Version 1.3 – gültig ab 10. Juni 2025 · KontoCSV – https://kontocsv.de
Diese Erklärung informiert Sie gemäß Art. 12 – 14 DSGVO sowie § 25 TTDSG über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von KontoCSV.
1 Verantwortliche Stelle
Hermann Hampel
Kreuzäckerstr. 7 · 85055 Ingolstadt · Deutschland
E-Mail support@kontocsv.de
(Derzeit < 20 Personen verarbeiten regelmäßig personenbezogene Daten – gem. § 38 BDSG ist kein Datenschutzbeauftragter zu benennen. Bei Fragen wenden Sie sich direkt an den Verantwortlichen.)
2 Begriffsbestimmungen
Es gelten die Definitionen aus Art. 4 DSGVO (z. B. „Verarbeitung", „personenbezogene Daten").
3 Hosting & Infrastruktur
| Dienst | Standort | Zweck | Rechtsgrundlage | Vertrag / Absicherung |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Region europe-west3 (Frankfurt a. M.) | Betrieb & Auslieferung von Website / API | Art. 6 Abs. 1 f | Cloud Data Processing Addendum (CDPA) inkl. SCC, akzeptiert 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Frankfurt) | Authentifizierung, Datenbank, Objekt-Storage | Art. 6 Abs. 1 b | AV-Vertrag + SCC |
| Supabase | eu-west3 / eu-west1 (Supabase / Storage) | Realtime-DB, Storage, Auth, Push-Mitteilungen | Art. 6 Abs. 1 b bzw. Art. 6 Abs. 1 f | Supabase Data-Processing-Terms + SCC, akzeptiert 10 · 06 · 2025 |
| OpenAI (OpenAI Ireland Ltd. / OpenAI LLC) | Irland · USA | KI-gestützte PDF-Analyse | Art. 6 Abs. 1 b | DPA 07 · 06 · 2025 inkl. SCC & EU-US DPF |
| Stripe (Stripe Payments Europe Ltd.) | Irland | Zahlungsabwicklung | Art. 6 Abs. 1 b | Eigenverantwortlicher Dienst |
4 Verarbeitungszwecke & Rechtsgrundlagen
| Verarbeitung | Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Aufruf der Website | IP-Adresse, User-Agent, Zeit, Referrer | Technische Bereitstellung & Security-Logs | Art. 6 Abs. 1 f |
| Registrierung / Login | E-Mail, Passwort-Hash, Session-Token | Vertragsdurchführung | Art. 6 Abs. 1 b |
| PDF-Upload & KI-Analyse | PDF-Inhalt, Metadaten | Umwandlung in CSV / XLSX | Art. 6 Abs. 1 b |
| Zahlung | Name, E-Mail, Kartendaten | Vertragsdurchführung | Art. 6 Abs. 1 b |
| Realtime-Sync / Auth (Supabase) | Device-Token, App-ID, Ereignisdaten | Live-Status & Push-Benachrichtigungen | Art. 6 Abs. 1 f |
| Support-Kontakt | E-Mail, Nachricht | Bearbeitung Ihrer Anfrage | Art. 6 Abs. 1 f |
| Cookies / Local Storage | Session- & CSRF-Token | Login-Persistenz | § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 f |
Es werden keine Analyse- oder Marketing-Cookies gesetzt → kein Consent-Banner erforderlich. Wenn zukünftig Analytics o. Ä. eingesetzt wird, erscheint ein Einwilligungsbanner.
5 KI-gestützte Verarbeitung & Drittlandübermittlung
Hochgeladene PDF-Seiten werden verschlüsselt an OpenAI übertragen, um Text & Struktur mittels Vision-Modell zu extrahieren.
- Rechtlicher Rahmen: Standardvertragsklauseln (SCC) + EU-US Data Privacy Framework, DPA 07 · 06 · 2025.
- Speicherdauer bei OpenAI: max. 30 Tage (API-Retention).
- Training: API-Daten werden nicht zum Modell-Training verwendet.
- Automatisierte Entscheidungen: keine Entscheidungen i. S. v. Art. 22 DSGVO, nur regelbasierte Extraktion.
Supabase wird in EU-Rechenzentren betrieben. Die Verarbeitung erfolgt vollständig DSGVO-konform mit zusätzlichen technischen Maßnahmen (TLS 1.3, Zugangskontrolle).
6 Speicherfristen
| Datentyp | Löschung / Aufbewahrung |
|---|---|
| Server-Logs | 30 Tage |
| PDF-Dateien & Zwischenergebnisse | automatische Hard-Delete ≤ 24 h |
| Vertrags- & Rechnungsdaten | 10 Jahre (HGB, AO) |
| Support-Mails | ≤ 1 Jahr nach Abschluss |
| Session-Tokens | Löschung bei Kontolöschung oder Opt-out |
7 Technische & organisatorische Maßnahmen (TOM)
•TLS 1.3 End-to-End · AES-256 at rest
•Optionale CMEK-Verschlüsselung in Cloud Run & Supabase
•Rollen- & Rechtekonzept, MFA für Admin-Konten
•In-Memory-Verarbeitung + 24-h-Löschroutine
•Pen-Tests & Vulnerability-Scans mind. jährlich
•Subprocessor-Monitoring (15-Tage-Vorankündigung)
8 Ihre Rechte (Art. 15 – 22 DSGVO)
Sie können jederzeit Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch verlangen. Kontakt: support@kontocsv.de.
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z. B. BayLDA, Promenade 27, 91522 Ansbach).
9 Widerruf von Einwilligungen
Verarbeitungen, die auf Ihrer Einwilligung beruhen, können Sie jederzeit formlos widerrufen. Die Rechtmäßigkeit bisheriger Verarbeitungen bleibt unberührt.
10 Pflicht zur Bereitstellung von Daten
Für Registrierung, PDF-Upload und Zahlung sind E-Mail, Passwort und Zahlungsdaten erforderlich. Ohne diese Angaben ist eine Nutzung der kostenpflichtigen Dienste nicht möglich.
11 Änderungen dieser Erklärung
Wir aktualisieren diese Datenschutzerklärung, sobald sich Verfahren, Dienstleister oder Rechtslagen ändern. Aktuelle Version: https://kontocsv.de/datenschutz · Stand 10 · 06 · 2025.