AvoTax
Plattform Für wen Preise Hilfe Blog
Anmelden Jetzt starten
Plattform Für wen Preise Hilfe Blog

Datenschutzerklärung

Stand: Juni 2026 (Version 2026-06-3)

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist:
Eco-Coin GmbH, Wegerhofstraße 22, 47877 Willich, Deutschland
E-Mail: info@eco-coin-gmbh.de
(Impressum: /impressum)

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und unserer Software AvoTax (nachfolgend „Dienst“) erforderlich ist, zur Vertragserfüllung, zur Erfüllung gesetzlicher Pflichten oder auf Grundlage einer Einwilligung. Die Verarbeitung erfolgt unter Beachtung der gesetzlichen Vorgaben und der Prinzipien der Datenminimierung und Zweckbindung.

3. Zwecke und Rechtsgrundlagen (Art. 6 DSGVO)

Je nach Vorgang stützen wir die Verarbeitung auf folgende Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen): Nutzerkonto, Bereitstellung der Buchhaltungsfunktionen, Mandantenverwaltung, Belegerfassung inkl. Kamera-Scan und OCR, Bank- und Kontoumsatzimport, Abrechnung und Leistungserbringung.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Erfüllung steuer- und handelsrechtlicher Aufbewahrungspflichten, soweit Sie oder wir solche Daten verarbeiten.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): IT-Sicherheit, Missbrauchs- und Betrugsprävention (z. B. Protokollierung von Anmeldeversuchen), technische Administration, begrenzte Protokollierung zur Gewährleistung der Integrität und Stabilität des Dienstes sowie GoBD-/Audit-Protokolle zur Nachvollziehbarkeit, soweit nicht durch schwerere Interessen der Betroffenen überwogen.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit wir Sie ausdrücklich um Einwilligung bitten (z. B. optionale KI-Funktionen, optionale Mitwirkung an der Verbesserung von KI-Modellen, optionale Marketing-Messung über Meta oder Reddit, nicht erforderliche Cookies).

4. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

AvoTax ist eine Buchhaltungs- und Organisationssoftware. Sie ist nicht dazu bestimmt, Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit, biometrische Daten zur eindeutigen Identifizierung, Daten zum Sexualleben oder zur sexuellen Orientierung) zu erheben oder zu verarbeiten.

Sofern Sie oder Ihre Nutzer dennoch solche Informationen freiwillig in Freitextfeldern, Belegen oder Anhängen einstellen, erfolgt dies in Ihrer eigenen Verantwortung. Wir verarbeiten diese Inhalte nur, soweit dies zur Erbringung des Dienstes technisch erforderlich ist, ohne sie für eigene Zwecke auszuwerten. Eine Einwilligung nach Art. 9 Abs. 2 DSGVO liegt uns nur vor, wenn wir Sie ausdrücklich hierzu auffordern und Sie zustimmen.

5. Kategorien personenbezogener Daten

Je nach Nutzung können insbesondere verarbeitet werden:

  • Stammdaten: Name, Benutzername, E-Mail-Adresse, ggf. Rechnungs- und Firmendaten, die Sie angeben.
  • Authentifizierung: Passwort (gespeichert ausschließlich als kryptographischer Hash, kein Klartext), optional Zwei-Faktor-Authentifizierung (TOTP, siehe Ziffer 18).
  • Buchhaltungs- und Geschäftsdaten: Mandanten, Konten, Transaktionen, Belege (inkl. Metadaten, Bilddateien und PDFs), Kategorien, Steuerinformationen, Journal- und Exportdaten, die Sie in den Dienst einstellen.
  • Belegbilder und OCR: Fotos oder Scans von Belegen, daraus erzeugte PDFs sowie per Texterkennung (OCR) vorgeschlagene Werte wie Betrag, Datum oder Händlername (siehe Ziffer 7).
  • Bank- und Kontodaten: Kontostamm-, Umsatz- und Abstimmungsdaten aus manuellen Importen, CSV-/PDF-Kontoauszügen oder – sofern von Ihnen eingerichtet – direkter Online-Banking-Anbindung (FinTS, siehe Ziffer 10).
  • E-Mail-Postfach-Anbindung: Sofern Sie diese Funktion aktivieren: IMAP-Zugangsdaten (Passwort verschlüsselt gespeichert), Postfach-Metadaten und Beleg-Anhänge aus abgerufenen Nachrichten (siehe Ziffer 9).
  • KI-Verarbeitung: Sofern Sie der KI-Nutzung zugestimmt haben: strukturierte Buchungs- und Belegdaten, OCR-Auszüge, Kontenrahmen, Prüfungs-Fakten sowie technische KI-Protokolle (siehe Ziffer 8).
  • Prüfungs- und Exportdaten: Prüfungssessions, Hinweise, Antworten, Nachweisketten, Exportpakete und ggf. tokenbasierter Prüferzugang (siehe Ziffer 11).
  • Technische und Nutzungsdaten: IP-Adresse, Zeitstempel, User-Agent, Session-Informationen, bei Fehlern ggf. technische Logdaten; Protokollierung von Anmeldeversuchen zum Schutz vor Missbrauch; soweit ein Aktivitätsprotokoll („Audit-Log“) geführt wird: protokollierte Aktionen im Konto zur Nachvollziehbarkeit.
  • Zahlungsdaten: Bei Nutzung des Onlinezahlungsdienstes werden Zahlungsdaten durch den Zahlungsdienstleister verarbeitet (siehe Ziffer 20); wir speichern keine vollständigen Kreditkartendaten.
  • Kommunikationsdaten: Inhalte von Nachrichten im Dienst, Dokumenten-Rückfragen zwischen Mandant und Steuerberater sowie Support-Anfragen, die Sie uns senden.

6. Mandanten, Teamzugriff und eingeladene Nutzer

AvoTax unterstützt mehrere Mandanten (z. B. privat/geschäftlich) und die Einladung weiterer Nutzer mit rollenbasierten Berechtigungen. Typische Rollen sind Inhaber, Verwaltung, Steuerberater, Mitarbeiter und reine Betrachter. Daten eines Mandanten (Belege, Transaktionen, Einstellungen) können für eingeladene Nutzer sichtbar und bearbeitbar sein, soweit Sie diesen Zugriff einrichten.

Steuerberater können mandantenübergreifend in einem Kanzlei-Arbeitsplatz arbeiten, DATEV-Exporte erstellen, Dokumenten-Rückfragen stellen und – bei entsprechender Berechtigung – Prüfungsfunktionen nutzen. Wer Nutzer einlädt, ist für die Rechtmäßigkeit der Weitergabe und für die Auswahl der Berechtigungen verantwortlich.

Für die Verarbeitung durch eingeladene Dritte (z. B. Steuerkanzleien) kann zusätzlich ein eigener Verantwortlicher oder eine Auftragsverarbeitung zwischen Ihnen und dem Dritten bestehen; wir stellen die technische Plattform bereit. Soweit wir für Ihre Kundendaten Auftragsverarbeiter sind, gilt der Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Unternehmen können eine unterzeichnete Fassung unter info@eco-coin-gmbh.de anfordern.

7. Beleg-Kamera, Upload und Texterkennung (OCR)

Sie können Belege per Datei-Upload oder über die Kamera Ihres Endgeräts erfassen. Dafür kann der Browser eine Kameraberechtigung abfragen; die Aufnahme erfolgt auf Ihrem Gerät, das Bild wird anschließend zur Verarbeitung an unsere Server übertragen (verschlüsselt, sofern HTTPS genutzt wird).

Wir speichern die Belegdateien (z. B. als PDF) im von Ihnen bzw. dem Betrieb konfigurierten Speicher und können zur Unterstützung eine automatische Texterkennung (OCR) auf dem Server durchführen (Software Tesseract, Verarbeitung auf unserer Infrastruktur, keine Weitergabe der Beleginhalte an externe OCR-Cloud-Dienste zu diesem Zweck). Erkannte Werte (z. B. Betrag, Datum) dienen als Vorschlag; Sie prüfen und bestätigen die Buchungsdaten.

Abgrenzung zur KI: Die OCR selbst erfolgt ohne KI-Cloud-Dienst. OCR-Auszüge und weitere Buchungsdaten können zusätzlich an unsere KI-Infrastruktur übermittelt werden, wenn Sie der KI-Nutzung für Ihr Konto zugestimmt haben (siehe Ziffer 8). Ohne diese Einwilligung findet keine derartige KI-Verarbeitung statt.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der Belegfunktion). Eine automatisierte Entscheidung mit rechtlicher Wirkung im Sinne von Art. 22 DSGVO findet dabei nicht statt (siehe Ziffer 23).

8. KI-Funktionen und Einwilligung

AvoTax bietet unter der Bezeichnung Dondus AI optionale KI-gestützte Hilfsfunktionen, z. B. Vorschläge zur Kategorisierung von Banktransaktionen und Belegen, Zusammenfassungen und Formulierung von Rückfragen in der Prüfungsvorbereitung. Diese Funktionen dienen ausschließlich der Unterstützung; sie ersetzen keine steuerliche oder rechtliche Beratung und keine menschliche Prüfung.

8.1 Getrennte Einwilligungen

KI-Funktionen und die Mitwirkung an der Modell-Verbesserung sind für neue Konten standardmäßig aktiviert. Jeder Nutzer kann beides in den Einstellungen unter „KI & Datenschutz“ jederzeit deaktivieren (Widerruf mit Wirkung für die Zukunft, Art. 7 Abs. 3 DSGVO):

  • KI-Funktionen nutzen: Steuert, ob der Dienst Ihre Daten an die KI-Infrastruktur übermitteln und KI-Vorschläge für Ihr Konto erzeugen darf. Bei Deaktivierung sind KI-Funktionen technisch blockiert; bestehende KI-Vorschläge aus der Vergangenheit können weiterhin sichtbar sein, es werden jedoch keine neuen KI-Anfragen mit Ihren Daten ausgelöst.
  • Modell-Verbesserung: Steuert, ob bestätigte oder von Ihnen korrigierte KI-Vorschläge (z. B. gewähltes Konto, Kategorie, DATEV-Nummer) zur Weiterentwicklung der KI gespeichert und ausgewertet werden dürfen. Bei Deaktivierung der KI-Nutzung entfällt die Modell-Verbesserung automatisch mit.

Beide Einstellungen können Sie unabhängig voneinander in Ihren Nutzereinstellungen widerrufen (Art. 7 Abs. 3 DSGVO), solange die KI-Nutzung aktiv bleibt.

8.2 Verarbeitete Daten und Zwecke

Bei aktivierter KI-Nutzung können – abhängig von der aufgerufenen Funktion – insbesondere verarbeitet werden:

  • Buchungstext, Betrag, Datum, Gegenpartei und Kontenrahmen (Transaktions-Kategorisierung),
  • Belegmetadaten und OCR-Auszüge (Beleg-Kategorisierung),
  • regelbasierte Prüfungs-Fakten und Auffälligkeiten (Prüfungs-Zusammenfassungen und Rückfragen).

Es werden nur die für die jeweilige Aufgabe erforderlichen Daten verarbeitet. Passwörter, Zugangsdaten, vollständige Postfach-Inhalte oder freiwillige Teamnachrichten werden nicht für KI-Training verwendet.

8.3 Technische Umsetzung und Empfänger

Die KI-Verarbeitung erfolgt über ein zentrales KI-Gateway des Betreibers auf eigener Infrastruktur in Deutschland (Ollama-kompatibler Dienst). KI-Verarbeitung ausschließlich über ein vom Betreiber betriebenes, Ollama-kompatibles KI-Gateway auf eigener Infrastruktur in Deutschland – ohne Übermittlung an externe KI-Cloud-Dienste.

Beleg-OCR (Tesseract) wird ebenfalls auf der Server-Infrastruktur des Betreibers ausgeführt, nicht über externe OCR-Cloud-Dienste.

8.4 Protokollierung und Speicherdauer

KI-Anfragen werden zu Sicherheits-, Qualitäts- und Nachvollziehbarkeitszwecken in technischen Protokollen gespeichert (z. B. verarbeitete Eingabedaten, Modellantwort, Zeitstempel, Feature-Name). Die Aufbewahrungsdauer beträgt in der Regel bis zu 365 Tage, sofern der Betrieb keine kürzere Frist konfiguriert. Nach Ablauf werden die Protokolle gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8.5 Rechtsgrundlage

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die KI-Nutzung und – sofern erteilt – für die Modell-Verbesserung. KI-Ergebnisse sind stets Vorschläge; eine automatisierte Entscheidung mit rechtlicher Wirkung findet nicht statt (siehe Ziffer 23).

9. Belege per E-Mail (IMAP-Postfach)

Sie können optional ein E-Mail-Postfach anbinden, damit Beleg-Anhänge automatisch abgerufen und als Belege vorgeschlagen werden. Dafür speichern wir die von Ihnen eingegebenen IMAP-Zugangsdaten (Passwort verschlüsselt), Postfach-Metadaten (z. B. Betreff, Absender, Datum) und die importierten Anhänge. Der Abruf erfolgt in der Regel per IMAP direkt zu Ihrem E-Mail-Anbieter; wir speichern nicht dauerhaft den vollständigen Inhalt aller E-Mails, sondern verarbeiten Nachrichten zum Zweck des Belegimports.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der von Ihnen gewünschten Funktion). Sie können die Anbindung jederzeit in den Einstellungen deaktivieren und Zugangsdaten entfernen.

10. Online-Banking-Anbindung (FinTS)

Sofern verfügbar und von Ihnen eingerichtet, kann der Dienst Kontoumsätze über das FinTS-/HBCI-Verfahren direkt bei Ihrer Bank abrufen. Die Kommunikation erfolgt zwischen unserem Server und Ihrer Bank; es wird kein externer Konten-Aggregator-Dienst eingeschaltet.

Ihre Online-Banking-PIN bzw. TAN wird nicht dauerhaft gespeichert, sondern nur für den jeweiligen Abrufvorgang verwendet. Gespeichert werden können Bankkennung, Login-Name, FinTS-Endpunkt und Konfigurationsdaten der Verbindung.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

11. Prüfungsmodus und Prüferportal

Der Prüfungsmodus unterstützt die Vorbereitung von Betriebs- und Wirtschaftsprüfungen: Vollständigkeitsprüfungen, Hinweise, Nachweisketten, Exportpakete (z. B. GDPdU, Finanzamt-PDFs) und – bei aktivierter KI-Einwilligung – KI-gestützte Zusammenfassungen (siehe Ziffer 8).

Berechtigte Nutzer können externen Prüfern einen zeitlich begrenzten Zugang über einen Portal-Link einräumen, ohne dass der Prüfer ein vollständiges AvoTax-Konto benötigt. Wer einen solchen Link erstellt, ist für die Weitergabe und den Schutz des Links verantwortlich.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erbringung der Prüfungsfunktion) bzw. Art. 6 Abs. 1 lit. f DSGVO (Nachvollziehbarkeit und Integrität der Verarbeitung im Audit-Log).

12. Weitergabe von Daten und Auftragsverarbeitung (Art. 28 DSGVO)

Eine Übermittlung an Dritte erfolgt nur, wenn sie zur Vertragserfüllung erforderlich ist, wir gesetzlich dazu verpflichtet sind, Sie eingewilligt haben oder wir berechtigte Interessen wahren. Mit Auftragsverarbeitern schließen wir – soweit gesetzlich erforderlich – Verträge nach Art. 28 DSGVO ab und binden sie an Weisungen und Datenschutzpflichten.

Die aktuelle, versionierte Liste externer Unterauftragsverarbeiter (Zweck, Datenarten, Land, AVV-/TOM-Status) ist unter /subprocessors abrufbar. Wesentliche Änderungen werden registriert und Kunden mitgeteilt (Art. 28 Abs. 2 DSGVO).

Kategorien (Auszug, Stand 2026-06-3):

  • Eigenbetrieb / eigene Infrastruktur: Eigenbetrieb durch die Eco-Coin GmbH auf eigener Server-Infrastruktur in Deutschland (containerisierte Anwendung, lokale Datenbank, angebundene Speicher- und Fileserver-Systeme im eigenen Verantwortungsbereich). Anwendungsdaten, Datenbank, Belegablage und KI-Verarbeitung laufen hier – ohne externen Cloud-Hoster als Unterauftragsverarbeiter.
  • Zahlungsdienstleister (Stripe Technology Europe Ltd. / Stripe Inc.) zur Abwicklung von Abonnements und Zahlungen, nur bei Nutzung des Onlinezahlungsdienstes (siehe Ziffer 20).
  • E-Mail-Versand: IONOS SE (smtp.ionos.de) zum Versand transaktionaler E-Mails (z. B. Rechnungen, technische Mitteilungen) aus Deutschland (EU).
  • Dateiablage im eigenen Verantwortungsbereich (z. B. NAS, Fileserver per Netzfreigabe) – Speicherung im Betrieb der Eco-Coin GmbH, keine separate SaaS-Cloud.
  • Optionale Anmeldedienste (z. B. „Social Login“ über Google, Apple, Microsoft), nur wenn Sie diese in der Konfiguration aktivieren und der Nutzer sie nutzt; es gelten dann die Bedingungen des jeweiligen Anbieters.
  • Meta Platforms Ireland Ltd. / Meta Platforms Inc. (Facebook/Instagram-Werbung), nur bei erteilter Einwilligung zur Marketing-Messung (siehe Ziffer 16).
  • Reddit, Inc. (Reddit Ads), nur bei erteilter Einwilligung zur Marketing-Messung (siehe Ziffer 16).

13. Drittlandübermittlungen

Die Kernverarbeitung in AvoTax (Anwendung, Datenbank, Belege, lokale KI) erfolgt auf Infrastruktur in Deutschland. Übermittlungen in Drittländer können nur bei optionalen oder zahlungsbezogenen Diensten anfallen, insbesondere:

  • Stripe Inc. (USA) bei Kartenzahlung/Abonnement,
  • Meta Platforms Inc. / Reddit, Inc. (USA) bei erteilter Einwilligung zur Marketing-Messung.

Dann stellen wir sicher, dass ein angemessenes Datenschutzniveau besteht – etwa durch Angemessenheitsbeschlüsse der EU-Kommission und/oder Standardvertragsklauseln der EU-Kommission sowie zusätzliche technische und organisatorische Maßnahmen, soweit erforderlich. Näheres entnehmen Sie der Datenschutzerklärung des jeweiligen Anbieters (z. B. Stripe, Meta, Reddit).

14. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich ist oder gesetzliche Aufbewahrungsfristen (z. B. aus Handels- und Steuerrecht) bestehen. Nach Ablauf werden die Daten gelöscht oder anonymisiert, soweit keine Aufbewahrungspflicht entgegensteht.

Konkrete Fristen im Dienst (Stand der Implementierung):

  • Belege und Buchungsunterlagen: in der Regel bis zum Ende einer Aufbewahrungsfrist von 10 Jahren (31.12. des Fristjahres), sofern der Betrieb keine abweichende Frist konfiguriert; während einer gesetzlichen Sperre („Legal Hold“) erfolgt keine Löschung.
  • KI-Protokolle: in der Regel bis zu 365 Tage (siehe Ziffer 8.4).
  • Audit-/Aktivitätsprotokolle: in der Regel bis zu 730 Tage (2 Jahre), sofern keine längere Aufbewahrung für Sicherheit, Nachvollziehbarkeit oder gesetzliche Pflichten erforderlich ist.
  • Marketing-Einwilligung (Cookie): bis zu ca. 13 Monate (siehe Ziffer 15).

Eine selbstständige Löschung des Nutzerkontos über die Anwendung ist in der Regel nicht vorgesehen, weil Buchungsbelege und Buchhaltungsunterlagen gesetzlichen Aufbewahrungspflichten unterliegen können. Löschanträge nach Art. 17 DSGVO prüfen wir unter Berücksichtigung gesetzlicher Pflichten, laufender Verträge und gesperrter Aufbewahrungsfristen. Eine vollständige Löschung aller Daten ist daher oft erst nach Ablauf der Aufbewahrungsfristen möglich; bis dahin können wir den Zugang sperren und die Verarbeitung auf das rechtlich Erforderliche beschränken. Für Vertragsende, Löschanträge oder Sonderfälle wenden Sie sich an info@eco-coin-gmbh.de. Vor einer Löschung empfehlen wir den Export Ihrer Daten (Berichte, Belege).

15. Cookies und lokale Speicherung

Für die Anmeldung und Sitzungssteuerung verwenden wir technisch notwendige Cookies oder serverseitige Sitzungen (Session). Diese sind für den Betrieb der Anwendung erforderlich (Art. 6 Abs. 1 lit. b/f DSGVO).

Schriftarten: Wir binden Schriftarten lokal von unserem Server ein (keine Verbindung zu Google Fonts / fonts.googleapis.com).

Öffentliche Seiten können ein Cookie taxavo_cmp_marketing setzen, um Ihre Entscheidung zur optionalen Marketing-Messung zu speichern (Werte: Zustimmung, Ablehnung; Speicherdauer bis zu ca. 13 Monaten). Erst nach Zustimmung werden Marketing-Technologien von Meta und Reddit geladen (siehe Ziffer 16). Sie können die Entscheidung widerrufen, indem Sie das Cookie in Ihrem Browser löschen und die Seite erneut aufrufen oder uns kontaktieren.

16. Marketing-Messung (Meta / Facebook und Reddit)

Sofern Sie im Cookie-Hinweis auf unseren öffentlichen Seiten zustimmen, setzen wir Technologien von Meta (Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, Irland; verbundene Unternehmen u. a. Meta Platforms Inc., USA) und/oder Reddit (Reddit, Inc., USA) ein, um die Wirksamkeit von Werbeanzeigen und Seitenaufrufen zu messen (z. B. Meta Pixel, Reddit Pixel im Browser sowie serverseitige Conversion-APIs).

Dabei können u. a. verarbeitet werden:

  • Seitenaufrufe, Registrierungs- und Abo-Ereignisse (soweit zutreffend),
  • gehashte E-Mail-Adresse und eine interne Nutzerkennung (nicht im Klartext an die Anbieter übermittelt),
  • IP-Adresse, User-Agent, ggf. Anbieter-Cookies (z. B. _fbc, _fbp), soweit vorhanden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Widerruf: jederzeit mit Wirkung für die Zukunft durch Ablehnung im Cookie-Banner, Löschen des Cookies taxavo_cmp_marketing oder Nachricht an info@eco-coin-gmbh.de. Ohne Einwilligung findet keine Marketing-Messung über Meta oder Reddit statt.

Weitere Informationen: Meta-Datenschutzrichtlinie, Reddit-Datenschutzrichtlinie. Diese Anbieter können Daten in den USA verarbeiten; Einzelheiten zu Drittlandübermittlungen.

17. Sicherheit (Art. 32 DSGVO)

Wir setzen technische und organisatorische Maßnahmen ein, die dem Stand der Technik entsprechen, insbesondere Verschlüsselung der Passwörter (Hashing), Zugriffsbeschränkungen, rollenbasierte Berechtigungen, Protokollierung sicherheitsrelevanter Ereignisse soweit vorgesehen, und – in der Produktionsumgebung empfohlen – verschlüsselte Übertragung (HTTPS). Eine absolute Sicherheit kann nicht garantiert werden; Nutzer sollten starke Passwörter und optional 2FA nutzen.

Bei aktivierter Zwei-Faktor-Authentifizierung (2FA) speichern wir ein TOTP-Geheimnis und optional Backup-Codes in Ihrem Nutzerkonto, um Anmeldungen zusätzlich abzusichern (Art. 6 Abs. 1 lit. b/f DSGVO).

18. Ihre Rechte

Sie haben – soweit die gesetzlichen Voraussetzungen erfüllt sind – insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO),
  • Datenübertragbarkeit (Art. 20 DSGVO),
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO), soweit auf ein berechtigtes Interesse gestützt wird,
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO), ohne die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung zu berühren – einschließlich der Einwilligung zu KI-Funktionen und Modell-Verbesserung in den Nutzereinstellungen.

Zur Geltendmachung Ihrer Rechte können Sie unser Rechte-Center nutzen (nach Anmeldung) oder uns eine Nachricht an info@eco-coin-gmbh.de senden.

18a. Meldung von Datenschutzvorfällen

Wenn Sie einen möglichen Verstoß gegen den Schutz personenbezogener Daten in AvoTax vermuten, informieren Sie uns bitte umgehend per E-Mail mit dem Betreff „Datenschutzvorfall“. Ablauf, Priorisierung und Reaktionszeiten beschreiben wir in der Hilfe zu Datenschutzvorfällen.

19. Beschwerderecht bei einer Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes. Für Nordrhein-Westfalen ist dies z. B. die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Postfach 20 04 44, 40102 Düsseldorf, www.ldi.nrw.de.

20. Zahlungsabwicklung (Stripe)

Für Zahlungen per Karte und Abonnements kann der Dienst Stripe (Stripe Technology Europe Ltd. bzw. verbundene Unternehmen, ggf. Stripe Inc., USA) eingesetzt werden. Stripe verarbeitet Zahlungsdaten als eigenständiger Verantwortlicher bzw. im Auftrag gemäß den Stripe-Bedingungen. Informationen: https://stripe.com/de/privacy.

21. E-Mail-Versand

System- und Servicemails (z. B. Rechnungen, technische Hinweise, Benachrichtigungen über fehlende Belege) werden über IONOS SE (SMTP: smtp.ionos.de) versendet. Dabei verarbeitet IONOS die dafür erforderlichen Metadaten (u. a. Empfängeradresse, Zeitpunkt). Verarbeitung in Deutschland (EU). Informationen: IONOS-Datenschutzerklärung.

Abgrenzung: Der optionale IMAP-Belegimport (Ziffer 9) verbindet sich direkt mit Ihrem E-Mail-Postfachanbieter; der transaktionale Versand aus AvoTax erfolgt über IONOS SE wie oben beschrieben.

22. Pflicht zur Bereitstellung von Daten

Ohne die bei der Registrierung und Nutzung erforderlichen Daten können wir den Vertrag über die Nutzung von AvoTax in der Regel nicht erfüllen. Die Nutzung optionaler Funktionen (KI, E-Mail-Postfach, FinTS, Marketing-Messung) ist freiwillig und setzt keine Pflicht zur Einwilligung voraus; ohne Einwilligung stehen die jeweiligen Funktionen nicht bzw. nur eingeschränkt zur Verfügung.

23. Automatisierte Entscheidungen / Profiling

Wir führen keine rein automatisierten Entscheidungen im Sinne von Art. 22 DSGVO durch, die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie erheblich beeinträchtigen (z. B. keine automatische Steuerfestsetzung oder Kreditentscheidung). OCR- und KI-Vorschläge (Kategorien, Konten, Prüfungs-Texte) sind Hilfestellungen und ersetzen nicht Ihre Prüfung; sie werden erst durch Sie oder berechtigte Nutzer bestätigt, korrigiert oder verworfen.

Werbliche Profilbildung durch uns im Buchhaltungsdienst findet nicht statt. Soweit Sie eingewilligt haben, können Meta oder Reddit im Rahmen der Marketing-Messung (Ziffer 16) eigene Auswertungen vornehmen; dafür sind diese Anbieter Verantwortliche bzw. es gelten deren Bedingungen.

24. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Erklärung bei geänderten Rechtslagen, Dienstleistungen oder Technik anzupassen. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar. Bei wesentlichen Änderungen, die Ihre Einwilligung betreffen (z. B. KI-Funktionen), informieren wir Sie, soweit erforderlich, gesondert.

AvoTax

Die Buchhaltung und Steuerberater verbindet.

Produkt

  • Funktionen
  • Preise
  • Hilfe
  • Blog
  • Ratgeber

Mehr erfahren

  • Buchhaltung mit Steuerberater
  • Buchhaltung für E-Commerce
  • Buchhaltung für Agenturen
  • Alternative zu sevDesk & Lexware
  • Wechsel von sevDesk
  • Wechsel von lexoffice
  • Kanzlei-Digitalisierung

Rechtliches

  • Impressum
  • Datenschutz
  • Betroffenenrechte
  • AVV
  • Unterauftragsverarbeiter
  • AGB

Konto

  • Anmelden
  • Registrieren

© 2026 Eco-Coin GmbH · AvoTax