Anmelden Registrieren

Cookies verwalten

Wir verwenden Cookies, um die Seitennavigation zu verbessern, die Nutzung zu analysieren und unsere Marketingaktivitäten zu unterstützen. Sie können diese Cookies akzeptieren oder ablehnen.

Datenschutz

Datenschutzerklärung

Zuletzt aktualisiert: 2025-10-15 • Verantwortlicher: ex-nihilo GmbH

Diese Hinweise ergänzen die Nutzungsbedingungen, den AVV sowie die AI-Transparenzerklärung.

Auf einen Blick

  • Verantwortlicher: ex-nihilo GmbH, Wien; Support unter info@ex-nihilo.ai.
  • Daten: Benutzerkonto, Belege inkl. möglicher personenbezogener Angaben, Zahlungs- und Betriebsprotokolle.
  • Rechtsgrundlagen: Art. 6 Abs. 1 lit. b, lit. f sowie – falls erteilt – lit. a DSGVO.
  • Speicherfristen: Benutzerkonto bis zur Kündigung, Belege nach Tarif (bis 10 Jahre), Logs max. 90 Tage, Backups max. 30 Tage.
  • Verarbeitung in der EU; Drittlandübermittlungen nur mit geeigneten Garantien (SCC).

1. Verantwortlicher, Datenschutzkontakt

2. Zwecke, Datenkategorien, Rechtsgrundlagen

2.1 Bereitstellung von Konto und App

  • Daten: Name, E-Mail, Sprache, Login-Events, Sitzungs-IDs, Sicherheitstokens.
  • Zweck: Registrierung, Authentifizierung, Sitzungsverwaltung, Sicherheitsfunktionen (CSRF, Rate Limiting).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag) und lit. f DSGVO (sicherer Betrieb).

2.2 Belegverarbeitung (OCR + KI)

  • Daten: hochgeladene Dateien (Bild, PDF), extrahierte Metadaten (Datum, Betrag, MwSt., Positionen, Lieferant), Prüfergebnisse, Duplikat-Hashes.
  • Zweck: Automatisiertes Auslesen, menschliche Nachbearbeitung, Archivierung, Export.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Optional lit. a DSGVO, falls Nutzer KI-Funktionen testweise aktivieren.

2.3 Abrechnung und Support

  • Daten: Rechnungsinformationen, Stripe-Token, Supporttickets, Abo-Status.
  • Zweck: Zahlungsabwicklung, Rechnungserstellung, Kundenservice.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO (gesetzliche Pflichten), lit. f DSGVO (Supportqualität).

2.4 Betrieb, Sicherheit, Observability

  • Daten: Pseudonymisierte Logs, Metriken, Trace-IDs, Fehlermeldungen.
  • Zweck: Monitoring, Incident Response, Missbrauchserkennung.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen, sicheren Betrieb).

3. KI-Transparenz

Wir setzen OCR und LLM-basierte Extraktion in EU-Rechenzentren ein. Es erfolgen keine rein automatisierten Entscheidungen mit Rechtswirkung. Ergebnisse sind Vorschläge, die Sie bearbeiten können. Trainingsdaten: Wir trainieren keine globalen Modelle mit Kundendaten; bei Drittanbietern wählen wir „no training"-Profile. Details siehe AI-Transparenzerklärung.

4. Cookies

4.1 Arten von Cookies

  • Essentielle Cookies: Technisch notwendig für den Betrieb der Website (z. B. Session-Management, CSRF-Schutz).
  • Analyse-Cookies: Google Analytics zur Verbesserung der Website (nur mit Ihrer Zustimmung).
  • Marketing-Cookies: Zur Optimierung unserer Marketingaktivitäten (nur mit Ihrer Zustimmung).

4.2 Cookie-Einwilligung

Beim ersten Besuch der Website werden Sie um Ihre Zustimmung zu nicht-essentiellen Cookies gebeten. Sie können diese jederzeit über das Cookie-Banner verwalten. Ihre Wahl wird für 365 Tage gespeichert.

4.3 Cookie-Verwaltung

Sie können Cookies in Ihrem Browser deaktivieren oder löschen. Bei Ablehnung werden Analyse- und Marketing-Cookies nicht gesetzt. Essentielle Cookies bleiben aktiv, da sie für die Funktionalität erforderlich sind.

5. Empfänger und Speicherorte

  • Hosting/Storage: Contabo, Region EU (eu-central-1), verschlüsselt in Transit/at Rest.
  • Zahlungsdienstleister: Stripe Payments Europe, Irland.
  • Telemetry: Self-hosted SigNoz, Deutschland.
  • KI-Verarbeitung: Google Cloud EU-Regionen (Vertex AI / Document AI), betrieben mit EU Residency.
  • Weitere Subprozessoren: siehe Subprozessorenregister.

6. Internationale Datenübermittlungen

Grundlage ist die Verarbeitung innerhalb des EU/EWR. Sollte eine Drittlandübermittlung erforderlich sein, schließen wir Standardvertragsklauseln (SCC) und treffen ergänzende Schutzmaßnahmen. Sie werden vorab informiert und können widersprechen.

7. Speicherdauer

  • Konto- und Vertragspartnerdaten: bis zur Kündigung + gesetzliche Aufbewahrungspflichten (z. B. 7 Jahre nach BAO).
  • Belegdaten: gemäß Tarif/Einstellung (bis 10 Jahre), danach Löschung oder Export, siehe AVV.
  • Logs/Telemetry: max. 90 Tage; Aggregationen länger ohne Personenbezug.
  • Backups: Rollierend max. 30 Tage.

8. Rechte der betroffenen Personen

Sie haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–22 DSGVO). Einwilligungen können jederzeit widerrufen werden. Anfragen richten Sie an info@ex-nihilo.ai. Wir unterstützen Kunden gemäß AVV bei der Erfüllung dieser Rechte.

9. Sicherheit

Wir betreiben Zedl mit technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO: Ende-zu-Ende-Verschlüsselung (TLS), AES-256-at-Rest, rollenbasierter Zugriff, Secrets-Management, Vier-Augen-Prinzip für Produktionszugriffe, Protokollierung, regelmäßige Backups/Restore-Tests und Notfallpläne. Details siehe Sicherheitsmaßnahmen.

10. Minderjährige

Zedl richtet sich nicht an Personen unter 16 Jahren. Sollte uns eine Nutzung bekannt werden, löschen wir das Konto und informieren Sorgeberechtigte, soweit möglich.

11. Beschwerden und Aufsicht

Sie können sich bei der österreichischen Datenschutzbehörde (Barichgasse 40-42, 1030 Wien, www.dsb.gv.at) beschweren. Sie haben außerdem das Recht auf gerichtlichen Rechtsbehelf.

12. Änderungen

Wir passen diese Erklärung an, wenn rechtliche, technische oder organisatorische Änderungen dies erfordern. Die aktuelle Fassung ist stets in der App abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer vorab.