Datenschutzerklärung
1. Verantwortlicher
Verantwortlicher im Sinne der DSGVO ist:
Freico UG (haftungsbeschränkt)
Musterstraße 1, 60311 Frankfurt am Main
E-Mail: datenschutz@freico.de
Die Benennung eines Datenschutzbeauftragten ist gemäß § 38 BDSG derzeit nicht gesetzlich erforderlich.
2. Erhobene Daten & Zweck
Wir verarbeiten folgende personenbezogene Daten:
- Registrierungsdaten: E-Mail-Adresse, Name, Passwort (gehasht) — zur Bereitstellung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO)
- Profildaten: Geschäftsname, Adresse, Steuernummer — zur Rechnungserstellung (Art. 6 Abs. 1 lit. b DSGVO)
- Dokumente: Hochgeladene PDFs und extrahierte Rechnungsdaten — zur Buchhaltungsautomatisierung (Art. 6 Abs. 1 lit. b DSGVO)
- Bankdaten (Open Banking): Kontoumsätze, Kontostand, IBAN — bei freiwilliger Bankverbindung über finAPI; nur zur automatischen Belegabstimmung (Art. 6 Abs. 1 lit. b DSGVO). Deine Bankzugangsdaten (PIN/TAN) werden zu keinem Zeitpunkt an Freico übermittelt.
- Zahlungsdaten: Über Stripe verarbeitet — Freico speichert keine Kreditkartendaten
- Nutzungsdaten: Log-Dateien, IP-Adressen — zur Sicherheit und Fehlerbehebung (Art. 6 Abs. 1 lit. f DSGVO)
2a. Open Banking (Kontozugriff via finAPI / PSD2)
Freico ermöglicht optional die Verbindung mit deinem Geschäftskonto über den lizenzierten Kontoinformationsdienstleister finAPI GmbH (München, Deutschland) gemäß PSD2 (Zahlungsdiensterichtlinie 2015/2366/EU) und § 1 Abs. 1 Nr. 8 ZAG.
- Was wird abgerufen: Kontoumsätze (Buchungsdatum, Betrag, Verwendungszweck, Gegenseite), Kontostand, IBAN.
- Was wird nicht abgerufen: Deine Bankzugangsdaten (PIN, TAN, Passwort). Der Authentifizierungsprozess läuft ausschließlich zwischen dir und deiner Bank ab (Starke Kundenauthentifizierung/SCA gemäß Art. 97 PSD2).
- Einwilligung: Du gibst deine ausdrückliche Zustimmung für den Kontozugriff per PSD2-Consent. Die Zustimmung ist auf 90 Tage begrenzt und kann jederzeit in Freico unter Banking → Verbindung trennen widerrufen werden.
- Speicherdauer der Bankdaten: Kontoumsätze werden als Buchungsbelege gemäß § 147 Abs. 3 AO (Abgabenordnung) für 10 Jahre aufbewahrt, auch nach Trennung der Bankverbindung. Dies ist eine gesetzliche Pflicht unabhängig von deinem Widerruf des Open-Banking-Consents.
- Zugangs-Token: OAuth-Tokens für den Kontozugriff werden verschlüsselt gespeichert und bei Verbindungstrennung sofort gelöscht.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Buchhaltungsautomatisierung) und Art. 66 PSD2 (Kontoinformationsdienst). finAPI GmbH hat als lizenzierter AISP die aufsichtsrechtliche Erlaubnis der BaFin.
3. KI-Verarbeitung (Art. 13 Abs. 2 lit. f DSGVO)
Freico verarbeitet den Inhalt hochgeladener Dokumente mithilfe von KI-Modellen zur automatischen Texterkennung, Datumserkennung und Kategorisierung. Konkret werden folgende Verarbeitungen durchgeführt:
- Dokumentenextraktion: Beleginhalte (Beträge, Absender, Datum, Rechnungsnummer) werden an OpenAI Inc. zur Verarbeitung übermittelt.
- Vertragsanalyse: Vertragstext wird an Anthropic PBC zur Analyse übermittelt.
- SKR-Kontenzuordnung: Belegdaten werden an Anthropic PBC zur Buchungskonto-Vorhersage übermittelt.
Du kannst die KI-Verarbeitung jederzeit unter Einstellungen → Datenschutz deaktivieren (Art. 21 DSGVO). Bei Deaktivierung musst du alle Felder manuell ausfüllen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Übermittlung in die USA auf Basis von Standardvertragsklauseln (Art. 46 DSGVO).
4. Datenübermittlung in Drittstaaten (Art. 44 ff. DSGVO)
Folgende Dienstleister verarbeiten Daten außerhalb der EU/des EWR:
| Anbieter | Land | Rechtsgrundlage | Zweck |
|---|---|---|---|
| OpenAI, Inc. | USA | Standardvertragsklauseln (Art. 46 DSGVO) | KI-Dokumentenextraktion |
| Anthropic PBC | USA | Standardvertragsklauseln (Art. 46 DSGVO) | KI-Vertragsanalyse & SKR-Vorhersage |
| Postmark (ActiveCampaign) | USA | Standardvertragsklauseln (Art. 46 DSGVO) | Transaktionale E-Mails |
| Stripe Inc. | USA | Standardvertragsklauseln (Art. 46 DSGVO) | Zahlungsabwicklung |
Alle Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO sind mit den oben genannten Anbietern abgeschlossen.
5. Auftragsverarbeitung (Art. 28 DSGVO)
| Anbieter | Zweck | Standort |
|---|---|---|
| Hetzner Online GmbH | Hosting & Infrastruktur | Deutschland (EU) |
| finAPI GmbH | Open Banking / Kontoinformationsdienst (AISP, PSD2) | Deutschland (EU) |
| Postmark (ActiveCampaign) | E-Mail-Versand | USA (SCCs) |
| Stripe Inc. | Zahlungsabwicklung | USA (SCCs) |
| OpenAI, Inc. | KI-Dokumentenextraktion | USA (SCCs) |
| Anthropic PBC | KI-Vertragsanalyse & SKR-Vorhersage | USA (SCCs) |
| Sentry (EU-Region) | Fehler-Monitoring | Deutschland (EU) |
| Plausible Analytics | Anonyme Webseitenanalyse (cookielos) | EU (Lettland) |
6. Webseitenanalyse (Plausible Analytics)
Freico verwendet Plausible Analytics zur anonymen Nutzungsanalyse der Webseite. Plausible setzt keine Cookies und erhebt keine personenbezogenen Daten. Es werden ausschließlich aggregierte, nicht rückverfolgbare Statistiken (z. B. Seitenaufrufe, Referrer-Seiten) erfasst.
- Anbieter: Plausible Insights OÜ, Põhja pst 12, 10111 Tallinn, Estland (EU)
- Keine IP-Speicherung, keine Cross-Site-Verfolgung, keine Cookies
- Das Plausible-Skript wird erst nach Einwilligung über den Cookie-Banner geladen (Kategorie "Analyse")
- Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
7. Cookies & lokale Speicherung (TTDSG § 25)
Freico verwendet nur technisch notwendige Cookies und Speichermechanismen. Nicht-essenzielle Technologien werden erst nach ausdrücklicher Einwilligung über unseren Cookie-Banner geladen (Opt-in gemäß TTDSG § 25 Abs. 1, BGH "Planet49").
| Name / Technologie | Typ | Kategorie | Zweck |
|---|---|---|---|
| refresh_token | Cookie (httpOnly) | Essenziell | Authentifizierung / Session-Verwaltung |
| freico_consent | Cookie | Essenziell | Speicherung deiner Cookie-Einstellungen |
| freico-cookie-consent | localStorage | Essenziell | Cookie-Consent-Status (Detailkategorien) |
| theme | localStorage | Essenziell | Darstellungsmodus (Hell/Dunkel) |
| Sentry SDK | In-Memory / API | Essenziell | Fehler-Monitoring und Fehlerbehebung (TTDSG § 25 Abs. 2 Nr. 2) |
| Plausible Analytics | Kein Cookie / kein Storage | Analyse (Opt-in) | Anonyme Nutzungsstatistiken — wird erst nach Einwilligung geladen |
| Crisp Live-Chat | Cookie / localStorage | Support (Opt-in) | Live-Chat-Funktionalität — wird erst nach Einwilligung geladen |
Du kannst deine Cookie-Einstellungen jederzeit über den Link "Cookie-Einstellungen" im Footer der Seite anpassen.
8. Aufbewahrungsfristen
- Kontodaten: bis zur Kontolöschung durch den Nutzer + 30 Tage Widerrufsfrist
- Rechnungen & Buchungsbelege: 10 Jahre (§ 147 Abs. 3 AO)
- Bankumsätze (Open Banking): 10 Jahre ab Buchungsdatum (§ 147 Abs. 3 AO) — auch nach Trennung der Bankverbindung. OAuth-Zugangstokens werden bei Trennung sofort gelöscht.
- Sonstige Geschäftsdokumente: 6 Jahre (§ 147 Abs. 1 AO)
- Log-Dateien: 30 Tage
- Nach Kontolöschung: Dokumente innerhalb der Aufbewahrungsfrist werden anonymisiert aufbewahrt (keine personenbezogenen Daten, nur Finanzdaten)
9. Deine Rechte (Art. 12–22 DSGVO)
- Auskunft (Art. 15): Du kannst jederzeit Auskunft über deine gespeicherten Daten verlangen.
- Berichtigung (Art. 16): Unrichtige Daten können korrigiert werden.
- Löschung (Art. 17): Du kannst dein Konto unter Einstellungen → Datenschutz → Konto löschen löschen.
- Datenübertragbarkeit (Art. 20): Datenkopie anfordern unter Einstellungen → Datenschutz → Datenkopie anfordern.
- Widerspruch gegen KI-Verarbeitung (Art. 21): KI-Belegverarbeitung deaktivieren unter Einstellungen → Datenschutz.
- Einschränkung (Art. 18): Du kannst die Verarbeitung einschränken lassen.
Anfragen richten an: datenschutz@freico.de
10. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Es findet keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO statt. KI-gestützte Vorschläge (z. B. Kontenzuordnung, Belegkategorisierung) sind unverbindlich und werden erst nach manueller Bestätigung durch den Nutzer übernommen.
11. Beschwerderecht
Du hast das Recht, dich bei einer Datenschutzbehörde zu beschweren. Die zuständige Behörde in Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).