Datenschutzerklärung
Stand: März 2026
1. Verantwortlicher
Kilian Wehner
Karolingerstraße 27, 97505 Geldersheim
E-Mail: info@angebotsheld.com
2. Übersicht der Verarbeitungen
Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung unseres Dienstes erforderlich ist. Die Verarbeitung erfolgt auf Grundlage der DSGVO. Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO wird vom Verantwortlichen geführt und kann auf Anfrage bei der zuständigen Aufsichtsbehörde vorgelegt werden.
3. Erhobene Daten
3.1 Registrierung und Nutzerkonto
Bei der Registrierung erheben wir:
- E-Mail-Adresse (Pflicht)
- Passwort (wird ausschließlich als bcrypt-Hash mit 12 Salt-Runden gespeichert; das Klartext-Passwort wird zu keinem Zeitpunkt gespeichert)
Zur Bestätigung Ihrer E-Mail-Adresse senden wir Ihnen eine Verifizierungs-E-Mail mit einem einmaligen Link (gültig für 24 Stunden).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
3.2 Firmendaten
Zur Angebots- und Rechnungserstellung speichern wir die von Ihnen eingegebenen Firmendaten:
- Firmenname, Firmenadresse, Gewerk, Stundensatz
- Telefonnummer, Steuernummer
- Firmenlogo (als Bilddatei auf dem Server)
- Rechnungseinstellungen (Präfix, nächste Rechnungsnummer)
- Kleinunternehmerstatus
- DATEV-Einstellungen (Beraternummer, Mandantennummer, Kontenrahmen)
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
3.3 Bankdaten
Zur Anzeige auf Angeboten und Rechnungen speichern wir optional Ihre Bankverbindung (Kontoinhaber, IBAN, BIC, Bankname). Diese Daten werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert und nur bei Abruf entschlüsselt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
3.4 Kundendaten
Im Rahmen der Kundenverwaltung speichern wir die von Ihnen eingegebenen Daten Ihrer Geschäftskunden: Name (Pflicht), Adresse, E-Mail-Adresse und Telefonnummer (jeweils optional). Diese Daten werden ausschließlich zur Erstellung von Angeboten und Rechnungen verwendet. Sie können Kundendaten jederzeit bearbeiten und löschen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Nutzers an der Verwaltung seiner Kundenbeziehungen)
3.5 Angebotsdaten
Die von Ihnen erstellten Angebote (Kundendaten, Leistungsbeschreibung, Positionen, Preise) werden als vollständiger JSON-Datensatz in Ihrer Angebots-Historie gespeichert. Sie können Angebote jederzeit löschen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
3.6 Rechnungsdaten
Erstellte Rechnungen werden mit allen Angaben (Firmendaten, Kundendaten, Positionen, Beträge, Leistungsdatum, Zahlungsziel, Status) als vollständiger JSON-Datensatz gespeichert. Finalisierte Rechnungen können aus steuerrechtlichen Gründen nicht nachträglich geändert, sondern nur storniert werden.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufbewahrungspflichten gem. § 147 AO, § 257 HGB)
3.7 Nutzungsdaten
Bei Seitenaufrufen erfassen wir – abhängig von Ihrer Cookie-Einwilligung – folgende Daten: aufgerufener Pfad, HTTP-Methode, Zeitstempel sowie ggf. IP-Adresse und User-Agent.
- Bei Einwilligung („Alle akzeptieren“): vollständige IP-Adresse und User-Agent
- Bei „Nur notwendige“ oder fehlender Einwilligung: IP-Adresse wird als „anonymisiert“ gespeichert, kein User-Agent
Diese Daten dienen der Sicherheit (Erkennung von Missbrauch) und der Verbesserung unseres Dienstes.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung für vollständige Nutzungsdaten)
3.8 Zahlungsdaten
Die Zahlungsabwicklung erfolgt über Stripe, Inc. (San Francisco, USA). Wir speichern lediglich Ihre Stripe-Kundennummer und Abonnement-ID. Zahlungsdaten (Kreditkarte etc.) werden zu keinem Zeitpunkt auf unseren Servern gespeichert und ausschließlich von Stripe verarbeitet.
Stripe ist unter dem EU-US Data Privacy Framework zertifiziert. Ein Auftragsverarbeitungsvertrag (DPA) ist Bestandteil der Stripe-Nutzungsbedingungen (stripe.com/legal/dpa). Weitere Informationen: Stripe Datenschutzerklärung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4. KI-Verarbeitung und Drittanbieter
4.1 Anthropic (Claude API)
Zur Erstellung von Angeboten werden folgende Daten an die API von Anthropic, PBC (San Francisco, USA) übermittelt: Gewerk, Firmenname, Firmenadresse, Kundenname, Kundenadresse, Leistungsbeschreibung, Maße und Mengen sowie ggf. Stundensatz.
Anthropic verarbeitet diese Daten gemäß ihrer Datenschutzrichtlinien. Die übermittelten Daten werden von Anthropic nicht zum Training von KI-Modellen verwendet (Zero Data Retention bei API-Nutzung).
Ein Auftragsverarbeitungsvertrag (DPA) ist Bestandteil der Anthropic-Nutzungsbedingungen (Anthropic DPA).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4.2 Perplexity (Preisrecherche)
Für die Recherche marktüblicher Preise (Profi-Tarif) werden ausschließlich das angegebene Gewerk und die fachliche Leistungsbeschreibung an die API von Perplexity AI, Inc. (San Francisco, USA) übermittelt. Es werden keine personenbezogenen Kundendaten an Perplexity weitergegeben.
Perplexity ist unter dem EU-US Data Privacy Framework zertifiziert. Ein DPA ist Bestandteil der Nutzungsbedingungen (Perplexity DPA).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
4.3 Datentransfer in die USA
Anthropic, Perplexity, Stripe und Resend sind US-amerikanische Unternehmen. Die Datenübermittlung in die USA erfolgt auf folgenden Grundlagen:
- Stripe, Resend, Perplexity: Zertifizierung unter dem EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO)
- Anthropic: Standardvertragsklauseln (Standard Contractual Clauses / SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO, da Anthropic derzeit nicht unter dem EU-US Data Privacy Framework zertifiziert ist
5. E-Mail-Versand
Für den Versand von Verifizierungs-E-Mails, Angeboten und Rechnungen per E-Mail nutzen wir den Dienst Resend (Resend, Inc., USA), der E-Mails über Amazon SES übermittelt. Dabei werden die E-Mail-Adresse des Empfängers sowie der E-Mail-Inhalt an Resend übertragen.
Resend ist unter dem EU-US Data Privacy Framework zertifiziert. Ein DPA ist Bestandteil der Nutzungsbedingungen (Resend DPA).
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO
6. Auftragsverarbeiter
Wir setzen folgende Auftragsverarbeiter ein:
| Dienstleister | Zweck | Sitz | Garantie |
|---|---|---|---|
| Stripe, Inc. | Zahlungsabwicklung | USA | EU-US DPF |
| Anthropic, PBC | KI-Angebotserstellung | USA | SCCs |
| Perplexity AI, Inc. | KI-Preisrecherche | USA | EU-US DPF |
| Resend, Inc. | E-Mail-Versand | USA | EU-US DPF |
| Hetzner Online GmbH | Server-Hosting & Infrastruktur | Deutschland | AVV gemäß Art. 28 DSGVO |
Mit allen genannten Dienstleistern bestehen Auftragsverarbeitungsverträge (DPA/AVV) gemäß Art. 28 DSGVO, die automatisch Bestandteil der jeweiligen Nutzungsbedingungen sind.
7. Cookies und Sessions
Wir verwenden folgende Cookies:
connect.sid– Technisch notwendiges Session-Cookie für die Anmeldung. HttpOnly, SameSite=Lax, Laufzeit: 7 Tage.cookie_consent– Speichert Ihre Cookie-Präferenz („all“ oder „essential“). Laufzeit: 1 Jahr.
Es werden keine Tracking-, Werbe- oder Drittanbieter-Cookies eingesetzt.
8. Datensicherheit
Wir setzen folgende technische und organisatorische Maßnahmen ein:
- Verschlüsselte Übertragung über HTTPS (TLS)
- Passwörter werden mit bcrypt (12 Salt-Runden) gehasht gespeichert
- Bankdaten (IBAN, BIC etc.) werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert
- Zugriff auf die Datenbank ist auf den Server beschränkt
- Rate-Limiting zum Schutz vor Brute-Force-Angriffen
- HttpOnly- und SameSite-Cookies zum Schutz vor XSS und CSRF
- Sicherheits-Header via Helmet.js (CSP, X-Frame-Options, etc.)
9. Ihre Rechte
Sie haben das Recht auf:
- Auskunft über Ihre gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem maschinenlesbaren Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
- Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Zur Ausübung Ihrer Rechte wenden Sie sich an: info@angebotsheld.com. Wir werden Ihre Anfrage unverzüglich, spätestens jedoch innerhalb eines Monats beantworten.
10. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
www.lda.bayern.de
11. Automatisierte Entscheidungsfindung
Die KI-gestützte Angebotserstellung und Preisrecherche stellen keine automatisierte Entscheidung im Sinne von Art. 22 DSGVO dar, da die generierten Inhalte lediglich als Vorschläge dienen und vom Nutzer vor Verwendung geprüft und angepasst werden müssen.
12. Speicherdauer und Kontolöschung
Wir speichern Ihre Daten wie folgt:
- Kontodaten, Firmendaten, Angebote, Kundendaten: Solange Ihr Nutzerkonto besteht
- Rechnungen: Solange Ihr Nutzerkonto besteht. Bei Kontolöschung werden alle Rechnungsdaten unwiderruflich entfernt. Der Nutzer ist als Unternehmer selbst für die Einhaltung der steuerrechtlichen Aufbewahrungsfristen (§ 14b UStG, § 147 AO: 10 Jahre) verantwortlich und muss Rechnungen vor der Kontolöschung eigenständig sichern.
- Besucherlogs: Anonymisierung nach 90 Tagen
- E-Mail-Verifizierungstoken: 24 Stunden
- Passwort-Reset-Token: 24 Stunden
- Sessions: 7 Tage
Sie können die Löschung Ihres Kontos über die Kontoeinstellungen oder per E-Mail an info@angebotsheld.com beantragen. Bei Löschung des Kontos werden alle personenbezogenen Daten einschließlich Angebots-Historie, Rechnungen, Firmendaten, Kundendaten und Nutzungsdaten unwiderruflich entfernt. Die E-Mail-Adresse wird für 7 Tage gesperrt, um Missbrauch zu verhindern. Der Nutzer ist verpflichtet, alle Dokumente mit gesetzlicher Aufbewahrungspflicht (insbesondere Rechnungen) vor der Löschung eigenständig als PDF zu sichern.