Datenschutzerklärung
Stand: April 2026. Diese Erklärung beschreibt, wie wir personenbezogene Daten gemäß DSGVO und österreichischem Datenschutzgesetz (DSG) verarbeiten.
1. Verantwortlicher
Paul Lorenz (Einzelunternehmen)
Velbenstrasse 40a, 6380 St. Johann in Tirol, Österreich
Email: info@lorenz-music.com
2. Welche Daten wir verarbeiten
2.1 Account-Daten
- Email-Adresse (Pflicht für Login + Kommunikation)
- Name (optional, nur wenn vom Nutzer angegeben)
- Passwort (gehashed mit bcrypt, niemals im Klartext)
- Plan-Zuordnung, Anmeldezeitpunkte, Session-Token (verschlüsselt)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
2.2 Belegdaten
- Hochgeladene Dateien (PDF, JPG, PNG, WEBP)
- Aus den Belegen extrahierte Daten (Lieferant/Kunde, Beträge, Datum, USt-Sätze, Rechnungsnummern)
- Vom Nutzer manuell ergänzte Felder (Kategorie, Garantie-Dauer, Zahlungs-Status)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrungsdauer: bis Account-Löschung durch den Nutzer oder bis gesetzliche Aufbewahrungspflicht endet (§ 132 BAO Österreich: 7 Jahre, § 147 AO Deutschland: 10 Jahre — falls Belege Buchhaltungsrelevanz haben).
2.3 Firmen-Stammdaten (optional)
- Firmenname, Adresse, USt-ID, IBAN — werden nur zur automatischen Direction-Detection (Eingangs- vs. Ausgangsrechnung) genutzt
2.4 Zahlungsdaten
Zahlungen werden ausschließlich von Stripe Payments Europe Ltd. verarbeitet. Wir erhalten keine Kreditkarten-Daten. Stripe gibt uns nur Zahlungs-Status und Subscription-Metadaten (Plan, Intervall, Period-End) zurück.
2.5 Server-Logs
- IP-Adresse (gekürzt anonymisiert nach 7 Tagen)
- User-Agent
- Aufgerufene URL, Status-Code, Zeitstempel
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (Sicherheit, Missbrauchsabwehr).
2.6 Web-Push-Subscriptions (optional)
Wenn du Web-Push-Benachrichtigungen aktivierst, speichern wir deinen Push-Endpoint und die zugehörigen Auth-Keys deines Browsers, um dir Benachrichtigungen senden zu können (Garantie-Ablauf, Mahn-Ereignisse). Du kannst die Berechtigung jederzeit widerrufen.
3. Auftragsverarbeiter
Wir nutzen folgende Dienste zur Erbringung unserer Leistung:
| Anbieter | Zweck | Standort |
|---|---|---|
| Mittwald CM Service GmbH & Co. KG | Application-Hosting | Espelkamp, Deutschland (EU) |
| Neon Inc. | PostgreSQL-Datenbank-Hosting | AWS Frankfurt, Deutschland (EU) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Dublin, Irland (EU) |
| Anthropic PBC | OCR/Vision-API für Beleg-Erkennung (server-only) | USA (Standardvertragsklauseln) |
Mit allen Auftragsverarbeitern bestehen Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO.
4. Cookies & lokale Speicherung
- Auth-Session-Cookie (httpOnly, secure, sameSite=lax) — notwendig für Login, kein Tracking
- Service Worker Cache — speichert App-Code lokal für Offline-Funktionalität (PWA)
Wir setzen keine Tracking-Cookies, keine Werbe-Pixel, kein Google Analytics, keine Drittanbieter-Skripte.
5. Deine Rechte (Art. 15–22 DSGVO)
- Auskunft über gespeicherte Daten
- Berichtigung unrichtiger Daten
- Löschung („Recht auf Vergessenwerden")
- Einschränkung der Verarbeitung
- Datenübertragbarkeit
- Widerspruch gegen die Verarbeitung
- Beschwerde bei der zuständigen Aufsichtsbehörde (Österreich: Datenschutzbehörde, dsb.gv.at; Deutschland: zuständige Landesdatenschutzbehörde)
Anfragen bitte per Email an info@lorenz-music.com — wir antworten binnen 30 Tagen.
6. Account-Löschung
Du kannst dein Konto und alle zugehörigen Daten jederzeit selbst über /einstellungen → Account löschen entfernen. Die Löschung ist endgültig und umfasst alle Belege, Projekte und Auftragsverarbeiter-Daten.
7. SSL-/TLS-Verschlüsselung
Diese Website nutzt durchgehend TLS 1.2+ Verschlüsselung. Du erkennst das am „https://" und am Schloss-Symbol in deiner Browserleiste.