Datenschutzerklärung
BillCraft - Cloudbasierte Rechnungssoftware
Betreiber: Elias Ratt, Erdbergstraße 150/1/26-27, 1030 Wien, Österreich
Stand: Mai 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG):
Elias Ratt
Erdbergstraße 150/1/26-27
1030 Wien, Österreich
E-Mail: datenschutz@billcraft.app
Website: https://billcraft.app
Service: https://app.billcraft.app
2. Datenschutzbeauftragter
Eine Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich. Bei Fragen zum Datenschutz wenden Sie sich bitte an: datenschutz@billcraft.app
3. Überblick über die Datenverarbeitung
BillCraft verarbeitet personenbezogene Daten ausschließlich im Einklang mit der DSGVO und dem DSG. Die Verarbeitung erfolgt stets auf Basis einer Rechtsgrundlage gemäß Art. 6 DSGVO.
4. Rechtsgrundlagen der Verarbeitung
- Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für optionale Funktionen wie Newsletter, Marketing-Cookies.
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Bereitstellung des Service, Kontoverwaltung, Zahlungsabwicklung.
- Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Für steuerrechtliche Aufbewahrungspflichten.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Für Sicherheitsmaßnahmen, Fehlerbehebung, Optimierung des Service.
5. Welche Daten wir erheben
5.1 Registrierung und Kontodaten
Bei der Registrierung und Nutzung erheben wir:
| Datenkategorie | Daten | Rechtsgrundlage |
|---|---|---|
| Pflichtdaten | Vorname, Nachname, E-Mail-Adresse | Art. 6 Abs. 1 lit. b |
| Optionale Profildaten | Telefonnummer, Profilbild | Art. 6 Abs. 1 lit. b |
| Authentifizierung | Passwort (gehasht), 2FA-Daten, Google OAuth Token | Art. 6 Abs. 1 lit. b |
| Kontodaten | Zeitzone, Onboarding-Status, letzte Anmeldung | Art. 6 Abs. 1 lit. b |
5.2 Unternehmensdaten des Kunden
Zur Nutzung des Service speichern wir die vom Kunden eingegebenen Unternehmensdaten:
- Firmenname, Rechtsform, Adresse
- Telefonnummer, E-Mail, Website
- Bankverbindung (IBAN, BIC)
- Firmenbuch-Nummer, UID-Nummer
- Logo
5.3 Geschäftsdaten des Kunden
Im Rahmen der Nutzung verarbeiten wir die vom Kunden eingegebenen Geschäftsdaten:
- Kundenstammdaten (Namen, Adressen, Kontaktdaten der Kunden des Nutzers)
- Rechnungen und Gutschriften
- Angebote
- Produkte und Dienstleistungen
- Belege und Ausgaben
- Mahnungen
Hinweis: Für diese Daten ist der Kunde Verantwortlicher im Sinne der DSGVO. BillCraft verarbeitet diese Daten als Auftragsverarbeiter gemäß Art. 28 DSGVO. Details regelt der Auftragsverarbeitungsvertrag (AVV).
5.4 Zahlungsdaten
Zahlungsmethode (Kreditkarte, Amazon Pay) - die vollständigen Zahlungsdaten werden ausschließlich von Stripe bzw. Amazon Pay verarbeitet. BillCraft speichert nur eine Referenz-ID und den Zahlungsstatus.
5.5 Technische Daten (Server-Logs)
Bei jedem Zugriff auf den Service werden automatisch folgende Daten erhoben:
- IP-Adresse (anonymisiert nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- HTTP-Statuscode
- Browser und Betriebssystem (User-Agent)
- Referrer-URL
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität des Service).
Speicherdauer: Server-Logs werden nach 30 Tagen gelöscht.
5.6 Gerätetokens (Push-Benachrichtigungen)
Nutzt der Kunde die mobile App, wird ein Gerätetoken (Expo Push Token) gespeichert, um Push-Benachrichtigungen zuzustellen. Die Speicherung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO. Der Kunde kann Push-Benachrichtigungen jederzeit in den Geräteeinstellungen deaktivieren.
6. Einsatz von Drittanbietern (Auftragsverarbeiter)
6.1 Hosting und Infrastruktur
| Dienst | Anbieter | Zweck | Standort |
|---|---|---|---|
| Hetzner Online | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland | Backend-Hosting, Datenbank, Object Storage (Dateispeicher für Belege, Logos, PDFs) | Falkenstein/Nürnberg, Deutschland (EU) |
| Cloudflare Pages | Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA | Frontend-Hosting, CDN | Irland/EU (EU-Rechenzentren) |
Cloudflare verarbeitet technische Zugriffsdaten (IP-Adressen, HTTP-Anfragen) im Rahmen der Content-Delivery. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
6.2 Zahlungsabwicklung
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Stripe | Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland | Kreditkartenzahlung, Abo-Verwaltung | Art. 6 Abs. 1 lit. b |
| Amazon Pay | Amazon Payments Europe S.C.A., 38 avenue J.F. Kennedy, L-1855 Luxemburg | Zahlungsabwicklung | Art. 6 Abs. 1 lit. b |
Stripe und Amazon Pay erhalten die zur Zahlungsabwicklung notwendigen Daten (Name, E-Mail, Zahlungsinformationen). BillCraft speichert keine vollständigen Kreditkartennummern.
6.3 E-Mail-Versand und Beleg-Mail-Empfang
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Resend | Resend Inc., 2261 Market Street #4988, San Francisco, CA 94114, USA | Transaktionaler E-Mail-Versand (Bestätigungen, Rechnungen, Passwort-Reset) sowie Empfang eingehender Beleg-Mails an belege.billcraft.app | Art. 6 Abs. 1 lit. b |
Resend verarbeitet E-Mail-Adressen und E-Mail-Inhalte im Auftrag von BillCraft. Es besteht ein Data Processing Agreement. Die Verarbeitung in den USA erfolgt auf Basis des EU-US Data Privacy Framework bzw. Standardvertragsklauseln (SCCs).
Beleg-Inbox (Pro-Feature): Wenn der Kunde die Beleg-Mail-Inbox aktiviert, erhält er eine eindeutige Inbound-Adresse ({wort1}-{wort2}-{NN}@belege.billcraft.app). BillCraft speichert von eingehenden Mails ausschließlich Metadaten (Sender-Adresse, Betreff, Auth-Status SPF/DKIM/DMARC, Anhang-Dateinamen) für maximal 30 Tage, sowie die Anhang-Dateien selbst zur Erfassung als Beleg. Der Mail-Body (Plaintext oder HTML) wird niemals persistiert - er wird unmittelbar nach dem Empfang verworfen (Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO). Daraus erstellte Receipts unterliegen anschließend der gesetzlichen Aufbewahrungsfrist nach § 132 BAO (7 Jahre).
6.4 Authentifizierung
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Google OAuth | Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland | Optionale Anmeldung via Google-Konto | Art. 6 Abs. 1 lit. a (Einwilligung) |
Bei der Anmeldung über Google werden Name, E-Mail-Adresse und Profilbild von Google an BillCraft übermittelt. Die Nutzung von Google OAuth ist freiwillig.
6.5 Bot-Schutz
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Cloudflare Turnstile | Cloudflare Inc., 101 Townsend St, San Francisco, CA 94107, USA | Bot-Schutz bei Anmeldung und Registrierung (CAPTCHA-Alternative) | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
BillCraft setzt Cloudflare Turnstile als Sicherheitsmaßnahme auf den Anmelde- und Registrierungsseiten ein. Turnstile überprüft, ob eine Interaktion von einem Menschen oder einem automatisierten Bot stammt - ohne klassische CAPTCHA-Rätsel.
Dabei werden folgende Daten an Cloudflare übermittelt:
- IP-Adresse
- Browser- und Geräteinformationen (User-Agent, Bildschirmauflösung)
- Interaktionsdaten (Mausbewegungen, Tastatureingaben - anonymisiert)
Cloudflare setzt keine Tracking-Cookies im Rahmen von Turnstile. Die Daten werden ausschließlich zur Bot-Erkennung verwendet und nicht für Werbezwecke oder Profiling genutzt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz des Service vor automatisierten Angriffen und Missbrauch).
Auftragsverarbeitung: Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert.
6.6 KI-Funktionen
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Google Vertex AI | Google Cloud EMEA Limited, 70 Sir John Rogerson's Quay, Dublin 2, Irland | Automatische Belegerkennung (OCR), KI-gestützter Steuerrecht-Assistent, PDF-Rechnungsimport, Text-Embeddings | Art. 6 Abs. 1 lit. b |
BillCraft nutzt Google Vertex AI für folgende KI-gestützte Funktionen:
- Belegerkennung (OCR): Belegbilder werden an Google Vertex AI übermittelt, um Text, Beträge und Kategorien automatisch zu extrahieren.
- Steuerrecht-Assistent: Bei Nutzung des KI-Steuerberaters werden Nutzerfragen zusammen mit relevanten Gesetzestextpassagen an Google Vertex AI übermittelt, um eine fachliche Antwort zu generieren. Es werden keine personenbezogenen Kunden- oder Finanzdaten übermittelt - ausschließlich die Fragestellung und öffentlich zugängliche Gesetzestexte.
- PDF-Rechnungsimport: Bei Nutzung des automatischen Rechnungsimports werden PDF-Dateien an Google Vertex AI übermittelt, um strukturierte Rechnungsdaten (Positionen, Beträge, Kundendaten) zu extrahieren.
- Text-Embeddings: Zur Verbesserung der Suche im Steuerrecht-Assistenten werden Gesetzestexte in mathematische Vektoren (Embeddings) umgewandelt. Dabei werden keine personenbezogenen Daten verarbeitet.
Verarbeitungsort: Die Verarbeitung erfolgt ausschließlich in der Google Cloud Region europe-west4 (Niederlande, EU). Es findet kein Datentransfer in Drittländer statt.
Auftragsverarbeitung: Mit Google Cloud besteht ein Cloud Data Processing Addendum (CDPA) gemäß Art. 28 DSGVO. Das CDPA ist automatisch Bestandteil der Google Cloud Nutzungsbedingungen und deckt alle Anforderungen des Art. 28 Abs. 3 DSGVO ab, einschließlich Weisungsgebundenheit, Vertraulichkeit, Unterauftragnehmer, Löschpflichten und Audit-Rechte.
Kein Modelltraining: Google Cloud verwendet Kundendaten, die über Vertex AI verarbeitet werden, standardmäßig nicht zum Training von Foundation Models.
Datenspeicherung: Übermittelte Daten (Belegbilder, PDFs, Texte) werden von Google Vertex AI nicht dauerhaft gespeichert. BillCraft speichert die extrahierten Ergebnisse in der eigenen Datenbank.
Freiwilligkeit: Die Nutzung der KI-Funktionen ist freiwillig. Belege und Rechnungen können alternativ manuell erfasst werden, und der Steuerrecht-Assistent ist eine optionale Zusatzfunktion. Bei erstmaliger Nutzung der KI-Funktionen wird der Nutzer über die Datenverarbeitung durch Google informiert und muss dieser ausdrücklich zustimmen.
6.7 Push-Benachrichtigungen
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Expo | 650 Industries Inc., Palo Alto, CA, USA | Zustellung von Push-Benachrichtigungen an mobile Geräte | Art. 6 Abs. 1 lit. b |
6.8 Bankkontoanbindung (Kontoinformationsdienst)
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| BANKSapi | BANKSapi Technology GmbH, Schwanthalerstraße 73, 80336 München, DE | Anbindung des Bankkontos via PSD2, Abruf von Kontoumsätzen zur automatischen Zahlungszuordnung | Art. 6 Abs. 1 lit. b |
BillCraft bietet Nutzern die Möglichkeit, ihr Geschäftsbankkonto über BANKSapi anzubinden, um Zahlungseingänge automatisch offenen Rechnungen zuzuordnen.
Eigenständige Verantwortlichkeit von BANKSapi:
BANKSapi Technology GmbH ist von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) als Kontoinformationsdienst (AISP) gemäß § 1 Abs. 1 S. 2 Nr. 1d ZAG / Art. 4 Nr. 19 PSD2 lizenziert. Die Bankkontoanbindung erfolgt im Rahmen einer eigenen Vertragsbeziehung zwischen dem Nutzer und BANKSapi: Der Nutzer wird zur Anbindung auf eine Web-Oberfläche von BANKSapi weitergeleitet, willigt dort gegenüber BANKSapi in den Kontozugriff ein und erteilt eine PSD2-Einwilligung gegenüber seiner Bank.
Für die Verarbeitung der Bankdaten im Rahmen des Kontoinformationsdienstes ist BANKSapi daher eigenständig Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Die Datenschutzerklärung von BANKSapi ist abrufbar unter: https://www.banksapi.de/datenschutz
Verarbeitung durch BillCraft:
Nach erfolgter Anbindung übermittelt BANKSapi die Kontoumsätze (Buchungstexte, Beträge, Verwendungszweck, Empfänger/Absender, IBAN, Buchungsdatum) an BillCraft. BillCraft speichert diese Daten in der eigenen Datenbank zur:
- Automatischen Zuordnung von Zahlungseingängen zu offenen Rechnungen
- Anzeige des Zahlungsstatus im Kundenkonto
- Erstellung von Auswertungen für den Nutzer
Rechtsgrundlage für die Speicherung bei BillCraft: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – die Zahlungszuordnung ist Bestandteil des gebuchten Service).
Verarbeitungsort: Server in Deutschland (BANKSapi) und Deutschland (BillCraft-Hosting bei Hetzner). Es findet kein Datentransfer in Drittländer statt.
Freiwilligkeit: Die Bankkontoanbindung ist eine freiwillige Zusatzfunktion. Zahlungen können alternativ manuell als bezahlt markiert werden. Der Nutzer kann die Anbindung jederzeit in den Einstellungen widerrufen, woraufhin der Datenabruf bei BANKSapi beendet und bestehende Tokens gelöscht werden.
Speicherdauer: Kontoumsätze werden für die Dauer der aktiven Bankanbindung sowie für die steuerrechtliche Aufbewahrungsfrist gemäß § 132 BAO (7 Jahre) gespeichert, sofern sie als Buchungsbeleg verwendet werden. Nicht zugeordnete Umsätze werden 24 Monate nach Abruf automatisch gelöscht.
6.9 Produktanalytik
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| PostHog | PostHog Inc. (EU-Instanz), Yakku BV, Prinses Margrietplantsoen 33, NL-2595 | Nutzungsanalyse, Fehlerverfolgung, Produktverbesserung | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
BillCraft nutzt PostHog zur Analyse der Service-Nutzung und zur Verbesserung des Produkts. Dabei werden folgende Daten erhoben:
- Pseudonymisierte Nutzungs-Events (z. B. Rechnungen erstellt, Angebote versendet)
- Technische Geräteinformationen (Browser, Betriebssystem, Bildschirmgröße)
- Fehlermeldungen zur Stabilitätsverbesserung
PostHog wird in der EU-Instanz (eu.posthog.com) betrieben. Die Daten werden ausschließlich auf Servern innerhalb der EU verarbeitet und gespeichert. Es findet kein Datentransfer in Drittländer statt. Es besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Verbesserung des Service). Sie können der Verarbeitung jederzeit widersprechen, indem Sie sich an datenschutz@billcraft.app wenden.
6.10 Reichweitenmessung der Website
| Dienst | Anbieter | Zweck | Rechtsgrundlage |
|---|---|---|---|
| Ahrefs Web Analytics | Ahrefs Pte. Ltd., 16 Raffles Quay, #33-03 Hong Leong Building, Singapur 048581 | Pseudonyme Reichweitenmessung der Informationswebsite | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
BillCraft setzt Ahrefs Web Analytics ausschließlich auf der Informationswebsite https://billcraft.app ein, um die Nutzung der Website auszuwerten (z. B. Anzahl der Besuche, aufgerufene Seiten, Verweis-/Herkunftsseiten). Im eingeloggten Service (https://app.billcraft.app) kommt Ahrefs Web Analytics nicht zum Einsatz.
Die Reichweitenmessung erfolgt cookiefrei: Ahrefs setzt keine Cookies und verwendet keine geräteübergreifende Wiedererkennung. Erfasst werden aggregierte Zugriffsdaten (aufgerufene Seiten, Referrer, technische Browser- und Geräteinformationen) sowie eine grobe geografische Einordnung, die aus der IP-Adresse abgeleitet wird; die IP-Adresse wird hierbei nicht dauerhaft gespeichert.
Drittlandtransfer: Anbieter ist die Ahrefs Pte. Ltd. mit Sitz in Singapur. Die Übermittlung erfolgt auf Grundlage der EU-Standardvertragsklauseln (SCCs, Modul 2) gemäß Art. 46 Abs. 2 lit. c DSGVO; mit Ahrefs besteht ein Auftragsverarbeitungsvertrag (Data Processing Addendum) gemäß Art. 28 DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der bedarfsgerechten Gestaltung und Optimierung der Website). Sie können der Verarbeitung jederzeit widersprechen, indem Sie sich an datenschutz@billcraft.app wenden.
7. Cookies und lokale Speicherung
7.1 Technisch notwendige Cookies
BillCraft verwendet ausschließlich technisch notwendige Cookies für:
- Session-Verwaltung und Authentifizierung
- CSRF-Schutz (Cross-Site Request Forgery)
- Spracheinstellungen
Diese Cookies sind für den Betrieb des Service erforderlich und können nicht deaktiviert werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und § 165 Abs. 3 TKG 2021 (technisch notwendig).
7.2 Analyse-Cookies (PostHog)
BillCraft setzt Cookies des Analyse-Dienstes PostHog ein. Diese Cookies dienen der pseudonymisierten Nutzungsanalyse und Produktverbesserung.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
| ph_phc_* | Pseudonyme Nutzer-ID zur Sitzungszuordnung | 1 Jahr |
| ph_*_posthog | Session-Informationen für Nutzungsanalyse | 30 Minuten |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Analyse und Verbesserung des Service).
BillCraft verwendet darüber hinaus keine Marketing-Cookies. Die Reichweitenmessung der Informationswebsite (Ahrefs Web Analytics, siehe Abschnitt 6.10) erfolgt vollständig cookiefrei.
8. Datentransfer in Drittländer
Einige der eingesetzten Dienstleister haben ihren Sitz außerhalb der EU/des EWR (USA bzw. Singapur). Der Datentransfer erfolgt auf Grundlage von:
- EU-US Data Privacy Framework (für zertifizierte Unternehmen wie Cloudflare, Stripe)
- Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
BillCraft stellt sicher, dass alle eingesetzten US-Dienstleister über angemessene Datenschutzgarantien verfügen.
| Dienstleister | Transfermechanismus |
|---|---|
| Cloudflare Inc. | EU-US Data Privacy Framework (zertifiziert) |
| Stripe Inc. | EU-US Data Privacy Framework (zertifiziert) |
| Resend Inc. | Standardvertragsklauseln (SCCs) |
| 650 Industries (Expo) | Standardvertragsklauseln (SCCs) |
| Ahrefs Pte. Ltd. (Singapur) | Standardvertragsklauseln (SCCs, Modul 2) |
9. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Kontodaten | Für die Dauer des Vertragsverhältnisses + 30 Tage nach Kündigung |
| Geschäftsdaten (Rechnungen, Belege) | 7 Jahre nach Vertragsende (steuerrechtliche Aufbewahrungspflicht gemäß BAO) |
| Server-Logs | 30 Tage |
| Zahlungsdaten bei Stripe | Gemäß Stripe-Aufbewahrungsrichtlinien |
| E-Mail-Versandprotokolle | 90 Tage |
| Analysedaten (PostHog) | 12 Monate |
| Reichweitenmessung Website (Ahrefs) | Aggregierte Statistikdaten gemäß Ahrefs-Vorgaben; keine dauerhafte Speicherung personenbezogener Einzeldaten |
| KI-Belegdaten bei Google | Keine dauerhafte Speicherung durch Google (gemäß API-Nutzungsbedingungen) |
| Bankkontoumsätze (BANKSapi) | Aktive Bankanbindung + 24 Monate; bei Buchungszuordnung 7 Jahre (§ 132 BAO) |
| Gerätetokens | Bis zur Deaktivierung oder Kontolöschung |
10. Ihre Rechte als betroffene Person
Sie haben gemäß DSGVO folgende Rechte:
- Auskunftsrecht (Art. 15): Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
- Recht auf Berichtigung (Art. 16): Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung (Art. 18): Sie können die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
- Widerspruchsrecht (Art. 21): Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
- Widerrufsrecht (Art. 7 Abs. 3): Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@billcraft.app
11. Beschwerderecht bei der Aufsichtsbehörde
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde in Österreich ist:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: https://www.dsb.gv.at
12. Datensicherheit
BillCraft trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, insbesondere:
- Verschlüsselung der Datenübertragung mittels TLS/SSL
- Verschlüsselung von Passwörtern mittels bcrypt
- Zwei-Faktor-Authentifizierung (2FA) als optionale Sicherheitsmaßnahme
- Regelmäßige Sicherheitsupdates
- Zugriffsbeschränkung auf personenbezogene Daten
- Serverstandort in der EU (Deutschland)
Support- und Verwaltungszugriff: Autorisiertes Personal von BillCraft kann im erforderlichen Umfang auf ein Konto zugreifen, um Supportanfragen zu bearbeiten sowie Fehler zu analysieren und zu beheben (einschließlich der Korrektur fehlerhafter Daten). Solche Zugriffe sind auf das hierfür autorisierte Personal beschränkt, erfolgen nur soweit erforderlich und werden protokolliert. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Support) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Fehlerbehebung und Servicequalität). Soweit dabei Daten verarbeitet werden, für die der Kunde Verantwortlicher ist, gilt ergänzend der Auftragsverarbeitungsvertrag (AVV).
13. Automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung oder Profiling im Sinne von Art. 22 DSGVO findet nicht statt. Insbesondere:
- Die KI-gestützte Belegerfassung dient ausschließlich der Texterkennung und trifft keine rechtlich bindenden Entscheidungen.
- Die automatische Zahlungszuordnung auf Basis abgerufener Bankumsätze (BANKSapi) ist eine reine Hilfsfunktion: Vorschläge werden dem Nutzer angezeigt, die endgültige Entscheidung über die Zuordnung trifft der Nutzer selbst. Eine Rechtswirkung gegenüber Dritten oder eine erhebliche Beeinträchtigung von betroffenen Personen ist damit nicht verbunden.
14. Änderungen dieser Datenschutzerklärung
BillCraft behält sich vor, diese Datenschutzerklärung bei Bedarf anzupassen, insbesondere bei Änderungen der Rechtslage, des Service oder der eingesetzten Drittanbieter. Die aktuelle Version ist stets unter https://billcraft.app/datenschutz abrufbar. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.
15. Kontakt
Bei Fragen zum Datenschutz:
Elias Ratt
E-Mail: datenschutz@billcraft.app