Datenschutzerklärung

Stand: November 2025

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Digitalagentur Schneider

Katharina Schneider

Hauptstraße 129c

61440 Oberursel

Deutschland

E-Mail für Datenschutzanfragen: datenschutz@VendorZero.de

2. Übersicht der Verarbeitungen

Wir verarbeiten personenbezogene Daten nur, wenn dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist.

Arten der verarbeiteten Daten:

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail, Telefonnummern)
  • Inhaltsdaten (z.B. Dokumenteninhalte, OCR-Texte)
  • Vertragsdaten (z.B. Rechnungsdaten, Zahlungsinformationen)
  • Nutzungsdaten (z.B. Zugriffszeiten, besuchte Seiten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen, Geräteinformationen)

Kategorien betroffener Personen:

  • Nutzer unserer Plattform
  • Geschäftspartner und Kunden unserer Nutzer
  • Lieferanten und Kreditoren unserer Nutzer
3. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen:

  • Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen.
  • Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (z.B. Aufbewahrungspflichten).
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Verarbeitung zur Wahrung unserer berechtigten Interessen, sofern nicht die Interessen der betroffenen Person überwiegen.
  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Verarbeitung auf Grundlage einer Einwilligung, die jederzeit widerrufen werden kann.
4. Zwecke der Verarbeitung
ZweckDatenRechtsgrundlage
Bereitstellung der PlattformBestandsdaten, NutzungsdatenArt. 6 Abs. 1 lit. b DSGVO
DokumentenverarbeitungDokumenteninhalte, OCR-TexteArt. 6 Abs. 1 lit. b DSGVO
KI-gestützte ExtraktionOCR-Texte, RechnungsdatenArt. 6 Abs. 1 lit. b DSGVO
RechnungsverarbeitungVertragsdaten, BankverbindungenArt. 6 Abs. 1 lit. b/c DSGVO
KundenverwaltungKontaktdaten, BestandsdatenArt. 6 Abs. 1 lit. b/f DSGVO
5. Empfänger und Auftragsverarbeiter

Wir setzen folgende Dienstleister als Auftragsverarbeiter ein:

Hosting und Infrastruktur (Deutschland)

  • NetCup GmbH, Nürnberg, Deutschland – Webhosting und Serverinfrastruktur
  • Hetzner Online GmbH, Deutschland – Datenbanken und Cloud-Speicher

Mit diesen Anbietern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

KI-Dienste zur Dokumentenverarbeitung

  • OpenAI, L.L.C., USA – KI-gestützte Textextraktion
  • Google LLC, USA – KI-gestützte Dokumentenanalyse
  • Nebius, EU – KI-gestützte Verarbeitung (EU-Serverstandort)
6. Datenübermittlung in Drittländer

Im Rahmen der KI-gestützten Dokumentenverarbeitung werden Daten an Dienstleister in den USA (OpenAI, Google) übermittelt.

Rechtsgrundlage der Übermittlung:

  • EU-Standardvertragsklauseln (Standard Contractual Clauses, SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO
  • Zusätzliche technische Schutzmaßnahmen (Verschlüsselung, Pseudonymisierung)

Technische Schutzmaßnahmen:

  • TLS-Verschlüsselung bei der Übertragung
  • Keine dauerhafte Speicherung bei KI-Anbietern
  • API-Nutzung ohne Training auf Kundendaten (OpenAI, Google)
  • Minimale Datenübermittlung (nur erforderliche Felder)

Weitere Informationen zu den Datenschutzpraktiken der Anbieter finden Sie unter: OpenAI Privacy Policy, Google Privacy Policy

* Auf Kundenwunsch kann die KI-Verarbeitung ausschließlich über Nebius (EU-Serverstandort) erfolgen. In diesem Fall findet kein Drittlandtransfer statt. Bitte kontaktieren Sie uns für diese Option.

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist:

  • Account-Daten: Bis zur Löschung des Accounts durch den Nutzer
  • Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach HGB §257, AO §147)
  • Dokumenteninhalte: Nach Kundenvorgabe oder gemäß Löschkonzept der Organisation
  • Nutzungsdaten/Logs: 90 Tage für Sicherheitszwecke
8. Ihre Rechte als betroffene Person

Sie haben nach der DSGVO folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
  • Berichtigungsrecht (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
  • Löschungsrecht (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten.
  • Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: datenschutz@VendorZero.de

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Postfach 3163

65021 Wiesbaden

Website: https://datenschutz.hessen.de

10. KI-gestützte Datenverarbeitung

Unsere Plattform nutzt künstliche Intelligenz zur automatischen Extraktion und Verarbeitung von Dokumenteninhalten.

Umfang der KI-Verarbeitung:

  • OCR-Texterkennung aus hochgeladenen Dokumenten
  • Extraktion strukturierter Daten (Rechnungsnummern, Beträge, Daten)
  • Zuordnung von Dokumenten zu Kreditoren

Wichtige Hinweise:

  • Es erfolgt keine automatisierte Entscheidungsfindung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO.
  • Alle KI-extrahierten Daten werden von Nutzern überprüft und bestätigt, bevor sie verarbeitet werden.
  • Bei OpenAI und Google werden API-Daten nicht für das Training der KI-Modelle verwendet.
11. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um Ihre Daten zu schützen:

  • Verschlüsselung: TLS 1.3 für Datenübertragung, Verschlüsselung at Rest für gespeicherte Daten
  • Zugriffskontrolle: Rollenbasierte Zugriffssteuerung (RBAC), Zwei-Faktor-Authentifizierung
  • Serverstandort: Alle primären Daten werden in Deutschland (Nürnberg) gespeichert
  • Regelmäßige Backups: Automatische Datensicherung
12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die aktuelle Version finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir Sie per E-Mail.