BBelegbrücke
AnmeldenKonto erstellen

Datenschutzerklärung

Stand: Mai 2026.

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und 14 DSGVO über die Verarbeitung personenbezogener Daten bei der Nutzung von Belegbrücke (belegbruecke.com).

§ 1 Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Delta Forge EOOD
ul. „Marin Drinov" 7
4017 Plovdiv, Bezirk Tsentralen
Plovdiv, Bulgarien

Geschäftsführer: Tsvetomir Dimitrov Batinov
E-Mail: datenschutz@belegbruecke.com

Eintragung: bulgarisches Handelsregister, EIK 207663135.

§ 2 Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO derzeit nicht zu bestellen. Für sämtliche datenschutzrechtlichen Anfragen erreichen Sie uns unter datenschutz@belegbruecke.com. Wir antworten an Werktagen innerhalb von 24 Stunden.

§ 3 Zuständige Aufsichtsbehörde

Federführende Aufsichtsbehörde für Delta Forge EOOD ist:

Kommission für den Schutz personenbezogener Daten (Комисия за защита на личните данни / KZLD)
ul. „Prof. Tsvetan Lazarov" 2
1592 Sofia, Bulgarien
Web: cpdp.bg

Nutzerinnen und Nutzer mit Wohnsitz in Deutschland können sich zusätzlich an die für sie örtlich zuständige Landesdatenschutzbehörde oder an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) wenden.

§ 4 Welche Daten wir verarbeiten

Wir verarbeiten ausschließlich die Daten, die zur Erbringung des Dienstes erforderlich sind.

4.1 Bei Aufruf der Website

  • IP-Adresse (gekürzt nach 24 Stunden, dient der Abwehr von Missbrauch und der Einhaltung von Rate-Limits)
  • Browser-Typ und -Version
  • Betriebssystem
  • Referrer-URL
  • Zeitpunkt des Zugriffs

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem stabilen und sicheren Betrieb).
Speicherdauer: 30 Tage als Server-Logs, danach automatische Löschung.

4.2 Bei Registrierung und Nutzung des Kontos

  • E-Mail-Adresse
  • Zugriffszeitpunkte
  • Optional: DATEV-Beraternummer, DATEV-Mandantennummern, Sachkonten-Vorgaben pro Mandant
  • Audit-Log-Einträge zu allen Konvertierungen, Exporten, Account-Änderungen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: Account-Daten bis zur Kündigung; Audit-Log abhängig vom Tarif (Starter 7 Tage, Pro 24 Monate, Steuerkanzlei 10 Jahre — gemäß § 147 AO).

4.3 Bei Konvertierung von Kontoauszügen

  • Hochgeladene PDF-Dateien (verschlüsselt im Storage abgelegt)
  • Extrahierte Buchungsdaten (Datum, Buchungstext, Betrag, IBAN, Saldo)
  • SHA-256-Hash der Original-PDF zur Vermeidung von Doppel-Verarbeitung und zur API-Kostenoptimierung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer der PDFs: maximal 60 Minuten ab Upload, danach automatische Löschung durch unseren Cron-Prozess. Die extrahierten Buchungsdaten bleiben gemäß Tarif-Aufbewahrungsfrist verfügbar; Sie können sie jederzeit über die App löschen.

4.4 Bei Zahlung

Abrechnungs- und Zahlungsdaten werden ausschließlich über unseren Zahlungsdienstleister Stripe verarbeitet (siehe § 5.3). Wir selbst speichern keine Kreditkartennummern oder Bankverbindungen. Wir erhalten von Stripe lediglich Status-Updates (z.B. Abonnement aktiv, Zahlung fehlgeschlagen).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

§ 5 Auftragsverarbeiter und Empfänger

Wir setzen folgende Auftragsverarbeiter ein. Mit jedem besteht ein Vertrag gemäß Art. 28 DSGVO.

5.1 Supabase (Authentifizierung, Datenbank, Storage)
Anbieter
Supabase Inc., 970 Toa Payoh North #07-04, Singapur 318992
Verarbeitete Daten
alle in § 4.2 und 4.3 genannten Daten
Verarbeitungsort
EU (Frankfurt, Region eu-central-1)
Drittlandübermittlung
nein, alle Daten verbleiben in der EU
Auftragsverarbeitungsvertrag
vorhanden (Supabase Standard DPA)
5.2 Vercel (Hosting, Edge Functions)
Anbieter
Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA
Verarbeitete Daten
Zugriffslogs, IP-Adressen, Request/Response-Daten
Verarbeitungsort
EU (Region FRA1, Frankfurt)
Drittlandübermittlung
Bei Performance- oder Sicherheitsvorfällen kann eine Diagnose durch das US-Mutterunternehmen erforderlich werden. Wir haben mit Vercel Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.
Auftragsverarbeitungsvertrag
vorhanden (Vercel DPA)
5.3 Stripe (Zahlungsabwicklung)
Anbieter
Stripe Payments Europe, Limited, The One Building, 1 Grand Canal Street Lower, Dublin 2, Irland
Verarbeitete Daten
Zahlungs- und Abrechnungsdaten, Rechnungsadresse, USt-IdNr.
Drittlandübermittlung
Stripe Payments Europe übermittelt Zahlungsdaten an die Konzernmutter Stripe, Inc. (USA). Es bestehen Standardvertragsklauseln und zusätzliche Schutzmaßnahmen.
Auftragsverarbeitungsvertrag
vorhanden (Stripe DPA)
Datenschutzerklärung Stripe
stripe.com/de/privacy
5.4 Anthropic (Sprachmodell-basierte Extraktion bei unbekannten Bank-Vorlagen)

Wichtiger Hinweis: Wenn Sie ein PDF einer Bank hochladen, für die wir noch keine spezifische Vorlage entwickelt haben, oder wenn die Saldo-Abgleichung mit unserer regelbasierten Extraktion fehlschlägt, übermitteln wir den Inhalt des PDFs an unseren Sprachmodell-Dienstleister Anthropic zur strukturierten Extraktion.

Anbieter
Anthropic Ireland, Limited, 6th Floor, South Bank House, Barrow Street, Dublin 4, Irland
Verarbeitete Daten
Inhalt des hochgeladenen PDFs (Text- und/oder Bildrepräsentation)
Verarbeitungsort
EU/UK-Endpunkte werden bevorzugt; bei Nichtverfügbarkeit kann auf US-Endpunkte ausgewichen werden
Drittlandübermittlung
Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO
Zweckbindung
Die Daten werden ausschließlich zur Extraktion verwendet, nicht zum Training von Modellen (Anthropic Commercial Terms verbieten dies vertraglich)
AV-Vertrag
vorhanden (Anthropic Data Processing Addendum)

Wenn Sie diese Verarbeitung nicht wünschen, kontaktieren Sie uns. Wir markieren Ihren Account dann so, dass nur regelbasierte Extraktion verwendet wird (Einschränkung: nicht alle Banken sind dann konvertierbar).

5.5 Resend (Transaktionale E-Mails)
Anbieter
Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA
Verarbeitete Daten
E-Mail-Adresse, Inhalt transaktionaler E-Mails (Magic-Links, Quittungen, System-Benachrichtigungen)
Verarbeitungsort
EU-Region (Frankfurt) für E-Mail-Versand
Drittlandübermittlung
Standardvertragsklauseln
Auftragsverarbeitungsvertrag
vorhanden
5.6 Analytics

Derzeit ist auf belegbruecke.com kein Analytics-Tool aktiv. Sobald wir uns für einen Anbieter entscheiden — in Betracht kommen ausschließlich cookie-freie Anbieter ohne Fingerprinting (Plausible Analytics, Estland, oder Pirsch Analytics, Deutschland) — wird diese Datenschutzerklärung entsprechend aktualisiert und der gewählte Anbieter hier namentlich genannt.

5.7 Sentry (Fehler-Tracking)
Anbieter
Functional Software, Inc. dba Sentry, 132 Hawthorne Street, San Francisco, CA 94107, USA
Verarbeitete Daten
technische Fehler-Stack-Traces; IP-Adressen werden anonymisiert; PII-Filter sind aktiviert
Verarbeitungsort
EU-Region (eu-west-1)
Drittlandübermittlung
Standardvertragsklauseln
Auftragsverarbeitungsvertrag
vorhanden

§ 6 Cookies

Wir verwenden keine Marketing-, Tracking- oder Werbe-Cookies. Es werden lediglich technisch notwendige Cookies eingesetzt:

  • Session-Cookie für die Authentifizierung (HttpOnly, Secure, SameSite=Lax)
  • CSRF-Token-Cookie zum Schutz vor Cross-Site-Request-Forgery

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit des Dienstes) bzw. § 25 Abs. 2 Nr. 2 TDDDG (technisch notwendig).

Da wir kein Tracking und keine Analyse-Cookies einsetzen, ist ein Cookie-Banner gesetzlich nicht erforderlich.

§ 7 Automatisierte Entscheidungsfindung und Profiling

Wir setzen Sprachmodelle (siehe § 5.4) zur Datenextraktion aus PDFs ein. Dies ist eine reine Verarbeitung im Sinne der DSGVO und keine automatisierte Entscheidung nach Art. 22 DSGVO. Auf Basis der extrahierten Daten werden keine automatisierten Entscheidungen mit Rechtswirkung oder erheblicher Beeinträchtigung für betroffene Personen getroffen.

Profiling findet nicht statt.

§ 8 Ihre Rechte

Sie haben jederzeit das Recht auf:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO) — Sie können Ihren Account jederzeit unter /einstellungen/loeschen selbst löschen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO) — Sie können Ihre Daten als CSV exportieren
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) — siehe § 3

Für die Ausübung Ihrer Rechte wenden Sie sich an datenschutz@belegbruecke.com. Wir antworten innerhalb der gesetzlichen Frist von einem Monat.

§ 9 Datenübertragung in Drittländer

Soweit Daten in Länder außerhalb des EWR übermittelt werden (siehe § 5.2, 5.3, 5.4, 5.5, 5.7), erfolgt dies auf Grundlage von Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO. Sofern verfügbar, werden EU-Datenresidenz-Optionen unserer Auftragsverarbeiter genutzt.

§ 10 Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach Art. 32 DSGVO ein, darunter:

  • Verschlüsselung sämtlicher Daten im Transit (TLS 1.3) und at Rest (AES-256)
  • Authentifizierung über E-Mail-Magic-Links ohne Passwort-Speicherung
  • Row-Level-Security auf Datenbank-Ebene
  • Automatische Löschung hochgeladener PDFs nach 60 Minuten
  • Hash-verkettetes Audit-Log für alle datenrelevanten Aktionen
  • Regelmäßige Sicherheits-Updates aller Komponenten

Eine ausführliche Beschreibung der TOMs ist Teil des Auftragsverarbeitungsvertrags (AVV), den wir mit unseren Kundinnen und Kunden auf Anfrage abschließen.

§ 11 Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich rechtliche Rahmenbedingungen oder unsere Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Version ist unter /datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzerinnen und Nutzer per E-Mail.