Datenschutzerklärung
1. Verantwortlicher
PPI Konzept GmbH
Johann-Philipp-Reis-Straße 6A
55469 Simmern
Vertreten durch den Geschäftsführer: Achim Kleinmann
E-Mail: datenschutz@ppi-konzept.de
Fragen zum Datenschutz richten Sie bitte an die oben genannte Adresse. „fubio24“ ist eine Marke bzw. ein Angebot der PPI Konzept GmbH.
2. Rollenverteilung
Für die im Auftrag unserer Kunden (Unternehmen) verarbeiteten Belege und Buchhaltungsdaten handeln wir als Auftragsverarbeiter (Art. 28 DSGVO); verantwortlich ist der jeweilige Kunde. Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) zwischen Kunde und uns. Für die Daten der Konto-/Nutzerverwaltung dieser Website/Anwendung sind wir selbst Verantwortlicher.
3. Verarbeitungszwecke, Datenkategorien & Rechtsgrundlagen
| Zweck | Datenkategorien | Rechtsgrundlage |
|---|---|---|
| Konto/Anmeldung (E-Mail + Passwort) | E-Mail, Authentifizierungsdaten | Art. 6 Abs. 1 b DSGVO (Vertrag) |
| Beleg-/Buchhaltungsverarbeitung (Upload, OCR, Kontierungs-Vorschlag, Bankabgleich, Export) | Belegbilder/-PDFs, Rechnungsdaten (Lieferant, Beträge, USt, Datum), Bankumsätze, ggf. personenbezogene Daten Dritter auf Belegen | Auftragsverarbeitung für den Kunden (Art. 28); ggü. uns Art. 6 Abs. 1 b/f |
| GoBD-konforme, unveränderbare Archivierung | wie oben + Original-Hash, Audit-Log | rechtliche Pflicht (Art. 6 Abs. 1 c) i. V. m. AO/GoBD |
| Betrieb/Sicherheit (Server-Logs) | IP, Zeitstempel, technische Metadaten | Art. 6 Abs. 1 f (berechtigtes Interesse) |
4. Hosting & Auftragsverarbeiter (Unterauftragsverarbeiter)
| Dienst | Zweck | Ort | Status |
|---|---|---|---|
| netcup GmbH | Server-Hosting der Anwendung | Deutschland | aktiv |
| Supabase (Postgres, Auth, Storage) | Datenbank, Anmeldung, Belegspeicher | EU / Frankfurt | aktiv |
| OCR-/LLM-Anbieter | Texterkennung aus Foto-/Scan-Belegen | EU-Residenz angestrebt | derzeit nicht aktiv (technisch gesperrt bis Freigabe) |
Mit allen Auftragsverarbeitern bestehen bzw. werden AV-Verträge geschlossen. Bei einem Drittlandtransfer (z. B. Cloud-OCR außerhalb der EU) werden geeignete Garantien (Standardvertragsklauseln) und ergänzende Maßnahmen vereinbart. Eine aktuelle Liste der Unterauftragsverarbeiter ist Bestandteil des Kunden-AVV.
5. Cookies / lokale Speicherung
Wir setzen ausschließlich technisch erforderliche Cookies (Anmelde-Sitzung sowie Auswahl des aktiven Mandanten/der Ansicht). Diese sind für den Betrieb notwendig (kein Einwilligungs-Banner erforderlich). Kein Tracking, keine Analyse-/Marketing-Cookies, keine externen Schriftarten/CDNs (Content-Security-Policy auf self).
6. Speicherdauer
Steuerrelevante Belege/Buchungen werden gemäß den gesetzlichen Aufbewahrungsfristen unveränderbar aufbewahrt: Buchungsbelege 8 Jahre (seit 1.1.2025, § 147 Abs. 3 AO i. d. F. BEG IV — zuvor 10), Jahresabschlüsse/Handelsbücher weiterhin 10 Jahre; die Frist verlängert sich, solange die Unterlagen steuerlich relevant sind (z. B. laufende Prüfung). Korrekturen erfolgen über Stornos statt Löschung. Konto-/Nutzerdaten werden mit Vertragsende bzw. nach Ablauf gesetzlicher Fristen gelöscht.
7. Betroffenenrechte
Auskunft (Art. 15), Berichtigung (16), Löschung (17, soweit keine Aufbewahrungspflicht entgegensteht), Einschränkung (18), Datenübertragbarkeit (20), Widerspruch (21). Beschwerderecht bei einer Aufsichtsbehörde — für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Mainz.
Anfragen Betroffener, die Daten in unserer Auftragsverarbeitung betreffen, leiten wir an den verantwortlichen Kunden weiter bzw. unterstützen diesen.
8. Technische & organisatorische Maßnahmen (Auszug)
Verschlüsselung in Transit (TLS/HSTS) und at rest; strikte Mandantentrennung per Row-Level-Security; rollenbasierte Zugriffskontrolle; GoBD-Unveränderbarkeit (Original-Hash, append-only Audit-Log); EU-Hosting.