

7.1 Account- und Stammdaten

  • Vor- und Nachname, Firmenname, ggf. Trading-Name
  • Anschrift, UID-Nummer, Firmenbuchnummer
  • E-Mail-Adresse, Telefonnummer
  • Login-Daten (E-Mail, Passwort-Hash, optional 2FA)
  • Hinterlegte Bankverbindung
  • AGB-URL und sonstige individuelle Plattform-Konfigurationen
  • Logo und Branding-Elemente

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

7.2 KYC-Daten beim externen Zahlungsdienstleister

Im Rahmen des Onboarding beim externen Zahlungsdienstleister (Stripe) werden zusätzliche Identifikations- und Unternehmensdaten verarbeitet. Diese Daten gibst du direkt bei Stripe ein. ioumi erhält von Stripe nur den Status des KYC-Prozesses, nicht die Detaildaten.

7.3 Nutzungs- und Kommunikationsdaten

  • Login-Zeitpunkte, IP-Adressen bei Anmeldung
  • Aktivitäten in der Plattform (erstellte Verträge, Rechnungen, Zahlungen)
  • Support-Kommunikation mit ioumi
  • E-Mail-Verkehr im Rahmen der Geschäftsbeziehung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.

7.4 Abrechnungsdaten

  • Gebuchter Pricing-Plan
  • Rechnungen über Grundgebühren und Transaktionsgebühren
  • Zahlungsstatus

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO (steuerrechtliche Aufbewahrungspflichten gemäß § 132 BAO).

8. Daten der Endkunden (Auftragsverarbeitung)

Wenn unsere Verkäufer die Plattform nutzen, verarbeiten wir personenbezogene Daten ihrer Endkunden ausschließlich im Auftrag des Verkäufers als Auftragsverarbeiter gemäß Art. 28 DSGVO.

8.1 Verarbeitete Datenkategorien

  • Stamm- und Kontaktdaten (Name, Anschrift, E-Mail, Telefon, Firma, UID)
  • Vertragsdaten (Vertragsinhalte, Leistungen, Zahlungspläne)
  • Zahlungsdaten (Status, Beträge, Stripe-Payment-IDs — keine vollständigen Kartendaten)
  • Signatur- und Audit-Trail-Daten (siehe § 9)
  • Nutzungsdaten Kundenportal (Login-Zeitpunkte, IP-Adressen)
  • E-Mail-Kommunikation (Vertragsversand, Erinnerungen, Zahlungsbestätigungen)

8.2 Verantwortlichkeit

Verantwortlicher für diese Datenverarbeitung ist der jeweilige Verkäufer. Für die Rechtmäßigkeit der Datenerhebung, die Information der Endkunden und die Beantwortung von Betroffenenrechte-Anfragen ist der Verkäufer zuständig.

ioumi verarbeitet diese Daten ausschließlich nach dokumentierten Weisungen des Verkäufers (die in der Regel durch die Nutzung der Plattform-Funktionen erteilt werden) und auf Grundlage des Auftragsverarbeitungsvertrags zwischen ioumi und dem Verkäufer.

8.3 Auskunfts- und Löschungsanträge von Endkunden

Endkunden, die ihre Rechte aus der DSGVO geltend machen möchten (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch), wenden sich bitte direkt an den Verkäufer als Verantwortlichen. ioumi unterstützt den Verkäufer bei der Beantwortung solcher Anfragen.

9. Elektronische Signatur und Audit-Trail

Beim Unterzeichnen eines Vertrags über die Plattform protokollieren wir zur Sicherung der Beweiskraft folgende Daten:

  • IP-Adresse des Endkunden
  • Zeitstempel (Datum und Uhrzeit mit Sekundengenauigkeit)
  • User-Agent (Browser und Betriebssystem)
  • Hash-Wert des unterzeichneten Vertragsdokuments
  • Versionsstand der akzeptierten Dokumente (Vertrag, AGB des Verkäufers, ioumi-AGB, ioumi-Datenschutzerklärung)
  • E-Mail-Adresse, an die der Vertrag versendet wurde
  • die gezeichnete oder geschriebene Unterschrift

Zweck: Nachweis der Authentizität und Integrität der elektronischen Signatur, Vertragserfüllung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Beweissicherheit).

Speicherdauer: Sieben Jahre nach Vertragsabschluss gemäß § 132 BAO. Verantwortlicher für diese Verarbeitung ist der Verkäufer; ioumi handelt als Auftragsverarbeiter.

10. Kundenportal und Magic-Link-Authentifizierung

Endkunden erhalten Zugang zum Kundenportal über sogenannte Magic-Links. Dabei verarbeiten wir:

  • E-Mail-Adresse des Endkunden
  • Zeitpunkt der Magic-Link-Anforderung und -Nutzung
  • IP-Adresse bei Anforderung und Anmeldung
  • Session-Cookies (technisch notwendig, kein Tracking)

Magic-Links sind nur einmalig und für einen begrenzten Zeitraum gültig. Die Authentifizierung erfolgt ohne Passwort.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Auftrag des Verkäufers).

11. E-Mail-Versand

Für den Versand von Transaktionsmails (Vertragsversand, Signatur-Reminder, Zahlungs- und Rechnungsbestätigungen, Magic-Links) nutzen wir:

Sendinblue SAS / Brevo, 106 boulevard Haussmann, 75008 Paris, Frankreich

Brevo verarbeitet die zum Versand erforderlichen Daten (E-Mail-Adressen, Mail-Inhalte) als Auftragsverarbeiter. Die Verarbeitung erfolgt grundsätzlich in der EU; technisch können Daten an Sub-Auftragsverarbeiter mit Sitz in den USA übermittelt werden. Rechtsgrundlage für mögliche Drittland-Übermittlungen: Standardvertragsklauseln.

E-Mails an Endkunden werden über die Absender-Adresse no-reply@ioumi.com mit dem Namen des jeweiligen Verkäufers als Absendernamen versendet. Als Reply-To-Adresse wird die vom Verkäufer hinterlegte Support-Adresse verwendet.

12. Zahlungsabwicklung

Sämtliche Zahlungen auf der Plattform werden über den externen Zahlungsdienstleister abgewickelt:

Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland

Im Rahmen der Zahlungsabwicklung übermittelte Daten:

  • Endkunden-Zahlungsdaten (Karteninformationen, SEPA-Daten) — werden direkt beim Endkunden im Stripe-Checkout erfasst und gelangen nicht in unsere Systeme
  • Transaktionsdaten (Betrag, Währung, Status, Zeitstempel)
  • Verkäufer-KYC-Daten — werden direkt beim Verkäufer erfasst

Rollenverteilung:

  • Bei Kartendaten-Tokenisierung agiert Stripe als Auftragsverarbeiter.
  • Hinsichtlich der gesetzlichen Anti-Geldwäsche- und KYC-Verpflichtungen sowie der Betrugsprävention ist Stripe eigener Verantwortlicher.

Drittland-Übermittlung: Stripe kann Daten an die Konzernmutter Stripe Inc. in den USA übermitteln. Rechtsgrundlage: EU-US Data Privacy Framework (Stripe ist DPF-zertifiziert) sowie ergänzende Standardvertragsklauseln.

Datenschutzerklärung Stripe: https://stripe.com/de/privacy

13. Weitere Sub-Auftragsverarbeiter

Zur Erbringung der Plattform-Dienste setzen wir folgende weitere Auftragsverarbeiter ein:

13.1 Kommunikation und Support

Intercom R&D Unlimited Company, 124 St. Stephen's Green, Dublin 2, IrlandZweck: Support-Kommunikation zwischen ioumi-Team und Verkäufern, HelpcenterDatenkategorien: E-Mail-Adresse, Name, KommunikationsinhalteDrittland-Übermittlung: möglich in die USA (DPF + SCCs)

13.2 Interne Arbeitswerkzeuge

Für die Kommunikation innerhalb des ioumi-Teams sowie für die Bearbeitung von Daten unserer Verkäufer und Endkunden nutzen wir interne Tools (insbesondere Google Workspace, ClickUp, Figma, GitHub, Anthropic Claude). Diese Tools sind nicht in den Datenfluss der Plattform-Endkundendaten eingebunden, sondern werden ausschließlich für unsere interne Geschäftstätigkeit verwendet.

14. Drittland-Übermittlungen — Zusammenfassung

Die Plattform-Verarbeitung (Hosting, Datenbank, Backups, File-Storage) erfolgt ausschließlich in der EU. Eine Übermittlung von personenbezogenen Daten in Drittstaaten findet ausschließlich in folgenden Fällen statt:

Stripe Inc. (über Stripe Payments Europe), USA — Zweck: Zahlungsabwicklung. Rechtsgrundlage: EU-US Data Privacy Framework und Standardvertragsklauseln.

Brevo Sub-Auftragsverarbeiter, teilweise USA — Zweck: E-Mail-Versand-Infrastruktur. Rechtsgrundlage: Standardvertragsklauseln.

Webflow Inc., USA — Zweck: Hosting der Marketing-Webseite. Rechtsgrundlage: EU-US Data Privacy Framework.

Calendly LLC, USA — Zweck: Demo-Terminbuchung. Rechtsgrundlage: Standardvertragsklauseln.

Google Ireland Ltd. (Tracking-Tools, Workspace), EU mit US-Übermittlung — Zweck: Webseiten-Analyse, interne Kommunikation. Rechtsgrundlage: EU-US Data Privacy Framework.

Meta Platforms Ireland Ltd., EU mit US-Übermittlung — Zweck: Tracking auf der Marketing-Webseite. Rechtsgrundlage: EU-US Data Privacy Framework und Standardvertragsklauseln.

Intercom R&D Unlimited Company, Irland mit möglicher US-Übermittlung — Zweck: Support-Kommunikation. Rechtsgrundlage: EU-US Data Privacy Framework und Standardvertragsklauseln.

15. Speicherdauern

Verkäufer-Account-Daten: Während der gesamten Vertragslaufzeit.

Verkäufer-Daten nach Account-Löschung: Soft-Delete für 7 Jahre gemäß § 132 BAO, danach automatische Hard-Löschung.

Endkunden-Daten: Während aktiver Vertragsbeziehung des Verkäufers, anschließend 7 Jahre.

Vertragsdokumente und signierte PDFs: 7 Jahre nach Vertragsabschluss gemäß § 132 BAO.

Zahlungsdaten: 7 Jahre gemäß § 132 BAO.

Audit-Trail der elektronischen Signatur: 7 Jahre.

Server-Logs (app.ioumi.com): 30 Tage, anschließend automatische Löschung.

Cookie-Daten der Marketing-Webseite: Je nach Cookie-Typ, maximal 24 Monate.

Demo-Anfragen und Leads: 3 Jahre nach letzter Interaktion.

Newsletter-Abonnenten: Bis Widerruf, anschließend 3 Jahre Nachweis-Archivierung.

Bewerber-Daten ohne Pool-Zustimmung: 6 Monate nach Absage.

16. Rechte der Betroffenen

Du hast nach der DSGVO folgende Rechte:

  • Auskunft über die zu deiner Person verarbeiteten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft

Anfragen richte bitte an: datenschutz@ioumi.com

Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist von 30 Tagen.

Hinweis für Endkunden unserer Verkäufer: Da ioumi bei Endkundendaten lediglich Auftragsverarbeiter ist, wenden Sie sich bitte zunächst direkt an den jeweiligen Verkäufer. Wir unterstützen Verkäufer bei der Beantwortung von Betroffenenrechte-Anfragen.

17. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Behörde in Österreich:

Österreichische DatenschutzbehördeBarichgasse 40–42, 1030 Wienhttps://www.dsb.gv.at/

18. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um deine Daten zu schützen:

  • TLS-Verschlüsselung (TLS 1.2 oder höher) für alle Datenübertragungen
  • AES-256-Verschlüsselung gespeicherter Daten (at rest)
  • Rollenbasierte Zugriffskontrollen mit Multi-Faktor-Authentifizierung für interne Mitarbeiter
  • Tägliche automatische Backups in EU-Rechenzentren, AES-256-verschlüsselt
  • ISO 27001 und SOC 2 Type II zertifizierte Rechenzentren auf Hosting-Ebene
  • Regelmäßige Sicherheitsüberprüfungen und Vulnerability-Scanning

Eine vollständige Übersicht der technischen und organisatorischen Maßnahmen erhalten Verkäufer auf Anfrage bzw. als Anhang zum Auftragsverarbeitungsvertrag.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, etwa bei Einführung neuer Funktionen oder Tools oder bei Änderungen der Rechtslage. Die jeweils aktuelle Version ist unter ioumi.com/legal/privacy abrufbar. Bei wesentlichen Änderungen informieren wir aktive Verkäufer per E-Mail.