Datenschutzerklärung
Stand: Mai 2026
1. Verantwortliche Stelle
ITworx Solutions AT GmbH
Jodok-Stülz-Weg 17
6850 Dornbirn, Österreich
Geschäftsführer: Manuel Henny, Martin Winder
Telefon:
+43 5577 21 707
E-Mail:
office@itworx-solutions.at
FN 470461 f, Landesgericht Feldkirch
UID: ATU72178626
Die ITworx Solutions AT GmbH betreibt den Dienst olbri (olbri.app) und ist Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) für die im Rahmen dieses Dienstes verarbeiteten personenbezogenen Daten.
Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO i. V. m. § 5 DSG nicht verpflichtend, da wir weniger als 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Für datenschutzrelevante Anfragen erreichst du uns unter der oben genannten E-Mail-Adresse.
2. Welche Daten wir erheben
2.1 Account-Daten
Bei der Registrierung erheben wir deinen Namen, deine E-Mail-Adresse und ein selbstgewähltes Passwort. Das Passwort wird ausschließlich als kryptographischer Hash gespeichert (bcrypt) – wir haben keinen Zugriff auf dein Klartext-Passwort.
2.2 Finanzdaten
Buchungen, Konten, Kategorien, Tags, Budgets, Sparziele, Schulden und weitere von dir eingegebene Finanzdaten. Sensible Felder (Beträge, Beschreibungen, Notizen) werden serverseitig mit AES-256-GCM auf Feldebene verschlüsselt gespeichert.
2.3 Hochgeladene Dateien
Bon-Fotos, Vertragsunterlagen und andere Anhänge, die du freiwillig hochlädst. Diese werden verschlüsselt in einem EU-Rechenzentrum in Deutschland gespeichert (siehe Abschnitt 8).
2.4 KI-Bon-Analyse
Wenn du die KI-Bon-Analyse nutzt (Pro-Feature), wird der Inhalt des hochgeladenen Bons an den KI-Dienst übermittelt, um Betrag, Datum, Händler, Artikel und Kategorie automatisch zu extrahieren. Einzelheiten zum Dienstleister findest du in Abschnitt 8.5.
2.5 Technische Daten
Bei jedem Seitenaufruf werden automatisch folgende Daten verarbeitet:
- IP-Adresse (wird nicht dauerhaft gespeichert, nach Verarbeitung des Requests verworfen)
- Browser-Typ und -Version
- Betriebssystem
- Datum und Uhrzeit des Zugriffs
- Referrer-URL
Server-Logfiles werden maximal 14 Tage aufbewahrt und danach automatisch gelöscht.
2.6 Zahlungsdaten
Für kostenpflichtige Pläne erfasst unser Zahlungsdienstleister Stripe deine Zahlungsdaten (Kreditkarten- oder SEPA-Daten). olbri speichert selbst keine vollständigen Zahlungsdaten – lediglich eine anonymisierte Referenz-ID, den Zahlungsstatus und die letzten vier Ziffern deiner Karte (zur Anzeige in deinem Profil).
3. Zweck und Rechtsgrundlage der Datenverarbeitung
| Zweck |
Daten |
Rechtsgrundlage |
| Bereitstellung des Dienstes (Registrierung, Login, Datenverwaltung) |
Account-Daten, Finanzdaten |
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung |
| Zahlungsabwicklung |
Zahlungsdaten, Rechnungsadresse |
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung |
| KI-Bon-Analyse (automatische Datenextraktion aus Belegen) |
Bon-Bilddaten |
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung (Feature wird aktiv vom Nutzer ausgelöst) |
| Transaktionale E-Mails (Registrierung, Passwort-Reset, Benachrichtigungen) |
E-Mail-Adresse, Name |
Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung |
| Sicherheit und Fehlerbehebung (Logfiles, Rate-Limiting) |
Technische Daten |
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse |
| Anonymisierte Nutzungsstatistiken |
Keine personenbezogenen Daten (eigene anonymisierte Statistiken) |
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse |
| Aufbewahrung von Rechnungsdaten |
Rechnungsbelege, Zahlungshistorie |
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung (§ 132 BAO) |
4. Speicherdauer
Deine Daten werden gespeichert, solange dein Account aktiv ist. Nach Löschung deines Accounts werden alle personenbezogenen Daten innerhalb von 30 Tagen unwiderruflich gelöscht – einschließlich verschlüsselter Backups innerhalb von 90 Tagen.
Ausnahmen:
- Rechnungsdaten: Aufgrund der gesetzlichen Aufbewahrungspflicht nach § 132 Bundesabgabenordnung (BAO) werden Rechnungsbelege für 7 Jahre aufbewahrt.
- Server-Logfiles: Werden nach 14 Tagen automatisch gelöscht.
5. Deine Rechte
Du hast gemäß DSGVO folgende Rechte:
- Auskunft (Art. 15 DSGVO): Du kannst jederzeit Auskunft über deine gespeicherten Daten anfordern.
- Berichtigung (Art. 16 DSGVO): Du kannst die Korrektur unrichtiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen. In olbri kannst du deinen Account jederzeit selbständig in den Einstellungen löschen.
- Einschränkung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Du kannst deine Daten jederzeit als JSON oder CSV exportieren – direkt in der App unter Einstellungen.
- Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f) jederzeit widersprechen. Wir verarbeiten deine Daten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht (z. B. KI-Bon-Analyse), kannst du diese jederzeit widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
- Beschwerde (Art. 77 DSGVO): Du hast das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen:
Österreichische Datenschutzbehörde
Barichgasse 40–42, 1030 Wien
www.dsb.gv.at, E-Mail: dsb@dsb.gv.at
Zur Ausübung deiner Rechte genügt eine E-Mail an office@itworx-solutions.at. Wir antworten innerhalb von 30 Tagen (Art. 12 Abs. 3 DSGVO).
6. Cookies & Tracking
olbri verwendet ausschließlich technisch notwendige Session-Cookies, die für die Funktion der Anwendung erforderlich sind:
- Session-Cookie: Speichert deinen Login-Status und CSRF-Schutz. Wird beim Schließen des Browsers oder nach Ablauf der Session gelöscht.
- Theme-Präferenz: Speichert deine Einstellung für helles/dunkles Design (localStorage, kein Cookie, kein Server-Transfer).
Es werden keine Tracking-Cookies, Werbe-Cookies oder Cookies von Drittanbietern eingesetzt. Ein Cookie-Banner ist daher nicht erforderlich (§ 96 Abs. 3 TKG 2003 / Art. 5 Abs. 3 ePrivacy-Richtlinie – Ausnahme für technisch notwendige Cookies).
Website-Analysen
Für anonymisierte Website-Analysen betreiben wir ein eigenes Statistik-System auf unseren Servern in Deutschland. Es werden keine Cookies gesetzt, keine personenbezogenen Daten gespeichert und keine IP-Adressen dauerhaft protokolliert. Es werden ausschließlich aggregierte, nicht-personenbezogene Kennzahlen erfasst (Seitenaufrufe, Referrer, Browser-Typ). Es findet keine Weitergabe an Dritte statt.
7. E-Mail-Kommunikation
Wir versenden ausschließlich transaktionale E-Mails, die für den Betrieb des Dienstes erforderlich sind:
- E-Mail-Bestätigung bei Registrierung
- Passwort-Reset
- Sicherheitsbenachrichtigungen (z. B. neues Gerät, Account-Sperre)
- Abrechnungsbenachrichtigungen
Es werden keine Newsletter oder Marketing-E-Mails ohne gesonderte, ausdrückliche Einwilligung versendet.
8. Auftragsverarbeiter und Drittanbieter
Wir arbeiten mit folgenden Dienstleistern zusammen, die in unserem Auftrag personenbezogene Daten verarbeiten. Mit allen Auftragsverarbeitern haben wir Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO abgeschlossen.
8.1 Hosting – Hetzner Online GmbH
Anbieter: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland
Zweck: Server-Hosting (Webserver, Datenbank, Anwendung)
Standort: Rechenzentren in Deutschland (Falkenstein, Nürnberg)
Rechtsgrundlage: Art. 28 DSGVO (AVV)
Datenschutz: hetzner.com/de/legal/privacy-policy
8.2 Zahlungsabwicklung – Stripe
Anbieter: Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Dublin 2, Irland
Zweck: Abwicklung von Kreditkarten- und SEPA-Zahlungen, Umsatzsteuer-Berechnung (Stripe Tax)
Standort: EU (Irland), PCI-DSS Level 1 zertifiziert
Übermittelte Daten: E-Mail-Adresse, Zahlungsinformationen, IP-Adresse (zur Betrugsprävention), Rechnungsland
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Datenschutz: stripe.com/de/privacy
8.3 E-Mail-Versand – Mailgun (Sinch)
Anbieter: Mailgun Technologies Inc. (Sinch-Konzern), 112 E Pecan St #1135, San Antonio, TX, USA
Zweck: Versand transaktionaler E-Mails
Standort: EU-Infrastruktur (Mailgun EU-Region)
Übermittelte Daten: E-Mail-Adresse, Name, E-Mail-Inhalte
Drittlandübermittlung: Die Verarbeitung erfolgt auf EU-Servern. Der Mutterkonzern Sinch AB hat seinen Sitz in Schweden (EU). Für den Fall, dass Daten in die USA übermittelt werden, sind Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO vereinbart.
Datenschutz: mailgun.com/legal/privacy-policy
8.4 Dateispeicherung – Wasabi Technologies
Anbieter: Wasabi Technologies LLC, Boston, MA, USA
Zweck: Speicherung hochgeladener Dateien (Bon-Fotos, Anhänge, Exporte)
Standort: EU-Rechenzentrum Frankfurt am Main (eu-central-2)
Übermittelte Daten: Hochgeladene Dateien (verschlüsselt)
Drittlandübermittlung: Wasabi Technologies LLC hat seinen Sitz in den USA. Die Datenspeicherung erfolgt ausschließlich auf EU-Servern in Frankfurt. Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO sind vereinbart.
Datenschutz: wasabi.com/privacy-policy
8.5 KI-Bon-Analyse – Anthropic
Anbieter: Anthropic, PBC, 548 Market St, San Francisco, CA, USA
Zweck: Automatische Extraktion von Beleg-Daten (Betrag, Datum, Händler, Artikel, Kategorie) aus Bon-Bildern
Standort: USA
Übermittelte Daten: Bon-Bildinhalte (als Text extrahiert, nicht als Bilddatei). Es werden keine Account-Daten, keine E-Mail-Adressen und keine Nutzer-IDs übermittelt.
Drittlandübermittlung: Die Datenübermittlung in die USA erfolgt auf Basis von Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Anthropic verarbeitet API-Anfragen ohne Speicherung und nutzt die übermittelten Daten nicht zum Training von KI-Modellen (Zero Data Retention API).
Einwilligung: Die KI-Bon-Analyse wird nur durchgeführt, wenn du sie aktiv auslöst (Button-Klick). Du kannst Bons auch ohne KI-Analyse manuell erfassen.
Datenschutz: anthropic.com/privacy
9. Datenübermittlung in Drittländer
Grundsätzlich werden deine Daten innerhalb der EU/des EWR verarbeitet und gespeichert. Eine Übermittlung in Drittländer (insbesondere die USA) findet nur in den unter Abschnitt 8 genannten Fällen statt:
- Wasabi (Dateispeicherung): Daten auf EU-Servern, Unternehmenssitz USA → SCCs
- Anthropic (KI-Bon-Analyse): Verarbeitung in USA, nur bei aktiver Nutzung der Funktion → SCCs + Zero Data Retention
- Mailgun/Sinch (E-Mail): EU-Verarbeitung, Mutterkonzern Schweden (EU), US-Tochter → SCCs als Absicherung
In allen Fällen sind Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Schutzmaßnahme vereinbart, um ein angemessenes Datenschutzniveau sicherzustellen.
10. Datensicherheit
- Verschlüsselung bei Übertragung: Alle Verbindungen sind TLS-verschlüsselt (HTTPS, mindestens TLS 1.2).
- Verschlüsselung bei Speicherung: Sensible Finanzdaten (Beträge, Beschreibungen, Notizen) werden mit AES-256-GCM auf Feldebene verschlüsselt.
- EU-Hosting: Alle Server und Datenbanken befinden sich in Rechenzentren in Deutschland.
- Dateispeicherung: Hochgeladene Dateien werden bei Wasabi in Frankfurt (EU) gespeichert.
- Passwörter: Passwörter werden niemals im Klartext gespeichert, sondern ausschließlich als bcrypt-Hash mit individuellem Salt.
- Zwei-Faktor-Authentifizierung (2FA): Optional verfügbar via TOTP (Authenticator-App) für zusätzlichen Account-Schutz.
- CSRF-Schutz: Alle Formulare und zustandsändernden Anfragen sind gegen Cross-Site-Request-Forgery geschützt.
- Content-Security-Policy: Strikte CSP-Header schützen gegen Cross-Site-Scripting (XSS).
- Rate-Limiting: Schutz gegen Brute-Force-Angriffe auf Login und API.
- Regelmäßige Backups: Tägliche verschlüsselte Backups in einem separaten Rechenzentrum.
11. Automatisierte Entscheidungsfindung
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt, die dir gegenüber rechtliche Wirkung entfaltet oder dich in ähnlicher Weise erheblich beeinträchtigt. Die KI-Bon-Analyse extrahiert lediglich Daten aus Belegen und schlägt Kategorien vor – die endgültige Zuordnung und Bestätigung erfolgt stets durch dich.
12. Erforderlichkeit der Datenbereitstellung
Für die Registrierung und Nutzung von olbri sind Name, E-Mail-Adresse und Passwort erforderlich. Ohne diese Daten kann der Dienst nicht bereitgestellt werden. Alle weiteren Daten (Finanzdaten, Anhänge) gibst du freiwillig ein. Die Bereitstellung von Zahlungsdaten ist nur für kostenpflichtige Pläne erforderlich.
13. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen, neue Funktionen oder geänderte Datenverarbeitungen anzupassen. Bei wesentlichen Änderungen, die deine Rechte betreffen, informieren wir dich per E-Mail mindestens 30 Tage vor Inkrafttreten.
Die aktuelle Version ist stets unter olbri.app/datenschutz abrufbar.
14. Kontakt
Für Fragen zum Datenschutz oder zur Ausübung deiner Rechte erreichst du uns unter: