Steuerbeleg

Datenschutz

Steuerbeleg UG (haftungsbeschränkt) — Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Steuerbeleg UG (haftungsbeschränkt) [PLATZHALTER: Straße + Hausnummer] 48151 Münster Deutschland

Vertretungsberechtigte Geschäftsführung: [PLATZHALTER: Name(n)] Registergericht: Amtsgericht Münster, HRB [PLATZHALTER] Umsatzsteuer-ID: [PLATZHALTER]

E-Mail: [email protected] Telefon: [PLATZHALTER]

Datenschutzbeauftragter

Wir haben aktuell keinen Datenschutzbeauftragten benannt. Nach § 38 Abs. 1 BDSG besteht für Unternehmen mit weniger als 20 Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, keine gesetzliche Bestellpflicht. Bis dahin erreichen Sie unsere internen Datenschutzansprechpartner unter [email protected].

2. Allgemeine Hinweise

2.1 Geltungsbereich

Diese Datenschutzerklärung gilt für:

  • die Marketing-Website steuerbeleg.com
  • die Web-Anwendung app.steuerbeleg.com
  • die native iOS-Anwendung "Steuerbeleg", erhältlich unter steuerbeleg.app

2.2 Rechtsgrundlagen im Überblick

Wir verarbeiten personenbezogene Daten ausschließlich auf Basis einer der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z. B. Newsletter)
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (z. B. Beleg-Verarbeitung)
  • Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. steuer- und handelsrechtliche Aufbewahrungspflichten)
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (z. B. funktionaler Cookie)

3. Beim Besuch der Website

Beim Aufruf werden automatisch Informationen in Server-Logs gespeichert:

  • IP-Adresse, Datum und Uhrzeit, abgerufene Datei, übertragene Datenmenge
  • HTTP-Statuscode, Browsertyp und -version, Betriebssystem, Referrer

Zweck: Sicherstellung eines reibungslosen Verbindungsaufbaus, Abwehr von Angriffen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Speicherdauer: IP-Adressen werden maximal 7 Tage gespeichert.

Empfänger: Cloudflare als technischer Dienstleister (siehe Abschnitt 11).

4. Cookies

4.1 Technisch notwendige Cookies

In der Web-App verwenden wir ausschließlich technisch notwendige Session-Cookies für den eingeloggten Bereich.

Der Cookie enthält keinen User-Identifier, keine IP-Adresse und keine Tracking-Information.

4.2 Warum kein Cookie-Banner?

§ 25 Abs. 2 Nr. 2 TDDDG sieht vor, dass für Cookies, die unbedingt erforderlich sind, keine Einwilligung eingeholt werden muss. Da es sich um einen reinen Funktionscookie handelt (keine Reichweitenmessung, kein Tracking, keine Werbung), verzichten wir auf ein Consent-Banner.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 lit. f DSGVO.

4.3 Cookies in der App

In der eingeloggten Web-App verwenden wir technisch notwendige Session-Cookies, die nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei sind.

5. Reichweitenanalyse mit Plausible Analytics

Wir nutzen Plausible Analytics (Plausible Insights OÜ, Tartu, Estland) — eine datenschutzfreundliche Alternative zu Tracking-Diensten:

  • Keine Cookies, kein Local Storage, kein Fingerprinting.
  • Keine persönliche Wiedererkennung.
  • Daten-Verarbeitung ausschließlich in der EU.
  • Keine Übermittlung an Drittländer.
  • IP-Adressen werden nicht gespeichert.

Erhobene Daten: Aufgerufene Seite, Referrer, Land/Region (grob), Browser, OS, Gerätetyp.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

6. Newsletter

6.1 Anmeldung und Double-Opt-In

Wenn Sie unseren Newsletter abonnieren, erheben wir:

  • E-Mail-Adresse (Pflichtangabe)
  • Zeitpunkt der Anmeldung und Bestätigung
  • IP-Adresse zum Zeitpunkt der Anmeldung (zur Dokumentation)

Die Anmeldung erfolgt im Double-Opt-In-Verfahren.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Technische Umsetzung: Cloudflare Worker mit D1 (Region: EU), Versand über Resend (EU-Region Irland).

Widerruf: Jederzeit per Abmeldelink in jeder Newsletter-Ausgabe oder formlos an [email protected].

Speicherdauer: Bis zum Widerruf; nach Abmeldung max. 3 Jahre in Sperrliste (Art. 6 Abs. 1 lit. f DSGVO).

7. Demo-Buchung

Auf der Seite /demo verarbeiten wir die Formulardaten:

  • Name, E-Mail-Adresse, optional Telefon, Unternehmen, Wunschtermin, Anliegen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme).

Speicherdauer: Max. 90 Tage nach Termin, sofern keine vertragliche Beziehung entsteht.

8. Account-Registrierung und Login

Für die Nutzung der Web-App und der iOS-App ist ein Nutzerkonto erforderlich. Wir erheben:

  • E-Mail-Adresse (Login)
  • Passwort — gespeichert als Argon2id-Hash mit individuellem Salt (niemals Klartext)
  • optional: Name, Anzeigename, Rolle
  • Zeitstempel von Registrierung und letztem Login
  • IP-Adresse des letzten Logins (Sicherheit)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b und f DSGVO.

Technische Umsetzung: Better-Auth auf eigener EU-Infrastruktur.

9. Verarbeitung von Beleg-Daten (Kerngeschäft)

9.1 Welche Daten enthalten Belege?

  • Daten der Belegaussteller: Firmenname, Anschrift, Steuernummer, USt-ID, Bankverbindung
  • Daten der Belegempfänger: Name/Firma, Anschrift, Kundennummer
  • Inhaltliche Belegdaten: Datum, Beträge, Positionen
  • Bewirtungs-/Reisekostenbelege: Namen, Anlass, Reisedaten
  • ggf. Bankdaten, IBAN/BIC

Insbesondere enthalten Belege oft personenbezogene Daten Dritter. Die Informationspflicht nach Art. 14 DSGVO obliegt Ihnen als Verantwortlichem.

9.2 Technische Verarbeitung

Schritt Verarbeitung Ort
Upload Web-App, iOS-App, Mail-Inbox TLS 1.3-verschlüsselt
Originaldatei Verschlüsselte Ablage Cloudflare R2 Frankfurt (EU)
OCR + Extraktion KI-Modelle (Anthropic Claude, Google Gemini) EU → USA (Anthropic / Google)
Strukturierte Daten PostgreSQL Frankfurt (EU)
Datentrennung Row-Level Security (RLS) EU
Export DATEV, CSV, PDF EU

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; für Daten Dritter (z. B. Lieferantendaten auf Belegen) Art. 6 Abs. 1 lit. f DSGVO.

9.3 Daten-Souveränität und Export

Ihre Daten gehören Ihnen.

  • Vollexport jederzeit (Original-PDFs + strukturierte Daten DATEV/CSV).
  • Datenübertragbarkeit nach Art. 20 DSGVO.
  • Keine Weitergabe an Dritte zu Werbe- oder Profiling-Zwecken.
  • Keine Nutzung Ihrer Belegdaten für eigene Produktentwicklung über das vertraglich Erforderliche hinaus.

10. KI-Verarbeitung

Für die OCR-Erkennung und Vorkontierung setzen wir KI-Sprachmodelle verschiedener Anbieter ein. Je nach Beleg und Verarbeitungskontext wird eines der folgenden Modelle genutzt:

  • Anthropic Claude (Anthropic, PBC, San Francisco, USA)
  • Google Gemini (Google LLC, Mountain View, USA)

10.1 Was wird übermittelt?

An die jeweilige KI-API übermitteln wir:

  • den Beleg-Inhalt (Bild- bzw. PDF-Datei oder extrahierten Text)
  • ggf. Kontext aus Ihrem Account (z. B. Kontenrahmen)

Nicht übermittelt: Login-Daten, vollständige Belege-Historie ohne Anlass, Daten anderer Nutzer.

10.2 Verarbeitungsort

Beide KI-Anbieter verarbeiten in Rechenzentren in den USA. Wir weisen auf das Restrisiko hin, dass trotz aller Schutzmaßnahmen das EU-Datenschutzniveau bei US-Übermittlungen aus rechtlicher Sicht nicht vollständig garantiert werden kann (FISA 702, CLOUD Act).

10.3 Kein Training auf Ihren Daten

Weder Anthropic noch Google verwenden Daten aus kommerziellen API-Anfragen für das Training ihrer Modelle. Beide Anbieter löschen Daten nach kurzen, betrieblich notwendigen Zeiträumen.

Ihre Belegdaten werden zu keinem Zeitpunkt zum KI-Training verwendet — weder von uns noch von unseren Subprozessoren.

10.4 Drittlandübermittlung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Die Übermittlung in die USA stützt sich auf:

  1. EU-Standardvertragsklauseln (SCC) im jeweiligen Data Processing Addendum
  2. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
  3. EU-US Data Privacy Framework (Anthropic und Google zertifiziert; Status laufend geprüft)
  4. Technische Schutzmaßnahmen (Verschlüsselung, Zugriffsbegrenzung)

11. Subprozessoren

Dienst Anbieter Zweck Verarbeitungsort Drittlandbasis
R2-Storage, CDN, Edge, KV, DDoS-Schutz Cloudflare, Inc. (San Francisco, USA; EU: Cloudflare Germany GmbH, München) Beleg-Originaldateien (EU/Frankfurt), Auslieferung, Newsletter, Schutz EU (Frankfurt) für R2; sonst global mit Edge primär EU SCC + DPF + Cloudflare DPA
KI-Beleg-Erkennung Anthropic, PBC (548 Market St PMB 90375, San Francisco, USA) OCR, Vorkontierung (Claude) USA SCC + DPF + Anthropic DPA, kein Training
KI-Beleg-Erkennung Google LLC (1600 Amphitheatre Pkwy, Mountain View, USA) OCR, Vorkontierung (Gemini) USA SCC + DPF + Google DPA, kein Training
Datenbank-Hosting [PLATZHALTER: z. B. Hetzner, Scaleway] Account- und Belegdaten EU (Frankfurt) AVV; kein Drittlandtransfer
Web-Analyse Plausible Insights OÜ (Tartu, Estland) Anonyme Reichweitenmessung EU AVV; kein Drittlandtransfer
Mail-Versand [PLATZHALTER: Resend / EU-Anbieter] System-Mails, Newsletter EU oder USA SCC + DPA (sofern USA)
iOS App-Distribution Apple Inc. (Cupertino, USA) App Store, APNs USA SCC + DPF

Aktualisierungen mit mindestens 30 Tagen Vorlauf an aktive Kunden.

12. Ihre Rechte als betroffene Person

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
  • Recht, nicht ausschließlich automatisierten Entscheidungen unterworfen zu werden (Art. 22 DSGVO) — unsere KI-Vorschläge sind keine automatisierten Entscheidungen, da die Buchung stets durch Sie freigegeben wird.

Zur Ausübung genügt eine formlose Mail an [email protected].

13. Speicherdauer und das Verhältnis von Löschungsrecht zu GoBD-Aufbewahrungspflichten

13.1 Buchhaltungsbelege: Spannungsverhältnis zur Aufbewahrungspflicht

Für Belegdaten besteht ein Spannungsverhältnis zwischen Art. 17 DSGVO (Löschung) und den steuer- und handelsrechtlichen Aufbewahrungspflichten:

  • § 147 Abs. 1 und 3 AO: 10 Jahre für Buchungsbelege, Bücher, Jahresabschlüsse
  • § 257 Abs. 1 und 4 HGB: 10 Jahre für Handelsbücher, Buchungsbelege
  • GoBD: Unveränderbarkeit und Nachvollziehbarkeit

Diese Pflichten gehen dem Löschungsanspruch nach Art. 17 Abs. 3 lit. b DSGVO vor. Wir überführen Belege bei Bedarf in einen revisionssicheren Archiv-Status (Art. 18 DSGVO Einschränkung) — kein Zugriff für aktive Suchen, Auswertungen oder KI-Verarbeitung.

13.2 Konkrete Speicher-/Löschfristen

Datenkategorie Speicherdauer
Server-Logs (IP) 7 Tage
Session-Cookies (App) Sitzungsdauer
Plausible-Aggregate bis 24 Monate
Demo-Anfragen max. 90 Tage nach Termin
Newsletter-Abo bis Widerruf; Sperrliste max. 3 Jahre
Account-Daten für Vertragsdauer + 30 Tage Karenz
Belegdaten 10 Jahre nach Ablauf des Kalenderjahrs (§ 147 AO, § 257 HGB)
Vertrags- und Rechnungsdaten 10 Jahre (§ 14b UStG, § 147 AO)
Auskunfts-Dokumentation 3 Jahre

13.3 Account-Löschung

Sie können Ihren Account jederzeit löschen. Aufbewahrungspflichtige Daten werden in den Archiv-Modus überführt, alle anderen gelöscht oder anonymisiert. Auf Wunsch erhalten Sie zuvor einen Vollexport.

14. Datenübermittlung an Drittländer

Wie in 10 und 11 erläutert, übermitteln wir in folgende Drittländer:

  • USA — Anthropic (KI), Google (KI), Cloudflare (Verwaltungsfunktionen), Apple (App Store)

Grundlagen:

  1. EU-Standardvertragsklauseln (2021/914)
  2. EU-US Data Privacy Framework (Angemessenheitsbeschluss 10.07.2023)
  3. Vertragliche Zusagen der Auftragsverarbeiter
  4. Technische Schutzmaßnahmen

Restrisiken aus US-Überwachungsgesetzen (FISA 702, CLOUD Act) bestehen — wir minimieren durch Datensparsamkeit, Verschlüsselung und Anbieterauswahl.

15. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns örtlich zuständig:

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) Kavalleriestraße 2–4 40213 Düsseldorf Telefon: +49 (0) 211 / 38 424 - 0 E-Mail: [email protected] Web: https://www.ldi.nrw.de

16. Datensicherheit

16.1 Verschlüsselung

  • TLS 1.2/1.3 für alle Verbindungen
  • AES-256 für Belege in R2 und Datenbank-Inhalte
  • Argon2id für Passwort-Hashes

16.2 Datentrennung

  • PostgreSQL Row-Level Security (RLS) — beweisbare Nutzerisolation
  • Separate Speicher-Präfixe pro Nutzer

16.3 Zugriffskontrolle und Audit

  • Rollen- und Berechtigungssystem
  • Audit-Log sicherheitsrelevanter Aktionen
  • 2FA-Pflicht für Administrator-Accounts
  • Need-to-know-Prinzip für interne Zugriffe

16.4 Backup

Regelmäßige verschlüsselte Backups in der EU mit definierten RTO/RPO.

16.5 Datenschutzverletzungen

Meldung an die Aufsichtsbehörde innerhalb 72 Stunden (Art. 33 DSGVO), Benachrichtigung Betroffener bei Risiko (Art. 34 DSGVO).

17. Aktualisierungen

Diese Erklärung wird angepasst, wenn sich die Datenverarbeitung ändert. Aktuelle Fassung stets unter https://steuerbeleg.com/datenschutz. Wesentliche Änderungen kommunizieren wir aktiv mit angemessenem Vorlauf.

Stand: Mai 2026 — vor Go-Live durch Datenschutzberatung prüfen lassen.