Datenschutzerklärung

1. Verantwortliche Stelle

TaxHILFE — betrieben von NAO Technologies UG (haftungsbeschränkt)

Bleichertstraße 25, 12277 Berlin, Deutschland — HRB 283898 B, Amtsgericht Charlottenburg

Datenschutzkontakt: [email protected]

2. Von uns verarbeitete personenbezogene Daten

Je nach Nutzung unserer Plattform verarbeiten wir folgende Kategorien personenbezogener Daten:

Besucher (nur Website)

• IP-Adresse und anonymisierte Gerätekennungen
• Browsertyp, Betriebssystem und Sprache
• Besuchte Seiten, Verweildauer und Herkunftsquelle

Registrierte Nutzer (Klienten und Steuerberater)

• Vollständiger Name, E-Mail-Adresse und Telefonnummer
• Zugangsdaten (Passwörter werden nur gehasht gespeichert — niemals im Klartext)
• Profilinformationen, Dienstleistungen, Verfügbarkeiten und hochgeladene Dokumente

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten zu folgenden Zwecken und auf folgenden Rechtsgrundlagen (Art. 6 DSGVO):

• Betrieb und Bereitstellung der Plattform (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
• Zahlungsabwicklung und Abonnementverwaltung (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
• Versand von Transaktionsbenachrichtigungen und Servicekommunikation (Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung)
• Plattformsicherheit, Betrugsprävention und Serviceverbesserung (Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen)
• Analyse mit ausschließlich anonymisierten Daten (Art. 6 Abs. 1 lit. f DSGVO; Analyse-Cookies erfordern separate Einwilligung nach §25 TTDSG)

4. Spezifizierung berechtigter Interessen

Soweit wir uns auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) stützen, sind diese:

• Sicherheit und Betrugsprävention: Wir haben ein berechtigtes Interesse daran, unsere Plattform und Nutzer vor unbefugtem Zugriff, Missbrauch und betrügerischen Aktivitäten zu schützen.
• Serviceverbesserung: Wir haben ein berechtigtes Interesse daran, zu verstehen, wie Nutzer mit der Plattform interagieren — ausschließlich auf Basis anonymisierter oder aggregierter Daten.
• Support-Kommunikation: Wir haben ein berechtigtes Interesse daran, auf Support-Anfragen zu reagieren und unsere Servicevereinbarung mit Nutzern aufrechtzuerhalten.

5. Datenweitergabe und Auftragsverarbeiter

Wir verkaufen keine personenbezogenen Daten. Wir teilen Daten nur mit folgenden Dienstleistern, jeweils auf Basis eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO):

• Amazon Web Services S3 (EU-Region Frankfurt) — Datei- und Dokumentenspeicherung
• Stripe, Inc. — Zahlungsabwicklung (EU + USA; zertifiziert nach EU-US-Datenschutzrahmen)
• PostHog (EU Frankfurt) — Produktanalyse; DSGVO-konform, EU-gehostet

Google Analytics 4 (Google LLC) — Web-Traffic-Analyse (IP-Anonymisierung aktiviert; EU-US-DPF-zertifiziert). SendGrid / Twilio — Versand von Transaktions-E-Mails. Wir können Daten zudem an Behörden oder Strafverfolgungsbehörden weitergeben, wenn dies gesetzlich vorgeschrieben ist.

6. Datenspeicherung

Wir bewahren personenbezogene Daten nur so lange auf, wie es für den angegebenen Zweck oder aufgrund gesetzlicher Pflichten erforderlich ist. Konkrete Aufbewahrungsfristen:

Kontodaten: Dauer des Kontos + 30 Tage nach Löschung (zur Wiederherstellung), dann Löschung. Transaktions- und Rechnungsdaten: 10 Jahre (§147 AO). Hochgeladene Steuerdokumente: auf Anweisung des Dateninhabers; max. 10 Jahre bei steuerrechtlicher Aufbewahrungspflicht. Sicherheits- und Zugriffsprotokolle: 90 Tage. Support-Kommunikation: 3 Jahre. Analysedaten — PostHog: 12 Monate; Google Analytics: 14 Monate. Marketing-Einwilligungsnachweise: bis zum Widerruf + 3 Jahre.

7. Ihre Rechte nach der DSGVO

Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten (Art. 15–21 DSGVO):

• Auskunftsrecht (Art. 15): Fordern Sie eine Kopie der von uns gespeicherten personenbezogenen Daten an.
• Recht auf Berichtigung (Art. 16): Fordern Sie die Korrektur unrichtiger oder unvollständiger Daten an.
• Recht auf Löschung (Art. 17): Fordern Sie die Löschung Ihrer personenbezogenen Daten an, vorbehaltlich gesetzlicher Aufbewahrungspflichten.
• Recht auf Einschränkung der Verarbeitung (Art. 18): Fordern Sie eine Einschränkung der Verwendung Ihrer Daten in bestimmten Situationen an.
• Recht auf Datenübertragbarkeit (Art. 20): Erhalten Sie eine Kopie Ihrer Daten in einem maschinenlesbaren Format, soweit technisch möglich.
• Widerspruchsrecht (Art. 21): Widersprechen Sie der Verarbeitung auf Basis berechtigter Interessen. Wir stellen die Verarbeitung ein, sofern keine zwingenden schutzwürdigen Gründe überwiegen.

Um eines dieser Rechte auszuüben, kontaktieren Sie uns bitte unter [email protected]

Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde Ihres Wohnsitzlandes innerhalb des EWR einzulegen (Art. 13 Abs. 2 lit. d DSGVO).

8. Cookies und Analysen

Wir verwenden technisch notwendige Cookies für den Betrieb der Plattform (Sitzungsverwaltung, Sicherheit, Authentifizierung). Diese sind für die Funktionsfähigkeit der Website erforderlich und bedürfen keiner Einwilligung nach §25 Abs. 2 TTDSG.

Wir verwenden außerdem folgende Analysedienste, die Cookies einsetzen und Ihre Einwilligung nach §25 TTDSG erfordern:

• PostHog: PostHog — Produktanalyse-Plattform, EU-gehostet (Frankfurt). Erfasst Seitenaufrufe, Funktionsnutzung und Nutzerflüsse. Datenspeicherung: 12 Monate.
• Google Analytics: Google Analytics 4 — Web-Traffic-Analyse von Google LLC. IP-Anonymisierung ist aktiviert. Daten können in den USA unter dem EU-US-Datenschutzrahmen (DPF) verarbeitet werden. Datenspeicherung: 14 Monate.

Ihre Einwilligung in Analyse-Cookies wird durch Klicken auf „Alle Cookies akzeptieren" im Cookie-Banner erfasst. Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie uns unter [email protected] kontaktieren. Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung. Wir verwenden keine Werbe-Cookies und geben Ihre Daten nicht an Werbetreibende weiter.

9. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO ein, darunter TLS/HTTPS-Verschlüsselung bei der Übertragung, verschlüsselte Speicherung im Ruhezustand, Zugriffskontrollen und rollenbasierte Berechtigungen, sichere Passwort-Hashing-Verfahren sowie regelmäßige Sicherheitsüberprüfungen. Im Falle einer Datenpanne melden wir dies der Aufsichtsbehörde innerhalb von 72 Stunden und informieren betroffene Nutzer unverzüglich, soweit Art. 33–34 DSGVO dies erfordern.

10. Automatisierte Entscheidungsfindung

Wir treffen keine Entscheidungen über Sie, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Auswirkungen haben (Art. 22 DSGVO). Sofern algorithmische Werkzeuge bei der Berater-Empfehlung oder -Vermittlung unterstützen, sind diese nur Hilfsmittel — an der endgültigen Entscheidung ist stets eine menschliche Überprüfung oder Nutzerwahl beteiligt.

11. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung aktualisieren, wenn sich unsere Dienste weiterentwickeln oder rechtliche Anforderungen ändern. Wesentliche Änderungen werden registrierten Nutzern per E-Mail oder durch einen deutlichen Hinweis auf der Website mindestens 14 Tage vor Inkrafttreten mitgeteilt. Das Datum „Zuletzt aktualisiert" am Anfang des Dokuments gibt den Zeitpunkt der letzten Überarbeitung an.

12. Kontakt

Für alle datenschutzbezogenen Anfragen wenden Sie sich bitte an [email protected]