Datenschutzerklärung
Verantwortlicher im Sinne von Art. 4 Z 7 DSGVO:
VR the Fans GmbH
Gastgebgasse 3/243, 1230 Wien, Österreich
Telefon: +43 664 389 91 38
E-Mail: office@vrthefans.com
Datenschutzkontakt: office@vrthefans.com
Stand: April 2026
1. Überblick
Diese Erklärung informiert Sie darüber, welche personenbezogenen Daten wir bei der Nutzung unserer Web-Anwendung „Orange Octo — easy accounting“ verarbeiten, zu welchen Zwecken, auf welcher Rechtsgrundlage, an welche Empfänger und welche Rechte Ihnen nach der Datenschutz-Grundverordnung (DSGVO), dem österreichischen Datenschutzgesetz (DSG) und dem Telekommunikationsgesetz 2021 (TKG) zustehen.
2. Umfang und Zwecke der Verarbeitung
2.1 Zugangs- und Login-Daten
- Daten: E-Mail-Adresse, Passwort-Hash, Rolle, Anzeige-Name, Log-in-Zeitpunkte, IP-Adresse und User-Agent zur Sicherung der Session.
- Zweck: Authentifizierung, Zugriffsschutz, Missbrauchserkennung.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).
- Speicherdauer: Für die Dauer des Nutzungsvertrages; Sicherheits-Logs längstens 12 Monate.
2.2 Stammdaten und Nutzungsdaten der Anwendung
- Daten: Rechnungen, Angebote, Rechnungs- und Leistungspositionen, Kunden- und Lieferantenstammdaten (Name, Adresse, UID, E-Mail, Bankverbindung, Telefon), Produkte/Leistungsvorlagen, Bankbewegungen (Betrag, Datum, Buchungstext, IBAN, BIC), Belege (PDF/Bilddateien).
- Zweck: Erstellung, Verwaltung und Archivierung von Rechnungen und Angeboten; Abgleich mit Bankbewegungen; Belegverwaltung; Erfüllung steuer- und handelsrechtlicher Aufzeichnungspflichten.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag / vorvertragliche Maßnahmen), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtungen, insbesondere § 132 BAO, § 212 UGB, Rechnungslegungs- und Aufbewahrungspflichten).
- Speicherdauer: Bis zum Ablauf der gesetzlichen Aufbewahrungsfristen (in der Regel 7 Jahre gem. § 132 BAO, in bestimmten Fällen bis zu 22 Jahre bei Immobilien-bezogenen Unterlagen gem. § 18 Abs. 10 UStG).
2.3 KI-gestützte Belegauslesung
- Daten: Inhalt hochgeladener Belege (Bilder/PDFs) einschließlich darin enthaltener personenbezogener Daten (z.B. Name, Adresse, IBAN von Lieferanten oder Kundschaft), dazugehörige Metadaten.
- Zweck: Automatisierte Auslesung strukturierter Felder (Betrag, Datum, Empfänger, USt) zur Vereinfachung der Belegerfassung.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizienter Belegverarbeitung); soweit Gesundheits- oder sonstige besondere Kategorien enthalten sein könnten, wird der Nutzer angehalten, entsprechende Belege nicht hochzuladen.
- Empfänger/Auftragsverarbeiter:Anthropic, PBC, 548 Market St, PMB 90375, San Francisco, CA 94104, USA („Claude API“).
- Drittlandübermittlung: USA. Die Übermittlung erfolgt auf Basis der EU-Standardvertragsklauseln (SCC) der Europäischen Kommission (Durchführungsbeschluss 2021/914) und unter ergänzenden Schutzmaßnahmen (Verschlüsselung im Transit, Verbot der Nutzung zu Trainingszwecken gemäß Anthropic Commercial Terms).
2.4 Cookies, Local- und Session-Storage
Wir setzen technisch notwendige Cookies bzw. Browser-Storage- Einträge ein, die für Login, Session-Handhabung und Speicherung der aktiven Unternehmens- und Sprachauswahl erforderlich sind (insbesondere Supabase-Auth-Cookies, activeCompanyId, currentUserName im Local Storage).
- Rechtsgrundlage: § 165 Abs. 3 TKG 2021 iVm Art. 6 Abs. 1 lit. f DSGVO (unbedingt erforderlich für den vom Nutzer gewünschten Dienst — keine Einwilligung erforderlich).
- Tracking, Werbung, Analyse-Cookies: werden nicht eingesetzt.
- Speicherdauer: Session- bzw. Login-Dauer; Auth-Cookies in der Regel bis zu 7 Tage (Refresh-Token).
2.5 Server-Logs (Hosting)
- Daten: IP-Adresse, Zeitstempel, URL/Pfad, User-Agent, HTTP-Status, Referrer.
- Zweck: Sicherstellung des Betriebs, Missbrauchs- und Angriffsabwehr, Fehleranalyse.
- Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Funktionsfähigkeit).
- Speicherdauer: In der Regel bis zu 30 Tage, bei Sicherheitsvorfällen länger bis zur Aufklärung.
3. Empfänger und Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, mit denen Auftragsverarbeitungsverträge nach Art. 28 DSGVO abgeschlossen wurden:
| Empfänger | Zweck | Sitz / Region | Rechtsgrundlage Drittlandtransfer |
|---|---|---|---|
| Supabase Inc., 970 Toa Payoh North #07-04, Singapore 318992 (mit EU-Hosting über AWS/Frankfurt) | Datenbank, Authentifizierung, Datei-Speicherung (Belege) | USA/EU | EU-SCC, EU-Region konfigurierbar; Supabase-DPA |
| Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA | Hosting/Edge Delivery der Anwendung | USA | EU-SCC, Vercel-DPA |
| Anthropic, PBC, San Francisco, CA, USA | KI-gestützte Belegauslesung (Claude API) | USA | EU-SCC, Anthropic Commercial Terms (kein Training mit Kundendaten) |
| Steuerberater*in, Wirtschaftsprüfer*in, Rechtsvertretung | Erfüllung gesetzlicher Verpflichtungen, Rechtsverteidigung | EU | Art. 6 Abs. 1 lit. c / f DSGVO |
| Behörden (Finanzamt, Gericht, Datenschutzbehörde) | bei gesetzlicher Pflicht | EU | Art. 6 Abs. 1 lit. c DSGVO |
Eine Übermittlung an weitere Dritte findet nicht statt. Ein Verkauf personenbezogener Daten findet nicht statt.
4. Drittlandübermittlung
Bestimmte Auftragsverarbeiter (Anthropic, Vercel, ggf. Supabase) haben Unternehmenssitz in den USA. Die Übermittlung erfolgt auf Grundlage der Standardvertragsklauseln (SCC) gemäß Durchführungsbeschluss (EU) 2021/914, ergänzt durch technische und organisatorische Maßnahmen (insbesondere Transportverschlüsselung TLS 1.2+, Zugangskontrolle, Pseudonymisierung, soweit möglich). Soweit Anbieter unter das EU-U.S. Data Privacy Framework (DPF) zertifiziert sind, stützen wir uns zusätzlich auf den Angemessenheitsbeschluss der Kommission vom 10.07.2023.
5. Automatisierte Entscheidungen, Profiling
Es findet keine automatisierte Entscheidung im Einzelfall einschließlich Profiling im Sinne von Art. 22 DSGVO statt. Die KI-gestützte Belegauslesung erzeugt Vorschläge; verbindliche Entscheidungen trifft stets ein menschlicher Nutzer.
6. Speicherdauer / Löschung
Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist und keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Nach Ablauf der Aufbewahrungspflicht werden die Daten routinemäßig gelöscht oder anonymisiert.
7. Ihre Rechte als Betroffene*r
Sie haben jederzeit — unentgeltlich und formlos per E-Mail an office@vrthefans.com oder office@vrthefans.com — folgende Rechte:
- Auskunft (Art. 15 DSGVO)
- Berichtigung (Art. 16 DSGVO)
- Löschung (Art. 17 DSGVO) — soweit keine gesetzliche Aufbewahrungspflicht besteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruch gegen Verarbeitungen auf Basis berechtigter Interessen (Art. 21 DSGVO)
- Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
Sie haben zudem das Recht, sich bei der österreichischen Datenschutzbehörde (Barichgasse 40-42, 1030 Wien, dsb.gv.at) zu beschweren (Art. 77 DSGVO).
8. Pflicht zur Bereitstellung
Die Bereitstellung der zur Authentifizierung und Rechnungsführung erforderlichen Daten ist für die Nutzung der Anwendung und zur Erfüllung gesetzlicher Aufzeichnungspflichten notwendig. Ohne diese Daten kann die Anwendung nicht bereitgestellt werden.
9. Sicherheit
Wir setzen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ein, insbesondere Transportverschlüsselung (TLS), verschlüsselte Datenspeicherung, rollenbasierte Zugriffskontrolle (RLS in Supabase), Passwort-Hashing, Protokollierung sicherheitsrelevanter Ereignisse sowie regelmäßige Updates.
10. Änderungen
Wir behalten uns vor, diese Datenschutzerklärung an aktuelle rechtliche und technische Entwicklungen anzupassen. Die jeweils aktuelle Version ist unter /datenschutz abrufbar.
11. Kontakt
Fragen zum Datenschutz richten Sie bitte an:
E-Mail: office@vrthefans.com (Fallback: office@vrthefans.com)
Post: VR the Fans GmbH, Datenschutz, Gastgebgasse 3/243, 1230 Wien, Österreich