Datenschutzerklärung

1. Verantwortlicher

2. Gegenstand dieser Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei Nutzung der Website pavavo.com sowie der Cloud-Buchhaltungssoftware Pavavo (nachfolgend "Dienst").

3. Hosting und Serverstandort

Der Dienst wird auf eigenen Servern der intercolo GmbH in Deutschland (Standort: Düsseldorf) betrieben. Es werden keine Infrastrukturdienste von Drittanbietern (AWS, Google Cloud, Microsoft Azure o. Ä.) eingesetzt.

Keine Datenübermittlung in Drittländer durch den Anbieter: Sämtliche Daten werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert. Eine Übermittlung in Länder außerhalb der EU / des EWR durch den Anbieter findet nicht statt. Soweit der Nutzer Zahlungsdienstleister (Stripe, PayPal) aktiviert, kann es zu einer Datenübermittlung in die USA kommen (siehe Abschnitt 8).

4. Art der erhobenen Daten

4.1 Registrierungsdaten

• Vor- und Nachname
• E-Mail-Adresse
• Passwort (ausschließlich als bcrypt-Hash gespeichert, Kosten-Faktor 12)

4.2 Unternehmensdaten

• Firmenname, Rechtsform, Branche
• Geschäftsadresse
• Steuernummer, USt-Identifikationsnummer
• Bankverbindungen (IBAN, BIC, Kontoinhaber)
• Gewählter Kontenrahmen (SKR03, SKR04)

4.3 Buchhaltungsdaten

• Rechnungen, Angebote, Auftragsbestätigungen, Lieferscheine, Gutschriften
• Eingangsbelege (Rechnungen, Quittungen)
• Buchungssätze und Journaleinträge
• Kontakte (Kunden, Lieferanten) inkl. Adress- und Kontaktdaten
• Artikel und Leistungen
• Banktransaktionen (importierte Kontoauszüge)
• Steuerliche Daten (USt-Voranmeldungen, DATEV-Exporte)

4.4 Technische Daten

• IP-Adresse
• Browser-Typ und -Version, Betriebssystem
• Zugriffszeitpunkte und aufgerufene Seiten (Server-Logs)
• Referrer-URL

4.5 Nutzungsdaten

• Login-Zeitpunkte und -Protokolle (IP, Erfolg/Fehlschlag)
• Audit-Trail: Aktionen innerhalb der Anwendung (wer, was, wann)

5. Zweck der Datenverarbeitung

• Bereitstellung, Betrieb und Weiterentwicklung der Cloud-Buchhaltungssoftware
• Durchführung des Vertragsverhältnisses (Kontoerstellung, Tarifverwaltung, Abrechnung)
• Authentifizierung, Zugriffskontrolle und Kontosicherheit
• GoBD-konforme Buchführung, Archivierung und Nachvollziehbarkeit
• Erfüllung gesetzlicher Aufbewahrungspflichten (§ 257 HGB, § 147 AO)
• Kommunikation (E-Mail-Benachrichtigungen, System-Meldungen, Support-Anfragen)
• Erkennung und Abwehr von Missbrauch, Betrug und technischen Störungen

6. Rechtsgrundlagen

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung zur Bereitstellung des Dienstes, Kontoverwaltung, Abrechnung.
• Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Einhaltung steuerlicher Aufbewahrungspflichten (GoBD, HGB, AO).
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Sicherheit des Dienstes, Missbrauchserkennung, technische Protokollierung.

7. Auftragsverarbeitung (AV)

Soweit der Nutzer im Rahmen der Buchhaltung personenbezogene Daten Dritter verarbeitet (z. B. Kontaktdaten von Kunden und Lieferanten), handelt der Anbieter als Auftragsverarbeiter gemäß Art. 28 DSGVO. Der Nutzer bleibt Verantwortlicher für diese Daten.

Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Abs. 3 DSGVO wird bei Registrierung automatisch geschlossen. Der AVV regelt insbesondere: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen, Weisungsgebundenheit des Auftragsverarbeiters, technische und organisatorische Maßnahmen sowie den Einsatz von Unterauftragsverarbeitern. Der AVV kann jederzeit unter datenschutz@pavavo.com angefordert werden.

8. Empfänger und Unterauftragsverarbeiter

Grundsätzlich werden Ihre Daten nicht an Dritte weitergegeben, es sei denn, dies ist zur Vertragserfüllung erforderlich oder gesetzlich vorgeschrieben.

Stripe, Inc. hat seinen Hauptsitz in den USA. Die Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO). Zusätzlich bestehen Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. PayPal (Europe) S.à r.l. verarbeitet Daten innerhalb der EU.

Beide Zahlungsdienstleister verarbeiten Zahlungsdaten nur, wenn der Nutzer diese Zahlungsmethoden aktiv im Kundenportal konfiguriert und dessen Kunden diese nutzen.

9. Speicherdauer

• Buchhaltungsdaten: 10 Jahre nach Ende des Kalenderjahres der letzten Buchung (§ 257 HGB, § 147 AO).
• Belege und Rechnungen: 10 Jahre (§ 14b UStG, § 257 HGB).
• Account-Daten: Werden nach Kontolöschung innerhalb von 30 Tagen entfernt, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• Server-Logs: Automatische Löschung nach 90 Tagen.
• Audit-Trail: Wird zusammen mit den Buchhaltungsdaten für 10 Jahre aufbewahrt (GoBD-Anforderung).

10. Ihre Rechte

Sie haben gemäß DSGVO folgende Rechte:

• Auskunft (Art. 15 DSGVO) – Welche Daten wir über Sie speichern
• Berichtigung (Art. 16 DSGVO) – Korrektur unrichtiger Daten
• Löschung (Art. 17 DSGVO) – Löschung Ihrer Daten, soweit keine Aufbewahrungspflicht besteht
• Einschränkung (Art. 18 DSGVO) – Einschränkung der Verarbeitung
• Datenportabilität (Art. 20 DSGVO) – Export Ihrer Daten in einem maschinenlesbaren Format
• Widerspruch (Art. 21 DSGVO) – Widerspruch gegen Verarbeitung auf Basis berechtigter Interessen
• Beschwerde (Art. 77 DSGVO) – Recht zur Beschwerde bei einer Datenschutz-Aufsichtsbehörde (siehe Abschnitt 15)

Zur Ausübung Ihrer Rechte wenden Sie sich an: datenschutz@pavavo.com

Datenexport in der Anwendung: Sie können Ihre Daten jederzeit selbstständig über die Export-Funktionen in Pavavo exportieren (CSV, PDF, ZIP-Belegarchiv, DATEV-Export).

11. Cookies

Pavavo verwendet ausschließlich technisch notwendige Cookies:

• Session-Cookie: Für die Authentifizierung und Session-Verwaltung (Laufzeit: bis Logout bzw. Ablauf der Session)
• CSRF-Cookie: Zum Schutz vor Cross-Site-Request-Forgery-Angriffen
• Cookie-Einstellung: Speicherung Ihrer Cookie-Präferenzen (sofern zutreffend)

Es werden keine Tracking-Cookies, Analyse-Tools (Google Analytics o. Ä.) oder Werbenetzwerke eingesetzt. Es findet kein Profiling statt.

12. Erforderlichkeit der Bereitstellung personenbezogener Daten

Die Bereitstellung der unter Abschnitt 4.1 und 4.2 genannten Daten ist für den Abschluss und die Durchführung des Nutzungsvertrages erforderlich. Ohne diese Angaben kann der Dienst nicht bereitgestellt werden. Die Bereitstellung der unter Abschnitt 4.4 genannten technischen Daten erfolgt automatisch beim Zugriff auf den Dienst und ist für dessen Betrieb technisch notwendig.

13. Technische und organisatorische Maßnahmen

Wir setzen folgende Maßnahmen zum Schutz Ihrer Daten ein:

• TLS 1.3-Verschlüsselung für alle Verbindungen
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Zwei-Faktor-Authentifizierung (TOTP) verfügbar
• Rollenbasierte Zugriffskontrolle (Admin, Buchhalter, Einkauf, View-only, Steuerberater)
• Strikte Datenisolierung zwischen Unternehmenskonten auf Datenbankebene
• Tägliche automatische Backups mit 30 Tagen Aufbewahrung
• Rate Limiting auf Authentifizierungs- und API-Endpoints
• Vollständiger Audit-Trail aller buchungsrelevanten Aktionen
• CSRF-Schutz auf allen Formularen

14. Meldung von Datenschutzverletzungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten melden wir diese gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde. Betroffene Nutzer werden gemäß Art. 34 DSGVO unverzüglich benachrichtigt, sofern ein hohes Risiko für deren Rechte und Freiheiten besteht.

15. Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder Änderungen des Dienstes anzupassen. Die aktuelle Version ist stets unter pavavo.com/datenschutz abrufbar. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.