Datenschutzerklärung
Diese Erklärung beschreibt, welche personenbezogenen Daten wir bei der Nutzung von AgencyDeck verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange wir diese speichern.
1. Verantwortlicher & Datenschutzbeauftragter
Verantwortlich i. S. d. Art. 4 Nr. 7 DSGVO ist:
[Betreiber bitte eintragen]
[Straße + Hausnummer], [PLZ + Ort]
E-Mail: kontakt@example.com
Datenschutzbeauftragter: Aktuell kein externer DSB bestellt — Anfragen bitte an die oben genannte Adresse.
2. Rollen — Verantwortlicher vs. Auftragsverarbeiter
AgencyDeck ist ein Software-as-a-Service-Tool für die Agenturbuchhaltung. Es entstehen zwei datenschutzrechtlich getrennte Rollen:
- Verantwortlicher für die Daten seiner eigenen Nutzer und Kundendaten ist der jeweilige Workspace-Betreiber (Mandant). Er verarbeitet z. B. Kunden- und Rechnungsdaten auf eigene Veranlassung.
- Auftragsverarbeiter nach Art. 28 DSGVO sind wir ([Betreiber bitte eintragen]) — wir stellen ausschließlich die technische Infrastruktur. Die Auftragsverarbeitung ist im AVV geregelt.
- Eigene Verantwortlichkeit haben wir nur für Stammdaten (E-Mail-Account, Login-Protokolle, Zahlungsabwicklung) — diese sind unten in Abschnitt 3 gelistet.
3. Datenkategorien & Speicherdauer
| Kategorie | Felder | Zweck | Rechtsgrundlage | Speicherdauer |
|---|---|---|---|---|
| Konto- und Stammdaten | E-Mail, Vor-/Nachname, verschlüsseltes Passwort, 2FA-Secret, Workspace-Zugehörigkeit | Authentifizierung, Vertragsabwicklung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Bis 30 Tage nach Vertragsende, danach Löschung gem. Art. 17 |
| Kundendaten (vom Mandant erfasst) | Firmen, Ansprechpartner, Adressen, USt-ID, Bankverbindung | Rechnungstellung, CRM, Vertragsverwaltung | Art. 6 Abs. 1 lit. b/f DSGVO — Mandant ist Verantwortlicher, wir Auftragsverarbeiter | Steuerrechtlich 10 Jahre (§ 147 AO), danach automatische Löschung |
| Rechnungs- und Buchhaltungsdaten | Rechnungen (PDF/ZUGFeRD), Belege, Bankbewegungen, Buchungssätze | Faktura, Steuer, BWA, DATEV-Export | Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht — AO, HGB) | 10 Jahre gesetzlich |
| Nutzungs- und Login-Protokolle | IP-Adresse (anonymisiert nach 7 Tagen), User-Agent, Login-Zeitpunkt | Sicherheit, Missbrauchserkennung, Audit-Log | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse Sicherheit) | 90 Tage rolling, danach Löschung |
| Zahlungsdaten (Abo) | Stripe-Customer-ID, Letzte 4 Ziffern Karte, Rechnungsadresse | SaaS-Abrechnung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) | Kartendaten bei Stripe (PCI-DSS Level 1); Rechnungen 10 Jahre |
4. Subprozessoren & Drittlandübermittlung
Wir setzen folgende Dienstleister im Rahmen der Auftragsverarbeitung ein. Mit allen ist ein Vertrag nach Art. 28 DSGVO geschlossen. Drittlandübermittlung (außerhalb EU/EWR) erfolgt nur auf Basis der Standardvertragsklauseln (SCC) gem. Beschluss 2021/914/EU.
| Dienstleister | Zweck | Standort | Verarbeitete Daten |
|---|---|---|---|
| Hetzner Online GmbH | Server-Hosting, Datenbank, Backup-Storage | Deutschland (Falkenstein, Nürnberg) | Sämtliche Mandantendaten (verschlüsselt at-rest) |
| Microsoft Ireland Operations Ltd. | Transaktionale E-Mails über Microsoft Graph (M365) | Irland (EU) | E-Mail-Adresse, Versand-Metadaten, Mailbody |
| Mindee SAS | OCR-Belegerkennung (Eingangsrechnungen, Quittungen) | Frankreich (EU) | Belegbilder, extrahierte Rechnungsdaten |
| DATEV eG | Buchhaltungs-Export (DATEV-Schnittstelle) | Deutschland | Buchungssätze, Belegmetadaten, Kontenrahmen |
| Anthropic, PBC | KI-gestützte Kategorisierung von Buchungen (optional, Add-On) | USA — Standardvertragsklauseln (SCC) gem. Beschluss 2021/914/EU | Verwendungszweck-Text, Betrag, IBAN (gehasht) |
Hosting: Hetzner Online GmbH · Standort: Deutschland (EU)
5. Cookies & lokaler Speicher
AgencyDeck verwendet ausschließlich technisch notwendige Cookies nach § 25 Abs. 2 TTDSG — insbesondere ein Session-Cookie (HttpOnly, Secure, SameSite=Lax) und einen CSRF-Token. Es findet kein Tracking statt: keine Analytics, kein Drittanbieter-Script, keine Werbe-Cookies.
Im localStorage speichern wir den Klapp-Status der Seitenleiste und Theme-Präferenzen. Diese Daten verlassen den Browser des Nutzers nicht.
6. Ihre Rechte als betroffene Person
Sie haben gegenüber dem Verantwortlichen folgende Rechte:
- Art. 15 DSGVO — Auskunft über die zu Ihnen gespeicherten Daten.
- Art. 16 DSGVO — Berichtigung unrichtiger Daten.
- Art. 17 DSGVO — Löschung („Recht auf Vergessenwerden").
- Art. 18 DSGVO — Einschränkung der Verarbeitung.
- Art. 20 DSGVO — Datenübertragbarkeit (Export in maschinenlesbarem Format).
- Art. 21 DSGVO — Widerspruch gegen Verarbeitung auf Basis berechtigten Interesses.
- Art. 77 DSGVO — Beschwerde bei der Aufsichtsbehörde.
Anfragen richten Sie bitte an die oben genannte E-Mail-Adresse. Wir antworten unverzüglich, spätestens innerhalb eines Monats. Workspace- Admins können Auskunft und Löschung außerdem direkt über die Betreiber-Konsole anstoßen — wir setzen die Anfrage technisch um.
Zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach.
7. Technische Sicherheitsmaßnahmen
- HTTPS/TLS 1.3 für alle Verbindungen, HSTS-Header, sichere Cookies.
- Datenbankverschlüsselung at-rest, tägliche Backups auf separatem Storage.
- Multi-Mandanten-Trennung via PostgreSQL Row-Level-Security mit FORCE RLS.
- Passwörter gehasht mit Argon2id (memory-hard).
- Zwei-Faktor-Authentifizierung (TOTP) für alle Nutzer verfügbar.
- Audit-Log für alle Betreiber-Aktionen (Art. 30 DSGVO).
- Rate-Limiting auf Login + Mail-Endpoints gegen Brute-Force.
8. Änderungen dieser Erklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich Rechtslage oder eingesetzte Dienste ändern. Materielle Änderungen werden vorab per E-Mail an die Workspace-Admins angekündigt; die Versionsnummer am Seitenende dokumentiert den jeweiligen Stand.