Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:
Freico UG (haftungsbeschränkt)
Musterstraße 1, 60311 Frankfurt am Main
E-Mail: datenschutz@freico.de

Die Benennung eines Datenschutzbeauftragten ist gemäß § 38 BDSG derzeit nicht gesetzlich erforderlich.

2. Erhobene Daten & Zweck

Wir verarbeiten folgende personenbezogene Daten:

  • Registrierungsdaten: E-Mail-Adresse, Name, Passwort (gehasht) — zur Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO)
  • Profildaten: Geschäftsname, Adresse, Steuernummer — zur Rechnungserstellung (Art. 6 Abs. 1 lit. b DSGVO)
  • Dokumente: Hochgeladene PDFs und extrahierte Rechnungsdaten — zur Buchhaltungsautomatisierung (Art. 6 Abs. 1 lit. b DSGVO)
  • Bankdaten (Open Banking): Kontoumsätze, Kontostand, IBAN — bei freiwilliger Bankverbindung über finAPI; nur zur automatischen Belegabstimmung (Art. 6 Abs. 1 lit. b DSGVO). Deine Bankzugangsdaten (PIN/TAN) werden zu keinem Zeitpunkt an Freico übermittelt.
  • Zahlungsdaten: Über Stripe verarbeitet — Freico speichert keine Kreditkartendaten
  • Nutzungsdaten: Log-Dateien, IP-Adressen — zur Sicherheit und Fehlerbehebung (Art. 6 Abs. 1 lit. f DSGVO)

2a. Open Banking (Kontozugriff via finAPI / PSD2)

Freico ermöglicht optional die Verbindung mit deinem Geschäftskonto über den lizenzierten Kontoinformationsdienstleister finAPI GmbH (München, Deutschland) gemäß PSD2 (Zahlungsdiensterichtlinie 2015/2366/EU) und § 1 Abs. 1 Nr. 8 ZAG.

  • Was wird abgerufen: Kontoumsätze (Buchungsdatum, Betrag, Verwendungszweck, Gegenseite), Kontostand, IBAN.
  • Was wird nicht abgerufen: Deine Bankzugangsdaten (PIN, TAN, Passwort). Der Authentifizierungsprozess läuft ausschließlich zwischen dir und deiner Bank ab (Starke Kundenauthentifizierung/SCA gemäß Art. 97 PSD2).
  • Einwilligung: Du gibst deine ausdrückliche Zustimmung für den Kontozugriff per PSD2-Consent. Die Zustimmung ist auf 90 Tage begrenzt und kann jederzeit in Freico unter Banking → Verbindung trennen widerrufen werden.
  • Speicherdauer der Bankdaten: Kontoumsätze werden als Buchungsbelege gemäß § 147 Abs. 3 AO (Abgabenordnung) für 10 Jahre aufbewahrt, auch nach Trennung der Bankverbindung. Dies ist eine gesetzliche Pflicht unabhängig von deinem Widerruf des Open-Banking-Consents.
  • Zugangs-Token: OAuth-Tokens für den Kontozugriff werden verschlüsselt gespeichert und bei Verbindungstrennung sofort gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Buchhaltungsautomatisierung) und Art. 66 PSD2 (Kontoinformationsdienst). finAPI GmbH hat als lizenzierter AISP die aufsichtsrechtliche Erlaubnis der BaFin.

3. KI-Verarbeitung (Art. 13 Abs. 2 lit. f DSGVO)

Freico verarbeitet den Inhalt hochgeladener Dokumente mithilfe von KI-Modellen zur automatischen Texterkennung, Datumserkennung und Kategorisierung. Konkret werden folgende Verarbeitungen durchgeführt:

  • Dokumentenextraktion: Beleginhalte (Beträge, Absender, Datum, Rechnungsnummer) werden an OpenAI Inc. zur Verarbeitung übermittelt.
  • Vertragsanalyse: Vertragstext wird an Anthropic PBC zur Analyse übermittelt.
  • SKR-Kontenzuordnung: Belegdaten werden an Anthropic PBC zur Buchungskonto-Vorhersage übermittelt.

Du kannst die KI-Verarbeitung jederzeit unter Einstellungen → Datenschutz deaktivieren (Art. 21 DSGVO). Bei Deaktivierung musst du alle Felder manuell ausfüllen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Übermittlung in die USA auf Basis von Standardvertragsklauseln (Art. 46 DSGVO).

4. Datenübermittlung in Drittstaaten (Art. 44 ff. DSGVO)

Folgende Dienstleister verarbeiten Daten außerhalb der EU/des EWR:

AnbieterLandRechtsgrundlageZweck
OpenAI, Inc.USAStandardvertragsklauseln (Art. 46 DSGVO)KI-Dokumentenextraktion
Anthropic PBCUSAStandardvertragsklauseln (Art. 46 DSGVO)KI-Vertragsanalyse & SKR-Vorhersage
Postmark (ActiveCampaign)USAStandardvertragsklauseln (Art. 46 DSGVO)Transaktionale E-Mails
Stripe Inc.USAStandardvertragsklauseln (Art. 46 DSGVO)Zahlungsabwicklung

Alle Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO sind mit den oben genannten Anbietern abgeschlossen.

5. Auftragsverarbeitung (Art. 28 DSGVO)

AnbieterZweckStandort
Hetzner Online GmbHHosting & InfrastrukturDeutschland (EU)
finAPI GmbHOpen Banking / Kontoinformationsdienst (AISP, PSD2)Deutschland (EU)
Postmark (ActiveCampaign)E-Mail-VersandUSA (SCCs)
Stripe Inc.ZahlungsabwicklungUSA (SCCs)
OpenAI, Inc.KI-DokumentenextraktionUSA (SCCs)
Anthropic PBCKI-Vertragsanalyse & SKR-VorhersageUSA (SCCs)
Sentry (EU-Region)Fehler-MonitoringDeutschland (EU)
Plausible AnalyticsAnonyme Webseitenanalyse (cookielos)EU (Lettland)

6. Webseitenanalyse (Plausible Analytics)

Freico verwendet Plausible Analytics zur anonymen Nutzungsanalyse der Webseite. Plausible setzt keine Cookies und erhebt keine personenbezogenen Daten. Es werden ausschließlich aggregierte, nicht rückverfolgbare Statistiken (z. B. Seitenaufrufe, Referrer-Seiten) erfasst.

  • Anbieter: Plausible Insights OÜ, Põhja pst 12, 10111 Tallinn, Estland (EU)
  • Keine IP-Speicherung, keine Cross-Site-Verfolgung, keine Cookies
  • Das Plausible-Skript wird erst nach Einwilligung über den Cookie-Banner geladen (Kategorie "Analyse")
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

7. Cookies & lokale Speicherung (TTDSG § 25)

Freico verwendet nur technisch notwendige Cookies und Speichermechanismen. Nicht-essenzielle Technologien werden erst nach ausdrücklicher Einwilligung über unseren Cookie-Banner geladen (Opt-in gemäß TTDSG § 25 Abs. 1, BGH "Planet49").

Name / TechnologieTypKategorieZweck
refresh_tokenCookie (httpOnly)EssenziellAuthentifizierung / Session-Verwaltung
freico_consentCookieEssenziellSpeicherung deiner Cookie-Einstellungen
freico-cookie-consentlocalStorageEssenziellCookie-Consent-Status (Detailkategorien)
themelocalStorageEssenziellDarstellungsmodus (Hell/Dunkel)
Sentry SDKIn-Memory / APIEssenziellFehler-Monitoring und Fehlerbehebung (TTDSG § 25 Abs. 2 Nr. 2)
Plausible AnalyticsKein Cookie / kein StorageAnalyse (Opt-in)Anonyme Nutzungsstatistiken — wird erst nach Einwilligung geladen
Crisp Live-ChatCookie / localStorageSupport (Opt-in)Live-Chat-Funktionalität — wird erst nach Einwilligung geladen

Du kannst deine Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer der Seite anpassen.

8. Aufbewahrungsfristen

  • Kontodaten: bis zur Kontolöschung durch den Nutzer + 30 Tage Widerrufsfrist
  • Rechnungen & Buchungsbelege: 10 Jahre (§ 147 Abs. 3 AO)
  • Bankumsätze (Open Banking): 10 Jahre ab Buchungsdatum (§ 147 Abs. 3 AO) — auch nach Trennung der Bankverbindung. OAuth-Zugangstokens werden bei Trennung sofort gelöscht.
  • Sonstige Geschäftsdokumente: 6 Jahre (§ 147 Abs. 1 AO)
  • Log-Dateien: 30 Tage
  • Nach Kontolöschung: Dokumente innerhalb der Aufbewahrungsfrist werden anonymisiert aufbewahrt (keine personenbezogenen Daten, nur Finanzdaten)

9. Deine Rechte (Art. 12–22 DSGVO)

  • Auskunft (Art. 15): Du kannst jederzeit Auskunft über deine gespeicherten Daten verlangen.
  • Berichtigung (Art. 16): Unrichtige Daten können korrigiert werden.
  • Löschung (Art. 17): Du kannst dein Konto unter Einstellungen → Datenschutz → Konto löschen löschen.
  • Datenübertragbarkeit (Art. 20): Datenkopie anfordern unter Einstellungen → Datenschutz → Datenkopie anfordern.
  • Widerspruch gegen KI-Verarbeitung (Art. 21): KI-Belegverarbeitung deaktivieren unter Einstellungen → Datenschutz.
  • Einschränkung (Art. 18): Du kannst die Verarbeitung einschränken lassen.

Anfragen richten an: datenschutz@freico.de

10. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. KI-gestützte Vorschläge (z. B. Kontenzuordnung, Belegkategorisierung) sind unverbindlich und werden erst nach manueller Bestätigung durch den Nutzer übernommen.

11. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutzbehörde zu beschweren. Die zuständige Behörde in Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).