Datenschutzerklärung – Dok24 Akquise-Ablage

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten im Rahmen des Dienstes „Akquise-Ablage" (app.dok24.eu).

1. Verantwortlicher

NEBO eG, Fichtenweg 19, 76356 Weingarten, Deutschland
Vertreten durch: Vorstand: Rainer Treuer
E-Mail: info@nebo-eg.de

Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist gesetzlich nicht zwingend erforderlich und wurde nicht benannt. Datenschutzanfragen richten Sie bitte an info@nebo-eg.de.

2. Zwei Rollen: Konto-Daten vs. hochgeladene Dokumente

Wir unterscheiden klar zwischen zwei Arten von Daten:

Konto- und Vertragsdaten (Registrierung, Anmeldung, Abrechnung): Hierfür ist die NEBO eG datenschutzrechtlich Verantwortliche.
Inhalte der hochgeladenen Dokumente (Belege, Rechnungen, Schreiben – ggf. mit personenbezogenen Daten Dritter): Hierfür ist der Kunde der Verantwortliche; die NEBO eG verarbeitet diese Daten ausschließlich weisungsgebunden als Auftragsverarbeiterin (Art. 28 DSGVO). Grundlage ist der Auftragsverarbeitungsvertrag (AVV).

3. Verarbeitete Daten, Zwecke und Rechtsgrundlagen

Registrierung/Anmeldung (Name/Bezeichnung, E-Mail, Passwort-Hash): zur Bereitstellung des Nutzerkontos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag).
Firmen-/Mandantendaten (Firmenname, Rechtsform, ggf. Steuernummer): zur Einrichtung und Zuordnung der Ablage. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Hochgeladene Dokumente und daraus ausgelesene Metadaten (Absender, Datum, Dokumenttyp, Dateiname): zur automatischen Ablage und Verarbeitung. Verarbeitung als Auftragsverarbeiterin auf Weisung des Kunden (Art. 28 DSGVO).
Abrechnungsdaten (Abo-Status, Zahlungen, Rechnungen): zur Vertragsabwicklung und Erfüllung steuerlicher Pflichten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO.
Server-Logs (technisch erforderlich, z. B. zur Sicherheit/Stabilität): Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

4. Speicherort und Sicherheit

Original-Dokumente liegen verschlüsselt im Objektspeicher (Cloudflare R2, EU-Konfiguration); der Zugriff erfolgt ausschließlich über zeitlich begrenzte, signierte Links.
Metadaten liegen in einer EU-Datenbank (Supabase, Region Irland) mit Mandantentrennung auf Datenbankebene (Row-Level Security) – jeder Kunde sieht ausschließlich seine eigenen Daten.
Die Übertragung erfolgt verschlüsselt (HTTPS/TLS).

5. Empfänger / Auftragsverarbeiter (Unterauftragsverarbeiter)

Zur Erbringung des Dienstes setzen wir sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge bestehen bzw. geschlossen werden. Erfolgt eine Übermittlung in ein Drittland (z. B. USA), geschieht dies auf Grundlage geeigneter Garantien (insb. EU-Standardvertragsklauseln, Art. 46 DSGVO):

Hostinger International Ltd. – Server-Hosting (Anwendung + Automatisierung/n8n) und E-Mail-Eingang. Ort: EU (Rechenzentrum Deutschland). Grundlage: AVV nach Art. 28 DSGVO.
Supabase, Inc. – Datenbank und Anmeldung/Authentifizierung (nur Metadaten, keine Dateien). Ort: EU – Irland (Region eu-west-1). Grundlage: AVV/DPA nach Art. 28 DSGVO, ggf. EU-Standardvertragsklauseln.
Cloudflare, Inc. (Cloudflare R2) – Verschlüsselter Dateispeicher für die hochgeladenen Original-Dokumente. Ort: EU-Jurisdiktion (R2-EU-Konfiguration). Grundlage: DPA nach Art. 28 DSGVO + EU-Standardvertragsklauseln.
Anthropic PBC – KI-gestütztes Auslesen und Klassifizieren der Belege (Texterkennung, Absender/Datum/Typ, Firmenzuordnung). Ort: USA. Grundlage: DPA nach Art. 28 DSGVO + EU-Standardvertragsklauseln; die kommerzielle API-Nutzung wird laut Anbieter nicht zum Training von Modellen verwendet.
Stripe Payments Europe, Ltd. – Zahlungsabwicklung (Abonnement, Einrichtungsgebühr). Ort: EU – Irland (Konzernmutter in den USA). Grundlage: DPA nach Art. 28 DSGVO + EU-Standardvertragsklauseln.
NOWPayments (NOW Payments Inc.) – Krypto-Zahlungsabwicklung (USDC/USDT u. a.) – alternativer Zahlweg. Ort: außerhalb der EU. Grundlage: DPA nach Art. 28 DSGVO + geeignete Garantien (EU-SCC); nur bei Wahl der Krypto-Zahlung. Übermittelt werden Zahlungs-/Transaktionsdaten, keine Beleginhalte..
Telegram FZ-LLC (optional, nur bei aktiver Nutzung) – OPTIONALER Eingangskanal: Übermittlung von Belegen per Telegram-Bot (nur bei aktiver Nutzung durch den Kunden). Ort: außerhalb der EU. Grundlage: Nutzung nur auf ausdrückliche Veranlassung des Kunden; es steht kein Auftragsverarbeitungsvertrag zur Verfügung. E-Mail und direkter Upload sind die empfohlenen, EU-seitig abgesicherten Wege..

Eine stets aktuelle Liste der Unterauftragsverarbeiter ist Bestandteil des AVV.

6. Hinweis zum optionalen Telegram-Kanal

Belege können optional per Telegram-Bot eingereicht werden. Dabei werden die Dateien über die Server von Telegram (außerhalb der EU) übertragen. Für Telegram steht kein Auftragsverarbeitungsvertrag zur Verfügung. Die Nutzung dieses Kanals ist freiwillig und erfolgt nur auf ausdrückliche Veranlassung des Kunden. Für eine durchgehend EU-seitig abgesicherte Übermittlung empfehlen wir den E-Mail-Eingang oder den direkten Upload im Dashboard.

7. Speicherdauer

Dokumente und Metadaten werden für die Dauer des Vertragsverhältnisses gespeichert und nach Vertragsende bzw. auf Weisung des Kunden gelöscht. Gesetzliche Aufbewahrungspflichten (z. B. für Rechnungen) bleiben unberührt. Kunden können ihre Daten jederzeit selbst exportieren und ihr Konto samt aller Daten löschen (siehe „Konto & Daten" im Dashboard).

8. Ihre Rechte

Sie haben nach der DSGVO insbesondere folgende Rechte:

Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17),
Einschränkung der Verarbeitung (Art. 18),
Datenübertragbarkeit (Art. 20),
Widerspruch (Art. 21) sowie Widerruf erteilter Einwilligungen.

Betrifft Ihre Anfrage Inhalte hochgeladener Dokumente, für die ein Kunde Verantwortlicher ist, leiten wir Sie an den jeweils Verantwortlichen weiter. Zur Ausübung genügt eine Nachricht an info@nebo-eg.de.

9. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig ist: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Lautenschlagerstraße 20, 70173 Stuttgart, www.baden-wuerttemberg.datenschutz.de.

10. Cookies

Wir verwenden ausschließlich technisch notwendige Cookies (zur Anmeldung/Sitzungsverwaltung). Es findet kein Tracking und keine Werbe-Analyse statt. Notwendige Cookies bedürfen keiner Einwilligung.

Hinweis: Dieser Text ist ein sorgfältig erstellter Entwurf und ersetzt keine Rechtsberatung. Vor dem Produktivbetrieb mit echten Kunden ist eine anwaltliche bzw. datenschutzrechtliche Prüfung erforderlich. Mit [PLATZHALTER] markierte Angaben sind noch zu ergänzen.