Version 1.3 – gültig ab 10. Juni 2025 · KontoCSV – https://kontocsv.de
Diese Erklärung informiert Sie gemäß Art. 12 – 14 DSGVO sowie § 25 TTDSG über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung von KontoCSV.
1 Verantwortliche Stelle
Hermann Hampel
Kreuzäckerstr. 7 · 85055 Ingolstadt · Deutschland
E-Mail support@kontocsv.de
(Derzeit < 20 Personen verarbeiten regelmäßig personenbezogene Daten – gem. § 38 BDSG ist kein Datenschutzbeauftragter zu benennen. Bei Fragen wenden Sie sich direkt an den Verantwortlichen.)
2 Begriffsbestimmungen
Es gelten die Definitionen aus Art. 4 DSGVO (z. B. „Verarbeitung", „personenbezogene Daten").
3 Hosting & Infrastruktur
| Dienst | Standort | Zweck | Rechtsgrundlage | Vertrag / Absicherung |
|---|---|---|---|---|
| Google Cloud Run (Google Ireland Ltd.) | Region europe-west3 (Frankfurt a. M.) | Betrieb & Auslieferung von Website / API | Art. 6 Abs. 1 f | Cloud Data Processing Addendum (CDPA) inkl. SCC, akzeptiert 10 · 06 · 2025 |
| Supabase (Supabase Inc.) | eu-central-1 (Frankfurt) | Authentifizierung, Datenbank, Objekt-Storage | Art. 6 Abs. 1 b | AV-Vertrag + SCC |
| Supabase | eu-west3 / eu-west1 (Supabase / Storage) | Realtime-DB, Storage, Auth, Push-Mitteilungen | Art. 6 Abs. 1 b bzw. Art. 6 Abs. 1 f | Supabase Data-Processing-Terms + SCC, akzeptiert 10 · 06 · 2025 |
| OpenAI (OpenAI Ireland Ltd. / OpenAI LLC) | Irland · USA | KI-gestützte PDF-Analyse | Art. 6 Abs. 1 b | DPA 07 · 06 · 2025 inkl. SCC & EU-US DPF |
| Stripe (Stripe Payments Europe Ltd.) | Irland | Zahlungsabwicklung | Art. 6 Abs. 1 b | Eigenverantwortlicher Dienst |
| Vercel Inc. | USA (Edge: Frankfurt) | Frontend-Hosting, CDN, Serverless Functions | Art. 6 Abs. 1 f | DPA + SCC + EU-US DPF |
| Resend Inc. | USA | Transaktions-E-Mails (Registrierung, Passwort-Reset) | Art. 6 Abs. 1 b | DPA + SCC |
4 Verarbeitungszwecke & Rechtsgrundlagen
| Verarbeitung | Daten | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Aufruf der Website | IP-Adresse, User-Agent, Zeit, Referrer | Technische Bereitstellung & Security-Logs | Art. 6 Abs. 1 f |
| Registrierung / Login | E-Mail, Passwort-Hash, Session-Token | Vertragsdurchführung | Art. 6 Abs. 1 b |
| PDF-Upload & KI-Analyse | PDF-Inhalt, Metadaten | Umwandlung in CSV / XLSX | Art. 6 Abs. 1 b |
| Zahlung | Name, E-Mail, Kartendaten | Vertragsdurchführung | Art. 6 Abs. 1 b |
| Realtime-Sync / Auth (Supabase) | Device-Token, App-ID, Ereignisdaten | Live-Status & Push-Benachrichtigungen | Art. 6 Abs. 1 f |
| Support-Kontakt | E-Mail, Nachricht | Bearbeitung Ihrer Anfrage | Art. 6 Abs. 1 f |
| Cookies / Local Storage | Session- & CSRF-Token | Login-Persistenz | § 25 Abs. 2 Nr. 2 TTDSG i. V. m. Art. 6 Abs. 1 f |
Es werden keine Analyse- oder Marketing-Cookies gesetzt → kein Consent-Banner erforderlich. Wenn zukünftig Analytics o. Ä. eingesetzt wird, erscheint ein Einwilligungsbanner.
5 KI-gestützte Verarbeitung & Drittlandübermittlung
Hochgeladene PDF-Seiten werden verschlüsselt an KI-Dienste übertragen, um Text & Struktur mittels Vision-Modell zu extrahieren. Wir nutzen folgende Anbieter:
- Google Gemini / Vertex AI (primär): Verarbeitung in Region europe-west4 (Niederlande). Google Cloud DPA inkl. SCC.
- OpenAI (alternativ): Irland/USA mit DPA 07 · 06 · 2025 inkl. SCC & EU-US DPF.
Für alle KI-Dienste gilt:
- Speicherdauer: max. 30 Tage (API-Retention).
- Training: API-Daten werden nicht zum Modell-Training verwendet.
- Automatisierte Entscheidungen: keine Entscheidungen i. S. v. Art. 22 DSGVO, nur regelbasierte Extraktion.
Supabase wird in EU-Rechenzentren betrieben. Die Verarbeitung erfolgt vollständig DSGVO-konform mit zusätzlichen technischen Maßnahmen (TLS 1.3, Zugangskontrolle).
6 Speicherfristen
| Datentyp | Löschung / Aufbewahrung |
|---|---|
| Server-Logs | 30 Tage |
| PDF-Dateien & Zwischenergebnisse | automatische Hard-Delete ≤ 7 Tage |
| Vertrags- & Rechnungsdaten | 10 Jahre (HGB, AO) |
| Support-Mails | ≤ 1 Jahr nach Abschluss |
| Session-Tokens | Löschung bei Kontolöschung oder Opt-out |
7 Technische & organisatorische Maßnahmen (TOM)
•TLS 1.3 End-to-End · AES-256 at rest
•Optionale CMEK-Verschlüsselung in Cloud Run & Supabase
•Rollen- & Rechtekonzept, MFA für Admin-Konten
•In-Memory-Verarbeitung + 7-Tage-Löschroutine
•Pen-Tests & Vulnerability-Scans mind. jährlich
•Subprocessor-Monitoring (15-Tage-Vorankündigung)
8 Ihre Rechte (Art. 15 – 22 DSGVO)
Sie können jederzeit Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch verlangen.
Self-Service im Dashboard:
- Daten exportieren (Art. 20): Unter Einstellungen → „Meine Daten exportieren" können Sie alle Ihre Daten als JSON-Datei herunterladen.
- Konto löschen (Art. 17): Unter Einstellungen → „Konto löschen" können Sie Ihr Konto und alle zugehörigen Daten unwiderruflich löschen.
Alternativ erreichen Sie uns per E-Mail: support@kontocsv.de
Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (z. B. BayLDA, Promenade 27, 91522 Ansbach).
9 Widerruf von Einwilligungen
Verarbeitungen, die auf Ihrer Einwilligung beruhen, können Sie jederzeit formlos widerrufen. Die Rechtmäßigkeit bisheriger Verarbeitungen bleibt unberührt.
10 Pflicht zur Bereitstellung von Daten
Für Registrierung, PDF-Upload und Zahlung sind E-Mail, Passwort und Zahlungsdaten erforderlich. Ohne diese Angaben ist eine Nutzung der kostenpflichtigen Dienste nicht möglich.
11 Änderungen dieser Erklärung
Wir aktualisieren diese Datenschutzerklärung, sobald sich Verfahren, Dienstleister oder Rechtslagen ändern. Aktuelle Version: https://kontocsv.de/datenschutz · Stand 13 · 01 · 2026.