Datenschutzerklärung

Mit der folgenden Datenschutzerklärung informieren wir Sie darüber, welche Arten personenbezogener Daten wir zu welchen Zwecken und in welchem Umfang im Rahmen der Bereitstellung unserer Applikation verarbeiten.

Stand: 5. Januar 2026DSGVO (Art. 13/14)NachweisKompass

Kurz-Tipp:

Nutzen Sie die Inhaltsübersicht, um direkt zum gewünschten Abschnitt zu springen.

Inhaltsübersicht

Präambel

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Hinweis

Diese Datenschutzerklärung gilt für unsere Website und die NachweisKompass-App (inkl. Registrierung, Login, Dokumentenerstellung und Zahlungsabwicklung).

Verantwortlicher

Elisabeth Kraus

Kasa Verdana 404S

50300 Chiang Mai

Thailand

E-Mail: admin@nachweiskompass.de

Impressum: https://www.nachweiskompass.de/impressum

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personengruppen.

Arten der verarbeiteten Daten

  • Bestandsdaten
  • Zahlungsdaten
  • Kontaktdaten
  • Inhaltsdaten
  • Vertragsdaten
  • Nutzungsdaten
  • Meta-, Kommunikations- und Verfahrensdaten
  • Protokolldaten

Kategorien betroffener Personen

  • Leistungsempfänger und Auftraggeber
  • Interessenten
  • Kommunikationspartner
  • Nutzer
  • Geschäfts- und Vertragspartner

Zwecke der Verarbeitung

  • Erbringung vertraglicher Leistungen
  • Kommunikation
  • Sicherheitsmaßnahmen
  • Organisations- und Verwaltungsverfahren
  • Feedback
  • Anmeldeverfahren
  • Bereitstellung des Onlineangebotes
  • IT-Infrastruktur
  • Geschäftsprozesse

Maßgebliche Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Basis der DSGVO. Je nach Kontext kommen insbesondere folgende Rechtsgrundlagen in Betracht:

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Wenn Sie uns Ihre Einwilligung für einen spezifischen Zweck erteilen (z. B. optionale Cookies / Tracking).

Vertrag (Art. 6 Abs. 1 lit. b DSGVO)

Zur Erfüllung des Nutzungsvertrags (z. B. Konto, Dokumente, Organisationen, Benachrichtigungen).

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Insbesondere IT-Sicherheit, Stabilität, Missbrauchsvermeidung sowie technische Bereitstellung (z. B. Logfiles).

Hinweis zu nationalen Regeln

Zusätzlich können nationale Datenschutzregelungen gelten (z. B. in Deutschland das BDSG). Im Sitzland des Verantwortlichen können ebenfalls nationale Vorschriften Anwendung finden.

Sicherheitsmaßnahmen

Wir treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Vertraulichkeit, Integrität, Verfügbarkeit).

TLS/SSL (HTTPS)

Zur Sicherung von Online-Verbindungen verwenden wir TLS-/SSL-Verschlüsselung (HTTPS), um Datenübertragungen vor unbefugtem Zugriff zu schützen.

Übermittlung von personenbezogenen Daten

Es kann vorkommen, dass personenbezogene Daten an Dienstleister (z. B. IT/Hosting, Zahlungsabwicklung) übermittelt oder offengelegt werden. In diesen Fällen schließen wir – soweit erforderlich – entsprechende Verträge (z. B. Auftragsverarbeitung) ab.

Internationale Datentransfers

Sofern Daten in Drittländer (außerhalb EU/EWR) übermittelt werden, erfolgt dies im Einklang mit den gesetzlichen Vorgaben.

USA – Data Privacy Framework (DPF) & Standardvertragsklauseln (SCC)

Für Übermittlungen in die USA stützen wir uns vorrangig auf das Data Privacy Framework (DPF) sowie ergänzend auf Standardvertragsklauseln (SCC), sofern einschlägig.

Weitere Informationen: dataprivacyframework.gov

Für andere Drittländer können je nach Fall SCC, ausdrückliche Einwilligungen oder gesetzlich erforderliche Übermittlungen Anwendung finden.

Allgemeine Informationen zur Datenspeicherung und Löschung

Wir löschen personenbezogene Daten gemäß den gesetzlichen Bestimmungen, sobald die zugrundeliegenden Einwilligungen widerrufen werden oder keine weitere Rechtsgrundlage besteht. Ausnahmen gelten bei gesetzlichen Aufbewahrungspflichten.

Allgemeine Aufbewahrungsfristen (Deutschland)

  • 10 Jahre – Bücher/Abschlüsse/Organisationsunterlagen (§ 147 AO, § 257 HGB)
  • 8 Jahre – Buchungsbelege (u. a. § 147 AO, § 257 HGB)
  • 6 Jahre – übrige Geschäftsunterlagen (§ 147 AO, § 257 HGB)
  • 3 Jahre – regelmäßige Verjährung (§§ 195, 199 BGB)

Beginnt eine Frist nicht ausdrücklich, startet sie i. d. R. mit Ablauf des Kalenderjahres des fristauslösenden Ereignisses.

Rechte der betroffenen Personen

Ihnen stehen als betroffene Person insbesondere Rechte aus Art. 15 bis 21 DSGVO zu.

Ihre wichtigsten Rechte

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17) / Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Widerruf von Einwilligungen (Art. 7 Abs. 3)
  • Beschwerde bei einer Aufsichtsbehörde

Kontakt zur Rechteausübung

E-Mail: admin@nachweiskompass.de

Wenn du in der App einen „Datenexport“/„Account löschen“-Button hast, kannst du das zusätzlich hier verlinken.

Zahlungsverfahren

Für Zahlungen setzen wir Zahlungsdienstleister ein. Zahlungsdaten werden dabei grundsätzlich über verschlüsselte Verbindungen übertragen.

Stripe (Zahlungsdienstleister)

Dienstanbieter: Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA

Zweck: Zahlungsdienstleistungen (technische Anbindung von Online-Bezahlmethoden)

Datenschutzerklärung: stripe.com/de/privacy

Grundlage Drittlandtransfers: DPF (sofern anwendbar).

Bereitstellung des Onlineangebots und Webhosting

Zur Bereitstellung der Online-Dienste verarbeiten wir technische Zugriffsdaten (z. B. IP-Adresse), um Inhalte an Browser/Endgeräte auszuliefern.

Server-Logfiles

Logfiles können u. a. Browsertyp, Betriebssystem, Referrer-URL, Zugriffszeiten und IP-Adressen enthalten. Sie dienen der Sicherheit und Stabilität.

Löschung: typischerweise bis max. 30 Tage, ggf. länger zur Beweisführung.

E-Mail-Versand & Hosting

Beim E-Mail-Versand werden Absender/Empfänger und Inhalte verarbeitet. E-Mails sind auf dem Transportweg oft verschlüsselt, aber nicht zwingend Ende-zu-Ende.

Vercel Inc. (Hosting)

Zweck: Hosting der Webanwendung

Standort: USA (Drittlandtransfer; Schutzmechanismen z. B. DPF/SCC, je nach Konstellation)

DPA: vercel.com/legal/dpa

Supabase (Datenbank & Auth)

Zweck: Speicherung von Nutzerdaten, Dokumenten und Authentifizierung

Standort: EU (z. B. Frankfurt, Deutschland)

DPA: supabase.com/dpa

Resend (E-Mail-Versand)

Zweck: Versand von Benachrichtigungs-E-Mails (z. B. Einladungen)

Standort: USA (Drittlandtransfer; Schutzmechanismen z. B. SCC)

Datenschutz: resend.com/legal/privacy-policy

Stripe (Zahlungen)

Zweck: Zahlungsabwicklung

Standort: USA (Drittlandtransfer; Schutzmechanismen z. B. DPF)

Datenschutz: stripe.com/de/privacy

Einsatz von Cookies

Cookies speichern und lesen Informationen auf Endgeräten aus. Notwendige Cookies dienen der Funktionalität/Sicherheit; optionale Cookies erfordern ggf. Einwilligung.

Notwendige Cookies

  • Authentifizierung / Session (z. B. Supabase Auth)
  • Sicherheitsrelevante Einstellungen

Optionale Cookies (Einwilligung)

Optionales Tracking/Analytics (z. B. Vercel Analytics) wird – sofern eingesetzt – nur nach Einwilligung über eine Consent-Management-Lösung aktiviert.

Speicherdauer: Session-Cookies bis zum Schließen; persistente Cookies ggf. bis zu zwei Jahre (abhängig vom Tool/Consent).

Registrierung, Anmeldung und Nutzerkonto

Nutzer können ein Konto anlegen. Pflichtangaben (z. B. E-Mail) werden zur Bereitstellung des Kontos verarbeitet (Art. 6 Abs. 1 lit. b DSGVO).

Missbrauchsschutz

Im Rahmen von Login/Account-Nutzung können IP-Adresse und Zeitpunkt der Nutzerhandlung gespeichert werden, um Missbrauch und unbefugte Nutzung zu verhindern (berechtigtes Interesse).

Löschung nach Kündigung

Nach Kündigung des Kontos werden Daten im Rahmen der gesetzlichen Vorgaben gelöscht, sofern keine Aufbewahrungspflichten entgegenstehen.

Single-Sign-On-Anmeldung

Single-Sign-On ermöglicht die Anmeldung über Konten externer Anbieter (z. B. Google, Microsoft). Dabei erhalten wir i. d. R. eine Nutzer-ID und je nach Freigaben z. B. E-Mail/Benutzername.

Google Single-Sign-On

Google Ireland Limited, Dublin, Irland

Datenschutz: policies.google.com/privacy

Microsoft Single-Sign-On

Microsoft Irland Operations Limited, Dublin, Irland

Datenschutz: privacy.microsoft.com/de-de/privacystatement

Wichtig

Wenn Nutzer die SSO-Verknüpfung beenden wollen, erfolgt das i. d. R. über die Einstellungen beim SSO-Anbieter; zur Löschung der Daten bei uns ist die Kündigung des NachweisKompass-Kontos erforderlich.

KI-gestützte Inhaltserstellung (OpenAI & Google Gemini)

Wenn Sie KI-Funktionen in NachweisKompass nutzen, werden Ihre Eingaben zur Generierung von Vorschlägen (z. B. Textbausteine, Dokumentenentwürfe) an externe KI-Dienstanbieter übermittelt.

Empfehlung / Hinweis für Nutzer (sensible Daten)

Bitte geben Sie in KI-Eingaben keine besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) oder sonstige sensible personenbezogene Informationen ein. Nutzen Sie die KI-Funktion möglichst mit fachlichem Kontext ohne personenbezogene Inhalte.

OpenAI (KI-API)

Zweck: KI-gestützte Textgenerierung / Vorschläge

Dienstanbieter: OpenAI (je nach Vertrags- und Betriebsmodell)

Standort: ggf. USA (Drittlandtransfer; Schutzmechanismen z. B. DPF/SCC, je nach Konstellation)

Datenschutz: openai.com/policies/privacy-policy

Google Gemini (KI-API)

Zweck: KI-gestützte Textgenerierung / Vorschläge

Dienstanbieter: Google Ireland Limited (EU) / Google LLC (je nach Verarbeitung)

Standort: ggf. USA (Drittlandtransfer; Schutzmechanismen z. B. DPF/SCC)

Datenschutz: policies.google.com/privacy

Rechtsgrundlage

Die Nutzung der KI-Funktion erfolgt in der Regel im Rahmen der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), soweit die KI-Funktion Bestandteil der angebotenen Leistung ist; ergänzend können berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an einer effizienten Bereitstellung der Funktionalität bestehen.

Blogs und Publikationsmedien

Wenn wir ein Blog oder Publikationsmedium nutzen, werden Daten der Leser nur insoweit verarbeitet, wie es für Darstellung, Kommunikation oder Sicherheit erforderlich ist.

Kommentare & Beiträge

Bei Kommentaren können IP-Adressen zur Missbrauchs-/Spamprävention gespeichert werden (berechtigtes Interesse). Inhalte bleiben bis zum Widerspruch gespeichert.

Kontakt- und Anfrageverwaltung

Bei Kontaktaufnahme (z. B. per E-Mail, Formular) verarbeiten wir die übermittelten Daten zur Bearbeitung der Anfrage.

Kontakt

E-Mail: admin@nachweiskompass.de

Änderung und Aktualisierung

Wir passen diese Datenschutzerklärung an, sobald Änderungen der Datenverarbeitungen dies erforderlich machen. Bitte informieren Sie sich regelmäßig über den Inhalt.

Begriffsdefinitionen

Die folgenden Begriffe dienen dem besseren Verständnis (teilweise gesetzlich definiert). Um die Seite gut lesbar zu halten, sind die Definitionen einklappbar.

Bestandsdaten

Informationen zur Identifikation und Verwaltung von Vertragspartnern und Nutzerkonten (z. B. Name, Kontaktdaten, Benutzer-IDs).

Inhaltsdaten

Informationen, die im Zuge der Erstellung/Bearbeitung/Veröffentlichung von Inhalten entstehen (z. B. Texte, Bilder) inkl. Metadaten (Autor, Zeitpunkte).

Kontaktdaten

Daten zur Kommunikation (z. B. E-Mail-Adresse, Telefonnummer, Postadresse).

Meta-, Kommunikations- und Verfahrensdaten

Daten über Kontext/Herkunft/Struktur anderer Daten sowie Kommunikations- und Prozessdaten (z. B. Zeitstempel, beteiligte Personen, Audit-Logs).

Nutzungsdaten

Daten zur Nutzung unserer Dienste (z. B. Interaktionen, Verweildauer, Klickpfade, Geräteinfos).

Personenbezogene Daten

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Protokolldaten

System-/Netzwerkereignisse wie Zeitstempel, IP-Adressen, Nutzeraktionen, Fehlermeldungen.

Verantwortlicher

Die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet.

Verarbeitung

Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (z. B. Erheben, Speichern, Übermitteln, Löschen).

Vertragsdaten

Daten zur Formalisierung von Vereinbarungen (z. B. Laufzeit, Leistungsgegenstand, Kündigungsrechte).

Zahlungsdaten

Daten zur Abwicklung von Zahlungsvorgängen (z. B. Zahlungsstatus, Transaktionsdaten, Rechnungsinformationen).