🚀 Q1 2026 - Jetzt registrieren!

Mehr erfahren →
Start
Zum Hauptinhalt springen

Datenschutzerklärung

Stand: 22.12.2025 | Gemäß DSGVO (EU-Datenschutz-Grundverordnung)

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Website und in der Software BuchhaltGenie:

Bernhard Götzendorfer

Rittingergasse 15/11

1210 Wien, Österreich

E-Mail: office@buchhaltgenie.at
Datenschutz: office@buchhaltgenie.at

Als Kleinunternehmer gemäß § 6 Abs. 1 Z 27 UStG nicht umsatzsteuerpflichtig (keine UID-Nummer erforderlich).
Datenschutzbeauftragter: Nicht erforderlich für Ein-Personen-Unternehmen (EPU) ohne Mitarbeiter gemäß DSGVO Art. 37 Abs. 1.

2. Erhobene Daten

Wir verarbeiten folgende personenbezogene Daten:

2.1 Registrierungsdaten

  • Name und Vorname
  • E-Mail-Adresse
  • Firmendaten (Firmenname, UID-Nummer, Adresse)
  • Telefonnummer (optional)

2.1.1 Newsletter-Anmeldung

Wenn Sie unseren Newsletter abonnieren, verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • Zeitstempel der Anmeldung
  • IP-Adresse (zum Zeitpunkt der Anmeldung)
  • Browser-Informationen (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Zweck: Versand von Marketing-E-Mails und Newsletter mit Informationen über BuchhaltGenie, neue Funktionen und Angebote.

Speicherdauer: Ihre E-Mail-Adresse wird gespeichert, bis Sie Ihre Einwilligung widerrufen. Sie können sich jederzeit über den Link in jeder Newsletter-E-Mail oder direkt über unsere Abmelde-Seite abmelden.

Widerrufsrecht: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Verantwortlicher: BuchhaltGenie (siehe Kontaktdaten im Impressum)

2.1.2 Magic Link Authentication (Passwortloses Anmelden)

Wenn Sie die passwortlose Anmeldung via Magic Link nutzen, verarbeiten wir folgende Daten:

  • E-Mail-Adresse
  • Login-Zeitstempel (Anforderung des Links und Verwendung)
  • IP-Adresse (gehashed mit SHA-256 für Datenschutz)
  • Browser-Informationen (User-Agent)
  • Einmalig verwendbarer Login-Token (automatisch gelöscht nach 1 Stunde)

Was ist Magic Link? Ein passwortloses Anmeldeverfahren. Sie erhalten einen Einmal-Login-Link per E-Mail, der 1 Stunde gültig ist und nur einmal verwendet werden kann.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung - Authentifizierung ist notwendig für Zugang zur Buchhaltungssoftware)

Zweck: Sichere und nutzerfreundliche Authentifizierung ohne Passwort. Schutz vor Passwort-Kompromittierung und Phishing-Angriffen.

Speicherdauer:

  • Login-Token: Automatische Löschung nach 1 Stunde (oder nach Verwendung, je nachdem was früher eintritt)
  • Login-Audit-Trail: 7 Jahre (BAO §132 - österreichische Aufbewahrungspflicht für geschäftliche Aufzeichnungen)
  • E-Mail-Zustellstatus: 90 Tage (technische Logs zur Fehlerdiagnose)

Auftragsverarbeiter: Supabase (EU/Frankfurt) für Authentifizierung, Resend (USA) für E-Mail-Versand (siehe Abschnitt 5.1 Auftragsverarbeiter)

Sicherheit: Links sind einmalig verwendbar, zeitlich begrenzt (1 Stunde) und werden an Ihre registrierte E-Mail-Adresse gesendet. IP-Adressen werden gehashed (SHA-256) gespeichert zur Minimierung personenbezogener Daten.

Ihre Rechte: Sie können jederzeit zwischen Magic Link, E-Mail/Passwort oder Google OAuth wählen. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

2.1.3 Google OAuth Authentication

Wenn Sie sich mit Ihrem Google-Konto bei BuchhaltGenie anmelden, werden folgende Daten von Google verarbeitet und an BuchhaltGenie übermittelt:

  • E-Mail-Adresse (von Google)
  • Name (aus Ihrem Google-Profil)
  • Profilbild (falls in Ihrem Google-Profil vorhanden)
  • Eindeutige Google-Benutzer-ID (zur Zuordnung zu Ihrem BuchhaltGenie-Konto)
  • Google OAuth Access Token und Refresh Token (zur Authentifizierung)
  • Zeitstempel der Authentifizierung
  • IP-Adresse (von Google erfasst)

Wie funktioniert Google OAuth?

Sie werden zu Google weitergeleitet, wo Sie sich in Ihren Google-Account anmelden. Nach erfolgreicher Authentifizierung sendet Google BuchhaltGenie ein Token, das Ihre Identität bestätigt. Ihr Passwort wird nicht an BuchhaltGenie übermittelt.

Datenverarbeiter: Google Ireland Limited

Verarbeiter: Google Ireland Limited, Gordon House, 4 Barrow Street, Dublin D04 E5W5, Irland (für EU/EWR-Nutzer)

Sitz des Mutterunternehmens: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Google-Datenschutzrichtlinie: policies.google.com/privacy

Rechtsgrundlage

Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse)

Die Verarbeitung erfolgt zu unserem berechtigten Interesse, sichere und benutzerfreundliche Anmeldeverfahren anzubieten. Google OAuth ist:

  • Sicherer als Passwörter (2FA durch Google automatisch verfügbar)
  • Nutzerfreundlich (Single Sign-On, kein zusätzliches Passwort nötig)
  • Standard im Geschäftskontext (87% aller SaaS-Anwendungen nutzen OAuth)
  • Branchenweit bewährt für sichere Authentifizierung

Ihre Interessen als Nutzer werden durch folgende Maßnahmen geschützt:

  • Sie haben immer die Wahl: Sie können alternativ E-Mail/Passwort oder Magic Link nutzen
  • Keine Datennutzung durch Google: Google nutzt diese Daten nicht für Werbezwecke
  • Standard Contractual Clauses (SCCs): Google Ireland Limited nutzt EU-Datenschutz-Standardklauseln für die Datenverarbeitung
  • Google Consent Mode v2: Ihre Cookie-Einwilligung wird respektiert

Zweck der Verarbeitung

Zweck: Sichere und nutzerfreundliche Authentifizierung für den Zugang zur BuchhaltGenie-Anwendung.

Nicht-Zwecke: Wir nutzen Google OAuth-Daten nicht für:

  • Marketing oder Werbung
  • Profiling oder automatisierte Entscheidungsfindung
  • Weitergabe an Dritte (außer technisch erforderliche Processor)
  • Kombinieren mit anderen Datenquellen (z.B. Google Analytics)

Speicherdauer

  • Google OAuth Tokens (Access/Refresh): Solange Sie einen aktiven BuchhaltGenie-Account haben. Wird bei Account-Löschung sofort widerrufen.
  • Google-Benutzer-ID & Email: 7 Jahre (BAO §132 - österreichische Aufbewahrungspflicht für Nutzungsprotokoll und Authentifizierungsaudit)
  • Authentifizierungsaudit-Trail (Logs): 7 Jahre (BAO §132)
  • Profilbild: In unserem System nur wenn Sie es auch für andere Anwendungen hochgeladen haben

Token-Verwaltung & Sicherheit

Access Token: Kurzzeitig (ca. 1 Stunde Gültigkeit), wird bei jeder Authentifizierung erneuert.

Refresh Token: Wird verschlüsselt in der Datenbank gespeichert (AES-256) und nur zur Token-Erneuerung verwendet. Sie können diesen Token jederzeit durch Änderung Ihres Google-Kontopassworts widerrufen.

Token-Speicherort: Supabase PostgreSQL-Datenbank (Frankfurt, EU). Tokens werden mit AES-256 verschlüsselt und sind für unbefugte Zugriffe unlesbar.

Ihre Rechte bei Google OAuth

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können erfragen, welche Daten wir von Google über Sie gespeichert haben
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können falsche Daten korrigieren
  • Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Google OAuth Authentifizierung widersprechen und stattdessen andere Methoden nutzen
  • Recht auf Vergessenwerden (Art. 17 DSGVO): Sie können Ihren Account löschen, wodurch alle Google OAuth Tokens sofort widerrufen werden
  • Token-Widerruf: Jederzeit durch Disconnecting im Google Account unter Einstellungen → Sicherheit → Apps mit Zugriff auf Ihr Konto

Wie Sie Google OAuth widerrufen können:

  1. Gehen Sie zu myaccount.google.com/connections
  2. Wählen Sie "BuchhaltGenie" aus der Liste
  3. Klicken Sie "Zugriff entfernen"
  4. In BuchhaltGenie: Ihr Account bleibt erhalten, Sie können sich danach mit E-Mail/Passwort oder Magic Link anmelden

Datenschutz-Absprachen mit Google

Standard Contractual Clauses (SCCs): Google Ireland Limited nutzt die von der EU-Kommission genehmigten Standard Contractual Clauses zur DSGVO-konformen Datenverarbeitung.

Google DPA: Details zur Datenverarbeitung durch Google finden Sie unter:

Besonderheiten für österreichische Nutzer

Als österreichischer EPU sind wir an folgende Vorschriften gebunden:

  • DSGVO: Sie gelten als EU-Resident mit allen Rechten gemäß DSGVO
  • Datenschutzbehörde: Österreichische Datenschutzbehörde ( dsb.gv.at)
  • BAO §132: Ihr Authentifizierungsaudit wird 7 Jahre aufbewahrt (nicht nur 90 Tage)
  • E-Commerce-Richtlinie: Sie können OAuth widerrufen ohne Angabe von Gründen

2.2 Nutzungsdaten

  • Buchhaltungsdaten (Rechnungen, Belege, Transaktionen)
  • Kundendaten (im Rahmen Ihrer Rechnungsstellung)
  • Bankverbindungen (für Rechnungen)
  • Zugriffsdaten (IP-Adresse, Browser, Zugriffszeiten)

2.3 Automatische Daten-Anreicherung (Sophie Lieferanten-Anreicherung)

Wenn Sie in BuchhaltGenie Lieferanten- oder Kundendaten eingeben, können diese automatisch durch Daten aus öffentlichen österreichischen Registern angereichert werden.

Zweck der Verarbeitung

Vereinfachte Datenerfassung, Fehlerminderung und UStG §11 Compliance (vollständige UID und Firmenbuchnummer für Rechnungen).

Datenquellen (Art. 14 Abs. 2 lit. f DSGVO)

  • Firmenbuch (österreichisches Handelsregister) - betrieben vom Justizministerium
  • Wirtschafts-Kompass API - Primärquelle für Unternehmensregisterdaten
  • OpenFirmenbuch - Fallback-Quelle bei Ausfällen

Erhobene Datenkategorien (Art. 14 Abs. 1 lit. d DSGVO)

  • Firmenname (exakt)
  • Firmenbuchnummer (FN XXXXXX[a-z])
  • UID-Nummer (ATU + 8 Ziffern)
  • Rechtsform (GmbH, AG, e.U., etc.)
  • Registrierte Geschäftsadresse
  • Registrierungsdatum und Geschäftszweck
  • Optional: Namen der Geschäftsführer (personenbezogene Daten)

Rechtsgrundlage (Art. 6 DSGVO)

  • Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (korrekte Rechnungsstellung)
  • Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse (Fehlerminderung, UStG §11 Compliance)

Speicherdauer

  • Angereicherte Daten: Solange Sie das Kundenkonto halten
  • API-Cache: 24 Stunden TTL
  • Audit-Logs (BAO §132): 7 Jahre

Widerspruchsrecht

Sie können der automatischen Anreicherung widersprechen unter: office@buchhaltgenie.at. Zukünftige Firmendaten werden dann nicht mehr automatisch angereichert. Bereits angereicherte Daten bleiben erhalten (gemäß BAO §132 - 7 Jahre Aufbewahrungspflicht).

3. Zweck der Datenverarbeitung

Ihre Daten werden ausschließlich für folgende Zwecke verarbeitet:

  • Vertragserfüllung: Bereitstellung der Buchhaltungssoftware (Art. 6 Abs. 1 lit. b DSGVO)
  • Rechtliche Verpflichtung: Erfüllung steuerrechtlicher Aufbewahrungspflichten nach §132 BAO (7 Jahre) (Art. 6 Abs. 1 lit. c DSGVO)
  • Berechtigtes Interesse: Verbesserung der Software, Fehleranalyse, Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO)

4. Datenspeicherung & Sicherheit

Alle Daten werden verschlüsselt auf Servern in der EU (Frankfurt + Ireland) gespeichert. Wir nutzen folgende Sicherheitsmaßnahmen:

  • 256-Bit SSL/TLS Verschlüsselung für alle Datenübertragungen
  • Verschlüsselte Speicherung aller sensiblen Daten (AES-256)
  • Tägliche automatische Backups
  • Zugriffskontrolle und Audit-Logs
  • Regelmäßige Sicherheitsaudits

Hosting: EU (Frankfurt + Ireland - Supabase, Vercel)
Aufbewahrungsdauer: 7 Jahre (§132 BAO) nach Ende der Geschäftsbeziehung

5. Weitergabe von Daten

Wir geben Ihre Daten nur in folgenden Fällen weiter:

5.1 Auftragsverarbeiter

Supabase (PostgreSQL-Datenbank, Authentifizierung, Speicher)

Standort: EU (Frankfurt, Deutschland)
Zweck: Datenbank-Hosting, Nutzer-Authentifizierung, Dokumentenspeicherung
DSGVO-Absicherung: EU-Server, Auftragsverarbeitungsvertrag (DPA) vorhanden
Website: supabase.com/legal/dpa

Vercel (Frontend-Hosting, Content Delivery)

Standort: EU (Frankfurt, Deutschland) + globales Edge-Netzwerk
Zweck: Hosting der Web-Anwendung, Content Delivery
DSGVO-Absicherung: Primär EU-Server, DPA vorhanden
Website: vercel.com/legal/dpa

KI-Dienstleister (Sophie AI, OCR-Verarbeitung)

Standort: EU (Belgien)
EU-Infrastruktur: Google Vertex AI (europe-west4, Belgien), Vercel AI Gateway
Zweck: KI-gestützte Belegerkennung (OCR), Sophie AI Chat-Assistent für Buchhaltungsfragen
Modelle: Gemini 3 Flash (OCR), Claude Sonnet 4.5 (Chat), Fallback via OpenRouter EU
Datenverwendung: Kommerzielle API-Nutzung - Daten werden NICHT zum Training verwendet
Speicherdauer: Keine dauerhafte Speicherung bei Drittanbietern
DSGVO-Absicherung: 100% EU-Datenverarbeitung, Standard-Vertragsklauseln
Zusätzliche Maßnahmen: Verschlüsselung (TLS 1.3 in Transit, AES-256 at Rest), Zero Data Retention

Resend (E-Mail-Versand)

Standort: USA
Zweck: Transaktions-E-Mails (Registrierung, Passwort-Reset, Magic Link Authentication, Benachrichtigungen)
Speicherdauer: Automatische Löschung nach 90 Tagen nach Kontobeendigung
DSGVO-Absicherung: Standard-Vertragsklauseln (EU-Kommission), DPA vorhanden
Website: resend.com/legal/dpa

Stripe (Zahlungsabwicklung) - GEPLANT

Status: Noch nicht aktiv, geplant für zukünftige Abonnement-Zahlungen
Standort: EU (Dublin) + USA
Zweck: Kreditkarten- und Bankzahlungen
DSGVO-Absicherung: PCI-DSS Level 1 zertifiziert, Standard-Vertragsklauseln
Website: stripe.com/privacy-center

Wirtschafts-Kompass (Firmenbuch-Abfragen)

Standort: Österreich
Zweck: Firmenbuch-Abfragen für Lieferanten-Anreicherung (Sophie AI)
Erfasste Daten: Firmenname, Firmenbuchnummer, UID-Nummer, Rechtsform, Geschäftsadresse
DSGVO-Absicherung: Österreichischer Anbieter, öffentliche Registerdaten, Auftragsverarbeitungsvertrag (DPA) vorhanden
Website: wirtschaftskompass.at

Google Ireland Limited (Google Analytics 4)

Standort: Irland (EU) + USA (Google LLC)
Zweck: Anonymisierte Nutzungsstatistiken, Conversion-Tracking, Nutzerverhalten-Analyse für Website-Optimierung und Google Ads Attribution
Erfasst: Browser-Typ, Gerätetyp, Betriebssystem, Verweildauer, Seitenaufrufe, Klick-Ereignisse (anonymisiert)
IP-Anonymisierung: Automatisch durch GA4 (keine vollständigen IP-Adressen gespeichert)
Speicherdauer: 14 Monate (in GA4 Dashboard konfiguriert)
Cookies: _ga (2 Jahre), _ga_<id> (2 Jahre), _gid (24 Stunden), _gat (1 Minute)
DSGVO-Absicherung: Standard-Vertragsklauseln (EU-Kommission), Google Consent Mode v2 (EU-Anforderung seit März 2024), Data Processing Terms automatisch inkludiert
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner)
Website: policies.google.com/privacy | Data Processing Terms

Meta Platforms Ireland Limited (Meta Pixel / Facebook Pixel)

Standort: Irland (EU) + USA (Meta Platforms Inc.)
Zweck: Conversion-Tracking für Facebook/Instagram Ads, Optimierung von Werbekampagnen, Zielgruppen-Analyse, Retargeting
Erfasst: Seitenaufrufe (PageView), Wartelisten-Anmeldungen (Lead Event), Browser-Typ, Gerätetyp, IP-Adresse (gekürzt), Referrer-URL, Button-Klicks
Pixel ID: 25295415483388354
Events: PageView (automatisch), Lead (bei Wartelisten-Anmeldung mit ?fromSignup=true Parameter)
IP-Kürzung: Automatisch durch Meta (letzte Oktette entfernt)
Speicherdauer: 90 Tage für Event-Daten (Meta Business Manager), Cookies bis zu 2 Jahre
Cookies: _fbp (90 Tage), fr (90 Tage), _fbc (90 Tage)
Pre-Cookie-Blocking: Meta Pixel lädt NUR nach expliziter Einwilligung über Cookie-Banner (TKG §174 Abs. 1 Compliance)
DSGVO-Absicherung: Standard-Vertragsklauseln (EU-Kommission), Data Processing Addendum erforderlich
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner) + Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kampagnen-Optimierung)
Widerspruchsrecht: Sie können der Nutzung von Meta Pixel widersprechen, indem Sie im Cookie-Banner auf "Ablehnen" klicken oder Ihre Cookie-Einstellungen ändern
Opt-Out: facebook.com/privacy/policy | Werbe-Einstellungen
Website: facebook.com/privacy/policy | Business Tools Terms

Alle Auftragsverarbeiter wurden sorgfältig ausgewählt und sind vertraglich zur Einhaltung der DSGVO verpflichtet. Für alle Dienstleister stehen Auftragsverarbeitungsverträge (DPA) nach Art. 28 DSGVO zur Verfügung, die bei Bedarf angefordert und abgeschlossen werden können.

5.2 Datenübermittlung in Drittländer (USA)

Wichtiger Hinweis zu USA-Transfers:

Einige unserer Dienstleister (Anthropic, Resend, Google LLC) haben ihren Sitz in den USA. Für diese Datenübermittlungen in Drittländer verwenden wir die von der EU-Kommission genehmigten Standard-Vertragsklauseln nach Art. 46 DSGVO.

Zusätzliche Schutzmaßnahmen:

  • Pseudonymisierung personenbezogener Daten vor Übertragung
  • Ende-zu-Ende-Verschlüsselung (TLS 1.3)
  • Datenminimierung (nur erforderliche Daten werden übertragen)
  • Automatische Löschung bei Anthropic nach 30 Tagen
  • Keine Verwendung für KI-Training (kommerzielle API-Nutzung)

Weitere Informationen zu den Garantien und Schutzmaßnahmen erhalten Sie unter: office@buchhaltgenie.at

5.3 Gesetzliche Verpflichtungen

Auf behördliche Anordnung (z.B. Betriebsprüfung, Gerichtsbeschluss) können wir verpflichtet sein, Daten an Behörden weiterzugeben.

6. Ihre Rechte (DSGVO)

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Art. 15 DSGVO - Auskunftsrecht: Sie können jederzeit Auskunft über Ihre gespeicherten Daten verlangen.
  • Art. 16 DSGVO - Berichtigungsrecht: Sie können unrichtige Daten korrigieren lassen.
  • Art. 17 DSGVO - Löschungsrecht: Sie können die Löschung Ihrer Daten verlangen (außer bei gesetzlichen Aufbewahrungspflichten).
  • Art. 18 DSGVO - Einschränkung der Verarbeitung: Sie können die Verarbeitung einschränken lassen.
  • Art. 20 DSGVO - Datenportabilität: Sie erhalten Ihre Daten in einem strukturierten Format (CSV/JSON).
  • Art. 21 DSGVO - Widerspruchsrecht: Sie können der Verarbeitung widersprechen.

Kontakt: Senden Sie Ihre Anfrage an office@buchhaltgenie.at. Wir beantworten diese innerhalb von 30 Tagen.

7. Cookies & Tracking

BuchhaltGenie verwendet Cookies gemäß § 174 TKG 2021 und Art. 6 DSGVO:

7.1 Technisch notwendige Cookies (keine Einwilligung erforderlich)

  • Session-Cookies: Authentifizierung und Login-Verwaltung
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO | Speicherdauer: Session
  • CSRF-Protection: Schutz vor Cross-Site-Request-Forgery-Angriffen
    Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO | Speicherdauer: Session
  • Cookie-Consent (__Host-cookie-consent): Speichert Ihre Cookie-Einwilligung
    Rechtsgrundlage: § 174 TKG 2021 (technisch notwendig) | Speicherdauer: siehe 7.4

7.2 Funktionale Cookies (Einwilligung erforderlich)

  • Vercel Analytics & Speed Insights: Anonymisierte Nutzungsstatistiken und Performance-Metriken (Core Web Vitals: LCP, FID, CLS, TTFB, FCP, INP)
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) | Speicherdauer: siehe 7.4
    Keine personenbezogenen Daten, keine IP-Adressen, DSGVO-konform, EU-Server
    Erfasst werden: Browser-Typ, Betriebssystem, Performance-Metriken (anonymisiert)
    A/B-Testing: Wir nutzen A/B-Testing zur Optimierung unserer Website. Dabei werden anonymisierte Daten über Ihr Nutzungsverhalten erfasst (Seitenaufrufe, Button-Klicks, Conversions). Diese Daten werden nur mit Ihrer Einwilligung erhoben und dienen der Verbesserung der Benutzererfahrung. Die Variant-Zuweisung erfolgt über einen Cookie (30 Tage Laufzeit). Keine personenbezogenen Daten werden erfasst.
  • Google Analytics 4 (Google LLC): Anonymisierte Nutzungsstatistiken, Conversion-Tracking, Nutzerverhalten-Analyse, Google Ads Attribution
    Standort: USA (mit EU-Server-Option, primär Irland)
    Zweck: Website-Optimierung, Conversion-Tracking für Google Ads, Nutzerverhalten-Analyse zur Verbesserung der Benutzererfahrung
    Erfasst: Browser-Typ, Gerätetyp, Betriebssystem, Verweildauer, Seitenaufrufe, Klick-Ereignisse (alle Daten anonymisiert)
    IP-Anonymisierung: Automatisch durch GA4 (keine vollständigen IP-Adressen gespeichert)
    Speicherdauer: 14 Monate (in GA4 Dashboard konfiguriert, DSGVO Art. 5 Abs. 1 lit. e)
    Cookies:
    - _ga (2 Jahre): Persistente Nutzer-ID zur Unterscheidung von Website-Besuchern
    - _ga_<container-id> (2 Jahre): Property-spezifische Session/Nutzer-ID
    - _gid (24 Stunden): Unterscheidung von Nutzern innerhalb eines Tages
    - _gat (1 Minute): Drosselung der Anfragerate
    DSGVO-Absicherung: Standard-Vertragsklauseln (EU-Kommission), Google Consent Mode v2 (EU-Anforderung seit März 2024), Data Processing Terms automatisch inkludiert
    Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung über Cookie-Banner) | Speicherdauer: siehe 7.4
    Website: policies.google.com/privacy

7.3 Marketing-Cookies (Einwilligung erforderlich)

Aktuell werden keine Marketing-Cookies verwendet. Sollten wir in Zukunft Marketing-Cookies einsetzen, werden Sie darüber informiert und um Einwilligung gebeten.

7.4 Speicherdauer & Wiederholung

Bei AKZEPTANZ von Cookies:
Ihre Einwilligung wird für 24 Monate gespeichert. Sie werden in dieser Zeit nicht erneut gefragt (EDPB Guidelines 05/2020).

Bei ABLEHNUNG von Cookies:
Ihre Ablehnung wird für 3 Monate gespeichert. Danach erscheint der Cookie-Banner erneut, falls Sie Ihre Meinung ändern möchten. Dies dient Ihrer Wahlfreiheit und stellt sicher, dass Sie informiert bleiben.

7.5 Widerruf Ihrer Einwilligung (DSGVO Art. 7 Abs. 3)

Sie können Ihre Cookie-Einwilligung jederzeit widerrufen:

  • Als ausgeloggter User: Klicken Sie auf "Cookie-Einstellungen" im Footer jeder Seite
  • Als eingeloggter User: Öffnen Sie Einstellungen → Daten → "Cookie & Analytics Einstellungen"
  • Manuell: Löschen Sie den Cookie "__Host-cookie-consent" in Ihren Browser-Einstellungen

Nach Widerruf: Keine neuen Analytics-Daten werden erfasst. Bereits erhobene Daten bleiben anonymisiert gespeichert (7 Jahre BAO §132).

Sie können Cookies auch in Ihren Browser-Einstellungen deaktivieren. Dies kann jedoch die Funktionalität der Software einschränken (z.B. Login nicht möglich ohne Session-Cookies).

8. Sophie AI Chat-Daten

8.1 Speicherung von Konversationen

Wir speichern Ihre Chat-Konversationen mit Sophie AI zur Verbesserung der Servicequalität. Die Speicherdauer variiert je nach Konversationstyp:

Übersicht der Konversationsspeicherung nach Typ
KonversationstypSpeicherdauerRechtsgrundlage
Allgemeine Fragen30 TageDSGVO Art. 6(1)(b) - Vertragserfüllung
Support365 TageDSGVO Art. 6(1)(b) - Vertragserfüllung
Steuer/Rechnung7 JahreBAO §132 - gesetzliche Aufbewahrungspflicht

8.2 Technische Architektur

Sophie AI nutzt eine Retrieval Augmented Generation (RAG) Architektur:

  • Wissensbasis: Österreichische Steuergesetze (UStG, BAO, EStG, ASVG), Finanzamt-Richtlinien
  • Keine Nutzerdaten in RAG: Die Wissensbasis enthält ausschließlich öffentliche Rechtsinformationen
  • Serverstandort: EU (Netherlands/Frankfurt) - keine Übertragung außerhalb der EU für RAG-Verarbeitung
  • Verschlüsselung: TLS 1.3 für alle Übertragungen, AES-256 für gespeicherte Chat-Daten

8.3 EU AI Act Transparenz (Art. 52)

Gemäß EU AI Act (Verordnung (EU) 2024/1689) informieren wir Sie: Sophie ist ein KI-gestütztes Chatbot-System und keine menschliche Buchhaltungsexpertin. Die endgültige Verantwortung für alle Buchungen und steuerlichen Angaben liegt bei Ihnen. Detaillierte Informationen finden Sie unter KI-Transparenz.

8.4 Automatische Löschung

  • Nach Ablauf der Aufbewahrungsfrist werden Konversationen automatisch gelöscht
  • Der Löschvorgang erfolgt täglich um 02:00 UTC
  • Sie werden nicht gesondert über die Löschung informiert

8.5 Ihre Rechte

  • Auskunft (Art. 15): Sie können alle Ihre Konversationen einsehen
  • Löschung (Art. 17): Sie können vorzeitige Löschung beantragen (außer bei Konversationen, die unter BAO §132 fallen)
  • Export (Art. 20): Sie können Ihre Chat-Daten im JSON- oder CSV-Format exportieren

8.6 Kein Training von KI-Modellen

Ihre Chat-Konversationen werden NICHT verwendet für:

  • Training von KI-Modellen
  • Analyse-Zwecke Dritter
  • Weitergabe an FinanzOnline oder andere Behörden

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vertraglich vereinbarten Dienstleistungen.

9. Änderungen der Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren. Wesentliche Änderungen werden wir Ihnen per E-Mail mitteilen.

10. Beschwerderecht

Sie haben das Recht, sich bei der österreichischen Datenschutzbehörde zu beschweren:

Österreichische Datenschutzbehörde

Barichgasse 40-42

1030 Wien

Web: www.dsb.gv.at

Fragen zum Datenschutz?

Kontaktieren Sie den Verantwortlichen direkt: office@buchhaltgenie.at

Hinweis: Als EPU ohne Mitarbeiter ist kein Datenschutzbeauftragter gesetzlich erforderlich. Alle Datenschutzanfragen werden direkt vom Inhaber bearbeitet.