Datenschutzerklärung

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Software BuchhaltGenie:

2. Erhobene Daten

Wir verarbeiten folgende personenbezogene Daten:

2.1 Registrierungsdaten

• Name und Vorname
• E-Mail-Adresse
• Firmendaten (Firmenname, UID-Nummer, Adresse)
• Telefonnummer (optional)

2.1.1 Newsletter-Anmeldung

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir folgende Daten:

• E-Mail-Adresse
• Zeitstempel der Anmeldung
• IP-Adresse (zum Zeitpunkt der Anmeldung)
• Browser-Informationen (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Zweck: Versand von Marketing-E-Mails und Newsletter mit Informationen über BuchhaltGenie, neue Funktionen und Angebote.

Speicherdauer: Ihre E-Mail-Adresse wird gespeichert, bis Sie Ihre Einwilligung widerrufen. Sie können sich jederzeit über den Link in jeder Newsletter-E-Mail oder direkt über unsere Abmelde-Seite abmelden.

Widerrufsrecht: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Verantwortlicher: BuchhaltGenie (siehe Kontaktdaten im Impressum)

2.1.2 Magic Link Authentication (Passwortloses Anmelden)

Wenn Sie die passwortlose Anmeldung via Magic Link nutzen, verarbeiten wir folgende Daten:

• E-Mail-Adresse
• Login-Zeitstempel (Anforderung des Links und Verwendung)
• IP-Adresse (gehashed mit SHA-256 für Datenschutz)
• Browser-Informationen (User-Agent)
• Einmalig verwendbarer Login-Token (automatisch gelöscht nach 1 Stunde)

Was ist Magic Link? Ein passwortloses Anmeldeverfahren. Sie erhalten einen Einmal-Login-Link per E-Mail, der 1 Stunde gültig ist und nur einmal verwendet werden kann.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - Authentifizierung ist notwendig für Zugang zur Buchhaltungssoftware)

Zweck: Sichere und nutzerfreundliche Authentifizierung ohne Passwort. Schutz vor Passwort-Kompromittierung und Phishing-Angriffen.

Speicherdauer:

• Login-Token: Automatische Löschung nach 1 Stunde (oder nach Verwendung, je nachdem was früher eintritt)
• Login-Audit-Trail: 7 Jahre (BAO §132 - österreichische Aufbewahrungspflicht für geschäftliche Aufzeichnungen)
• E-Mail-Zustellstatus: 90 Tage (technische Logs zur Fehlerdiagnose)

Auftragsverarbeiter: Supabase (EU/Frankfurt) für Authentifizierung, Resend (USA) für E-Mail-Versand (siehe Abschnitt 5.1 Auftragsverarbeiter)

Sicherheit: Links sind einmalig verwendbar, zeitlich begrenzt (1 Stunde) und werden an Ihre registrierte E-Mail-Adresse gesendet. IP-Adressen werden gehashed (SHA-256) gespeichert zur Minimierung personenbezogener Daten.

Ihre Rechte: Sie können jederzeit zwischen Magic Link, E-Mail/Passwort oder Google OAuth wählen. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

2.1.3 Google OAuth Authentication

Wenn Sie sich mit Ihrem Google-Konto bei BuchhaltGenie anmelden, werden folgende Daten von Google verarbeitet und an BuchhaltGenie übermittelt:

• E-Mail-Adresse (von Google)
• Name (aus Ihrem Google-Profil)
• Profilbild (falls in Ihrem Google-Profil vorhanden)
• Eindeutige Google-Benutzer-ID (zur Zuordnung zu Ihrem BuchhaltGenie-Konto)
• Google OAuth Access Token und Refresh Token (zur Authentifizierung)
• Zeitstempel der Authentifizierung
• IP-Adresse (von Google erfasst)

Datenverarbeiter: Google Ireland Limited

Verarbeiter: Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin D04 E5W5, Irland (für EU/EWR-Nutzer)

Sitz des Mutterunternehmens: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Google-Datenschutzrichtlinie: policies.google.com/privacy

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)

Die Verarbeitung erfolgt zu unserem berechtigten Interesse, sichere und benutzerfreundliche Anmeldeverfahren anzubieten. Google OAuth ist:

• Sicherer als Passwörter (2FA durch Google automatisch verfügbar)
• Nutzerfreundlich (Single Sign-On, kein zusätzliches Passwort nötig)
• Branchenweit etablierter Standard für sichere Authentifizierung im Geschäftskontext

Ihre Interessen als Nutzer werden durch folgende Maßnahmen geschützt:

• Sie haben immer die Wahl: Sie können alternativ E-Mail/Passwort oder Magic Link nutzen
• Zweckbindung durch Google: Die im Rahmen der OAuth-Anmeldung übermittelten Daten (E-Mail, Profil) unterliegen den Google OAuth-Bedingungen und werden gemäß den Google Data Processing Terms nicht für personalisierte Werbung verwendet
• Standard Contractual Clauses (SCCs): Google Ireland Limited nutzt EU-Datenschutz-Standardklauseln für die Datenverarbeitung
• Google Consent Mode v2: Ihre Cookie-Einwilligung wird respektiert

Zweck der Verarbeitung

Zweck: Sichere und nutzerfreundliche Authentifizierung für den Zugang zur BuchhaltGenie-Anwendung.

Nicht-Zwecke: Wir nutzen Google OAuth-Daten nicht für:

• Marketing oder Werbung
• Profiling oder automatisierte Entscheidungsfindung
• Weitergabe an Dritte (außer technisch erforderliche Processor)
• Kombinieren mit anderen Datenquellen (z.B. Google Analytics)

Speicherdauer

• Google OAuth Tokens (Access/Refresh): Solange Sie einen aktiven BuchhaltGenie-Account haben. Wird bei Account-Löschung sofort widerrufen.
• Google-Benutzer-ID & Email: 7 Jahre (BAO §132 - österreichische Aufbewahrungspflicht für Nutzungsprotokoll und Authentifizierungsaudit)
• Authentifizierungsaudit-Trail (Logs): 7 Jahre (BAO §132)
• Profilbild: In unserem System nur wenn Sie es auch für andere Anwendungen hochgeladen haben

Token-Verwaltung & Sicherheit

Access Token: Kurzzeitig (ca. 1 Stunde Gültigkeit), wird bei jeder Authentifizierung erneuert.

Refresh Token: Wird verschlüsselt in der Datenbank gespeichert (AES-256) und nur zur Token-Erneuerung verwendet. Sie können diesen Token jederzeit durch Änderung Ihres Google-Kontopassworts widerrufen.

Token-Speicherort: Supabase PostgreSQL-Datenbank (Frankfurt, EU). Tokens werden mit AES-256 verschlüsselt und sind für unbefugte Zugriffe unlesbar.

Ihre Rechte bei Google OAuth

• Recht auf Auskunft (Art. 15 DSGVO): Sie können erfragen, welche Daten wir von Google über Sie gespeichert haben
• Recht auf Berichtigung (Art. 16 DSGVO): Sie können falsche Daten korrigieren
• Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Google OAuth Authentifizierung widersprechen und stattdessen andere Methoden nutzen
• Recht auf Vergessenwerden (Art. 17 DSGVO): Sie können Ihren Account löschen, wodurch alle Google OAuth Tokens sofort widerrufen werden
• Token-Widerruf: Jederzeit durch Disconnecting im Google Account unter Einstellungen → Sicherheit → Apps mit Zugriff auf Ihr Konto

Datenschutz-Absprachen mit Google

Standard Contractual Clauses (SCCs): Google Ireland Limited nutzt die von der EU-Kommission genehmigten Standard Contractual Clauses zur datenschutzkonformen Datenverarbeitung gemäß DSGVO.

Google DPA: Details zur Datenverarbeitung durch Google finden Sie unter:

• privacy.google.com/businesses/processorterms/ (Google Ads Data Processing Terms)
• policies.google.com/privacy (Google Privacy Policy)

Besonderheiten für österreichische Nutzer

Als österreichischer EPU sind wir an folgende Vorschriften gebunden:

• DSGVO: Sie gelten als EU-Resident mit allen Rechten gemäß DSGVO
• Datenschutzbehörde: Österreichische Datenschutzbehörde ( dsb.gv.at)
• BAO §132: Ihr Authentifizierungsaudit wird 7 Jahre aufbewahrt (nicht nur 90 Tage)
• E-Commerce-Richtlinie: Sie können OAuth widerrufen ohne Angabe von Gründen

2.2 Nutzungsdaten

• Buchhaltungsdaten (Rechnungen, Belege, Transaktionen)
• Kundendaten (im Rahmen Ihrer Rechnungsstellung)
• Bankverbindungen (für Rechnungen)
• Zugriffsdaten (IP-Adresse, Browser, Zugriffszeiten)

2.3 Automatische Daten-Anreicherung (Sophie Lieferanten-Anreicherung)

Wenn Sie in BuchhaltGenie Lieferanten- oder Kundendaten eingeben, können diese automatisch durch Daten aus öffentlichen österreichischen Registern angereichert werden.

Zweck der Verarbeitung

Vereinfachte Datenerfassung, Fehlerminderung und UStG §11 Compliance (vollständige UID und Firmenbuchnummer für Rechnungen).

Datenquellen (Art. 14 Abs. 2 lit. f DSGVO)

• Firmenbuch (österreichisches Handelsregister) - betrieben vom Justizministerium
• Wirtschafts-Kompass API - Primärquelle für Unternehmensregisterdaten
• OpenFirmenbuch - Fallback-Quelle bei Ausfällen

Erhobene Datenkategorien (Art. 14 Abs. 1 lit. d DSGVO)

• Firmenname (exakt)
• Firmenbuchnummer (FN XXXXXX[a-z])
• UID-Nummer (ATU + 8 Ziffern)
• Rechtsform (GmbH, AG, e.U., etc.)
• Registrierte Geschäftsadresse
• Registrierungsdatum und Geschäftszweck
• Optional: Namen der Geschäftsführer (personenbezogene Daten)

Rechtsgrundlage (Art. 6 DSGVO)

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (korrekte Rechnungsstellung)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Fehlerminderung, UStG §11 Compliance)

Speicherdauer

• Angereicherte Daten: Solange Sie das Kundenkonto halten
• API-Cache: 24 Stunden TTL
• Audit-Logs (BAO §132): 7 Jahre

Widerspruchsrecht

Sie können der automatischen Anreicherung widersprechen unter: office@buchhaltgenie.at. Zukünftige Firmendaten werden dann nicht mehr automatisch angereichert. Bereits angereicherte Daten bleiben erhalten (gemäß BAO §132 - 7 Jahre Aufbewahrungspflicht).

3. Zweck der Datenverarbeitung

Ihre Daten werden ausschließlich für folgende Zwecke verarbeitet:

• Vertragserfüllung: Bereitstellung der Buchhaltungssoftware (Art. 6 Abs. 1 lit. b DSGVO)
• Rechtliche Verpflichtung: Erfüllung steuerrechtlicher Aufbewahrungspflichten nach §132 BAO (7 Jahre) (Art. 6 Abs. 1 lit. c DSGVO)
• Berechtigtes Interesse: Verbesserung der Software, Fehleranalyse, Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO)

4. Datenspeicherung & Sicherheit

Alle Daten werden verschlüsselt auf Servern in der EU (Frankfurt + Ireland) gespeichert. Wir nutzen folgende Sicherheitsmaßnahmen:

• 256-Bit SSL/TLS Verschlüsselung für alle Datenübertragungen
• Verschlüsselte Speicherung sensibler Daten
• Tägliche automatische Backups
• Zugriffskontrolle und Audit-Logs
• Automatisierte Sicherheitstests und Code-Reviews

Hosting: EU (Frankfurt + Ireland - Supabase, Vercel)
Aufbewahrungsdauer: 7 Jahre (§132 BAO) nach Ende der Geschäftsbeziehung

5. Weitergabe von Daten

Wir geben Ihre Daten nur in folgenden Fällen weiter:

5.1 Auftragsverarbeiter

Alle Auftragsverarbeiter wurden sorgfältig ausgewählt und sind vertraglich zur Einhaltung der DSGVO verpflichtet. Für alle Dienstleister stehen Auftragsverarbeitungsverträge (DPA) nach Art. 28 DSGVO zur Verfügung, die bei Bedarf angefordert und abgeschlossen werden können.

5.2 Datenübermittlung in Drittländer (USA)

5.3 Gesetzliche Verpflichtungen

Auf behördliche Anordnung (z.B. Betriebsprüfung, Gerichtsbeschluss) können wir verpflichtet sein, Daten an Behörden weiterzugeben.

6. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

• Art. 15 DSGVO - Auskunftsrecht: Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
• Art. 16 DSGVO - Berichtigungsrecht: Sie können unrichtige Daten korrigieren lassen. Berichtigungsanfrage stellen
• Art. 17 DSGVO - Löschungsrecht: Sie können die Löschung Ihrer Daten verlangen (außer bei gesetzlichen Aufbewahrungspflichten).
• Art. 18 DSGVO - Einschränkung der Verarbeitung: Sie können die Verarbeitung einschränken lassen.
• Art. 20 DSGVO - Datenportabilität: Sie erhalten Ihre Daten in einem strukturierten Format (CSV/JSON).
• Art. 21 DSGVO - Widerspruchsrecht: Sie können der Verarbeitung widersprechen.

Kontakt: Für alle DSGVO-Anfragen senden Sie eine E-Mail an datenschutz@buchhaltgenie.at. Wir beantworten diese innerhalb von 30 Tagen gemäß DSGVO Art. 12(3).

7. Cookies & Tracking

BuchhaltGenie verwendet Cookies gemäß § 174 TKG 2021 und Art. 6 DSGVO:

7.1 Technisch notwendige Cookies (keine Einwilligung erforderlich)

• Session-Cookies: Authentifizierung und Login-Verwaltung
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO | Speicherdauer: Session
• CSRF-Protection: Schutz vor Cross-Site-Request-Forgery-Angriffen
  Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO | Speicherdauer: Session
• Cookie-Consent (__Host-cookie-consent): Speichert Ihre Cookie-Einwilligung
  Rechtsgrundlage: § 174 TKG 2021 (technisch notwendig) | Speicherdauer: siehe 7.4

7.2 Funktionale Cookies (Einwilligung erforderlich)

• Google Analytics 4 (Google LLC): Anonymisierte Nutzungsstatistiken, Conversion-Tracking, Nutzerverhalten-Analyse, Google Ads Attribution
  Standort: USA (mit EU-Server-Option, primär Irland)
  Zweck: Website-Optimierung, Conversion-Tracking für Google Ads, Nutzerverhalten-Analyse zur Verbesserung der Benutzererfahrung
  Erfasst: Browser-Typ, Gerätetyp, Betriebssystem, Verweildauer, Seitenaufrufe, Klick-Ereignisse (alle Daten anonymisiert)
  IP-Anonymisierung: Automatisch durch GA4 (keine vollständigen IP-Adressen gespeichert)
  Speicherdauer: 14 Monate (in GA4 Dashboard konfiguriert, DSGVO Art. 5 Abs. 1 lit. e)
  Cookies:
  - _ga (2 Jahre): Persistente Nutzer-ID zur Unterscheidung von Website-Besuchern
  - _ga_<container-id> (2 Jahre): Property-spezifische Session/Nutzer-ID
  - _gid (24 Stunden): Unterscheidung von Nutzern innerhalb eines Tages
  - _gat (1 Minute): Drosselung der Anfragerate
  DSGVO-Absicherung: Standard-Vertragsklauseln (EU-Kommission), Google Consent Mode v2 (EU-Anforderung seit März 2024), Data Processing Terms automatisch inkludiert
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner) | Speicherdauer: siehe 7.4
  Website: policies.google.com/privacy

7.3 Marketing-Cookies (Einwilligung erforderlich)

• Meta Pixel / Facebook Pixel: Conversion-Tracking und personalisierte Werbung für Facebook/Instagram Kampagnen
  Standort: Irland (EU) + USA (Meta Platforms Inc.)
  Zweck: Erfassung von Wartelisten-Anmeldungen (Lead Events), Seitenaufrufen, Conversion-Tracking zur Optimierung unserer Facebook/Instagram Werbekampagnen
  Cookies:
  - _fbp (90 Tage): Browser-ID zur Identifizierung von Besuchern
  - fr (90 Tage): Werbe-Cookie zur Anzeigenauslieferung
  - _fbc (90 Tage): Click-ID für Kampagnen-Attribution
  Pre-Cookie-Blocking: Meta Pixel lädt NUR nach expliziter Einwilligung über die Kategorie „Marketing-Cookies" im Cookie-Banner (TKG §174 Abs. 1 Compliance)
  Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
  Website: facebook.com/privacy/policy

Marketing-Cookies werden nur gesetzt, wenn Sie im Cookie-Banner die Kategorie „Marketing-Cookies" explizit aktivieren. Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden.

7.4 Speicherdauer & Wiederholung

7.5 Widerruf Ihrer Einwilligung (DSGVO Art. 7 Abs. 3)

Sie können Cookies auch in Ihren Browser-Einstellungen deaktivieren. Dies kann jedoch die Funktionalität der Software einschränken (z.B. Login nicht möglich ohne Session-Cookies).

8. Sophie AI Chat-Daten

8.1 Speicherung von Konversationen

Wir speichern Ihre Chat-Konversationen mit Sophie AI zur Verbesserung der Servicequalität. Die Speicherdauer variiert je nach Konversationstyp:

8.2 Technische Architektur

Sophie AI nutzt eine Retrieval Augmented Generation (RAG) Architektur:

• Wissensbasis: Österreichische Steuergesetze (UStG, BAO, EStG, ASVG), Finanzamt-Richtlinien
• Keine Nutzerdaten in RAG: Die Wissensbasis enthält ausschließlich öffentliche Rechtsinformationen
• Serverstandort: EU (Frankfurt, Supabase) für Wissensbasis-Speicherung. Chat-Verarbeitung via Anthropic API (USA) mit EU-Standardvertragsklauseln nach Art. 46 DSGVO
• Verschlüsselung: TLS 1.3 für alle Übertragungen, AES-256 für gespeicherte Chat-Daten

8.3 EU AI Act Transparenz (Art. 52)

Gemäß EU AI Act (Verordnung (EU) 2024/1689) informieren wir Sie: Sophie ist ein KI-gestütztes Chatbot-System und keine menschliche Buchhaltungsexpertin. Die endgültige Verantwortung für alle Buchungen und steuerlichen Angaben liegt bei Ihnen. Detaillierte Informationen finden Sie unter KI-Transparenz.

8.4 Automatische Löschung

• Nach Ablauf der Aufbewahrungsfrist werden Konversationen automatisch gelöscht
• Der Löschvorgang erfolgt täglich um 02:00 UTC
• Sie werden nicht gesondert über die Löschung informiert

8.5 Ihre Rechte

• Auskunft (Art. 15): Sie können alle Ihre Konversationen einsehen
• Löschung (Art. 17): Sie können vorzeitige Löschung beantragen (außer bei Konversationen, die unter BAO §132 fallen)
• Export (Art. 20): Sie können Ihre Chat-Daten im JSON- oder CSV-Format exportieren

8.6 Kein Training von KI-Modellen

8.7 Besonderheiten während der Beta-Phase

Künstliche Intelligenz (KI)

KI-gestützte Funktionen im Überblick

BuchhaltGenie verwendet KI-Systeme in folgenden Bereichen:

KI-Anbieter und Datenweitergabe

Ihre Rechte bei KI-Verarbeitung

• Widerspruchsrecht (Art. 21 DSGVO): Sie können jeder KI-Funktion widersprechen und diese deaktivieren lassen. Kontakt: datenschutz@buchhaltgenie.at
• Auskunftsrecht (Art. 15 DSGVO): Sie können alle KI-Verarbeitungen (Sophie-Konversationen, OCR-Scans, Kategorisierungen) einsehen und exportieren
• Löschungsrecht (Art. 17 DSGVO): Vorzeitige Löschung von KI-Daten (außer steuerrelevante Daten mit BAO §132 7-Jahre-Aufbewahrungspflicht)
• Recht auf menschliche Überprüfung: Bei jeder KI-Ausgabe können Sie verlangen, dass ein Mensch (statt KI) Ihre Anfrage bearbeitet

10. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Wesentliche Änderungen werden wir Ihnen per E-Mail mitteilen.

11. Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren: