Datenschutzerklärung
Stand: April 2026
1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
Philip van AppeldornGeschäftsbezeichnung: FutureRoots (Einzelunternehmen)
Kassstr. 54
46446 Emmerich am Rhein
E-Mail (allgemeine Anfragen): kontakt@ksklar.de
E-Mail (Datenschutzanfragen): datenschutz@ksklar.de
Für Anfragen zu Ihren Betroffenenrechten (Art. 15–22 DSGVO) — insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch — nutzen Sie bitte bevorzugt datenschutz@ksklar.de.
Datenschutzbeauftragter:Ein Datenschutzbeauftragter wurde nicht benannt, da die gesetzlichen Schwellenwerte gemäß § 38 BDSG (≥ 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind) und Art. 37 Abs. 1 DSGVO (Kerntätigkeit mit umfangreicher regelmäßiger systematischer Überwachung oder umfangreicher Verarbeitung besonderer Kategorien) nicht erreicht sind. Datenschutzanfragen richten Sie bitte an datenschutz@ksklar.de.
2. Übersicht der Verarbeitungen
KSKlar ist eine B2B-SaaS-Lösung zur automatisierten Künstlersozialabgabe-Compliance. Im Rahmen der Nutzung unseres Dienstes verarbeiten wir personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist.
| Zweck | Rechtsgrundlage |
|---|---|
| Bereitstellung der Webanwendung | Art. 6 Abs. 1 lit. b DSGVO |
| Authentifizierung und Session-Management | Art. 6 Abs. 1 lit. b DSGVO |
| KI-gestützte Rechnungsklassifikation | Art. 6 Abs. 1 lit. a DSGVO |
| E-Mail-Versand (Transaktions-Mails) | Art. 6 Abs. 1 lit. b DSGVO |
| Zahlungsabwicklung | Art. 6 Abs. 1 lit. b DSGVO |
| Webanalyse (cookieless) | Art. 6 Abs. 1 lit. f DSGVO |
| Aufbewahrung steuerrelevanter Daten | Art. 6 Abs. 1 lit. c DSGVO |
3. Hosting und Infrastruktur
Unsere gesamte Infrastruktur wird bei der Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland) betrieben. Dies umfasst:
- Die Webanwendung auf einem Hetzner CX33 VPS (Standort: Deutschland)
- Die PostgreSQL-Datenbank für sämtliche Geschäftsdaten
- SeaweedFS als S3-kompatibler Dateispeicher für hochgeladene Rechnungsdokumente
Sämtliche Daten verbleiben ausschließlich auf Servern in Deutschland. Es findet kein Drittlandtransfer für das Hosting statt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen und sicheren Bereitstellung). Ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ist mit Hetzner abgeschlossen.
4. Authentifizierung
Die Authentifizierung erfolgt über Better Auth, eine self-hosted Open-Source-Authentifizierungslösung. Die gesamte Authentifizierungslogik läuft auf unserer eigenen Infrastruktur bei Hetzner. Es werden keine Daten an Drittanbieter-Auth-Dienste übermittelt.
Bei der Authentifizierung werden folgende Cookies gesetzt:
- Session-Cookie (httpOnly, secure, sameSite=lax) — Dauer: bis zum Logout oder nach 30 Tagen Inaktivität
- CSRF-Token — Schutz vor Cross-Site Request Forgery
Passwörter werden ausschließlich als kryptographische Hashes gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5. KI-gestützte Klassifikation (Mistral AI)
Zur automatischen Erkennung und Klassifikation von KSK-pflichtigen Rechnungen setzen wir Mistral AI (Paris, Frankreich) ein. Mistral AI ist ein EU-Unternehmen — es findet kein Drittlandtransfer statt. Mistral AI verwendet Ihre Daten nicht für das Training ihrer KI-Modelle (vertraglich im Data-Processing-Agreement nach Art. 28 DSGVO zugesichert, entsprechende Workspace-Einstellung ist aktiviert) und speichert API-Anfragen gemäß Mistral-Datenschutzerklärung standardmäßig maximal 30 Tage (zur Missbrauchserkennung und Fehlerdiagnose, branchenüblicher Standard), anschließend automatische Löschung. Eine vertragliche Zero-Retention-Option (sofortige Löschung nach jeder Anfrage) ist bei Mistral nur über einen Enterprise-Vertrag verfügbar und als Upgrade-Pfad vorgesehen.
Dabei kommen zwei Modelle zum Einsatz:
- Mistral OCR 3 — Extraktion von Textinhalten aus hochgeladenen Rechnungsdokumenten (PDF/Bilder)
- Mistral Large 3 — KSK-Klassifikation der extrahierten Rechnungsdaten
Die Verarbeitung erfolgt in zwei getrennten Schrittenmit unterschiedlichem Datenumfang. Wir benennen beide hier ausdrücklich, weil sich der Datenumfang in Schritt 1 (Texterkennung) wesentlich von Schritt 2 (Klassifikation) unterscheidet:
Schritt 1 — Texterkennung (Mistral OCR 3)
Bei hochgeladenen PDF- oder Bild-Rechnungen wird das vollständige Dokument an Mistral OCR 3 übertragen. Ohne Übermittlung des gesamten Dokuments wäre keine maschinelle Texterkennung möglich (technisch unvermeidbar für gescannte oder bildbasierte Rechnungen).
Verarbeitete Datenkategorien in Schritt 1: alle im hochgeladenen Dokument enthaltenen Daten — einschließlich Name und vollständige Adresse des Rechnungsstellers, IBAN, BIC, Bank-Name, Steuernummer, USt-IdNr, Telefonnummer, E-Mail-Adresse sowie Rechnungspositionen und Beträge.
Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — eingeholt einmalig pro Organisation über den Consent-Dialog vor der ersten KI-Analyse. Empfänger: Mistral AI SAS, Paris, Frankreich (EU-Verarbeitung, kein Drittlandtransfer). Speicherdauer bei Mistral: max. 30 Tage zur Missbrauchserkennung gemäß Mistral Privacy Policy, anschließend automatische Löschung; vertraglich zugesicherter Trainings-Ausschluss („No Training“-Opt-out im Workspace, im Auftragsverarbeitungs-Vertrag nach Art. 28 DSGVO bestätigt). Eine technische Vor-Maskierung von IBAN, Steuernummer etc. vor dem OCR-Aufruf ist nach derzeitigem Stand der Technik nicht zuverlässig möglich, weil diese Felder im Bild noch nicht extrahiert sind. Wir prüfen den Wechsel auf Enterprise Zero Data Retention bei Mistral als technische Verschärfung (interne Roadmap „Zero-Retention-Upgrade“).
Schritt 2 — KSK-Klassifikation (Mistral Large 3)
Für die eigentliche KSK-Klassifikation senden wir nicht das Originaldokument, sondern ein durch ein technisches Whitelist-Schema reduziertes Feld-Set an Mistral Large 3. Die Filterung wird auf unserem Server (Hetzner, Falkenstein/DE) vor dem API-Aufruf durchgesetzt (src/lib/schemas/invoice-data-guard.ts).
Verarbeitete Datenkategorien in Schritt 2:
- Name des Rechnungsstellers
- Stadt des Rechnungsstellers (nicht die vollständige Adresse)
- Rechnungsdatum
- Netto- und Bruttobetrag
- Leistungsbeschreibung
- Rechtsform (sofern erkennbar)
Technisch ausgeschlossen in Schritt 2 (BLOCKED_FIELDS): IBAN, BIC, Bank-Name, Konto-Inhaber, Steuernummer, USt-IdNr, vollständige Straße, PLZ, Telefonnummer, E-Mail-Adresse. Der Aufruf bricht mit Validierungsfehler ab, falls eines dieser Felder versehentlich übergeben würde.
Rechtsgrundlage:Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Empfänger: Mistral AI SAS, Paris. Speicherdauer:identisch zu Schritt 1 (max. 30 Tage Mistral-seitig).
Die Original-Rechnungsdokumente verbleiben nach erfolgreicher Klassifikation auf unserem Server (Hetzner DE, verschlüsseltes SeaweedFS-Storage). Der von Mistral OCR 3 zurückgelieferte Volltext (Invoice.ocrText) wird nach erfolgreicher Klassifikation oder spätestens bei Account-Anonymisierung gemäß Art. 17 DSGVO gelöscht.
Widerruf der Einwilligung:Die Einwilligung in die KI-Analyse kann jederzeit mit Wirkung für die Zukunft in den Einstellungen widerrufen werden (Art. 7 Abs. 3 DSGVO). Bei Widerruf wird die KI-Klassifikation deaktiviert; bereits klassifizierte Rechnungen bleiben unverändert (Art. 17 Abs. 3 lit. b DSGVO i. V. m. § 257 HGB, § 147 AO).
Weitere Details zur KI-gestützten Verarbeitung finden Sie auf unserer Detailseite zur KI-Analyse.
6. E-Mail-Versand (Brevo)
Für den Versand von Transaktions-E-Mails nutzen wir Brevo (ehemals Sendinblue), Brevo SA, 7 rue de Madrid, 75008 Paris, Frankreich. Brevo verarbeitet die Daten innerhalb der EU (Frankreich/Deutschland).
Transaktions-Mails umfassen: Registrierungsbestätigungen, Passwort-Zurücksetzungen, Fristenerinnerungen (z. B. Entgeltmeldung, Vorauszahlung) und Systembenachrichtigungen.
Verarbeitete Daten: E-Mail-Adresse, Name. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Ein AVV gemäß Art. 28 DSGVO ist mit Brevo abgeschlossen.
7. Zahlungsabwicklung (Stripe)
Für die Zahlungsabwicklung nutzen wir Stripe (Stripe Payments Europe Ltd., Dublin, Irland). Stripe agiert als eigenständiger Verantwortlicher für die Verarbeitung der Zahlungsdaten — nicht als unser Auftragsverarbeiter.
Die Zahlungen erfolgen per SEPA-Lastschrift. Dabei werden folgende Daten an Stripe übermittelt: Name, E-Mail-Adresse und Zahlungsdaten. Kreditkarten- oder Kontodaten werden ausschließlich von Stripe verarbeitet und nicht auf unseren Servern gespeichert.
SEPA-Mandate werden von Stripe gemäß Zahlungsdienstleister-Vorgaben 14 Monate nach Widerruf aufbewahrt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Weitere Informationen zur Datenverarbeitung durch Stripe finden Sie in der Datenschutzerklärung von Stripe.
8. Webanalyse (Plausible Analytics)
Wir verwenden Plausible Analytics für die Webanalyse. Plausible ist self-hosted auf unserem eigenen Server bei Hetzner (analytics.ksklar.de).
Plausible arbeitet vollständig cookieless: Es werden keine Cookies gesetzt, keine IP-Adressen gespeichert und keine personenbezogenen Daten erhoben. Die Analyse basiert auf aggregierten, anonymen Daten.
Da Plausible keine personenbezogenen Daten verarbeitet und keine Cookies setzt, ist kein Consent erforderlich (TDDDG § 25 Abs. 2). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymen Nutzungsauswertung).
9. Schriftarten
Wir verwenden die Schriftart „Geist“ von Google Fonts. Die Schriftart wird über next/font/google zur Build-Zeit eingebunden und anschließend self-hosted ausgeliefert. Es finden keine Anfragen an Google-Server zur Laufzeit statt. Es erfolgt kein Drittlandtransfer.
10. Cookies
Wir verwenden ausschließlich technisch notwendige Cookies:
- Session-Cookie (Better Auth) — Authentifizierung und Session-Verwaltung
- CSRF-Token — Schutz vor Cross-Site Request Forgery
Es werden keine Marketing-Cookies, Tracking-Cookies oder Analyse-Cookies eingesetzt. Wir verwenden kein Google Analytics, kein Facebook Pixel und keine vergleichbaren Tracking-Dienste. Plausible Analytics arbeitet vollständig ohne Cookies.
Da ausschließlich technisch notwendige Cookies zum Einsatz kommen, ist gemäß TDDDG § 25 Abs. 2 kein Cookie-Consent-Banner erforderlich.
11. Aufbewahrungsfristen
Personenbezogene Daten werden gelöscht, sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Rechnungen und Assessments: 10 Jahre gemäß § 257 HGB und § 147 AO
- OCR-Rohdaten: Werden nach erfolgreicher Datenextraktion unverzüglich gelöscht
- Account-Daten: Bei Löschung des Kontos sofort entfernt; steuerrelevante Daten werden anonymisiert und für die gesetzliche Aufbewahrungsfrist vorgehalten
- Server-Logfiles: Automatische Löschung nach 30 Tagen
12. Betroffenenrechte
Ihnen stehen folgende Rechte gegenüber uns hinsichtlich Ihrer personenbezogenen Daten zu:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenportabilität (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Zur Wahrnehmung Ihrer Rechte nutzen Sie bitte bevorzugt unsere Datenschutz-Kontaktadresse: datenschutz@ksklar.de (oder alternativ kontakt@ksklar.de).
Sie haben außerdem das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)Hausanschrift: Kavalleriestraße 2–4, 40213 Düsseldorf
Postanschrift: Postfach 20 04 44, 40102 Düsseldorf
Telefon: +49 211 38424-0
E-Mail: poststelle@ldi.nrw.de
Website: www.ldi.nrw.de
13. Auftragsverarbeiter und Dienstleister
| Dienstleister | Zweck | Standort | AVV |
|---|---|---|---|
| Hetzner Online GmbH | Hosting, Datenbank, Dateispeicher | Deutschland | Vorhanden |
| Brevo SA | Transaktions-E-Mails | Frankreich (EU) | Vorhanden |
| Mistral AI SAS | KI-Klassifikation (OCR + Analyse) | Frankreich (EU) | Abgeschlossen (2026-04-20) |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Irland (EU) | Eigenständiger Verantwortlicher |
| mailbox.org (Heinlein Support GmbH) | Business-E-Mail (kontakt@ksklar.de, datenschutz@ksklar.de) | Deutschland (Berlin) | Vorhanden |
Für den Betrieb der Business-E-Mail-Postfächer kontakt@ksklar.de und datenschutz@ksklar.de nutzen wir mailbox.org (Betreiber: Heinlein Support GmbH, Greifswalder Str. 208, 10405 Berlin) — Server ausschließlich in Deutschland, ISO 27001 zertifiziert. Ein AVV gemäß Art. 28 DSGVO liegt vor. Keine Drittlandübermittlung.
14. Änderungen der Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.
Hinweis: KSKlar bietet Informationen und Berechnungen zur Künstlersozialabgabe. Dies stellt keine Rechts- oder Steuerberatung dar. Für verbindliche Auskünfte wenden Sie sich bitte an einen Rechtsanwalt oder Steuerberater.