Datenschutzerklärung
1. Einleitung
Der Schutz und die Sicherheit der Daten unserer Kundinnen und Kunden sowie Nutzer:innen ist uns sehr wichtig. Mit dieser Datenschutzerklärung informieren wir Sie darüber, welche Daten wir bei der Nutzung unserer Software erheben, wie wir diese verarbeiten und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen.
ibana nimmt den Schutz Ihrer persönlichen Daten sehr ernst und hält sich strikt an die Regeln des Bundesstaats Österreich und die Datenschutzbestimmungen der Europäischen Union (DSGVO). ibana verpflichtet ihre Mitarbeiter:innen auf die Einhaltung der Datenschutzrichtlinien Anforderungen der DSGVO.
2. Verantwortliche Stelle
Verantwortlich für die Datenverarbeitung:
ibana Software GmbH
Heiligenstädter Straße 31/2/4. Stock
E-Mail: [email protected]
Vertreten durch: Maximilian Nimmervoll, Markus Leimer
3. Erhebung von Server Protokolldaten
Wir verarbeiten auf unserer Website und Software sogenannte Zugriffsdaten (insbesondere Ihre IP-Adresse) für statistische Auswertungen zum Zweck des Betriebes, der Sicherheit und der technischen Optimierung unserer Website. So können wir Ihnen unsere Website effektiver präsentieren und Fehler identifizieren. Zugriffsdaten erheben wir beim Aufruf unserer Webseite und speichern diese in einer Protokolldatei (sogenannte Logdatei):
- URL der abgerufenen Webseite
- Datum und die Uhrzeit des Abrufs
- die übertragene Datenmenge / Meldung über den erfolgreichen Abruf
- Browsertyp und Version
- Name und Version des Betriebssystems
- anfragende Provider / Ihre IP-Adresse
Aus diesen Daten sind Sie für uns nicht identifizierbar. Protokolldaten werden regelmäßig, spätestens jedoch nach 180 Tagen gelöscht. Rechtsgrundlage für diese Datenverarbeitung ist unser berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f) DSGVO.
4. Verarbeitung und Nutzung personenbezogener Daten
Die personenbezogenen Daten erheben, verarbeiten und nutzen wir zur Abwicklung des Vertragsverhältnisses nach Art. 6 Abs. 1 Buchst. b) DSGVO und zur Verbesserung der Nutzererfahrung gem. Art. 6 Abs. 1 Buchst. f) DSGVO, d.h. zur:
- Anlegung eines Accounts
- Prüfung der Kundenidentität
- Abwicklung der Zahlung
- Vorschlagen von individuellen für den Kunden hilfreichen Verbesserungsvorschlägen
- Verbesserung der Nutzererfahrung durch Optimierung einzelner Funktionen und Entwicklung neuer Funktionen anhand von ausgewerteten Nutzerdaten
Personenbezogene Daten werden nur an Dritte übermittelt, wenn nach Art. 6 Abs. 1 Satz 1 Buchst. a) DSGVO durch die betroffene Person ausdrücklich dazu eingewilligt wurde, für die Datenübermittlung nach Art. 6 Abs. 1 Satz 1 Buchst. c) DSGVO eine gesetzliche Verpflichtung besteht, und/oder dies nach Art. 6 Abs. 1 Satz 1 Buchst. b) DSGVO für die Erfüllung eines Vertragsverhältnisses mit der betroffenen Person erforderlich ist.
5. Quellen der Daten
Wir verarbeiten personenbezogene Daten, die wir im Rahmen der Kontaktaufnahme bzw. der Begründung eines Vertragsverhältnisses oder im Rahmen vorvertraglicher Maßnahmen von Ihnen erhalten.
6. Welche Daten wir erheben und verarbeiten
Wir erheben und verarbeiten folgende Kategorien personenbezogener Daten im Sinne der bereitgestellten Software-Leistung. Diese Daten werden vom Kunden bereitgestellt und werden von uns nicht weiterverarbeitet. Die Speicherung dieser dient nur der Bereitstellung der vertraglichen Leistung:
a) Personenbezogene Nutzer:innen Daten:
Diese Daten werden vom Kunden bei der Accounterstellung angegeben
- Name
- E-Mail-Adresse
- Telefonnummer
- Adresse
b) Rechnungsdaten:
- Rechnungssteller (Name, Adresse, E-Mail-Adresse, UID-Nummer)
- Rechnungsempfänger (Name, Adresse, E-Mail-Adresse, UID-Nummer)
- Rechnungspositionen
- Betrag
- Kontierungsdaten (Kostenstellen, Sachkonten, Kreditorenkonto)
c) Überweisungsdaten:
- Betrag
- Bankkontoinformationen des Debitors
- Bankkontoinformationen des Debitors
- Verwendungszweck
- Durchführungsdatum
d) Bankkontodaten:
Wenn der:die Kunde:Kundin ein Bankkonto mit ibana verbindet, werden folgende Daten gespeichert. Die Verknüpfung eines Bankkontos sowie die darauf folgende Speicherung der Daten erfordert eine explizite Zustimmung des Kunden:
- Kontostand
- Kontoinhaber:in
- Transaktionen (bis zu 365 Tage in die Vergangenheit)
7. Speicherdauer
Wir speichern Ihre Daten nur so lange, wie es für die Erfüllung des vertraglichen Zweckes erforderlich ist oder wir gesetzlich dazu verpflichtet sind.
8. Datensicherheit
Wir setzen umfangreiche technische und organisatorische Maßnahmen ein, um Ihre personenbezogenen Daten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Diese Maßnahmen werden regelmäßig überprüft und an den aktuellen Stand der Technik angepasst. Unsere Sicherheitsvorkehrungen umfassen unter anderem:
Verschlüsselung:
- Datenbankverschlüsselung: Ihre Daten werden sowohl im Ruhezustand (at rest) als auch während der Übertragung (in transit) mittels moderner Verschlüsselungsverfahren geschützt.
- SSL/TLS-Verschlüsselung: Unsere Webseite und Anwendungen nutzen HTTPS, um eine sichere Datenübertragung zwischen Ihrem Browser und unseren Servern zu gewährleisten.
Authentifizierung und Zugriffskontrolle:
- Multi-Faktor-Authentifizierung (MFA): Für den Zugriff auf unsere Anwendungen setzen wir MFA ein, um die Sicherheit Ihrer Konten zu erhöhen.
- Prinzip der minimalen Rechtevergabe (Least Privilege): Unsere internen Berechtigungssysteme sind so gestaltet, dass Mitarbeiter nur auf die Daten zugreifen können, die für ihre Aufgaben unbedingt erforderlich sind.
Netzwerksicherheit:
- Firewalls und Intrusion Detection Systeme: Zum Schutz vor unbefugten Zugriffen und Angriffen setzen wir auf moderne Firewall-Technologien und Systeme zur Angriffserkennung.
Datensicherung und Wiederherstellung:
- Regelmäßige Backups: Wir führen regelmäßige Sicherungen Ihrer Daten durch, um im Falle eines Datenverlusts eine schnelle Wiederherstellung zu ermöglichen.
Pseudonymisierung und Anonymisierung:
- Datenminimierung: Wo immer möglich, verarbeiten wir personenbezogene Daten in pseudonymisierter oder anonymisierter Form, um Ihre Privatsphäre zu schützen.
Überprüfung und Evaluierung:
- Regelmäßige Audits: Wir überprüfen und evaluieren regelmäßig die Wirksamkeit unserer technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung dauerhaft zu gewährleisten.
Diese Maßnahmen entsprechen den Anforderungen des Art. 32 DSGVO und sind darauf ausgelegt, ein dem Risiko angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.
9. Externe Dienstleister
Wir nutzen externe Dienstleister, um Teile unserer vertraglichen Leistung bereitzustellen. Die Nutzung deren ermöglicht uns unsere Software zu bemessen, auszuwerten und unsere Inhalte sowie Funktionen optimieren zu können. Zum Schutz unserer Nutzer und Partner können wir zudem Betrugs- und Sicherheitsrisiken erkennen sowie abwehren. Rechtsgrundlage für diese Datenverarbeitung ist Ihre uns erteilte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wir verwenden hierzu folgende Produkte, die uns über Dienstleister bereitgestellt werden:
- June.so: June.so ist ein DSGVO-konformer Dienst zur Erstellung von Produktanalysen
- Cloudflare.com: Dienstleister für DNS-Management und DDoS-Schutz. Cloudflare verarbeitet Daten in Übereinstimmung mit der DSGVO.
- Render.com: Externer Hosting-Anbieter mit Serverstandort in Europa (Deutschland). Render.com gewährleistet die Einhaltung der DSGVO-Richtlinien.
- WorkOS.com: Dienstleister für User Management, Authentifizierung, Autorisierung, Single Sign-On (SSO) und Sitzungsmanagement. WorkOS ist DSGVO-konform und bietet SOC 2 Type II- und SOC 3-Zertifizierungen.
- Google Cloud Storage: Speicherdienst für Dateien wie Rechnungen und Anhänge. Google Cloud bietet Serverstandorte in Europa an, wir nutzen ausschließlich Serverstandorte in Deutschland. Google Cloud verpflichtet sich zur Einhaltung der DSGVO und bietet umfassende Informationen zur Datenverarbeitung und -sicherheit.
- Attio.com: CRM-Tool zur Verwaltung von Kundenbeziehungen. Attio.com verarbeitet personenbezogene Daten gemäß den europäischen Datenschutzbestimmungen.
- Sentry.io: Dienst zur Protokollierung und Analyse von Anwendungsfehlern. Sentry.io ist DSGVO-konform und bietet Funktionen zur Datenanonymisierung.
- Betterstack.com: Dienst für Anwendungsprotokollierung und Überwachung von Ausfallzeiten. Better Stack ist ein strukturierter Log-Management-Dienst, der Echtzeit-Datenanalyse ermöglicht.
- Microsoft Azure: Cloud Service Provider, welcher für KI Lösungen genutzt wird. Serverstandorte werden hier DSGVO-konform in Europa genutzt.
- GoCardless: Dienstleister für Bank Account Data und Bankverbindungsdaten. GoCardless verarbeitet Daten gemäß den europäischen Datenschutzbestimmungen und DSGVO-Richtlinien.
10. Einsatz von künstlicher Intelligenz
Wir nutzen Künstliche Intelligenz (KI), insbesondere Modelle von OpenAI, die über Microsoft Azure-Server in Europa (Schweden) bereitgestellt werden, zur Analyse und Datenauslesung von Rechnungen. Dabei werden Ihre Daten nur innerhalb der Europäischen Union verarbeitet und gespeichert, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. OpenAI erhält dabei keine Kundendaten von uns.
Die Verarbeitung Ihrer Daten mittels KI erfolgt ausschließlich zu dem Zweck, die vertraglich bestimmten Leistungen bereitzustellen. Dabei werden nur die notwendigen Daten verarbeitet, und es werden strenge Sicherheitsmaßnahmen ergriffen, um Ihre Privatsphäre zu schützen.
11. Ihre Rechte
Sie haben das Recht:
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen;
- gemäß Art. 16 DSGVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
- gemäß Art. 17 DSGVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;
- gemäß Art. 18 DSGVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen;
- gemäß Art. 20 DSGVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesebaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen;
- gemäß Art. 7 Abs. 3 DSGVO Ihre einmal erteilte Einwilligung jederzeit gegenüber uns zu widerrufen;
- gemäß Art. 77 DSGVO sich bei einer Aufsichtsbehörde zu beschweren.
12. Kontakt
Sollten Sie Fragen oder Anliegen zur Verarbeitung Ihrer personenbezogenen Daten haben, nehmen Sie gerne Kontakt mit uns auf.
ibana Software GmbH
Heiligenstädter Straße 31/2/4. Stock
E-Mail: [email protected]
Vertreten durch: Maximilian Nimmervoll, Markus Leimer
13. Stand und Aktualisierung dieser Datenschutzerklärung
Diese Datenschutzerklärung hat den Stand vom 06. Februar 2025.
ibana behält sich das Recht vor, diese Datenschutzbestimmung jederzeit unter Berücksichtigung aktuell geltender Datenschutzvorschriften zu ändern. Im Falle von Änderungen wird der Kunde bei der Anmeldung zum Leistungsangebot und/oder per E-Mail auf die Änderungen hingewiesen.