Datenschutzerklärung

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Sobald ein Datenschutzbeauftragter bestellt ist, werden wir dies hier ergänzen.

Rechno ist ein KI-gestützter Buchhalter, der E-Mail-Postfächer scannt, eingehende Rechnungen automatisch erkennt und Buchungsdaten erstellt. Die Verarbeitung dient der automatisierten Belegerfassung und Buchführung für Steuerberater und deren Mandanten.

Arten der verarbeiteten Daten

• Bestandsdaten (Name, Firmenname, E-Mail-Adresse)
• Authentifizierungsdaten (gehashte Passwörter, OAuth2-Tokens)
• Rechnungs- und Belegdaten (Lieferant, Beträge, Konten, Belegnummern, IBAN, USt-ID)
• Buchungsdaten (Buchungssätze, Kontierungen, Anomalie-Markierungen)
• E-Mail-Metadaten (Absender, Datum, Dateianhänge)
• Chat-Nachrichten (zwischen Steuerberater, Mandant und KI-Agent)
• Belegbilder (fotografierte Quittungen und Kassenzettel)
• Flotten- und Mobilitätsdaten, soweit RechnoFleet genutzt wird (Fahrten, Fahrer, Fahrzeuge, Plattformauszahlungen, Auftrags- und Statusdaten)
• Nutzungsdaten (Zeitpunkt der Verarbeitung, Beleg-Typ)

Kategorien betroffener Personen

• Nutzer (Steuerberater und deren Mitarbeiter)
• Mandanten (Unternehmen und Einzelpersonen, deren Buchhaltung verarbeitet wird)
• Kreditoren und Debitoren (Geschäftspartner der Mandanten, deren Daten auf Rechnungen erscheinen)

Zwecke der Verarbeitung

• Automatische Erkennung und Extraktion von Rechnungsdaten
• Erstellung von Buchungssätzen und Kontierung
• Export an Buchhaltungssoftware (DATEV, Lexoffice, sevDesk, ADDISON)
• Compliance-Prüfungen (USt-ID-Validierung, Sanktionslisten-Screening)
• Anomalie-Erkennung in Buchungsdaten
• Abgleich von Plattformfahrten, Auszahlungen, Barumsätzen und Fahrzeug-/Fahrerdaten für Taxi- und Mietwagenbetriebe
• Dokumentation von Flotten-Compliance, insbesondere Fahrten-, Auftrags- und Rückkehrpflicht-Nachweisen, soweit diese Funktionen genutzt werden
• KI-gestützter Chat-Assistent für Buchhaltungsfragen
• Kontoverwaltung und Authentifizierung

Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Belegerfassung, Buchungserstellung, Export an Buchhaltungssoftware, Dashboard-Funktionen, Kreditorenverwaltung, KI-Agent-Chat, Beleg-Scanner, RechnoFleet-Auswertungen und Flottenabrechnung.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

E-Mail-Postfach-Zugriff, OAuth2-Verbindungen zu E-Mail-, Buchhaltungs- und Plattformkonten. Die Einwilligung ist freiwillig und jederzeit widerrufbar.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Anomalie-Erkennung in Buchungsdaten, Sicherheitsmaßnahmen, Betrugsschutz, Sanktionslisten-Screening, Integritätsprüfung von Webhooks und Plattformdaten.

Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO)

Aufbewahrung von Buchungsbelegen und Buchungsdaten gemäß GoBD (10 Jahre, § 147 AO, § 257 HGB). Sanktionslisten-Prüfung gemäß EU-Verordnungen.

Verarbeitete Daten

E-Mail-Adresse, Passwort (als bcrypt-Hash gespeichert, Cost-Faktor 12), Name, Firmenname, Rolle (Steuerberater oder Mandant).

Zweck

Kontoverwaltung, Authentifizierung, Zuordnung zu Mandanten und Kanzlei.

Speicherdauer

Bis zur Löschung des Nutzerkontos durch den Nutzer oder den Kanzlei-Administrator.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Rechno bietet die Möglichkeit, Ihr E-Mail-Postfach zu verbinden, um eingehende Rechnungen automatisch zu erkennen und zu verarbeiten. Als Alternative können Sie Rechnungen auch an eine dedizierte Rechno-E-Mail-Adresse senden oder weiterleiten (siehe Abschnitt 11a).

5.1 Art des Zugriffs

Bei OAuth2-fähigen E-Mail-Anbietern: Über das OAuth2-Protokoll. Sie werden zum jeweiligen Anbieter weitergeleitet und erteilen dort die Berechtigung. Rechno erhält ein Zugriffstoken, nicht Ihr Passwort. Sie können die Berechtigung jederzeit beim jeweiligen Anbieter widerrufen.

Bei allen anderen Anbietern (u. a. T-Online, GMX, web.de, 1&1, Strato, Yahoo, iCloud, sowie selbst gehostete Mailserver): Über das IMAP-Protokoll. Ihr Passwort wird mit AES-256 (Fernet) verschlüsselt in unserer Datenbank gespeichert und ausschließlich zum Abruf Ihres eigenen Postfachs verwendet.

Der Zugriff erfolgt in jedem Fall freiwillig und nur nach aktiver Verbindung durch Sie. Er wird ausschließlich zum Zweck der Rechnungserkennung und -verarbeitung genutzt.

5.2 Umfang des Zugriffs

Rechno liest ausschließlich:

• Dateianhänge (PDF, XML) von eingehenden E-Mails
• Absender-Adresse (zur Kreditor-Zuordnung)
• Datum der E-Mail
• Betreffzeile (zur Erkennung elektronischer Rechnungen / ZUGFeRD- / XRechnung-Marker)

Rechno liest nicht:

• Den E-Mail-Textinhalt (Body), solange keine ZUGFeRD- oder HTML-Rechnung im Body erkennbar ist
• Empfänger- oder CC/BCC-Felder
• E-Mails ohne relevante Anhänge und ohne Rechnungs-Merkmale im Betreff
• Private E-Mails ohne Rechnungsbezug

5.3 Verarbeitung der Anhänge

Aus Rechnungsanhängen werden folgende Daten extrahiert: Lieferant, Rechnungsnummer, Datum, Beträge (netto, brutto, USt), IBAN, USt-ID. Diese Daten werden in der Rechno-Datenbank gespeichert und zur Erstellung von Buchungssätzen verwendet.

5.4 Optionaler Scan des Gesendet-Ordners

Auf ausdrücklichen Wunsch kann Rechno zusätzlich den Gesendet-Ordner Ihres Postfachs scannen, um Ausgangsrechnungen zu erfassen. Diese Funktion ist standardmäßig deaktiviert und muss von Ihnen pro Postfach-Verbindung aktiv eingeschaltet werden. Der Zugriff beschränkt sich auch hier auf Anhänge und Rechnungs-Merkmale; Ihre privaten Konversationen werden nicht gelesen. Die Aktivierung kann jederzeit widerrufen werden.

5.5 Widerruf

Sie können die Postfach-Verbindung jederzeit in Ihren Rechno-Einstellungen trennen. Nach dem Trennen:

• Rechno scannt keine weiteren E-Mails.
• Das Zugriffstoken (OAuth2) bzw. das verschlüsselte Passwort wird sofort gelöscht.
• Bereits extrahierte Buchungsdaten und Belege bleiben bestehen (gesetzliche Aufbewahrungspflicht gemäß GoBD).

5.6 Status der E-Mail-Anbieter

Bei IMAP-Verbindungen (T-Online, GMX, web.de, 1&1, Strato, Yahoo, iCloud, eigenes Hosting etc.) greift Rechno mit Ihren persönlichen Zugangsdaten auf Ihr eigenes Postfach zu. Diese Anbieter stehen mit Rechno in keiner direkten Vertragsbeziehung — es besteht daher kein Auftragsverarbeitungsverhältnis zwischen dem jeweiligen E-Mail-Anbieter und Rechno; die Anbieter gelten nicht als Unterauftragnehmer im Sinne des Art. 28 DSGVO. Die Datenschutzerklärung des jeweiligen Postfach-Anbieters gilt zusätzlich.

Anders ist es bei OAuth2-fähigen E-Mail-Anbietern mit direkter API-Beziehung: Diese Anbieter sind daher in Abschnitt 13 als Unterauftragnehmer oder Drittanbieter aufgeführt.

5.7 Alternative: Dedizierte Rechno-E-Mail-Adresse

Wenn Sie keinen Zugriff auf Ihr privates Postfach erlauben möchten, können Sie Rechnungen stattdessen direkt an eine dedizierte Rechno-E-Mail-Adresse senden oder weiterleiten (z. B. m12345@belege.rechno.io). Details hierzu finden Sie in Abschnitt 11a — in dieser Variante ist überhaupt kein Zugriff auf Ihr eigenes Postfach nötig.

5.8 Rechtsgrundlage

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung ist freiwillig und jederzeit widerrufbar.

Zweck

Automatische Erkennung und Extraktion von Rechnungsdaten aus Belegbildern und PDFs, Kategorisierung und Kontierungs­vorschläge (SKR 03/04 sowie Branchen­kontenrahmen), Beantwortung von Buchhaltungsfragen im KI-Assistenten.

Verarbeitungsort

Die KI-Verarbeitung erfolgt primär über einen europäischen Cloud-Anbieter in einem Rechenzentrum innerhalb der Europäischen Union. Eine Übertragung in Drittländer findet im regulären Betrieb nicht statt.

Übermittelte Daten

Belegbilder und PDFs, Rechnungs­texte, Fragen des Mandanten im Chat-Kontext, Mandanten-Name und -Aliasse zur Kontextualisierung der Extraktion.

Nicht übermittelte Daten

Passwörter, Zugangs­daten, Inhalte von E-Mails außerhalb des Rechnungs­kontextes, persönliche Nachrichten ohne Buchhaltungs­bezug.

Keine Nutzung für Modell-Training

Der KI-Anbieter nutzt die über die Schnittstelle übermittelten Daten nicht für das Training seiner Modelle. Diese Zusicherung ist vertraglich im Auftrags­verarbeitungs­vertrag nach Art. 28 DSGVO festgehalten. Ebenso erfolgt keine dauerhafte Speicherung der übermittelten Inhalte über die Anfrage­dauer hinaus.

Ausfall-Fallback

Um die Verfügbarkeit des Dienstes sicherzustellen, kann in seltenen Ausnahme­fällen (z. B. vorübergehender Ausfall des Primär­anbieters) ein Fallback-KI-Anbieter mit Sitz außerhalb der EU herangezogen werden. Der Anteil solcher Anfragen liegt im regulären Betrieb unter 5 %. Übermittlungen in diese Drittländer erfolgen ausschließlich auf Basis von EU-Standardvertrags­klauseln (Art. 46 Abs. 2 lit. c DSGVO) und eines Auftrags­verarbeitungs­vertrags nach Art. 28 DSGVO. Auch hier gilt: keine Nutzung der Daten für Modell-Training, keine dauerhafte Speicherung.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Verarbeitete Daten

Buchungssätze, Beträge (netto, brutto, USt), Konten (Soll/Haben), Kreditoren und Debitoren, Belegbilder und -dateien, Kostenstellen, Belegnummern.

Zweck

Automatische Buchführung, Darstellung im Dashboard, Export an Buchhaltungssoftware.

Export-Ziele

• Lexoffice (über API)
• sevDesk (über API)
• DATEV (EXTF-Dateiformat)
• ADDISON (EXTF-Dateiformat)
• CSV-Download

Bei API-Exporten werden Buchungsdaten an den jeweiligen Anbieter übermittelt. Die Datenschutzerklärungen der jeweiligen Anbieter gelten zusätzlich.

Speicherdauer

10 Jahre (gesetzliche Aufbewahrungspflicht gemäß GoBD, § 147 AO).

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), gesetzliche Aufbewahrungspflicht (Art. 6 Abs. 1 lit. c DSGVO).

Zweck

Automatische Erkennung von Auffälligkeiten in Buchungsdaten, insbesondere: Betragsabweichungen vom Durchschnitt, neue oder unbekannte Lieferanten, fehlende Belege bei hohen Beträgen, Reverse-Charge-Verdacht bei EU-Geschäftspartnern, unsichere Kontierung, Duplikatverdacht.

Verarbeitung

Rein algorithmisch auf unseren Servern. Es werden keine Buchungsdaten zur Anomalie-Erkennung an Dritte übermittelt.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse an Betrugsschutz (Art. 6 Abs. 1 lit. f DSGVO).

9.1 USt-ID-Validierung (VIES)

Zweck: Überprüfung der Gültigkeit von Umsatzsteuer-Identifikationsnummern europäischer Geschäftspartner.

Übermittlung an: VIES-Service der Europäischen Kommission (ec.europa.eu/taxation_customs/vies).

Übermittelte Daten: USt-ID des Kreditors.

Antwort: Gültigkeitsstatus, Firmenname, Adresse.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

9.2 Sanktionslisten-Screening

Zweck: Prüfung von Geschäftspartnern (Kreditoren) gegen internationale Sanktionslisten zur Einhaltung gesetzlicher Vorgaben.

Geprüfte Listen: EU Consolidated Sanctions List, UN Security Council Sanctions List.

Verarbeitung: Die Sanktionslisten werden täglich heruntergeladen und lokal auf unseren Servern abgeglichen. Es werden keine Kreditoren-Daten an externe Dienste übermittelt.

Methode: Fuzzy-Name-Matching (Schwellenwert 80%).

Rechtsgrundlage: Gesetzliche Pflicht (Art. 6 Abs. 1 lit. c DSGVO), berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Zweck

Automatisierte Kommunikation zwischen Steuerberater, Mandant und KI-Assistent. Darunter fallen: Beleganforderungen, Erinnerungen, einfache Buchhaltungsfragen.

Verarbeitung

Chat-Nachrichten werden in der Rechno-Datenbank gespeichert. Bei Buchhaltungsfragen wird die Frage an den in Abschnitt 6 beschriebenen KI-Anbieter gesendet (primär innerhalb der EU, Drittland-Fallback nur bei Ausfall mit SCC-Absicherung).

Steuerung durch den Steuerberater

• Der Steuerberater kann einstellen, ob KI-Antworten vor dem Senden an den Mandanten freigegeben werden müssen.
• Der Steuerberater kann den KI-Agent pro Mandant aktivieren oder deaktivieren.

Speicherdauer

Chat-Verläufe werden mit dem Mandantenkonto gespeichert und unterliegen der Aufbewahrungspflicht.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Zweck

Fotografieren und Digitalisieren von physischen Belegen (Quittungen, Kassenzettel, Bewirtungsbelege, Parktickets).

Kamerazugriff

Der Kamerazugriff erfolgt nur bei aktiver Nutzung des Scanners durch den Nutzer. Es finden keine Hintergrund-Aufnahmen statt.

Verarbeitung

Das Foto wird auf unsere Server hochgeladen und durch die KI-Engine verarbeitet (siehe Abschnitt 6). Das extrahierte Ergebnis wird als Beleg gespeichert.

Automatisches Matching

Belegdaten werden mit bestehenden Bankabbuchungen abgeglichen (Betrag, Datum, Referenznummern). Diese Verarbeitung erfolgt vollständig auf unseren Servern.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Jeder Mandant erhält eine dedizierte E-Mail-Adresse unter der Domain @belege.rechno.io. An diese Adresse können Rechnungen und Belege direkt oder per Weiterleitung gesendet werden. Dies ist eine Alternative zur Anbindung eines eigenen Postfachs nach Abschnitt 5.

Verarbeitete Daten

E-Mail-Header (Absender, Datum, Betreff), Anhänge (PDF, XML), ggf. Begleittext des Mandanten vor einer Weiterleitung.

Zweck

Direkter Empfang von Rechnungen ohne Postfach-Verbindung, Erkennung weitergeleiteter Mails und des Begleittexts für die Extraktion, Kopplung des Mandant-Kontexts an den Beleg.

Technische Umsetzung

Die Annahme der E-Mails erfolgt über einen Mailserver in Frankfurt am Main (Hetzner Online GmbH). Von dort werden die Mails per authentifiziertem Webhook an die Rechno-Anwendung übergeben. Die Authentifizierung zwischen Mailserver und Anwendung erfolgt über ein geteiltes Secret.

Missbrauchsschutz

Mails ohne Rechnungsbezug (kein Anhang, keine Rechnungs-Kennzeichnung im Betreff) werden verworfen und nicht gespeichert. Ein Tages-Limit pro Mandant begrenzt den Eingang auf 50 Nachrichten. Selbstgenerierte Benachrichtigungs-Mails von Rechno werden anhand technischer Header erkannt und verworfen (Kreis-Schutz).

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Rechno versendet transaktionale E-Mails an Nutzer und Mandanten, darunter: Einladungen (Kanzlei, Mandant, Admin), Passwort-Flows, Bestätigungen über verarbeitete Belege.

Anbieter

Sendinblue GmbH (Brevo), Köpenicker Straße 126, 10179 Berlin, Deutschland. Muttergesellschaft: Sendinblue SAS, 7 Rue de Madrid, 75008 Paris, Frankreich.

Übermittelte Daten

E-Mail-Adresse des Empfängers, Anrede/Name, individueller Nachrichteninhalt (z. B. Rechnungsdaten bei Bestätigungs-Mails), technische Mail-Header zur Zustell- und Kreis-Schutz-Prüfung.

Verarbeitungsort

Europäische Union.

Auftragsverarbeitung

Data Processing Addendum gemäß Art. 28 DSGVO abgeschlossen. Brevo ist als EU-Anbieter für transaktionalen Mail-Versand DSGVO-konform zertifiziert.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

Die Abrechnung der kostenpflichtigen Tarife von Rechno erfolgt über den Zahlungsdienstleister Stripe.

Anbieter

Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Übermittelte Daten

Name, Firmenname, E-Mail-Adresse, Rechnungsanschrift, Zahlungsdaten (Kreditkarte, SEPA-Mandat). Die Kartendaten werden direkt im Stripe-Checkout erfasst; Rechno erhält ausschließlich Metadaten (Zahlungsstatus, Customer-ID, Subscription-ID, letzte vier Kartenziffern).

Verarbeitungsort

Europäische Union (primär Irland). Stripe kann im Rahmen der Zahlungsabwicklung Daten an seine US-Muttergesellschaft übertragen; die Übertragung erfolgt auf Basis von EU-Standardvertragsklauseln (SCC).

Auftragsverarbeitung

Data Processing Addendum gemäß Art. 28 DSGVO abgeschlossen, abrufbar unter stripe.com/de/legal/dpa.

Rechtsgrundlage

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), Einhaltung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) im Rahmen der Rechnungstellung.

RechnoFleet ist eine branchenspezifische Variante von Rechno für Taxi-, Mietwagen- und Plattformunternehmer. Über RechnoFleet können Plattformkonten, Flottensysteme, Taxameter-/Abrechnungssysteme und Exportdateien verbunden oder hochgeladen werden, um Buchhaltung, Fahrerabrechnung, Auszahlungsabgleich und Compliance-Dokumentation zu unterstützen.

11d.1 Plattform- und Systemverbindungen

Wenn Sie ein Plattform-, Flotten- oder Abrechnungssystem mit RechnoFleet verbinden, erfolgt dies je nach Anbieter über OAuth2, API-Schlüssel, Webhooks oder Datei-Importe. Bei OAuth2-Verbindungen werden Sie zum jeweiligen Anbieter weitergeleitet und erteilen dort die Berechtigung. RechnoFleet erhält ein Zugriffstoken, nicht Ihr Passwort.

11d.2 Verarbeitete Plattform- und Flottendaten

Je nach angebundenem System, freigeschalteter Schnittstelle und Ihrer Autorisierung können insbesondere folgende Daten verarbeitet werden:

• Fahrtdaten, insbesondere Fahrt-ID, Status, Zeitpunkte, Abhol- und Zielinformationen, Dauer und Distanz
• Fahrer- und Fahrzeugdaten, insbesondere Fahrer-ID, Name, Fahrzeugkennung und Kennzeichen, soweit vom jeweiligen System bereitgestellt
• Umsatz-, Auszahlungs- und Zahlungsdaten, insbesondere Fahrpreis, Provisionen, Gebühren, Bar- und Kartenzahlungen sowie Auszahlungsstatus
• Organisations- und Flotteninformationen, soweit für die Zuordnung und Abrechnung erforderlich
• Taxameter-, Kassenbuch-, Arbeitszeit-, Abrechnungs- und Exportdaten, soweit vom Kunden bereitgestellt oder angebunden
• Webhook-Ereignisse, insbesondere Statusänderungen, neue Fahrten oder aktualisierte Zahlungsinformationen

11d.3 Zwecke der Verarbeitung

• Automatischer Import und Abgleich von Plattformfahrten und Auszahlungen
• Erstellung von Monatsübersichten, Fahrerabrechnungen und steuerberaterfähigen Exporten
• Abgleich von Plattformumsätzen, Kassenbuch, Bankzahlungen und Belegen
• Erkennung von Differenzen, fehlenden Zahlungen, Stornos und unvollständigen Datensätzen
• Dokumentation von Fahrten, Auftragseingängen und Compliance-Hinweisen, soweit diese Funktionen aktiviert sind

11d.4 Webhooks und Signaturprüfung

Angebundene Plattformen und Systeme können RechnoFleet über Webhooks über neue oder geänderte Ereignisse informieren. Eingehende Webhooks werden, soweit vom Anbieter unterstützt, anhand einer Signatur oder vergleichbarer Authentifizierungsmechanismen geprüft. Signaturschlüssel werden ausschließlich zur Echtheitsprüfung verwendet und nicht an Dritte weitergegeben.

11d.5 Widerruf und Trennung

Sie können Plattform- und Systemverbindungen jederzeit in RechnoFleet trennen oder die Berechtigung beim jeweiligen Anbieter widerrufen. Nach der Trennung ruft RechnoFleet keine neuen Daten aus dieser Verbindung mehr ab. Bereits verarbeitete Buchungs-, Abrechnungs- und Nachweisdaten bleiben bestehen, soweit gesetzliche Aufbewahrungspflichten oder berechtigte Dokumentationsinteressen bestehen.

11d.6 Rechtsgrundlagen

Die Verbindung zu Plattform- und Flottensystemen erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Die Verarbeitung der importierten Flotten-, Abrechnungs- und Buchhaltungsdaten erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie, soweit gesetzliche Aufbewahrungspflichten bestehen, auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO.

Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland.

Serverstandort: Frankfurt am Main, Deutschland.

Primärdaten (Benutzer-, Beleg- und Buchungs­daten) verbleiben in Deutschland. Die KI-Verarbeitung erfolgt in der EU (siehe Abschnitt 6). Eine Übertragung in Drittländer erfolgt nur in klar begrenzten Ausnahme­fällen: im Fallback-Pfad der KI-Verarbeitung, bei OAuth2-Authentifizierungen mit Drittanbietern (siehe Abschnitt 5), bei Plattform- und Flottenintegrationen (siehe Abschnitt 11d) sowie ggf. im Rahmen der Zahlungs­abwicklung (siehe Abschnitt 11c). Alle genannten Drittland­transfers basieren auf geeigneten Garantien, insbesondere EU-Standardvertrags­klauseln (SCC), soweit erforderlich.

Hetzner ist ISO 27001 zertifiziert. Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist mit Hetzner abgeschlossen.

Zur USt-ID-Validierung nutzt Rechno den gesetzlich vorgesehenen VIES-Dienst der Europäischen Kommission (siehe Abschnitt 9.1). Weitere Anbieter werden vor Nutzung hier ergänzt.

Diese Website verwendet ausschließlich technisch notwendige Cookies (Session, CSRF-Schutz). Wir setzen keine Analyse-, Tracking- oder Werbe-Cookies ein. Ein Cookie-Banner ist daher nicht erforderlich.

Konkret nicht eingesetzt:

• Analyse- oder Tracking-Cookies
• Werbe-Cookies
• Social-Media-Plugins
• Google Analytics oder vergleichbare Dienste

Die Freistellung vom Consent-Banner ergibt sich aus § 25 Abs. 2 TDDDG (unbedingt erforderliche Cookies).

Wir setzen folgende technische und organisatorische Maßnahmen ein:

• Verschlüsselte Übertragung: TLS 1.2+ für alle Verbindungen.
• Passwort-Hashing: bcrypt mit Cost-Faktor 12.
• IMAP-Passwörter: AES-256-verschlüsselt (Fernet).
• Datenbank-Isolation: Row-Level-Security (RLS) — jeder Mandant sieht ausschließlich eigene Daten. Strikte Tenant-Isolation auf Datenbankebene.
• Backups: Tägliche verschlüsselte Backups, Serverstandort Deutschland.
• Zugriffskontrolle: Rollenbasiert (Mandant, Steuerberater, Administrator).

Nach Vertragsende werden alle personenbezogenen Daten innerhalb von 30 Tagen gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Buchungsbelege und Buchungsdaten werden nach Ablauf der 10-Jahres-Frist automatisch gelöscht.

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO) — Sie können Auskunft über Ihre bei uns gespeicherten Daten verlangen.
• Berichtigung (Art. 16 DSGVO) — Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO) — Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) — Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO) — Sie können die Herausgabe Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.
• Widerspruch (Art. 21 DSGVO) — Sie können der Verarbeitung Ihrer Daten auf Basis von berechtigtem Interesse widersprechen.
• Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@rechno.io

Wir werden Ihre Anfrage innerhalb von 30 Tagen beantworten.

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Zuständige Aufsichtsbehörde:

Wir behalten uns vor, diese Datenschutzerklärung zu aktualisieren, um sie an eine geänderte Rechtslage oder bei Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets unter rechno.io/datenschutz und fleet.rechno.io/datenschutz abrufbar.

Stand: Mai 2026