Datenschutz

2.1. App-Hosting

Erhobene und verarbeitete Daten

• Technische Informationen wie eine IP-Adresse
• Geräteinformationen
• Für die Fehleranalyse relevantes Nutzerverhalten

Rechtsgrundlage

• (Vor-)vertragliche Pflichten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO

Unsere Auftragsverarbeiter

• Render Services, Inc., USA

Weitere Informationen

• Standort der für den Dienst genutzten Infrastruktur: Frankfurt am Main, Deutschland.

2.2. Erbringung der angebotenen Leistung

Durch die Nutzung unserer Anwendung erbringen wir die folgende Leistung:

Erhobene und verarbeitete Daten

• Konto- und Konfigurationsdaten
• Dokumentendaten
• Rechnungsbezogene Metadaten
• E-Mail-Metadaten
• Verbundene Postfach- und Exportkonfigurationsdaten
• KI-bezogene Informationen, die zur Erbringung der Leistung erforderlich sind

Rechtsgrundlage

• (Vor-)vertragliche Pflichten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO
• Data Privacy Framework
• Standardvertragsklauseln

Unsere Auftragsverarbeiter

• Vercel Inc., USA
• Render Services, Inc., USA
• Amazon Web Services, Inc. / verbundene AWS-Unternehmen
• Clerk, Inc., USA
• OpenAI Ireland Ltd., Irland
• Anthropic, PBC, USA
• Langfuse GmbH, Deutschland
• S.A.S.U PDFShift, Frankreich
• Better Stack, Inc., USA
• Resend, USA

Weitere Informationen

• Dokumente werden in einer Infrastruktur mit Standort in Frankfurt am Main, Deutschland, gespeichert.
• Nutzer können über Drittanbieter wie Google oder Microsoft E-Mail-Postfächer anbinden.
• OpenAI wird gemäß unserer aktuellen vertraglichen Ausgestaltung mit EU-Verarbeitung und ohne Datenaufbewahrung („zero data retention") eingesetzt.
• Anthropic wird auf Grundlage der kommerziellen Bedingungen von Anthropic einschließlich des DPA mit Standardvertragsklauseln eingesetzt.

2.3. Nutzung der Google API Services

Wenn Sie ein Google-Konto mit Presto verbinden, greifen wir über die Google API Services auf Ihre Google-Daten zu, um Rechnungen und Buchhaltungsbelege in Ihrem Postfach zu finden und herunterzuladen sowie verarbeitete Rechnungen in Ihr Google Drive zu exportieren.

Erhobene und verarbeitete Daten

• Google-Kontoprofil (E-Mail-Adresse, Profilname) über die Scopes userinfo.email und userinfo.profile, zur Identifikation Ihres verbundenen Google-Kontos.
• Gmail-Nachrichteninhalte, -Header und -Anhänge über den Scope gmail.readonly, zur Identifikation von Rechnungs-E-Mails und zum Herunterladen der Rechnungs-PDF-Anhänge.
• Google-Drive-Ordner und -Dateien, die Presto selbst erstellt oder die Sie ausdrücklich über den Google-Drive-Ordnerauswahldialog auswählen, über den Scope drive.file, zur Erstellung eines Presto-Ordners, zur Organisation von Unterordnern nach Datum oder Lieferant und zum Hochladen der Rechnungs-PDFs.

Rechtsgrundlage

• (Vor-)vertragliche Pflichten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO
• Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO, erteilt über den Google-OAuth-Einwilligungsbildschirm
• Data Privacy Framework
• Standardvertragsklauseln

Unsere Auftragsverarbeiter

• Google LLC / Google Ireland Limited (Quelle der Daten)
• Render Services, Inc., USA (Anwendungs-Hosting; OAuth-Orchestrierung, Abruf von Gmail-Nachrichten und Anhängen)
• Amazon Web Services, Inc. (Speicherung der extrahierten PDFs in Frankfurt am Main, Deutschland)
• OpenAI Ireland Ltd., Irland (verarbeitet aus Gmail abgeleitete E-Mail-Inhalte und PDF-Texte zur Extraktion strukturierter Rechnungsdaten; siehe weitere Informationen unten)

Weitere Informationen

• Wir nutzen Google-Nutzerdaten ausschließlich zur Bereitstellung der in diesem Datenschutzhinweis beschriebenen Funktionen zur Rechnungsextraktion, -organisation und zum Rechnungsexport.
• E-Mail-Inhalte und PDF-Texte, die aus Ihrem Gmail-Postfach stammen, werden von OpenAI verarbeitet, um Rechnungen zu identifizieren und strukturierte Rechnungsdaten zu extrahieren. OpenAI verarbeitet diese Daten auf Grundlage einer Zero-Data-Retention-Vereinbarung mit uns und nutzt sie nicht zum Training seiner Modelle.
• Google-Nutzerdaten werden nicht an Anthropic übermittelt. Anthropic wird in Presto ausschließlich für Funktionen eingesetzt, die keine Google-Nutzerdaten betreffen.
• Google-OAuth-Refresh-Token werden verschlüsselt gespeichert. Der Scope drive.file gewährt Presto ausschließlich Zugriff auf Dateien und Ordner, die Presto selbst erstellt oder die Sie ausdrücklich über den Drive-Ordnerauswahldialog auswählen; Presto kann keine anderen Inhalte in Ihrem Google Drive lesen.
• Wir verkaufen Google-Nutzerdaten nicht an Dritte.
• Wir nutzen Google-Nutzerdaten nicht für Werbung, Retargeting, Bonitätsprüfung oder andere Zwecke, die nicht mit den in diesem Hinweis beschriebenen Funktionen für Endnutzer zusammenhängen.
• Wir nutzen Google-Nutzerdaten nicht zum Trainieren oder Verbessern generalisierter KI- oder Machine-Learning-Modelle, weder unserer eigenen noch derjenigen Dritter.
• Sie können Ihr Google-Konto jederzeit in den Presto-Einstellungen trennen; dabei wird das gespeicherte Refresh-Token sofort gelöscht. Sie können den Zugriff von Presto zudem direkt unter https://myaccount.google.com/permissions widerrufen.
• Um die Löschung der aus Ihrem Google-Konto extrahierten Daten zu beantragen, kontaktieren Sie info@prestoinvoices.com.
• Die Nutzung der über Google APIs erhaltenen Informationen durch Presto erfolgt im Einklang mit der Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), einschließlich der Limited-Use-Anforderungen.

2.4. Kundenregistrierung

Erhobene und verarbeitete Daten

• Identifikationsdaten
• Kontaktdaten
• Authentifizierungsdaten

Rechtsgrundlage

• (Vor-)vertragliche Pflichten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO

Unsere Auftragsverarbeiter

• Clerk, Inc., USA

Weitere Informationen

• Kundenregistrierung und Authentifizierung werden über unseren Authentifizierungsanbieter abgewickelt.

2.5. Zahlungsabwicklung und Rechnungsstellung

Wir nutzen Stripe zur Zahlungsabwicklung und zur Verwaltung von Abonnements.

Erhobene und verarbeitete Daten

• Zahlungsdaten
• Abrechnungsdaten
• Technische Informationen

Rechtsgrundlage

• Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO
• (Vor-)vertragliche Pflichten auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO
• Data Privacy Framework
• Standardvertragsklauseln

Unsere Auftragsverarbeiter

• Stripe Technology Europe, Limited, Irland

Weitere Informationen

• Je nach Verarbeitungskontext kann Stripe auch als eigenständiger Verantwortlicher auftreten.

2.6. Fehlererkennung und -behebung

Erhobene und verarbeitete Daten

• Fehlerbezogene technische Daten
• Daten zu Nutzerverhalten und Interaktionen
• Anwendungsprotokolle

Rechtsgrundlage

• Berechtigtes Interesse auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO
• Data Privacy Framework
• Standardvertragsklauseln

Unsere Auftragsverarbeiter

• Sentry, USA
• Better Stack, Inc., USA

Weitere Informationen

• Berechtigtes Interesse: Sicherstellung von Stabilität, Sicherheit und Fehlerbehebung unserer Dienste.

3.1. Übermittlung von Daten in Drittländer und Data Privacy Framework

Weitere Informationen

• Soweit wir Dienstleister außerhalb des EWR einsetzen, erfolgen Datenübermittlungen nur auf Grundlage geeigneter Garantien.
• Dies kann einen Angemessenheitsbeschluss gemäß Art. 45 DSGVO umfassen, insbesondere bei Unternehmen, die unter dem EU-US Data Privacy Framework zertifiziert sind.
• Ebenso kann dies Standardvertragsklauseln umfassen.

3.2. Cookies und lokaler Speicher

Weitere Informationen

• Diese Website speichert personenbezogene Daten und Informationen in Cookies, Session Storage und Local Storage.
• Die Verarbeitung erfolgt auf der für den jeweiligen Dienst angegebenen Rechtsgrundlage.
• Wie Ihr Browser mit Cookies und lokalem Speicher umgeht, welche Speichervorgänge zugelassen oder abgelehnt werden und wie lange Daten verarbeitet werden, können Sie in den Einstellungen Ihres Browsers festlegen.

3.3. Speicherdauer

Weitere Informationen

• Wir speichern Ihre personenbezogenen Daten nur so lange, wie dies zur Erfüllung der genannten Zwecke erforderlich ist oder wie vertragliche oder gesetzliche Aufbewahrungsfristen bestehen.

3.4. Datenweitergabe

Weitere Informationen

• Wir geben Ihre personenbezogenen Daten nur an Dritte weiter, wenn dies gesetzlich vorgeschrieben, für die Erbringung unserer Leistungen erforderlich ist oder Sie in die Weitergabe eingewilligt haben.
• Wir verkaufen Ihre Daten nicht an Dritte.

3.5. Schutz personenbezogener Daten

Weitere Informationen

• Wir schützen personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen entsprechend dem aktuellen Stand der Technik.
• Dies umfasst, soweit möglich, insbesondere die Verschlüsselung personenbezogener Daten während der Übertragung und Speicherung.

3.6. Widerruf der Einwilligung

Weitere Informationen

• Soweit Sie eine Einwilligung in die Verarbeitung Ihrer personenbezogenen Daten für einen bestimmten Zweck auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO erteilt haben, können Sie diese jederzeit widerrufen.
• Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf bleibt unberührt.

3.7. Verpflichtung zur Bereitstellung von Daten und Folgen der Nichtbereitstellung beim Website-Besuch

Weitere Informationen

• Die Bereitstellung personenbezogener Daten für den Besuch unserer Website ist weder gesetzlich noch vertraglich vorgeschrieben.
• Eine Nichtbereitstellung personenbezogener Daten ist möglich, indem auf einen Besuch der Website verzichtet wird.
• Für bestimmte Funktionen der Website bedeutet eine Nichtbereitstellung, dass diese Funktionen nicht genutzt werden können.

3.8. Verpflichtung zur Bereitstellung von Daten und Folgen der Nichtbereitstellung bei Nutzung unserer Leistungen

Weitere Informationen

• Die Bereitstellung bestimmter personenbezogener Daten ist für die Nutzung unserer Leistungen erforderlich.
• Ohne die erforderlichen Daten stehen die betroffenen Leistungen oder Funktionen gegebenenfalls nicht zur Verfügung.