Datenschutzerklärung

1. Verantwortlicher

HEINI Operations UG (haftungsbeschränkt), Wierling 19, 48301 Nottuln, Deutschland, Geschäftsführer: Daniel Heinen. E-Mail allgemein: hallo@heini.app · Datenschutz: datenschutz@heini.app.

Soweit HEINI Daten im Auftrag eines Kunden verarbeitet (KI-Kollege, eingegebene Inhalte), ist der jeweilige Kunde Verantwortlicher und HEINI Auftragsverarbeiter (Art. 28 DSGVO, Anhang A). Diese Erklärung betrifft die Verarbeitungen, für die HEINI selbst Verantwortlicher ist (Website, Vertragsabwicklung, Abrechnung).

2. Hosting und Serverstandort

Standard-Verarbeitungsort für Website, Storage und Backup ist das Rechenzentrum der Hetzner Online GmbH in Falkenstein (FSN1), Deutschland — ein eigener, getrennter Bereich pro Kunde (Single-Tenant). Hetzner ist nach ISO 27001:2022 zertifiziert.

Eine abweichende Hosting-Region wird ausschließlich auf ausdrücklichen Wunsch eines Enterprise-Kunden im Einzelvertrag vereinbart (AVV Ziff. 7.2); ohne solche Vereinbarung verbleibt die gesamte Verarbeitung in Falkenstein/Deutschland.

Für den Besuch dieser Marketing-Website (Umami, Hetzner Falkenstein) findet im Standardbetrieb keine Übermittlung in Drittländer statt. Für die Nutzung der SaaS-Plattform heini.app (insbesondere KI-Inferenz) können gesondert Sub-Auftragsverarbeiter mit Sitz in der EU eingesetzt werden, deren Muttergesellschaften in Drittländern ansässig sein können; dies ist im AVV Ziff. 7 ausgewiesen.

3. Verarbeitungen im Einzelnen

3.1 Website-Besuch. Zweck: Bereitstellung, Sicherheit, Stabilität. Daten: IP-Adresse, Zeitpunkt, User-Agent, Referrer, abgerufene URL. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer: 14 Tage (Sicherheits-Logs). Empfänger: Hetzner (Falkenstein/DE, AVV).

3.2 Cookies (§ 25 TTDSG). Strikt notwendige Cookies (Login-Session, CSRF-Schutz, Sprachwahl) ohne Einwilligung (§ 25 Abs. 2 Nr. 2 TTDSG). Funktionale/statistische/Marketing-Cookies nur nach aktiver Einwilligung; Widerruf jederzeit. Reichweitenmessung über Umami Analytics (cookielos, self-hosted, keine persistenten Identifier, keine Drittland-Übermittlung).

3.3 Konto und Vertragsabwicklung. Zweck: Anbahnung, Abschluss, Durchführung. Daten: Firma, Vor-/Nachname, Funktion, dienstliche E-Mail, Telefon, Anschrift, USt-IdNr., Zahlungsdaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO. Speicherdauer: Vertragslaufzeit zzgl. gesetzlicher Aufbewahrung (10 Jahre, § 257 HGB, § 147 AO).

3.4 KI-Interaktion (KI-Kollege). Zweck: Erbringung der KI-Leistung im Auftrag des Kunden. Daten: Eingaben (Prompts, Dokumente), Output, technische Logs. Rechtsgrundlage: Art. 28 DSGVO i. V. m. AVV. Sub-Auftragsverarbeiter: siehe AVV Ziff. 7 (Hetzner Falkenstein/DE; KI-Anbieter laut Auftragsbestätigung). Kundendaten werden nicht zum Modell-Training verwendet (§ 6.2 AGB). BYOK: Bringt der Kunde ein eigenes KI-Modell / einen eigenen Anbieter ein, erfolgt die Inferenz über den vom Kunden gewählten Anbieter; Auswahl und datenschutzrechtliche Verantwortung dafür liegen beim Kunden (§ 6.2a AGB, AVV Ziff. 7.3a).

3.5 Abrechnung. Zweck: Rechnungsstellung, Zahlungsabwicklung, Buchhaltung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. c DSGVO. Speicherdauer: 10 Jahre (§ 257 HGB, § 147 AO). Empfänger: vom Kunden beauftragter Steuerberater, Zahlungsdienstleister (siehe AVV). HEINI bereitet Buchungen nur vor und leistet keine Steuerberatung i. S. d. §§ 2–5 StBerG (§ 6.7 AGB).

3.6 Marketing/Newsletter. Nur bei ausdrücklicher Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 7 Abs. 2 UWG); Widerruf jederzeit über den Abmelde-Link oder hallo@heini.app.

4. Empfänger und Drittland-Transfer

4.1 Empfänger: Hetzner Online GmbH (Standort Falkenstein/FSN1, Deutschland; abweichende Region nur auf Enterprise-Wunsch — AVV Ziff. 7.2), eingesetzte KI-Anbieter (Liste AVV Ziff. 7; bei BYOK der vom Kunden gewählte Anbieter), der vom Kunden beauftragte Steuerberater, Zahlungsdienstleister, ggf. Behörden auf gesetzlicher Grundlage.

4.2 Soweit bei der SaaS-Nutzung ein Drittland-Transfer erfolgt, beruht er auf den in AVV Ziff. 7.5 genannten Grundlagen (Adäquanzbeschluss, EU-Standardvertragsklauseln 2021 mit Transfer-Impact-Assessment, DPF). Für den Besuch dieser Marketing-Website findet im Standardbetrieb kein Drittland-Transfer statt.

5. Verschlüsselung und Datensicherheit

Kundendaten werden mit einem eigenen Schlüssel pro Konto geschützt (Envelope-Encryption). Bei Vertragsende wird der Schlüssel gelöscht; die Daten sind damit unwiderruflich unlesbar (Crypto-Shredding, Art. 17 DSGVO). Transport via TLS 1.3, Speicherung verschlüsselt (AES-256). HEINI meldet Datenschutzverletzungen unverzüglich, spätestens innerhalb von 48 Stunden nach Kenntniserlangung (§ 9.2 AGB).

6. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald der Zweck entfällt und keine gesetzliche Aufbewahrungspflicht entgegensteht. Nach Vertragsende: 30 Tage Export-Frist (CSV/JSON), danach Löschung aus den produktiven Systemen; Backups werden im Rotationszyklus überschrieben (max. 90 Tage). Handels-/steuerrechtliche Aufbewahrungspflichten (§ 257 HGB, § 147 AO) bleiben unberührt.

7. Keine automatisierten Einzelfallentscheidungen (Art. 22 DSGVO)

HEINI trifft keine ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung gegenüber Betroffenen. Der KI-Kollege bereitet vor und schlägt vor — die Freigabe und Entscheidung liegen beim Menschen (Human-in-the-Loop).

8. Ihre Rechte

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO) sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77). Wenden Sie sich an datenschutz@heini.app.

9. Stand

Version 2.1 — Stand 16.06.2026. Diese Erklärung wird angepasst, wenn sich Verarbeitungen oder die Rechtslage ändern; die jeweils aktuelle Fassung ist unter /de/legal/datenschutz/ abrufbar.