Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist:

Emilio Irmscher
Max-Saupe-Straße 41
09131 Chemnitz
Deutschland
E-Mail: datenschutz@belegschmied.de

2. Welche Daten wir verarbeiten

Wenn du Belegschmiede nutzt, verarbeiten wir folgende Daten:

• Stammdaten deines Workspaces: Firmenname, Anschrift, USt-IdNr., Steuer-Nr., IBAN, BIC, Logo (du gibst sie selbst ein).
• Account-Daten: E-Mail-Adresse, Authentifizierungs-Token (Supabase Auth), optional Passwort-Hash, optional Google-OAuth-Identifier.
• Rechnungsdaten: Inhalte deiner ein- und ausgehenden Rechnungen (PDFs, XML, extrahierte Felder), Mail-Metadaten (Absender, Empfänger, Betreff, Zeitstempel).
• Bewegungsdaten: Aktionen in der App (Audit-Log), Statusänderungen, IP-Adresse + User-Agent beim Login (für Sicherheitsprüfung).
• Inhalte deiner Mails, die du an unsere Inbox-Adressen schickst — inklusive Empfänger- und Absender-Adressen deiner Geschäftspartner.

3. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Verarbeitung deiner Rechnungs- und Stammdaten zur Bereitstellung des Dienstes.
• Art. 6 Abs. 1 lit. c DSGVO — Gesetzliche Pflicht: 10-Jahres-Aufbewahrung nach §147 AO / GoBD.
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen: Sicherheits-Logging, Missbrauchs-Erkennung.
• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung: optional bei Newsletter o.ä. (derzeit nicht genutzt).

4. Auftragsverarbeiter

Wir nutzen folgende Dienstleister mit Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO):

Bei Übermittlung in Drittländer (insb. USA) erfolgt der Schutz durch EU Standard Contractual Clauses bzw. das EU-US Data Privacy Framework.

5. Speicherdauer

• Account-Daten: bis zur Kündigung, danach 30 Tage Quarantäne, dann gelöscht.
• Rechnungsdaten und Audit-Log: 10 Jahre gemäß §147 AO (handels- und steuerrechtliche Aufbewahrung). Anschließend gelöscht.
• Roh-Mails im Eingang: 90 Tage für Fehler-Analyse, dann automatisch gelöscht (die erzeugte ZUGFeRD-PDF bleibt im 10-Jahres-Archiv).
• Login-/Security-Logs: 90 Tage.

6. KI-Verarbeitung

Zur Extraktion von Rechnungsdaten aus PDFs übertragen wir das PDF an Anthropic (Claude Sonnet). Anthropic verarbeitet die Daten ausschließlich zur Beantwortung der API-Anfrage und nutzt sie laut Datenschutzerklärung des Anbieters nicht zum Training. Du kannst diese Verarbeitung nur durch Nicht-Nutzung von Belegschmiede vermeiden — sie ist Teil der Vertragsleistung.

7. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies:

• sb-access-token, sb-refresh-token — Authentifizierung (Session).
• workspace-redirect — kurzzeitige Redirect-Speicherung beim Login (max. 10 Minuten).

Es werden keine Tracking-, Analyse- oder Werbe-Cookies gesetzt. Daher ist auch kein Consent-Banner erforderlich.

8. Deine Rechte

Gegenüber uns als Verantwortlichen hast du folgende Rechte:

• Auskunft über deine gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unzutreffender Daten (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO) — vorbehaltlich gesetzlicher Aufbewahrungspflichten
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 DSGVO)

Anfragen bitte an datenschutz@belegschmied.de.

9. Beschwerderecht

Du kannst dich jederzeit bei der zuständigen Datenschutz-Aufsichtsbehörde beschweren:

Sächsischer Datenschutzbeauftragter
Bernhard-von-Lindenau-Platz 1
01067 Dresden
E-Mail: saechsdsb@slt.sachsen.de
Telefon: +49 351 85471-101

10. Datensicherheit

Die Übertragung erfolgt verschlüsselt (TLS 1.2+). Daten ruhen verschlüsselt im EU-Storage. Zugriff auf personenbezogene Daten nur auf Need-to-know-Basis, Logging über Zugriffe. Anhänge mit Schadcode werden gescannt und nicht verarbeitet.

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Erklärung anzupassen, wenn Funktionen oder Anbieter sich ändern. Wesentliche Änderungen kündigen wir mindestens 30 Tage vorab per E-Mail an.