Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

MLR Ventures UG (haftungsbeschränkt)
[ bitte ergänzen ]
[ bitte ergänzen ] [ bitte ergänzen ], Deutschland
E-Mail: [ bitte ergänzen ]
Telefon: [ bitte ergänzen ]

2. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten auf Grundlage der einschlägigen Vorschriften der DSGVO, insbesondere:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung der betroffenen Person.
• Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen (Bereitstellung von Susan).
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen, etwa handels- und steuerrechtlicher Aufbewahrungspflichten.
• Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen (z. B. sicherer und stabiler Betrieb der Anwendung).

3. Hosting und Bereitstellung der Anwendung

Susan wird auf Servern unserer Infrastruktur- und Hosting-Dienstleister betrieben. Beim Aufruf der Anwendung werden technisch notwendige Daten verarbeitet, um die Web-Anwendung sicher und stabil auszuliefern. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO. Mit den eingesetzten Dienstleistern bestehen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO.

4. Server-Logdateien

Der Hosting-Anbieter erhebt und speichert automatisch Informationen in sogenannten Server-Logdateien, die Ihr Browser automatisch übermittelt. Dies sind insbesondere Browsertyp und -version, verwendetes Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners, Uhrzeit der Serveranfrage und die IP-Adresse. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zur Gewährleistung eines reibungslosen und sicheren Betriebs.

5. Cookies und Endgeräte-Speicherung (§ 25 TDDDG)

Susan setzt ausschließlich technisch notwendige Cookies bzw. vergleichbare Speichertechniken ein, etwa um Ihre Anmeldung und Sitzung aufrechtzuerhalten. Diese sind nach § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei, da sie für die Bereitstellung des von Ihnen ausdrücklich gewünschten Dienstes unbedingt erforderlich sind. Ein Einwilligungsbanner ist hierfür nicht erforderlich. Sollten künftig Analyse- oder Marketing-Techniken hinzukommen, holen wir vorab Ihre Einwilligung ein.

6. Registrierung und Nutzerkonto

Für die Nutzung von Susan richten Sie ein Nutzerkonto ein. Dabei verarbeiten wir die von Ihnen angegebenen Bestands- und Zugangsdaten (z. B. Name, E-Mail-Adresse, Anmeldeinformationen) zur Begründung, Durchführung und Verwaltung des Nutzungsverhältnisses. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Die Authentifizierung wird über unseren Auftragsverarbeiter Supabase abgewickelt.

7. Verarbeitung Ihrer Buchhaltungsdaten (Auftragsverarbeitung)

Soweit Sie in Susan Belege, Kontoumsätze und weitere Unterlagen hochladen und verbuchen, verarbeiten wir die darin enthaltenen personenbezogenen Daten (etwa von Ihren Kund:innen, Lieferanten oder Beschäftigten) ausschließlich in Ihrem Auftrag und nach Ihrer Weisung. Insoweit sind Sie der Verantwortliche und MLR Ventures UG (haftungsbeschränkt) ist Auftragsverarbeiter nach Art. 28 DSGVO. Die Einzelheiten regelt der Auftragsverarbeitungsvertrag (AVV), der Bestandteil des Nutzungsvertrags ist.

8. Einsatz künstlicher Intelligenz

Zur Klassifizierung, Extraktion und Kontierung hochgeladener Belege setzt Susan KI-Dienste von Anthropic PBC (USA) ein. Hierbei werden Inhalte der jeweiligen Belege an Anthropic übermittelt und verarbeitet. Die Ergebnisse sind unverbindliche Vorschläge, die Sie vor der Verbuchung prüfen und freigeben. Der KI-Einsatz erfolgt nur, wenn ein entsprechender Zugang konfiguriert ist; andernfalls verbleibt die Verarbeitung lokal in der Anwendung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b und lit. f DSGVO bzw. Ihre Weisung im Rahmen der Auftragsverarbeitung. Zur Drittlandübermittlung siehe Ziffer 10.

9. Empfänger und Auftragsverarbeiter

Wir geben personenbezogene Daten nur an sorgfältig ausgewählte Dienstleister weiter, die uns bei der Bereitstellung von Susan unterstützen und mit denen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO bestehen. Aktuell sind dies insbesondere:

• Supabase Inc. ([ bitte ergänzen ] (gewählte Region prüfen; EU-Region empfohlen)) — Hosting der Datenbank, Authentifizierung sowie Datei-Storage des unveränderbaren Beleg-Archivs.
• Anthropic PBC (USA) — KI-gestützte Klassifizierung und Kontierung hochgeladener Belege. Wird nur genutzt, wenn ein API-Schlüssel hinterlegt ist; andernfalls läuft die Verarbeitung rein lokal.
• [ bitte ergänzen ] (Hosting-/Infrastruktur-Anbieter, z. B. Vercel Inc.) ([ bitte ergänzen ]) — Auslieferung der Web-Anwendung und Betrieb der Server-Infrastruktur.

10. Datenübermittlung in Drittländer

Einige der eingesetzten Dienstleister, insbesondere Anthropic PBC, verarbeiten Daten in den USA. Eine Übermittlung erfolgt nur auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO — namentlich der EU-Standardvertragsklauseln und, soweit der jeweilige Anbieter zertifiziert ist, des EU-US Data Privacy Framework. Auf Anfrage stellen wir Ihnen Informationen zu den vereinbarten Garantien bereit.

11. Speicherdauer und Aufbewahrungspflichten

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist. Buchungsbelege, Geschäftsbriefe und buchhalterische Aufzeichnungen unterliegen den gesetzlichen Aufbewahrungsfristen nach § 147 AO und § 257 HGB (in der Regel sechs bzw. acht oder zehn Jahre) sowie den Anforderungen der GoBD. Für die Dauer dieser Fristen ist eine Löschung ausgeschlossen; die Verarbeitung wird stattdessen eingeschränkt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO.

12. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber dem Verantwortlichen folgende Rechte zu:

• Auskunft über die verarbeiteten Daten (Art. 15 DSGVO),
• Berichtigung unrichtiger Daten (Art. 16 DSGVO),
• Löschung (Art. 17 DSGVO),
• Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Datenübertragbarkeit (Art. 20 DSGVO),
• Widerspruch gegen die Verarbeitung aus Gründen Ihrer besonderen Situation, soweit diese auf Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 21 DSGVO).

Haben Sie eine Einwilligung erteilt, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen (Art. 7 Abs. 3 DSGVO). Zur Ausübung Ihrer Rechte genügt eine Nachricht an [ bitte ergänzen ].

13. Beschwerderecht bei einer Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Für uns zuständig ist: [ bitte ergänzen ]. Sie können sich auch an die Aufsichtsbehörde Ihres Wohnsitz- oder Arbeitsorts wenden.

14. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um Ihre Daten gegen Verlust, Manipulation und unberechtigten Zugriff zu schützen, insbesondere durch Transportverschlüsselung, Zugriffskontrollen und eine unveränderbare, GoBD-konforme Ablage der Belege. Die Maßnahmen werden fortlaufend an den Stand der Technik angepasst.

15. Aktualität und Änderung dieser Erklärung