Datenschutzerklärung

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist der Betreiber von Cake.

Die konkreten Verantwortlichen- und Kontaktangaben ergeben sich aus Impressum, Einladung, Angebot oder Pilotvereinbarung des jeweiligen Zugangs. Falls ein Datenschutzbeauftragter benannt ist, wird er dort oder im Vertragsdokument angegeben.

2. Verarbeitete Daten

Cake verarbeitet Daten, die für Betrieb, Login, Buchhaltungs- und Teamfunktionen erforderlich sind. Dazu gehören insbesondere:

• Accountdaten wie Name, E-Mail-Adresse, Login-Status und Profilbild.
• Firmenstammdaten wie Firmenname, Anschrift, Steuernummer, USt-IdNr., DATEV-Beraternummer, DATEV-Mandantennummer und Steuerberaterkontakt.
• Belegdaten wie hochgeladene Bilder oder PDFs, erkannte Lieferanten, Datum, Betrag, Umsatzsteuer, Einzelposten, Kategorien, Notizen und Belegnummern.
• Team- und Personaldaten wie Mitarbeitername, Rolle, Stundenlohn, Arbeitszeiten, Schichtplanung, Beschäftigungsdaten, Steuer-ID, Sozialversicherungsdaten, Krankenversicherung und IBAN, soweit diese Funktionen genutzt werden.
• Support- und Assistenzdaten wie Nachrichten, Entwürfe, Audit-Events, Freigaben und hochgeladene Anhänge.
• Technische Daten wie Session-Tokens, Rate-Limit-Einträge, Zeitstempel, Fehlerlogs, Geräte- und Browserinformationen sowie lokale Speicherwerte für App-Hinweise.

3. Zwecke und Rechtsgrundlagen

Die Verarbeitung erfolgt zur Bereitstellung der App, Authentifizierung, Belegverwaltung, KI-Auslesung, Exportvorbereitung, Teamverwaltung, Sicherheit, Fehleranalyse und Kommunikation.

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung und vorvertragliche Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO: rechtliche Pflichten, insbesondere handels- und steuerrechtliche Aufbewahrungs- und Nachweispflichten, soweit Cake entsprechende Daten für Kunden verarbeitet.
• Art. 6 Abs. 1 lit. f DSGVO: berechtigtes Interesse an sicherem Betrieb, Missbrauchsschutz, Fehleranalyse, Produktverbesserung und Nachvollziehbarkeit von Freigaben.
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung, soweit optionale Funktionen oder nicht notwendige Speicherzugriffe eingesetzt werden.
• Art. 9 Abs. 2 lit. b DSGVO: soweit im Team-/Lohn-Kontext besondere Kategorien personenbezogener Daten im arbeits- und sozialrechtlichen Zusammenhang erforderlich sind.

4. Dienstleister und Auftragsverarbeitung

Cake nutzt Dienstleister für Hosting, Datenbank, Authentifizierung, Dateiablage und KI-Auslesung. Nach aktuellem technischen Stand sind dies insbesondere:

• Vercel für Hosting, Auslieferung der Next.js-App, Web Analytics und Speed Insights.
• Clerk für Login, Accountverwaltung und Authentifizierung.
• Convex für Datenbank, Backend-Funktionen und Dateispeicher.
• Google Cloud Vertex AI (Gemini-Modelle) für OCR/KI-Auslesung hochgeladener Belege und Dokumente über ein Google Cloud Project mit aktivem Billing-Account.

Soweit Dienstleister personenbezogene Daten im Auftrag verarbeiten, werden Vereinbarungen zur Auftragsverarbeitung nach Art. 28 DSGVO eingesetzt. Bei Übermittlungen in Drittländer werden geeignete Garantien wie Angemessenheitsbeschlüsse, Standardvertragsklauseln oder vergleichbare Schutzmechanismen genutzt, soweit erforderlich.

Für die Paid-Services-Nutzung von Google erfolgt die Verarbeitung nach dem jeweils einschlägigen Google-Cloud-Vertragswerk einschließlich Auftragsverarbeitung/AVV. Nach aktuellem Google-Stand werden Prompts, hochgeladene Dateien und Modellantworten bei Paid Services nicht zum Training oder Fine-Tuning von KI-/ML-Modellen verwendet. Google kann Prompts und Responses begrenzt für Abuse- und Safety-Zwecke protokollieren; nach aktuellem Anbieterstand nennt Google dafür bis zu 90 Tage. Bei Safety-Flagging kann eine Prüfung durch autorisierte Google-Mitarbeitende erfolgen. Zusätzlich können Gemini-Modelle Kundendaten standardmäßig in einem projektisolierten In-Memory-Cache mit einer TTL von bis zu 24 Stunden zwischenspeichern, um Antworten zu beschleunigen; diese Speicherung erfolgt nach Anbieterangaben nicht at-rest und kann projektweit deaktiviert werden.

5. KI-Auslesung von Belegen

Hochgeladene Belege können automatisiert analysiert werden, um Daten wie Lieferant, Datum, Betrag, Umsatzsteuer, Belegtyp und Einzelposten zu extrahieren. Die Ergebnisse sind Vorschläge und müssen vom Nutzer geprüft werden. Cake trifft keine rechtlich verbindlichen automatisierten Entscheidungen im Sinne von Art. 22 DSGVO.

Für diese Verarbeitung können an Google insbesondere die hochgeladene Belegdatei, technische Prompt-/Systemanweisungen, der gewählte Belegkontext sowie benutzerdefinierte Belegkategorien übermittelt werden, soweit dies für die Extraktion erforderlich ist.

Cake übermittelt für die Belegauslesung keine separaten Team-, Lohn- oder IBAN-Stammdaten an Google. Falls solche Angaben bereits in der hochgeladene Belegdatei selbst enthalten sind, sind sie Bestandteil dieser Datei. Nutzer sollen daher keine Unterlagen hochladen, die für Buchhaltung, Teamverwaltung oder Exportvorbereitung nicht erforderlich sind, insbesondere keine unnötigen sensiblen Lohn- oder Bankdaten.

Nutzer sollen keine Daten hochladen, die für Buchhaltung, Teamverwaltung oder Exportvorbereitung nicht erforderlich sind.

6. Cookies, Sessions und lokaler Speicher

Cake verwendet notwendige Cookies und vergleichbare Speichertechnologien für Login, Sicherheit und App-Betrieb. Dazu gehören Authentifizierungs- und Sessiondaten von Clerk, Team-Sessiondaten im Session Storage sowie lokale Speicherwerte für PWA-Hinweise und UI-Hinweise. Nicht notwendige Marketing-Cookies sind nach aktuellem Produktstand nicht Bestandteil der App. Die über Vercel eingesetzte Webanalyse arbeitet nach aktuellem Anbieterstand ohne Analyse-Cookies.

7. Analyse und Performance-Messung

Cake nutzt Vercel Web Analytics und Vercel Speed Insights, um die Nutzung der Website und die technische Performance der App zu verstehen, Fehlerquellen zu erkennen und die Anwendung zu verbessern. Dabei können insbesondere Seitenaufrufe, Referrer, Zeitpunkt des Aufrufs, URL bzw. Route, gekürzte oder gefilterte Query-Parameter, Land/Region, Browser, Betriebssystem, Gerätetyp, Netzwerkgeschwindigkeit und Web-Vitals wie Lade- und Interaktionsmetriken verarbeitet werden.

Nach aktuellem Anbieterstand speichert Vercel diese Messdaten für Web Analytics anonymisiert bzw. aggregiert, verwendet keine Drittanbieter-Cookies und speichert keine Daten, mit denen Cake einzelne Besucher über Websites hinweg identifizieren oder Browsing-Sitzungen personenbezogen rekonstruieren kann. Bei Speed Insights werden Performance-Daten nach Anbieterangaben ebenfalls nicht mit einzelnen Besuchern oder IP-Adressen verknüpft.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt im sicheren, stabilen und nutzerfreundlichen Betrieb der App sowie in der technischen Optimierung von Ladezeiten und Bedienbarkeit.

8. Speicherdauer

Daten werden gespeichert, solange sie für die App-Nutzung, vertragliche Zwecke, Nachweiszwecke oder gesetzliche Aufbewahrungspflichten erforderlich sind. Belege, Buchungsdaten und lohnrelevante Unterlagen können gesetzlichen Aufbewahrungsfristen unterliegen. Team-Sessions und Freigabesitzungen werden zeitlich begrenzt gespeichert; Retention-Regeln für Teamdaten werden in der App verwaltet.

9. Rechte betroffener Personen

Betroffene Personen haben nach Maßgabe der DSGVO Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Einwilligungen können jederzeit mit Wirkung für die Zukunft widerrufen werden.

Betroffene Personen haben außerdem das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.

10. Sicherheit

Cake setzt technische und organisatorische Maßnahmen ein, um Daten vor unbefugtem Zugriff, Verlust und Missbrauch zu schützen. Dazu gehören rollenbezogene Zugriffstrennung, Authentifizierung, Rate Limits, Hashing von Session- und PIN-Geheimnissen sowie Validierung von Uploads.

11. Kontakt für Datenschutzanfragen

Datenschutzanfragen können im Pilotbetrieb über den in Impressum, Einladung, Angebot oder Pilotvereinbarung benannten Kontaktkanal gestellt werden.