Zurück zur App

Datenschutzerklärung

für die Nutzung von „Belegmappe"

Diese Datenschutzerklärung informiert über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung von „Belegmappe". Sie gilt für die Website sowie die SaaS-Anwendung.

1. Verantwortlicher und Kontakt

Verantwortlicher im Sinne der DSGVO:
RDGY Software GmbH
Tiergartenstrasse 132, 6020 Innsbruck
E-Mail: hi@belegmappe.at
Datenschutzkontakt / Datenschutzbeauftragter (falls bestellt): Kein Datenschutzbeauftragter bestellt (nicht gesetzlich vorgeschrieben)

Zuständige Datenschutzbehörde für Österreich (Beschwerden): Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, E-Mail: dsb@dsb.gv.at, www.dsb.gv.at.

2. Rollenverteilung bei der Datenverarbeitung

2.1 Für die Verarbeitung von Account-, Vertrags-, Abrechnungs- und Supportdaten ist die Anbieterin selbst Verantwortliche.
2.2 Für Inhalte, die Kunden in „Belegmappe" hochladen und im Rahmen ihres eigenen Geschäftsbetriebs verarbeiten (z. B. Rechnungen, Belege, Banktransaktionen, Daten von Dritten wie Kunden oder Steuerberatung), ist in der Regel der Kunde Verantwortlicher im Sinne der DSGVO. Die Anbieterin handelt insoweit als Auftragsverarbeiterin.
2.3 Ein Auftragsverarbeitungsvertrag (AVV/DPA), der die Anforderungen der DSGVO erfüllt, ist verfügbar unter Auftragsverarbeitungsvertrag (AVV/DPA). Kunden, die personenbezogene Daten Dritter verarbeiten, sind verpflichtet, diesen AVV abzuschließen.

3. Kategorien personenbezogener Daten

  • Accountdaten: Name, E-Mail-Adresse, Anmeldeinformationen, Rollen und Berechtigungen.
  • Authentifizierungsdaten: Session-Kennungen, Sicherheits-Events, Geräte- und Browser-Metadaten (verarbeitet über den Authentifizierungsdienst Clerk).
  • Inhaltsdaten: hochgeladene Dokumente und Belege, Metadaten (Ordnerstruktur, Zeitstempel, Status „gebucht"), Freigaben an Dritte. Diese Inhalte können personenbezogene Daten Dritter enthalten (z. B. Namen, Adressen, Bankverbindungen aus Rechnungen).
  • Zahlungs- und Vertragsdaten: gewählter Tarif, Rechnungsdaten, Zahlungsstatus, Transaktionsreferenzen (Abwicklung über den Zahlungsdienstleister Stripe; Zahlungsmitteldetails werden von Stripe verarbeitet, nicht von der Anbieterin gespeichert).
  • Bankdaten (optional): importierte Banktransaktionsdaten (z. B. OFX-Format) und deren Zuordnung zu Belegen, falls diese Funktion genutzt wird.
  • Kommunikationsdaten: Inhalte und Metadaten von Support-Anfragen per E-Mail oder In-App-Kommunikation.
  • Protokoll- und Sicherheitsdaten: IP-Adressen, Zugriffszeitpunkte, verwendete Browser-/Geräteinformationen, Fehlerprotokolle, Audit-Events.

4. Zwecke und Rechtsgrundlagen

ZweckDatenkategorienRechtsgrundlage (DSGVO)
Bereitstellung von Account, Login und SicherheitAccount-, Authentifizierungs-, ProtokolldatenVertragserfüllung; berechtigtes Interesse an IT-Sicherheit und Missbrauchsprävention
Erbringung der SaaS-FunktionalitätenInhaltsdaten, Metadaten, FreigabenVertragserfüllung; bei Auftragsverarbeitung: Weisung des Kunden als Verantwortlichem
Abrechnung, Zahlungsabwicklung, BuchhaltungZahlungs- und VertragsdatenVertragserfüllung; rechtliche Verpflichtung (Aufbewahrungspflichten)
Support und KommunikationKommunikationsdaten, AccountdatenVertragserfüllung; berechtigtes Interesse an Servicequalität
Missbrauchsprävention, Systemstabilität, FehleranalyseProtokoll- und SicherheitsdatenBerechtigtes Interesse an sicherem und zuverlässigem Betrieb
Optionale Produktinformationen / DirektmarketingKontaktdaten, NutzungspräferenzenEinwilligung oder berechtigtes Interesse (bei bestehenden Kundenbeziehungen, abhängig vom Kanal)
Optionale Analyse / Web-TrackingOnline-Kennungen, NutzungsdatenEinwilligung (siehe Cookie-Information)

5. Quellen der Daten

5.1 Daten werden überwiegend direkt bei den betroffenen Personen erhoben (z. B. bei Registrierung, Nutzung des Dienstes, Support-Kontakt).
5.2 Inhalte können auch durch berechtigte Dritte in den Dienst eingebracht werden (z. B. durch geteilte Zugriffe, Importe), soweit der jeweilige Nutzer über die erforderliche Berechtigung und Rechtsgrundlage verfügt.

6. Empfänger und Auftragsverarbeiter

6.1 Die Anbieterin setzt Dienstleister ein, die Daten im Auftrag oder in eigener Verantwortlichkeit verarbeiten, insbesondere für:

  • Authentifizierung und Benutzerverwaltung: Clerk Inc., USA – verarbeitet Login-Daten, Session-Token und sicherheitsrelevante Ereignisse,
  • Zahlungsabwicklung und Abrechnung: Stripe Payments Europe, Ltd., Irland (EU) – verarbeitet Zahlungsdaten und Abrechnungsinformationen; Zahlungsmitteldetails werden ausschließlich von Stripe gespeichert,
  • Dokumentenspeicherung: Wasabi Technologies, LLC, USA – S3-kompatibler Objektspeicher; Bucket-Region: Frankfurt am Main, Deutschland (EU); Dokumente und Belegdaten werden ausschließlich auf Servern in Frankfurt gespeichert,
  • Anwendungs-Hosting und Serverbetrieb: Fly.io, Inc., USA – Betrieb der Anwendungsserver; Serverstandort: Frankfurt am Main, Deutschland (EU); die eigentliche Datenverarbeitung findet auf Servern in Frankfurt statt,
  • E-Mail- und Support-Kommunikation: Microsoft 365 / Office 365, Microsoft Ireland Operations Limited, Irland (EU) – E-Mail-Versand über SMTP,
  • Monitoring und Fehleranalyse: derzeit kein externer Monitoring-Anbieter aktiv.

6.2 Eine aktuelle, versionierte Liste der Unterauftragsverarbeiter mit Angabe von Land, Zweck und angewandtem Transfermechanismus ist abrufbar unter Unterauftragsverarbeiterliste.
6.3 Mit allen Auftragsverarbeitern werden die nach DSGVO erforderlichen Verträge abgeschlossen.

7. Datenübermittlung in Drittländer

7.1 Dokumente und Anwendungsdaten werden ausschließlich auf Servern in Frankfurt am Main, Deutschland (EU) gespeichert und verarbeitet (Wasabi Frankfurt-Bucket, Fly.io Frankfurt-Region). Für die Kerndatenverarbeitung findet daher keine Übermittlung in Drittländer statt.

7.2 Folgende eingesetzte Dienstleister haben ihren Unternehmenssitz in den USA, weshalb ein Zugriff von dort nicht vollständig ausgeschlossen werden kann. Die Übermittlung erfolgt in diesen Fällen auf Basis folgender Transfermechanismen nach DSGVO:

  • Clerk Inc. (USA) – Authentifizierung: Standardvertragsklauseln (SCC) und EU-US Data Privacy Framework (DPF, soweit zertifiziert),
  • Wasabi Technologies, LLC (USA) – Dokumentenspeicher: Standardvertragsklauseln (SCC); tatsächliche Datenspeicherung ausschließlich im Frankfurt-Bucket (EU),
  • Fly.io, Inc. (USA) – Hosting: Standardvertragsklauseln (SCC); tatsächliche Serververarbeitung ausschließlich in Frankfurt (EU),
  • Stripe Payments Europe, Ltd. (Irland) – Zahlung: EU-Vertragspartei; keine Drittlandübermittlung für den regulären Zahlungsverkehr.

8. Speicherdauer und Löschkonzept

8.1 Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Account- und Vertragsdaten: für die Dauer des Vertragsverhältnisses; nach Vertragsende für den Zeitraum gesetzlicher Aufbewahrungspflichten.
  • Abrechnungs- und Steuerdaten: mindestens 7 Jahre entsprechend der österreichischen unternehmens- und steuerrechtlichen Aufbewahrungspflichten.
  • Inhaltsdaten: bis zur aktiven Löschung durch den Kunden oder bis zum Ablauf der nach Vertragsende gewährten Exportfrist (siehe AGB Abschnitt 8.6).
  • Protokolldaten: in der Regel 30 bis 90 Tage je nach sicherheitsbezogenem Erfordernis; längere Aufbewahrung nur bei konkretem Verdacht auf Missbrauch oder bei laufenden Verfahren.
  • Consent-Protokolle (Einwilligungen): für den Zeitraum, der zum Nachweis der Einwilligung nach DSGVO erforderlich ist, in der Regel bis zum Widerruf zuzüglich gesetzlicher Aufbewahrungsfrist.

9. Datensicherheit

Die Anbieterin setzt dem Stand der Technik entsprechende technische und organisatorische Maßnahmen (TOMs) ein, darunter insbesondere:

  • Transportverschlüsselung (TLS/HTTPS) für alle Datenübertragungen,
  • Verschlüsselung gespeicherter Daten (Encryption at Rest) in der Speicherinfrastruktur,
  • rollenbasierte Zugriffskontrollen mit dem Prinzip der minimalen Rechtevergabe (Least Privilege),
  • Protokollierung und Monitoring sicherheitsrelevanter Ereignisse,
  • regelmäßige Datensicherungen (Backups) und getestete Wiederherstellungsprozesse,
  • Schwachstellenmanagement und zeitnahe Einspielung von Sicherheitsupdates,
  • Vertraulichkeitsverpflichtungen für alle mit der Datenverarbeitung betrauten Personen.

Im Fall einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für betroffene Personen bewirkt, wird die Anbieterin die zuständige Datenschutzbehörde und, soweit erforderlich, die betroffenen Personen nach Maßgabe der DSGVO benachrichtigen.

10. Rechte betroffener Personen

Betroffene Personen haben nach der DSGVO insbesondere folgende Rechte:

  • Auskunft über die zur Person gespeicherten Daten (Art. 15 DSGVO),
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO),
  • Löschung (Recht auf Vergessenwerden, Art. 17 DSGVO),
  • Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit in einem gängigen, maschinenlesbaren Format (Art. 20 DSGVO),
  • Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO),
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Anfragen sind in Textform zu richten an: hi@belegmappe.at.
Betroffene Personen haben außerdem das Recht, eine Beschwerde bei der zuständigen Datenschutzbehörde einzureichen: Datenschutzbehörde (DSB), Barichgasse 40–42, 1030 Wien, dsb@dsb.gv.at, www.dsb.gv.at.

11. Pflicht zur Bereitstellung von Daten

11.1 Die Bereitstellung bestimmter Daten ist für Abschluss und Durchführung des Vertragsverhältnisses erforderlich (z. B. Login-Daten, Abrechnungsinformationen).
11.2 Ohne diese Daten kann der Dienst ganz oder teilweise nicht bereitgestellt werden.

12. Automatisierte Entscheidungen

Eine ausschließlich automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung für betroffene Personen findet nicht statt.

13. Cookies und ähnliche Technologien

Informationen zur Verwendung von Cookies, ähnlichen Technologien und zur Einwilligungssteuerung finden sich in der Cookie-Information.

14. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung wird bei rechtlichen, technischen oder organisatorischen Änderungen aktualisiert. Wesentliche Änderungen werden Bestandskunden in angemessener Weise mitgeteilt (z. B. per E-Mail oder In-App-Hinweis). Maßgeblich ist die jeweils veröffentlichte Fassung.

Stand: 22. Februar 2026