Datenschutzerklärung

1. Verantwortlicher

Hundseder & Görg HoGa Consulting GbR
vertreten durch Regina Hundseder & Fabian Görg
Carl-Braun-Str. 44
83209 Prien am Chiemsee
E-Mail: support@getrevenu.app

Die Bestellung eines Datenschutzbeauftragten ist gemäß Art. 37 DSGVO nicht erforderlich, da die Voraussetzungen hierfür nicht erfüllt sind.

2. Welche Daten wir erheben

Bei der Nutzung von REVENU erheben und verarbeiten wir folgende Daten:

Kontodaten:

• E-Mail-Adresse (zur Identifizierung und Zuordnung Ihres Kontos)

Betriebsdaten:

• Von Ihnen eingegebene betriebswirtschaftliche Kennzahlen (Gäste, Umsatz, Kosten, Preise etc.)
• Artikel, Zutaten und Rezepturen
• Hochgeladene Belege und daraus extrahierte Positionen
• Monatliche Snapshots Ihrer Betriebsdaten (automatisch erstellt)

Externe Integrationen (ab Pro+):

• Wenn Sie eine Verbindung zu sevDesk oder lexoffice herstellen, speichern wir Ihren API-Token verschlüsselt (AES-256-GCM) in unserer Datenbank.
• Die Verbindung dient ausschließlich dem lesenden Zugriff auf Ihre Buchhaltungsdaten (Belege, Rechnungen). Ein Schreibzugriff auf Ihr sevDesk-/lexoffice-Konto erfolgt nicht.
• Sie können die Verbindung jederzeit in der App trennen; dabei wird der gespeicherte Token unwiderruflich gelöscht.

Zahlungsdaten:

• Abonnement-Status und Stripe-Kunden-ID
• Zahlungsdaten (Kreditkarte etc.) werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert

Technische Daten:

• Server-Logs mit IP-Adresse (letztes Oktett entfernt), Browser-Typ und Zeitstempel (zur Fehlerbehebung und Sicherheit)
• Eingebettete Chatbot-Funktion: Die App bietet ein optionales Hilfe-Widget, bereitgestellt von Abacus.AI Inc. (USA). Beim Laden der App wird ein Script dieses Anbieters geladen. Dabei können technische Verbindungsdaten übertragen werden. Eine aktive Nutzung erfolgt erst bei Öffnen des Chat-Fensters durch den Nutzer.

Lokale Speicherung (localStorage):

• REVENU speichert bestimmte Einstellungen lokal in Ihrem Browser (localStorage): gewählter Plan, UI-Präferenzen, Cookie-Consent-Status.
• Diese Daten verlassen Ihren Browser nicht und werden nicht an unsere Server übertragen.
• Sie können localStorage jederzeit über Ihre Browser-Einstellungen löschen.

3. Zweck der Datenverarbeitung

Wir verarbeiten Ihre Daten ausschließlich zur Bereitstellung der REVENU-Dienste:

• Berechnung und Anzeige Ihrer betriebswirtschaftlichen Kennzahlen
• Speicherung Ihrer Betriebsdaten zur Wiederverwendung bei erneutem Login
• Monatliche Trend-Auswertung über gespeicherte Snapshots
• KI-gestützte Analysen (Szenario-Bewertung, Empfehlungen, Upselling-Orakel) auf Basis anonymisierter Kennzahlen
• Lesender Import von Buchhaltungsdaten aus sevDesk/lexoffice (sofern vom Nutzer aktiviert)
• Abrechnung über Stripe

Wir verkaufen Ihre Daten nicht und nutzen sie nicht für Werbung. Eine Weitergabe an Dritte zu deren eigenen Zwecken findet nicht statt. Daten werden ausschließlich an Auftragsverarbeiter übermittelt, die zur Erbringung des Dienstes erforderlich sind (siehe Abschnitt 8: Hetzner, Stripe, Abacus.AI).

4. Speicherort und Sicherheit

Alle Daten werden auf einem dedizierten Server bei Hetzner Online GmbH in Gunzenhausen (Bayern, Deutschland) gespeichert. Die Übertragung erfolgt verschlüsselt (TLS/HTTPS). Die Datenbank ist nicht direkt aus dem Internet erreichbar.

Verschlüsselung:

• Sensible Daten (z. B. API-Tokens für externe Integrationen) werden mit AES-256-GCM verschlüsselt in der Datenbank gespeichert.
• TLS/HTTPS für alle Datenübertragungen. HSTS erzwingt HTTPS.

Authentifizierung und Sessions:

• Passwörter werden mit einem aktuellen, sicheren Hash-Verfahren gespeichert — wir haben keinen Zugriff auf Ihr Klartext-Passwort.
• Sitzungen werden über JWT-Tokens in HttpOnly-Cookies verwaltet (nicht per JavaScript auslesbar).
• JWT-Tokens laufen nach 4 Stunden automatisch ab.
• Zusätzlich werden Sitzungen nach 30 Minuten Inaktivität automatisch beendet, um unbefugten Zugriff bei unbeaufsichtigten Geräten zu verhindern.
• Account-Sperre nach 5 Fehlversuchen. Anmeldeversuche sind zusätzlich per IP rate-limitiert.

Security-Header:

• HSTS (HTTP Strict Transport Security) erzwingt HTTPS.
• Content Security Policy (CSP) schränkt ein, welche externen Ressourcen geladen werden dürfen (Schutz vor XSS).
• Weitere Header: X-Content-Type-Options (nosniff), Referrer-Policy (strict-origin), Permissions-Policy (restriktiv).

Audit-Logging:

• Sicherheitsrelevante Aktionen (Login, Datenzugriff, Löschvorgänge) werden protokolliert.
• IP-Adressen werden nach dem Grundsatz der Datenminimierung gekürzt (letztes Oktett entfernt / IP-Maskierung).

Cookie-Consent:

• REVENU setzt ausschließlich technisch notwendige Cookies (Session-Cookies). Ein gesondertes Cookie-Consent-Banner ist daher nicht erforderlich.
• Der Consent-Status wird lokal im Browser (localStorage) gespeichert und nicht an unsere Server übermittelt.

Beleg-Verarbeitung:

• Originalbelege werden nicht dauerhaft gespeichert; die Verarbeitung erfolgt nur vorübergehend im technisch erforderlichen Umfang.
• Bei der KI-gestützten Beleg-Extraktion werden personenbezogene Daten auf Belegen (Namen, Adressen) nach aktuellem Stand ignoriert und nicht extrahiert (PII-Stripping).

KI-Datenminimierung (LLM-Anonymisierung):

• Bei der Nutzung von KI-gestützten Analysen (Szenario-Bewertung, Empfehlungen, Upselling-Orakel) werden nach dem Prinzip der Datenminimierung aufbereitete Betriebskennzahlen verarbeitet.
• Personenbezogene Daten wie Name, E-Mail-Adresse oder Betriebsname werden dabei nach aktuellem Stand nicht an KI-Dienste übermittelt.
• Hochgeladene Belege (Fotos/PDFs) werden im Arbeitsspeicher verarbeitet und nach der Analyse gelöscht. Eine dauerhafte Speicherung der Originaldateien beim KI-Anbieter erfolgt nach aktuellem Stand nicht.

Registrierungsablauf:

• Die Registrierung erfolgt über Stripe: Plan wählen → Bezahlung → Account-Einrichtung mit Passwort.
• Ein Account wird erst nach erfolgreicher Zahlung erstellt.
• Die Demo ist ohne Anmeldung nutzbar und erfordert keine Eingabe personenbezogener Daten.

5. Rechtsgrundlage

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Verarbeitung Ihrer Betriebsdaten zur Bereitstellung des Dienstes
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Server-Logs zur Sicherheit und Fehlerbehebung
• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Zahlungsabwicklung über Stripe
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Verbindung zu sevDesk/lexoffice (wird vom Nutzer aktiv hergestellt und kann jederzeit widerrufen werden)
• Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Cookiefreie Besucherstatistiken auf den Marketing-Websites via Trackboxx

Drittlandübermittlung:

Für die Dienste Stripe Inc. und Abacus.AI Inc. werden Daten in die USA übermittelt. Die Übermittlung erfolgt auf Basis geeigneter Garantien gemäß Art. 46 DSGVO (Standardvertragsklauseln) bzw. unter dem EU-US Data Privacy Framework (Art. 45 DSGVO). Ein Restrisiko bei Drittlandübermittlungen kann nicht vollständig ausgeschlossen werden.

sevDesk und lexoffice sind deutsche Anbieter. API-Aufrufe an diese Dienste erfolgen direkt von unserem Server in Deutschland.

6. Speicherdauer

• Ihre Daten werden gespeichert, solange Ihr Konto aktiv ist.
• Bei Kontolöschung werden alle Ihre Daten gelöscht. Eine Wiederherstellung ist danach nicht mehr möglich.
• Server-Logs werden nach 30 Tagen automatisch gelöscht.

7. Ihre Rechte (DSGVO Art. 12–23)

Sie haben folgende Rechte:

• Auskunft (Art. 15): Welche Daten wir über Sie gespeichert haben
• Berichtigung (Art. 16): Korrektur unrichtiger Daten
• Löschung (Art. 17): Vollständige Löschung aller Daten – direkt in der App unter „Konto → Daten löschen" oder per E-Mail an uns. Bei der Löschung Ihres Kontos erhalten Sie eine Bestätigungs-E-Mail über die erfolgte Löschung Ihrer Daten.
• Einschränkung (Art. 18): Einschränkung der Verarbeitung
• Datenübertragbarkeit (Art. 20): Sie können alle Ihre Daten jederzeit als maschinenlesbaren JSON-Export über die Konto-Seite herunterladen.
• Widerspruch (Art. 21): Widerspruch gegen bestimmte Verarbeitungen
• Beschwerde bei einer Aufsichtsbehörde (Art. 77)

Kontaktieren Sie uns unter support@getrevenu.app für alle datenschutzbezogenen Anfragen.

8. Drittanbieter

Mit allen Auftragsverarbeitern bestehen entsprechende Vereinbarungen (siehe AVV). sevDesk und lexoffice sind keine Auftragsverarbeiter von REVENU — die API-Verbindung wird vom Nutzer selbst hergestellt; REVENU agiert hier als technischer Vermittler im Auftrag des Nutzers.

9. Cookies und lokale Speicherung

REVENU (die App unter my.getrevenu.app) verwendet keine Tracking-Cookies und kein Analytics-Tracking. Wir setzen ausschließlich technisch notwendige, geschützte Session-Cookies (JWT, HttpOnly) zur Authentifizierung ein.

Zusätzlich wird localStorage für Ihre Plan-Auswahl, lokale Einstellungen und den Cookie-Consent-Status verwendet. Diese Daten verbleiben ausschließlich in Ihrem Browser.

10. Hinweis zu den Marketing-Websites

Die Marketing-Websites unter getrevenu.app und guide.getrevenu.app werden bei ALL-INKL.COM (Neue Medien Münnich, Friedersdorf, Deutschland) gehostet.

Diese Websites verwenden keine Cookies und keine Marketing-Pixel. Für cookiefreie, DSGVO-konforme Besucherstatistiken wird Trackboxx (Deutschland) eingesetzt. Trackboxx verarbeitet keine personenbezogenen Daten, setzt keine Cookies und speichert keine IP-Adressen. Eine Einwilligung ist daher nach aktuellem Stand nicht erforderlich.

Darüber hinaus werden ausschließlich die technisch bedingten Server-Logs des Hosting-Providers erhoben (IP-Adresse, Zeitstempel, aufgerufene Seite), die nach spätestens 30 Tagen gelöscht werden.

11. Änderungen

Diese Datenschutzerklärung kann aktualisiert werden. Die aktuelle Version finden Sie immer auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.