Anmelden Jetzt starten

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
Eco-Coin GmbH, Wegerhofstraße 22, 47877 Willich, Deutschland
E-Mail: info@eco-coin-gmbh.de
(Impressum: /impressum)

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Software TAXAVO (nachfolgend „Dienst“) erforderlich ist, zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage einer Einwilligung. Die Verarbeitung erfolgt unter Beachtung der gesetzlichen Vorgaben und der Prinzipien der Datenminimierung und Zweckbindung.

3. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

Je nach Vorgang stützen wir die Verarbeitung auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen): Nutzerkonto, Bereitstellung der Buchhaltungsfunktionen, Mandantenverwaltung, Belegerfassung inkl. Kamera-Scan und OCR, Abrechnung und Leistungserbringung.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten, soweit Sie oder wir solche Daten verarbeiten.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchs- und Betrugsprävention (z. B. Protokollierung von Anmeldeversuchen), technische Administration, begrenzte Protokollierung zur Gewährleistung der Integrität und Stabilität des Dienstes, soweit nicht durch schwerere Interessen der Betroffenen überwogen.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit wir Sie ausdrücklich um Einwilligung bitten (z. B. optionale Marketing-Messung über Meta, Newsletter, nicht erforderliche Cookies).

4. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

TAXAVO ist eine Buchhaltungs- und Organisationssoftware. Sie ist nicht dazu bestimmt, Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit, biometrische Daten zur eindeutigen Identifizierung, Daten zum Sexualleben oder zur sexuellen Orientierung) zu erheben oder zu verarbeiten.

Sofern Sie oder Ihre Nutzer dennoch solche Informationen freiwillig in Freitextfeldern, Belegen oder Anhängen einstellen, erfolgt dies in Ihrer eigenen Verantwortung. Wir verarbeiten diese Inhalte nur, soweit dies zur Erbringung des Dienstes technisch erforderlich ist, ohne sie für eigene Zwecke auszuwerten. Eine Einwilligung nach Art. 9 Abs. 2 DSGVO liegt uns nur vor, wenn wir Sie ausdrücklich hierzu auffordern und Sie zustimmen.

5. Kategorien personenbezogener Daten

Je nach Nutzung können insbesondere verarbeitet werden:

  • Stammdaten: Name, Benutzername, E-Mail-Adresse, ggf. Rechnungs- und Firmendaten, die Sie angeben.
  • Authentifizierung: Passwort (gespeichert ausschließlich als kryptographischer Hash, kein Klartext), optional Zwei-Faktor-Authentifizierung (2FA).
  • Buchhaltungs- und Geschäftsdaten: Mandanten, Konten, Transaktionen, Belege (inkl. Metadaten, Bilddateien und PDFs), Kategorien, Steuerinformationen, die Sie in den Dienst einstellen.
  • Belegbilder und OCR: Fotos oder Scans von Belegen, daraus erzeugte PDFs sowie per Texterkennung (OCR) vorgeschlagene Werte wie Betrag, Datum oder Händlername (siehe Ziffer 7).
  • Technische und Nutzungsdaten: IP-Adresse, Zeitstempel, User-Agent, Session-Informationen, bei Fehlern ggf. technische Logdaten; Protokollierung von Anmeldeversuchen zum Schutz vor Missbrauch; soweit ein Aktivitätsprotokoll („Audit-Log“) geführt wird: protokollierte Aktionen im Konto zur Nachvollziehbarkeit.
  • Zahlungsdaten: Bei Nutzung des Onlinezahlungsdienstes werden Zahlungsdaten durch den Zahlungsdienstleister verarbeitet (siehe Ziffer 16); wir speichern keine vollständigen Kreditkartendaten.
  • Kommunikationsdaten: Inhalte von E-Mails oder Support-Anfragen, die Sie uns senden.

6. Mandanten, Teamzugriff und eingeladene Nutzer

TAXAVO unterstützt mehrere Mandanten (z. B. privat/geschäftlich) und die Einladung weiterer Nutzer (z. B. Mitarbeiter oder Steuerberater) mit rollenbasierten Berechtigungen. Daten eines Mandanten (Belege, Transaktionen, Einstellungen) können für eingeladene Nutzer sichtbar und bearbeitbar sein, soweit Sie diesen Zugriff einrichten.

Wer Nutzer einlädt, ist für die Rechtmäßigkeit der Weitergabe und für die Auswahl der Berechtigungen verantwortlich. Für die Verarbeitung durch eingeladene Dritte (z. B. Steuerkanzleien) kann zusätzlich ein eigener Verantwortlicher oder eine Auftragsverarbeitung zwischen Ihnen und dem Dritten bestehen; wir stellen die technische Plattform bereit.

7. Beleg-Kamera, Upload und Texterkennung (OCR)

Sie können Belege per Datei-Upload oder über die Kamera Ihres Endgeräts erfassen. Dafür kann der Browser eine Kameraberechtigung abfragen; die Aufnahme erfolgt auf Ihrem Gerät, das Bild wird anschließend zur Verarbeitung an unsere Server übertragen (verschlüsselt, sofern HTTPS genutzt wird).

Wir speichern die Belegdateien (z. B. als PDF) im von Ihnen bzw. dem Betrieb konfigurierten Speicher und können zur Unterstützung eine automatische Texterkennung (OCR) auf dem Server durchführen (Software Tesseract, Verarbeitung auf unserer Infrastruktur, keine Weitergabe der Beleginhalte an externe OCR- oder KI-Cloud-Dienste zu diesem Zweck). Erkannte Werte (z. B. Betrag, Datum) dienen als Vorschlag; Sie prüfen und bestätigen die Buchungsdaten.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der Belegfunktion). Eine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet dabei nicht statt (siehe Ziffer 19).

8. Weitergabe von Daten und Auftragsverarbeitung (Art. 28 DSGVO)

Eine Übermittlung an Dritte erfolgt nur, wenn sie zur Vertragserfüllung erforderlich ist, wir gesetzlich dazu verpflichtet sind, Sie eingewilligt haben oder wir berechtigte Interessen wahren. Mit Auftragsverarbeitern schließen wir – soweit gesetzlich erforderlich – Verträge nach Art. 28 DSGVO ab und binden sie an Weisungen und Datenschutzpflichten.

Mögliche Kategorien von Empfängern:

  • Hosting- und Infrastrukturdienstleister (Betrieb der Server, Speicherung der Daten), ggf. innerhalb der EU/des EWR.
  • Zahlungsdienstleister (Stripe) zur Abwicklung von Abonnements und Zahlungen (siehe Ziffer 16).
  • E-Mail-/SMTP-Dienstleister zum Versand transaktionaler E-Mails (z. B. Rechnungen, technische Mitteilungen), sofern konfiguriert.
  • Dateiablage / Speicherorte (z. B. NAS, Fileserver), sofern Sie oder der Betrieb solche Anbindungen technisch einrichten – dann gelten die dortigen Zugriffs- und Sicherheitsregeln zusätzlich.
  • Optionale Anmeldedienste (z. B. „Social Login“ über Google, Apple, Microsoft), nur wenn Sie diese in der Konfiguration aktivieren und der Nutzer sie nutzt; es gelten dann die Bedingungen des jeweiligen Anbieters.
  • Meta Platforms Ireland Ltd. / Meta Platforms Inc. (Facebook/Instagram-Werbung), nur bei erteilter Einwilligung zur Marketing-Messung (siehe Ziffer 12).

9. Drittlandübermittlungen

Sofern Dienstleister Daten außerhalb der EU/des EWR verarbeiten (insbesondere US-Anbieter wie Stripe Inc. oder Meta Platforms Inc. bei Marketing-Messung), stellen wir sicher, dass ein angemessenes Datenschutzniveau besteht – etwa durch Angemessenheitsbeschlüsse der EU-Kommission und/oder Standardvertragsklauseln der EU-Kommission sowie zusätzliche technische und organisatorische Maßnahmen, soweit erforderlich. Näheres entnehmen Sie der Datenschutzerklärung des jeweiligen Anbieters (z. B. Stripe, Meta).

10. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen (z. B. aus Handels- und Steuerrecht) bestehen. Nach Ablauf werden die Daten gelöscht oder anonymisiert, soweit keine Aufbewahrungspflicht entgegensteht.

Eine selbstständige Löschung des Nutzerkontos über die Anwendung ist in der Regel nicht vorgesehen, weil Buchungsbelege und Buchhaltungsunterlagen gesetzlichen Aufbewahrungspflichten unterliegen können. Für Vertragsende, Löschanträge nach Art. 17 DSGVO oder Sonderfälle wenden Sie sich an info@eco-coin-gmbh.de; wir prüfen, was unter Berücksichtigung gesetzlicher Pflichten und laufender Verträge möglich ist. Vor einer Löschung empfehlen wir den Export Ihrer Daten (Berichte, Belege).

11. Cookies und lokale Speicherung

Für die Anmeldung und Sitzungssteuerung verwenden wir technisch notwendige Cookies oder serverseitige Sitzungen (Session). Diese sind für den Betrieb der Anwendung erforderlich (Art. 6 Abs. 1 lit. b/f DSGVO).

Auf öffentlichen Seiten (z. B. Startseite, Registrierung) kann ein Cookie taxavo_cmp_marketing gesetzt werden, um Ihre Entscheidung zur optionalen Marketing-Messung zu speichern (Werte: Zustimmung, Ablehnung; Speicherdauer bis zu ca. 13 Monaten). Erst nach Zustimmung werden Marketing-Technologien von Meta geladen (siehe Ziffer 12). Sie können die Entscheidung widerrufen, indem Sie das Cookie in Ihrem Browser löschen und die Seite erneut aufrufen oder uns kontaktieren.

Öffentliche Seiten können Schriftarten von Google Fonts einbinden; dabei kann Google als Anbieter technische Daten (u. a. IP-Adresse) erhalten. Informationen dazu: Google-Datenschutzhinweise.

12. Marketing-Messung (Meta / Facebook)

Sofern Sie im Cookie-Hinweis auf unseren öffentlichen Seiten zustimmen, setzen wir Technologien von Meta (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland; verbundene Unternehmen u. a. Meta Platforms Inc., USA) ein, um die Wirksamkeit von Werbeanzeigen und Seitenaufrufen zu messen (z. B. Meta Pixel im Browser, serverseitige Conversions API).

Dabei können u. a. verarbeitet werden:

  • Seitenaufrufe, Registrierungs- und Abo-Ereignisse (soweit zutreffend),
  • gehashte E-Mail-Adresse und eine interne Nutzerkennung (nicht im Klartext an Meta übermittelt),
  • IP-Adresse, User-Agent, ggf. Meta-Cookies (_fbc, _fbp), soweit vorhanden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf: jederzeit mit Wirkung für die Zukunft durch Ablehnung im Cookie-Banner, Löschen des Cookies taxavo_cmp_marketing oder Nachricht an info@eco-coin-gmbh.de. Ohne Einwilligung findet keine Marketing-Messung über Meta statt (weder Pixel noch serverseitige Events).

Weitere Informationen: Meta-Datenschutzrichtlinie. Meta kann Daten in den USA verarbeiten; siehe Ziffer 9.

13. Sicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, die dem Stand der Technik entsprechen, insbesondere Verschlüsselung der Passwörter (Hashing), Zugriffsbeschränkungen, Protokollierung sicherheitsrelevanter Ereignisse soweit vorgesehen, und – in der Produktionsumgebung empfohlen – verschlüsselte Übertragung (HTTPS). Eine absolute Sicherheit kann nicht garantiert werden; Nutzer sollten starke Passwörter und optional 2FA nutzen.

14. Ihre Rechte

Sie haben – soweit die gesetzlichen Voraussetzungen erfüllt sind – insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), soweit auf ein berechtigtes Interesse gestützt wird,
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO), ohne die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung zu berühren.

Zur Geltendmachung Ihrer Rechte genügt eine Nachricht an info@eco-coin-gmbh.de.

15. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für Nordrhein-Westfalen ist dies z. B. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, www.ldi.nrw.de.

16. Zahlungsabwicklung (Stripe)

Für Zahlungen per Karte und Abonnements kann der Dienst Stripe (Stripe Technology Europe Ltd. bzw. verbundene Unternehmen, ggf. Stripe Inc., USA) eingesetzt werden. Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher bzw. im Auftrag gemäß den Stripe-Bedingungen. Informationen: https://stripe.com/de/privacy.

17. E-Mail-Versand

System- und Servicemails (z. B. Rechnungen, technische Hinweise) werden über den in den Einstellungen des Betreibers konfigurierten SMTP-Dienst versendet. Dabei verarbeitet der jeweilige Anbieter die dafür erforderlichen Metadaten (u. a. Empfängeradresse, Zeitpunkt).

18. Pflicht zur Bereitstellung von Daten

Ohne die bei der Registrierung und Nutzung erforderlichen Daten können wir den Vertrag über die Nutzung von TAXAVO in der Regel nicht erfüllen.

19. Automatisierte Entscheidungen / Profiling

Wir führen keine rein automatisierten Entscheidungen im Sinne von Art. 22 DSGVO durch, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen (z. B. keine automatische Steuerfestsetzung oder Kreditentscheidung). OCR-Vorschläge bei Belegen sind Hilfestellungen und ersetzen nicht Ihre Prüfung.

Werbliche Profilbildung durch uns im Buchhaltungsdienst findet nicht statt. Soweit Sie eingewilligt haben, kann Meta im Rahmen der Marketing-Messung (Ziffer 12) eigene Auswertungen vornehmen; dafür ist Meta Verantwortlicher bzw. es gelten die Meta-Bedingungen.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung bei geänderten Rechtslagen, Dienstleistungen oder Technik anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.