Datenschutzerklärung
Information über die Verarbeitung personenbezogener Daten nach Art. 13 und 14 DSGVO, § 25 TTDSG sowie § 26 BDSG-neu.
1. Verantwortlicher
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist:
Sichtbarmacher GbRAugust-Lösch-Straße 6
89522 Heidenheim
Deutschland
Vertreten durch: Markus Engelmann, Daniel Frischling
E-Mail: sichtbarmacher@web.de
Telefon: 0151 26860918
Wir haben keinen Datenschutzbeauftragten bestellt, da die gesetzlichen Schwellen nach § 38 BDSG-neu nicht erreicht werden. Bei Fragen zum Datenschutz wenden Sie sich bitte direkt an die oben genannte Kontaktadresse.
2. Zwecke und Rechtsgrundlagen der Verarbeitung
2.1 Bereitstellung der Website
Beim Aufruf unserer Website werden vom Webserver automatisch Server-Logs gespeichert (IP-Adresse, Datum/Uhrzeit, abgerufene URL, HTTP-Statuscode, Referer, User-Agent). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen, sicheren Betrieb). Speicherdauer: 14 Tage.
2.2 Registrierung und Nutzung des Dienstes
Für die Nutzung von EffizienzBerater verarbeiten wir folgende Pflichtangaben:
- E-Mail-Adresse (für Authentifizierung und Kontaktaufnahme)
- Passwort (gespeichert als Bcrypt-Hash, nicht im Klartext)
- Tarif-Auswahl und Abrechnungsstatus
- Hochgeladene Belege/Dokumente und ihre KI-extrahierten Inhalte
Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Daten werden gelöscht, sobald sie für die Vertragserfüllung nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungsfristen entgegenstehen (z. B. § 147 AO, § 257 HGB — bis zu 10 Jahre für steuerlich relevante Belege).
2.3 KI-gestützte Auswertung von Belegen
Hochgeladene Belege werden zur automatisierten Datenextraktion an Anthropic, PBC (USA) übermittelt. Anthropic verarbeitet die Inhalte ausschließlich im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO und garantiert vertraglich, dass übermittelte Inhalte nicht zum Training von KI-Modellen verwendet werden (siehe Anthropic Commercial Terms).
Die Übermittlung in die USA stützt sich auf Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Sie können der KI-gestützten Auswertung jederzeit widersprechen — in diesem Fall ist die Nutzung der Hauptfunktion des Dienstes nicht möglich.
2.4 E-Mail-Kommunikation
Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben zur Beantwortung Ihrer Anfrage und für Anschlussfragen gespeichert (Art. 6 Abs. 1 lit. f DSGVO). Versand erfolgt über Resend, Inc. (USA); siehe Sub-Auftragsverarbeiter unten.
3. Speicherung und Cookies
Wir setzen technisch notwendige Cookies und localStorage-Einträge ein, um den Login-Status und Theme-Einstellungen zu speichern. Eine Einwilligung nach § 25 Abs. 2 Nr. 2 TTDSG ist nicht erforderlich, da die Speicherung unbedingt erforderlich ist, um den vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen.
Wir verwenden kein Tracking, kein Analytics und keine Werbe-Cookies. Daher gibt es keinen Cookie-Banner.
4. Sub-Auftragsverarbeiter
Folgende Dienstleister verarbeiten in unserem Auftrag personenbezogene Daten (Art. 28 DSGVO). Mit allen Sub-Auftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung; bei Übermittlung in Drittländer wurden zusätzliche Garantien (Standardvertragsklauseln) vereinbart.
| Anbieter | Zweck | Land | Rechtsgrundlage |
|---|---|---|---|
| Anthropic, PBC | KI-gestützte Auswertung hochgeladener Belege (Claude-API) | USA | Art. 28 DSGVO (Auftragsverarbeitung) i.V.m. Art. 46 DSGVO (Standardvertragsklauseln). Trainings-Ausschluss vertraglich zugesichert. |
| Railway Corp. | Hosting der Anwendung und Datenbank | Niederlande (Server-Standort), USA (Unternehmenssitz) | Art. 28 DSGVO. Server-Region europe-west4 (Eemshaven, NL); Datenverarbeitung erfolgt ausschließlich in der EU. |
| Resend, Inc. | Versand transaktionaler E-Mails (Verifikation, Benachrichtigungen) | USA | Art. 28 DSGVO i.V.m. Art. 46 DSGVO (Standardvertragsklauseln). |
5. Übermittlung an externe Content-Delivery-Netzwerke
Die App-Oberfläche unter /app bindet aktuell folgende Drittanbieter-
Ressourcen ein. Beim Laden dieser Ressourcen wird Ihre IP-Adresse an den
jeweiligen Anbieter übermittelt. Wir arbeiten an einer Self-Hosting-Lösung, um
diese Übermittlungen zu vermeiden (siehe interner Findings-Eintrag F-33).
| Anbieter | Ressource | Land |
|---|---|---|
| Google LLC | Google Fonts (Geist, Inter) | USA |
| Cloudflare, Inc. | cdnjs (pdf.js) | USA |
| jsDelivr / Fastly | PptxGenJS, jszip | USA |
| Cloudflare, Inc. (unpkg) | lucide Icons | USA |
| Tailwind Labs / Cloudflare | Tailwind Play CDN | USA |
| Microsoft Corp. | MSAL Browser (Outlook-Login) | USA |
Rechtsgrundlage ist derzeit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionalen, performanten Anwendung). Bei Übermittlung in die USA gelten Standardvertragsklauseln; das Schutzniveau entspricht trotz Schrems II-Rechtsprechung nicht zwingend dem EU-Niveau.
6. Speicherort der Anwendungsdaten
Anwendungs- und Datenbankdaten werden bei Railway Corp. in der
Region europe-west4 (Eemshaven, Niederlande) gespeichert. Es findet
keine Daten-Speicherung außerhalb der EU statt; lediglich die KI-Auswertung
(Anthropic) und der E-Mail-Versand (Resend) erfolgen außerhalb der EU
(siehe Tabelle oben).
7. Ihre Rechte
Sie haben gegenüber uns folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO)
Ein Lösch-Knopf in den Account-Einstellungen ermöglicht die vollständige Selbstlöschung des Kontos inklusive aller hochgeladenen Belege.
8. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-WürttembergKönigstraße 10a, 70173 Stuttgart
Internet: https://www.baden-wuerttemberg.datenschutz.de/
9. Datensicherheit
Wir verwenden HTTPS (TLS 1.2+) für die Übertragung. Passwörter werden mit Bcrypt gehasht. Verifikations-Codes werden zeitlich befristet und nach Gebrauch gelöscht. Authentifizierung erfolgt per JWT mit kurzer Lebensdauer.
10. Änderungen dieser Datenschutzerklärung
Wir passen diese Erklärung an, wenn sich die Verarbeitungstätigkeiten oder die Rechtslage ändern. Die jeweils aktuelle Version finden Sie stets auf dieser Seite. Im Falle wesentlicher Änderungen werden registrierte Nutzer per E-Mail informiert.