Datenschutzerklärung
Gilt für den Besuch der Website belegagent.de und für die Nutzung der Anwendung nach Anmeldung.
Einleitung
Diese Datenschutzerklärung informiert gemäß Art. 13 DSGVO über die Verarbeitung personenbezogener Daten beim Besuch der Website belegagent.de und bei der Nutzung der Anwendung nach Anmeldung. Wir verarbeiten Daten ausschließlich nach den gesetzlichen Vorgaben und nach dem Grundsatz der Datenminimierung. Belege und Mandantendaten — also die Daten der von der Kanzlei betreuten Unternehmen (Mandate) — werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert und nicht zum Training von KI-Modellen verwendet. Es findet kein Tracking und keine Weitergabe zu eigenen Zwecken statt.
Inhalt
1. Verantwortlicher
CommPass plus GmbH
Attilastraße 16, 12529 Schönefeld
vertreten durch den Geschäftsführer André Lingenfelser
mail@belegagent.de
2. Welche Daten wir verarbeiten
Wir verarbeiten die folgenden Kategorien personenbezogener Daten zu den jeweils genannten Zwecken und auf der angegebenen Rechtsgrundlage:
| Daten | Zweck | Rechtsgrundlage |
|---|---|---|
| E-Mail-Adresse, Name, Konto-Kennung | Anmeldung und Mandantenzuordnung | Art. 6 Abs. 1 lit. b DSGVO |
| Mandanten-Stammdaten (Angaben zum betreuten Mandanten, soweit für die Buchführungsvorbereitung erforderlich) | Erstellung von Buchungssatz-Vorschlägen im DATEV-Format | Art. 6 Abs. 1 lit. b DSGVO |
| Hochgeladene Belege und die darin enthaltenen Angaben | Belegerkennung, Vorkontierung, Plausibilitätsprüfung | Art. 6 Abs. 1 lit. b DSGVO |
| Kontaktformular: Name, Firma, E-Mail-Adresse, Telefon, Nachricht | Bearbeitung der Anfrage und Pilot-Kontakt | Art. 6 Abs. 1 lit. b und f DSGVO |
| Server- und Anwendungs-Logs (technische Zugriffs- und Betriebsdaten, darunter die IP-Adresse) | Betrieb, IT-Sicherheit, Fehleranalyse, Abrechnung | Art. 6 Abs. 1 lit. f DSGVO |
3. Empfänger und Auftragsverarbeiter
Folgende Anbieter verarbeiten personenbezogene Daten in unserem Auftrag. Die Tabelle zeigt je Anbieter, wo verarbeitet wird (EU oder Drittland), welche Daten dorthin gelangen und wozu:
| Anbieter | Sitz | Region | Welche Daten | Zweck |
|---|---|---|---|---|
| Google Cloud EMEA Limited | Dublin, Irland | EU | Sämtliche in der Anwendung gespeicherten Daten (Belege, Mandanten- und Account-Daten, Logs); Rechnungsdaten | Hosting, Datenbank, Dateispeicher, Job-Queue, KI-gestützte Beleg-Analyse sowie Erstellung, Archivierung und E-Mail-Versand der Rechnungen (Google Workspace) |
| Google Ireland Limited | Dublin, Irland | EU | Name, E-Mail-Adresse, Konto-Kennung | Anmeldung / Authentifizierung der Anwenderkonten — nur diese Daten, keine weiteren aus dem Google-Konto |
| AC PM, LLC (Postmark, ActiveCampaign-Gruppe) | Chicago, USA | Drittland (USA) | E-Mail-Adresse, Inhalt der jeweiligen E-Mail | Versand maschineller System-E-Mails: Anmelde-Links, Einladungen, Statusmitteilungen, Kontakt- und Pilot-Anfragen — keine persönliche Korrespondenz |
| Stripe Payments Europe, Ltd. | Dublin, Irland | EU, teils USA | Name, Firma, Zahlungs- und Abrechnungsdaten | Einzug der von uns selbst erstellten Rechnungen (SEPA-Lastschrift oder Karte) — keine Rechnungserstellung |
Mit allen Auftragsverarbeitern bestehen Verträge nach Art. 28 DSGVO. Die Anbieter verarbeiten die Daten ausschließlich weisungsgebunden in unserem Auftrag, nutzen sie nicht zu eigenen Zwecken und löschen sie nach Abschluss der Verarbeitung bzw. nach den von uns gesetzten Fristen. Etwaige eigene Sub-Prozessoren der Anbieter sind in deren Datenschutz-Vereinbarungen (DPA) gelistet. Über die genannten Empfänger hinaus erfolgt keine Weitergabe; es werden keine Werbenetzwerke und keine Analyse-Dienste eingesetzt. Einzelheiten ergeben sich aus dem Auftragsverarbeitungsvertrag (AVV).
4. Übermittlung in Drittländer
Hosting, Datenbank, Dateispeicher und die KI-gestützte Beleg-Analyse erfolgen innerhalb der Europäischen Union.
Eine Übermittlung in die USA erfolgt ausschließlich beim Versand maschineller System-E-Mails — Anmelde-Links, Einladungen, Statusmitteilungen sowie Kontakt- und Pilot-Anfragen. Es handelt sich ausnahmslos um automatisch erzeugte E-Mails, keine persönliche Korrespondenz. Übertragen werden dabei nur die E-Mail-Adresse und der Inhalt der jeweiligen E-Mail; Belege und Mandantendaten sind nicht betroffen.
Die Übermittlung ist durch den Angemessenheitsbeschluss zum EU-US Data Privacy Framework sowie durch die Standardvertragsklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DSGVO) abgesichert. Bei einer Änderung der Rechtslage oder der Risikobewertung wird auf einen Anbieter innerhalb der Europäischen Union umgestellt.
5. Speicherdauer
Personenbezogene Daten werden gelöscht, sobald der Zweck der Verarbeitung entfällt oder eine festgelegte Frist abgelaufen ist:
| Daten | Speicherdauer |
|---|---|
| Belege, ausgelesene Daten, KI-Ergebnisse | Bis zur von der Kanzlei gesetzten Frist, spätestens nach 15 Monaten — danach vollständige Löschung |
| Mandanten-Stammdaten und Konten | Solange der Mandant aktiv ist |
| Account-Daten | Solange das Konto aktiv ist; auf Anfrage sofort löschbar |
| Kontaktanfragen | Bis zur abschließenden Bearbeitung der Anfrage |
| Server- und Anwendungs-Logs | 30 Tage |
| Demo-Konten | 14 Tage automatisch oder auf eigene Veranlassung sofort |
6. KI-gestützte Verarbeitung
Die Anwendung erstellt mithilfe von KI Vorschläge für Buchungssätze, regelmäßig mit Alternativen. Prüfung und Freigabe erfolgen durch die Buchhalterin oder den Buchhalter. Eine ausschließlich automatisierte Entscheidung im Sinne des Art. 22 DSGVO findet nicht statt.
8. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Die Datenübertragung erfolgt transportverschlüsselt (TLS); Datenbank und Dateispeicher sind im Ruhezustand verschlüsselt (AES-256). Der Zugriff auf Produktivsysteme ist auf das Notwendige beschränkt; die Daten verschiedener Mandanten sind technisch voneinander getrennt. Die vollständigen Maßnahmen sind im Auftragsverarbeitungsvertrag (AVV) dokumentiert.
9. Ihre Rechte als betroffene Person
Sie haben im Rahmen der gesetzlichen Voraussetzungen das Recht auf:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Zur Ausübung genügt eine formlose Mitteilung an mail@belegagent.de.
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Zuständig ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59–61, 10555 Berlin.
Verträge für Kanzleien
Für die Verarbeitung von Mandantendaten stehen in der Anwendung der Auftragsverarbeitungsvertrag (AVV) und die Vereinbarung zur Wahrung des Berufsgeheimnisses (§ 203 StGB, § 62a StBerG) zum Abschluss bereit.
Stand
Stand dieser Datenschutzerklärung: 10. Juni 2026.