Datenschutzerklärung

Maßgeblich ist die jeweils aktuelle Fassung auf taxtello.de. Diese Seite ist eine fokussierte Fassung für die Pre-Launch-Phase.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze der EU-Mitgliedstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Daniel Haida
Rheinbergstr. 63 · 76187 Karlsruhe · Deutschland
Telefon: 0721 27664525
E-Mail: support@taxtello.de
Web: [taxtello.de]()

2. Grundsätze der Datenverarbeitung

taxtello verarbeitet personenbezogene Daten ausschließlich im Rahmen der geltenden Datenschutzgesetze, insbesondere der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Wir erheben und verarbeiten Daten nur soweit dies zur Bereitstellung des Dienstes erforderlich ist.

Grundsatz der Datensparsamkeit: Wir erheben nur die Daten, die für den jeweiligen Verarbeitungszweck tatsächlich erforderlich sind. Es findet keine Weitergabe an Dritte zu Werbezwecken statt.

Rechtsgrundlagen für die Datenverarbeitung sind je nach Verarbeitungskontext:

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung der betroffenen Person

Art. 6 Abs. 1 lit. b DSGVO – Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen

Art. 6 Abs. 1 lit. c DSGVO – Erfüllung einer rechtlichen Verpflichtung

Art. 6 Abs. 1 lit. f DSGVO – Berechtigte Interessen des Verantwortlichen

3. Betriebsmodell: Cloud

taxtello wird als Cloud-Anwendung betrieben. Daten werden auf Servern des Anbieters (Mittwald, Deutschland) verarbeitet. Der Verantwortliche hat Zugang zur Infrastruktur, jedoch nicht aktiv zu Ihren inhaltlichen Buchungsdaten. Es gilt der vollständige Umfang dieser Datenschutzerklärung.

4. Hosting & Infrastruktur

Anwendung & Buchhaltungsdaten — Mittwald (Deutschland)

Die taxtello Cloud-Anwendung (app.taxtello.de) und sämtliche darin verarbeiteten Buchhaltungs- und Belegdaten werden gehostet bei:

Mittwald CM Service GmbH & Co. KG
Königsberger Straße 4–6 · 32339 Espelkamp
www.mittwald.de/datenschutz

Die Server befinden sich ausschließlich in Deutschland. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO wurde mit Mittwald geschlossen. Im Rahmen des von uns eingesetzten Mittwald-Hostings findet nach unserer aktuellen Konfiguration keine Übermittlung personenbezogener Daten in Drittländer statt. Mittwald ist nach ISO 27001 zertifiziert und betreibt seine Rechenzentren in Deutschland (Espelkamp).

Bereitstellung der öffentlichen Website durch Vercel

Für die Bereitstellung unserer öffentlichen Marketing-Website (taxtello.de) nutzen wir Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Beim Aufruf der Website werden insbesondere die IP-Adresse, Datum und Uhrzeit des Abrufs, die angeforderte Ressource sowie Browser-, Geräte-, System-, Protokoll- und Diagnosedaten verarbeitet.

Soweit Vercel personenbezogene Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Vertrags zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Bestimmte servicegenerierte Nutzungs- und Metadaten verarbeitet Vercel nach seinen Vertragsbedingungen in eigener datenschutzrechtlicher Verantwortlichkeit.

Rechtsgrundlage für die von uns veranlasste Verarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der sicheren, stabilen und effizienten Bereitstellung der Website sowie in der Erkennung und Abwehr von Missbrauch und Angriffen.

Für Übermittlungen personenbezogener Daten an Vercel Inc. in die USA stützen wir uns auf den Angemessenheitsbeschluss der Europäischen Kommission zum EU-US Data Privacy Framework gemäß Art. 45 DSGVO, solange Vercels Zertifizierung aktiv ist und die betreffenden Daten umfasst. Vercel ist derzeit nach dem EU-US Data Privacy Framework zertifiziert. Soweit dieser Übermittlungsmechanismus im Einzelfall nicht anwendbar ist, enthalten die Vertragsunterlagen von Vercel die Standardvertragsklauseln der Europäischen Kommission. Weitere Informationen: vercel.com/legal/privacy-policy · vercel.com/legal/dpa

Hinweis: Login, Buchhaltungs- und Belegdaten werden ausschließlich in der bei Mittwald in Deutschland gehosteten Anwendung (app.taxtello.de) verarbeitet und laufen nicht über Vercel. Über die öffentliche Website verarbeitete personenbezogene Daten (z. B. beim Kontaktformular oder dem Zugangsschutz) sind im jeweiligen Abschnitt dieser Erklärung beschrieben.

4a. Verschlüsselte Offsite-Backups bei Hetzner

Die produktive taxtello-Anwendung und die darin gespeicherten Buchhaltungsinhalte werden primär bei unserem Hosting-Anbieter in Deutschland verarbeitet. Zur Sicherstellung der Verfügbarkeit und Wiederherstellbarkeit unserer Systeme erstellen wir zusätzlich räumlich getrennte, verschlüsselte Sicherungskopien.

Für die Speicherung dieser Sicherungskopien nutzen wir eine Storage Box der Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland, am Produktstandort Helsinki in Finnland. Für standortbezogene Infrastruktur- und technische Unterstützungsleistungen setzt Hetzner die Hetzner Finland Oy, Tuusula, Finnland, ein.

Die Inhalte der Sicherungskopien werden vor der Übertragung auf unseren Systemen clientseitig verschlüsselt. Die zur Entschlüsselung erforderlichen Geheimnisse werden getrennt vom Backupziel verwaltet und nicht an Hetzner übermittelt. Unabhängig von der Inhaltsverschlüsselung kann Hetzner technisch erforderliche Account-, Verbindungs-, Zugriffs-, Speicher- und Betriebsmetadaten verarbeiten.

Die Sicherungskopien dienen ausschließlich der Notfallvorsorge, der Integritätsprüfung und der Wiederherstellung nach Datenverlust, Datenkorruption, technischen Störungen oder Sicherheitsvorfällen.

Soweit Hetzner personenbezogene Daten in unserem Auftrag verarbeitet, erfolgt dies auf Grundlage eines Vertrages zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Soweit taxtello personenbezogene Daten im Auftrag seiner Kunden verarbeitet, wird Hetzner als weiterer Auftragsverarbeiter gemäß Art. 28 Abs. 4 DSGVO eingesetzt.

Die Verarbeitung dieses Backup-Pfades erfolgt innerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Nach der aktuellen Konfiguration findet für diesen Backup-Pfad keine Übermittlung personenbezogener Daten in ein Drittland statt.

Die Sicherungskopien werden automatisiert nach einem gestaffelten Aufbewahrungskonzept rotiert. Wiederherstellungspunkte können regelmäßig bis zu rund zwölf Monate vorgehalten werden. Zusätzlich können Daten bis zu ungefähr zehn weitere Tage in automatisch rotierenden technischen Snapshots der Storage Box enthalten sein.

Daten in Sicherungskopien werden nicht für den gewöhnlichen Geschäftsbetrieb verwendet. Nach einer Wiederherstellung stellen wir durch technische und organisatorische Verfahren sicher, dass zwischenzeitliche Löschungen, Berichtigungen, Einschränkungen und Berechtigungsänderungen erneut angewendet werden, bevor die Daten wieder produktiv verwendet werden.

Die Backupverarbeitung ist eine technisch-organisatorische Nebenverarbeitung der jeweils zugrunde liegenden Hauptverarbeitung und dient insbesondere der Erfüllung unserer Sicherheitsverpflichtungen gemäß Art. 32 DSGVO. Soweit taxtello als Auftragsverarbeiter handelt, erfolgt die Sicherung nach Maßgabe des jeweiligen Kundenvertrages, des Vertrages zur Auftragsverarbeitung und der dokumentierten Weisungen des Kunden.

5. Server-Logfiles

Bei jedem Aufruf unserer Webseite erfasst der Webserver automatisch Informationen, die Ihr Browser übermittelt (sogenannte Server-Logfiles). Folgende Daten werden dabei protokolliert:

Browsertyp und Browserversion

Verwendetes Betriebssystem

Referrer-URL (zuvor besuchte Seite)

Hostname des zugreifenden Rechners

Datum und Uhrzeit der Serveranfrage

IP-Adresse (wird nach spätestens 7 Tagen anonymisiert oder gelöscht)

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem störungsfreien Betrieb und der Sicherheit des Dienstes). Logfiles werden nach spätestens 30 Tagen gelöscht.

6. Taxtello Cloud – Nutzerdaten

Wenn Sie taxtello als Cloud-Dienst nutzen, verarbeiten wir folgende Daten zum Betrieb des Dienstes:

Technische Zugangsdaten

E-Mail-Adresse (für Konto und Kommunikation)

Passwort (gespeichert als scrypt-gehashter Wert, niemals im Klartext)

Session-Token (temporär, für Ihre aktive Sitzung)

IP-Adresse des letzten Logins (für Sicherheitszwecke)

Buchhalterische Inhaltsdaten

Buchungseinträge (Betrag, Datum, Kategorie, Beschreibung)

Hochgeladene Belege als PDF-Dateien

Unternehmensangaben (Name, Steuer-ID, Adresse)

Auswertungen und Exporte (EÜR, DATEV, etc.)

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Buchhalterische Inhaltsdaten werden für die Dauer des Nutzungsverhältnisses und anschließend entsprechend den gesetzlichen Aufbewahrungsfristen gespeichert. Diese ergeben sich insbesondere aus § 147 AO und § 257 HGB und betragen je nach Unterlagenart derzeit in der Regel bis zu acht Jahre für bestimmte Buchungsbelege (z. B. Rechnungen, Zahlungsbelege nach § 147 Abs. 3 AO i.d.F. des Vierten Bürokratieentlastungsgesetzes, BGBl. 2024 I Nr. 323, in Kraft seit 1.1.2025) und bis zu zehn Jahre für Handelsbücher, Inventare, Jahresabschlüsse sowie die zu ihrem Verständnis erforderlichen Unterlagen. Soweit im Einzelfall längere gesetzliche Aufbewahrungsfristen gelten oder Daten noch für steuerliche Zwecke erforderlich sind, kann sich die Speicherfrist entsprechend verlängern.

Unabhängig von der Speicherung in taxtello bleibt der Kunde verpflichtet, die für ihn geltenden handels- und steuerrechtlichen Aufbewahrungspflichten eigenverantwortlich zu erfüllen. Die Nutzung von taxtello ersetzt keine gesetzlich vorgeschriebene Archivierungspflicht des Kunden.

7. Registrierung & Nutzerkonto

Für die Nutzung von taxtello Cloud ist ein Nutzerkonto erforderlich. Bei der Registrierung erheben wir:

E-Mail-Adresse

Passwort (wird unmittelbar gehasht, Klartext wird nicht gespeichert)

Datum und Uhrzeit der Registrierung

Die Angabe weiterer Daten (z. B. Unternehmensname, Steuer-ID) erfolgt freiwillig und dient der Personalisierung Ihrer Auswertungen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Sie können Ihr Konto jederzeit löschen. Buchhalterische Daten, die gesetzlichen Aufbewahrungspflichten unterliegen, werden nach Kontolöschung für den gesetzlich vorgeschriebenen Zeitraum archiviert und anschließend dauerhaft gelöscht.

Hinweis zur Löschung: Um Ihr Konto und alle Daten löschen zu lassen, wenden Sie sich an support@taxtello.de. Wir bearbeiten Löschanfragen innerhalb von 30 Tagen.

8. App-Daten (Buchungen, Belege, Exporte)

Alle Daten, die Sie in taxtello erfassen — Buchungseinträge, hochgeladene Belege (PDFs), Unternehmensangaben und generierte Exporte — werden ausschließlich zur Erbringung des Dienstes verarbeitet.

Beleg-Eingang per E-Mail: Belege können Sie in der App hochladen oder per E-Mail an eine persönliche, projektbezogene Eingangsadresse (auf der Subdomain belege.taxtello.de) senden. In diesem Fall verarbeiten wir die eingehende E-Mail (Absenderadresse, Betreff und Anhänge) zur Zuordnung des Belegs zu Ihrem Konto. Der E-Mail-Empfang erfolgt über die Infrastruktur unseres Hosters Mittwald in Deutschland; ein weiterer Empfänger tritt dabei nicht hinzu.

Zugriff durch den Anbieter: Im Cloud-Betrieb hat der technische Infrastrukturbetreiber (Mittwald) im Rahmen des Hostings theoretisch Zugang zu gespeicherten Daten. Der Anbieter (Daniel Haida) greift auf inhaltliche Buchungsdaten grundsätzlich nur zu, wenn dies zur Fehlerbehebung auf Ihren ausdrücklichen Wunsch hin erforderlich ist.

Datenweitergabe: Eine Weitergabe Ihrer Buchungs- und Belegdaten an Dritte findet ohne Ihre ausdrückliche Einwilligung nicht statt, es sei denn, wir sind gesetzlich hierzu verpflichtet.

Exportfunktionen: Wenn Sie DATEV-, Steuerberater- oder Backup-Exporte nutzen, werden diese in der Cloud-Version serverseitig innerhalb unserer Infrastruktur erzeugt und anschließend direkt an Ihr Gerät ausgeliefert. Dabei werden keine Buchungs- oder Belegdaten an externe Dritte weitergegeben; die Verarbeitung erfolgt ausschließlich zur Bereitstellung der Exportfunktion.

9. KI-gestützte Funktionen

Wir setzen KI ein zur (1) Beleg- und Rechnungserkennung (OCR), (2) Auslesung und Kategorisierung von Kontoauszügen, (3) Kategorie- und Buchungsvorschlägen sowie (4) unverbindlichen Steuerhinweisen. Verarbeitet werden die von Ihnen hochgeladenen Inhalte (Belege, Rechnungen, Kontoauszüge) sowie Buchungstexte.

Die KI-Funktionen sind Teil des Produkts und standardmäßig aktiv. Die Verarbeitung erfolgt auf Grundlage der Erfüllung unseres Nutzungsvertrags (Art. 6 Abs. 1 lit. b DSGVO) sowie unseres berechtigten Interesses an einer effizienten, automatisierten Buchhaltung (Art. 6 Abs. 1 lit. f DSGVO). Eine gesonderte Einwilligung ist hierfür nicht erforderlich; Sie können die KI-Funktionen jederzeit in den Einstellungen deaktivieren (Opt-out).

Die KI-Verarbeitung erfolgt ausschließlich auf Servern in Deutschland (Mittwald CM Service GmbH & Co. KG als Auftragsverarbeiter nach Art. 28 DSGVO; AI Hosting lokal im Rechenzentrum Espelkamp). Es findet keine Übermittlung in Drittländer statt. Ihre Daten werden nicht zum Training von KI-Modellen verwendet; Inhalte aus Eingaben werden nicht dauerhaft gespeichert, sondern nach der unmittelbaren Verarbeitung verworfen. Zu Abrechnungs- und Stabilitätszwecken werden lediglich inhaltslose Metadaten (z. B. Zeitstempel, Token-Anzahl) vorgehalten.

Alle KI-Ergebnisse sind Vorschläge. Eine rechtlich oder steuerlich erhebliche Entscheidung wird niemals allein automatisiert getroffen — Sie prüfen und bestätigen jedes Ergebnis (keine automatisierte Entscheidung i. S. d. Art. 22 DSGVO).

Für Angehörige von Berufsgeheimnisträgern (§ 203 StGB, z. B. Steuerberater, Rechtsanwälte) gelten besondere Beschränkungen; hier sind die KI-Funktionen gesperrt bzw. nur nach gesonderter Vereinbarung nutzbar.

Sensible Inhalte: Kontoauszüge können besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) indirekt enthalten. Wir verarbeiten diese ausschließlich zum Zweck des Buchungsabgleichs und minimieren die Verarbeitung solcher Anteile technisch und organisatorisch.

Mittwald AI Hosting betreibt OpenAI-kompatible Sprach- und Bildverarbeitungsmodelle (LLMs) auf eigener Infrastruktur in Deutschland. Eine Übermittlung der KI-Eingaben in Drittstaaten (insbesondere USA) durch taxtello findet nicht statt. Dies gilt auch für die optionale Sprach-Eingabe: Die Audioverarbeitung erfolgt in allen Browsern über unsere Mittwald-Infrastruktur in Deutschland; die browser-eigene "Web Speech API" (die andernfalls Audio an Google bzw. Apple senden würde) wird bewusst nicht genutzt — Details im Abschnitt "Sprach-zu-Text-Eingabe".

Welche Verarbeitungen umfassen die KI-Funktionen?

Bei aktivierten KI-Funktionen werden die folgenden Verarbeitungen über Mittwald AI Hosting durchgeführt:

Belegerkennung: Extraktion von Betrag, Datum, Lieferant, Kategorie und MwSt aus hochgeladenen PDF-/Bild-Belegen (Vision-Modell auf Mittwald AI Hosting).

PDF-Kontoauszug-Import: Erkennung von Buchungen aus hochgeladenen Bank-PDF-Kontoauszügen zur Weiterverarbeitung als Buchungen.

CSV-Fallback bei unbekannten Bankformaten: Bei CSV-Importen aus nicht-katalogisierten Bankformaten unterstützt ein Sprachmodell die Spalten-Erkennung.

Belegzuordnung: Automatische Zuordnung hochgeladener Belege zu passenden Buchungen anhand Betrag, Datum und Kontext.

Kategorie-Vorschläge: Empfehlung einer passenden SKR03-Kategorie basierend auf Buchungstext, Betrag und Kontext.

Natürlich-Sprach-Rechnungserfassung: Wandelt einen freien Satz wie "Rechnung an Kunde X über 250 € am 14.06." in einen vorausgefüllten Rechnungsentwurf um.

Interne Recherche-Hilfe bei Support-Anfragen: Wenn Sie uns eine Support-Anfrage senden, kann das KI-System im Hintergrund einen internen Antwort-Entwurf für den Betreiber vorbereiten. Wichtig: Support-Antworten werden zu keinem Zeitpunkt automatisch versendet. Die KI bereitet ausschließlich einen internen Antwort-Vorschlag vor, den der Betreiber persönlich prüft, anpasst oder verwirft. Die finale Antwort an Sie erfolgt stets manuell und persönlich per E-Mail.

Sprach-zu-Text (Voice-Input für Rechnungen): Wenn Sie in der Rechnungs-Erfassung das Mikrofon-Symbol aktivieren und einen Satz diktieren, wird die Sprachaufnahme in Text umgewandelt. Die Transkription erfolgt über ein Whisper-Sprachmodell, das ebenfalls auf Mittwald AI Hosting in Deutschland betrieben wird. Der erzeugte Text wird anschließend wie ein normal eingegebener Satz an die Rechnungs-Erkennung weitergegeben.

Welche Daten werden je Verarbeitung übermittelt?

Beleg-, Kontoauszug- und Zuordnungs-Verarbeitungen: Der Inhalt des jeweiligen Dokuments (PDF, Bild) bzw. Buchungstexte und zugehörige Metadaten.

Kategorie-Vorschläge: Buchungstext, Betrag und vergleichbare strukturelle Merkmale.

Natürlich-Sprach-Rechnungserfassung: Der von Ihnen eingegebene Freitext sowie ggf. einfache Bezugs-Metadaten (z. B. aktuelles Datum).

Support-Anfragen: Betreff, Nachricht und Kategorie des Tickets (der von Ihnen im Support-Formular eingegebene Text).

Sprach-zu-Text: Eine kurze Audioaufnahme (Format webm/opus, max. ca. 60 Sekunden, max. 1 MB), die Sie aktiv durch Klick auf das Mikrofon-Symbol erzeugen. Die Aufnahme wird unmittelbar nach Transkription verworfen und nicht dauerhaft gespeichert.

Es werden keine weitergehenden Kontodaten, keine Zahlungsdaten und keine Stammdaten wie Name, Anschrift oder Steuernummer an Mittwald AI Hosting übertragen, die nicht direkt in den verarbeiteten Inhalten enthalten sind.

Anbieter und Verarbeitung — Mittwald AI Hosting (Deutschland)

Anbieter: Mittwald CM Service GmbH & Co. KG · Königsberger Straße 4–6 · 32339 Espelkamp, Deutschland

Verarbeitungsstandort: Rechenzentren in Espelkamp, Deutschland. ISO 27001-zertifiziert. Keine Drittlandsübermittlung.

Zweck: KI-gestützte Metadaten-Extraktion (Belegerkennung, PDF-Kontoauszug-Import, CSV-Fallback, Belegzuordnung), Kategorie-Vorschläge, natürlich-sprachliche Rechnungserfassung, interne Recherche-Hilfe bei Support-Anfragen sowie Sprach-zu-Text-Eingabe.

Eingesetzte Modelle: Mittwald AI Hosting betreibt mehrere Sprach- und Bildverarbeitungsmodelle (LLMs) auf eigener Infrastruktur in Deutschland — u. a. ein Vision-Modell für die Belegerkennung sowie kompakte Sprachmodelle für Kategorie-Vorschläge, Natürlich-Sprach-Rechnungserfassung und CSV-Fallback. Für die Sprach-zu-Text-Funktion wird ein Whisper-Modell (whisper-large-v3-turbo) eingesetzt. Die jeweils verwendeten Modelle können sich im Rahmen technischer Weiterentwicklung ändern; sämtliche Modelle laufen weiterhin auf Mittwalds Infrastruktur in Deutschland.

Auftragsverarbeitung: Die KI-Verarbeitung erfolgt auf Grundlage des bestehenden Auftragsverarbeitungsvertrags (AVV) mit Mittwald gemäß Art. 28 DSGVO. Der AVV regelt Weisungsbindung, Vertraulichkeit, Sicherheitsmaßnahmen, Löschung und Unterauftragnehmer-Auswahl.

Datenschutz Mittwald: mittwald.de/datenschutz

Speicherung und Verwendung durch Mittwald AI Hosting

KI-Eingaben werden nicht für das Training von KI-Modellen verwendet und nicht persistent gespeichert. Mittwald verarbeitet die übermittelten Inhalte ausschließlich zur Erbringung der angefragten KI-Verarbeitung und auf der Grundlage des AVV mit taxtello. Es findet keine eigenständige Nutzung der KI-Eingaben durch Mittwald statt. Die zur Verarbeitung übermittelten Inhalte verlassen die deutsche Infrastruktur nicht.

Nutzungs-Metadaten der KI-Funktionen

Unabhängig von den oben genannten KI-*Inhalten* (die nicht persistent gespeichert werden) protokolliert taxtello zu jedem KI-Aufruf technische Nutzungs-Metadaten zur Kostenkontrolle und zum stabilen Betrieb: das verwendete KI-Modell, die Anzahl verarbeiteter Tokens, geschätzte Kosten, Verarbeitungsdauer, Status (Erfolg/Fehler) sowie Zeitstempel und einen Bezug zum jeweiligen Arbeitsbereich. Diese Metadaten enthalten nicht den Inhalt Ihrer Eingaben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kostentransparenz und Betriebssicherheit). Die Nutzungs-Metadaten werden durch einen automatisierten Löschprozess nach spätestens 180 Tagen gelöscht.

Sprach-zu-Text-Eingabe — einheitlich über Mittwald (Deutschland)

Wenn Sie in der Rechnungs-Erfassung das Mikrofon-Symbol aktivieren und einen Satz diktieren, wird die Sprachaufnahme in allen Browsern einheitlich verarbeitet: Die Audioaufnahme wird in Ihrem Browser erfasst und an unsere Server (Mittwald, Deutschland) übermittelt, wo sie von einem auf Mittwald AI Hosting betriebenen Whisper-Modell (whisper-large-v3-turbo) zu Text umgewandelt wird. Es findet keine Übermittlung in Drittstaaten statt. Der erzeugte Text wird anschließend wie ein normal eingegebener Satz an die Rechnungs-Erkennung weitergegeben.

Die browser-eigene "Web Speech API" (die in Google Chrome und Microsoft Edge Audiodaten an Google bzw. in Apple Safari an Apple senden würde) wird bewusst nicht genutzt, damit die Sprachverarbeitung ausschließlich auf deutscher Mittwald-Infrastruktur stattfindet. Die Audiodaten verlassen den EU-/Mittwald-Verarbeitungsrahmen daher zu keinem Zeitpunkt.

Hinweis zu biometrischen Daten: Die Sprach-zu-Text-Funktion dient ausschließlich der Umwandlung von Sprache in Text. Es findet keine biometrische Identifizierung oder Authentifizierung anhand Ihrer Stimme statt. Eine Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO ist mit dieser Funktion nicht beabsichtigt.

Support-AI: Was technisch garantiert ist

Server-seitig wird vor jedem KI-Call (LLM oder Sprach-zu-Text) geprüft, ob die KI-Funktionen für das jeweilige Konto/Mandat aktiviert sind. Sind die KI-Funktionen deaktiviert, erfolgt keine Übermittlung an Mittwald AI Hosting.

Das System hat keinen automatischen Mail-Versand-Pfad für KI-Antworten. Es ist technisch nicht möglich, dass eine KI-Antwort ohne manuelle Freigabe des Betreibers an Sie herausgeht.

Jeder KI-Entwurf wird im Admin-Backend ausschließlich zur internen Ansicht angezeigt; der Betreiber kopiert die finale Antwort manuell.

Berufsgeheimnisträger (§ 203 StGB)

Wenn Sie in Ihrem Account eine Berufsgruppe mit besonderer Verschwiegenheitspflicht eingetragen haben (z. B. Steuerberater, Rechtsanwalt, Arzt, Psychotherapeut), sind Sie von allen KI-Funktionen hart ausgeschlossen — unabhängig von einer erteilten Einwilligung. Dies gilt für sämtliche KI-gestützten Verarbeitungen, einschließlich Belegerkennung, PDF-Kontoauszug-Import, CSV-Fallback, Belegzuordnung, Kategorie-Vorschlägen, natürlich-sprachlicher Rechnungserfassung, der internen Support-Recherche-Hilfe sowie der Sprach-zu-Text-Funktion. Insbesondere werden Support-Anfragen von Accounts mit einer dieser Berufsgruppen ausschließlich persönlich beantwortet, ohne dass Inhalte an Mittwald AI Hosting übermittelt werden. Der Ausschluss wird server-seitig vor jeder KI-Verarbeitung geprüft. Diese technische Sperre dient der Einhaltung der Verschwiegenheitspflichten gemäß § 203 StGB und der berufsrechtlichen Anforderungen, insbesondere für steuer- und rechtsberatende Berufe.

Deaktivierung der KI-Funktionen

Sie können die KI-Funktionen jederzeit in den Einstellungen der App unter "KI-Funktionen" deaktivieren. Nach Deaktivierung werden keinerlei Inhalte mehr an Mittwald AI Hosting übermittelt. Bereits übermittelte Inhalte werden bei Mittwald nach Verarbeitungsende nicht weiter gespeichert. Die Deaktivierung gilt zugleich als Widerspruch im Sinne des Art. 21 DSGVO gegen die auf Art. 6 Abs. 1 lit. f DSGVO gestützte Verarbeitung.

Rechtsgrundlagen:

Verarbeitung: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer effizienten, automatisierten Buchhaltung). Eine gesonderte Einwilligung ist nicht erforderlich; die KI-Funktionen sind standardmäßig aktiv und jederzeit in den Einstellungen deaktivierbar (Opt-out). Die Interessensabwägung berücksichtigt insbesondere Datensparsamkeit, die Verarbeitung ausschließlich auf Servern in Deutschland sowie besondere Vorsicht bei steuer- und buchhaltungsbezogenen Inhalten.

Auftragsverarbeitung: Art. 28 DSGVO — geregelt durch den bestehenden Auftragsverarbeitungsvertrag (AVV) mit Mittwald CM Service GmbH & Co. KG.

Internationale Datenübermittlung: Die von taxtello veranlasste KI-Verarbeitung über Mittwald erfolgt ausschließlich in Deutschland; insoweit findet keine Drittlandsübermittlung statt. Dies gilt auch für die optionale Sprach-Eingabe: Die Audioverarbeitung erfolgt in allen Browsern einheitlich über unsere Mittwald-Infrastruktur in Deutschland; die browser-eigene Web Speech API (die andernfalls Audiodaten an den Browser-Hersteller senden würde) wird bewusst nicht genutzt (siehe Abschnitt "Sprach-zu-Text-Eingabe — einheitlich über Mittwald (Deutschland)").

10. Zahlungsabwicklung (Stripe)

10.1 Abonnement-Zahlungen

Für die Abwicklung von Abonnement-Zahlungen (Vertragsverhältnis zwischen Ihnen als Nutzer und taxtello) nutzen wir den Zahlungsdienstleister Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland („Stripe") sowie ggf. weitere Stripe-Konzerngesellschaften, insbesondere in den USA (z. B. Stripe, Inc.). Details in der Datenschutzerklärung von Stripe.

Bei der Buchung eines kostenpflichtigen Plans werden folgende Daten an Stripe übermittelt:

E-Mail-Adresse (zur Rechnungszustellung)

Zahlungsinformationen (Kreditkarte o. Ä.) — diese werden ausschließlich von Stripe verarbeitet und erreichen unsere Server nicht

Gewählter Tarif und Abrechnungszeitraum

Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher gemäß eigener Datenschutzerklärung: stripe.com/de/privacy

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Für eine etwaige Datenübermittlung in die USA: Art. 45 DSGVO (Angemessenheitsbeschluss für das EU-US Data Privacy Framework) sowie EU-Standardvertragsklauseln. Stripe ist unter dem DPF zertifiziert.

10.2 Online-Zahlung im Rechnungsportal (Stripe Connect)

Wenn Sie eine über taxtello bereitgestellte Rechnung online bezahlen, erfolgt die Zahlungsabwicklung über den Zahlungsdienstleister Stripe („Stripe"). Die Zahlung erfolgt dabei nicht an taxtello, sondern an den Rechnungsaussteller (unseren Kunden); taxtello stellt lediglich die technische Plattform („Rechnungsportal") bereit.

Für Kunden im Europäischen Wirtschaftsraum ist in der Regel Stripe Payments Europe Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland verantwortlich; einzelne Verarbeitungsschritte können durch weitere Stripe-Gesellschaften, insbesondere in den USA, erfolgen (z. B. Stripe, Inc.). Nähere Informationen: Datenschutzerklärung von Stripe (stripe.com/privacy).

Welche Daten werden verarbeitet? Je nach Konfiguration unseres Kunden und gewählter Zahlungsart insbesondere: Stammdaten des Rechnungsempfängers (Name/Firma, ggf. Anschrift); Rechnungsdaten (Nummer, Beschreibung, Betrag, Währung, Fälligkeit); Kontaktdaten (z. B. E-Mail für Zahlungsbestätigungen); technische Transaktionsdaten (Datum/Uhrzeit, Zahlungsstatus, Zahlungsart, Stripe-Zahlungsreferenz); zur Betrugsprävention weitere von Stripe erhobene technische Daten (z. B. IP-Adresse, Geräteinformationen), die direkt durch Stripe verarbeitet werden.

taxtello erhält keine vollständigen Kartendaten (keine vollständige Kreditkartennummer, keine CVC-Codes). Diese werden ausschließlich direkt von Stripe erhoben und dort verarbeitet. taxtello speichert lediglich die zur Zuordnung der Zahlung zur Rechnung und zur technischen Abwicklung erforderlichen Metadaten (z. B. Stripe-Payment-ID, Zahlungsstatus, Betrag, Datum).

Zwecke und Rechtsgrundlagen: Gegenüber unserem Kunden (Nutzer) Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags); gegenüber Ihnen als Rechnungsempfänger Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter, sicherer Zahlungsabwicklung bestehender Forderungen). Sie sind nicht verpflichtet, das Online-Zahlungsangebot zu nutzen; alternativ stehen die in der Rechnung angegebenen klassischen Zahlungswege (z. B. Banküberweisung) zur Verfügung. Stripe verarbeitet bestimmte Daten als eigener Verantwortlicher (z. B. Geldwäsche-/Aufbewahrungspflichten, Betrugsprävention); zwischen taxtello und Stripe besteht insoweit kein Auftragsverarbeitungsverhältnis.

Drittlandübermittlung: Stripe kann Daten in Länder außerhalb der EU (insb. USA) übermitteln und sichert ein angemessenes Datenschutzniveau u. a. über das EU-US Data Privacy Framework sowie EU-Standardvertragsklauseln ab (stripe.com/legal/data-privacy-framework).

Speicherdauer: Daten zur Portal-Zahlung in taxtello so lange, wie zur Erfüllung der Rechnung und der gesetzlichen Aufbewahrungspflichten (Handels-/Steuerrecht) erforderlich. Stripe speichert nach eigenen gesetzlichen Vorgaben; hierauf hat taxtello keinen Einfluss.

11. Bankkonto-Anbindung (PSD2 / Bank Account Data)

Sie können Ihr Geschäftskonto optional über unseren Partner Enable Banking mit taxtello verbinden, um Ihre Kontoumsätze automatisch und sicher in Ihre Buchhaltung zu importieren.

Was passiert: Es wird ausschließlich ein lesender Zugriff auf Ihre Kontoinformationen (Salden und Transaktionen) eingerichtet. Es können keine Überweisungen oder Lastschriften ausgelöst werden. Ihre Online-Banking-Zugangsdaten erhält taxtello nicht — die Anmeldung und Freigabe erfolgt ausschließlich bei Ihrer Bank bzw. bei Enable Banking (starke Kundenauthentifizierung nach PSD2).

Verarbeitete Daten: IBAN, Kontoinhaber, Saldo, Transaktionen (Betrag, Datum, Verwendungszweck, Gegenpartei). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Nutzungsvertrags, soweit Sie die Bankkonto-Anbindung nutzen); ergänzend Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einem effizienten und fehlerarmen Bankabgleich).

Empfänger: Enable Banking Oy, Helsinki, Finnland (EU) — ein lizenzierter Kontoinformationsdienst (AISP), beaufsichtigt durch die finnische Finanzaufsicht. Die Verarbeitung erfolgt innerhalb der EU/des EWR; eine Drittlandübermittlung findet insoweit nicht statt. Enable Banking ist für einen Teil der Verarbeitung (Erfüllung seiner gesetzlichen Pflichten als Zahlungsinstitut) eigener Verantwortlicher im Sinne der DSGVO; soweit Daten ausschließlich zur Übermittlung der Kontoinformationen an uns verarbeitet werden, handelt Enable Banking als Auftragsverarbeiter.

Ihre Bankdaten werden nicht zum Training von KI-Modellen verwendet. Enable Banking hat eine eigene Datenschutzerklärung: enablebanking.com/privacy.

Ihre Kontrolle: Sie können die Bankverbindung jederzeit in den Einstellungen trennen; die Zustimmung läuft zudem nach spätestens 180 Tagen automatisch ab und muss erneuert werden.

11a. Push-Benachrichtigungen

taxtello kann Sie auf Wunsch über Web-Push-Benachrichtigungen informieren (z. B. über Fälligkeiten oder den Abschluss von Verarbeitungen). Diese Funktion wird nur aktiv, wenn Sie sie im Browser bzw. in der App ausdrücklich erlauben; die Browser-Abfrage zur Erteilung der Benachrichtigungs-Berechtigung ist Teil dieses Vorgangs.

Technischer Ablauf (W3C-Web-Push-Standard / VAPID): taxtello nutzt den offenen Web-Push-Standard mit eigenen Schlüsseln (VAPID); ein Dienst von Google Firebase, ein Firebase-Projekt oder das Firebase-SDK kommen dabei nicht zum Einsatz. Aktivieren Sie Push-Benachrichtigungen, erzeugt Ihr Browser ein verschlüsseltes „Push-Abonnement" (Subscription) und legt dabei selbst fest, über welches Push-Gateway des Browser-/Geräteherstellers die Zustellung erfolgt. Unser Server übergibt die verschlüsselte Benachrichtigung anschließend an die vom Browser vorgegebene Gateway-Adresse. Diese Gateways sind kein von taxtello beauftragter Dienstleister und kein Auftragsverarbeiter, sondern fester, vom Browser bzw. Betriebssystem vorgegebener Bestandteil des Zustellwegs — ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) mit diesen Anbietern ist daher weder möglich noch erforderlich:

Google-Push-Gateway (fcm.googleapis.com) — für Google Chrome und Chromium-basierte Browser; Google LLC, USA. (Die URL gehört zur Google-Infrastruktur; eine Nutzung von Google Firebase durch taxtello ist damit nicht verbunden.)
Apple Push Notification service (web.push.apple.com) — für Safari/iOS; Apple Inc., USA.
Mozilla autopush (push.services.mozilla.com) — für Firefox; Mozilla.
Microsoft (Windows Notification Service, WNS) (notify.windows.com) — für Microsoft Edge unter Windows; Microsoft, USA.

Welche Daten dabei übermittelt werden: An das Push-Gateway werden der vom Browser vergebene Subscription-Endpoint sowie die für den Transport Ende-zu-Ende-verschlüsselte Benachrichtigung übergeben. Der Gateway-Betreiber kann den Inhalt der Benachrichtigung nicht im Klartext einsehen. Wir übermitteln zudem keine Buchhaltungs-, Beleg- oder Mandatsinhalte, sondern ausschließlich generische Benachrichtigungstexte (z. B. Titel und kurzer Hinweistext).

Rechtsgrundlage: Das Speichern bzw. Auslesen des Push-Abonnements auf Ihrem Endgerät erfolgt auf Grundlage Ihrer Einwilligung gemäß § 25 Abs. 1 TDDDG; die anschließende Verarbeitung der personenbezogenen Daten stützt sich auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch Aktivierung der Benachrichtigungen). Push-Benachrichtigungen sind kein technisch notwendiger Bestandteil des Dienstes; ohne Ihre Aktivierung werden weder ein Push-Abonnement erstellt noch Daten an ein Push-Gateway übertragen. Sie können die Berechtigung jederzeit in den Browser- bzw. App-Einstellungen widerrufen; danach werden keine Push-Benachrichtigungen mehr zugestellt.

Drittlandübermittlung: Welches Push-Gateway genutzt wird, gibt Ihr Browser vor; bei Google, Apple und Microsoft werden diese Gateways (auch) in den USA betrieben, sodass mit der Zustellung eine Übermittlung in die USA verbunden sein kann. Soweit der jeweilige Betreiber unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist — dies trifft auf Google LLC und Microsoft zu —, ist ein angemessenes Datenschutzniveau über den Angemessenheitsbeschluss nach Art. 45 DSGVO gewährleistet. Für das Apple-Gateway besteht derzeit keine DPF-Zertifizierung; die Übermittlung erfolgt hier auf Grundlage Ihrer Einwilligung und ist auf den verschlüsselten Transport beschränkt — taxtello tritt mit Apple in kein Vertragsverhältnis und übermittelt keine Inhalte im Klartext (nähere Informationen zur Datenverarbeitung durch Apple: apple.com/legal/privacy). Da taxtello mit den Gateway-Betreibern generell in kein Vertragsverhältnis tritt, beschränkt sich die Übermittlung in allen Fällen auf den verschlüsselten Transport; übertragen werden nur der Subscription-Endpoint und die verschlüsselte Benachrichtigung (siehe auch § 12).

12. Drittlandübermittlung

Eine Übermittlung personenbezogener Daten in Drittstaaten (Länder außerhalb der EU/EWR) findet nur in folgendem Fall statt:

Stripe (Stripe Payments Europe Limited, Dublin, Irland, sowie ggf. weitere Stripe-Konzerngesellschaften, insbesondere Stripe, Inc., USA): Zahlungsabwicklung für kostenpflichtige Abonnements (§ 10.1) sowie für Online-Zahlungen im Rechnungsportal (§ 10.2). Rechtsgrundlage für eine etwaige Übermittlung in die USA: Angemessenheitsbeschluss gemäß Art. 45 DSGVO (EU-US Data Privacy Framework) sowie EU-Standardvertragsklauseln. Stripe ist unter dem DPF zertifiziert.

Push-Gateways der Browser-/Gerätehersteller (Google, Apple, Microsoft — Betrieb auch in den USA): Zustellung optionaler Push-Benachrichtigungen über den offenen Web-Push-Standard (VAPID), sofern Sie diese aktiviert haben (§ 11a). Die Gateways sind kein von taxtello beauftragter Auftragsverarbeiter. Für Google und Microsoft ist ein angemessenes Datenschutzniveau über den Angemessenheitsbeschluss gemäß Art. 45 DSGVO (EU-US Data Privacy Framework) gewährleistet, da diese Betreiber unter dem DPF zertifiziert sind; für Apple besteht keine DPF-Zertifizierung, die Übermittlung stützt sich insoweit auf Ihre Einwilligung und beschränkt sich auf den verschlüsselten Transport. Es werden dabei keine Buchhaltungsinhalte übertragen, sondern nur der Subscription-Endpoint und die verschlüsselte Benachrichtigung.

(Vercel Web Analytics und Vercel Speed Insights auf der öffentlichen Webseite arbeiten cookielos, bilden keine Nutzerprofile und werden erst nach Ihrer Einwilligung geladen — Einzelheiten einschließlich der dabei in die USA übermittelten technischen Daten finden Sie in den Abschnitten "Vercel Web Analytics" und "Vercel Speed Insights".)

Für das Hosting und sämtliche von taxtello veranlasste KI-Verarbeitung über Mittwald (Deutschland) findet keine Drittlandübermittlung statt. Insbesondere die optionalen KI-Funktionen (Belegerkennung, PDF-Kontoauszug-Import, CSV-Fallback, Belegzuordnung, Kategorie-Vorschläge, natürlich-sprachliche Rechnungserfassung, interne Recherche-Hilfe bei Support-Anfragen sowie die server-seitige Sprach-zu-Text-Verarbeitung) werden ausschließlich auf Mittwald AI Hosting in Deutschland ausgeführt. Dies gilt auch für die optionale Sprach-Eingabe, die in allen Browsern einheitlich über die Mittwald-Infrastruktur in Deutschland verarbeitet wird; die browser-eigene Spracherkennung (Web Speech API), die andernfalls Audiodaten an den Browser-Hersteller senden würde, wird bewusst nicht genutzt (siehe § 9).

13. Cookies & lokale Speicherung (TDDDG)

Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) informieren wir Sie über den Einsatz von Cookies und ähnlichen Technologien:

Technisch notwendige Cookies

Für die Nutzung der App (taxtello Cloud) setzen wir folgende technisch notwendige Cookies, ohne die der Dienst nicht funktionieren kann:

__Host-taxtello_session – Session-Token zur Authentifizierung eingeloggter Nutzer (Sitzungscookie, wird beim Logout oder nach 24 Stunden gelöscht)

__Host-taxtello_mfa_pending – Zwischenspeicher zwischen Passwort-Eingabe und Zwei-Faktor-Code-Eingabe beim MFA-Login. Enthält eine signierte, verschlüsselte User-ID, Zeitstempel und Zufallswert — keine personenbezogenen Inhalte im Klartext. Wird nach erfolgreichem Login oder automatisch nach 5 Minuten gelöscht.

csrf_token – CSRF-Schutz-Token zur Sicherung von Formulardaten (Sitzungscookie)

taxtello_theme – Speichert die von Ihnen aktiv gewählte Darstellung (light oder dark) und synchronisiert diese Präferenz zwischen taxtello.de und app.taxtello.de. Das Cookie wird nur gesetzt, wenn Sie das Erscheinungsbild aktiv umstellen, und dient ausschließlich der Darstellung der Oberfläche.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (technisch unbedingt erforderlich) in Verbindung mit Art. 6 Abs. 1 lit. b DSGVO. Eine Einwilligung ist für technisch notwendige Cookies nicht erforderlich.

localStorage (Browser-Speicher)

Auf der Landingpage (taxtello.de) kann im localStorage Ihres Browsers eine Einstellung zur Einwilligung unter dem Schlüssel taxtello_consent gespeichert werden. Zusätzlich können zur technischen Kompatibilität lokale Theme-Präferenzen unter den Schlüsseln theme, taxtello_theme oder euer_theme gespiegelt werden. Diese Einträge verlassen Ihren Browser nicht und werden nicht zu Analyse- oder Marketingzwecken verwendet.

Analyse- und Marketing-Cookies

Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies ein. Es gibt kein Google Analytics, kein Hotjar, kein Meta Pixel o. ä.

Cookielose Webanalyse (Umami)

Auf der öffentlichen Webseite (taxtello.de) nutzen wir Umami Analytics zur anonymen Auswertung der Seitennutzung (Seitenaufrufe, Verweisquellen, Gerätetypen). Umami arbeitet vollständig ohne Cookies und erhebt keine personenbezogenen Daten — es werden keine IP-Adressen gespeichert, keine Geräte-Fingerprints erstellt und keine Nutzerprofile gebildet.

Da keine Cookies gesetzt und keine personenbezogenen Daten verarbeitet werden, ist keine Einwilligung gemäß § 25 TDDDG oder Art. 6 DSGVO erforderlich.

Umami wird als Cloud-Dienst betrieben von Umami Software, Inc. Weitere Informationen: umami.is/privacy

Einwilligungsbasierte Reichweiten- und Performance-Messung (Vercel)

Auf der öffentlichen Webseite setzen wir zusätzlich Vercel Web Analytics (Reichweitenmessung) und Vercel Speed Insights (Performance-Messung der Core Web Vitals) ein. Beide arbeiten ebenfalls ohne Cookies und ohne dauerhafte Kennung auf Ihrem Gerät, werden jedoch — anders als Umami — erst nach Ihrer aktiven Einwilligung über den Cookie-/Tracking-Hinweis geladen. Ohne Einwilligung werden diese Skripte nicht ausgeführt und es findet keine Erhebung statt. Einzelheiten zu den erhobenen Daten, zur Rechtsgrundlage (§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO) und zur Übermittlung in die USA finden Sie in den Abschnitten "Vercel Web Analytics" und "Vercel Speed Insights".

Wichtig: In der App (app.taxtello.de) findet kein Tracking statt — Umami sowie die Vercel-Messdienste sind ausschließlich auf der öffentlichen Webseite aktiv.

Vercel Web Analytics

Auf der öffentlichen Webseite (taxtello.de) nutzen wir zusätzlich Vercel Web Analytics zur aggregierten, anonymen Auswertung der Seitennutzung (z. B. Seitenaufrufe und herkunftsbezogene Kennzahlen). Vercel Web Analytics arbeitet vollständig ohne Cookies und ohne dauerhafte Kennung auf Ihrem Gerät; es findet keine Profilbildung statt, und es werden keine personenbezogenen Profile oder Nutzerkennungen gespeichert. Beim Erfassen der Aufrufe verarbeitet Vercel als technische Übertragungsinformation kurzzeitig Ihre IP-Adresse; eine Speicherung der IP-Adresse zu Profilzwecken erfolgt nicht.

Auch Vercel Web Analytics wird erst nach Ihrer Einwilligung über den Cookie-/Tracking-Hinweis geladen. Rechtsgrundlage ist Ihre Einwilligung nach § 25 Abs. 1 TDDDG sowie Art. 6 Abs. 1 lit. a DSGVO, die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.

Anbieter: Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA. Eine Übermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework, unter dem Vercel zertifiziert ist (Angemessenheitsbeschluss der EU-Kommission, Art. 45 DSGVO); ergänzend bestehen Standardvertragsklauseln. Weitere Informationen: vercel.com/legal/privacy-policy

Vercel Speed Insights

Zur Messung der tatsächlichen Ladegeschwindigkeit und Bedienbarkeit unserer Seiten bei echten Aufrufen (sogenannte Core Web Vitals wie Largest Contentful Paint, Cumulative Layout Shift und Interaction to Next Paint) nutzen wir zusätzlich Vercel Speed Insights. Erhoben werden dabei ausschließlich technische Leistungsmesswerte sowie grobe Kontextangaben zur Einordnung (z. B. aufgerufener Seitenpfad, Gerätekategorie und ungefähre Verbindungsqualität). Diese Werte werden bei Vercel aggregiert ausgewertet; es findet keine Profilbildung statt, und es werden keine personenbezogenen Profile oder Nutzerkennungen gespeichert.

Speed Insights arbeitet ohne Cookies und ohne dauerhafte Kennung auf Ihrem Gerät. Beim Senden der Messwerte verarbeitet Vercel als technische Übertragungsinformation kurzzeitig Ihre IP-Adresse; eine Speicherung der IP-Adresse zu Profilzwecken erfolgt nicht.

Speed Insights wird — wie Vercel Web Analytics — erst nach Ihrer Einwilligung über den Cookie-/Tracking-Hinweis geladen. Ohne Einwilligung findet keine Erhebung statt. Rechtsgrundlage für die Speicherung bzw. den Zugriff auf Informationen in Ihrem Endgerät ist Ihre Einwilligung nach § 25 Abs. 1 TDDDG, für die anschließende Verarbeitung Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

14. Kontaktaufnahme & E-Mail

Wenn Sie uns per E-Mail oder über das Kontaktformular kontaktieren, werden die von Ihnen übermittelten Daten (Ihr Name, Ihre E-Mail-Adresse sowie der Inhalt Ihrer Nachricht) bei uns gespeichert und verarbeitet, um Ihr Anliegen zu bearbeiten.

Zusätzlich kann bei Nutzung des Kontaktformulars Ihre IP-Adresse technisch verarbeitet werden, soweit dies zur Abwehr von Missbrauch, Spam und technischen Angriffen sowie zur Durchsetzung von Anfragelimits erforderlich ist. Die IP-Adresse wird nicht in routinemäßige Antwort- oder Benachrichtigungs-E-Mails an unser Support-Postfach übernommen.

Der Versand von Kontaktformular-Anfragen auf der öffentlichen Webseite (taxtello.de) erfolgt ausschließlich über unsere Hosting-Infrastruktur bei Mittwald CM Service GmbH & Co. KG (Deutschland) per SMTP. Es findet keine Übermittlung an Drittland-Dienstleister statt.

Telefonischer Assistenzdienst (optional): Sofern wir einen telefonischen Assistenzdienst anbieten, kann ein von uns beauftragter Telefonie-/Sprachdienstleister Ihr telefonisch gemeldetes Anliegen in strukturierter Form (z. B. Anliegen, Zusammenfassung, Rückrufnummer und – soweit bereitgestellt – ein Transkript) an uns übermitteln, damit wir daraus einen Support-Vorgang erstellen können. Diese Verarbeitung wird nur wirksam, wenn der Dienst aktiv bereitgestellt ist; den jeweils eingesetzten Dienstleister benennen wir in diesem Fall an dieser Stelle und schließen mit ihm einen Auftragsverarbeitungsvertrag. Übermittelte Rohdaten einschließlich etwaiger Transkripte werden nach einer festgelegten Frist gelöscht oder anonymisiert.

Diese Daten werden ohne Ihre Einwilligung nicht an Dritte weitergegeben. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. b DSGVO, sofern die Kontaktaufnahme einem vertraglichen Verhältnis dient.

Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO): Anfragen und der zugehörige Bearbeitungsverlauf werden gelöscht, sobald Ihr Anliegen abschließend bearbeitet wurde und keine gesetzliche Aufbewahrungspflicht entgegensteht. Spätestens erfolgt die Löschung nach Ablauf der folgenden Fristen, durch die ein automatisierter Löschprozess sicherstellt, dass keine Daten unbegrenzt vorgehalten werden:

Support-Anfragen aus der App (Support-Tickets eingeloggter Nutzer, inklusive Antwortverlauf und etwaiger Anhänge): Löschung 12 Monate nach Abschluss der Anfrage.

Kontaktanfragen über das Kontaktformular auf taxtello.de (von Personen ohne Nutzerkonto): Löschung 12 Monate nach Eingang der Anfrage.

Kontakt:
E-Mail: support@taxtello.de
Telefon: 0721 27664525

15. Auftragsverarbeitung (Art. 28 DSGVO)

Rollenverteilung: Im Verhältnis zu Ihren eigenen Kunden, Lieferanten und sonstigen Geschäftspartnern sind Sie Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die in taxtello verarbeiteten Buchungs-, Beleg- und Stammdaten. Wir verarbeiten diese Daten in der Rolle des Auftragsverarbeiters gemäß Art. 28 DSGVO ausschließlich auf Ihre dokumentierte Weisung und zur Erbringung der vertraglich vereinbarten Leistungen. Die einschlägigen Pflichten (Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Kategorien betroffener Personen, technische und organisatorische Maßnahmen, Löschung oder Rückgabe nach Auftragsende) werden in einem gesonderten Auftragsverarbeitungsvertrag (AV-Vertrag) geregelt, den wir Ihnen auf Anfrage zur Verfügung stellen.

Für den Betrieb von taxtello Cloud und der öffentlichen Webseite setzen wir folgende Dienstleister ein:

Mittwald CM Service GmbH & Co. KG (Hosting, Infrastruktur)

Königsberger Str. 4–6 · 32339 Espelkamp · mittwald.de
Vertragliche Grundlage: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO, Bestandteil des Hosting-Vertrags. Die Verarbeitung erfolgt ausschließlich in Deutschland; keine Drittlandsübermittlung.

Mittwald AI Hosting (KI-Verarbeitung bei aktivierten KI-Funktionen — Belegerkennung, PDF-Kontoauszug-Import, CSV-Fallback, Belegzuordnung, Kategorie-Vorschläge, natürlich-sprachliche Rechnungserfassung, Sprach-zu-Text via Whisper sowie interne Recherche-Hilfe bei Support-Anfragen; jeweils optional)

Mittwald CM Service GmbH & Co. KG · Königsberger Str. 4–6 · 32339 Espelkamp · mittwald.de
Vertragliche Grundlage: Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit Mittwald. Mittwald AI Hosting betreibt mehrere Sprach- und Bildverarbeitungsmodelle (LLMs) auf eigener Infrastruktur in Deutschland, darunter ein Vision-Modell für die Belegerkennung sowie ein Whisper-Modell (whisper-large-v3-turbo) für die Sprach-zu-Text-Funktion. Die KI-Verarbeitung erfolgt ausschließlich in Deutschland — keine Drittlandsübermittlung, keine Verwendung der Eingaben für KI-Training. Die KI-Funktionen sind bei Nutzung aktiv und können jederzeit in den Einstellungen deaktiviert werden.

Eine Weitergabe von Daten an weitere Dritte zu anderen Zwecken findet nicht statt.

16. Datensicherheit

Wir setzen technische und organisatorische Sicherheitsmaßnahmen ein, um Ihre Daten gegen Manipulation, Verlust, Zerstörung oder unberechtigten Zugriff zu schützen. Unsere Sicherheitsmaßnahmen umfassen:

Verschlüsselte Übertragung: Alle Verbindungen zur taxtello-Anwendung erfolgen ausschließlich über HTTPS (TLS 1.2/1.3).

Passwort-Hashing: Passwörter werden mit dem modernen scrypt-Algorithmus gehasht und gesalzen. Klartextpasswörter werden nie gespeichert.

CSRF-Schutz: Formulare und API-Endpunkte sind durch CSRF-Token geschützt.

Automatische Sicherheits-Backups: Buchungsdaten werden regelmäßig automatisch gesichert und für einen definierten Zeitraum vorgehalten.

Brute-Force-Schutz: Nach mehreren fehlgeschlagenen Anmeldeversuchen wird das Konto temporär gesperrt.

Session-Management: Sessions laufen nach 24 Stunden automatisch ab.

Unsere Sicherheitsmaßnahmen werden kontinuierlich überprüft und dem Stand der Technik angepasst.

17. Externe Links

Unsere Webseite enthält Links zu externen Webseiten Dritter (z. B. Mittwald, Stripe). Auf diese externen Inhalte haben wir keinen Einfluss. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße geprüft; eine permanente Überprüfung ist ohne konkrete Anhaltspunkte jedoch nicht zumutbar.

Bei Bekanntwerden von Rechtsverletzungen werden wir entsprechende Links unverzüglich entfernen.

18. Ihre Rechte als betroffene Person

Ihnen stehen gegenüber dem Verantwortlichen folgende Rechte zu, sofern die jeweiligen gesetzlichen Voraussetzungen erfüllt sind:

Auskunftsrecht (Art. 15 DSGVO): Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder unvollständiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können unter bestimmten Voraussetzungen verlangen, dass die Verarbeitung Ihrer Daten eingeschränkt wird.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass wir Ihnen Ihre Daten in einem strukturierten, maschinenlesbaren Format bereitstellen.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) jederzeit widersprechen.

Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: support@taxtello.de oder an die oben genannte Postanschrift. Wir bearbeiten Anfragen innerhalb von 30 Tagen.

19. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderweitiger Rechtsbehelfe haben Sie das Recht, bei einer zuständigen Aufsichtsbehörde Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt (Art. 77 DSGVO).

Die zuständige Aufsichtsbehörde für den Verantwortlichen ist:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Lautenschlagerstraße 20 · 70173 Stuttgart
Telefon: +49 711 615541-0
E-Mail: poststelle@lfdi.bwl.de
Web: www.baden-wuerttemberg.datenschutz.de

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage, unser Dienst oder die Art der Datenverarbeitung ändert. Die aktuelle Version ist stets abrufbar unter:

taxtello.de/datenschutz

Bei wesentlichen Änderungen werden registrierte Nutzer (Cloud) per E-Mail informiert.

Stand: Mai 2026