Datenschutzerklärung
Stand: Mai 2026
1. Verantwortlicher
Mahmoud Ahmadi
Braunschweig, Deutschland
E-Mail: datenschutz@sprechnung.de
2. Welche Daten wir erheben
- Kontodaten: E-Mail-Adresse und Passwort (verschlüsselt) bei Registrierung.
- Firmendaten: Name, Anschrift, Steuernummer, IBAN, BIC, Telefon und E-Mail deines Unternehmens.
- Rechnungs- und Angebotsdaten: Kundendaten, Positionen, Beträge und Zeitstempel aller erstellten Dokumente.
- Sprachaufnahmen: Audioaufnahmen, die du zur automatischen Transkription einreichst. Diese werden an OpenAI übermittelt und dort nicht dauerhaft gespeichert.
- Quittungsfotos: Fotos von Quittungen, die du zur automatischen Erkennung der Positionen einreichst. Diese werden an OpenAI übermittelt und dort nicht dauerhaft gespeichert.
- Kundenunterschriften: Digitale Unterschriften (Regierapport, Abnahmeprotokoll) werden als Bild in deinem Sprechnung-Konto gespeichert und nicht an Dritte weitergegeben.
- Zahlungsdaten: Zahlungen werden vollständig über Stripe abgewickelt. Wir speichern keine Kreditkartendaten. Stripe erhält nur die zur Zahlungsabwicklung notwendigen Daten.
- Nutzungsdaten: IP-Adresse, Browser-Typ und Zeitstempel der Zugriffe (Serverprotokolle bei Vercel).
3. Zweck und Rechtsgrundlagen
- Bereitstellung und Betrieb der Software (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung)
- Zahlungsabwicklung und Rechnungsstellung (Art. 6 Abs. 1 lit. b DSGVO)
- Einhaltung gesetzlicher Aufbewahrungspflichten, z. B. GoBD (Art. 6 Abs. 1 lit. c DSGVO)
- Sicherheit und Missbrauchsprävention (Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse)
4. Drittanbieter und Datenübermittlung
Supabase (Datenbank & Authentifizierung)
Anbieter: Supabase Inc., USA. Daten werden auf EU-Servern gespeichert. Datenverarbeitungsvertrag (DPA) liegt vor. Datenschutz: supabase.com/privacy
Anbieter: Supabase Inc., USA. Daten werden auf EU-Servern gespeichert. Datenverarbeitungsvertrag (DPA) liegt vor. Datenschutz: supabase.com/privacy
Stripe (Zahlungsabwicklung)
Anbieter: Stripe, Inc., USA / Stripe Payments Europe, Ltd., Irland. Verarbeitung von Zahlungsdaten gemäß PCI-DSS. Datenschutz: stripe.com/de/privacy
Anbieter: Stripe, Inc., USA / Stripe Payments Europe, Ltd., Irland. Verarbeitung von Zahlungsdaten gemäß PCI-DSS. Datenschutz: stripe.com/de/privacy
OpenAI (Transkription & Quittungserkennung)
Anbieter: OpenAI, LLC, USA. Sprachaufnahmen (Transkription) und Quittungsfotos (Texterkennung) werden an OpenAI übermittelt. API-Daten werden von OpenAI nicht für Trainingszwecke gespeichert. Datenschutz: openai.com/privacy
Anbieter: OpenAI, LLC, USA. Sprachaufnahmen (Transkription) und Quittungsfotos (Texterkennung) werden an OpenAI übermittelt. API-Daten werden von OpenAI nicht für Trainingszwecke gespeichert. Datenschutz: openai.com/privacy
Vercel (Hosting)
Anbieter: Vercel Inc., USA. Hosting der Webanwendung auf EU-nahen Edge-Servern. Datenschutz: vercel.com/legal/privacy-policy
Anbieter: Vercel Inc., USA. Hosting der Webanwendung auf EU-nahen Edge-Servern. Datenschutz: vercel.com/legal/privacy-policy
PostHog (Nutzungsanalyse)
Anbieter: PostHog, Inc., USA (Datenverarbeitung in den USA; Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO). Verarbeitung anonymisierter Nutzungsdaten (Seitenaufrufe, Klickpfade, anonyme Nutzer-ID) zur Produktverbesserung. IP-Adressen werden nicht gespeichert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 TTDSG). Daten werden nur erhoben, wenn du im Cookie-Banner zugestimmt hast. Du kannst deine Einwilligung jederzeit widerrufen, indem du den Browser-Speicher (localStorage) loschst. DPA: posthog.com/dpa
Anbieter: PostHog, Inc., USA (Datenverarbeitung in den USA; Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c DSGVO). Verarbeitung anonymisierter Nutzungsdaten (Seitenaufrufe, Klickpfade, anonyme Nutzer-ID) zur Produktverbesserung. IP-Adressen werden nicht gespeichert. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 TTDSG). Daten werden nur erhoben, wenn du im Cookie-Banner zugestimmt hast. Du kannst deine Einwilligung jederzeit widerrufen, indem du den Browser-Speicher (localStorage) loschst. DPA: posthog.com/dpa
Resend (E-Mail-Versand)
Anbieter: Resend, Inc., USA. Wird verwendet, um Zahlungserinnerungen (Mahnungen) an deine Kunden zu versenden, wenn du dies manuell auslöst. Dabei werden Name, E-Mail-Adresse des Kunden sowie Rechnungsdaten (Betrag, Fälligkeitsdatum, Rechnungsnummer) übermittelt. Es erfolgt kein automatischer Versand ohne deine Aktion. Datenschutz: resend.com/legal/privacy-policy
Anbieter: Resend, Inc., USA. Wird verwendet, um Zahlungserinnerungen (Mahnungen) an deine Kunden zu versenden, wenn du dies manuell auslöst. Dabei werden Name, E-Mail-Adresse des Kunden sowie Rechnungsdaten (Betrag, Fälligkeitsdatum, Rechnungsnummer) übermittelt. Es erfolgt kein automatischer Versand ohne deine Aktion. Datenschutz: resend.com/legal/privacy-policy
4a. KI-Transparenzhinweis (EU AI Act)
Sprechnung setzt KI-Systeme im Sinne des EU AI Acts (Verordnung EU 2024/1689) für folgende Funktionen ein:
- Spracheingabe / Transkription: Sprachaufnahmen werden mit OpenAI Whisper automatisch in Text umgewandelt. Das Ergebnis wird dir zur Prüfung vorgelegt, bevor eine Rechnung gespeichert wird.
- Rechnungsextraktion: Der transkribierte Text wird von GPT-4o analysiert und in strukturierte Rechnungspositionen umgewandelt. Alle Felder sind bearbeitbar – du entscheidest, was gespeichert wird.
- Quittungserkennung: Fotos von Quittungen werden mit GPT-4o Vision ausgelesen. Erkannte Positionen können vor dem Speichern bearbeitet oder abgelehnt werden.
- Aufmaßberechnung: Gesprochene Maße werden per GPT-4o in Flächenangaben umgerechnet. Das Ergebnis muss von dir bestätigt werden.
Diese Systeme fallen unter die Kategorie „begrenztes Risiko" gemäß EU AI Act. Es werden keine vollautomatischen Entscheidungen getroffen, die rechtliche oder erhebliche Auswirkungen auf Personen haben. Alle KI-Ausgaben sind vor dem Speichern manuell prüfbar.
5. Speicherdauer
- Kontodaten: bis zur Löschung des Kontos, anschließend sofortige Löschung.
- Rechnungs- und Geschäftsdaten: 10 Jahre gemäß § 147 AO (gesetzliche Aufbewahrungspflicht), danach Löschung.
- Sprachaufnahmen: werden nach der Transkription nicht dauerhaft gespeichert.
- Serverprotokolle: maximal 30 Tage, dann automatisch gelöscht.
6. Deine Rechte (Art. 15–21 DSGVO)
- Auskunft (Art. 15): Du hast das Recht zu erfahren, welche Daten wir über dich verarbeiten.
- Berichtigung (Art. 16): Du kannst fehlerhafte Daten jederzeit korrigieren.
- Löschung (Art. 17): Du kannst die Löschung deiner Daten verlangen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung (Art. 18): Du kannst die Verarbeitung deiner Daten einschränken lassen.
- Datenübertragbarkeit (Art. 20): Du hast Recht auf Herausgabe deiner Daten in maschinenlesbarem Format.
- Widerspruch (Art. 21): Du kannst der Verarbeitung auf Basis berechtigter Interessen widersprechen.
- Beschwerde: Du hast das Recht, dich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren (z. B. Landesbeauftragte für Datenschutz Niedersachsen).
Zur Ausübung deiner Rechte oder zur Kontoanfrage und Datenlöschung wende dich an:
datenschutz@sprechnung.de
7. Datenlöschung auf Anfrage
Du kannst die vollständige Löschung deines Kontos und aller damit verbundenen Daten jederzeit per E-Mail an datenschutz@sprechnung.de beantragen. Wir bearbeiten deinen Antrag innerhalb von 30 Tagen. Gesetzlich aufbewahrungspflichtige Rechnungsdaten (§ 147 AO) werden nach Ablauf der gesetzlichen Frist gelöscht.
8. Cookies und lokale Speicherung
Technisch notwendige Cookies (Session-Token von Supabase) werden gesetzt, um deine Sitzung aufrechtzuerhalten. Diese bedurfen keiner Einwilligung (§ 25 Abs. 2 TTDSG). Zusatzlich verwenden wir Analyse-Cookies von PostHog nur, wenn du uber den Cookie-Banner eingewilligt hast. Werbe-Cookies werden nicht gesetzt.