Datenschutzerklärung
Informationen gemäß Art. 13 und 14 DSGVO
Stand: April 2026
Hinweis: Geschlossener Testbetrieb
Belegra befindet sich derzeit in einem geschlossenen Testbetrieb (Closed Beta). Der Zugang ist ausschließlich per Einladungscode möglich. Es handelt sich nicht um ein öffentlich verfügbares Produkt. Die nachfolgend beschriebenen Datenverarbeitungen gelten für den aktuellen Entwicklungsstand und können sich bis zum öffentlichen Start ändern.
1. Verantwortlicher
Stefan Thiel
Tarforster Str. 17
54296 Trier
Deutschland
Telefon: 0170 9070384
E-Mail: stefanthiel1986@gmail.com
Ein Datenschutzbeauftragter ist nicht bestellt, da die Voraussetzungen nach Art. 37 DSGVO i.V.m. § 38 BDSG nicht vorliegen.
2. Überblick der Verarbeitungen
Belegra ist ein Dienst zur digitalen Belegverarbeitung. Nutzer können Belege (Rechnungen, Quittungen, Bescheide) hochladen, die mittels künstlicher Intelligenz automatisch ausgelesen und für die Buchhaltung aufbereitet werden. Dabei verarbeiten wir personenbezogene Daten ausschließlich im Rahmen der nachfolgend beschriebenen Zwecke.
3. Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten auf Grundlage folgender Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO — Erfüllung eines Vertrags bzw. vorvertraglicher Maßnahmen (Bereitstellung des Dienstes, Belegverarbeitung)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen (technischer Betrieb, Sicherheit, Fehlerbehebung)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (sofern erteilt, z.B. bei freiwilliger Registrierung zum Testbetrieb)
4. Welche Daten wir verarbeiten
4.1 Registrierung und Anmeldung
Bei der Registrierung erheben wir Ihre E-Mail-Adresse und ein Passwort (verschlüsselt gespeichert). Die Authentifizierung erfolgt über Supabase Auth. Alternativ bieten wir die Anmeldung per Magic Link (passwortloser E-Mail-Link) an.
4.2 Hochgeladene Belege
Die von Ihnen hochgeladenen Dokumente (PDF, Fotos) können personenbezogene Daten Dritter enthalten, insbesondere Namen, Anschriften, IBANs und Steuernummern von Rechnungsstellern. Diese Daten werden ausschließlich zum Zweck der Belegverarbeitung und -auswertung verarbeitet.
4.3 Technische Zugriffsdaten
Beim Besuch der Website werden automatisch technische Daten übermittelt (IP-Adresse, Browsertyp, Zeitpunkt des Zugriffs). Diese werden durch den Hosting-Anbieter in Server-Logfiles gespeichert.
5. Eingesetzte Dienstleister und Auftragsverarbeiter
Für den Betrieb von Belegra setzen wir folgende Drittanbieter ein:
| Dienst | Anbieter | Zweck | Serverstandort |
|---|---|---|---|
| Hosting | Vercel Inc., San Francisco, USA | Bereitstellung der Website und API-Endpunkte | Edge-Netzwerk (Frankfurt bevorzugt) |
| Datenbank | Supabase Inc., San Francisco, USA | Speicherung von Nutzerdaten, Belegen und Extraktionsergebnissen | Frankfurt am Main, Deutschland (EU) |
| Authentifizierung | Supabase Inc. (Supabase Auth) | Nutzeranmeldung, Session-Verwaltung | Frankfurt am Main, Deutschland (EU) |
| KI-Extraktion | Google LLC (Gemini API) | Primäre Belegerkennung und Datenextraktion | USA (Google Cloud) |
| KI-Extraktion | OpenAI Inc. (GPT-4o API) | Zweitmeinung bei Vision-Belegen im Rahmen der Vertrauenskaskade | USA (Azure) |
| KI-Extraktion | Anthropic Inc. (Claude API) | Qualitätssicherung und finale Validierung bei komplexen Belegen | USA (AWS/GCP) |
| Domain | Hostinger International Ltd., Zypern | Domain-Registrierung (belegra.de) | EU |
Hinweis zu KI-Verarbeitungen: Hochgeladene Belege werden an die genannten KI-Anbieter zur Texterkennung und Datenextraktion übermittelt. Die Übermittlung erfolgt verschlüsselt (TLS). Die KI-Anbieter verarbeiten die Daten ausschließlich zur Erbringung des Dienstes und verwenden sie nach eigenen Angaben nicht zum Training ihrer Modelle (API-Nutzungsbedingungen). Eine dauerhafte Speicherung der Beleginhalte bei den KI-Anbietern findet nach deren Angaben nicht statt.
6. Datenübermittlung in Drittländer
Einige der eingesetzten Dienstleister haben ihren Sitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission vom 10. Juli 2023 gemäß Art. 45 DSGVO (EU-US Data Privacy Framework). Die genannten US-Anbieter (Vercel, Supabase, Google, OpenAI, Anthropic) sind unter dem Data Privacy Framework zertifiziert.
Zusätzlich setzen wir auf vertragliche Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) als ergänzende Schutzmaßnahme, soweit von den Anbietern angeboten.
Geplante Maßnahme: Vor dem öffentlichen Produktstart ist die Migration der KI-Verarbeitung auf EU-gehostete Endpunkte geplant (Google Vertex AI Frankfurt, Azure OpenAI Germany West Central, AWS Bedrock eu-central-1).
7. Cookies und lokale Speicherung
Belegra verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung und Session-Verwaltung (Supabase Auth Cookies). Es werden keine Tracking-Cookies, Analyse-Tools oder Werbe-Cookies eingesetzt.
Da ausschließlich technisch notwendige Cookies verwendet werden, ist keine gesonderte Einwilligung nach § 25 TDDDG (ehemals TTDSG) erforderlich.
8. Speicherdauer
Ihre Daten werden nur so lange gespeichert, wie es für die jeweiligen Verarbeitungszwecke erforderlich ist:
- Kontodaten: Bis zur Löschung Ihres Kontos
- Hochgeladene Belege: Bis zur Löschung durch Sie oder Löschung des Kontos
- Extraktionsergebnisse: Solange der zugehörige Beleg gespeichert ist
- Server-Logfiles: Maximal 30 Tage (durch Hosting-Anbieter)
Im Testbetrieb können Testdaten nach Beendigung des Tests vollständig gelöscht werden. Kontaktieren Sie uns dazu unter der oben genannten E-Mail-Adresse.
9. Ihre Rechte
Als betroffene Person haben Sie folgende Rechte:
- Auskunft (Art. 15 DSGVO) — Welche Daten über Sie gespeichert sind
- Berichtigung (Art. 16 DSGVO) — Korrektur unrichtiger Daten
- Löschung (Art. 17 DSGVO) — Löschung Ihrer Daten unter den gesetzlichen Voraussetzungen
- Einschränkung (Art. 18 DSGVO) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20 DSGVO) — Erhalt Ihrer Daten in einem gängigen Format
- Widerspruch (Art. 21 DSGVO) — Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) — Jederzeit mit Wirkung für die Zukunft
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: stefanthiel1986@gmail.com
10. Beschwerderecht bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Postfach 30 40
55020 Mainz
Telefon: 06131 208-2449
E-Mail: poststelle@datenschutz.rlp.de
Web: www.datenschutz.rlp.de
11. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die aktuelle Fassung finden Sie stets unter dieser URL. Bei wesentlichen Änderungen werden registrierte Nutzer per E-Mail informiert.