buchung24
Datenschutzerklärung
Stand: 9. Juli 2026 · Version v1
1. Verantwortlicher
RK3 Digital Services and Consultant GmbH (Marke „KI EVOLUTION")
Contrada Maderni 1, 6816 Bissone, Schweiz (Kanton Tessin)
UID: CHE-350.629.472
Vertreten durch: Dr. Ronald Kandelhard, Geschäftsführer
E-Mail Datenschutz: ronald@evolutionki.de
Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Bestellpflichten (Art. 37 DSGVO / § 38 BDSG) nicht einschlägig sind. Datenschutz-Ansprechpartner ist der Geschäftsführer (Kontakt oben).
2. Rollenverteilung (wichtig)
Für Ihre Konto-, Vertrags-, Zahlungs- und Nutzungsdaten sind wir „Verantwortlicher" im Sinne der DSGVO (diese Erklärung).
Für die Inhalte Ihrer Belege, Rechnungen, Kontoauszüge und der darin enthaltenen personenbezogenen Daten Dritter (z. B. Ihrer Geschäftspartner) sind Sie der Verantwortliche; wir verarbeiten diese Daten ausschließlich in Ihrem Auftrag und nach Ihrer Weisung als Auftragsverarbeiter auf Grundlage des mit Ihnen geschlossenen Auftragsverarbeitungsvertrags (AVV).
3. Verarbeitungen im Einzelnen
3.1 Aufruf der Website / App (Server-Logfiles)
Verarbeitete Daten: IP-Adresse, Datum/Uhrzeit, abgerufene Ressource, Referrer, Browser-/Geräteinformationen. Zweck: Bereitstellung, Stabilität und Sicherheit des Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren, funktionsfähigen Betrieb). Speicherdauer: Server-Logs werden in der Regel nach spätestens 30 Tagen gelöscht; Sicherheits-Logs zweckgebunden.
3.2 Registrierung und Kundenkonto
Verarbeitete Daten: E-Mail-Adresse, Passwort (gehasht), ggf. Name und Unternehmensangaben. Zweck: Anlage und Verwaltung Ihres Kontos, Bereitstellung des Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Speicherdauer: für die Dauer des Vertragsverhältnisses; danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten bestehen.
3.3 Zahlungsabwicklung (Stripe)
Für die Abwicklung von Zahlungen setzen wir den Zahlungsdienstleister Stripe ein. Anbieter für Nutzer im EWR und in der Schweiz ist Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Je nach Zahlungsweg werden Zahlungsdaten (z. B. Name, Rechnungsdaten, Zahlungsmittel-Metadaten) an Stripe übermittelt und dort eigenverantwortlich verarbeitet. Soweit Stripe Daten in die USA übermittelt, erfolgt dies auf Grundlage des EU-US Data Privacy Framework bzw. der Standardvertragsklauseln (siehe Ziff. 6). Zweck: Vertrags- und Zahlungsabwicklung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
3.4 Anbindung Ihres E-Mail-Postfachs (Beleg-Eingang)
Um Rechnungen und Belege automatisiert zu erfassen, können Sie — sobald diese Funktion freigeschaltet ist — ein E-Mail-Postfach anbinden. Die Postfach-Anbindung wird schrittweise eingeführt; bis dahin erfolgt der Beleg-Eingang ausschließlich per Upload. Es bestehen zwei Wege:
(a) IMAP-Anbindung: Sie hinterlegen Zugangsdaten zu Ihrem Postfach. Wir greifen ausschließlich lesend zu, um Belege/Anhänge abzurufen. Zugangsdaten werden verschlüsselt gespeichert (siehe Ziff. 7).
(b) Google-/Gmail-Anbindung (OAuth): Sie erteilen über das Google-Anmeldeverfahren eine Berechtigung. Wir greifen ausschließlich lesend (bzw. im technisch erforderlichen Umfang, siehe Ziff. 8) auf E-Mails/Anhänge zu, um Belege zu erfassen.
Verarbeitete Daten: E-Mail-Metadaten (Absender, Betreff, Datum), E-Mail-Inhalte und Anhänge, soweit für die Belegerfassung erforderlich. Zweck: automatisierte Erfassung buchhaltungsrelevanter Belege. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. a DSGVO (Ihre Einwilligung in den Postfach-Zugriff, die Sie jederzeit durch Trennung der Verbindung widerrufen können). Die Verarbeitung der in den Belegen enthaltenen Daten Dritter erfolgt in Ihrem Auftrag (AVV, Ziff. 2). Für die Gmail-Anbindung gelten zusätzlich die Angaben in Ziff. 8 (Google API Services / Limited Use).
3.5 Belegerfassung, Kontierung und Aufbereitung (EÜR/Export)
Verarbeitete Daten: Inhalte Ihrer Belege, Rechnungen, Kontoauszüge sowie darin enthaltene personenbezogene Daten (z. B. von Geschäftspartnern), Buchungs-/Kontierungsdaten. Verarbeitungsschritte: automatisierte Erkennung, regelbasierte Kontierung, optionale KI-gestützte Kontierung (nur bei Opt-in, siehe Ziff. 3.6), Erstellung von Auswertungen/Exporten (EÜR, CSV). Zweck: Erbringung der Buchhaltungs-Vorbereitungsleistung. Rechtsgrundlage: Verarbeitung im Auftrag (Art. 28 DSGVO, AVV); Sie als Verantwortlicher stützen sich regelmäßig auf Art. 6 Abs. 1 lit. b/c/f DSGVO (Vertrag, steuerliche/handelsrechtliche Pflichten, berechtigtes Interesse). Es findet keine ausschließlich automatisierte Entscheidung mit Rechtswirkung im Sinne des Art. 22 DSGVO statt; kontierungsrelevante Ergebnisse können von Ihnen geprüft und korrigiert werden.
3.6 Optionale KI-gestützte Kontierung (LLM) — nur mit Einwilligung
Zusätzlich zur regelbasierten Kontierung können Sie eine KI-gestützte Kontierung aktivieren. Dabei werden buchhaltungsrelevante Beleginhalte an unseren KI-Unterauftragsverarbeiter Anthropic (Produkt „Claude") übermittelt und verarbeitet.
Diese Funktion ist standardmäßig deaktiviert. Sie wird nur aktiv, wenn Sie sie ausdrücklich aktivieren (Opt-in). Ihre Einwilligung wird revisionssicher protokolliert (Zeitpunkt, Version, Tenant-Bezug) und kann jederzeit mit Wirkung für die Zukunft widerrufen werden; nach Widerruf werden keine weiteren Daten an den KI-Dienst übermittelt.
Verarbeitete Daten: die für die Kontierung erforderlichen Beleginhalte (datenminimiert). Zweck: KI-gestützte Kontierungsvorschläge. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung/Opt-in); im Auftragsverhältnis zusätzlich Art. 28 DSGVO (AVV). Drittlandtransfer: Anthropic verarbeitet in den USA — Grundlagen und Garantien siehe Ziff. 6. Eine Verwendung Ihrer übermittelten Daten zum Training oder zur Verbesserung der Modelle des KI-Dienstes ist vertraglich ausgeschlossen.
3.7 Support und Kommunikation
Bei Kontaktaufnahme (E-Mail, Support) verarbeiten wir Ihre Angaben zur Bearbeitung Ihres Anliegens. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertraglich/vertraglich) bzw. Art. 6 Abs. 1 lit. f DSGVO (Beantwortung von Anfragen).
3.8 Cookies / lokale Speicherung
Wir setzen ausschließlich die für Login und Betrieb technisch notwendigen Speichermechanismen ein (z. B. Session/Authentifizierung im Browser). Rechtsgrundlage: § 25 Abs. 2 TDDDG (technisch erforderlich) i. V. m. Art. 6 Abs. 1 lit. b/f DSGVO. Analyse- oder Tracking-Cookies setzen wir nicht ein.
4. Hosting / Datenstandort
Die Verarbeitung und Speicherung Ihrer Daten erfolgt auf Servern mit Standort in Deutschland. Hosting-Provider: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland; mit dem Hosting-Provider besteht ein Vertrag zur Auftragsverarbeitung. Eine regelmäßige Speicherung außerhalb der EU findet nicht statt; Ausnahme ist die optionale KI-Funktion (Ziff. 3.6/6).
5. Empfänger / Auftragsverarbeiter
Wir geben Daten nur an sorgfältig ausgewählte Dienstleister weiter, mit denen Auftragsverarbeitungsverträge (Art. 28 DSGVO) bestehen:
- Hetzner Online GmbH (Deutschland) — Server-/Infrastrukturbetrieb
- Stripe Payments Europe, Limited (Irland) — Zahlungsabwicklung
- ALL-INKL.COM — Neue Medien Münnich (Deutschland) — Versand transaktionaler E-Mails
- Anthropic (USA) — nur bei aktivierter KI-Funktion (Ziff. 3.6)
Die vollständige, aktuelle Unterauftragsverarbeiter-Liste ist Bestandteil des AVV (Anhang 2).
6. Übermittlung in Drittländer
Zugriff aus der Schweiz: Der Anbieter hat seinen Sitz in der Schweiz. Für die Schweiz besteht ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO); ein Zugriff aus der Schweiz bedarf daher keiner zusätzlichen Garantien.
USA (KI-Funktion): Bei aktivierter KI-Funktion (Ziff. 3.6) werden Daten an Anthropic (USA) übermittelt. Die Übermittlung stützt sich auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (DPF), sofern der betreffende Anthropic-Rechtsträger DPF-zertifiziert ist, andernfalls auf die Standardvertragsklauseln (SCC, Art. 46 DSGVO) nebst ergänzenden Schutzmaßnahmen (Verschlüsselung, Datenminimierung).
7. Sicherheit
Wir treffen technische und organisatorische Maßnahmen nach dem Stand der Technik (Art. 32 DSGVO), insbesondere: Transportverschlüsselung (TLS), strikte Mandantentrennung (Tenant-Isolation auf Datenbank-Ebene), rollenbasierte Zugriffsbeschränkung, Protokollierung, regelmäßige Datensicherung und ein Löschkonzept beim Offboarding (Details: AVV, Anhang 3).
8. Google API Services / Gmail — Limited Use (nur bei Gmail-Anbindung)
Soweit Sie Ihr Gmail-Postfach anbinden (Ziff. 3.4 (b)), greift buchung24 über die Google-API auf Ihre E-Mails/Anhänge zu. Die Nutzung und Weitergabe der von Google-APIs erhaltenen Informationen durch buchung24 erfolgt im Einklang mit der Google API Services User Data Policy einschließlich der Limited-Use-Anforderungen. Konkret bedeutet das:
- Wir verwenden die aus Ihrem Gmail-Postfach erhaltenen Daten ausschließlich, um die für Sie sichtbaren Funktionen von buchung24 (Belegerfassung/Buchhaltungsvorbereitung) bereitzustellen und zu verbessern.
- Wir geben diese Daten nicht an Dritte weiter, außer soweit dies zur Bereitstellung/Verbesserung dieser Funktionen erforderlich ist, aus Sicherheitsgründen, zur Einhaltung geltenden Rechts oder im Rahmen einer Fusion/Übernahme mit Ihrer ausdrücklichen Zustimmung erfolgt.
- Wir nutzen diese Daten nicht für Werbung.
- Wir verwenden diese Daten nicht zum Training verallgemeinerter KI-/ML-Modelle. Soweit für die KI-gestützte Kontierung (Ziff. 3.6) Beleginhalte an einen KI-Dienstleister übermittelt werden, geschieht dies nur nach Ihrem gesonderten Opt-in, datenminimiert und ohne Training der Modelle des Dienstleisters.
- Menschen lesen diese Daten nicht, außer mit Ihrer ausdrücklichen Zustimmung, aus Sicherheitsgründen (z. B. Missbrauchsuntersuchung), zur Einhaltung geltenden Rechts oder soweit die Daten aggregiert und anonymisiert für interne Betriebszwecke verwendet werden.
Die vollständige Google-Richtlinie finden Sie unter: developers.google.com/terms/api-services-user-data-policy (einschließlich Abschnitt „Limited Use").
9. Speicherdauer
- Konto-/Vertragsdaten: für die Vertragsdauer, danach Löschung, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Beleg-/Buchhaltungsdaten: Diese Daten unterliegen regelmäßig den steuer-/handelsrechtlichen Aufbewahrungsfristen des Verantwortlichen (Sie); Löschung/Rückgabe nach Auftragsende richtet sich nach dem AVV.
- Postfach-Zugangsdaten/OAuth-Token: bis zur Trennung der Verbindung bzw. Kontolöschung.
- Server-Logs: in der Regel maximal 30 Tage.
Beim Offboarding werden Ihre Daten nach dem im AVV beschriebenen Löschkonzept gelöscht oder zurückgegeben.
10. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Erteilte Einwilligungen (z. B. Postfach-Anbindung, KI-Opt-in) können Sie jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO); die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Soweit wir Daten in Ihrem Auftrag verarbeiten (AVV), richten Sie Anträge betroffener Personen bitte an sich als Verantwortlichen; wir unterstützen Sie dabei nach Maßgabe des AVV. Sie haben zudem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).
11. Änderungen
Wir passen diese Datenschutzerklärung an, wenn sich Rechtslage, Verarbeitung oder Dienstleister ändern. Es gilt die jeweils unter buchung24.evolutionki.de/datenschutz veröffentlichte Fassung.