Datenschutz­erklärung

1. Verantwortlicher

Für Anfragen zum Datenschutz wenden Sie sich bitte per E-Mail an datenschutz@monetra.at.

2. Allgemeines zur Datenverarbeitung

Monetra ist eine webbasierte Buchhaltungssoftware für österreichische Unternehmen. Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der gesetzlichen Bestimmungen — insbesondere der Verordnung (EU) 2016/679 (DSGVO), des österreichischen Datenschutzgesetzes 2018 (DSG), des Telekommunikationsgesetzes 2021 (TKG 2021) sowie des E-Commerce-Gesetzes (ECG).

Wir erheben nur jene Daten, die zur Erbringung des Dienstes notwendig sind, und geben diese nicht zu Werbezwecken an Dritte weiter.

3. Verarbeitete Datenkategorien, Zwecke und Rechtsgrundlagen

3.1 Zugangsdaten (Benutzerkonten)

Für die Nutzung der Monetra-App ist ein Benutzerkonto erforderlich. Dabei werden folgende Daten verarbeitet:

• E-Mail-Adresse (Benutzername / Login)
• Vor- und Nachname
• Passwort (gespeichert als bcrypt-Hash — nicht im Klartext)
• Benutzerrolle (admin / buchhalter / leser)
• Erstellungs- und Änderungszeitpunkt des Kontos

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — der Zugang zur Software ist Gegenstand des Nutzungsvertrags). Benutzerkonten werden ausschließlich von Administratoren des jeweiligen Unternehmens angelegt, keine Selbstregistrierung für Dritte.

3.2 Kunden- und Lieferantendaten

Im Rahmen der Buchhaltungsfunktionen werden Stammdaten von Geschäftspartnern gespeichert:

• Firmenbezeichnung und Anschrift
• Kontaktperson (Anrede, Vor- und Nachname)
• E-Mail-Adresse, Telefonnummer, Website
• Steuerliche Identifikationsnummer (UID) des Geschäftspartners
• Zahlungsziel, interne Notizen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung gegenüber den Nutzern der Software) sowie Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Buchführungspflicht gemäß §§ 189 ff. UGB, § 132 BAO).

3.3 Rechnungs- und Angebotsdaten

Zur Abwicklung der Buchhaltung werden gespeichert:

• Rechnungs- und Angebotsnummern, Datum, Fälligkeitsdatum
• Leistungspositionen (Beschreibung, Menge, Einheit, Preis, USt-Satz)
• Zahlungseingänge (Datum, Betrag)
• Zahlungsbedingungen und Kopftexte
• Referenz zum jeweiligen Kunden

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (§ 132 BAO, §§ 189 ff. UGB — Aufbewahrungspflicht 7 Jahre).

3.4 Server-Protokolldaten (Logfiles)

Beim Aufruf von Monetra-Seiten werden durch den Webserver automatisch folgende Daten protokolliert:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• Aufgerufene URL und HTTP-Methode
• HTTP-Statuscode
• Übertragene Datenmenge
• Browser und Betriebssystem (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung des IT-Betriebs, Fehlerdiagnose und Abwehr von Angriffen). Logdaten werden nach spätestens 14 Tagen automatisch gelöscht.

3.5 Webanalyse (Umami Analytics, selbst gehostet)

Zur Verbesserung unseres Angebots verwenden wir Umami Analytics, eine datenschutzfreundliche Open-Source-Analysesoftware. Die Umami-Instanz wird ausschließlich auf eigenen Servern bei Hetzner in Deutschland betrieben — es findet keine Übertragung an externe Dritte statt.

• Keine Cookies: Umami setzt keine Cookies und erfordert daher keine Cookie-Einwilligung gemäß § 165 TKG 2021.
• Keine persistente Nutzerkennung: Es werden keine geräteübergreifenden Profile erstellt.
• Anonymisierte IP-Adressen: IP-Adressen werden vor der Speicherung gehasht und können nicht rückverfolgt werden.
• Erfasste Daten: Aufgerufene Seite (URL), Referrer, Browser-Typ, Bildschirmauflösung, Sprache, Betriebssystem — alles aggregiert und nicht personenbezogen.
• Datenstandort: analytics.monetra.at — Server bei Hetzner, Deutschland (EU).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Verbesserung des Dienstes durch anonyme Nutzungsstatistiken). Da keine personenbezogenen Daten erhoben werden und keine Drittübertragung stattfindet, ist eine Einwilligung nicht erforderlich.

4. Cookies und lokaler Browserspeicher

Monetra verwendet ausschließlich technisch notwendige Cookies und lokalen Browserspeicher (localStorage). Es werden keine Tracking- oder Werbe-Cookies eingesetzt.

Rechtsgrundlage: § 165 Abs. 3 TKG 2021 (technisch notwendige Cookies und Speicher bedürfen keiner Einwilligung) sowie Art. 6 Abs. 1 lit. b DSGVO. Da ausschließlich technisch notwendige Speichermechanismen verwendet werden, ist keine Einwilligung erforderlich. Es wird lediglich ein informativer Hinweis angezeigt.

5. Hosting und Auftragsverarbeitung

5.1 Hosting (Hetzner)

Monetra wird auf Servern der Hetzner Online GmbH in Deutschland (EU) betrieben. Alle Daten — Datenbank, Applikation und Backups — werden ausschließlich in der EU gespeichert.

Mit Hetzner besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

5.2 Schriftarten (lokal)

Die Website verwendet die Schriftarten Playfair Display und Inconsolata, die als lokale Dateien auf dem eigenen Server gehostet werden. Es findet dabei keine Verbindung zu externen Diensten statt — es werden keine Daten an Dritte übertragen.

5.3 KI-Chatbot auf der Startseite (Anthropic Claude Haiku)

Auf der öffentlich zugänglichen Startseite (monetra.at) steht ein KI-Chatbot zur Verfügung, der Besucher bei Fragen zu Monetra unterstützt. Dieser Chatbot ist freiwillig nutzbar. Bei Nutzung werden die eingegebenen Textnachrichten zur Verarbeitung an die API von Anthropic übertragen.

Es werden ausschließlich die vom Besucher aktiv eingegebenen Nachrichten übertragen. Es werden keine personenbezogenen Daten aus dem System (Kunden, Rechnungen etc.) einbezogen. Der Chatverlauf wird nicht dauerhaft auf Seiten von Anthropic gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Nutzung des Chatbots nach Kenntnisnahme des Cookie- und Datenschutzhinweises).

5.4 KI-Assistent in der App (Anthropic, OpenAI & Mistral AI)

Nutzer mit der Rolle Buchhalter oder Admin können den integrierten KI-Assistenten verwenden, um Leistungsbeschreibungen in Rechnungen oder Angeboten automatisch generieren zu lassen sowie Belege per KI zu scannen und auszuwerten. Der Nutzer wählt in den Einstellungen, welches KI-Modell verwendet wird. Je nach Auswahl werden Daten an folgende Anbieter übertragen:

Es werden ausschließlich die vom Nutzer aktiv eingegebenen Stichwörter bzw. hochgeladene Belegbilder übertragen. Die Nutzung der KI-Funktionen ist optional. Es wird jeweils nur jener Anbieter kontaktiert, dessen Modell der Nutzer in den Einstellungen ausgewählt hat.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — der Nutzer aktiviert die jeweilige Funktion bewusst).

5.5 Cloudflare (DNS & DDoS-Schutz)

Zur Absicherung gegen DDoS-Angriffe und zur Verbesserung der Verfügbarkeit wird der DNS der Domain monetra.at über den Dienst Cloudflare betrieben. Alle eingehenden Verbindungen werden über das Cloudflare-Netzwerk geleitet, bevor sie den Hetzner-Server erreichen.

Cloudflare verarbeitet dabei IP-Adressen und HTTP-Metadaten (Header, Anfrage-URLs) zum Zweck der Sicherheitsanalyse und DDoS-Abwehr. Inhalte der Anfragen (z.B. Rechnungsdaten) werden von Cloudflare nicht gespeichert. Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung des Betriebs und Schutz vor Angriffen).

5.6 Zeiterfassungs-Integrationen (optional)

Nutzer können optional ihr Zeiterfassungskonto mit Monetra verbinden, um erfasste Stunden direkt als Rechnungspositionen zu importieren. Alle Integrationen sind freiwillig; es wird jeweils nur jener Anbieter kontaktiert, dessen Verbindung aktiv eingerichtet wurde. Eine Trennung ist jederzeit über Einstellungen → Zeiterfassung möglich.

Bei aktiver Verbindung werden Zeiterfassungseinträge (Projektname, Beschreibung, Dauer, Datum) aus dem jeweiligen Dienst abgerufen und als Rechnungspositionen in Monetra importiert. Es werden keine Daten von Monetra an die Zeiterfassungsdienste zurückübertragen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch aktive Einrichtung der Verbindung in den Einstellungen).

5.7 Stripe (Zahlungsabwicklung)

Für die Abwicklung kostenpflichtiger Abonnements verwenden wir den Zahlungsdienstleister Stripe. Die Zahlungsabwicklung erfolgt ausschließlich über Stripes sichere Infrastruktur; Monetra speichert keine Zahlungskartendaten.

Im Rahmen der Zahlungsabwicklung werden Name, E-Mail-Adresse, Rechnungsadresse und Zahlungsmittelinformationen an Stripe übermittelt. Bei Datenübertragungen in die USA greift das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

5.8 Google OAuth (optionale Anmeldung)

Nutzer können sich optional mit ihrem Google-Konto bei Monetra registrieren bzw. anmelden. Die Verwendung von Google OAuth ist freiwillig; alternativ steht die E-Mail/Passwort-Registrierung zur Verfügung.

Bei der Anmeldung via Google werden Name und E-Mail-Adresse aus dem Google-Profil übernommen und in Monetra gespeichert. Es werden keine weiteren Google-Kontodaten abgerufen. Bei Datenübertragungen in die USA greift das EU-US Data Privacy Framework.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung durch OAuth-Autorisierung).

5.9 Anthropic / Claude (KI-gestützte Beleganalyse in der App, optional)

Nutzer des Pro- oder Business-Plans können Belege (Fotos, PDFs oder XML-Dateien) automatisch per KI analysieren lassen. Dabei wird das hochgeladene Dokument zur Texterkennung und Datenextraktion an die API von Anthropic übertragen. Die Nutzung dieser Funktion ist freiwillig; eine manuelle Erfassung ist jederzeit möglich.

Die übermittelten Dokumente können personenbezogene Daten enthalten (z.B. Namen und Adressen auf Rechnungen). Anthropic verwendet API-Eingaben nicht für das Training eigener Modelle. Die Daten werden nach der Verarbeitung nicht dauerhaft beim KI-Anbieter gespeichert. Bei Datenübertragungen in die USA greift das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Nutzung einer ausdrücklich angeforderten Funktion).

6. Datenweitergabe an Dritte

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich in folgenden Fällen:

• An Auftragsverarbeiter im Rahmen eines AVV (aktuell: Hetzner Online GmbH als Hosting-Provider)
• An die in Abschnitt 5 genannten Dienstleister, soweit die jeweilige Funktion aktiv genutzt wird
• Wenn eine gesetzliche Verpflichtung zur Offenlegung besteht (z.B. auf Anfrage von Behörden)
• Zur Wahrnehmung rechtlicher Ansprüche, wenn dies erforderlich und gesetzlich zulässig ist

Eine Weitergabe zu Werbezwecken oder ein Verkauf von Daten findet nicht statt.

7. Speicherdauer und Löschung

Nach Ablauf der Aufbewahrungsfristen werden die Daten automatisch oder auf Anfrage gelöscht, sofern keine gesetzliche Pflicht zur weiteren Aufbewahrung besteht.

Konto löschen — 30-tägige Übergangsfrist

Sie können Ihr Monetra-Konto und alle damit verbundenen personenbezogenen Daten jederzeit über Einstellungen → Konto → Konto löschen beantragen. Nach der Bestätigung der Löschung gilt eine 30-tägige Übergangsfrist (Grace Period): Ihre Daten verbleiben in dieser Zeit gespeichert, damit Sie die Löschung bei Bedarf widerrufen können.

Während der Übergangsfrist erhalten Sie automatische Erinnerungsmails 7 Tage und 1 Tag vor dem endgültigen Löschtermin. Ein Widerruf ist jederzeit über Einstellungen → Konto → Löschung abbrechen möglich.

Nach Ablauf der 30-tägigen Frist werden alle nicht gesetzlich aufbewahrungspflichtigen Daten unwiderruflich und vollständig aus der aktiven Datenbank sowie vom Speicher entfernt. Dies umfasst Benutzerkonten, Kunden- und Lieferantendaten, Angebote, Belegbilder und alle sonstigen mandantenbezogenen Inhalte.

Aus technischen Gründen (automatisierte Datensicherung) können Restdaten danach noch bis zu 30 weitere Tage in verschlüsselten Backups vorhanden sein. Diese Backups werden ausschließlich zur Systemwiederherstellung bei einem technischen Notfall verwendet und danach automatisch überschrieben.

Buchhaltungsbelege (Rechnungen, Buchungseinträge) unterliegen der 7-jährigen Aufbewahrungspflicht gemäß § 132 BAO und können daher nicht vor Ablauf dieser Frist gelöscht werden.

Alternativ können Sie die Löschung per E-Mail an datenschutz@monetra.at beantragen.

8. Datensicherheit

Monetra setzt technische und organisatorische Maßnahmen (TOMs) ein, um Ihre Daten zu schützen:

• Verschlüsselung in der Übertragung: Alle Verbindungen erfolgen ausschließlich über HTTPS (TLS 1.2+)
• Passwort-Hashing: Passwörter werden mit bcrypt gehasht und niemals im Klartext gespeichert
• JWT-Authentifizierung: Zugangstokens sind kurzlebig (15 Minuten), Refresh-Tokens httpOnly und nicht per JavaScript zugreifbar
• Rollenbasierte Zugriffskontrolle (RBAC): Jeder Benutzer erhält nur die für seine Rolle notwendigen Berechtigungen
• Datenbankserver: Nicht öffentlich zugänglich, nur aus dem internen Docker-Netzwerk erreichbar
• Europäisches Hosting: Alle Daten verbleiben auf Servern in Deutschland (EU)
• Sicherheits-Header: X-Frame-Options, X-Content-Type-Options, Referrer-Policy

9. Ihre Rechte als betroffene Person

Sie haben gemäß DSGVO folgende Rechte. Zur Ausübung wenden Sie sich an datenschutz@monetra.at:

Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft darüber zu erhalten, welche personenbezogenen Daten wir über Sie gespeichert haben, zu welchem Zweck und auf welcher Rechtsgrundlage.

Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten verlangen.

Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht (z.B. Buchführungspflichten nach BAO/UGB). Ihr Konto können Sie selbst direkt über Einstellungen → Konto → Konto löschen beantragen. Nach Bestätigung gilt eine 30-tägige Übergangsfrist, innerhalb derer Sie die Löschung jederzeit widerrufen können. Nach Ablauf werden alle nicht aufbewahrungspflichtigen Daten unwiderruflich gelöscht. Aus technischen Gründen können Restdaten danach noch bis zu 30 weitere Tage in verschlüsselten Backups verbleiben.

Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie können unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit (Art. 20 DSGVO)

Soweit die Verarbeitung auf Einwilligung oder Vertrag basiert und automatisiert erfolgt, können Sie Ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten. Für Accountingdaten steht der CSV-Export unter Einstellungen → Datenexport zur Verfügung.

Widerspruch (Art. 21 DSGVO)

Soweit wir Daten auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) verarbeiten, haben Sie das Recht, Widerspruch einzulegen. Wir werden die Verarbeitung dann einstellen, es sei denn, es liegen zwingende schutzwürdige Gründe vor.

Widerruf einer Einwilligung

Soweit eine Verarbeitung auf Einwilligung beruht (z.B. Timely-Verbindung), können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass die Rechtmäßigkeit der bisherigen Verarbeitung berührt wird.

Keine automatisierte Einzelentscheidung (Art. 22 DSGVO)

Monetra trifft keine automatisierten Entscheidungen mit rechtlicher Wirkung auf Basis Ihrer personenbezogenen Daten.

10. Beschwerderecht bei der Datenschutzbehörde

Sie haben das Recht, bei der österreichischen Datenschutzbehörde Beschwerde einzulegen:

Zusätzlich steht Ihnen das Recht zu, bei der Datenschutzbehörde jenes EU-Mitgliedstaates Beschwerde einzulegen, in dem Sie Ihren gewöhnlichen Aufenthaltsort haben.

11. Angaben gemäß E-Commerce-Gesetz (ECG)

Monetra ist ein kostenpflichtiger Software-as-a-Service-Dienst (SaaS) für gewerbliche Nutzer (B2B). Der Diensteanbieter im Sinne des § 5 ECG ist:

Kommerzielle Kommunikation (Werbung, Newsletter) ist als solche klar gekennzeichnet. Es wird kein unerwünschter kommerzieller E-Mail-Versand (Spam) durchgeführt.

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen des Dienstes oder der Rechtslage anzupassen. Die jeweils aktuelle Version ist unter monetra.at/datenschutz abrufbar. Bei wesentlichen Änderungen werden aktive Nutzer per E-Mail informiert.