Datenschutzerklärung
Der Schutz deiner Daten ist für Liberix zentrale Produktanforderung, nicht Pflichtübung. Diese Erklärung beschreibt, welche Daten wir verarbeiten, warum, wie lange und wie du deine Rechte ausüben kannst. Stand: 24. April 2026.
1. Verantwortlicher
Christian Hesselmann / Hesselmann-Service (Anbieter laut Impressum). Kontakt für Datenschutz-Anliegen: datenschutz@liberix.de.
2. Überblick: genutzte Dienstleister (Art. 28 DSGVO)
Wir verarbeiten deine Daten über folgende Auftragsverarbeiter. Alle Dienstleister sind entweder in der EU ansässig oder unter EU-US Data Privacy Framework zertifiziert und vertraglich nach Art. 28 DSGVO gebunden.
| Dienst | Zweck | Anbieter / Sitz | Rechtsgrundlage |
|---|---|---|---|
| Supabase | Datenbank, Auth, Storage | Supabase Inc. · EU-Region Frankfurt (aws-0-eu-central-1) | Art. 6 Abs. 1 lit. b DSGVO |
| Mittwald | Application-Hosting (Web-Server) | Mittwald CM Service GmbH, Espelkamp, Deutschland | Art. 6 Abs. 1 lit. b DSGVO |
| Anthropic Claude | KI-gestützter Brief-Entwurf & Dokumenten-Analyse | Anthropic PBC · EU-API-Endpunkt (Opt-Out Training) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Stripe | Zahlungs-Abwicklung für Abos | Stripe Technology Europe Ltd., Dublin, Irland | Art. 6 Abs. 1 lit. b DSGVO |
| Resend | Transaktions-E-Mails (Signup, Fristen-Reminder) | Resend Inc. · EU-Region, DPA nach SCCs | Art. 6 Abs. 1 lit. b DSGVO |
| Sentry (wenn aktiviert) | Fehler-Telemetrie | Functional Software Inc. · EU-Region; scrubs PII | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Fehler-Behebung) |
| PostHog (optional, Cookie-Consent-gated) | Anonymisierte Produkt-Analyse (Session-Replay NICHT aktiviert) | PostHog EU Ltd. · Frankfurt | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Mittwald S3 (optional) | GoBD-konforme Langzeit-Archivierung von Dokumenten | Mittwald CM Service GmbH, Espelkamp, Deutschland | Art. 6 Abs. 1 lit. c DSGVO (§ 147 AO Aufbewahrungspflicht) |
3. Welche Daten wir verarbeiten
3.1 Account-Daten
E-Mail, Name, Passwort-Hash (via Supabase bcrypt). Speicherung: bis Account-Löschung.
3.2 Fallakten-Daten
Forderungen, Gläubiger, Dokumente, Fristen, Haushaltsbudget. Diese Daten gehören dir — Liberix agiert als Auftragsverarbeiter. Speicherung: bis Account-Löschung + 30 Tage Grace-Period.
3.3 Technische Daten
IP-Adresse (gehashed für Audit-Log, nie roh), User-Agent, Request-Zeitpunkte. Speicherung: 90 Tage.
3.4 KI-Prompt-Logs
Bei Nutzung der KI-Brief-Funktion speichern wir Metadaten (Input-Tokens, Output-Tokens, Kosten) in ai_usage_events zur Abrechnung und Missbrauchs-Prävention. Der vollständige Prompt-Inhalt wird NICHT gespeichert.
4. KI-Verarbeitung (Anthropic Claude)
Wir nutzen Anthropic Claude zur Analyse von Dokumenten und zum Entwurf von Briefen. Übertragene Daten werden nicht für das Training von KI-Modellen verwendet (Opt-Out vertraglich geregelt). Alle KI-Aufrufe werden in einem Audit-Log dokumentiert und sind in deiner Akte sichtbar. Du kannst die KI-Nutzung jederzeit in den Einstellungen deaktivieren — dann stehen manuelle Vorlagen als Alternative zur Verfügung.
5. Rechtsgrundlagen (DSGVO)
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Kernfunktionen)
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (KI-Verarbeitung, nicht-essenzielle Cookies)
- Art. 6 Abs. 1 lit. c DSGVO — gesetzliche Pflichten (GoBD, Steuer-Aufbewahrung)
- Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Betrugs-Prävention, Log-Daten)
6. Deine Rechte
Du hast nach DSGVO das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Die wichtigsten Rechte kannst du direkt im Produkt unter Einstellungen · Datenschutz & DSGVO ausüben:
- Datenexport (Art. 20): Alle deine Daten als ZIP mit JSON + PDFs.
- Konto-Löschung (Art. 17): 30-Tage-Widerrufsfrist, dann endgültig.
- KI-Nutzung widerrufen (Art. 7): Jederzeit in Einstellungen.
- Cookie-Einstellungen: Im Cookie-Banner änderbar.
Für alles Weitere: datenschutz@liberix.de. Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde (i. d. R. LDI NRW oder LDA Bayern je nach Geschäftssitz).
7. Speicherdauer
Fallakten werden so lange gespeichert, wie dein Abo aktiv ist, plus 30 Tage Grace-Period zur Wiederherstellung. Danach werden sie endgültig gelöscht. Gesetzliche Aufbewahrungsfristen (z. B. § 147 AO, 10 Jahre für steuerrelevante Unterlagen) bleiben unberührt für Rechnungs-Unterlagen, sofern du geschäftlich nutzt.
8. Cookies & Tracking
Wir setzen ausschließlich essenzielle Cookies für die Session (Supabase-Auth) sowie — mit deiner Einwilligung — PostHog (EU) für anonymisierte Produktanalyse. Beim ersten Besuch bekommst du ein Cookie-Banner mit drei gleichwertigen Optionen (Alle akzeptieren / Nur notwendige / Anpassen). Ohne Einwilligung werden keine nicht-essenziellen Scripts geladen (§ 25 TDDDG).
9. Auftragsverarbeitung (B2B)
Für Kunden, die Liberix geschäftlich nutzen und Daten Dritter (z. B. ihrer Klienten) verarbeiten, gilt unser Auftragsverarbeitungs-Vertrag (DPA, Art. 28 DSGVO) als Bestandteil des Hauptvertrags.
10. Änderungen
Diese Datenschutzerklärung wird bei relevanten Änderungen aktualisiert. Nutzer:innen werden per E-Mail benachrichtigt. Stand: 24. April 2026.
Diese Erklärung ist nach bestem Wissen und Gewissen erstellt. Für verbindliche Datenschutz-Einschätzungen bitte einen Datenschutzbeauftragten konsultieren.