belegix
Einloggen14 Tage gratis starten

Datenschutzerklärung

des Online-Dienstes „Belegix". Stand: Juni 2026. Diese Datenschutzerklärung beschreibt, wie wir personenbezogene Daten gemäß der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) sowie dem österreichischen Datenschutzgesetz (DSG) verarbeiten.

1. Verantwortlicher

Paul Lorenz (Einzelunternehmen)
Velbenstrasse 40a, 6380 St. Johann in Tirol, Österreich
E-Mail: info@belegix.com
Website: belegix.com

2. Welche Daten wir verarbeiten

2.1 Account-Daten

  • E-Mail-Adresse (Pflicht für Login und Kommunikation)
  • Name (optional, nur wenn vom Nutzer angegeben)
  • Passwort (gehashed mit bcrypt, niemals im Klartext gespeichert)
  • Plan-Zuordnung, Anmeldezeitpunkte, Session-Token (verschlüsselt)
  • Zustimmung zu AGB und Datenschutzerklärung: Zeitpunkt der Annahme sowie die Versionsnummer der akzeptierten Fassung (Audit-Nachweis gemäß Art. 7 Abs. 1 DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.2 Belegdaten

  • Hochgeladene Dateien (PDF, JPG, PNG, WEBP)
  • Aus den Belegen extrahierte Daten (Lieferant/Kunde, Beträge, Datum, USt-Sätze, Rechnungsnummern)
  • Vom Nutzer manuell ergänzte Felder (Kategorie, Garantie-Dauer, Zahlungs-Status)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrungsdauer: bis zur Account-Löschung durch den Nutzer oder bis zum Ablauf gesetzlicher Aufbewahrungspflichten (§ 132 BAO: 7 Jahre), sofern die Belege Buchhaltungsrelevanz haben.

2.3 Firmen-Stammdaten (optional)

Firmenname, Adresse, USt-ID, IBAN – werden nur zur automatischen Erkennung der Belegrichtung (Eingangs- vs. Ausgangsrechnung) und zur Vorbefüllung von Dokumenten genutzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.4 Zahlungsdaten

Zahlungen werden ausschließlich von Stripe Payments Europe Ltd. verarbeitet. Wir erhalten und speichern keine Kreditkarten- oder Bankdaten. Stripe gibt uns lediglich Zahlungs-Status und Subscription-Metadaten (Plan, Intervall, Period-End) zurück.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.5 Bankanbindung (optional)

Sofern der Nutzer die optionale Bankanbindung aktiviert, werden Kontoumsatzdaten über die Schnittstelle der finAPI GmbH (München, Deutschland) als BaFin-lizenzierter Kontoinformationsdienstleister (PSD2) abgerufen. Die Autorisierung erfolgt direkt beim jeweiligen Kreditinstitut des Nutzers; Belegix speichert keine Bankzugangsdaten. Die abgerufenen Transaktionsdaten werden ausschließlich zur automatischen Zuordnung von Belegen zu Zahlungseingängen/-ausgängen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

2.6 Server-Logs

  • IP-Adresse (gekürzt anonymisiert nach 7 Tagen)
  • User-Agent
  • Aufgerufene URL, Status-Code, Zeitstempel

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Missbrauchsabwehr). Die Speicherung in Logfiles ist für den Betrieb des Dienstes zwingend erforderlich.

2.7 Web-Push-Subscriptions (optional)

Wenn der Nutzer Web-Push-Benachrichtigungen aktiviert, speichern wir den Push-Endpoint und die zugehörigen Auth-Keys des Browsers, um Benachrichtigungen senden zu können (z. B. Garantie-Ablauf, Mahn-Ereignisse). Die Berechtigung kann jederzeit im Browser widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

2.8 Kommunikationsdaten

Bei Kontaktaufnahme per E-Mail oder über das Kontaktformular verarbeiten wir die übermittelten Daten (Name, E-Mail-Adresse, Nachrichteninhalt) zur Bearbeitung der Anfrage.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen bzw. Vertragserfüllung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

2.9 Chatbot-Antworten-Cache (anwendungsweit)

Der in das Dashboard eingebaute Chatbot beantwortet Fragen wahlweise aus einer kuratierten FAQ-Datenbank, einem anwendungsweiten Antworten-Cache oder per generativem KI-Aufruf an Anthropic (siehe Abschnitt 3.1). Antworten auf ausschließlich allgemeine, nicht-personenbezogene Fragen (z. B. zur Bedienung des Dienstes oder zu österreichischen USt-Grundlagen) werden mit einer Vektor-Einbettung indexiert und zwischengespeichert (Speicherdauer höchstens 90 Tage; verlängert sich bei positivem Nutzer-Feedback um weitere 90 Tage). Stellt anschließend ein anderer Nutzer eine semantisch ähnliche Frage, wird die zwischengespeicherte Antwort wiederverwendet – ohne erneuten KI-Aufruf. Dadurch sinken Antwortlatenz und Verarbeitungskosten; der Bezug zum ursprünglich fragenden Nutzer wird im Cache nicht gespeichert.

Vom Cache strikt ausgeschlossen sind:

  • Fragen oder Antworten, die personenbezogene Daten enthalten (regelbasierte Erkennung u. a. von UID-Nummer, IBAN, E-Mail-Adresse, Telefonnummer, Belegnummer und konkreten Geldbeträgen);
  • Antworten, die über interne Tools userspezifische Daten abgerufen haben (z. B. „Wie viele offene Belege habe ich?", „Wie hoch ist meine Vorsteuer im April?").

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Diensterbringung).

2.10 Cloud-Sync der Belege (optional, Opt-in)

Der Nutzer kann eine automatische Sicherung seiner Belege auf einem eigenen Cloud-Speicher aktivieren (Google Drive, Microsoft OneDrive oder Dropbox). Die Verknüpfung erfolgt per OAuth 2.0 mit minimalem Berechtigungsumfang; die Belege werden in einen vom Nutzer auswählbaren Ordner gespiegelt. Belegix erhält keinen Zugriff auf andere Dateien des Nutzers im jeweiligen Cloud-Speicher. Die Verknüpfung ist jederzeit über die Einstellungen widerrufbar; eine Übermittlung an Google Drive (USA) erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Siehe auch Abschnitt 3.4.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

3. Auftragsverarbeiter und Empfänger

Wir nutzen folgende Dienste zur Erbringung unserer Leistung:

AnbieterZweckStandort / Garantie
Mittwald CM Service GmbH & Co. KGApplication-HostingEspelkamp, Deutschland (EU)
Neon Inc.PostgreSQL-Datenbank-HostingAWS Frankfurt, Deutschland (EU)
Stripe Payments Europe Ltd.ZahlungsabwicklungDublin, Irland (EU)
Anthropic PBCOCR/Vision-API für Beleg-Erkennung sowie generative Antworten im ChatbotUSA (Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO)
OpenAI, L.L.C.Vektor-Einbettung (text-embedding-3-small) für den Chatbot-Antworten-Cache (siehe Abschnitt 2.9)USA (Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO)
finAPI GmbHBank-API / Kontoumsatz-Abruf (PSD2-Kontoinformationsdienst, BaFin-lizenziert) – nur bei aktivierter BankanbindungMünchen, Deutschland (EU)
Google LLC (Google Drive)Cloud-Sync der Belege – nur bei vom Nutzer aktiviertem Opt-inUSA (Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO)
Microsoft Ireland Operations Ltd. (OneDrive)Cloud-Sync der Belege – nur bei vom Nutzer aktiviertem Opt-inDublin, Irland (EU)
Dropbox International Unlimited CompanyCloud-Sync der Belege – nur bei vom Nutzer aktiviertem Opt-inDublin, Irland (EU)

Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.

3.1 Anthropic / OCR-Datenverarbeitung

Belegdaten werden zur Texterkennung server-seitig an die Vision-API von Anthropic PBC (USA) übermittelt. Die Übermittlung erfolgt ausschließlich für die Dauer der OCR-Verarbeitung. Anthropic ist gemäß den Anthropic Commercial Terms vertraglich verpflichtet, die übermittelten Daten nicht zum Training von KI-Modellen zu verwenden. Die Datenübermittlung in die USA erfolgt auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ergänzender technischer und organisatorischer Maßnahmen (Verschlüsselung bei Übertragung und Verarbeitung).

3.2 Datenweitergabe an Inkasso-Unternehmen

Bei Zahlungsverzug behalten wir uns vor, die Daten des betreffenden Nutzers (Name, Anschrift, E-Mail, ausstehende Forderung) nach vorausgegangener Mahnung an ein beauftragtes Inkasso-Unternehmen weiterzugeben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der effektiven Forderungsdurchsetzung). Details siehe AGB § 9.

3.3 AVV für Geschäftskunden

Soweit Belegix für den Nutzer personenbezogene Daten Dritter (z. B. Kunden- oder Lieferantendaten auf Belegen) im Auftrag verarbeitet, schließen wir auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Anfrage per E-Mail an info@belegix.com. Der Nutzer bleibt im datenschutzrechtlichen Sinne der Verantwortliche für die von ihm verarbeiteten personenbezogenen Daten.

3.4 Cloud-Sync der Belege

Bei aktiviertem Cloud-Sync werden Belege automatisch in einen vom Nutzer ausgewählten Ordner seines eigenen Cloud-Speichers (Google Drive, OneDrive oder Dropbox) gespiegelt. Die Verknüpfung erfolgt per OAuth 2.0 mit minimalem Berechtigungsumfang (kein Zugriff auf andere Dateien des Nutzers im Cloud-Speicher). Die jeweilige Cloud-Plattform fungiert insoweit als Auftragsverarbeiterin von Belegix; eigenständige Verarbeitungen durch die Cloud-Plattform (z. B. Vorschau-Erzeugung, Suchindex, Virenscan) liegen ausschließlich in deren Verantwortungsbereich und unterliegen deren eigenen Datenschutzbestimmungen. Die Verknüpfung kann jederzeit über die Einstellungen widerrufen werden. Für die Übermittlung an Google Drive (USA) gelten Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (siehe Abschnitt 4).

3.5 Steuerberater-Einladung und Mandanten-Zugriff

Der Nutzer („Owner") kann einen Steuerberater per E-Mail-Einladung in sein Konto einbinden. Der Steuerberater erhält dadurch einen gesonderten, persönlichen Account und kann über einen Mandanten-Switcher in der Anwendung die Daten des Owners (insbesondere Belege, Reports, Anlagenverzeichnis, UVA-/U1-Vorbereitungen, Firmen-Stammdaten einschließlich Finanzamtsnummer) einsehen und im Rahmen seiner Mandantentätigkeit bearbeiten. Der Steuerberater unterliegt der berufsrechtlichen Verschwiegenheitspflicht (§ 91 WTBG) und ist eigener Verantwortlicher im Sinne der DSGVO für seine beruflich-fachliche Verarbeitung. Der Owner ist verpflichtet, vor Aussprechen einer Einladung sicherzustellen, dass er den Steuerberater korrekt identifiziert hat (Einladungslink und ggf. 4-stellige PIN dürfen ausschließlich über getrennte Kommunikationskanäle an den Steuerberater übermittelt werden, vgl. AGB § 11).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber dem Owner) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten Steuerberater-Anbindung). Die Verbindung kann vom Owner jederzeit über die Einstellungen widerrufen werden.

4. Übermittlung in Drittländer

Soweit personenbezogene Daten an Empfänger außerhalb der Europäischen Union bzw. des EWR übermittelt werden, erfolgt dies ausschließlich auf Grundlage von Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Derzeit betroffen sind:

  • Anthropic PBC, USA – OCR/Vision-API für die Beleg-Erkennung sowie generative Antworten im Chatbot;
  • OpenAI, L.L.C., USA – Vektor-Einbettungen für den Chatbot-Antworten-Cache;
  • Google LLC, USA – ausschließlich bei vom Nutzer aktiviertem Cloud-Sync nach Google Drive.

Zusätzlich werden technische und organisatorische Maßnahmen ergriffen, um ein angemessenes Datenschutzniveau sicherzustellen (insbesondere Verschlüsselung der Daten bei Übertragung und Verarbeitung, vertragliche Verpflichtung zur Nichtverwendung für eigene Zwecke). Bank-API-Daten (finAPI GmbH) verbleiben innerhalb der EU. Sofern künftig weitere Drittlandsübermittlungen hinzukommen, wird dieser Abschnitt entsprechend aktualisiert.

5. Cookies und lokale Speicherung

5.1 HTTP-Cookies (technisch notwendig)

  • next-auth.session-token – Auth-Session (httpOnly, secure, sameSite=lax). Notwendig für Login.
  • next-auth.csrf-token – CSRF-Schutz beim Login.

5.2 Lokaler Browser-Speicher (UX-Präferenzen)

  • belegix-theme – Dark- oder Light-Mode-Auswahl.
  • belegix-chatbot-position – Position des Chatbot-Buttons auf dem Bildschirm.
  • belegix-install-pwa-dismissed – Zeitstempel, wann der App-Installations-Hinweis weggeklickt wurde.
  • belegix-push-optin-dismissed – Zeitstempel, wann der Push-Notification-Hinweis weggeklickt wurde.
  • belegix-skip-crop – Präferenz, beim Kamera-Upload den Zuschneide-Schritt zu überspringen.

Diese Werte werden ausschließlich lokal im Browser gespeichert und nicht an unsere Server übertragen.

5.3 Service Worker Cache

Speichert App-Code lokal für die Offline-Funktionalität (PWA).

Wir setzen keine Tracking-Cookies, keine Werbe-Pixel, kein Google Analytics und keine sonstigen Analyse- oder Drittanbieter-Skripte ein.

Rechtsgrundlage: § 165 Abs. 3 TKG 2021 (Österreich) – technisch notwendige Cookies und lokale Speicherung von UX-Präferenzen bedürfen keiner Einwilligung.

6. Automatisierte Entscheidungsfindung

Wir nutzen keine automatisierten Entscheidungsfindungen im Sinne des Art. 22 DSGVO, die eine rechtliche Wirkung gegenüber dem Nutzer entfalten oder ihn in ähnlicher Weise erheblich beeinträchtigen. Die OCR/KI-gestützte Texterkennung (§ 15 AGB) dient ausschließlich der Datenextraktion; sämtliche Ergebnisse unterliegen der Prüfpflicht des Nutzers (§ 11.10 AGB).

7. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

  • Account-Daten: bis zur Löschung des Kontos durch den Nutzer
  • Belegdaten: bis zur Account-Löschung oder bis zum Ablauf gesetzlicher Aufbewahrungsfristen
  • Server-Logs (IP-Adressen): anonymisiert nach 7 Tagen
  • Kommunikationsdaten: für die Dauer der Anfragenbearbeitung, danach gemäß gesetzlicher Aufbewahrungsfristen
  • Zahlungsdaten bei Stripe: gemäß den Aufbewahrungsrichtlinien von Stripe
  • Daten nach Vertragsende: 30 Tage Export-Möglichkeit, danach endgültige Löschung (§ 7.4 AGB)

8. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Auskunftsrecht (Art. 15 DSGVO) – Sie können Auskunft über die von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer personenbezogenen Daten verlangen („Recht auf Vergessenwerden"), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) – Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können verlangen, die Sie betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder an einen anderen Verantwortlichen übermitteln zu lassen.
  • Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung Ihrer personenbezogenen Daten jederzeit widersprechen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
  • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO) – Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
  • Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO) – Sie können sich bei der zuständigen Datenschutzaufsichtsbehörde beschweren (Österreich: Datenschutzbehörde, dsb.gv.at; Deutschland: zuständige Landesdatenschutzbehörde).

Anfragen zu Ihren Betroffenenrechten richten Sie bitte per E-Mail an info@belegix.com. Wir antworten innerhalb von 30 Tagen.

9. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um Ihre personenbezogenen Daten vor Verlust, Zerstörung, Manipulation und unberechtigtem Zugriff zu schützen. Dazu gehört insbesondere die durchgehende TLS 1.2+ Verschlüsselung aller Datenübertragungen (HTTPS).

10. Account-Löschung

Der Nutzer kann sein Konto und alle zugehörigen Daten jederzeit selbst über /einstellungen → Account löschen entfernen. Die Löschung ist endgültig und umfasst alle Belege, Projekte, Firmen-Stammdaten und bei Auftragsverarbeitern gespeicherte Daten, soweit nicht gesetzliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen.

11. Besondere Kategorien personenbezogener Daten

Belegix ist nicht dafür vorgesehen, besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO zu verarbeiten (z. B. Gesundheitsdaten, biometrische Daten, Daten zur rassischen oder ethnischen Herkunft). Der Nutzer ist verpflichtet, solche Daten nicht im Dienst zu erfassen, soweit dies nicht für den vertragsgemäßen Zweck zwingend erforderlich ist (vgl. § 11.3 AGB).

12. Berufsrechtlicher Geheimnisschutz

Die Verarbeitung von Daten, die berufsrechtlichem Geheimnisschutz unterliegen (z. B. Mandantendaten bei rechts- und steuerberatenden Berufen), durch externe Dienstleister kann die Zustimmung der betroffenen Personen erfordern. Der Nutzer ist selbst dafür verantwortlich zu prüfen, ob ein solches Zustimmungserfordernis besteht, und gegebenenfalls die erforderliche Einwilligung einzuholen (vgl. § 11.9 AGB).

13. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Anforderungen, neue Funktionen des Dienstes oder geänderte Datenverarbeitungspraktiken anzugleichen. Die jeweils aktuelle Fassung ist unter belegix.com/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir die Nutzer per E-Mail.