Datenschutzerklärung
Stand: 10. März 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
FiBot
[Straße und Hausnummer]
[PLZ Ort]
E-Mail: info@fibot.de
2. Übersicht der Verarbeitungen
Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen:
- Bestandsdaten (Name, Adresse, E-Mail)
- Nutzungsdaten (Login-Zeiten, Seitenaufrufe, Funktionsnutzung)
- Inhaltsdaten (hochgeladene Dokumente, extrahierte Texte, Metadaten)
- Finanzdaten (Bankverbindungen, Transaktionsdaten via FinAPI)
- Vertragsdaten (Mietverträge, Lieferanteninformationen)
- Kommunikationsdaten (E-Mail-Adressen, E-Mail-Inhalte beim automatischen Import)
3. Rechtsgrundlagen
Die Verarbeitung personenbezogener Daten erfolgt auf Basis folgender Rechtsgrundlagen:
| Rechtsgrundlage | Anwendungsfall |
|---|---|
| Art. 6 Abs. 1 lit. b DSGVO | Vertragserfüllung: Bereitstellung des Dienstes, Nutzerkonto, Dokumentenverwaltung |
| Art. 6 Abs. 1 lit. a DSGVO | Einwilligung: Bankanbindung via FinAPI, E-Mail-Import, Dropbox-Synchronisierung |
| Art. 6 Abs. 1 lit. f DSGVO | Berechtigte Interessen: Sicherheit der Plattform, Fehleranalyse, Verbesserung des Dienstes |
| Art. 6 Abs. 1 lit. c DSGVO | Gesetzliche Pflicht: Aufbewahrungspflichten, Steuerrecht |
4. Erhebung und Verarbeitung von Daten
4.1 Registrierung und Nutzerkonto
Bei der Registrierung erheben wir:
- E-Mail-Adresse
- Passwort (verschlüsselt gespeichert)
- Nutzername
Diese Daten werden zur Bereitstellung des Nutzerkontos und zur Authentifizierung benötigt (Art. 6 Abs. 1 lit. b DSGVO). Jeder Nutzer erhält ein eindeutiges Token (user_token), das die strikte Trennung der Daten zwischen verschiedenen Nutzern gewährleistet (Multi-Tenant-Isolation).
4.2 Dokumenten-Upload und -Verarbeitung
Beim Upload und der Verarbeitung von Dokumenten werden folgende Daten verarbeitet:
- Dokumentdateien – Die hochgeladenen PDF-Dateien werden in einem nutzerspezifischen Verzeichnis gespeichert.
- OCR-Texterkennung – Hochgeladene Dokumente werden automatisch per OCR (via Tesseract OCR) verarbeitet. Dabei wird der Textinhalt des Dokuments extrahiert und in der Datenbank gespeichert, um eine Volltextsuche zu ermöglichen.
- Metadaten – Dateiname, Upload-Datum, Dateigröße, Prüfsumme (Checksum zur Duplikaterkennung), extrahierte Keywords.
- Automatisch erkannte Inhalte – IBAN-Nummern, Rechnungsbeträge, Datumsangaben und Lieferanteninformationen, die aus dem Dokumentinhalt extrahiert werden.
Die Verarbeitung erfolgt zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
4.3 E-Mail-Import
Bei aktiviertem E-Mail-Import verbindet sich der Dienst per IMAP mit dem vom Nutzer angegebenen Postfach und verarbeitet:
- Absender-E-Mail-Adresse
- E-Mail-Betreff und Zeitstempel
- Anhänge (ausschließlich PDF-Dateien)
Der E-Mail-Inhalt (Body) wird nicht gespeichert. Die Zugangsdaten zum E-Mail-Postfach werden verschlüsselt gespeichert. Die Verarbeitung erfolgt auf Basis der Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO).
4.4 Bankanbindung (FinAPI)
Bei Nutzung der Bankanbindung werden über den Drittanbieter FinAPI folgende Daten verarbeitet:
- Bankverbindungsdaten (IBAN, BIC, Kontobezeichnung)
- Kontostände
- Transaktionsdaten (Buchungsdatum, Betrag, Verwendungszweck, Gegenpartei)
Die Datenübermittlung an FinAPI erfolgt verschlüsselt. FiBot speichert keine Bankzugangsdaten – die Authentifizierung erfolgt ausschließlich über FinAPI. Die Verarbeitung erfolgt auf Basis der ausdrücklichen Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO). Die Einwilligung kann jederzeit widerrufen werden.
4.5 DATEV-Export
Bei Nutzung der DATEV-Export-Funktion werden Dokumente und zugehörige Metadaten per E-Mail an die vom Nutzer angegebene DATEV-Adresse (Steuerberater) gesendet. Die Verarbeitung erfolgt auf Anweisung und im Auftrag des Nutzers (Art. 6 Abs. 1 lit. b DSGVO).
4.6 Dropbox-Integration
Bei aktivierter Dropbox-Integration werden Dokumente automatisch in das Dropbox-Konto des Nutzers hochgeladen. Die Authentifizierung erfolgt über OAuth2. FiBot speichert lediglich das Access-Token, nicht das Dropbox-Passwort. Die Verarbeitung erfolgt auf Basis der Einwilligung des Nutzers (Art. 6 Abs. 1 lit. a DSGVO).
4.7 Immobilien-Modul
Bei Nutzung des optionalen Immobilien-Moduls werden zusätzlich folgende personenbezogene Daten verarbeitet:
- Mieterdaten: Name, Vorname, Adresse, Telefonnummer, E-Mail-Adresse
- Vertragsdaten: Vertragslaufzeit, Miethöhe, Nebenkosten
- Zahlungsdaten: IBAN des Mieters, Zahlungshistorie
- Verbrauchsdaten: Zählerstände für Nebenkostenabrechnungen
Diese Daten werden zur Vertragserfüllung verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). Der Nutzer ist als Vermieter selbst datenschutzrechtlich verantwortlich für die Daten seiner Mieter und hat diese entsprechend zu informieren.
5. Automatisierte Verarbeitung
Der Dienst nutzt automatisierte Verarbeitungsprozesse:
- OCR-Texterkennung – Automatische Extraktion von Text aus PDF-Dokumenten
- Auto-Tagging – Automatische Zuordnung von Dokumenten zu Lieferanten und Kategorien basierend auf hinterlegten Suchbegriffen
- Betragserkennung – Automatische Erkennung von Rechnungsbeträgen, IBANs und Datumsangaben
- Zahlungsabgleich – Automatischer Abgleich von Banktransaktionen mit Verträgen
Es findet kein Profiling im Sinne des Art. 22 DSGVO statt. Die automatisierten Ergebnisse dienen ausschließlich als Vorschläge und können vom Nutzer jederzeit manuell korrigiert werden.
6. Speicherdauer
- Nutzerkonto-Daten – Bis zur Löschung des Kontos
- Dokumente und Metadaten – Bis zur Löschung durch den Nutzer oder 30 Tage nach Vertragsende
- Transaktionsdaten – Für die Dauer der Nutzung, jahrgangsweise partitioniert
- Log-Daten – 90 Tage
- Abrechnungsdaten – 10 Jahre gemäß handels- und steuerrechtlichen Aufbewahrungspflichten
7. Empfänger und Drittanbieter
Personenbezogene Daten werden an folgende Drittanbieter übermittelt, sofern der Nutzer die entsprechenden Funktionen aktiviert:
| Drittanbieter | Zweck | Daten |
|---|---|---|
| FinAPI GmbH | Bankanbindung und Transaktionsabruf | Bankzugangsdaten (nur bei FinAPI), Transaktionsdaten |
| Tesseract OCR (lokal) | Optische Zeichenerkennung | PDF-Dokumentinhalte (werden lokal auf dem Server verarbeitet, keine Datenübermittlung an Dritte) |
| Dropbox Inc. | Cloud-Sicherung von Dokumenten | PDF-Dokumente, Dateinamen |
Darüber hinaus erfolgt keine Weitergabe personenbezogener Daten an Dritte, es sei denn, der Nutzer weist dies ausdrücklich an (z.B. DATEV-Export an den Steuerberater).
8. Datensicherheit
Wir treffen angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer Daten, insbesondere:
- SSL/TLS-Verschlüsselung sämtlicher Datenübertragungen
- Multi-Tenant-Isolation: Strikte Datentrennung zwischen Nutzern durch individuelle Nutzer-Tokens
- Verschlüsselte Speicherung von Passwörtern (Hashing)
- CSRF-Schutz (Cross-Site Request Forgery) durch rotierende Tokens
- Eigentumsvalidierung: Jeder Datenzugriff wird gegen den Nutzer-Token geprüft (Custom Validation Rules)
- Regelmäßige Datensicherungen
- Speicherung aller Daten auf Servern in der Europäischen Union
9. Cookies und Tracking
Der Dienst verwendet ausschließlich technisch notwendige Cookies für:
- Session-Verwaltung (Anmeldestatus)
- CSRF-Schutz (Sicherheits-Token)
Es werden keine Tracking-Cookies, Analyse-Tools oder Werbe-Cookies eingesetzt. Es erfolgt kein Tracking des Nutzerverhaltens zu Werbezwecken.
10. Ihre Rechte
Als betroffene Person stehen Ihnen folgende Rechte zu:
- Auskunftsrecht (Art. 15 DSGVO) – Sie haben das Recht, Auskunft über die von uns verarbeiteten personenbezogenen Daten zu erhalten.
- Recht auf Berichtigung (Art. 16 DSGVO) – Sie können die Berichtigung unrichtiger Daten verlangen.
- Recht auf Löschung (Art. 17 DSGVO) – Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Recht auf Einschränkung (Art. 18 DSGVO) – Sie können die Einschränkung der Verarbeitung verlangen.
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) – Sie können die Herausgabe Ihrer Daten in einem gängigen, maschinenlesbaren Format verlangen.
- Widerspruchsrecht (Art. 21 DSGVO) – Sie können der Verarbeitung auf Basis berechtigter Interessen widersprechen.
- Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO) – Erteilte Einwilligungen (z.B. Bankanbindung, E-Mail-Import) können jederzeit mit Wirkung für die Zukunft widerrufen werden.
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: info@fibot.de
11. Beschwerderecht
Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten zu beschweren (Art. 77 DSGVO). Die zuständige Aufsichtsbehörde richtet sich nach dem Bundesland des Sitzes des Verantwortlichen.
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen des Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Bei wesentlichen Änderungen informieren wir registrierte Nutzer per E-Mail.