Datenschutz und DSGVO

Für die Datenverarbeitung verantwortlich

manubu gmbh

Concorde Business Park F
2320 Schwechat
Austria, EU

Welche Daten werden verarbeitet

Wir verarbeiten jene personenbezogenen Daten, die wir im Rahmen einer Geschäftsbeziehung von Ihnen erhalten.

Folgende personenbezogenen Daten werden verarbeitet:

  • Ihre Personalien (Name, Adresse, Kontaktdaten etc.)
  • Authentifikationsdaten (Logins)
  • Logs zur System- und Fehleranalyse (Fehlerberichte)
  • Auftragsdaten (Abos und Aufträge an uns)
  • Daten aus der Erfüllung unserer vertraglichen Verpflichtung (ib. Finanzbuchhaltungsdaten, Kunden- und Lieferantendaten)
  • Daten zur Erfüllung unserer gesetzlichen Anforderungen (Rechnungslegung und unsere eigene Buchhaltung)
  • Informationen aus Ihrem elektronischen Verkehr (E-Mail, Support etc.) 

Zwecke und Rechtsgrundlage

Erfüllung von vertraglichen Pflichten (Art 6 Abs 1 lit b DSGVO):

Die Verarbeitung Ihrer personenbezogenen Daten ist notwendig, um unsere Finanzbuchhaltungsservices abwickeln zu können. Zudem benötigen wir diese zur Durchführung unserer Verträge mit Ihnen und zur Ausführung Ihrer Aufträge. Außerdem verarbeiten wir personenbezogene Daten, um den Betrieb und Wartung durchführen zu können, und Unterstützung (Support) leisten zu können.

Im Rahmen Ihrer Einwilligung (Art 6 Abs 1 a DSGVO):

Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben (z.B. Anmeldung am Newsletter), erfolgt eine Verarbeitung nur gemäß den in der Zustimmungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden (z.B. können Sie der Verarbeitung Ihrer personenbezogenen Daten für Marketing- und Werbezwecken widersprechen, wenn Sie mit einer Verarbeitung künftig nicht mehr einverstanden sind).

Erfüllung von einer rechtlichen Verpflichtung (Art 6 Abs 1 lit c DSGVO):

Zur Erfüllung unserer eigenen Verpflichtungen gegenüber dem Finanzamt und anderen scheinen Sie in unserer eigenen Buchhaltung auf, wie Ihre eigenen Kunden auch in der Anwendung erfasst werden.

Wer erhält Ihre Daten

Die folgenden von uns beauftragter Auftragsverarbeiter (insbesondere IT- sowie Backoffice-Dienstleister) erhalten Ihre Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Aufgabe benötigen. Sämtliche Auftragsverarbeiter sind vertraglich entsprechend dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.

IT-Infrastruktur

Unser beauftragter Auftragsdatenverarbeiter für die gesamte IT-Infrastruktur ist die Research Industrial Systems Engineering (RISE) Forschungs-, Entwicklungs- und Großprojektberatung GmbH - deren Organisationseinheit verantwortlich für den Betrieb ist ISO 27001 zertifiziert.

Sie erhält Ihre Daten, sofern sie diese zur Erfüllung ihrer jeweiligen Aufgabe benötigt. Der Auftragsverarbeiter ist vertraglich entsprechend dazu verpflichtet, Ihre Daten vertraulich zu behandeln und nur im Rahmen der Leistungserbringung zu verarbeiten.

Betrifft nur die Applikation - nicht die Webseite

Schnittstelle zu FinanzOnline des BMF (Bundesministerium für Finanzen)

Für die direkte Übermittlung der UVA bzw. ZM, Prüfung der UID-Nummer, Abruf der Databox, Aktivierung der RKSV-Signatureinrichtung binden wir die FinanzOnline-Schnittstellen an.

Die Zugriffs-Berechtigung muss willentlich durch Sie hergestellt und kann sowohl im System als beim Provider jederzeit entfernt werden.

Zur Abwicklung dieser Services sind die Weitergabe folgender Details notwendig:

  • Ihre Steuernummer
  • Ihre Unternehmensanschrift
  • Beträge aus Ihrer Buchhaltung aggregiert/kumuliert auf die relevanten Kennzahlen gemäß aktueller Gesetzgebung

finAPI

finAPI ist unser Partner für die PSD2-Schnittstelle zu den Banken. Wir nutzen die Funktionen zum Import von Kontoauszügen Ihrer Bankkonten, zur Durchführungen von Zahlungen, die finAPI ist unser Zahlungsdienstleister für die Services der manubu gmbh.

Es wird in eigenen Datenverarbeitungsvereinbarungen der eingebundenen Dienstleister informiert. Nur nach Ihrer Zustimmung werden diese Services auch aktiviert und verwendet.

Smartphone-Apps

Verwenden Sie eine oder mehrere unserer Apps für Android oder iOS, so speichert Ihre App am Device einen Authentifizierungs-Token (OAuth) sowie Session-Informationen.

  • manumeter: Ihre Eingaben (Fahrten) werden auf Ihrem Device gespeichert und bei aufrechter Datenverbindung auf unsere Server übertragen.
  • PaperCut: Ihre Eingaben (Belegfotos mit Details) werden auf Ihrem Device zwischen-gespeichert und bei aufrechter Datenverbindung auf unsere Server übertragen. Danach sind sie am Gerät nicht mehr verfügbar.
  • manubu POS: Ihre App speichert am Device lediglich einen Authentifizierungs-Token sowie Session-Informationen (und Drucker-Einstellungen), alle anderen Daten bleiben stets direkt auf unseren Servern gespeichert.

Cloud-Storages

Unsere Software bietet Ihnen die Möglichkeit, Ihren Cloud-Speicher anzubinden:

  • Dropbox
  • NextCloud
  • OneDrive
  • Google Drive

Die Zugriffs-Berechtigung muss willentlich durch Sie hergestellt und kann sowohl im System als beim Provider jederzeit entfernt werden.

Die Authentifizierung erfolgt über sichere OAuth-Services bei Ihrem Provider - unser System speichert keine Zugangsdaten zu Ihrem Provider.

Die Schnittstelle ist ausschließlich lesender Natur, das bedeutet, dass zu keinem Zeitpunkt Dokumente aus Ihrem Cloud-Storage im System gespeichert werden. Durch die Beendigung der Session werden die abgerufenen Details verworfen.

Unsere Software speichert zu keinem Zeitpunkt Daten in Ihrem Cloud-Storage. Ordnen Sie Dokumente aus Ihrem Cloud-Storage Belegen in Ihrer Buchhaltung zu, wird lediglich eine identifizierende Referenz zu dieser Datei gespeichert.

Wichtig: Wenn Sie eine OCR-Analyse auf diese Dateien durchführen, speichert unser System die Ergebnisse der Bilderkennung.

Google Drive

Damit Sie Ihre in Google Drive gespeicherten Dokumente (PDFS, Bilder, etc.) in FreeFinance verknüpfen können, wird der Scope "drive.readonly" benötigt. 

Die Authentifizierung erfolgt über sichere OAuth-Services!

  • FreeFinance speichert keine Zugangsdaten zu Google Drive.
  • FreeFinance lädt keine Dokumente auf in Ihr Google Drive hoch.
  • FreeFinance erstellt keine Dokumente in Ihrem Google Drive.
  • FreeFinance ändert keine vorhandenen Dokumente in Ihrem Google Drive.
  • FreeFinance liest nur Verzeichnisse und Dokumente – damit Sie Verbindungen zwischen ihren Dokumenten (meistens Rechnungen und Quittungen) und Einträgen in ihrer FreeFinance-basierten Buchhaltung erstellen können
  • FreeFinance speichert keine Google Drive-Dokumente!
  • Sie können eine OCR-Analyse für ausgewählte Google Drive-Dokumente ausführen – dabei laden wir die angeforderten Dokumente herunter, führen die OCR-Analyse durch und speichern nur die extrahierten Metadaten (nicht die Dokumente). Heruntergeladene Dateien werden nie gespeichert, sondern liegen nur für die genannten Zwecke temporär im Arbeitsspeicher vor.

Damit gewähren Sie FreeFinance auf sämtliche Dateien in diesem Google Drive Konto, dieser Zugriff kann nicht auf selektive Dokumente eingeschränkt werden. Tipp: Wenn Sie sicherstellen möchten, dass Sie mit FreeFinance nur Ihre buchhaltungsrelevanten Dokumente teilen, so empfehlen wir, einen neuen Google Drive-Zugang (neues Konto) anzulegen und mit diesem neuen Zugang die gewünschten Drive-Dokumente zu sharen.

Sie können den Zugriff jederzeit aufheben, damit bleiben zwar sämtliche in FreeFinance angelegten Verknüpfungen zwar gespeichert, die Dateien können aber nicht mehr über FreeFinance aufgerufen werden.

make.com

Unsere Software bietet Ihnen erweiterte Integrations-Möglichkeiten über die Plattform make.com.

Die Zugriffs-Berechtigung muss willentlich durch Sie hergestellt und kann sowohl in FreeFinance als bei make.com jederzeit entfernt werden.

Die Authentifizierung erfolgt über sichere OAuth-Services - FreeFinance speichert keine Zugangsdaten zu make.com

Bitte stellen Sie sicher, dass Sie durch die Implementierung dieser Integrationen keine Daten der besonderen Kategorien nach Art 9 DSGVO im System erfassen.

Unsere API

Über unsere öffentliche API können Sie Drittsoftware verbinden. Bitte stellen Sie sicher, dass Sie durch die Implementierung dieser API keine Daten der besonderen Kategorien nach Art 9 DSGVO (siehe weiter unten) im System erfassen.

Für die Weitergabe Ihrer in unserer Software erfassten Daten tragen Sie die Verantwortung.

rapidmail

Für den Mailversand unserer Systemmails (Notifizierungen, Abo-Abwicklung, etc) verwenden wir die Services von rapidmail. 

Sofern Sie keinen eigenen Mailserver hinterlegt haben, werden durch die Funktionen "Mailversand" auch die Dokumente der Rechnungslegung sowie der Registrierkasse über rapidmail verschickt - samt Dateianhängen.

Lohnbot

Lohnbot ermöglicht eine OAuth-Anbindung an Ihre Buchhaltung zur Übertragung der monatlichen Lohn- und Gehaltsbuchungen. Durch diese Anbindung wird sowohl ein lesender als auch schreibender Zugriff auf Ihre FreeFinance-Buchhaltung gewährt. Details finden Sie in der Datenschutzerklärung von unserem Partner.

Für unsere Support-Aktivitäten

Um Sie bestmöglich bei der Nutzung unserer Services zu unterstützen, verwenden wir das durch unseren Auftragsdatenverarbeiter selbst betriebene Ticketsystem FreeScout für unsere Support-Aktivitäten.

Wie lange werden Ihre Daten gespeichert und verarbeitet

Für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung über die Abwicklung bis hin zur Beendigung eines Vertrags) sowie darüber hinaus gemäß den gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Diese ergeben sich u. a. aus:

  • dem Unternehmensgesetzbuch (UGB)
  • der Bundesabgabenordnung (BAO) 

Welche Datenschutzrechte stehen Ihnen zu

Sie haben jederzeit:

  • das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung Ihrer gespeicherten Daten
  • ein Widerspruchsrecht gegen die Verarbeitung
  • ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts
  • Beschwerden können Sie an die österreichische Datenschutzbehörde richten: <www.dsb.gv.at>

Sind Sie zur Bereitstellung von Daten verpflichtet

Sie müssen jene personenbezogenen Daten bereitstellen, die für die Aufnahme und Durchführung unserer Geschäftsbeziehung erforderlich sind und zu deren Erhebung wir gesetzlich verpflichtet sind.

Sofern Sie uns die Daten nicht zur Verfügung stellen wollen, müssen wir den Abschluss des Vertrages oder die Ausführung des Auftrags in der Regel ablehnen. Einen bestehenden Vertrag können wir in diesem Fall nicht mehr durchführen und müssen diesen folglich beenden.

Nicht verpflichtet sind Sie allerdings, eine Einwilligung zur Verarbeitung von jenen Daten zu erteilen, die für die Vertragserfüllung nicht relevant oder nicht gesetzlich erforderlich sind.

Sollten Sie nicht unsere Mail-Infrastruktur zum Versand Ihrer Geschäftsdokumente verwenden, haben Sie dafür Sorge zu tragen, dass diese Infrastruktur ebenso den Vorgaben der DSGVO entspricht.

Es ist nicht erlaubt, Daten der besonderen Kategorien nach Art 9 DSGVO (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) unverschlüsselt im System zu erfassen. 

Datensicherheit

Ihre Datensicherheit ist unser höchstes Anliegen. Unser erklärtes Ziel ist es, alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Sicherheit der Datenverarbeitung zu gewährleisten und Ihre personenbezogenen Daten so zu verarbeiten, dass sie vor Zugriffen durch unbefugte Dritte geschützt sind.

Durch die Verwendung modernster Sicherheitssoftware, Kodierungs- und Verschlüsselungsverfahren entspricht unsere IT-Infrastruktur den höchsten internationalen Sicherheitsstandards.

 

DSGVO Verantwortlicher als PDF

DSGVO Auftragsverarbeiter als PDF