Datenschutzerklärung

Stand: 20.04.2026 · Version 1.0 (Beta)

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Felix Jones
Scherrerstr. 4a
82296 Schöngeising
Deutschland
E-Mail: kontakt@ledgio.de

2. Allgemeine Hinweise

Ledgio ist eine Buchhaltungs-Software für Selbstständige und kleine Unternehmen. Wir verarbeiten personenbezogene Daten nur im Rahmen der gesetzlichen Vorgaben der DSGVO und des BDSG.

Ledgio befindet sich aktuell in einer geschlossenen Beta-Phase. Die Nutzung erfolgt auf eigene Verantwortung. Produktionskritische Buchhaltungsdaten sollten während der Beta zusätzlich extern gesichert werden.

3. Erhobene Daten und Zwecke

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Kontodaten: E-Mail-Adresse, Passwort (gehasht, niemals im Klartext gespeichert), Firmendaten, Benutzereinstellungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Buchhaltungsdaten: Buchungen, Belege, Geschäftspartner, Konten, Rechnungen, Zahlungsinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Aufbewahrungspflichten nach AO § 147, HGB § 257)
Technische Daten:IP-Adresse (temporär, zur Missbrauchsabwehr und Rate-Limiting), User-Agent, Gerätekennungen für vertrauenswürdige Geräte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)
Audit-Logs: Zeitstempel, Nutzer-ID, Aktionstyp bei sensiblen Operationen (z.B. Daten-Reset, Support-Zugriffe).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweispflichten)

4. Keine Tracking-Cookies

Ledgio verwendet keine Tracking-Cookies, keine Werbe-Cookies und keine Analyse-Dienste wie Google Analytics oder Matomo. Es werden ausschließlich technisch notwendige Cookies gesetzt (Authentifizierung, Spracheinstellung, Theme). Diese unterliegen nicht der Einwilligungspflicht nach § 25 TDDDG.

5. Auftragsverarbeiter (Art. 28 DSGVO)

Zur Bereitstellung von Ledgio nutzen wir folgende Dienstleister. Mit allen besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO:

Supabase, Inc. (USA)
Datenbank, Authentifizierung, Dateispeicherung. Hosting-Region: Frankfurt am Main (eu-central-1).
Verarbeitete Daten: alle Benutzer- und Buchhaltungsdaten. Drittlandtransfer abgesichert durch Standardvertragsklauseln (SCCs) im DPA.
Geplanter Wechsel vor Public Launch auf selbst gehostete Supabase-Instanz auf EU-Servern.
Vercel Inc. (USA)
Hosting der Webanwendung. Hosting-Region: Frankfurt am Main (fra1).
Verarbeitete Daten: HTTP-Requests, technische Logs. Drittlandtransfer abgesichert durch SCCs.
Geplanter Wechsel vor Public Launch auf Coolify Self-Hosting auf EU-Servern.
Postmark (ActiveCampaign, USA)
Verarbeitung eingehender Beleg-Mails (optional, nur bei Nutzung der E-Mail-Inbox).
Verarbeitete Daten: Absender, Betreff, Anhänge der eingehenden E-Mails. Drittlandtransfer abgesichert durch SCCs.
Geplanter Wechsel vor Public Launch auf selbst gehosteten Mailserver (Mailcow) auf EU-Servern.
Mistral AI S.A.S. (Frankreich)
KI-basierter Assistent für technische und buchhaltungsbezogene Fragen(optional, nur bei aktiver Nutzung des Chat-Features).
Verarbeitete Daten: Ihre Nachrichten an den Assistenten. Server-Standort: EU. Kein Drittlandtransfer.

Eine aktuelle Liste aller Auftragsverarbeiter mit Vertragsstatus halten wir auf Anfrage bereit.

6. OCR / Belegerkennung

Wenn Sie einen Beleg hochladen, kann eine automatische Texterkennung (OCR) durchgeführt werden. Die Verarbeitung erfolgt aktuell über den OCR-Anbieter, der in den Einstellungen Ihrer Firma konfiguriert ist. Sie können die OCR-Funktion pro Firma deaktivieren.

Zielzustand: OCR wird vor dem öffentlichen Produktivstart auf einen selbst gehosteten Dienst (Tesseract + lokales LLM) auf EU-Servern umgestellt. Kein externer KI-Anbieter wird dann mehr Belegdaten sehen.

7. Speicherdauer

Buchhaltungsdaten: Buchungen, Belege, Rechnungen und zugehörige Dokumente werden gemäß den gesetzlichen Aufbewahrungspflichten 10 Jahre aufbewahrt (AO § 147, HGB § 257).

Kontodaten: Bis zur Kontolöschung durch den Nutzer oder nach 12 Monaten Inaktivität (nach vorheriger Ankündigung).

Technische Logs: IP-Adressen in Rate-Limit-Buffern: flüchtig (max. 1 Stunde). Zugriffslogs von Supabase/Vercel: gemäß deren Retention-Policy.

Audit-Logs: Protokolle von Daten-Resets und Support-Zugriffen: 10 Jahre (Nachweispflicht).

8. Ihre Rechte (Art. 15–22 DSGVO)

  • Auskunft über gespeicherte personenbezogene Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — ausgenommen Daten mit gesetzlicher Aufbewahrungspflicht
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in maschinenlesbarem Format (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an kontakt@ledgio.de. Ein JSON-Export Ihrer Daten steht im Bereich „Mein Konto" direkt zur Verfügung.

9. Beschwerderecht

Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Zuständige Behörde für Ledgio ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
https://www.lda.bayern.de

10. Sicherheit

Ledgio trifft technische und organisatorische Maßnahmen zum Schutz Ihrer Daten (Art. 32 DSGVO): TLS-Verschlüsselung aller Verbindungen, gehashte Passwörter, Row-Level-Security auf Datenbankebene, Auftragsverarbeitungsverträge mit allen Dienstleistern, Multi-Faktor-Authentifizierung über vertrauenswürdige Geräte, Rate-Limiting gegen Brute-Force-Angriffe.

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, insbesondere bei Änderungen der Rechtslage, der Dienstleister oder der technischen Gegebenheiten. Wesentliche Änderungen werden Ihnen per E-Mail mitgeteilt.

← Zur Anmeldung·Impressum