Datenschutzerklärung

kstaq
Kerem Sinecek
E-Mail: datenschutz@reciepto.de

Vollständige Kontaktdaten finden Sie im Impressum.

Je nach Nutzung verarbeiten wir insbesondere folgende Daten:

• Kontodaten: Name, E-Mail-Adresse, Passwort-Hash, Verifizierungsstatus.
• Zahlungsdaten: Stripe-Kunden-ID, Abonnement-ID, Tarifart, Abrechnungsstatus. Vollständige Zahlungsdaten (Kreditkartennummer etc.) werden ausschließlich von Stripe verarbeitet.
• Nutzungs- und Sicherheitsdaten: IP-Adresse, Zeitstempel, User-Agent, technische Ereignisdaten.
• WhatsApp-Daten: Senderkennung (maskiert/gehasht), Nachrichten-Metadaten, Message-IDs.
• Belegdaten: hochgeladene Bilddateien, extrahierte Belegdaten (Beträge, Kategorien, Positionen, Datum, Händler).
• Einwilligungsdaten: Cookie- und Consent-Status (Local Storage).
• Kontaktanfragen: E-Mail-Adresse, Kategorie, Nachrichtentext, anonymisierte IP-Adresse.

• Bereitstellung von Konto, Dashboard und Belegverwaltung: Art. 6 Abs. 1 lit. b DSGVO.
• IT-Sicherheit, Missbrauchsschutz, Fehleranalyse und Systemstabilität: Art. 6 Abs. 1 lit. f DSGVO.
• Optionale Statistik-/Trackingfunktionen im Browser: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
• Speichern/Auslesen von Informationen auf dem Endgerät: § 25 Abs. 1 TDDDG; erforderliche Cookies nach § 25 Abs. 2 TDDDG.

Bei Registrierung und Login verarbeiten wir Ihre Kontodaten zur Authentifizierung und Accountverwaltung. Passwörter werden nicht im Klartext gespeichert, sondern als Hash. Alternativ können Sie sich über Google OAuth anmelden; dabei erhalten wir von Google ausschließlich Ihren Namen, Ihre E-Mail-Adresse und ein Profilbild — kein Passwort. Für die Absicherung von Login- und API-Endpunkten werden Rate-Limit- und Sicherheitsdaten verarbeitet.

Wenn Sie Reciepto per WhatsApp nutzen, verarbeiten wir folgende Daten: Ihre Telefonnummer (gehasht und maskiert), eingehende Nachrichtentexte und Belegbilder, Medien-Metadaten (Medien-ID, MIME-Typ), Message-IDs sowie Verknüpfungs- und Disconnect-Codes. Nachrichtentexte und Medien werden zur Belegverarbeitung gespeichert. Verknüpfungs- und Disconnect-Codes werden zeitlich begrenzt gespeichert (Verifizierung: 15 Minuten, Disconnect: 10 Minuten). Die Kommunikation erfolgt über die WhatsApp Business Platform von Meta Platforms Ireland Ltd.

Übermittelte Belegbilder werden gespeichert und automatisiert analysiert, um strukturierte Belegdaten (z. B. Betrag, Kategorie, Positionen) im Dashboard bereitzustellen. Die Analyse erfolgt über OpenAI (OpenAI, L.L.C., San Francisco, USA) als Auftragsverarbeiter. Dabei wird ausschließlich das Belegbild zusammen mit einem strukturierten Prompt übermittelt; eine dauerhafte Speicherung der Bilddaten bei OpenAI findet gemäß deren Data Processing Addendum nicht statt. Der von der KI extrahierte Rohtext (rawText) wird nach 30 Tagen automatisch gelöscht. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet nicht statt.

Wenn Sie unser Kontaktformular unter /kontakt nutzen, verarbeiten wir Ihre E-Mail-Adresse, die gewählte Kategorie und Ihren Nachrichtentext zur Bearbeitung Ihrer Anfrage. Zusätzlich wird Ihre IP-Adresse anonymisiert gespeichert (Rate-Limiting und Missbrauchsschutz). Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. lit. f DSGVO (berechtigtes Interesse an der Bearbeitung von Nutzeranfragen). Kontaktanfragen werden nach Bearbeitung und spätestens nach 12 Monaten gelöscht.

Bei Abschluss eines kostenpflichtigen Abonnements werden Ihre Zahlungsdaten ausschließlich durch Stripe, Inc. als Zahlungsdienstleister verarbeitet. Wir selbst erhalten und speichern keine vollständigen Kartendaten oder Bankinformationen. Bei uns werden lediglich gespeichert: Stripe-Kunden-ID, Abonnement-ID, gewählter Tarif, Abrechnungsstatus und Zeitstempel. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Wir setzen technisch erforderliche Cookies für Session, Login und CSRF-Schutz. Ihre Consent-Auswahl wird im Browser-Local-Storage gespeichert (maximal 180 Tage). Optionale Kategorien (Präferenzen, Statistik, Marketing) werden nur mit Einwilligung aktiviert.

Mit Ihrer Einwilligung in die Cookie-Kategorie Statistik kann auf dieser Website optional Google Analytics 4 eingesetzt werden. Der Tracking-Code wird erst nach Erteilung der Einwilligung im Cookie-Banner dynamisch geladen; ohne Zustimmung wird kein GA-Script ausgeführt.

• Die Messung kann folgende Daten betreffen: IP-Adresse, Seitenaufrufe, Referrer, Browser-/Geräteinformationen (u. a. Browsertyp, Bildschirmauflösung), Interaktionen sowie technische Ereignisdaten.
• Zusätzlich nutzen wir ein eigenes, internes Statistik-Tracking über /api/analytics/track, das ausschließlich bei aktiver Statistik-Einwilligung Daten sendet. Ohne Ihre Zustimmung werden keinerlei Tracking-Daten übermittelt — weder an Google Analytics noch an unser internes System. Dabei werden Daten pseudonymisiert (z. B. IP-Adr.) gespeichert und mit Session-/Nutzungsbezug protokolliert.
• Rechtsgrundlage ist die freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Eine Nutzung erfolgt nicht, sofern Sie „Nur notwendige" wählen bzw. „Statistik" ablehnen.
• Sie können Ihre Einwilligung jederzeit in den Cookie-Einstellungen widerrufen; anschließend werden keine Statistik-Skripte mehr aktiv geladen.

Mit Ihrer Einwilligung in die Cookie-Kategorie Statistik setzen wir Private Analytics ein — ein selbstgehostetes, DSGVO-konformes Analyse-Tool zur Erfassung anonymisierter Seitenaufrufe.

• Zweck: Verbesserung der Website durch Auswertung anonymisierter Nutzungsdaten.
• Erfasste Daten: Seitenaufrufe, Top-Seiten, Referrer, Gerätetyp (Desktop/Mobile/Tablet) und Browser. Es werden keine personenbezogenen Daten, IP-Adressen, Fingerprints oder Cookies vor Einwilligung gespeichert.
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner). Ohne Ihre Zustimmung werden keine Daten erfasst.
• Speicherort: EU (Supabase, Frankfurt/EU-West).
• Aufbewahrung: Daten werden ausschließlich aggregiert gespeichert.

Weitere Informationen: Datenschutzerklärung von Private Analytics.

Zur Leistungserbringung können Daten an folgende Empfängerkategorien übermittelt werden:

• Supabase Inc. — Hosting, Datenbank und Dateispeicher (Auftragsverarbeitung).
• Vercel Inc. — Hosting und Bereitstellung der Backend-Anwendung.
• Meta Platforms Ireland Ltd. — WhatsApp Business Platform für Nachrichtenversand und Medienabruf.
• Google Ireland Ltd. — Google Analytics für Statistik- und Nutzungsanalysen (nur nach Einwilligung).
• OpenAI, L.L.C. — KI-basierte Beleganalyse (Bildverarbeitung und Texterkennung).
• Stripe, Inc. — Zahlungsabwicklung und Abonnementverwaltung (Auftragsverarbeitung). Stripe verarbeitet Zahlungsdaten direkt; wir speichern lediglich Kunden- und Abonnement-IDs.
• Resend, Inc. — Versand von Verifizierungs-, Passwort-Reset- und Löschbestätigungs-E-Mails (Auftragsverarbeitung).

Bei der Nutzung externer Anbieter kann eine Verarbeitung in Drittländern, insbesondere den USA, nicht ausgeschlossen werden:

• Supabase Inc. und Vercel Inc. (USA) — Angemessenheitsbeschluss EU-US Data Privacy Framework.
• OpenAI, L.L.C. (USA) — Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
• Stripe, Inc. (USA) — Angemessenheitsbeschluss EU-US Data Privacy Framework.
• Resend, Inc. (USA) — Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO.
• Meta Platforms Ireland Ltd. — Verarbeitung innerhalb der EU; für etwaige US-Transfers gilt das Data Privacy Framework.
• Google Ireland Ltd. — Datenübermittlung nur nach Einwilligung; Grundlage: Angemessenheitsbeschluss Data Privacy Framework.

• Session-Cookie: bis zum Ende der Browser-Session.
• Refresh-Token-Cookie: maximal 7 Tage.
• Consent-Daten (Local Storage): bis zu 180 Tage oder bis zur erneuten Entscheidung.
• E-Mail-Verifizierungstoken: 24 Stunden.
• Passwort-Reset-Token: 1 Stunde.
• Kontolöschungs-Code: 15 Minuten.
• WhatsApp-Verifizierungscode: 15 Minuten, Disconnect-Code: 10 Minuten.
• Belegdaten/Uploads: bis zur Löschung durch Sie oder bis zur Kontolöschung.
• KI-Rohtext (rawText): automatische Löschung nach 30 Tagen.
• Analyse-, Fehler- und Systemprotokolle: automatische Löschung nach 90 Tagen.
• Eingehende WhatsApp-Nachrichten: automatische Löschung nach 90 Tagen.
• KI-Auftragsdaten (ai_jobs/ai_usage): automatische Löschung nach 90 Tagen.
• Kontaktanfragen: nach Bearbeitung, spätestens 12 Monate.
• Bei Kontolöschung werden alle personenbezogenen Daten (Belege, Uploads, Nachrichten, Tokens, Kategorien, Budgets, Exporte, Abonnements) sofort und vollständig gelöscht.

Sie haben nach Maßgabe der DSGVO folgende Rechte:

• Auskunft (Art. 15) — Welche Daten wir über Sie gespeichert haben.
• Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
• Löschung (Art. 17) — Löschung Ihrer Daten; bei Reciepto über die Kontolöschung in den Einstellungen.
• Einschränkung (Art. 18) — Einschränkung der Verarbeitung.
• Datenübertragbarkeit (Art. 20) — Export Ihrer Daten in maschinenlesbarem Format.
• Widerspruch (Art. 21) — Gegen Verarbeitungen auf Basis berechtigter Interessen.
• Widerruf — Erteilte Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen (z. B. über Cookie-Einstellungen).

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an datenschutz@reciepto.de.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten rechtswidrig erfolgt.

Die Bereitstellung von Kontodaten ist für Registrierung, Login und Nutzung der Kernfunktionen erforderlich. Ohne diese Daten können wir den Dienst nicht vollständig bereitstellen.

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, Datenverarbeitungen oder rechtliche Anforderungen ändern. Maßgeblich ist die jeweils auf dieser Seite veröffentlichte Fassung.