Datenschutzerklärung

§ 1 Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer datenschutzrechtlicher Bestimmungen:

nxvnt GmbH

Gronowskistr. 69, 48161 Münster, Deutschland

E-Mail: info@nxvnt.com

Geschäftsführer: Torben S. Meier-Ulrichsen

Handelsregister: Amtsgericht Münster, HRB 23253

§ 2 Überblick über die Verarbeitung

ZasterBot ist ein KI-gestützter Buchhaltungs-Copilot für Eingangsrechnungen. Wir helfen Selbstständigen und kleinen Unternehmen dabei, Belege zu erfassen, fehlende Rechnungen zu erkennen und buchhalterisch aufzubereiten. Die folgende Erklärung beschreibt, welche personenbezogenen Daten wir zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten.

§ 3 Erhobene Daten und Rechtsgrundlagen

3.1 Nutzerkonto und Organisation (Art. 6 Abs. 1 lit. b DSGVO)

  • E-Mail-Adresse
  • Passwort (gespeichert als bcrypt-Hash über Supabase Auth)
  • Name der Organisation
  • Rolle (owner, member, viewer)

Zweck: Erstellung und Verwaltung Ihres Kontos, Authentifizierung, Mandantenzuordnung und Versand transaktionaler Benachrichtigungen.

3.3 Belege und Rechnungen (Art. 6 Abs. 1 lit. b und c DSGVO)

Hochgeladene oder per E-Mail weitergeleitete Rechnungen werden verschlüsselt in einem mandantengetrennten Storage-Bucket gespeichert. Aus den Belegen werden strukturierte Daten extrahiert (Lieferant, Rechnungsnummer, Datum, Beträge, Steuer, Positionen). Rechtsgrundlage ist die Vertragserfüllung sowie die Erfüllung gesetzlicher Aufbewahrungspflichten (HGB / AO / GoBD: in der Regel 10 Jahre).

3.4 KI-gestützte Verarbeitung (Art. 6 Abs. 1 lit. b und f DSGVO)

Zur Texterkennung (OCR) und Vorkontierung nutzen wir KI-Modelle. Übermittelt werden ausschließlich Inhalte Ihrer Belege und Transaktionen — die für die buchhalterische Auswertung erforderlich sind. Es werden keine Login-Daten, Passwörter oder vollständigen Bankzugänge an KI-Modelle übermittelt. Die KI trifft Vorschläge — die finale Entscheidung treffen Sie.

3.5 Chat-Verlauf (Art. 6 Abs. 1 lit. b DSGVO)

Im Chat mit dem KI-Assistenten stellen Sie Fragen zu Ihrer Buchhaltung. Die Nachrichten werden mandantengetrennt gespeichert, damit Sie auf Ihren Verlauf zugreifen können. Sie können den Verlauf jederzeit löschen.

3.6 Server-Logs (Art. 6 Abs. 1 lit. f DSGVO)

Unser Hosting-Provider erhebt technische Zugriffsdaten (IP-Adresse, Zeitstempel, angeforderte Ressource, User-Agent). IP-Adressen werden anonymisiert oder spätestens nach 30 Tagen gelöscht.

§ 4 Auftragsverarbeiter und Drittdienste

Wir setzen folgende sorgfältig ausgewählte Dienstleister ein:

AnbieterZweckStandortSchutzmaßnahme
Supabase Inc.Datenbank, Authentifizierung, Belege-StorageAWS Frankfurt (eu-central-1)DPA, SCCs, EU-Datenresidenz
Hetzner Online GmbHBackend-Server (Verarbeitung, Matching, KI-Agent)Deutschland (Nürnberg)DPA, EU-intern
Mistral AI SASOCR und KI-VorkontierungFrankreichEU-intern, DPA
Mailgun Technologies, Inc.Versand transaktionaler E-Mails (Auth, Benachrichtigungen)EU-Region verfügbarDPA, EU-US DPF, SCCs
Cloudflare Inc.CDN, DNS, DDoS-Schutz, SSL/TLSGlobal / EU-PoPsEU-US DPF, DPA
Lovable Technologies, Inc.Frontend-HostingUSA / EU-PoPsDPA, SCCs

§ 5 Internationale Datenübermittlung

Soweit personenbezogene Daten in Drittländer (außerhalb des EWR) übermittelt werden, erfolgt dies auf Grundlage von:

  • Angemessenheitsbeschluss: EU-US Data Privacy Framework (DPF) für US-Anbieter, die unter dem DPF zertifiziert sind.
  • Standardvertragsklauseln (SCCs): Ergänzend zu DPF, soweit anwendbar.

Unsere primären Datenspeicher (Datenbank, Belege, Backend) liegen in der EU (AWS Frankfurt, Hetzner Deutschland).

§ 6 Cookies und Tracking

ZasterBot setzt keine Cookies zu Analyse- oder Trackingzwecken ein. Wir speichern ausschließlich technisch notwendige Daten:

  • Authentifizierungs-Token: notwendig für die Sitzungsaufrechterhaltung (Art. 6 Abs. 1 lit. b DSGVO).
  • Theme-Einstellung: hell/dunkel-Modus.

Ein Cookie-Banner ist nicht erforderlich, da keine zustimmungspflichtigen Cookies gesetzt werden (§ 25 TDDDG).

§ 7 Speicherdauer

  • Nutzerkonto: bis zur Löschung durch den Nutzer.
  • Belege, Buchungen, Steuerdaten: entsprechend gesetzlicher Aufbewahrungspflichten (HGB / AO / GoBD: in der Regel 10 Jahre).
  • Banking-Transaktionen: solange das Konto verbunden ist; nach Trennung gelten ebenfalls die Aufbewahrungsfristen für verbuchte Vorgänge.
  • Chat-Verlauf: bis zur Löschung durch den Nutzer.
  • Server-Logs: max. 30 Tage.

§ 8 Datensicherheit

  • TLS/HTTPS-Verschlüsselung für alle Datenübertragungen
  • Verschlüsselung im Ruhezustand (AES-256)
  • Bcrypt-Hashing für Passwörter (Supabase Auth)
  • Row Level Security (RLS) auf allen Mandantendaten
  • Strikte Mandantentrennung (org_id auf jeder Geschäftstabelle)
  • Privater Storage-Bucket für Belege, Zugriff nur über signierte URLs

§ 9 Ihre Rechte

Gemäß DSGVO stehen Ihnen folgende Rechte zu:

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17) — soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Beschwerde bei einer Aufsichtsbehörde. Zuständig ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).

Anfragen richten Sie bitte an info@nxvnt.com.

§ 10 E-Mail-Benachrichtigungen

Wir versenden ausschließlich transaktionale E-Mails:

  • Auth-Mails: Bestätigung, Passwort-Zurücksetzung, Anmeldelinks (Art. 6 Abs. 1 lit. b DSGVO).
  • Hinweise zur Buchhaltung: z. B. wenn eine Rechnung fehlt oder ein Prüfungs-Finding offen ist (Vertragserfüllung).

Wir versenden keine Marketing- oder Newsletter-Mails.

§ 11 KI-Transparenz (freiwillige Offenlegung)

ZasterBot nutzt KI-Modelle (OCR, Vorkontierung, Chat-Assistent). Die KI liefert Vorschläge — keine bindenden steuerlichen oder rechtlichen Empfehlungen. Die finale Verantwortung für Buchungen, Steuermeldungen und Exporte (z. B. nach DATEV) liegt beim Nutzer bzw. seiner Steuerberatung.

Stand: Mai 2026