struct-i-vio

Datenschutz

Datenschutzerklärung

Informationen zur Verarbeitung personenbezogener Daten und zu Ihren Rechten.

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website nutzen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

2. Hosting und Content Delivery

Vercel

Wir hosten unsere Website bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert.

Supabase (Datenbank)

Die Anwendungsdaten werden bei Supabase Inc. gespeichert. Unser Datenbank-Server befindet sich in Frankfurt am Main (eu-central-1). Supabase ist DSGVO-konform und hat entsprechende Auftragsverarbeitungsverträge abgeschlossen. Hochgeladene Unterlagen und Dateien werden ebenfalls über diese Infrastruktur in zugriffsgeschützten Speicherbereichen verarbeitet.

finAPI (optionale Banking-Integration)

Für die optionale Banking-Integration nutzen wir die finAPI GmbH, Adams-Lehmann-Str. 44, 80797 München, Deutschland. finAPI stellt die für die Anbindung von Bankkonten erforderlichen Open-Banking-/PSD2-Dienste bereit, insbesondere gehostete Web-Formulare zur Bankauswahl, Authentifizierung, starken Kundenauthentifizierung (SCA) und Verwaltung bankseitiger Zustimmungen.

Bankzugangs-, TAN- und sonstige SCA-Daten werden dabei grundsätzlich direkt in der von finAPI bereitgestellten Oberfläche bzw. bei der angebundenen Bank eingegeben und nicht als reguläre Zugangsdaten in struct-i-vio gespeichert.

AWS S3 (separate Datei- und Datenbanksicherungen)

Für zusätzliche Sicherungskopien hochgeladener Dateien sowie verschlüsselte Sicherungskopien der produktiven Anwendungsdatenbank nutzen wir einen separaten Speicher bei Amazon Web Services EMEA SARL ("AWS"). Diese Sicherungen werden ausschließlich in der EU-Region Stockholm (eu-north-1) vorgehalten. Die Übertragung erfolgt verschlüsselt; die Sicherungskopien unterliegen strengen technischen Zugriffsbeschränkungen, sind nicht Bestandteil des regulären Nutzerzugriffs und dienen ausschließlich der Ausfallsicherheit, Notfallvorsorge und Wiederherstellung.

3. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Tigran Varazhian (structivio)
Viktoriastraße 22
80803 München
E-Mail: tigran.varazhian@struct-i-vio.com

4. Ihre Rechte

Sie haben jederzeit das Recht:

  • Auskunft über Ihre gespeicherten Daten zu erhalten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO)
  • Löschung Ihrer Daten zu verlangen (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO)
  • Datenübertragbarkeit – Export Ihrer Daten (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung einzulegen (Art. 21 DSGVO)

Zur Ausübung Ihrer Rechte kontaktieren Sie uns unter: tigran.varazhian@struct-i-vio.com

5. Datenerfassung auf dieser Website

Cookies

Wir verwenden ausschließlich technisch notwendige Cookies für die Authentifizierung und Session-Verwaltung. Diese Cookies sind für den Betrieb der Anwendung erforderlich.

Server-Log-Dateien

Der Provider der Seiten erhebt und speichert automatisch Informationen in Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt (IP-Adresse, Browsertyp, Betriebssystem, Referrer URL, Uhrzeit der Serveranfrage).

6. Datenverarbeitung in der Anwendung

Welche Daten werden verarbeitet?

  • Stammdaten: Name, E-Mail-Adresse, Profilbild
  • Projektdaten: Projekte, Aufgaben, Dokumente, Zeiterfassung
  • Finanzdaten: Budgets, Ausgaben, Rechnungen (soweit vom Kunden eingegeben)
  • Bank- und Kontodaten: optionale Bankverbindungen, Kontobezeichnungen, IBAN/Kontonummern, Kontostände und sonstige Kontometadaten, soweit diese von der angebundenen Bank bzw. finAPI bereitgestellt werden
  • Transaktionsdaten aus Banking-Integrationen: importierte Buchungsdaten einschließlich Buchungsdatum, Betrag, Verwendungszweck, Gegenpartei sowie Gegenkonto-IBAN/BIC, soweit diese von der angebundenen Bank bzw. finAPI bereitgestellt werden
  • Banking- und Consent-Metadaten: technische Kennungen der Anbindung, Status von Bankverbindungen, Consent-Ablaufdaten, Web-Form-/Callback-IDs sowie Sync- und Fehlerprotokolle
  • Datei- und Nachweisdaten: hochgeladene Unterlagen, Anhänge, Nachweise und Profilbilder
  • Nutzungsdaten: Logins, Aktivitäten für Audit-Logs

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung der Dienste).

Optionale Banking-Integration (finAPI)

Wenn Sie die optionale Banking-Integration aktivieren, verarbeiten wir die hierfür erforderlichen Bank- und Transaktionsdaten sowie technische Zustimmungs- und Statusmetadaten, um Bankkonten anzubinden, Buchungen zu importieren, Zustimmungen zu erneuern und Fehlerfälle nachvollziehen zu können.

Die eigentliche Bankanbindung erfolgt über gehostete Web-Formulare von finAPI. Bankzugangs-, TAN- und sonstige Authentifizierungsdaten werden dabei grundsätzlich unmittelbar durch finAPI bzw. die jeweils ausgewählte Bank verarbeitet. struct-i-vio speichert diese Bankzugangsdaten nicht als reguläre Produktdaten.

Wir beschränken die an finAPI übermittelten Daten auf die für die jeweilige Banking-Funktion erforderlichen Angaben. Für die reguläre Nutzung ist eine dauerhafte Übermittlung persönlicher E-Mail-Adressen einzelner Nutzer an finAPI nicht vorgesehen, soweit dies nicht ausnahmsweise technisch oder vertraglich zwingend erforderlich ist.

7. Auftragsverarbeitung

Für Geschäftskunden schließen wir einen Auftragsverarbeitungsvertrag (AV-Vertrag) gemäß Art. 28 DSGVO ab. Diesen erhalten Sie unter: AV-Vertrag

8. Subprocessors (Unterauftragnehmer)

Wir setzen folgende Unterauftragnehmer ein:

AnbieterZweckStandort
Supabase Inc.Datenbank, Authentifizierung, StorageFrankfurt (eu-central-1)
Amazon Web Services EMEA SARL (AWS)Separate Datei- und Datenbanksicherungen zur Ausfallsicherheit und WiederherstellungEU (Stockholm, eu-north-1)
finAPI GmbHOptionale Banking-Integration, gehostete Web-Formulare, Consent-Management sowie Abruf von Konto- und TransaktionsdatenDeutschland; weitere Verarbeitungsorte nach Anbieterunterlagen
Vercel Inc.Hosting, CDNEU (Edge Network)
Stripe Technology Europe, LimitedZahlungsabwicklung und Abo-VerwaltungEU (Irland) / USA (DPF)
OpenAI Ireland LtdKI-Assistenz (optional, nur bei Nutzung der KI-Funktion)EU (Irland) / USA (EU SCCs)

9. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen (TOMs) ein:

  • Verschlüsselung aller Daten bei Übertragung (TLS 1.3)
  • Verschlüsselung der Daten im Ruhezustand (AES-256)
  • Multi-Tenant-Isolation durch Row Level Security (RLS)
  • Rollenbasierte Zugriffskontrollen
  • Dateien werden in getrennten, zugriffsgeschützten Speicherbereichen verarbeitet und nur nach Authentifizierung sowie Berechtigungsprüfung bereitgestellt
  • Zusätzliche Dateisicherungen werden getrennt vom Produktivspeicher in einem separaten EU-Speicherstandort vorgehalten (AWS S3, Stockholm, eu-north-1)
  • Zusätzliche verschlüsselte Datenbanksicherungen werden getrennt vom Produktivsystem in einem separaten EU-Speicherstandort vorgehalten (AWS S3, Stockholm, eu-north-1)
  • Regelmäßige Sicherheitsaudits und Updates
  • Automatisierte Backups mit Point-in-Time Recovery

Speicherung hochgeladener Unterlagen

Hochgeladene Unterlagen und sonstige Dateien werden in der Regel gemeinsam mit Metadaten zum jeweiligen Unternehmens-, Projekt- oder Vorgangskontext gespeichert. Dadurch kann die Anwendung Zugriffe auf Dateien an die Anmeldung, die Mandantentrennung und die jeweils vergebenen Rollen und Freigaben koppeln.

Für Zwecke der Ausfallsicherheit können hochgeladene Dateien zusätzlich in einem separaten Backup-Speicher innerhalb der EU (AWS S3, Region Stockholm, eu-north-1) vorgehalten werden. Diese Sicherungskopien sind nicht Bestandteil des regulären Nutzerzugriffs, verbleiben innerhalb Europas und werden nur für Wiederherstellungen oder technische Notfälle verwendet.

Datenbanksicherungen

Zur Gewährleistung der Wiederherstellbarkeit der Anwendung werden zusätzlich verschlüsselte Sicherungskopien der produktiven Anwendungsdatenbank in einem getrennten Backup-Speicher innerhalb der EU (AWS S3, Region Stockholm, eu-north-1) vorgehalten. Diese Sicherungen sind nicht Teil des regulären Nutzerzugriffs und werden ausschließlich für Notfall- und Wiederherstellungszwecke verwendet.

10. Datenexport und Löschung

Datenexport

Sie können jederzeit einen vollständigen Export Ihrer Daten anfordern. Die Daten werden in gängigen Formaten (CSV, JSON) bereitgestellt.

Löschung im laufenden Betrieb

Werden reguläre Arbeitsunterlagen innerhalb der Anwendung gelöscht, erfolgt die Entfernung im Regelfall nicht sofort endgültig. Dateien werden zunächst in einen Papierkorb überführt und können dort durch berechtigte Nutzer wiederhergestellt werden. Die endgültige Entfernung aus dem Produktivbetrieb erfolgt regelmäßig erst nach bis zu 30 Tagen, sofern keine Wiederherstellung erfolgt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Zusätzlich können Sicherungskopien gelöschter Dateien für Zwecke der Ausfallsicherheit und Wiederherstellung noch bis zu 12 Monate in einem getrennten Backup-Speicher innerhalb der EU (AWS S3, Region Stockholm, eu-north-1) vorgehalten werden. Diese Kopien sind nicht im regulären Produkt sichtbar und werden nur nach technischer Prüfung oder auf berechtigte Anfrage für Wiederherstellungszwecke genutzt.

Zusätzlich können verschlüsselte Sicherungskopien der Anwendungsdatenbank für Zwecke der Ausfallsicherheit und Wiederherstellung noch bis zu 12 Monate in einem getrennten Backup-Speicher innerhalb der EU (AWS S3, Region Stockholm, eu-north-1) vorgehalten werden. Diese Kopien sind nicht im regulären Produkt sichtbar und werden ausschließlich für Notfall- oder Wiederherstellungszwecke genutzt.

Besonderheiten der optionalen Banking-Integration

Wenn eine finAPI-Bankverbindung getrennt wird, entfernen wir die zugehörigen Verbindungs- und Kontometadaten aus dem laufenden Betrieb. Wird die letzte finAPI-Bankverbindung eines Mandanten entfernt, wird auch der zugehörige finAPI-Nutzer bei finAPI gelöscht, soweit keine technische oder gesetzliche Ausnahme entgegensteht.

Bereits in struct-i-vio übernommene Transaktions-, Buchungs- oder Zuordnungsdaten können im Verantwortungsbereich des Kunden weiter vorgehalten werden, wenn sie bereits in Projekt-, Abrechnungs-, Export- oder steuerlich relevanten Prozessen verwendet werden oder gesetzlichen Aufbewahrungspflichten unterliegen.

Technische Protokolle sowie Sicherungskopien können darüber hinaus bis zum Ablauf der jeweiligen Backup- und Wiederherstellungsfristen bestehen bleiben und werden anschließend gelöscht oder überschrieben.

Löschung bei Vertragsende

Nach Beendigung des Vertragsverhältnisses erfolgt die Datenverarbeitung nach Datenkategorien: Personenbezogene Daten aus gelöschten Benutzerkonten werden unverzüglich anonymisiert oder gelöscht und der Zugang wird entfernt. Tenant- und vertragsbezogene Daten werden mindestens für 10 Jahre vorgehalten. Damit wird insbesondere sichergestellt, dass gesetzlich aufbewahrungspflichtige Finanz- und Abrechnungsdaten entsprechend der handels- und steuerrechtlichen Vorgaben (insbesondere HGB/AO) vollständig verfügbar bleiben. Auf Wunsch erhalten Sie eine Löschbestätigung.

11. KI-Funktionen (optional)

struct-i-vio bietet optionale KI-gestützte Funktionen zur Unterstützung und Automatisierung von Arbeitsabläufen. Diese Funktionen sind freiwillig und können vom Nutzer jederzeit genutzt oder nicht genutzt werden.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Nutzung der KI-Funktionen erfordert Ihre ausdrückliche Einwilligung. Vor der erstmaligen Nutzung des KI-Assistenten werden Sie über die Datenverarbeitung informiert und um Ihre Zustimmung gebeten. Ohne diese Einwilligung werden keine Daten an den KI-Dienstleister übermittelt.

Ihre Einwilligung wird revisionssicher in unserem System dokumentiert (Zeitpunkt, Version der Datenschutzhinweise, Benutzer-ID).

Widerruf der Einwilligung

Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf kann formlos per E-Mail an tigran.varazhian@struct-i-vio.com erfolgen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt davon unberührt (Art. 7 Abs. 3 DSGVO).

Verarbeiteter Datenumfang

Bei Nutzung der KI-Funktion werden folgende Daten an den KI-Dienstleister übermittelt:

  • Identitätsdaten: Ihr Name, Ihre E-Mail-Adresse und Ihre Position im Unternehmen
  • Chatnachrichten: Alle Nachrichten, die Sie an den KI-Assistenten senden
  • Projekt- und Aufgabendaten: Namen, Beschreibungen, Status, Fristen (soweit sichtbar)
  • Mitarbeiterdaten: Namen, Rollen, Arbeitszeiten, Abwesenheiten (soweit sichtbar)
  • Finanzdaten: Budgets, Rechnungen, Ausgaben (soweit sichtbar)

Der Umfang der übermittelten Daten entspricht dem Sichtbereich des jeweiligen Nutzers und wird durch das Berechtigungssystem (Row Level Security) begrenzt.

Diese Daten werden bei Nutzung der KI-Funktion an OpenAI Ireland Ltd(One Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland) als Auftragsverarbeiter übermittelt.

Kein Training auf Kundendaten

OpenAI verwendet Daten, die über die API übermittelt werden, nichtzum Training von KI-Modellen. Dies ist vertraglich im Auftragsverarbeitungsvertrag (Data Processing Addendum) mit OpenAI Ireland Ltd festgelegt.

Speicherdauer bei OpenAI

OpenAI speichert API-Anfragen und -Antworten für bis zu 30 Tagezu Sicherheits- und Missbrauchserkennungszwecken, danach erfolgt die Löschung.

Speicherung in struct-i-vio

Ihre KI-Chatverläufe werden in der struct-i-vio-Datenbank gespeichert, um Ihnen den Zugriff auf frühere Gespräche zu ermöglichen. Sie können einzelne Gespräche jederzeit löschen. Bei Löschung Ihres Benutzerkontos werden alle KI-Chatverläufe ebenfalls gelöscht.

Drittlandtransfer

OpenAI Ireland Ltd ist die für EEA-Kunden zuständige Vertragspartei. Soweit Daten auf Infrastruktur von OpenAI, LLC (USA) verarbeitet werden, erfolgt dies auf Basis der EU-Standardvertragsklauseln (SCCs, Art. 46 DSGVO).

Keine automatisierten Entscheidungen

Es werden keine automatisierten Entscheidungen im Sinne von Art. 22 DSGVO getroffen. Alle KI-generierten Vorschläge sind als Empfehlungen zu verstehen und erfordern stets menschliche Überprüfung und Freigabe. Schreibvorschläge der KI (z.B. Aufgaben anlegen oder ändern) erfordern eine explizite Bestätigung durch den Nutzer.

12. Besondere Datenkategorien (Art. 9 DSGVO)

Die Anwendung ermöglicht Mitarbeitern das Hochladen von Arbeitsunfähigkeitsbescheinigungen im Rahmen der Abwesenheitsverwaltung. Bei diesen Dokumenten kann es sich um Gesundheitsdaten im Sinne von Art. 4 Nr. 15 i.V.m. Art. 9 DSGVO handeln.

Rechtsgrundlage für diese Verarbeitung ist Art. 9 Abs. 2 lit. b DSGVO (Verarbeitung im Rahmen des Arbeitsrechts) sowie § 26 Abs. 3 BDSG. Der Arbeitgeber (Kunde von struct-i-vio) ist für die rechtmäßige Einholung dieser Daten verantwortlich.

Mitarbeitern wird empfohlen, ausschließlich die Arbeitsunfähigkeitsbescheinigung (ohne Diagnose) hochzuladen. Das Hochladen von Dokumenten mit Diagnoseinformationen oder sonstigen Gesundheitsdaten über die Bescheinigung hinaus ist nicht erforderlich und sollte vermieden werden.

13. Nutzung der mobilen App (Android / iOS)

struct-i-vio ist derzeit als mobile App für Android verfügbar. Eine iOS-Version kann künftig bereitgestellt werden. Die App ist eine webbasierte Anwendung (Capacitor/WebView) und verarbeitet dieselben Daten wie die Web-Version.

Gerätezugriffe

In der mobilen Android-App sind technisch folgende Systemberechtigungen deklariert: Internetzugriff sowie unterstützende Berechtigungen für Netzwerkstatus, Vibration, Wake-Lock und den Empfang von Push- Benachrichtigungen (inkl. technischer Berechtigungen für den Push-Empfangsdienst). Benachrichtigungen (Push) werden nur nach ausdrücklicher Einwilligung des Nutzers genutzt. Kamera, Mikrofon, Standort oder Kontakte werden derzeit nicht als Laufzeitberechtigung aktiv angefordert. Falls künftig weitergehende Gerätezugriffe erforderlich werden, erfolgt dies nur nach vorherigem Datenschutzhinweis und – soweit erforderlich – mit separater Einwilligung bzw. über den jeweiligen Betriebssystem-Dialog.

Account-Löschung

Nutzer können ihren Account jederzeit in den Kontoeinstellungen (Profil → Account löschen) löschen. Nach Löschung werden alle personenbezogenen Daten im Produktivbetrieb unverzüglich anonymisiert oder gelöscht und der Zugang entfernt; gesetzliche Aufbewahrungspflichten sowie technisch erforderliche Sicherungskopien gemäß Ziffer 10 bleiben unberührt. Für Dateien, die ausschließlich dem Nutzerkonto zugeordnet sind, kann im Rahmen der Account-Löschung eine unmittelbare Entfernung erforderlich sein. Reguläre Arbeitsunterlagen des Unternehmens unterliegen dagegen den jeweils geltenden Papierkorb-, Aufbewahrungs- und Löschregeln.

Eine öffentliche Beschreibung des Löschprozesses finden Sie unter /legal/account-loeschung.

14. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann von Zeit zu Zeit aktualisiert werden. Die aktuelle Version finden Sie stets auf dieser Seite.

Stand: 11. April 2026