Datenschutzerklärung
Verantwortlicher: betaform | Ole Beekmann · hallo@infetch.de
Rechtsgrundlage: Art. 13, 14 DSGVO
Stand: 19. Mai 2026
1. Verantwortlicher
betaform | Ole Beekmann
Glindersweg 34, 21029 Hamburg
Deutschland
E-Mail: hallo@infetch.de
2. Welche Daten wir verarbeiten und warum
2.1 Konto & Authentifizierung
| Daten | Zweck | Rechtsgrundlage | Dienstleister |
|---|---|---|---|
| E-Mail-Adresse, Anmeldezeitpunkt, Session-Token | Zugang zur Anwendung | Art. 6 Abs. 1 lit. b DSGVO | Supabase Inc. (US-Unternehmen; Datenhaltung in der EU/Frankfurt auf AWS. Drittlandgarantien: EU-U.S. Data Privacy Framework bzw. EU-Standardvertragsklauseln gem. Art. 46 DSGVO) |
2.2 Rechnungsverarbeitung
| Daten | Zweck | Rechtsgrundlage | Hinweis |
|---|---|---|---|
| E-Mail-Inhalte, PDF-Anhänge, extrahierte Felder (Anbieter, Betrag, Datum, Steuersatz) | Automatische Erkennung und Weiterleitung von Rechnungen | Art. 6 Abs. 1 lit. b DSGVO | Rechnungen können Namen natürlicher Personen enthalten. Diese werden ausschließlich zur Weiterleitung verarbeitet, nicht für andere Zwecke genutzt. |
2.3 KI-Extraktion (Mistral AI)
| Daten | Zweck | Dienstleister | Rechtsgrundlage |
|---|---|---|---|
| Textinhalt von Rechnungs-PDFs (kein Layout, keine Bilder) | Strukturierte Extraktion von Rechnungsdaten (Anbieter, Betrag, Datum) | Mistral AI SAS, Paris (Frankreich, EU) — Verarbeitung auf EU-Servern; Training-Opt-out abhängig vom genutzten API-Plan | Art. 6 Abs. 1 lit. b DSGVO |
2.4 Zahlungsabwicklung
| Daten | Zweck | Dienstleister | Rechtsgrundlage |
|---|---|---|---|
| E-Mail-Adresse, Zahlungsmittel (direkt an Stripe übermittelt, nicht bei uns gespeichert) | Abonnementzahlungen | Stripe Payments Europe Ltd. (Irland, EU) — PCI DSS zertifiziert | Art. 6 Abs. 1 lit. b DSGVO |
2.5 E-Mail-Benachrichtigungen
| Daten | Zweck | Dienstleister | Rechtsgrundlage |
|---|---|---|---|
| E-Mail-Adresse, Versandzeitpunkt | Systembenachrichtigungen (z. B. neue Rechnung erkannt) | Brevo SAS, Paris (Frankreich, EU) — ISO 27001 | Art. 6 Abs. 1 lit. b DSGVO |
2.6 Fehler-Monitoring
| Daten | Zweck | Dienstleister | Rechtsgrundlage |
|---|---|---|---|
| Anonymisierte Stack Traces, Browser-Typ, anonymisierte IP-Adresse | Technische Fehler erkennen und beheben | Self-hosted GlitchTip auf Hetzner-Server (Deutschland) — kein Drittlandtransfer | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Systemstabilität) |
Hinweis: Keine personenbezogenen Nutzerinhalte in Fehlerberichten. Das Fehler-Monitoring wird auf eigener Infrastruktur in Deutschland betrieben.
2.7 Hosting & Infrastruktur
| Dienstleister | Standort | Daten | Löschung |
|---|---|---|---|
| Hetzner Online GmbH, Gunzenhausen | Deutschland (Frankfurt) | Alle App-Daten, Server-Logfiles (IP, Zeitstempel, HTTP-Status) | Server-Logs: 7 Tage |
2.8 Logos (Brandfetch CDN)
Beim Laden von Anbieterlogos werden Anfragen an cdn.brandfetch.io gestellt. Dabei kann die IP-Adresse des Nutzers an Brandfetch (Schweiz) übertragen werden. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss gem. Art. 45 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Darstellungsfunktionalität).
3. Cookies und Speicher
Wir verwenden keine Tracking- oder Werbe-Cookies. Ein Cookie-Consent-Banner ist nicht erforderlich, da ausschließlich technisch notwendige Cookies eingesetzt werden.
| Cookie | Zweck | Laufzeit |
|---|---|---|
sb-* (Supabase) | Authentifizierungs-Session | Session / 1 Woche |
4. Speicherdauer und Löschung
| Datenkategorie | Löschfrist |
|---|---|
| Kontodaten | Mit Kündigung des Kontos |
| Rechnungen & Dateien | Mit Kündigung des Kontos oder auf Anfrage |
| Server-Logs | 7 Tage |
| Zahlungsdaten bei Stripe | Gemäß Stripe-Datenschutzrichtlinie (handelsrechtliche Aufbewahrungspflicht bis zu 10 Jahre) |
5. Weitergabe an Dritte
Nutzerdaten werden nicht verkauft. Weitergabe erfolgt ausschließlich an die oben genannten Auftragsverarbeiter, die vertraglich zur Einhaltung der DSGVO verpflichtet sind (→ AVV).
Mit den Auftragsverarbeitern Supabase, Brevo, Stripe und Hetzner bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO bzw. — bei Drittlandbezug — Standardvertragsklauseln nach Art. 46 DSGVO. Die jeweiligen Verträge sind über die Rechtsseiten der Anbieter abrufbar oder können bei uns angefordert werden (hallo@infetch.de).
Hinweis zu Mistral AI: Ein formeller Auftragsverarbeitungsvertrag (AVV/DPA) nach Art. 28 DSGVO ist bei Mistral AI ausschließlich im Rahmen kostenpflichtiger La Plateforme-Pläne verfügbar. Die KI-Verarbeitung erfolgt auf EU-Servern (Frankreich). Fragen zu Mistral-Verträgen richten Sie bitte direkt an mistral.ai/privacy.
6. Keine automatisierte Entscheidung im Einzelfall
Die KI-gestützte Erkennung und Vorklassifikation von Rechnungen ist eine reine Vorverarbeitung. Es findet keine automatisierte Entscheidung mit rechtlicher Wirkung oder vergleichbarer erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO statt; erkannte Rechnungen werden vor einer Weiterleitung nutzerseitig kontrolliert.
7. Betroffenenrechte
Betroffene Personen haben gegenüber uns folgende Rechte:
- Auskunft (Art. 15 DSGVO): Welche Daten verarbeitet werden
- Berichtigung (Art. 16 DSGVO): Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO): Recht auf Vergessenwerden
- Einschränkung (Art. 18 DSGVO): Verarbeitung einschränken lassen
- Datenportabilität (Art. 20 DSGVO): Daten in maschinenlesbarem Format
- Widerspruch (Art. 21 DSGVO): Gegen Verarbeitung auf Basis berechtigter Interessen
- Beschwerde bei einer Aufsichtsbehörde — zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Anfragen bitte an: hallo@infetch.de
8. Auftragsverarbeitung
Soweit wir Daten im Auftrag unserer Kunden verarbeiten, geschieht dies auf Grundlage eines Auftragsverarbeitungsvertrages (AVV) nach Art. 28 DSGVO.
→ AVV einsehen
9. Änderungen dieser Erklärung
Wir können diese Datenschutzerklärung bei wesentlichen Änderungen unserer Dienste aktualisieren. Das Datum der letzten Änderung ist oben angegeben.