Datenschutzerklärung
Wir nehmen den Schutz Ihrer Daten ernst — nicht nur, weil es die DSGVO verlangt, sondern weil Vertrauen die Grundlage jeder langfristigen Zusammenarbeit ist. Hier erklären wir, welche Daten wir erheben, wofür wir sie nutzen und welche Rechte Sie dabei haben.
§ 1 Verantwortlicher und Kontaktdaten
Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7 DSGVO) für die Verarbeitung personenbezogener Daten auf onlinebilanz.de ist:
Dr. Martin Pilz
Königstraße 27, 4. OG
D-70173 Stuttgart, Deutschland
E-Mail info@onlinebilanz.de
Datenschutz datenschutz@onlinebilanz.de
Web www.onlinebilanz.de
Sofern wir eine externe Datenschutzbeauftragte oder einen externen Datenschutzbeauftragten bestellen, finden Sie die aktuellen Kontaktdaten an dieser Stelle sowie im Impressum.
§ 2 Allgemeines zur Datenverarbeitung
2.1Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten ausschließlich auf Basis der DSGVO, des BDSG sowie weiterer einschlägiger Rechtsvorschriften. Je nach Situation stützen wir die Verarbeitung insbesondere auf folgende Grundlagen:
| Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung & vorvertragliche Maßnahmen |
| Art. 6 Abs. 1 lit. c DSGVO | Rechtliche Verpflichtungen (z. B. handels- und steuerrechtliche Aufbewahrung) |
| Art. 6 Abs. 1 lit. f DSGVO | Berechtigte Interessen (IT-Sicherheit, Missbrauchsvermeidung, Optimierung) |
| Art. 6 Abs. 1 lit. a DSGVO | Einwilligung (Newsletter, optionale Cookies / Tracking) |
Wo wir auf Ihre Einwilligung angewiesen sind, holen wir diese gesondert ein und informieren Sie über Zweck und Widerrufsmöglichkeit.
2.2Kategorien betroffener Personen
- Mandant:innen / Kund:innen
- Interessent:innen
- Besucher:innen unserer Website
- Nutzer:innen der Software „OnlineBilanz.de“
- Mitarbeitende und Ansprechpartner:innen unserer Kund:innen
2.3Kategorien verarbeiteter Daten
Je nach Nutzungssituation verarbeiten wir folgende Datenkategorien:
| Kategorie | Beispiele |
|---|---|
| Bestandsdaten | Name, Anschrift, Kontakt, Mandantennummer, Firmenname |
| Vertragsdaten | Leistungsumfang, Tarife, Laufzeiten |
| Zahlungsdaten | Bankverbindung, Rechnungen, Zahlungseingänge |
| Kommunikationsdaten | E-Mails, Nachrichten im Portal, Supportanfragen |
| Steuer- & Buchhaltungsdaten | Buchungssätze, Belege, Kontenpläne, Auswertungen, Steuer-IDs |
| Nutzungsdaten | Log-Daten, Logins, Geräte-/Browserinfos (pseudonym) |
| Inhaltsdaten | Hochgeladene Dateien, Notizen, individuelle Einstellungen |
§ 3 Verarbeitung beim Besuch unserer Website
3.1Server-Logfiles
Beim Aufruf unserer Website werden automatisch bestimmte Informationen erfasst, die Ihr Browser an unseren Server übermittelt: gekürzte/pseudonymisierte IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Referrer-URL, Browsertyp und Betriebssystem.
Zweck: technische Bereitstellung, Stabilität und Sicherheit der Website, Abwehr von Angriffen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem sicheren und stabilen Betrieb).
Speicherdauer: in der Regel 7–30 Tage, sofern keine längere Aufbewahrung aus Sicherheits- oder Beweisgründen erforderlich ist.
3.2Cookies und ähnliche Technologien
Wir setzen Cookies und ähnliche Technologien (Local/Session Storage) ein für:
- grundlegende Funktionen (Login, Sprachauswahl, Session-Verwaltung) — technisch notwendig,
- Analyse und Verbesserung der Nutzung — nur mit Einwilligung,
- Marketing- und Trackingfunktionen — nur mit Einwilligung.
§ 4 Registrierung und Nutzung der Software
4.1Registrierung und Nutzerkonto
Bei der Registrierung erheben wir u. a.:
- Vor- und Nachname,
- Firmenname / Rechtsform,
- Anschrift,
- E-Mail-Adresse, ggf. Telefonnummer,
- Zugangsdaten (Benutzername, Passwort — verschlüsselt gespeichert).
Zweck: Einrichtung und Verwaltung des Nutzerkontos, Authentifizierung, Bereitstellung der gebuchten Leistungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen).
4.2Buchführungs- und Steuerdaten im System
In der Software verarbeiten wir Daten, die Sie oder Ihr Steuerberater einstellen — etwa Buchungssätze, Konten, BWA, EÜR, Jahresabschlussdaten, Debitoren-/Kreditoreninformationen, Belege (Rechnungen, Kontoauszüge, Verträge) sowie steuerliche Informationen (Steuer-ID, USt-ID, ELSTER-Zugangsdaten).
Wir nutzen diese Daten ausschließlich zur Erfüllung des mit Ihnen geschlossenen Vertrages: Bereitstellung der Buchhaltungs- und Auswertungsfunktionen, Erstellung von Auswertungen und Berichten, Unterstützung Ihres Steuerberaters (z. B. durch Datenexporte).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten).
§ 5 Einsatz von KI-Funktionen
Unsere Plattform nutzt KI-Methoden, um:
- Buchungen vorzuschlagen,
- Belege zu klassifizieren,
- Plausibilitätsprüfungen zu unterstützen,
- Hinweise zur steuerlichen Einordnung zu geben (rein informell, keine individuelle Steuerberatung).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Verbesserung und Weiterentwicklung der KI-Funktionen). Eine darüber hinausgehende Nutzung Ihrer Daten zu Trainingszwecken erfolgt nur auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder mit vollständig anonymisierten Datensätzen.
§ 6 Zusammenarbeit mit Steuerberatern und Rechtsanwälten
Binden Sie über unsere Plattform eine:n Steuerberater:in oder Jurist:in ein oder arbeiten wir mit Kooperationspartnern (z. B. Kanzleien) zusammen, übermitteln wir Daten an diese Partner, soweit dies für Erstellung und Prüfung von Steuererklärungen, Jahresabschlüssen, rechtliche Prüfung von Vorlagen und Verträgen oder steuerliche/rechtliche Beratung erforderlich ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), ggf. Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten, z. B. Mitwirkung bei steuerlichen Prüfungen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer fachkundigen Bearbeitung).
§ 7 Zahlungsabwicklung
Je nach gewählter Zahlungsart (SEPA-Lastschrift, Überweisung, Kreditkarte, Zahlungsdienstleister) verarbeiten wir:
- Name und Anschrift,
- Bankverbindung (IBAN, BIC) bzw. Kartendaten — in der Regel über einen externen Zahlungsdienstleister,
- Transaktionsdaten (Rechnungsnummer, Betrag, Datum).
Zweck: Abrechnung unserer Leistungen, Buchführung, ggf. Forderungsmanagement.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. c DSGVO (steuer- und handelsrechtliche Pflicht zur Buchführung und Aufbewahrung, § 147 AO, § 257 HGB).
Externe Zahlungsdienstleister setzen wir auf Basis von Auftragsverarbeitungsverträgen (Art. 28 DSGVO) oder in eigener Verantwortlichkeit der Zahlungsdienstleister ein.
§ 8 Kommunikation per E-Mail, Telefon und Kontaktformular
8.1Allgemeine Anfragen
Kontaktieren Sie uns per E-Mail, Telefon oder Formular, verarbeiten wir Ihre Kontaktdaten, den Inhalt Ihrer Anfrage sowie ggf. Anhänge (Dokumente, Screenshots).
Zweck: Beantwortung Ihrer Anfrage, Vorbereitung oder Abwicklung eines Vertragsverhältnisses, Dokumentation von Supportfällen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen / Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (effiziente Kommunikation, Support, Nachweisbarkeit).
8.2Newsletter und Informationsmails
Sofern Sie unseren Newsletter abonnieren, verwenden wir Ihre E-Mail-Adresse ausschließlich zu diesem Zweck. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen — über den Abmeldelink in jeder E-Mail oder durch Mitteilung an uns.
§ 9 Auftragsverarbeitung und Drittanbieter
9.1Auftragsverarbeitung nach Art. 28 DSGVO
Wir setzen sorgfältig ausgewählte Dienstleister ein:
| Kategorie | Zweck | Standort |
|---|---|---|
| Hosting-Provider | Bereitstellung der Plattform & Datenbank | DE / EU |
| E-Mail-Provider | Versand & Empfang transaktionaler Mails | DE / EU |
| IT-Dienstleister / Entwickler | Wartung, Support, Weiterentwicklung | DE / EU |
| Zahlungsdienstleister | Abwicklung von Zahlungen & Abrechnung | EU |
| KI-Modellanbieter | Vorschläge zur Buchung / Klassifikation | EU / ggf. USA* |
* Bei Drittlandstransfer ausschließlich auf Grundlage geeigneter Garantien gem. Art. 46 DSGVO (insb. Standardvertragsklauseln) sowie eines Transfer Impact Assessments. Die jeweils aktuelle Liste erhalten Sie auf Anfrage.
9.2Datenübermittlung in Drittländer
Grundsätzlich verarbeiten wir Ihre Daten innerhalb Deutschlands bzw. der EU/des EWR. Sollte in Einzelfällen eine Übermittlung an Dienstleister außerhalb des EWR erforderlich sein, stellen wir sicher, dass entweder ein Angemessenheitsbeschluss der EU-Kommission vorliegt oder geeignete Garantien nach Art. 46 DSGVO bestehen (insb. EU-Standardvertragsklauseln, ergänzt um technische Maßnahmen wie Verschlüsselung).
§ 10 Dauer der Speicherung und Löschkonzepte
Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie es für die vertraglichen Zwecke notwendig ist, gesetzliche Aufbewahrungspflichten dies erfordern oder ein berechtigtes Interesse an der Speicherung besteht (z. B. zur Abwehr von Ansprüchen).
| Datenkategorie | Aufbewahrungsdauer |
|---|---|
| Buchhaltungs- und Steuerdaten § 147 AO, § 257 HGB | 10 Jahre |
| Allgemeine Geschäftsbriefe / Korrespondenz | ≥ 6 Jahre |
| Server-Logfiles | 7–30 Tage |
| Supportanfragen ohne steuerliche Relevanz | i. d. R. kürzer |
| Newsletter-Anmeldedaten | bis Widerruf |
Nach Ablauf der jeweiligen Fristen werden die Daten routinemäßig gelöscht oder anonymisiert.
§ 11 Ihre Rechte als betroffene Person
Sie haben nach der DSGVO umfassende Rechte im Umgang mit Ihren personenbezogenen Daten:
§ 12 Datensicherheit
Ihre Daten werden ausschließlich auf Servern in einem zertifizierten Rechenzentrum in Frankfurt am Main (Deutschland) verarbeitet. Eine Verarbeitung außerhalb der EU/des EWR erfolgt nur in den in § 9.2 beschriebenen Ausnahmefällen mit geeigneten Garantien.
Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, um Ihre Daten vor Verlust, Missbrauch, unberechtigtem Zugriff oder Offenlegung zu schützen:
- verschlüsselte Datenübertragung (HTTPS / TLS),
- Zugriffs- und Berechtigungskonzepte (Rollen, Mehrfaktor-Authentifizierung),
- regelmäßige Sicherheitsupdates und Patch-Management,
- Pseudonymisierung und — soweit sinnvoll — Anonymisierung,
- Protokollierung sicherheitsrelevanter Ereignisse,
- verbindliche organisatorische Richtlinien für alle Mitarbeitenden.
Trotz aller Sorgfalt kann kein System absolute Sicherheit garantieren. Sollten wir Kenntnis von einer Datenschutzverletzung erhalten, die Ihre Rechte und Freiheiten voraussichtlich erheblich beeinträchtigen könnte, informieren wir Sie und ggf. die zuständige Aufsichtsbehörde nach Maßgabe von Art. 33, 34 DSGVO.
12.1Incident-Response-Verfahren
Wir betreiben ein dokumentiertes Incident-Response-Verfahren mit verbindlichen internen Reaktionszeiten:
| Phase | Zeitfenster |
|---|---|
| Erkennung & Eindämmung 24/7-Überwachung; technische Eindämmung nach Erkennung | ≤ 2 Stunden |
| Bewertung der Meldepflicht Prüfung gem. Art. 33 DSGVO | ≤ 24 Stunden |
| Meldung an die Aufsichtsbehörde Art. 33 Abs. 1 DSGVO | ≤ 72 Stunden |
| Information der Betroffenen bei hohem Risiko, Art. 34 DSGVO — per E-Mail an hinterlegte Adresse | ≤ 72 Stunden |
| Post-Mortem-Bericht Ursachenanalyse, Maßnahmen, Präventionsplan für betroffene Kund:innen | ≤ 14 Tage |
Eine Vorfall-Historie (sofern vorhanden) sowie unsere aktuelle Systemverfügbarkeit finden Sie unter status.onlinebilanz.de.
§ 13 Änderungen dieser Datenschutzerklärung
Wir entwickeln unsere Leistungen kontinuierlich weiter. Dadurch kann es erforderlich werden, diese Datenschutzerklärung anzupassen — z. B. bei neuen Funktionen, rechtlichen Änderungen oder Vorgaben der Aufsichtsbehörden. Die jeweils aktuelle Version ist auf onlinebilanz.de/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir Sie rechtzeitig — etwa per E-Mail oder durch Hinweis im Kundenportal.
