Datenschutz­erklärung

Wie wir mit deinen Daten umgehen — transparent und DSGVO-konform.

1. Verantwortlicher

2. Verarbeitungszwecke und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung):

• WhatsApp-Nachrichten (Text und Sprache) zur Rechnungserstellung
• Geschäftsdaten (Firmenname, Inhabername, Adresse, Steuernummer, USt-IdNr., IBAN, BIC, Bankname) zur Rechnungsstellung
• Kundendaten (Name, Aliase, Adresse, USt-IdNr.) für die Rechnungsadressierung und Kundenerkennung
• Mitarbeiter-Telefonnummern für Team-Zugang (Multi-Phone-Funktion)
• Rechnungsdaten (Positionen, Beträge, Steuern, PDF-Dateien, ZUGFeRD-XML)

Auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) verarbeiten wir außerdem:

• Konto-Portal-Anmeldung per WhatsApp-OTP: Ihre Telefonnummer wird verwendet, um einen Einmal-Login-Code und einen Login-Link per WhatsApp zu versenden. Dabei wird ein temporärer Datensatz mit Ihrer Telefonnummer, einem Hash des Codes und einem zufälligen Token gespeichert. Bei der ersten Anmeldung wird automatisch ein Benutzerkonto erstellt (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung).

Zur Rechnungserstellung werden folgende Daten an unseren LLM-Dienstleister (Mistral AI, Frankreich) übermittelt: Kundennamen und Aliase aus Ihrem Adressbuch, Ihre Branche und Stundensatz sowie der Freitext bzw. die Transkription Ihrer WhatsApp-Nachricht. Zur Einordnung Ihrer Anfrage werden zusätzlich die letzten Nachrichten des Gesprächsverlaufs (gekürzt auf je 500 Zeichen) übermittelt. Adressen, Bankdaten und Steuernummern Ihrer Kunden werden dabei nicht übermittelt.

Während der Erstregistrierung (Onboarding) werden Ihre eingegebenen Geschäftsdaten — einschließlich Adresse, Steuernummer und IBAN — zur Strukturerkennung an Mistral AI übermittelt. Dies ist technisch erforderlich, um Ihre Freitext-Eingaben korrekt zu interpretieren. Die Daten werden von Mistral nicht gespeichert (transiente Verarbeitung gemäß Mistral DPA).

Sprachnachrichten werden ausschließlich zur Transkription auf unserem eigenen EU-Server verarbeitet und nach der Verarbeitung nicht gespeichert (transiente Verarbeitung).

Kontaktformular: Bei Nutzung unseres Kontaktformulars verarbeiten wir Ihren Namen, Ihre E-Mail-Adresse und Ihre Nachricht auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Anfragen). Die Daten werden nach 12 Monaten automatisch gelöscht. Eine frühere Löschung können Sie jederzeit per E-Mail an datenschutz@heybenno.de verlangen.

Client-seitige Fehlerberichte: Tritt beim Aufruf unserer Startseite ein JavaScript-Fehler auf, der das Laden der Seite verhindern würde, übermittelt der Browser einen automatischen Fehlerbericht an unseren Server. Verarbeitet werden dabei: Fehlermeldung und Stacktrace, der User-Agent Ihres Browsers sowie der besuchte Pfad (ohne Query-Parameter oder Fragment). Im Fehlerbericht selbst werden keine Cookies, keine IP-Adressen und keine Referrer-Informationen übermittelt; serverseitige Zugriffsprotokolle verarbeiten Ihre IP-Adresse transient zur Abwehr von Missbrauch und werden nach 30 Tagen automatisch gelöscht (DSGVO Art. 5 Abs. 1 lit. e). Die Berichte selbst werden nach 30 Tagen bei unserem Auftragsverarbeiter Sentry (siehe unten) automatisch gelöscht. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fehlerfreien Bereitstellung der Website).

3. Empfänger und Auftragsverarbeiter

• Hetzner Online GmbH — Server-Hosting, Deutschland
• Hetzner Online GmbH — Verschlüsselte Backups, Deutschland
• Mistral AI — LLM-Verarbeitung, Frankreich
• Eigener GPU-Server — Sprachtranskription (Whisper, selbst gehostet), EU
• Meta Platforms — WhatsApp Cloud API, EU/USA (Datentransfer auf Grundlage des EU-US Data Privacy Framework)
• Google Ireland Ltd. — Google Workspace (E-Mail-Kommunikation: Support, Datenschutzanfragen), Irland (Datentransfer auf Grundlage des EU-US Data Privacy Framework)
• Stripe Payments Europe Ltd. — Zahlungsabwicklung, Irland, auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) (Datentransfer auf Grundlage des EU-US Data Privacy Framework). Übermittelt werden Ihre E-Mail-Adresse (sofern hinterlegt) sowie eine interne Kennung zur Zuordnung. Zahlungsdaten (Kreditkarte/SEPA, Rechnungsadresse) werden direkt von Stripe beim Bezahlvorgang erhoben.
• Sentry (Functional Software Inc.) — Fehlerüberwachung, Deutschland. Fehlerberichte werden vor Übermittlung automatisch von personenbezogenen Daten bereinigt (E-Mail, Telefonnummer, IP-Adresse).

Alle Auftragsverarbeiter unterliegen DSGVO-konformen Vereinbarungen (Art. 28 DSGVO). Mit Ausnahme von Meta Platforms, Google und Stripe erfolgt die gesamte Datenverarbeitung innerhalb der EU/des EWR. Der Datentransfer in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework.

4. Speicherdauer

• Bestätigte Rechnungen: 10 Jahre (AO § 147 Abs. 3)
• Entwurfsrechnungen: 7 Tage
• Konversationen: 90 Tage nach letzter Nachricht
• Nachrichtenverlauf: 90 Tage. Gesendete und empfangene WhatsApp-Nachrichten werden zur Verarbeitung gespeichert und nach 90 Tagen automatisch gelöscht.
• Original-Sprachnachrichten: Audiodateien werden nicht gespeichert (transiente Verarbeitung). Der transkribierte Text wird nach 180 Tagen gelöscht.
• Verschlüsselte Backups: Können gelöschte Daten enthalten, da Backups zur Einhaltung der GoBD-Aufbewahrungspflicht bis zu 11 Jahre aufbewahrt werden (tägliche Sicherungen 30 Tage, wöchentliche 1 Jahr, monatliche 11 Jahre). Eine gezielte Löschung einzelner Datensätze aus verschlüsselten Backups ist technisch nicht möglich (Art. 17 Abs. 3 lit. b DSGVO).
• Login-Codes (OTP): 5 Minuten Gültigkeit; Upgrade-Links: 60 Minuten Gültigkeit. Automatische Löschung 1 Stunde nach Ablauf. Fehlgeschlagene Anmeldeversuche werden zur Missbrauchserkennung gezählt (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an IT-Sicherheit).
• Unvollständige Registrierungen: 30 Tage
• Admin-/Konto-Sitzungen: Max. 24 Stunden plus bis zu 1 Stunde Bereinigungsverzögerung. IP-Adresse und Browser-Kennung werden zur Missbrauchserkennung gespeichert (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse an IT-Sicherheit). Löschung erfolgt bei Abmeldung, Sitzungsablauf oder Art. 17-Löschung des Betriebs.

Hinweis zu bestätigten Rechnungen: Bei einer Löschanfrage (Art. 17 DSGVO) werden bestätigte Rechnungen gemäß Art. 17 Abs. 3 lit. b DSGVO nicht gelöscht, da sie der gesetzlichen Aufbewahrungspflicht nach AO §147 Abs. 3 und HGB §257 unterliegen (10 Jahre). Alle anderen personenbezogenen Daten (Geschäftsprofil, Kundendaten, Konversationen, Entwurfsrechnungen) werden vollständig gelöscht bzw. anonymisiert.

5. Ihre Rechte (Art. 15–21 DSGVO)

• Auskunft (Art. 15): Schreiben Sie „meine daten“ an Benno auf WhatsApp
• Löschung (Art. 17): Schreiben Sie „lösche meine daten“ an Benno auf WhatsApp, oder kontaktieren Sie uns per E-Mail an datenschutz@heybenno.de
• Datenübertragbarkeit (Art. 20): Export über die REST-API
• Widerruf, Berichtigung, Einschränkung: Per E-Mail an datenschutz@heybenno.de

6. Datensicherheit (Art. 32 DSGVO)

• Verschlüsselung sensibler Daten (IBAN, Steuernummer) mittels Fernet
• TLS-verschlüsselte Kommunikation
• Verschlüsselte Backups
• Alle Datenverarbeitung innerhalb der EU

7. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist: