Datenschutz

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten bei der Nutzung von LExIT.

ImpressumDatenschutzerklärungAllgemeine GeschäftsbedingungenAuftragsverarbeitung (AVV)

Datenschutzerklärung für LExIT

1. Verantwortlicher

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten ist:

  • LExIT.cc
  • Mag. Matthias König, MA
  • Stiftingtalstraße 126, 8010 Graz
  • E-Mail: office@lexit.cc

Datenschutzanfragen können Sie jederzeit an office@lexit.cc richten.

2. Worum es in dieser Datenschutzerklärung geht

Diese Datenschutzerklärung informiert Sie darüber, wie wir personenbezogene Daten verarbeiten, wenn Sie

  • unsere Website besuchen,
  • ein Nutzerkonto für LExIT anlegen,
  • LExIT als webbasierte SaaS-Anwendung nutzen,
  • Belege, Rechnungen oder sonstige Inhalte in LExIT verarbeiten,
  • ein kostenpflichtiges Abonnement abschließen,
  • optionale Integrationen (zum Beispiel Stripe-Import oder Shopify-Import) verbinden,
  • uns kontaktieren oder Ihre Datenschutzrechte geltend machen.

3. Kategorien betroffener Personen

Wir verarbeiten je nach Nutzung insbesondere Daten von:

  • Website-Besuchern,
  • Interessenten,
  • registrierten Nutzern,
  • Ansprechpartnern unserer Kunden,
  • Endkunden, Lieferanten oder sonstigen Dritten, deren Daten von unseren Kunden in LExIT verarbeitet werden,
  • Zahlungs- und Vertragspartnern.

4. Zwecke, Datenkategorien und Rechtsgrundlagen

4.1 Besuch der Website und Bereitstellung der Anwendung

Beim Aufruf unserer Website beziehungsweise Anwendung werden technisch erforderliche Verbindungs- und Nutzungsdaten verarbeitet, um die Seite bereitzustellen und die Sicherheit und Stabilität des Systems zu gewährleisten.

Dabei können insbesondere folgende Daten verarbeitet werden:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene URL
  • Referrer-URL
  • Browsertyp und Browserversion
  • Betriebssystem
  • technische Header-Informationen

Zwecke:

  • Auslieferung der Website und Anwendung
  • IT-Sicherheit
  • Fehleranalyse
  • Missbrauchs- und Angriffsabwehr

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherem und funktionsfähigem Betrieb)
  • soweit technisch zwingend erforderlich, auch Art. 6 Abs. 1 lit. b DSGVO, soweit die Bereitstellung zur Vertragsanbahnung oder Vertragserfüllung erfolgt

4.2 Registrierung, Login und Nutzerkonto

Wenn Sie ein Konto anlegen oder sich anmelden, verarbeiten wir insbesondere:

  • E-Mail-Adresse
  • Passwort beziehungsweise Passwort-Hash (je nach Authentifizierungsdienst technisch verarbeitet; Passwörter werden nicht im Klartext gespeichert)
  • Nutzer-ID
  • Authentifizierungs- und Session-Daten
  • Login-Status

Zwecke:

  • Einrichtung und Verwaltung Ihres Nutzerkontos
  • Authentifizierung
  • Schutz vor unberechtigtem Zugriff
  • Vertragserfüllung

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag oder vorvertragliche Maßnahmen)
  • Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit, Missbrauchsabwehr)

4.3 Onboarding, Stammdaten und Kontoeinstellungen

Im Rahmen des Onboardings und in den Einstellungen können wir insbesondere folgende Daten verarbeiten:

  • Firmenname beziehungsweise Name
  • Firmenadresse
  • Kontakt-E-Mail
  • Telefonnummer
  • Steuernummer
  • UID-Nummer
  • Bankdaten (zum Beispiel IBAN, BIC, Bankname)
  • Rechnungs- und Layout-Einstellungen
  • Einwilligungs- und Zustimmungsdaten (zum Beispiel akzeptierte Vertrags- oder Datenschutzhinweise samt Zeitstempel)

Zwecke:

  • Einrichtung des Accounts
  • Ausgabe von Rechnungen, Exporten und Auswertungen
  • Verwaltung von Unternehmens- und Steuerstammdaten
  • Dokumentation von Zustimmungen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. c DSGVO, soweit gesetzliche Nachweis- oder Aufbewahrungspflichten bestehen
  • Art. 6 Abs. 1 lit. f DSGVO für interne Dokumentation und Missbrauchsprävention

4.4 Nutzung der Kernfunktionen von LExIT

Bei Nutzung der Software verarbeiten wir die von Ihnen eingegebenen, hochgeladenen, importierten oder erzeugten Daten, insbesondere:

  • Belegdaten
  • Rechnungsdaten
  • Buchungs- und Steuerdaten
  • Partner-, Kunden- und Lieferantendaten
  • Kontaktdaten von Ansprechpartnern
  • Dateiinhalte aus hochgeladenen Dokumenten
  • Metadaten zu Uploads und Verarbeitungsvorgängen
  • Export- und Reportdaten
  • Quoten- und Nutzungsdaten (zum Beispiel Anzahl verarbeiteter Belege pro Zeitraum)

Je nach konkreter Nutzung kann dies auch personenbezogene Daten Dritter umfassen, die Sie als unser Kunde in Ihrem eigenen Verantwortungsbereich in die Anwendung einstellen.

Zwecke:

  • Bereitstellung der vereinbarten SaaS-Funktionen
  • Belegverwaltung
  • strukturierte Aufbereitung und Darstellung von Zahlen
  • Erstellung von Auswertungen, Reports und Exporten
  • technische Begrenzung und Verwaltung von Paket- oder Fair-Use-Grenzen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO, soweit die Verarbeitung für die Nutzung unseres Vertragsangebots erforderlich ist
  • Art. 6 Abs. 1 lit. f DSGVO für Produktschutz, Missbrauchserkennung und Systembetrieb

4.5 Datei-Uploads und in der Anwendung gespeicherte Dateien

Wenn Sie Dateien hochladen, verarbeiten wir insbesondere:

  • Dateiinhalte
  • Dateiname
  • Dateipfad oder Speicherort
  • Upload-Zeitpunkt
  • technische Metadaten

Dies betrifft insbesondere Belegdateien sowie optional hochgeladene Branding-Dateien wie Logos oder Briefpapier.

Zwecke:

  • Speicherung und Anzeige innerhalb der Anwendung
  • Verknüpfung mit Ihren Datensätzen
  • Erstellung von Vorschauen, PDFs und Exporten

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

4.6 OCR und automatisierte Vorschläge

Soweit in gebuchten Paketen OCR- oder automatische Erkennungsfunktionen genutzt werden, können Inhalte hochgeladener Dateien technisch ausgewertet werden, um beispielsweise Betrags-, Datums- oder Strukturvorschläge zu erzeugen.

Zwecke:

  • Verbesserung der Nutzerfreundlichkeit
  • Vorbefüllung und Plausibilisierung
  • Beschleunigung manueller Erfassung

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO (Interesse an effizientem Produktbetrieb)

Wichtiger Hinweis:

Automatische Erkennungen oder Vorschläge dienen nur als Hilfestellung. Es erfolgt nach aktuellem Stand keine ausschließlich automatisierte Entscheidung mit rechtlicher oder vergleichbar erheblicher Wirkung im Sinne des Art. 22 DSGVO. Fachliche Prüfung und Freigabe verbleiben beim Nutzer.

4.7 Zahlungsabwicklung, Abonnement und Billing

Wenn Sie ein kostenpflichtiges Paket buchen oder verwalten, verarbeiten wir insbesondere:

  • E-Mail-Adresse
  • Kunden-ID
  • Abo-Status
  • gebuchter Tarif
  • Abrechnungsintervall
  • Zahlungsstatus
  • Abonnement- und Transaktionskennungen
  • Zeitpunkte von Beginn, Verlängerung, Kündigung oder Ablauf

Die eigentliche Zahlungsabwicklung erfolgt über einen externen Zahlungsdienstleister, derzeit insbesondere Stripe.

Zwecke:

  • Abschluss und Durchführung des Nutzungsvertrags
  • Abrechnung
  • Verwaltung Ihres Abonnements
  • Erkennung fehlgeschlagener Zahlungen
  • Missbrauchs- und Betrugsprävention

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. c DSGVO, soweit handels- oder steuerrechtliche Pflichten bestehen
  • Art. 6 Abs. 1 lit. f DSGVO für Forderungsmanagement und Systemsicherheit

4.8 Optionale Drittintegrationen (zum Beispiel Stripe-Import, Shopify-Import)

Wenn Sie optionale Integrationen aktivieren, verarbeiten wir die von Ihnen bereitgestellten Zugangsdaten und die über die jeweilige Schnittstelle abgerufenen Daten.

Das kann insbesondere umfassen:

  • bei Stripe-Import:
  • Restricted API Keys
  • Konto- oder Account-Informationen
  • importierte Zahlungs- und Gebührendaten
  • Kunden- und Rechnungsinformationen aus Stripe
  • Transaktionsmetadaten
  • bei Shopify-Import:
  • Shop-Domain
  • Access Token
  • Shop-Name
  • Bestell-, Zahlungs- und Kundendaten aus Shopify
  • importierte Bestellmetadaten

Zwecke:

  • Herstellen und Speichern der Verbindung
  • Abruf externer Daten auf Ihren Wunsch
  • Import in Ihre LExIT-Umgebung
  • Automatisierung von Arbeitsabläufen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO

4.9 UID- oder VAT-Prüfung über VIES

Wenn Sie die UID-Prüfung nutzen, wird die eingegebene UID an den VIES-Dienst der Europäischen Kommission übermittelt.

Dabei können insbesondere verarbeitet werden:

  • eingegebene UID-Nummer
  • abgeleitete Länderkennung
  • Ergebnis der Prüfung
  • von VIES zurückgelieferter Name und Adresse, soweit verfügbar

Zwecke:

  • Validierung von EU-Umsatzsteuer-Identifikationsnummern
  • Plausibilisierung Ihrer Stammdaten

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO (Interesse an richtiger und effizienter Datenverarbeitung)

4.10 Kontaktaufnahme und Support

Wenn Sie uns kontaktieren, verarbeiten wir die von Ihnen mitgeteilten Daten, insbesondere:

  • Name
  • Kontaktdaten
  • Inhalt der Nachricht
  • etwaige Anhänge
  • Kommunikationshistorie

Zwecke:

  • Bearbeitung Ihrer Anfrage
  • Support
  • Vertragskommunikation
  • Dokumentation von Vorgängen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO

5. Cookies, lokale Speicher und technisch erforderliche Identifier

Wir verwenden technisch erforderliche Cookies und vergleichbare Speichertechnologien, soweit dies für den Betrieb der Website beziehungsweise Anwendung notwendig ist.

Nach aktuellem Stand können insbesondere folgende Speicherungen erfolgen:

  • Authentifizierungs- und Session-Cookies für den Login und die sichere Nutzung
  • technische Cookies zur Sitzungsverwaltung
  • Einträge im lokalen Speicher (Local Storage), zum Beispiel für
  • Darstellungseinstellungen wie ein gewähltes Theme
  • produktinterne Komforteinstellungen (zum Beispiel Hilfe- oder Hinweisfunktionen)

Zwecke:

  • sichere Anmeldung
  • Aufrechterhaltung Ihrer Sitzung
  • technische Funktionsfähigkeit
  • nutzerseitige Komforteinstellungen

Rechtsgrundlage:

  • Art. 6 Abs. 1 lit. b DSGVO
  • Art. 6 Abs. 1 lit. f DSGVO

Soweit in Zukunft nicht erforderliche Analyse-, Tracking- oder Marketing-Technologien eingesetzt werden, werden wir diese Datenschutzerklärung entsprechend aktualisieren und - soweit erforderlich - vorab eine Einwilligung einholen.

6. Empfänger und Kategorien von Empfängern

Wir übermitteln personenbezogene Daten nur, soweit dies rechtlich zulässig und für die genannten Zwecke erforderlich ist.

Empfänger können insbesondere sein:

  • Supabase (Authentifizierung, Datenbank, Storage, technische Plattform)
  • Vercel (Hosting, Deployment und technische Auslieferung der Webanwendung)
  • Stripe (Zahlungsabwicklung, Billing, Webhooks, Billing Portal; bei aktivierter Nutzung auch im Zusammenhang mit optionalen Stripe-Funktionen)
  • Shopify (nur, wenn Sie aktiv eine Shopify-Integration nutzen)
  • Europäische Kommission oder VIES (nur bei Nutzung der UID-Prüfung)
  • weitere Hosting-, Infrastruktur- und IT-Dienstleister, soweit technisch erforderlich
  • Support-Dienstleister
  • steuerliche oder rechtliche Berater, soweit erforderlich
  • Behörden, Gerichte oder sonstige Stellen, wenn wir hierzu gesetzlich verpflichtet sind

Eine aktuelle Liste wesentlicher Auftragsverarbeiter oder Subprozessoren stellen wir auf Anfrage zur Verfügung oder veröffentlichen sie gesondert, soweit dies vorgesehen ist.

7. Auftragsverarbeitung und Rollenverteilung

Soweit Sie in LExIT personenbezogene Daten Ihrer eigenen Kunden, Lieferanten, Mitarbeiter oder sonstiger Dritter verarbeiten, handeln Sie in Bezug auf diese Inhalte regelmäßig als datenschutzrechtlich Verantwortlicher.

Wir verarbeiten diese Daten dann typischerweise als Auftragsverarbeiter in Ihrem Auftrag, soweit wir die Daten ausschließlich zur technischen Bereitstellung unserer SaaS-Leistung verarbeiten.

Davon zu unterscheiden sind Verarbeitungen, bei denen wir selbst Verantwortlicher sind, insbesondere für:

  • Registrierung und Login
  • Vertrags- und Abrechnungsdaten
  • Systemsicherheit
  • Produktbetrieb
  • Missbrauchs- und Betrugsprävention
  • Kommunikation mit Ihnen

Soweit rechtlich erforderlich, stellen wir eine gesonderte Vereinbarung zur Auftragsverarbeitung (AVV) bereit.

8. Drittlandübermittlungen

Je nach eingesetzten Dienstleistern und Ihrer Nutzung kann es dazu kommen, dass personenbezogene Daten auch in Staaten außerhalb des EWR übermittelt oder dort verarbeitet werden.

Dies kann insbesondere relevant sein bei:

  • Supabase
  • Vercel
  • Stripe
  • sonstigen Cloud- und Infrastruktur-Dienstleistern
  • von Ihnen aktivierten Drittintegrationen

Soweit eine Drittlandübermittlung erfolgt, achten wir auf ein angemessenes Datenschutzniveau. Das kann insbesondere erfolgen durch:

  • Angemessenheitsbeschlüsse der Europäischen Kommission,
  • Standardvertragsklauseln,
  • weitere geeignete Garantien nach Art. 46 DSGVO.

Wenn Sie hierzu nähere Informationen wünschen, können Sie uns unter office@lexit.cc kontaktieren.

9. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Soweit keine speziellere Frist gilt, gelten insbesondere folgende Grundsätze:

  • Kontodaten speichern wir für die Dauer des Vertragsverhältnisses.
  • Vertrags- und Abrechnungsdaten speichern wir für die Dauer gesetzlicher handels- und steuerrechtlicher Aufbewahrungspflichten.
  • Support- und Kommunikationsdaten speichern wir für die Dauer der Bearbeitung und darüber hinaus, soweit dies für Nachweis-, Verteidigungs- oder Dokumentationszwecke erforderlich ist.
  • Von Ihnen in der Anwendung gespeicherte Inhaltsdaten verarbeiten wir grundsätzlich für die Dauer Ihres Vertrags und im Rahmen Ihrer Nutzung, vorbehaltlich gesetzlicher Pflichten, technischer Vorhaltefristen und vertraglicher Regelungen.

10. Backups und technische Sicherungen

Wir können technische Backups zu internen Betriebs- und Sicherheitszwecken vorhalten.

Dabei gilt derzeit:

  • technische Backups werden höchstens für bis zu 7 Kalendertage vorgehalten,
  • aus technischen Sicherungen kann es vorkommen, dass gelöschte Daten noch für kurze Zeit in Sicherungssystemen enthalten sind,
  • es besteht keine Garantie, dass Daten aus einem Backup ganz oder teilweise wiederhergestellt werden können.

Backups dienen dem technischen Betrieb und stellen kein revisionssicheres Archiv dar.

11. Keine Pflicht zur Bereitstellung in jedem Fall

Die Bereitstellung bestimmter Daten ist für den Abschluss und die Durchführung des Vertrags erforderlich.

Wenn Sie insbesondere keine Registrierungs-, Login-, Vertrags- oder Abrechnungsdaten bereitstellen, können wir Ihnen bestimmte Funktionen oder die Nutzung der Anwendung ganz oder teilweise nicht zur Verfügung stellen.

Die Bereitstellung optionaler Angaben, zum Beispiel bestimmter Stammdaten, Branding-Dateien oder Integrationen, ist freiwillig; ohne diese können jedoch einzelne Komfort- oder Zusatzfunktionen eingeschränkt sein.

12. Ihre Rechte nach der DSGVO

Sie haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen
  • Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft, soweit eine Verarbeitung auf Einwilligung beruht

Wenn Sie eines dieser Rechte geltend machen möchten, kontaktieren Sie uns bitte unter office@lexit.cc.

13. Beschwerderecht bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen Datenschutzrecht verstößt, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen.

In Österreich ist dies insbesondere:

  • Österreichische Datenschutzbehörde
  • Barichgasse 40-42, 1030 Wien
  • E-Mail: dsb@dsb.gv.at
  • Website: https://www.dsb.gv.at/

Sie können sich auch an die Aufsichtsbehörde Ihres gewöhnlichen Aufenthaltsorts, Arbeitsorts oder des Orts des mutmaßlichen Verstoßes wenden.

14. Datensicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang, Umständen und Zwecken der Verarbeitung vor Verlust, Zerstörung, unberechtigtem Zugriff, unberechtigter Veränderung oder unzulässiger Offenlegung zu schützen.

Dazu können je nach Einzelfall insbesondere gehören:

  • Zugriffsbeschränkungen
  • Rollen- und Berechtigungskonzepte
  • Transportverschlüsselung
  • gesicherte Authentifizierung
  • Logging und Missbrauchserkennung
  • technische Segmentierung

15. Keine revisionssichere Archivierung

LExIT dient der technischen Organisation und Aufbereitung von Daten. Die Anwendung bietet nach aktuellem Stand keine zugesicherte revisionssichere Archivierung und ersetzt kein eigenständiges, rechtssicheres Archivierungs- oder Dokumentationssystem.

Wenn Sie gesetzlichen Aufbewahrungs-, Nachweis- oder Dokumentationspflichten unterliegen, müssen Sie eigenverantwortlich sicherstellen, dass Ihre Daten in einer dafür geeigneten Form archiviert und gesichert werden.

16. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung anpassen, wenn sich gesetzliche Anforderungen, unsere Dienste, unsere Datenverarbeitungen oder eingesetzte Dienstleister ändern.

Maßgeblich ist die jeweils auf unserer Website beziehungsweise in der Anwendung veröffentlichte Fassung.

17. Vor Live-Einsatz noch zu ergänzen

  • tatsächliche Liste wesentlicher Auftragsverarbeiter und Subprozessoren mit konkreter Fassung
  • tatsächliche Server- und Speicherstandorte
  • konkrete Aufbewahrungsfristen, soweit intern bereits definiert
  • gegebenenfalls eine gesonderte Information, falls ein Datenschutzbeauftragter bestellt wird
  • Verlinkung zur AVV beziehungsweise Hinweis, wie Kunden diese anfordern können