Datenschutzerklärung

1. Verantwortlicher

PPI Konzept GmbH
Johann-Philipp-Reis-Straße 6A
55469 Simmern
Vertreten durch den Geschäftsführer: Achim Kleinmann
E-Mail: datenschutz@ppi-konzept.de

Fragen zum Datenschutz richten Sie bitte an die oben genannte Adresse. „fubio24“ ist eine Marke bzw. ein Angebot der PPI Konzept GmbH.

2. Rollenverteilung

Für die im Auftrag unserer Kunden (Unternehmen) verarbeiteten Belege und Buchhaltungsdaten handeln wir als Auftragsverarbeiter (Art. 28 DSGVO); verantwortlich ist der jeweilige Kunde. Grundlage ist ein Auftragsverarbeitungsvertrag (AVV) zwischen Kunde und uns. Für die Daten der Konto-/Nutzerverwaltung dieser Website/Anwendung sind wir selbst Verantwortlicher.

3. Verarbeitungszwecke, Datenkategorien & Rechtsgrundlagen

ZweckDatenkategorienRechtsgrundlage
Konto/Anmeldung (E-Mail + Passwort)E-Mail, AuthentifizierungsdatenArt. 6 Abs. 1 b DSGVO (Vertrag)
Beleg-/Buchhaltungsverarbeitung (Upload, OCR, Kontierungs-Vorschlag, Bankabgleich, Export)Belegbilder/-PDFs, Rechnungsdaten (Lieferant, Beträge, USt, Datum), Bankumsätze, ggf. personenbezogene Daten Dritter auf BelegenAuftragsverarbeitung für den Kunden (Art. 28); ggü. uns Art. 6 Abs. 1 b/f
GoBD-konforme, unveränderbare Archivierungwie oben + Original-Hash, Audit-Logrechtliche Pflicht (Art. 6 Abs. 1 c) i. V. m. AO/GoBD
Betrieb/Sicherheit (Server-Logs)IP, Zeitstempel, technische MetadatenArt. 6 Abs. 1 f (berechtigtes Interesse)

4. Hosting & Auftragsverarbeiter (Unterauftragsverarbeiter)

DienstZweckOrtStatus
netcup GmbHServer-Hosting der AnwendungDeutschlandaktiv
Supabase (Postgres, Auth, Storage)Datenbank, Anmeldung, BelegspeicherEU / Frankfurtaktiv
OCR-/LLM-AnbieterTexterkennung aus Foto-/Scan-BelegenEU-Residenz angestrebtderzeit nicht aktiv (technisch gesperrt bis Freigabe)

Mit allen Auftragsverarbeitern bestehen bzw. werden AV-Verträge geschlossen. Bei einem Drittlandtransfer (z. B. Cloud-OCR außerhalb der EU) werden geeignete Garantien (Standardvertragsklauseln) und ergänzende Maßnahmen vereinbart. Eine aktuelle Liste der Unterauftragsverarbeiter ist Bestandteil des Kunden-AVV.

5. Cookies / lokale Speicherung

Wir setzen ausschließlich technisch erforderliche Cookies (Anmelde-Sitzung sowie Auswahl des aktiven Mandanten/der Ansicht). Diese sind für den Betrieb notwendig (kein Einwilligungs-Banner erforderlich). Kein Tracking, keine Analyse-/Marketing-Cookies, keine externen Schriftarten/CDNs (Content-Security-Policy auf self).

6. Speicherdauer

Steuerrelevante Belege/Buchungen werden gemäß den gesetzlichen Aufbewahrungsfristen unveränderbar aufbewahrt: Buchungsbelege 8 Jahre (seit 1.1.2025, § 147 Abs. 3 AO i. d. F. BEG IV — zuvor 10), Jahresabschlüsse/Handelsbücher weiterhin 10 Jahre; die Frist verlängert sich, solange die Unterlagen steuerlich relevant sind (z. B. laufende Prüfung). Korrekturen erfolgen über Stornos statt Löschung. Konto-/Nutzerdaten werden mit Vertragsende bzw. nach Ablauf gesetzlicher Fristen gelöscht.

7. Betroffenenrechte

Auskunft (Art. 15), Berichtigung (16), Löschung (17, soweit keine Aufbewahrungspflicht entgegensteht), Einschränkung (18), Datenübertragbarkeit (20), Widerspruch (21). Beschwerderecht bei einer Aufsichtsbehörde — für uns zuständig ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Mainz.

Anfragen Betroffener, die Daten in unserer Auftragsverarbeitung betreffen, leiten wir an den verantwortlichen Kunden weiter bzw. unterstützen diesen.

8. Technische & organisatorische Maßnahmen (Auszug)

Verschlüsselung in Transit (TLS/HSTS) und at rest; strikte Mandantentrennung per Row-Level-Security; rollenbasierte Zugriffskontrolle; GoBD-Unveränderbarkeit (Original-Hash, append-only Audit-Log); EU-Hosting.