Datenschutzerklärung von Belegify
Stand: 30. April 2026
Mit dieser Datenschutzerklärung informieren wir Sie gemäß Art. 13, 14 DSGVO über die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Software-as-a-Service-Anwendung „Belegify" (Web-PWA unter https://belegify.app, Telegram-Bot @Belegify_Bot, E-Mail-Inbox-Service).
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Comms Connect GmbH Tal 30, 80331 München, Deutschland E-Mail: hi@belegify.app Telefon: +49 89 4522 1556 Geschäftsführer: Rainer Roloff Handelsregister: Amtsgericht München, HRB 295951 USt-IdNr.: DE451966748 Webseite: https://belegify.app
Verantwortlicher i.S.d. § 18 Abs. 2 MStV: Rainer Roloff (Anschrift wie oben).
Für datenschutzrechtliche Anfragen erreichen Sie uns unter privacy@belegify.app.
Ein gesetzlicher Datenschutzbeauftragter ist derzeit nicht bestellt; die Voraussetzungen des Art. 37 DSGVO bzw. § 38 BDSG liegen aktuell nicht vor.
2. Allgemeines zur Datenverarbeitung
2.1 Begriffe
Die in dieser Datenschutzerklärung verwendeten Begriffe (z.B. „personenbezogene Daten", „Verarbeitung", „Verantwortlicher", „Auftragsverarbeiter") richten sich nach den Definitionen des Art. 4 DSGVO.
2.2 Grundsatz
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung des Dienstes, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage einer von uns geltend gemachten berechtigten Interessenabwägung bzw. einer von Ihnen erteilten Einwilligung erforderlich ist.
3. Zwecke und Rechtsgrundlagen der Verarbeitung
3.1 Bereitstellung der Anwendung und Vertragsabwicklung
Zweck: Registrierung, Authentifizierung, Bereitstellung der App-Funktionen, Beleg-Upload, KI-/OCR-Extraktion, PDF-Erzeugung, Versand an konfigurierte DATEV-Belegmail-Adressen, revisionssichere Speicherung, Support, Abrechnung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bzw. vorvertragliche Maßnahmen).
3.2 Erfüllung gesetzlicher Aufbewahrungs- und Mitwirkungspflichten
Zweck: Aufbewahrung von Belegen und Buchungsunterlagen sowie Auskunft gegenüber Finanzbehörden gemäß § 147 AO, § 257 HGB, GoBD.
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. § 147 AO, § 257 HGB.
3.3 IT-Sicherheit, Missbrauchsabwehr, Stabilität des Dienstes
Zweck: Erkennung, Eindämmung und Aufklärung von Angriffen, Spam, Bot-Verhalten; Sicherstellung der Stabilität durch Logging und Monitoring.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO; berechtigtes Interesse an der Sicherheit unserer Systeme und Daten unserer Nutzer:innen.
3.4 Zahlungsabwicklung
Zweck: Abwicklung kostenpflichtiger Bestellungen über Stripe, Forderungsverwaltung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO und – soweit erforderlich – Art. 6 Abs. 1 lit. c DSGVO.
3.5 Kommunikation und Support
Zweck: Bearbeitung von Support-Anfragen per E-Mail oder über Telegram.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, Art. 6 Abs. 1 lit. f DSGVO bei sonstigen Anfragen.
3.6 Werbliche Information an Bestandskunden
Soweit zulässig und erforderlich, informieren wir Bestandskunden per E-Mail über ähnliche eigene Dienstleistungen.
Rechtsgrundlage: § 7 Abs. 3 UWG i.V.m. Art. 6 Abs. 1 lit. f DSGVO. Sie können dem Erhalt jederzeit unentgeltlich widersprechen.
4. Datenkategorien
Im Rahmen der Bereitstellung von Belegify verarbeiten wir insbesondere folgende Datenkategorien:
| Datenkategorie | Beispiele |
|---|---|
| Stammdaten | Name, Firmenname, Anschrift, USt-IdNr., E-Mail-Adresse, Telefonnummer |
| Authentifizierungsdaten | Magic-Link-Tokens, Passwort-Hashes, Telegram-User-ID, Session-Cookies |
| Belegdaten (Bild/Audio/Text) | hochgeladene Belegfotos, Sprachaufnahmen, weitergeleitete E-Mails inkl. Anhängen |
| Belegmetadaten | Datum, Betrag, Steuersätze, Lieferant, Kategorie, Bewirtungsteilnehmer, MwSt.-Aufteilung |
| Mandantendaten (B2B) | Mandantennamen, Steuerberater-Kontaktdaten, DATEV-Belegmail-Adresse |
| Zahlungsdaten | Stripe-Customer-ID, Rechnungsanschrift, gewählter Tarif (Zahlungsmittel werden ausschließlich von Stripe verarbeitet) |
| Nutzungsdaten | Gerätetyp, Browser, IP-Adresse (gekürzt), Zeitstempel von Aktionen |
| Logdaten | Server-Logs, Edge-Function-Logs, Fehlerprotokolle |
5. Empfänger und Auftragsverarbeiter
5.1 Allgemeines
Wir geben personenbezogene Daten nur an Empfänger weiter, soweit dies zur Vertragserfüllung erforderlich ist, eine gesetzliche Verpflichtung besteht, eine Einwilligung vorliegt oder ein überwiegendes berechtigtes Interesse die Übermittlung trägt. Soweit Auftragsverarbeiter eingesetzt werden, schließen wir mit diesen Verträge gemäß Art. 28 DSGVO.
5.2 Sub-Processor-Übersicht
| Anbieter | Sitz | Zweck | Datenkategorien | Drittland | Garantien / DPA |
|---|---|---|---|---|---|
| Supabase Inc. | USA, EU-Hosting (eu-central-1) | Datenbank, Authentifizierung, Storage, Edge Functions | Stamm-, Authentifizierungs-, Beleg-, Metadaten | Ja (Konzerngesellschaften) | EU-DPF, SCCs; DPA: https://supabase.com/legal/dpa |
| Vercel Inc. | USA, EU-Region | Hosting/Edge-Network der Web-PWA | Nutzungsdaten, IP-Adresse, Session-Cookies | Ja | EU-DPF, SCCs; DPA: https://vercel.com/legal/dpa |
| Anthropic PBC | USA | KI-gestützte Belegextraktion (Claude); Zero Data Retention vertraglich | Belegtexte, OCR-Auszüge | Ja | SCCs, Zero Data Retention; DPA: https://www.anthropic.com/legal/dpa |
| OpenAI Ireland Ltd. | Irland | Sprach-Transkription (Whisper); Zero Data Retention | Audiodaten, Transkripte | Nein (EWR) bzw. mittelbar USA | SCCs, Zero Data Retention; DPA: https://openai.com/policies/data-processing-addendum |
| Mindee SAS | Frankreich | OCR-Extraktion strukturierter Belegdaten | Belegbilder, OCR-Daten | Nein (EWR) | DPA: https://mindee.com/legal/dpa |
| Stripe Payments Europe Ltd. | Irland | Zahlungsabwicklung | Rechnungsanschrift, Zahlungsmittel, Transaktionsdaten | Mittelbar USA | EU-DPF, SCCs; DPA: https://stripe.com/legal/dpa |
| Resend Inc. | USA, EU-Region (eu-west-1) | Transaktionsmail (Magic Links, Belegversand) | E-Mail-Adresse, E-Mail-Inhalte | Ja | EU-DPF, SCCs; DPA: https://resend.com/legal/dpa |
| Cloudflare Inc. | USA, EU-Region | DNS, CDN, E-Mail-Worker (Belegify-Inbox) | IP-Adresse, eingehende E-Mails | Ja | EU-DPF, SCCs; DPA: https://www.cloudflare.com/cloudflare-customer-dpa/ |
| Telegram FZ-LLC | Vereinigte Arabische Emirate | Bot-Messaging (@Belegify_Bot) | Telegram-User-ID, Nachrichten, ggf. Belegdateien | Ja (kein Angemessenheitsbeschluss) | Risiko-basierte Einwilligung, siehe Ziffer 9 |
5.3 Sonstige Empfänger
Personenbezogene Daten werden zudem weitergegeben an:
- vom Kunden konfigurierte Steuerberatungs- bzw. DATEV-Empfänger (Belegify versendet die generierten PDFs an die vom Kunden hinterlegte Belegmail-Adresse);
- Behörden und Gerichte, soweit eine gesetzliche Verpflichtung zur Übermittlung besteht;
- Rechts-, Steuerberatungs- oder Wirtschaftsprüfungskanzleien im Rahmen unserer eigenen gesetzlichen Pflichten und unter Wahrung von Berufsgeheimnissen.
6. Internationale Datenübermittlung
Eine Übermittlung personenbezogener Daten in Drittländer (außerhalb des EWR) erfolgt nur, wenn dies zur Erbringung des Dienstes erforderlich ist. Wir stützen Drittlandsübermittlungen auf folgende Garantien gemäß Art. 44 ff. DSGVO:
- EU-US Data Privacy Framework (EU-DPF) für zertifizierte US-Anbieter (Supabase, Vercel, Stripe, Resend, Cloudflare),
- Standardvertragsklauseln (SCCs) der Europäischen Kommission gemäß Durchführungsbeschluss (EU) 2021/914,
- ergänzende technische Maßnahmen (Verschlüsselung in Transit und at Rest, Zugriffskontrollen, Pseudonymisierung), wo angemessen.
Eine Kopie der jeweiligen Garantien ist über die in der Sub-Processor-Tabelle verlinkten DPAs abrufbar oder kann unter privacy@belegify.app angefordert werden.
7. Speicherdauer
| Datenkategorie | Speicherdauer |
|---|---|
| Aufbewahrungspflichtige Belege (§ 147 AO) | 10 Jahre, beginnend mit Ende des Kalenderjahrs der Erfassung |
| Belegmetadaten und Verarbeitungsergebnisse | 10 Jahre (verknüpft mit dem jeweiligen Beleg) |
| Account- und Profildaten nach Kündigung | Aktive Daten 30 Tage zum Export, danach Löschung; gesetzlich aufbewahrungspflichtige Daten in einem revisionssicheren Archiv für die Restdauer der Aufbewahrungsfrist |
| Server- und Anwendungs-Logs | 90 Tage |
| Audio-Sprachaufnahmen / Transkripte | Sofortige Löschung nach Erstellung des Transkripts; Transkript wird Bestandteil des Belegs (vgl. § 147 AO) |
| KI-Prompts an Anthropic / OpenAI | Zero Data Retention – Inhalte werden vom KI-Anbieter nicht persistiert; bei Belegify selbst nur zur Erzeugung des Outputs |
| Stripe-Zahlungsdaten | gemäß Aufbewahrungspflichten (i.d.R. 10 Jahre für Rechnungsbelege) |
| Support-Kommunikation | 3 Jahre nach Abschluss des Vorgangs (gesetzliche Verjährungsfristen) |
Erforderliche Aufbewahrungsfristen gehen einer früheren Löschung vor. Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert.
8. Cookies und ähnliche Technologien
8.1 Eingesetzte Cookies / Storage
Belegify setzt ausschließlich technisch notwendige Cookies bzw. Local-Storage-Einträge ein:
- Session-/Authentifizierungs-Cookies (Supabase Auth) – erforderlich zur Aufrechterhaltung der Login-Sitzung;
- Funktionale Cookies zur Speicherung von Spracheinstellung und UI-Präferenzen;
- Stripe-Cookies im Checkout-Prozess zur Betrugsprävention und Transaktionssicherheit.
Diese Cookies sind gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei zulässig, da sie für die Erbringung des vom Nutzer ausdrücklich gewünschten Dienstes unbedingt erforderlich sind.
8.2 Kein Tracking
Wir setzen keine Marketing-, Analyse- oder Profiling-Cookies ein. Ein Consent-Banner ist daher nicht erforderlich.
9. Hinweise zur Nutzung des Telegram-Bots
Die Nutzung des Telegram-Bots @Belegify_Bot ist optional. Bei dessen Nutzung werden Inhalte (Belegfotos, Sprachnachrichten, Texte) sowie Telegram-User-ID und Nutzername an die Telegram FZ-LLC mit Sitz in den Vereinigten Arabischen Emiraten übermittelt. Für die VAE besteht kein Angemessenheitsbeschluss der EU-Kommission. Wir empfehlen Nutzer:innen, sensible Belege ausschließlich über die Web-PWA oder die E-Mail-Inbox einzureichen. Mit der Aktivierung des Bots erklären Sie sich mit der Übermittlung gemäß Art. 49 Abs. 1 lit. a DSGVO ausdrücklich einverstanden; Sie können diese Einwilligung jederzeit durch Stoppen des Bots widerrufen, ohne dass die Rechtmäßigkeit bisheriger Verarbeitungen berührt wird.
10. Rechte der betroffenen Personen
Sie haben uns gegenüber folgende Rechte:
- Auskunft (Art. 15 DSGVO) über die zu Ihrer Person gespeicherten Daten;
- Berichtigung (Art. 16 DSGVO) unrichtiger Daten;
- Löschung (Art. 17 DSGVO) – eingeschränkt durch gesetzliche Aufbewahrungspflichten, insbesondere § 147 AO; während der Aufbewahrungsfrist erfolgt eine Sperrung statt Löschung;
- Einschränkung der Verarbeitung (Art. 18 DSGVO);
- Datenübertragbarkeit (Art. 20 DSGVO) in einem strukturierten, gängigen, maschinenlesbaren Format;
- Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage berechtigter Interessen;
- Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO) mit Wirkung für die Zukunft.
Bitte richten Sie Anfragen an privacy@belegify.app.
10.1 Beschwerderecht
Sie haben zudem das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes (Art. 77 DSGVO). Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) Promenade 18, 91522 Ansbach Telefon: +49 981 180093-0 E-Mail: poststelle@lda.bayern.de Webseite: https://www.lda.bayern.de
11. Automatisierte Entscheidungsfindung / Profiling
Eine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO mit Rechtswirkung gegenüber den betroffenen Personen findet nicht statt. KI-/OCR-Analysen dienen ausschließlich der technischen Aufbereitung der vom Kunden bereitgestellten Belege; sämtliche Ergebnisse können vom Kunden vor Weiterverwendung geprüft und korrigiert werden.
12. Datensicherheit
Wir treffen geeignete technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um Ihre Daten vor unberechtigtem Zugriff, Verlust, Manipulation und Zerstörung zu schützen. Hierzu zählen insbesondere:
- Transportverschlüsselung (TLS 1.2 oder höher) für sämtliche Datenübertragungen;
- Verschlüsselung der gespeicherten Daten (AES-256) bei unserem Datenbank- und Storage-Anbieter Supabase;
- Zugriffskontrollen mittels Row-Level-Security (RLS) und Mehr-Faktor-Authentifizierung für administrative Zugänge;
- regelmäßige Backups und Wiederherstellungstests;
- definierte Incident-Response-Prozesse zur Erkennung und Meldung von Datenschutzverletzungen.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen unserer Verarbeitungstätigkeiten oder der Rechtslage anzupassen. Die jeweils aktuelle Fassung ist unter https://belegify.app/datenschutz abrufbar.
Stand: 30. April 2026
Diese Fassung ist als Erstfassung verfasst. Eine anwaltliche Schlussprüfung wird empfohlen.