🔒 DSGVO & Datenschutz

Datenschutz & DSGVO-Konformität

Transparenz über Datenverarbeitung, Serverstandorte, Sub-Processor und technisch-organisatorische Maßnahmen unseres Tools.

1. Verantwortlicher

EDI Global Business Solutions
Inhaber: Frank Edi
E-Mail: info@ediglobalsolutions.com
Website: ediglobalsolutions.com
Tool: ediglobalsolutions.digital

Hinweis: Die offizielle Geschäftsadresse (Dubai-Firmensitz) wird nach Abschluss der Unternehmensgründung hier ergänzt. Bis dahin gilt die obenstehende Kontaktadresse.

2. DSGVO-Compliance im Überblick

Die folgende Tabelle gibt Auskunft über den aktuellen Stand der DSGVO-Anforderungen für unser Tool.

Anforderung Status Details
TLS-Verschlüsselung (Transport) ✓ Erfüllt Alle Verbindungen über HTTPS mit TLS 1.3 (Netlify CDN, automatisch)
Verschlüsselung at Rest ✓ Erfüllt Supabase speichert alle Daten AES-256 verschlüsselt auf AWS-Infrastruktur
E-Mail-Passwort ✓ Sicher Wird ausschließlich im Browser-LocalStorage gespeichert — verlässt das Gerät des Nutzers nie. Keine serverseitige Speicherung.
E-Mail-Inhalte ✓ Nur lokal E-Mail-Daten werden nur im Browser-LocalStorage gespeichert (nicht in der Cloud). Die serverlose Funktion liest E-Mails transient (ohne Persistenz).
Auftragsverarbeitungsvertrag (AVV) ✓ Verfügbar Standard-AVV auf Anfrage per E-Mail erhältlich. Sub-Processor (Netlify, Supabase) haben eigene DPAs.
Serverstandort — Datenbank ✓ EU (Frankfurt) Supabase-Datenbankregion: AWS eu-central-1 (Frankfurt, Deutschland)
Serverstandort — Funktionen ⚠ USA (DPF) Netlify Functions laufen auf AWS Lambda (us-east-1). Netlify ist EU-US Data Privacy Framework zertifiziert. E-Mail-Daten werden nur transient verarbeitet, nicht gespeichert.
Rollen- & Rechteverwaltung ✓ Implementiert 4 Rollen: Admin, Buchhaltung, Einkauf, Lager. Jede Rolle sieht nur relevante Module.
Datensparsamkeit ✓ Erfüllt Es werden nur für den Betrieb notwendige Daten erfasst. Keine Tracking-Cookies, keine Werbung.
Multi-Faktor-Authentifizierung (MFA) ⚠ Geplant Supabase-Auth unterstützt MFA. Wird in einem kommenden Update aktiviert.
Audit-Logs ⚠ Geplant Logging kritischer Aktionen (Login, Datenexport) ist für Q3 2026 geplant.
Löschkonzept ✓ Vorhanden Nutzer können alle eigenen Daten jederzeit löschen. Kontoschließung löscht alle Cloud-Daten. Keine automatische Aufbewahrungsfrist über Vertragsdauer hinaus.
ISO/IEC 27001 ⚠ Sub-Processor Supabase und Netlify (via AWS) sind ISO 27001 zertifiziert. EDI selbst als Startup noch nicht.
Backup-Konzept ✓ Supabase Supabase führt automatische tägliche Backups durch (PITR auf Pro-Plan). Daten können auf Anfrage wiederhergestellt werden.

3. Sub-Processor (Unterauftragsverarbeiter)

Folgende Dienstleister werden als Sub-Processor eingesetzt und sind vertraglich zur DSGVO-Konformität verpflichtet:

Dienstleister Funktion Standort / Region Rechtsgrundlage DPA / Zertifizierung
Supabase Inc. Datenbank, Authentifizierung, Cloud-Sync von Buchführungs- und Rechnungsdaten 🇩🇪 AWS eu-central-1 (Frankfurt) AVV + DSGVO Art. 28 DPA verfügbar, SOC 2 Type II
Netlify Inc. Hosting der Web-App, serverlose Funktionen (IMAP-Abruf, Bank-API, AI-Chat) 🌍 CDN global, Functions: 🇺🇸 AWS us-east-1 EU-US Data Privacy Framework (DPF), SCCs DPA verfügbar
Anthropic PBC KI-Analyse von E-Mails und Dokumenten (nur bei Premium-Plan, opt-in) 🇺🇸 USA (San Francisco) EU-US DPF, SCCs, Anthropic Enterprise DPA Datenschutzrichtlinie
GoCardless Ltd. PSD2-Bankanbindung (optional, nur bei Bank-Connect-Nutzung) 🇬🇧 UK / 🇩🇪 EU-Lizenz PSD2, FCA-lizenziert, UK GDPR Privacy Policy
GitHub (Microsoft) Quellcode-Versionierung — keine Kundendaten 🇺🇸 USA Nur Sourcecode, kein Art. 28-Verhältnis Microsoft EU Data Boundary

Hinweis zu Anthropic: Die KI-Analyse von E-Mails und Dokumenten überträgt Textinhalte an Anthropic. Anthropic verpflichtet sich vertraglich, API-Daten nicht für das Training eigener Modelle zu verwenden. Die Nutzung ist opt-in und nur für Premium-Nutzer verfügbar.

4. Welche Daten werden verarbeitet?

4.1 Kontodaten (Cloud-gespeichert in Supabase)

  • E-Mail-Adresse (für Login/Authentifizierung)
  • Buchführungseinträge (Datum, Betrag, Kategorie, Beschreibung)
  • Rechnungen (Eingangs- und Ausgangsrechnungen mit Empfänger, Betrag, Positionen)
  • Lieferantendaten (Name, Kontaktdaten, Produktpreise)
  • Unternehmensprofilsettings (Firmenname, Adresse, Logo)
  • Cashflow-Einträge und Budgetpläne

4.2 Lokal im Browser gespeichert (niemals in Cloud)

  • IMAP-Zugangsdaten (E-Mail-Passwort) — ausschließlich LocalStorage, kein Server-Zugriff
  • Geladene E-Mail-Inhalte — bleiben im Browser, werden nicht hochgeladen

4.3 Transient verarbeitet (nicht dauerhaft gespeichert)

  • E-Mails beim IMAP-Abruf: Die serverlose Funktion liest E-Mails, sendet das Ergebnis an den Browser und speichert nichts serverseitig.
  • Bankkonten-Transaktionen: Werden von GoCardless abgerufen und direkt an den Browser weitergeleitet.
  • KI-Analysen: Textinhalte werden an Anthropic übermittelt, das Ergebnis zurückgeliefert — keine dauerhafte Speicherung durch EDI.

5. Technische und organisatorische Maßnahmen (TOMs)

🔐

Zutrittskontrolle

Physischer Zugang zu Serversystemen liegt bei Supabase/AWS/Netlify mit ISO 27001 / SOC 2-zertifizierten Rechenzentren.

🔑

Zugangskontrolle

Authentifizierung via Supabase Auth (E-Mail + Passwort, bcrypt-gehasht). HTTPS-only, kein HTTP-Zugang. MFA-Aktivierung geplant.

🛡️

Zugriffskontrolle

Row-Level-Security (RLS) in Supabase: Jeder Nutzer sieht ausschließlich eigene Daten. Rollensteuerung im Team-Tab (Admin, Buchhaltung, Einkauf, Lager).

🔒

Trennungskontrolle

Mandantentrennung durch Supabase RLS. Daten verschiedener Nutzer sind voneinander isoliert und können nicht gegenseitig eingesehen werden.

🌐

Übertragungssicherheit

Alle Datenübertragungen ausschließlich via TLS 1.3 (HTTPS). IMAP-Verbindungen zu E-Mail-Servern ebenfalls via TLS/SSL (Port 993).

📦

Verschlüsselung at Rest

Supabase (AWS): AES-256 Verschlüsselung aller gespeicherten Daten. Browser-LocalStorage: Geräteverschlüsselung des Betriebssystems.

🔑

Passwortschutz

E-Mail-Passwörter werden niemals an Server übermittelt oder gespeichert. Verbleiben ausschließlich im Browser-LocalStorage des Nutzers.

💾

Backup & Recovery

Supabase: Automatische tägliche Backups mit Point-in-Time-Recovery. Nutzer können eigene Daten jederzeit als Excel/ZIP exportieren.

🗑️

Löschkonzept

Nutzer können alle eigenen Daten im Tool löschen. Kontoschließung löscht alle Cloud-Daten bei Supabase. E-Mail-Daten (lokal) werden bei Logout automatisch entfernt.

📋

Datensparsamkeit

Nur funktional notwendige Daten werden gespeichert. Keine Tracking-Cookies, keine Werbeanzeigen, kein Google Analytics.

🏗️

Berechtigungskonzept

Minimalprinzip: Jede Rolle erhält nur Zugriff auf notwendige Module. Admin-Zugriff nur für autorisierte Personen.

🔍

Incident Management

Sicherheitsvorfälle werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet.

6. Besonderheiten E-Mail-Anbindung

Die E-Mail-Integration ist datenschutztechnisch besonders sensibel. Hier sind die genauen Verhältnisse:

  • Passwort: Wird ausschließlich im Browser des Nutzers (LocalStorage) gespeichert. Wird nie an EDI-Server oder Supabase übermittelt.
  • IMAP-Verbindung: Die serverlose Netlify-Funktion stellt temporär eine IMAP-Verbindung her, liest E-Mails im Auftrag des Nutzers und sendet das Ergebnis verschlüsselt (TLS) an den Browser zurück.
  • Keine Dauerspeicherung: E-Mail-Inhalte werden nicht auf EDI-Servern gespeichert. Alles bleibt im Browser-LocalStorage des Nutzers.
  • Anhänge: PDF-Anhänge werden transient verarbeitet (Textextraktion, Rechnungserkennung). Kein dauerhafter Upload von Anhängen zu EDI-Servern.
  • Zugriff: Nur der Kontoinhaber hat Zugriff auf seine verknüpfte E-Mail-Box — kein EDI-Mitarbeiter kann E-Mails des Nutzers einsehen.
  • Aufbewahrung: E-Mails werden nur so lange im Browser gespeichert, wie der Nutzer es möchte. Jederzeit löschbar.

7. Ihre Rechte als Betroffene Person

Gemäß DSGVO stehen Ihnen folgende Rechte zu. Anfragen richten Sie bitte an info@ediglobalsolutions.com:

Art. 15 — AuskunftWelche Daten speichern wir über Sie?
Art. 16 — BerichtigungUnrichtige Daten korrigieren lassen
Art. 17 — Löschung„Recht auf Vergessenwerden"
Art. 18 — EinschränkungVerarbeitung einschränken lassen
Art. 20 — PortabilitätDaten in maschinenlesbarem Format
Art. 21 — WiderspruchVerarbeitung widersprechen
Art. 77 — BeschwerdeBei Datenschutzbehörde beschweren
Sofortige LöschungIm Tool unter Einstellungen → Konto löschen

Die zuständige Aufsichtsbehörde für Deutschland ist der jeweilige Landesbeauftragte für Datenschutz und Informationsfreiheit Ihres Bundeslandes.

8. Auftragsverarbeitungsvertrag (AVV)

Für die Nutzung von EDI Global Business Solutions im gewerblichen Bereich ist gemäß Art. 28 DSGVO ein Auftragsverarbeitungsvertrag erforderlich.

So erhalten Sie den AVV:

  • Senden Sie eine E-Mail an info@ediglobalsolutions.com mit dem Betreff „AVV-Anfrage"
  • Wir senden Ihnen innerhalb von 5 Werktagen den ausgefüllten AVV zur Unterzeichnung zu
  • Der AVV kann digital (qualifizierte elektronische Signatur) oder per Post unterzeichnet werden

Im AVV enthalten: Verarbeitungszweck, Art der Daten, Weisungsrecht, Vertraulichkeitsverpflichtung, Sub-Processor-Liste, TOMs-Referenz, Lösch- und Rückgabepflichten, Audit-Recht.

9. Cookies & Tracking

Das EDI-Tool verwendet keine Marketing-Cookies, keine Tracking-Pixel und kein Google Analytics.

Technisch notwendige Speicherung:

  • Supabase Auth-Token (Session-Cookie): Für die Anmeldung notwendig. Wird nach Logout gelöscht.
  • LocalStorage-Einträge: Buchführung, Einstellungen, E-Mail-Konfiguration. Kein Cookie im klassischen Sinne, kein Tracking.

Da ausschließlich technisch notwendige Speicherung erfolgt, ist keine Cookie-Banner-Einwilligung nach TTDSG erforderlich.

🤝 Fragen zum Datenschutz?

Wir beantworten alle DSGVO-Fragen, stellen den AVV zur Verfügung und dokumentieren TOMs auf Anfrage.

📧 Datenschutz-Anfrage stellen

Stand: Juli 2026 · Diese Seite wird bei wesentlichen Änderungen der Datenverarbeitung aktualisiert. Für rechtlich verbindliche Auskünfte empfehlen wir die Hinzuziehung eines Datenschutzbeauftragten.