Datenschutzerklärung

Verantwortlich für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist die digitally induced GmbH (Betreiber von belege.ai).
Kontakt: hi@digitallyinduced.com.
Weitere rechtliche Informationen findest du im Impressum.

Wir erheben je nach Nutzung des Dienstes folgende Kategorien personenbezogener Daten:

• Kontodaten: Name, E-Mail-Adresse, Firmenname, Abrechnungsdaten, Login-Zugangsdaten (in gehashter Form) und Kontoeinstellungen.
• Rechnungs- und Transaktionsdaten: Zahlungsstatus, Rechnungen, Abo-Informationen und Nutzungsmengen. Zahlungskartendaten werden typischerweise direkt von unserem Zahlungsdienstleister (Stripe) verarbeitet und nicht von uns gespeichert.
• Nutzungsdaten: Log- und Diagnosedaten (z. B. IP-Adresse, Geräte-/Browserinformationen, aufgerufene Seiten, Zeitstempel, Feature-Nutzung und Fehler).
• Kommunikation: Nachrichten, die du uns zusendest (Support-Anfragen per E-Mail oder Telegram).
• Telegram-Chat-Daten: Nachrichten, Fotos, Sprachnachrichten, Videos und Dateien, die du an unseren Telegram-Bot sendest, sowie deine Telegram-User-ID und Chat-ID zur Zuordnung.
• Bankdaten: Konto-Transaktionen und Metadaten (Betrag, Empfänger, Verwendungszweck, Datum), die du per CSV-Upload bereitstellst oder die wir via Banking-API (z. B. Revolut, Deutsche Bank) mit deiner Einwilligung abrufen.
• E-Mail-Postfach-Daten: E-Mails und Anhänge aus verbundenen Postfächern (Gmail via OAuth, IMAP mit Anmeldedaten), ausschließlich zur automatischen Erkennung und Zuordnung von Belegen.
• Hochgeladene Belege: Rechnungen, Quittungen und Bewirtungsbelege als PDF oder Bild, die du zur Verarbeitung zur Verfügung stellst.
• Drittanbieter-Integrationen: Daten aus verbundenen Diensten wie Stripe, Tesla, Shopify (z. B. Rechnungen, Ladehistorie, Bestellungen), die wir mit deiner Einwilligung zur Belegerkennung abrufen.
• Digitale Signatur: Deine faksimilierte Unterschrift, die du über einen per Telegram zugesandten Link erfasst, zur Verwendung auf finanzamt-konformen Bewirtungsbelegen.
• KI-verarbeitete Ausgaben: Extrahierte Metadaten, Kategorisierungen und Zuordnungen, die unsere KI-Modelle aus den oben genannten Daten generieren.

Wir verarbeiten personenbezogene Daten, um:

• den Dienst bereitzustellen, zu betreiben und instand zu halten;
• Konten zu erstellen und Nutzer zu authentifizieren;
• Zahlungen abzuwickeln, Abos zu verwalten und Rechnungen zu versenden;
• Agent-Funktionalität zu ermöglichen (Belege extrahieren, Transaktionen mit Belegen matchen, Bewirtungsbelege und Eigenbelege generieren, Reisekostenabrechnungen erstellen);
• Zuverlässigkeit, Leistung und Sicherheit zu überwachen und zu verbessern;
• Kundensupport bereitzustellen und auf Anfragen zu reagieren;
• gesetzliche Pflichten zu erfüllen und unsere Nutzungsbedingungen durchzusetzen.

Soweit die DSGVO anwendbar ist, verarbeiten wir personenbezogene Daten auf Grundlage einer oder mehrerer der folgenden Rechtsgrundlagen:

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): zur Bereitstellung des von dir angefragten Dienstes.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): zum Betrieb, zur Absicherung und Verbesserung des Dienstes, zur Missbrauchsprävention und zur Kommunikation mit Nutzern.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): wo erforderlich (z. B. Zugriff auf dein Bankkonto, E-Mail-Postfach oder verbundene Drittanbieter-Dienste, bestimmte Marketing-Kommunikation).
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): zur Einhaltung geltender Gesetze (z. B. Buchführungs-, Aufbewahrungs- oder Sicherheitsvorgaben).

Wir können personenbezogene Daten an folgende Empfänger weitergeben:

• Dienstleister, die uns beim Betrieb des Dienstes unterstützen: Hosting (Netcup, Deutschland), E-Mail-Versand (Amazon SES, eu-west-1), Zahlungsabwicklung (Stripe), KI-Modell-Anbieter (OpenAI, Google Gemini), Browser-Automatisierung (Browserbase), Produkt-Analyse (PostHog, USA – über Standardvertragsklauseln abgesichert) und Web-Analyse/Consent (Datakant, Deutschland).
• Drittanbieter-APIs, über die wir auf deine Daten zugreifen: Telegram, Revolut, Deutsche Bank, Gmail (Google), IMAP-Server, Tesla, Shopify — jeweils nur im Rahmen deiner Einwilligung und zum Zweck der Belegverarbeitung.
• Berufliche Berater (Anwälte, Wirtschaftsprüfer), soweit erforderlich.
• Behörden, soweit dies gesetzlich erforderlich ist oder aufgrund rechtmäßiger Anfragen.
• Geschäftstransaktionen (z. B. Fusion oder Übernahme) unter Einhaltung angemessener Schutzmaßnahmen.

Wir verkaufen deine personenbezogenen Daten nicht.

Der Dienst nutzt KI-Modelle zur Extraktion von Belegdaten, zur Transkription von Sprachnachrichten, zur Vision-basierten Analyse von Fotos und Dokumenten sowie zur Generierung von Agent-Antworten. Dazu übermitteln wir relevante Teile deiner Eingaben (z. B. Belegfotos, PDF-Texte, Telegram-Nachrichten, Transaktionsbeschreibungen) an KI-Modell-Anbieter, die als Auftragsverarbeiter bzw. Unter-Auftragsverarbeiter für uns tätig sind — insbesondere OpenAI und Google (Gemini).

Training: Wir nutzen deine Kundeninhalte nicht zum Training unserer eigenen oder der Modelle der Anbieter. Die API-Verträge mit OpenAI und Google schließen das Training auf übermittelten Eingaben standardmäßig aus.

Wir verwenden ein technisch notwendiges Session-Cookie, um dich eingeloggt zu halten. Zusätzlich setzen wir Analyse-Dienste ein, um Nutzung und Fehler zu verstehen und den Dienst zu verbessern: PostHog (Produkt-Analytics, USA – über Standardvertragsklauseln abgesichert) und Datakant (Web-Analyse und Consent-Management, Deutschland). Diese Dienste können Cookies oder ähnliche Technologien verwenden. Werbe- oder Marketing-Cookies Dritter zu Werbezwecken setzen wir nicht ein. Du kannst Cookies über deine Browsereinstellungen kontrollieren; ohne Session-Cookie kannst du dich nicht einloggen.

Wir speichern personenbezogene Daten nur so lange, wie dies für die in dieser Erklärung beschriebenen Zwecke erforderlich ist — inklusive der Bereitstellung des Dienstes, der Erfüllung rechtlicher Pflichten, der Beilegung von Streitigkeiten und der Durchsetzung von Vereinbarungen. Für Rechnungen und steuerlich relevante Belege gelten die gesetzlichen Aufbewahrungsfristen von bis zu zehn Jahren (§ 147 AO, § 257 HGB).

Wir setzen administrative, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ein — u. a. TLS-Verschlüsselung für alle Verbindungen, verschlüsselte Speicherung sensibler Tokens (Bank-API-Credentials, OAuth-Refresh-Tokens) und regelmäßige Sicherheits-Updates. Keine Übertragungs- oder Speichermethode ist vollständig sicher; eine absolute Sicherheit können wir nicht garantieren.

Einige unserer Unter-Auftragsverarbeiter (insbesondere OpenAI und Google) verarbeiten Daten in den USA. Soweit erforderlich, stützen wir solche Drittlandsübermittlungen auf geeignete Garantien wie Standardvertragsklauseln (SCCs) oder andere rechtmäßige Transfermechanismen.

Nach der DSGVO stehen dir folgende Rechte zu:

• Auskunft über deine personenbezogenen Daten (Art. 15);
• Berichtigung unrichtiger Daten (Art. 16);
• Löschung („Recht auf Vergessenwerden", Art. 17);
• Einschränkung der Verarbeitung (Art. 18);
• Datenübertragbarkeit (Art. 20);
• Widerspruch gegen die Verarbeitung (Art. 21);
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3).

Zur Ausübung deiner Rechte wende dich an hi@digitallyinduced.com. Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (für uns zuständig: Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, LDI NRW).

Wenn du den Dienst im Namen einer Organisation nutzt, ist deine Organisation in der Regel der Verantwortliche für die über den Dienst verarbeiteten personenbezogenen Daten, und wir handeln als Auftragsverarbeiter in deren Auftrag. Einen Auftragsverarbeitungsvertrag (AVV) stellen wir auf Anfrage zur Verfügung.

Der Dienst richtet sich nicht an Personen unter 16 Jahren, und wir erheben wissentlich keine personenbezogenen Daten von Kindern. Solltest du davon ausgehen, dass ein Kind uns personenbezogene Daten übermittelt hat, kontaktiere uns, damit wir angemessene Schritte einleiten können.

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren. Das Datum „Stand" am Anfang spiegelt die aktuelle Version wider. Bei wesentlichen Änderungen informieren wir zusätzlich über den Dienst oder per E-Mail.

Fragen zum Datenschutz? Kontaktiere uns unter hi@digitallyinduced.com.