Auftragsverarbeiter (Art. 28 DSGVO)

Amazon Web Services (Amazon Bedrock) · primär

Zur KI-gestützten Extraktion der Rechnungsdaten aus hochgeladenen Dokumenten nutzen wir das Claude-Modell über Amazon Bedrock (Anbieter: Amazon Web Services EMEA SARL, Luxemburg). Die Verarbeitung erfolgt in EU-Rechenzentren (eu. Inference Profile — Verarbeitung innerhalb der EU, u. a. Frankfurt). Im Regelbetrieb erfolgt kein Drittlandtransfer; die Daten werden nicht an den Modellanbieter (Anthropic) weitergegeben.

Rechtsgrundlage: AWS GDPR Data Processing Addendum, einbezogen über die AWS Service Terms (Abschnitt „GDPR"); es gilt automatisch, ohne separate Unterzeichnung. Datenschutz: https://aws.amazon.com/privacy/ — GDPR/DPA: https://aws.amazon.com/compliance/gdpr-center/

Anthropic (Claude API) · nur Fallback

Steht die EU-Verarbeitung über Amazon Bedrock vorübergehend nicht zur Verfügung, wird die Extraktion ersatzweise über die Claude API von Anthropic (USA) durchgeführt. Dabei wird der aus Ihrem Dokument extrahierte Text an Server von Anthropic übermittelt. Die Datenübertragung in die USA erfolgt in diesem Fall auf Grundlage von Standardvertragsklauseln.

Anthropic verarbeitet diese Daten gemäß ihrer Datenschutzrichtlinie: https://www.anthropic.com/privacy

Hosting

Diese Website wird bei Vercel Inc. (USA) gehostet. Vercel betreibt Server weltweit, einschließlich in der EU. Die Datenübertragung in die USA erfolgt auf Grundlage von Standardvertragsklauseln. Vercel verarbeitet Daten gemäß ihrer Datenschutzrichtlinie: https://vercel.com/legal/privacy-policy

Zur kurzzeitigen Speicherung von Verarbeitungszuständen (Konvertierungs-Sessions, Ratenlimits, anonyme Kontingente) und für Dateianhänge (z. B. Logo-Uploads) kommen Vercel KV (Redis-kompatibler Schlüssel-Wert-Speicher) und Vercel Blob zum Einsatz. Die Aufbewahrungsfristen sind unter Abschnitt 3 dokumentiert.

Stripe (Zahlungsabwicklung)

Käufe von Credit-Paketen werden über Stripe (Stripe Payments Europe, Limited, Irland; Mutterunternehmen Stripe, Inc., USA) abgewickelt. Stripe verarbeitet im Rahmen der Zahlungsabwicklung u. a. E-Mail-Adresse, Rechnungsangaben und Zahlungsmittelinformationen. Kartendaten werden ausschließlich direkt an Stripe übermittelt; auf unseren Servern werden keine Kartendaten gespeichert oder verarbeitet. Die Verarbeitung im Auftrag erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO); Übermittlungen in die USA stützen sich auf EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Datenschutzhinweise: https://stripe.com/de/privacy

PayPal (Zahlungsabwicklung)

Bei Auswahl von PayPal als Zahlungsart werden die zur Zahlungsabwicklung erforderlichen Daten an die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg übermittelt. Verarbeitet werden Bestandsdaten (Name, E-Mail-Adresse, Rechnungsanschrift), Zahlungsdaten und Vertragsdaten zur jeweiligen Bestellung. Die Anmeldung am PayPal-Konto und die Auswahl des Zahlungsmittels erfolgen direkt bei PayPal; PayPal-Kontodaten werden nicht auf unseren Servern gespeichert. Die technische Einbindung erfolgt über Stripe im Rahmen der bestehenden Auftragsverarbeitung nach Art. 28 DSGVO. Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung). Die Verarbeitung erfolgt primär innerhalb der EU; soweit Übermittlungen in Drittländer stattfinden, geschehen diese auf Grundlage geeigneter Garantien nach Art. 46 DSGVO (Standardvertragsklauseln). Weitere Informationen finden sich in der Datenschutzerklärung von PayPal: https://www.paypal.com/de/legalhub/privacy-full

Resend (Transaktionale E-Mails)

Für den Versand transaktionaler E-Mails (Login-Codes, Bestätigungen, Rechnungen, Benachrichtigungen zum Credit-Stand) nutzen wir Resend (Resend, Inc., USA). Übermittelte Daten: E-Mail-Adresse des Empfängers und Nachrichteninhalt. Die Verarbeitung erfolgt auf Grundlage eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO) und EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Datenschutzhinweise: https://resend.com/legal/privacy-policy

PostHog (PostHog Inc.)

Für produktbezogene Analysen und — nur nach Ihrer Einwilligung — Session-Aufzeichnungen setzen wir PostHog (PostHog Inc., USA) als Auftragsverarbeiter gemäß Art. 28 DSGVO ein. Die Verarbeitung erfolgt in der EU-Cloud von PostHog (Infrastruktur-Host eu.i.posthog.com). Es gilt die Datenschutzerklärung von PostHog: https://posthog.com/privacy

Der Anbieter PostHog Inc. hat seinen Sitz in den USA. Etwaige Übermittlungen in die USA (z. B. Support-Zugriffe der Muttergesellschaft) erfolgen auf Grundlage von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO). Der laufende Produktivbetrieb erfolgt ausschließlich auf EU-Servern (eu.i.posthog.com).

Oracle Cloud Infrastructure (KoSIT-Validator)

Anbieter: Oracle Cloud Infrastructure (Oracle Corporation). Zweck: Hosting des selbst betriebenen Validierungsdienstes, der die generierte E-Rechnung auf XRechnung-Konformität prüft (KoSIT-Validator). Verarbeitungsort: Schweiz (Oracle Cloud, Region Zürich / eu-zurich-1).

Drittlandtransfer: Schweiz — auf Grundlage des EU-Angemessenheitsbeschlusses für die Schweiz; Standardvertragsklauseln nicht erforderlich. Grundlage: Auftragsverarbeitung über Oracle Cloud; Übermittlung in die Schweiz durch EU-Angemessenheitsbeschluss abgedeckt. Datenschutzhinweise: https://www.oracle.com/legal/privacy/

openiban.com (optionale BIC-Ermittlung)

Im Rechnungsformular kann auf Wunsch zu einer eingegebenen IBAN die zugehörige BIC ermittelt werden. Diese Abfrage wird ausschließlich nach Klick auf die entsprechende Schaltfläche an den Dienst openiban.com übermittelt. Übermittelte Daten: die zu prüfende IBAN. Es werden keine weiteren personenbezogenen Daten übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung im Rahmen der Rechnungserstellung).