Datenschutzerklärung

1. Einleitung

Der Schutz und die Sicherheit der Daten unserer Kundinnen und Kunden sowie Nutzer:innen ist uns sehr wichtig. Mit dieser Datenschutzerklärung informieren wir Sie darüber, welche Daten wir bei der Nutzung unserer Software erheben, wie wir diese verarbeiten und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen.

ibana nimmt den Schutz Ihrer persönlichen Daten sehr ernst und hält sich strikt an die Regeln der Republik Österreich und die Datenschutzbestimmungen der Europäischen Union (DSGVO). ibana verpflichtet ihre Mitarbeiter:innen auf die Einhaltung der datenschutzrechtlichen Anforderungen der DSGVO.

2. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung:

ibana Software GmbH

Heiligenstädter Straße 31/2/4. Stock

E-Mail: [email protected]

Vertreten durch: Maximilian Nimmervoll, Markus Leimer

3. Erhebung von Server-Protokolldaten

Wir verarbeiten auf unserer Website und Software sogenannte Zugriffsdaten (insbesondere Ihre IP-Adresse) für statistische Auswertungen zum Zweck des Betriebes, der Sicherheit und der technischen Optimierung unserer Website. So können wir Ihnen unsere Website effektiver präsentieren und Fehler identifizieren. Zugriffsdaten erheben wir beim Aufruf unserer Webseite und speichern diese in einer Protokolldatei (sogenannte Logdatei):

  • URL der abgerufenen Webseite
  • Datum und Uhrzeit des Abrufs
  • die übertragene Datenmenge / Meldung über den erfolgreichen Abruf
  • Browsertyp und Version
  • Name und Version des Betriebssystems
  • anfragender Provider / Ihre IP-Adresse

Aus diesen Daten sind Sie für uns nicht identifizierbar. Protokolldaten werden regelmäßig, spätestens jedoch nach 90 Tagen gelöscht. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f) DSGVO.

4. Verarbeitung und Nutzung personenbezogener Daten

Die personenbezogenen Daten erheben, verarbeiten und nutzen wir zur Abwicklung des Vertragsverhältnisses nach Art. 6 Abs. 1 Buchst. b) DSGVO und zur Verbesserung der Nutzererfahrung gem. Art. 6 Abs. 1 Buchst. f) DSGVO, d.h. zur:

  • Anlegung eines Accounts
  • Prüfung der Kundenidentität
  • Abwicklung der Zahlung
  • Vorschlagen von individuellen, für den Kunden hilfreichen Verbesserungsvorschlägen
  • Verbesserung der Nutzererfahrung durch Optimierung einzelner Funktionen und Entwicklung neuer Funktionen anhand von ausgewerteten Produktnutzungsdaten (z.B. Login-Häufigkeit, Anzahl erstellter Rechnungen pro Organisation, genutzte Funktionen, mobile App-Nutzung). Die inhaltlichen Daten aus Rechnungen, Überweisungen und Bankkonten (siehe Abschnitt 6) werden hiervon nicht erfasst und nicht zu diesem Zweck ausgewertet. Eine Ausnahme bildet die KI-gestützte Agent-Funktion gemäß Abschnitt 10, bei der Konversationsinhalte zur Qualitätssicherung kurzzeitig protokolliert werden.

Personenbezogene Daten werden nur an Dritte übermittelt, wenn nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO durch die betroffene Person ausdrücklich dazu eingewilligt wurde, für die Datenübermittlung nach Art. 6 Abs. 1 Satz 1 Buchst. c) DSGVO eine gesetzliche Verpflichtung besteht, und/oder dies nach Art. 6 Abs. 1 Satz 1 Buchst. b) DSGVO für die Erfüllung eines Vertragsverhältnisses mit der betroffenen Person erforderlich ist.

5. Quellen der Daten

Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Kontaktaufnahme bzw. der Begründung eines Vertragsverhältnisses oder im Rahmen vorvertraglicher Maßnahmen von Ihnen erhalten.

6. Welche Daten wir erheben und verarbeiten

Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten im Sinne der bereitgestellten Software-Leistung. Diese inhaltlichen Daten werden vom Kunden bereitgestellt und ausschließlich zur Erfüllung der vertraglichen Leistung gespeichert; eine Auswertung oder Weiterverarbeitung zu Analyse- oder Produktverbesserungszwecken findet nicht statt. Eine Ausnahme bildet die Verarbeitung durch unsere KI-gestützte Agent-Funktion gemäß Abschnitt 10.

a) Personenbezogene Nutzer:innen-Daten:

Diese Daten werden vom Kunden bei der Accounterstellung angegeben.

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Adresse

b) Rechnungsdaten:

  • Rechnungssteller (Name, Adresse, E-Mail-Adresse, UID-Nummer)
  • Rechnungsempfänger (Name, Adresse, E-Mail-Adresse, UID-Nummer)
  • Rechnungspositionen
  • Betrag
  • Kontierungsdaten (Kostenstellen, Sachkonten, Kreditorenkonto)

c) Überweisungsdaten:

  • Betrag
  • Bankkontoinformationen des Debitors
  • Bankkontoinformationen des Kreditors
  • Verwendungszweck
  • Durchführungsdatum

d) Bankkontodaten:

Wenn der:die Kunde:Kundin ein Bankkonto mit ibana verbindet, werden folgende Daten gespeichert. Die Verknüpfung eines Bankkontos sowie die darauf folgende Speicherung der Daten erfordert eine explizite Zustimmung des Kunden:

  • Kontostand
  • Kontoinhaber:in
  • Transaktionen (bis zu 365 Tage in die Vergangenheit)

7. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie es für die Erfüllung des vertraglichen Zweckes erforderlich ist oder wir gesetzlich dazu verpflichtet sind. Im Einzelnen gilt:

  • Logische Löschung: Bei Löschung eines Accounts bzw. einer Organisation werden alle zugehörigen Daten unmittelbar logisch gelöscht.
  • Backups: Aus technischen Gründen können gelöschte Daten in Backups für bis zu 30 Tage nach der logischen Löschung weiterhin vorhanden sein, bevor sie endgültig entfernt werden.
  • Server-Zugriffslogs: spätestens nach 90 Tagen (siehe Abschnitt 3).
  • Produktnutzungsdaten: Bei Löschung eines Accounts werden die zugehörigen Produktnutzungsdaten anonymisiert; Name und E-Mail-Adresse werden entfernt, eine nicht mehr personenbezogene Kennung verbleibt zu statistischen Zwecken.
  • KI-Konversationsprotokolle: siehe Abschnitt 10 (30 Tage).

8. Datensicherheit

Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Diese Maßnahmen werden regelmäßig überprüft und an den aktuellen Stand der Technik angepasst. Unsere Sicherheitsvorkehrungen umfassen unter anderem:

Verschlüsselung:

  • Datenbankverschlüsselung: Ihre Daten werden sowohl im Ruhezustand (at rest) als auch während der Übertragung (in transit) mittels moderner Verschlüsselungsverfahren geschützt.
  • SSL/TLS-Verschlüsselung: Unsere Webseite und Anwendungen nutzen HTTPS, um eine sichere Datenübertragung zwischen Ihrem Browser und unseren Servern zu gewährleisten.

Authentifizierung und Zugriffskontrolle:

  • Multi-Faktor-Authentifizierung (MFA): Für den Zugriff auf unsere Anwendungen setzen wir auf Wunsch MFA ein, um die Sicherheit Ihrer Konten zu erhöhen.
  • Prinzip der minimalen Rechtevergabe (Least Privilege): Unsere internen Berechtigungssysteme sind so gestaltet, dass Mitarbeiter nur auf die Daten zugreifen können, die für ihre Aufgaben unbedingt erforderlich sind. Dies gilt insbesondere auch für den Zugriff auf protokollierte KI-Konversationen gemäß Abschnitt 10.

Netzwerksicherheit:

  • Firewalls und Intrusion Detection Systeme: Zum Schutz vor unbefugten Zugriffen und Angriffen setzen wir auf moderne Firewall-Technologien und Systeme zur Angriffserkennung.

Datensicherung und Wiederherstellung:

  • Regelmäßige Backups: Wir führen regelmäßige Sicherungen Ihrer Daten durch, um im Falle eines Datenverlusts eine schnelle Wiederherstellung zu ermöglichen.

Pseudonymisierung und Anonymisierung:

  • Datenminimierung: Wo immer möglich, verarbeiten wir personenbezogene Daten in pseudonymisierter oder anonymisierter Form, um Ihre Privatsphäre zu schützen.

Überprüfung und Evaluierung:

  • Regelmäßige Audits: Wir überprüfen und evaluieren regelmäßig die Wirksamkeit unserer technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung dauerhaft zu gewährleisten.

Diese Maßnahmen entsprechen den Anforderungen des Art. 32 DSGVO und sind darauf ausgelegt, ein dem Risiko angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

9. Externe Dienstleister

Wir nutzen externe Dienstleister, um Teile unserer vertraglichen Leistung bereitzustellen. Deren Nutzung ermöglicht es uns, unsere Software zu bemessen, auszuwerten und unsere Inhalte sowie Funktionen optimieren zu können. Zum Schutz unserer Nutzer und Partner können wir zudem Betrugs- und Sicherheitsrisiken erkennen sowie abwehren. Rechtsgrundlage für diese Datenverarbeitung ist Ihre uns erteilte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wir verwenden hierzu folgende Produkte, die uns über Dienstleister bereitgestellt werden:

  • Cloudflare, Inc.: Dienstleister für DNS-Management und DDoS-Schutz. Cloudflare verarbeitet Daten in Übereinstimmung mit der DSGVO. Die Datenübermittlung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Framework, hilfsweise auf Basis von Standardvertragsklauseln.
  • Render Services, Inc.: Externer Hosting-Anbieter mit Serverstandort in Europa (Deutschland). Render.com gewährleistet die Einhaltung der DSGVO-Richtlinien.
  • WorkOS, Inc.: Dienstleister für User Management, Authentifizierung, Autorisierung, Single Sign-On (SSO) und Sitzungsmanagement. WorkOS ist DSGVO-konform und bietet SOC 2 Type II- und SOC 3-Zertifizierungen. Die Datenübermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln.
  • Google Cloud EMEA Limited: Speicherdienst für Dateien wie Rechnungen und Anhänge. Google Cloud bietet Serverstandorte in Europa an, wir nutzen ausschließlich Serverstandorte in Deutschland. Google Cloud verpflichtet sich zur Einhaltung der DSGVO und bietet umfassende Informationen zur Datenverarbeitung und -sicherheit.
  • Attio Limited: CRM-Tool zur Verwaltung von Kundenbeziehungen. Attio.com verarbeitet personenbezogene Daten gemäß den europäischen Datenschutzbestimmungen. Die Datenübermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln.
  • Functional Software, Inc. d/b/a Sentry: Dienst zur Protokollierung und Analyse von Anwendungsfehlern. Sentry.io ist DSGVO-konform und bietet Funktionen zur Datenanonymisierung. Die Datenübermittlung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Framework, hilfsweise auf Basis von Standardvertragsklauseln.
  • Microsoft Ireland Operations Limited: Cloud Service Provider, welcher für KI-Lösungen genutzt wird. Serverstandorte werden hier DSGVO-konform in Europa genutzt.
  • Plus Five Five Inc. (Resend): Zum Versand und Empfang transaktionaler E-Mails. Es werden ausschließlich europäische Serverstandorte genutzt. Die Datenübermittlung in die USA erfolgt auf Basis des EU-U.S. Data Privacy Framework, hilfsweise auf Basis von Standardvertragsklauseln.
  • PostHog (EU-Instanz): Tool für Produkt-Analytics zur Auswertung der Nutzung unserer Software (z.B. Login-Verhalten, Anzahl erstellter Rechnungen, Feature-Nutzung). Hierbei werden Name und E-Mail-Adresse übermittelt. Die Verarbeitung erfolgt ausschließlich über die EU-Instanz von PostHog mit Serverstandort in der Europäischen Union.
  • Google Vertex AI (Google Cloud EMEA Limited): Wird neben Microsoft Azure für die KI-gestützte Verarbeitung von Rechnungsdaten und für unsere KI-Agent-Funktion mit Gemini-Modellen genutzt. Serverstandort ist Deutschland. Siehe Abschnitt 10 für Details.

10. Einsatz von künstlicher Intelligenz

Wir nutzen Künstliche Intelligenz (KI) zur Analyse und Datenauslesung von Rechnungen sowie für unsere interaktive KI-Agent-Funktion. Hierfür setzen wir OpenAI-Modelle ein, die über Microsoft Azure-Server in Europa (Schweden) bereitgestellt werden, sowie Gemini-Modelle über Google Vertex AI mit Serverstandort in Deutschland. Ihre Daten werden dabei ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Die zugrundeliegenden KI-Anbieter erhalten dabei keine Kundendaten zu Trainingszwecken; ein Training der Modelle mit Ihren Daten findet nicht statt.

Wir unterscheiden zwei Arten der KI-Verarbeitung:

a) Automatisierte Rechnungsverarbeitung (Scan und Kontierungsvorschlag): Bei der automatisierten Verarbeitung von Rechnungen (z.B. Texterkennung, Kontierungsvorschläge) werden die erkannten Inhalte und Ergebnisse in unserer Datenbank gespeichert, um die vertraglich vereinbarte Leistung (Anzeige, Bearbeitung und Verwaltung der Rechnung im Tool) zu erbringen. Diese Inhalte werden jedoch nicht an unseren Analytics-Dienstleister übermittelt und nicht zu Analyse- oder Produktverbesserungszwecken protokolliert oder ausgewertet.

b) KI-Agent-Funktion: Nutzer:innen können über unsere KI-Agent-Funktion Fragen stellen, die der Agent mithilfe von Tool-Zugriffen (z.B. auf Rechnungs- oder Kontodaten) beantwortet. Konversationen mit dem Agent (Eingaben, Tool-Aufrufe und Ausgaben) werden zum Zweck der Qualitätssicherung und Funktionsanalyse über unseren Analytics-Dienstleister PostHog (EU-Instanz, siehe Abschnitt 9) protokolliert und für 30 Tage aufbewahrt. Nach Ablauf dieser Frist werden die Protokolle automatisiert gelöscht. Ein Training von KI-Modellen mit diesen Daten findet nicht statt.

Die Verarbeitung Ihrer Daten mittels KI erfolgt ausschließlich zu dem Zweck, die vertraglich bestimmten Leistungen bereitzustellen. Dabei werden nur die notwendigen Daten verarbeitet. Zum Schutz Ihrer Privatsphäre setzen wir insbesondere folgende Maßnahmen ein:

  • Verarbeitung ausschließlich auf Servern innerhalb der Europäischen Union
  • Vertragliche Zusicherung der KI-Anbieter, dass kein Training mit Kundendaten erfolgt
  • Verschlüsselung der Daten während der Übertragung und im Ruhezustand
  • Beschränkung des Zugriffs auf KI-Konversationsprotokolle nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) auf einen eng begrenzten Personenkreis
  • Kurze, klar definierte Aufbewahrungsfrist von 30 Tagen für KI-Konversationsprotokolle

11. Ihre Rechte

Sie haben das Recht:

  • gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen;
  • gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
  • gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;
  • gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen;
  • gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
  • gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen;
  • gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.

12. Kontakt

Sollten Sie Fragen oder Anliegen zur Verarbeitung Ihrer personenbezogenen Daten haben, nehmen Sie gerne Kontakt mit uns auf.

ibana Software GmbH

Heiligenstädter Straße 31/2/4. Stock

E-Mail: [email protected]

Vertreten durch: Maximilian Nimmervoll, Markus Leimer

13. Stand und Aktualisierung dieser Datenschutzerklärung

ibana behält sich das Recht vor, diese Datenschutzbestimmung jederzeit unter Berücksichtigung aktuell geltender Datenschutzvorschriften zu ändern. Im Falle von Änderungen wird der Kunde bei der Anmeldung zum Leistungsangebot und/oder per E-Mail auf die Änderungen hingewiesen.

Stand: 02.07.2026

ibana Logo

Your protective finance software

© 2026 ibana Software GmbH