Datenschutzerklärung

Version 1.0 · Stand April 2026 · DSGVO-konform

1. Verantwortlicher

Hesselmann Beratung UG (haftungsbeschränkt), Christian Hesselmann, Dortmund. Kontakt: datenschutz@hesselmann-service.de

2. Zwecke & Rechtsgrundlagen der Verarbeitung

• Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) — Buchhaltung, Rechnungen, Banking-Sync, CRM-Funktionen.
• Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO) — Aufbewahrungspflichten nach § 257 HGB / § 147 AO (10 Jahre).
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — Betrugs-Prävention, Audit-Logging, Sicherheit.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — Marketing-Kommunikation, nicht-essentielle Cookies, KI-Auswertungen über das Minimum hinaus.

3. Welche Daten werden verarbeitet?

• Stammdaten: Name, Firma, Anschrift, Steuernummer / USt-ID, IBAN.
• Kontaktdaten: E-Mail, Telefon.
• Nutzungsdaten: Login-Historie, IP-Adresse, User-Agent (im gdpr_audit_log).
• Zahlungsdaten: Buchungstexte, Bank-Transaktionen aus FinTS-Sync.
• Optional: Foto / Beleg-Uploads (OCR + KI-Analyse nur mit Einwilligung).

4. Deine Rechte nach DSGVO

• Auskunft (Art. 15) — was speichern wir über dich.
• Berichtigung (Art. 16) — falsche Daten korrigieren.
• Löschung (Art. 17 „Recht auf Vergessenwerden") — Ausnahme: aufbewahrungspflichtige Rechnungen bleiben anonymisiert.
• Einschränkung (Art. 18) — Verarbeitung pausieren.
• Datenübertragbarkeit (Art. 20) — Export als JSON oder CSV hier.
• Widerspruch (Art. 21) — gegen Verarbeitung auf Basis berechtigten Interesses.
• Beschwerde bei Aufsichtsbehörde (LDI NRW für unseren Sitz).

5. Auftragsverarbeiter

Wir setzen folgende Sub-Dienstleister ein (jeweils AVV / DPA geschlossen):

• Supabase Postgres (EU-Frankfurt, Supabase Inc. · Standardvertragsklauseln EU-US)
• Vercel (Hosting · EU-Region, Vercel Inc. · SCC)
• Anthropic Claude (EU-Region · KI-Features nur mit Einwilligung)
• Mittwald CM Service (E-Mail-Versand · DE)

6. Speicherdauer

Buchungsrelevante Daten 10 Jahre (§ 257 HGB / § 147 AO). Audit-Log 5 Jahre. Anonymisierte Daten unbegrenzt. Kontakte & Marketing-Opt-In sofort auf Widerruf.

7. Cookies

Wir verwenden nur 4 Cookie-Kategorien, granular wählbar im Cookie-Banner: Notwendig (immer), Funktional, Analytics, Marketing. Einstellung jederzeit änderbar unter Einstellungen → Datenschutz.

8. Kontakt Datenschutzbeauftragter

Externer DSB (ab 20 MA / zwingend-verarbeitende Tätigkeit): wird bei Schwellwert-Überschreitung benannt. Bis dahin: datenschutz@hesselmann-service.de

9. Auftragsverarbeitungs-Vertrag (AVV / DPA)

Als fibuio-Kunde bist du Verantwortlicher für die Daten deiner Kunden. Wir handeln als Auftragsverarbeiter. Den AVV kannst du dir als PDF hier herunterladen: /legal/dpa.