Datenschutzerklärung

Stand: 15.06.2026 · Version 1.4 (Beta)

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO (Art. 4 Nr. 7) und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Felix Jones
Scherrerstr. 4a
82296 Schöngeising
Deutschland
E-Mail: kontakt@ledgio.de

2. Allgemeine Hinweise

Ledgio ist eine Buchhaltungs-Software für Selbstständige und kleine Unternehmen. Wir verarbeiten personenbezogene Daten nur im Rahmen der gesetzlichen Vorgaben der DSGVO und des BDSG.

Ledgio befindet sich aktuell in einer geschlossenen Beta-Phase. Die Nutzung erfolgt auf eigene Verantwortung. Produktionskritische Buchhaltungsdaten sollten während der Beta zusätzlich extern gesichert werden.

3. Erhobene Daten und Zwecke

Wir verarbeiten folgende Kategorien personenbezogener Daten:

Kontodaten: E-Mail-Adresse, Passwort (gehasht, niemals im Klartext gespeichert), Firmendaten, Benutzereinstellungen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Buchhaltungsdaten: Buchungen, Belege, Geschäftspartner, Konten, Rechnungen, Zahlungsinformationen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung — Aufbewahrungspflichten nach AO § 147, HGB § 257)
Technische Daten:IP-Adresse (temporär, zur Missbrauchsabwehr und Rate-Limiting), User-Agent, Gerätekennungen für vertrauenswürdige Geräte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit)
Audit-Logs: Zeitstempel, Nutzer-ID, Aktionstyp bei sensiblen Operationen (z.B. Daten-Reset, Support-Zugriffe).
Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (Nachweispflichten)

4. Keine Tracking-Cookies

Ledgio verwendet keine Tracking-Cookies, keine Werbe-Cookies und keine Analyse-Dienste wie Google Analytics oder Matomo. Es werden ausschließlich technisch notwendige Cookies gesetzt (Authentifizierung, Spracheinstellung, Theme). Diese unterliegen nicht der Einwilligungspflicht nach § 25 TDDDG.

5. Auftragsverarbeiter (Art. 28 DSGVO)

Zur Bereitstellung von Ledgio nutzen wir folgende Dienstleister. Mit allen besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO:

Supabase, Inc. (USA)
Datenbank, Authentifizierung, Dateispeicherung. Hosting-Region: Frankfurt am Main (eu-central-1).
Verarbeitete Daten: alle Benutzer- und Buchhaltungsdaten. Drittlandtransfer abgesichert durch Standardvertragsklauseln (SCCs) im DPA.
Geplanter Wechsel vor Public Launch auf selbst gehostete Supabase-Instanz auf EU-Servern.
Vercel Inc. (USA)
Hosting der Webanwendung. Hosting-Region: Frankfurt am Main (fra1).
Verarbeitete Daten: HTTP-Requests, technische Logs. Drittlandtransfer abgesichert durch SCCs.
Geplanter Wechsel vor Public Launch auf Coolify Self-Hosting auf EU-Servern.
Umami (selbst gehostet, Deutschland)
Cookie-freie, Open-Source-basierte Reichweitenmessung der Marketing-Website (ledgio.de). Läuft auf unserem eigenen Hetzner-VPS in Deutschland.
Verarbeitete Daten: aufgerufene URL, Browser-Typ, Geräte-Typ, Land (aus IP). IP-Adressen werden mit täglich rotierender Salt gehasht und nicht gespeichert. Keine Cookies. Keine User-IDs. Rechtsgrundlage: Art. 6 (1) f DSGVO (berechtigtes Interesse an statistischer Reichweitenmessung ohne Personenbezug).
Auf der App-Subdomain (app.ledgio.de) läuft kein Analytics-Tracking.
Hetzner Online GmbH (Deutschland)
Standort: Falkenstein.
Verarbeitete Daten: technische Logs aus Umami-Hosting, Error-Tracking (Glitchtip), Automatisierung (n8n — leitet per E-Mail eingereichte Belege an die App weiter) und selbst gehosteter Mailserver (Mailcow) für ein- und ausgehende E-Mails (z.B. Login-Codes, Passwort-Reset, Beleg-Eingang). Vertrag: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Kein Drittlandtransfer.
Neue Medien Münnich (All-inkl.de, Deutschland)
Standort: Friedrichroda.
Verarbeitete Daten: DNS-Hosting für ledgio.de und Subdomains (DNS-Queries mit Client-IPs), Domain-Registrierungsdaten (Whois-Eintrag). Eingehende E-Mails an kontakt@ledgio.de laufen NICHT mehr über All-inkl, sondern über den selbst gehosteten Mailserver auf Hetzner (Mailcow, siehe oben). Vertrag: AVV nach Art. 28 DSGVO (Vertrag Nr. 853934). Kein Drittlandtransfer.
Mistral AI S.A.S. (Frankreich)
KI-basierter Assistent für technische und buchhaltungsbezogene Fragen sowie automatische Beleg-Erkennung (OCR).
Verarbeitete Daten: Ihre Nachrichten an den Assistenten und hochgeladene Beleg-Dokumente (PDF/JPG/PNG). Server-Standort: EU (Frankreich). Kein Drittlandtransfer.

Eine aktuelle Liste aller Auftragsverarbeiter mit Vertragsstatus halten wir auf Anfrage bereit.

6. OCR / Belegerkennung

Wenn Sie einen Beleg hochladen, wird automatisch eine Texterkennung (OCR) durchgeführt. Aktuell setzen wir dafür Mistral AI (Frankreich, EU) ein — siehe Pkt 5 für Details zur Verarbeitung. Sie können die OCR-Funktion pro Firma in den Einstellungen deaktivieren; Belege werden dann nur gespeichert, ohne automatische Inhalts-Erkennung.

Zielzustand: OCR wird vor dem öffentlichen Produktivstart auf einen selbst gehosteten Dienst (Tesseract + lokales LLM) auf EU-Servern umgestellt. Kein externer KI-Anbieter wird dann mehr Belegdaten sehen.

7. Speicherdauer

Buchhaltungsdaten: Buchungen, Belege, Rechnungen und zugehörige Dokumente werden gemäß den gesetzlichen Aufbewahrungspflichten 10 Jahre aufbewahrt (AO § 147, HGB § 257).

Kontodaten: Bis zur Kontolöschung durch den Nutzer oder nach 12 Monaten Inaktivität (nach vorheriger Ankündigung).

Beta-Anmeldungen (Warteliste): E-Mail und Angaben aus dem Beta-Anmeldeformular. Abgelehnte oder als Spam markierte Anmeldungen werden automatisch nach 90 Tagen gelöscht.

Technische Logs: IP-Adressen in Rate-Limit-Buffern: flüchtig (max. 1 Stunde). Zugriffslogs von Supabase/Vercel: gemäß deren Retention-Policy.

Audit-Logs: Protokolle von Daten-Resets und Support-Zugriffen: 10 Jahre (Nachweispflicht).

8. Ihre Rechte (Art. 15–22 DSGVO)

  • Auskunft über gespeicherte personenbezogene Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO) — ausgenommen Daten mit gesetzlicher Aufbewahrungspflicht
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in maschinenlesbarem Format (Art. 20 DSGVO)
  • Widerspruch gegen Verarbeitungen auf Basis berechtigten Interesses (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte wenden Sie sich an kontakt@ledgio.de. Ein JSON-Export Ihrer Daten steht im Bereich „Mein Konto" direkt zur Verfügung.

9. Beschwerderecht

Unbeschadet anderer verwaltungsrechtlicher oder gerichtlicher Rechtsbehelfe steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Zuständige Behörde für Ledgio ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
https://www.lda.bayern.de

10. Sicherheit

Ledgio trifft technische und organisatorische Maßnahmen zum Schutz Ihrer Daten (Art. 32 DSGVO): TLS-Verschlüsselung aller Verbindungen, gehashte Passwörter, Row-Level-Security auf Datenbankebene, Auftragsverarbeitungsverträge mit allen Dienstleistern, Multi-Faktor-Authentifizierung über vertrauenswürdige Geräte, Rate-Limiting gegen Brute-Force-Angriffe.

Transparenz-Hinweis: Daten werden bei der Übertragung durchgehend per TLS verschlüsselt. Zusätzlich sind die Daten „at rest" auf Speicherebene verschlüsselt: Die Anwendungsdatenbank und der Dateispeicher unseres Hosting-Anbieters werden auf Datenträgerebene mit AES-256 verschlüsselt; die Postfächer unseres Mailservers (für per E-Mail eingereichte Belege) sind zusätzlich auf Dateiebene verschlüsselt. Eine feldweise (spaltenbasierte) Verschlüsselung einzelner Datenbankinhalte ist bewusst nicht implementiert, da sie zentrale Funktionen wie den automatischen Bankabgleich beeinträchtigen würde; der Zugriffsschutz erfolgt hier über Row-Level-Security.

11. Änderungen dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, insbesondere bei Änderungen der Rechtslage, der Dienstleister oder der technischen Gegebenheiten. Wesentliche Änderungen werden Ihnen per E-Mail mitgeteilt.

← Zur Anmeldung·Impressum