Version 1.4 – gültig ab 03. März 2026 · KontoCSV – https://kontocsv.de
Diese Erklärung informiert Sie gemäß Art. 12 – 14 DSGVO sowie § 25 TDDDG über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von KontoCSV.
1 Verantwortliche Stelle
Tom Abraham
Riemekestraße 118 · 33102 Paderborn · Deutschland
E-Mail support@kontocsv.de
(Derzeit < 20 Personen verarbeiten regelmäßig personenbezogene Daten – gem. § 38 BDSG ist kein Datenschutzbeauftragter zu benennen. Bei Fragen wenden Sie sich direkt an den Verantwortlichen.)
2 Begriffsbestimmungen
Es gelten die Definitionen aus Art. 4 DSGVO (z. B. „Verarbeitung", „personenbezogene Daten").
3 Hosting & Infrastruktur
| Dienst | Standort | Zweck | Rechtsgrundlage | Vertrag / Absicherung |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Region europe-west3 (Frankfurt a. M.) | Betrieb & Auslieferung von Website / API | Art. 6 Abs. 1 f | Cloud Data Processing Addendum (CDPA) inkl. SCC, akzeptiert 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Frankfurt) | Authentifizierung, Datenbank, Objekt-Storage | Art. 6 Abs. 1 b | AV-Vertrag + SCC |
| Supabase | eu-west3 / eu-west1 (Supabase / Storage) | Realtime-DB, Storage, Auth, Push-Mitteilungen | Art. 6 Abs. 1 b bzw. Art. 6 Abs. 1 f | Supabase Data-Processing-Terms + SCC, akzeptiert 10 · 06 · 2025 |
| Google Vertex AI / Gemini (Google Ireland Ltd.) | Region europe-west3 (Frankfurt a. M.) | KI-gestützte Analyse von PDF-Dokumenten | Art. 6 Abs. 1 b | Cloud Data Processing Addendum (CDPA) inkl. SCC |
| Render (Render Inc.) | Frankfurt (FRA) | Betrieb von Python-Backend und Dokumentverarbeitung | Art. 6 Abs. 1 f | Data Processing Agreement (DPA) + SCC |
| Stripe (Stripe Payments Europe Ltd.) | Irland | Zahlungsabwicklung | Art. 6 Abs. 1 b | Eigenverantwortlicher Dienst |
| Vercel Inc. | Frankfurt, eu-central-1 / fra1 | Frontend-Hosting, CDN, Serverless Functions | Art. 6 Abs. 1 f | DPA + SCC + EU-US DPF |
| Resend Inc. | Irland (eu-west-1) | Transaktions-E-Mails (Registrierung, Passwort-Reset) | Art. 6 Abs. 1 b | DPA + SCC |
| PostHog Inc. | EU (Frankfurt, AWS eu-central-1) | Web-Analyse, Seitenaufrufe, Klicks | Art. 6 Abs. 1 f | DPA + SCC |
| Sentry (Functional Software Inc.) | EU (Frankfurt) | Fehlerprotokollierung und technische Stabilitätsanalyse der Plattform | Art. 6 Abs. 1 f DSGVO | Data Processing Agreement (DPA) + Standardvertragsklauseln (SCC) |
Web-Analyse erfolgt cookieless ohne Cookies oder Local Storage (PostHog cookieless_mode). Es werden keine Analyse-Cookies gesetzt, kein Consent-Banner erforderlich.
4 Verarbeitungszwecke & Rechtsgrundlagen
| Verarbeitung | Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Aufruf der Website | IP-Adresse, User-Agent, Zeit, Referrer | Technische Bereitstellung & Security-Logs | Art. 6 Abs. 1 f |
| Registrierung / Login | E-Mail, Passwort-Hash, Session-Token | Vertragsdurchführung | Art. 6 Abs. 1 b |
| PDF-Upload & KI-Analyse | PDF-Inhalt, Metadaten | Umwandlung in CSV | Art. 6 Abs. 1 b |
| Zahlung | Name, E-Mail, Kartendaten | Vertragsdurchführung | Art. 6 Abs. 1 b |
| Realtime-Sync / Auth (Supabase) | Device-Token, App-ID, Ereignisdaten | Live-Status & Push-Benachrichtigungen | Art. 6 Abs. 1 f |
| Support-Kontakt | E-Mail, Nachricht | Bearbeitung Ihrer Anfrage | Art. 6 Abs. 1 f |
| Web-Analyse (PostHog, cookieless) | Anonymisierter Nutzer-Hash, Seitenaufrufe, Klicks | Produktverbesserung & Conversion-Optimierung | Art. 6 Abs. 1 f |
| Fehlerprotokolle (Sentry) | technische Fehlerdaten, Browsertyp, anonymisierte IP | Stabilität, Fehleranalyse und technische Verbesserung der Plattform | Art. 6 Abs. 1 f DSGVO |
| Cookies / Local Storage | Session- & CSRF-Token | Login-Persistenz | § 25 Abs. 2 Nr. 2 TDDDG i. V. m. Art. 6 Abs. 1 f |
Sentry wird ausschließlich zur technischen Fehleranalyse eingesetzt. Personenbezogene Daten werden nicht aktiv übermittelt.
Das Fehlermonitoring speichert keine Inhalte hochgeladener Dokumente. Finanzdaten, PDF-Inhalte und Transaktionsdaten werden niemals an Fehler-Monitoring-Dienste übertragen. Verarbeitet werden ausschließlich technische Fehler-Metadaten.
Es werden keine Analyse- oder Marketing-Cookies gesetzt. Die Web-Analyse erfolgt cookieless (PostHog cookieless_mode) ohne Cookies oder Local Storage; ein Consent-Banner ist daher nicht erforderlich.
5 KI-gestützte Verarbeitung & Drittlandübermittlung
Hochgeladene PDF-Seiten werden verschlüsselt an KI-Dienste übertragen, um Text und Dokumentstruktur automatisiert zu extrahieren.
- Google Gemini / Vertex AI (primär): Verarbeitung in Region europe-west3 (Frankfurt a. M.) innerhalb der Google Cloud Infrastruktur. Grundlage ist das Google Cloud Data Processing Addendum (CDPA) inkl. Standardvertragsklauseln (SCC).
- OpenAI (optionaler Fallback): Wird nur in technischen Ausnahmefällen verwendet; Verarbeitung in Irland/USA mit DPA 07 · 06 · 2025 inkl. SCC & EU-US DPF.
Für alle KI-Dienste gilt:
- Speicherdauer: max. 30 Tage (API-Retention).
- Training: API-Daten werden nicht zum Modell-Training verwendet.
- Automatisierte Entscheidungen: keine Entscheidungen i. S. v. Art. 22 DSGVO, nur regelbasierte Extraktion.
Supabase wird in EU-Rechenzentren betrieben. Die Verarbeitung erfolgt vollständig DSGVO-konform mit zusätzlichen technischen Maßnahmen (TLS 1.3, Zugangskontrolle).
6 Speicherfristen
| Datentyp | Löschung / Aufbewahrung |
|---|---|
| Server-Logs | 30 Tage |
| PDF-Dateien & Zwischenergebnisse | automatische Hard-Delete ≤ 7 Tage |
| Vertrags- & Rechnungsdaten | 10 Jahre (HGB, AO) |
| Support-Mails | ≤ 1 Jahr nach Abschluss |
| Session-Tokens | Löschung bei Kontolöschung oder Opt-out |
7 Technische & organisatorische Maßnahmen (TOM)
•TLS 1.3 End-to-End · AES-256 at rest
•Optionale CMEK-Verschlüsselung in Cloud Run & Supabase
•Rollen- & Rechtekonzept, MFA für Admin-Konten
•In-Memory-Verarbeitung + 7-Tage-Löschroutine
•Pen-Tests & Vulnerability-Scans mind. jährlich
•Subprocessor-Monitoring (15-Tage-Vorankündigung)
8 Ihre Rechte (Art. 15 – 22 DSGVO)
Sie können jederzeit Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch verlangen.
Self-Service im Dashboard:
- Daten exportieren (Art. 20): Unter Einstellungen → „Meine Daten exportieren" können Sie alle Ihre Daten als JSON-Datei herunterladen.
- Konto löschen (Art. 17): Unter Einstellungen → „Konto löschen" können Sie Ihr Konto und alle zugehörigen Daten unwiderruflich löschen.
Alternativ erreichen Sie uns per E-Mail: support@kontocsv.de
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z. B. BayLDA, Promenade 27, 91522 Ansbach).
9 Widerruf von Einwilligungen
Verarbeitungen, die auf Ihrer Einwilligung beruhen, können Sie jederzeit formlos widerrufen. Die Rechtmäßigkeit bisheriger Verarbeitungen bleibt unberührt.
10 Pflicht zur Bereitstellung von Daten
Für Registrierung, PDF-Upload und Zahlung sind E-Mail, Passwort und Zahlungsdaten erforderlich. Ohne diese Angaben ist eine Nutzung der kostenpflichtigen Dienste nicht möglich.
11 Änderungen dieser Erklärung
Wir aktualisieren diese Datenschutzerklärung, sobald sich Verfahren, Dienstleister oder Rechtslagen ändern. Aktuelle Version: https://kontocsv.de/datenschutz · Version 1.4 – gültig ab 03. März 2026.