Rechtliches

Datenschutzerklärung

Version 1.0Stand: 13. Juli 2026

Diese Datenschutzerklärung beschreibt, welche personenbezogenen Daten Pylo verarbeitet, zu welchen Zwecken dies geschieht und welche Rechte betroffene Personen haben.

Einleitung

Unser Grundsatz

Finanzinformationen verdienen einen besonders sorgfältigen Umgang. Wir möchten transparent erklären, welche Daten Pylo verarbeitet, warum dies geschieht und welche Rechte betroffene Personen haben.

Diese Datenschutzerklärung informiert über die Verarbeitung personenbezogener Daten bei der Nutzung der Pylo-Webseite, der Pylo-Webanwendung und der damit verbundenen Funktionen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu können beispielsweise Namen, E-Mail-Adressen, Benutzerkennungen, Dokumentinhalte, Kontoinformationen und technische Nutzungsdaten gehören.

Welche Daten konkret verarbeitet werden, hängt davon ab, welche Funktionen von Pylo genutzt werden.

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung ist:

W3 ff Venture Building GmbH
Albert-Einstein-Straße 10
87437 Kempten
Deutschland

E-Mail: hello@usepylo.com

Für Datenschutzanfragen kann ebenfalls die folgende Adresse verwendet werden: hello@usepylo.com

Ein Datenschutzbeauftragter ist derzeit nicht bestellt. Soweit künftig ein Datenschutzbeauftragter bestellt wird, werden dessen Kontaktdaten an dieser Stelle ergänzt.

2. Anwendungsbereich dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt insbesondere für:

  • die öffentliche Webseite unter usepylo.com,
  • die Pylo-Webanwendung,
  • Registrierung und Benutzerkonto,
  • den Setup Wizard,
  • Dokumenten-Uploads,
  • den Dokumenteneingang per E-Mail,
  • KI-gestützte Dokumenten- und Datenanalysen,
  • die Verbindung von Bankkonten,
  • den Import und die Verarbeitung von Kontotransaktionen,
  • die Zusammenarbeit mit Teammitgliedern und Beratern,
  • Support- und Feedbackfunktionen,
  • technische Sicherheits- und Systemprotokolle.

Für externe Webseiten oder Dienste gelten zusätzlich die Datenschutzhinweise der jeweiligen Anbieter.

3. Rollenverteilung bei Geschäftskunden

Unser Grundsatz

Es soll klar sein, wer für welche Verarbeitung verantwortlich ist.

Bei der Verwaltung von Benutzerkonten, Vertragsdaten, Abrechnungsdaten, Kommunikation und technischer Sicherheit entscheidet die W3 ff Venture Building GmbH grundsätzlich selbst über Zwecke und Mittel der Verarbeitung und handelt daher als Verantwortlicher.

Lädt ein Geschäftskunde Dokumente, Kontoinformationen oder sonstige Daten über andere Personen in Pylo hoch, entscheidet regelmäßig der Geschäftskunde über den geschäftlichen Zweck dieser Verarbeitung.

Soweit Pylo solche personenbezogenen Daten ausschließlich nach Weisung des Geschäftskunden verarbeitet, handelt die W3 ff Venture Building GmbH als Auftragsverarbeiter. In diesen Fällen wird, soweit erforderlich, eine Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 DSGVO abgeschlossen.

Der Geschäftskunde bleibt insbesondere dafür verantwortlich, dass:

  • eine Rechtsgrundlage für die über Pylo verarbeiteten Daten besteht,
  • betroffene Personen ordnungsgemäß informiert werden,
  • erforderliche Einwilligungen oder Berechtigungen vorliegen,
  • keine unzulässigen oder für den Zweck unnötigen Daten hochgeladen werden.

4. Rechtsgrundlagen der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere auf folgenden Rechtsgrundlagen:

Vertrag und vorvertragliche Maßnahmen

Artikel 6 Absatz 1 Buchstabe b DSGVO, wenn die Verarbeitung erforderlich ist, um:

  • ein Benutzerkonto bereitzustellen,
  • Pylo einzurichten,
  • die gebuchten Funktionen auszuführen,
  • Support zu leisten,
  • vertragliche Anfragen zu bearbeiten.

Rechtliche Verpflichtungen

Artikel 6 Absatz 1 Buchstabe c DSGVO, wenn wir Daten aufgrund gesetzlicher Vorschriften verarbeiten müssen, beispielsweise für:

  • steuerliche Nachweise,
  • handelsrechtliche Unterlagen,
  • behördliche Anfragen,
  • gesetzliche Aufbewahrungspflichten.

Berechtigte Interessen

Artikel 6 Absatz 1 Buchstabe f DSGVO, wenn die Verarbeitung zur Wahrung unserer berechtigten Interessen oder der Interessen Dritter erforderlich ist und keine überwiegenden Interessen der betroffenen Person entgegenstehen.

Dazu können insbesondere gehören:

  • Betrieb und Sicherheit der Plattform,
  • Vermeidung von Missbrauch und Betrug,
  • Fehleranalyse,
  • Verbesserung der Stabilität,
  • Verteidigung und Durchsetzung rechtlicher Ansprüche,
  • geschäftliche Kundenbetreuung,
  • begrenzte Produkt- und Nutzungsanalyse ohne unnötige Profilbildung.

Einwilligung

Artikel 6 Absatz 1 Buchstabe a DSGVO, wenn eine Verarbeitung auf einer freiwilligen Einwilligung beruht.

Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Auftragsverarbeitung

Soweit wir Daten im Auftrag eines Geschäftskunden verarbeiten, richtet sich die Verarbeitung nach Artikel 28 DSGVO und der mit dem Geschäftskunden geschlossenen Vereinbarung zur Auftragsverarbeitung.

5. Aufruf der Webseite und technische Protokolldaten

Beim Aufruf unserer Webseite oder Anwendung können technisch erforderliche Informationen verarbeitet werden.

Dazu können gehören:

  • IP-Adresse,
  • Datum und Uhrzeit des Zugriffs,
  • aufgerufene Seite oder Ressource,
  • übertragene Datenmenge,
  • Browsertyp und Browserversion,
  • Betriebssystem,
  • Referrer-Informationen,
  • Geräte- und Sitzungsinformationen,
  • Status- und Fehlercodes,
  • Sicherheitsereignisse.

Die Verarbeitung ist erforderlich, um:

  • die Webseite und Anwendung auszuliefern,
  • technische Fehler zu erkennen,
  • Angriffe und Missbrauch abzuwehren,
  • die Sicherheit und Stabilität zu gewährleisten.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe f DSGVO. Unser berechtigtes Interesse liegt im sicheren und zuverlässigen Betrieb unserer Webseite und Plattform.

Technische Protokolldaten werden nur so lange gespeichert, wie dies für Sicherheit, Fehleranalyse und Nachweiszwecke erforderlich ist. Die konkrete Dauer kann je nach Art des Protokolls und Sicherheitsereignisses variieren. Nicht mehr benötigte Daten werden gelöscht oder anonymisiert.

6. Technisch notwendige Cookies und lokale Speicherung

Unser Grundsatz

Technisch notwendige Funktionen sollen nicht mit unnötigem Tracking verbunden werden.

Pylo kann Cookies, Local Storage oder vergleichbare Speichertechnologien verwenden, die für den Betrieb der Webseite oder Anwendung erforderlich sind.

Dazu können insbesondere gehören:

  • Anmeldestatus,
  • Sitzungsverwaltung,
  • Sicherheitsinformationen,
  • Spracheinstellungen,
  • Einrichtungsstatus,
  • Zustimmungsversionen,
  • Benutzeroberflächen-Einstellungen.

Die Verarbeitung erfolgt, soweit sie für die Bereitstellung des ausdrücklich gewünschten Dienstes erforderlich ist, auf Grundlage der jeweils anwendbaren gesetzlichen Regelungen sowie Artikel 6 Absatz 1 Buchstabe b oder f DSGVO.

Nicht notwendige Analyse-, Marketing- oder Personalisierungstechnologien werden nur eingesetzt, wenn hierfür eine entsprechende Rechtsgrundlage besteht und, soweit erforderlich, zuvor eine Einwilligung eingeholt wurde.

Sollten künftig zusätzliche Analyse- oder Marketingdienste eingesetzt werden, wird diese Datenschutzerklärung entsprechend aktualisiert und erforderlichenfalls eine Einwilligungsmöglichkeit bereitgestellt.

7. Registrierung und Anmeldung

Für die Nutzung von Pylo wird ein Benutzerkonto angelegt.

Dabei können insbesondere verarbeitet werden:

  • Vor- und Nachname,
  • E-Mail-Adresse,
  • Profilbild, sofern vom Login-Anbieter bereitgestellt,
  • eindeutige Benutzerkennung,
  • Authentifizierungsinformationen,
  • Zeitpunkt der Registrierung,
  • Zeitpunkte von Anmeldungen,
  • Status des Benutzerkontos,
  • akzeptierte Versionen der Nutzungsbedingungen,
  • Zeitpunkte der jeweiligen Zustimmung oder Kenntnisnahme.

Die Verarbeitung dient der:

  • Registrierung,
  • Authentifizierung,
  • Verwaltung des Benutzerkontos,
  • Sicherheit der Anwendung,
  • Dokumentation vertraglich erforderlicher Erklärungen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO. Sicherheitsprotokolle können zusätzlich auf Artikel 6 Absatz 1 Buchstabe f DSGVO gestützt werden.

8. Auth0

Zur Authentifizierung und Verwaltung von Benutzerzugängen verwenden wir Auth0, einen Dienst der Okta-Unternehmensgruppe.

Im Rahmen der Authentifizierung können insbesondere folgende Informationen verarbeitet werden:

  • Name,
  • E-Mail-Adresse,
  • Benutzerkennung,
  • Login-Anbieter,
  • Authentifizierungszeitpunkt,
  • IP-Adresse,
  • Geräte- und Browserinformationen,
  • sicherheitsbezogene Ereignisse.

Auth0 unterstützt uns bei:

  • sicherer Anmeldung,
  • Sitzungsverwaltung,
  • Identitätsprüfung,
  • Schutz vor unbefugten Zugriffen,
  • Verwaltung von Authentifizierungsinformationen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO. Sicherheits- und Missbrauchsschutzmaßnahmen beruhen ergänzend auf Artikel 6 Absatz 1 Buchstabe f DSGVO.

Bei Auth0 sollen nur solche Daten gespeichert werden, die für Identitäts- und Zugriffsverwaltung erforderlich sind. Finanzdokumente und Kontotransaktionen werden nicht als Auth0-Benutzermetadaten gespeichert.

Da Anbieter und Unterauftragnehmer auch außerhalb des Europäischen Wirtschaftsraums tätig sein können, kann eine Drittlandübermittlung nicht ausgeschlossen werden. Soweit erforderlich, erfolgt sie auf Grundlage geeigneter Garantien, insbesondere Angemessenheitsbeschlüssen oder Standardvertragsklauseln.

9. Google-Anmeldung

Pylo bietet die Anmeldung über „Sign in with Google" an.

Wenn diese Möglichkeit genutzt wird, erhalten wir abhängig von den freigegebenen Informationen insbesondere:

  • Name,
  • E-Mail-Adresse,
  • Profilbild,
  • eindeutige Google-Benutzerkennung,
  • Informationen zur erfolgreichen Authentifizierung.

Wir erhalten durch die reine Anmeldung keinen allgemeinen Zugriff auf:

  • Google-E-Mails,
  • Google Drive,
  • Kalender,
  • Kontakte,
  • Passwörter des Google-Kontos.

Eine weitergehende Berechtigung würde einen gesonderten, sichtbaren Autorisierungsvorgang erfordern.

Die Verarbeitung dient der sicheren und komfortablen Anmeldung bei Pylo. Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO.

Google verarbeitet Daten in eigener Verantwortung entsprechend den dort geltenden Datenschutzbestimmungen. Eine Verarbeitung außerhalb des Europäischen Wirtschaftsraums kann nicht ausgeschlossen werden. Soweit erforderlich, werden hierfür geeignete Übermittlungsmechanismen eingesetzt.

Die Verknüpfung mit Pylo kann grundsätzlich innerhalb des Google-Kontos widerrufen werden. Ein Widerruf beendet nicht automatisch das Pylo-Benutzerkonto.

10. Setup Wizard und Unternehmensdaten

Nach der Registrierung fragt Pylo im Setup Wizard Informationen zum Unternehmen und zur vorgesehenen Nutzung ab.

Dazu können gehören:

  • Unternehmensname,
  • Rechtsform,
  • Land,
  • Branche oder Tätigkeitsbereich,
  • steuerliche Grundeinstellungen,
  • Art der Besteuerung,
  • Umsatzsteuerstatus,
  • Geschäftsjahresbeginn,
  • Angaben zur Umsatzsteuer-Voranmeldung,
  • gewünschte Funktionen,
  • Einrichtungsstatus.

Diese Informationen werden verwendet, um:

  • das Unternehmenskonto einzurichten,
  • Pylo an die geschäftliche Situation anzupassen,
  • passende Funktionen und Hinweise bereitzustellen,
  • steuerlich relevante Zeiträume und Arbeitsabläufe abzubilden.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO.

Soweit Angaben freiwillig sind, werden sie entsprechend gekennzeichnet oder können übersprungen werden.

11. Dokumenten-Uploads

Unser Grundsatz

Pylo verarbeitet Dokumente nur für die vom Nutzer gewählten Funktionen.

Nutzer können insbesondere folgende Inhalte hochladen:

  • Eingangsrechnungen,
  • Ausgangsrechnungen,
  • Quittungen,
  • Kassenbelege,
  • Verträge,
  • PDF-Dateien,
  • Bilder,
  • sonstige geschäftliche Unterlagen.

Dabei können sowohl Unternehmensdaten als auch personenbezogene Daten verarbeitet werden, zum Beispiel:

  • Namen und Kontaktdaten,
  • Lieferanten- und Kundendaten,
  • Rechnungsnummern,
  • Leistungsbeschreibungen,
  • Beträge und Steuerinformationen,
  • Bankverbindungen,
  • Zahlungsdaten,
  • Unterschriften,
  • sonstige Dokumentinhalte.

Die Verarbeitung dient insbesondere:

  • Speicherung und Organisation,
  • Texterkennung,
  • Extraktion relevanter Informationen,
  • Kategorisierung,
  • Verknüpfung mit Transaktionen,
  • Erkennung fehlender Angaben,
  • Bereitstellung von Exporten,
  • Vorbereitung für Buchhaltung oder Steuerberatung.

Rechtsgrundlage gegenüber dem registrierten Nutzer ist Artikel 6 Absatz 1 Buchstabe b DSGVO. Soweit Daten anderer Personen im Auftrag eines Geschäftskunden verarbeitet werden, erfolgt die Verarbeitung nach Artikel 28 DSGVO.

Nutzer sollten keine besonderen Kategorien personenbezogener Daten hochladen, sofern dies für den vorgesehenen geschäftlichen Zweck nicht erforderlich und rechtlich zulässig ist.

12. Dokumenteneingang per E-Mail

Pylo kann einem Unternehmen eine individuelle E-Mail-Adresse für den Eingang von Dokumenten bereitstellen.

Bei der Weiterleitung oder Zusendung können verarbeitet werden:

  • Absender- und Empfängeradresse,
  • Betreff,
  • Nachrichtentext,
  • Versandzeitpunkt,
  • technische E-Mail-Metadaten,
  • Anhänge,
  • in den Anhängen enthaltene Personen- und Unternehmensdaten.

Die Verarbeitung dient dazu, Dokumente:

  • entgegenzunehmen,
  • dem richtigen Unternehmenskonto zuzuordnen,
  • zu speichern,
  • automatisiert auszulesen,
  • innerhalb von Pylo bereitzustellen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO beziehungsweise Artikel 28 DSGVO bei einer Verarbeitung im Auftrag.

Zur technischen Entgegennahme und Verarbeitung können Dienste von Amazon Web Services, insbesondere Amazon Simple Email Service und Amazon S3, eingesetzt werden.

13. Hosting und Verarbeitung durch Amazon Web Services

Für Hosting, Datenbanken, Dateispeicherung, E-Mail-Verarbeitung, Protokollierung, Sicherheit und Dokumentenanalyse verwenden wir Dienste von Amazon Web Services EMEA SARL beziehungsweise verbundenen AWS-Unternehmen.

Hierzu können insbesondere gehören:

  • AWS-Rechen- und Hostingdienste,
  • Amazon S3 für Dokumente und Dateien,
  • Datenbankdienste,
  • Amazon Simple Email Service,
  • Amazon Textract,
  • Protokollierungs- und Monitoringdienste,
  • Sicherheits- und Netzwerkdienste.

Unsere primäre technische Infrastruktur wird, soweit konfiguriert, in einer europäischen AWS-Region betrieben.

Je nach Dienst und Supportvorgang kann jedoch eine Verarbeitung durch AWS-Unternehmen oder Unterauftragnehmer außerhalb des Europäischen Wirtschaftsraums nicht vollständig ausgeschlossen werden.

Die Verarbeitung erfolgt auf Grundlage von:

  • Artikel 6 Absatz 1 Buchstabe b DSGVO für die Bereitstellung von Pylo,
  • Artikel 6 Absatz 1 Buchstabe f DSGVO für Sicherheit und Stabilität,
  • Artikel 28 DSGVO im Rahmen der Auftragsverarbeitung.

Für erforderliche Drittlandübermittlungen werden geeignete Garantien verwendet, insbesondere Angemessenheitsbeschlüsse oder Standardvertragsklauseln.

14. Texterkennung und Amazon Textract

Pylo kann Amazon Textract verwenden, um Texte und strukturierte Informationen aus Dokumenten zu erkennen.

Hierbei können Dokumente oder Dokumentenausschnitte an den Dienst übermittelt werden. Verarbeitet werden können insbesondere:

  • sichtbarer Dokumententext,
  • Rechnungsdaten,
  • Beträge,
  • Datumsangaben,
  • Tabellen,
  • Formularfelder,
  • Namen und Kontaktdaten,
  • sonstige im Dokument enthaltene Informationen.

Die Ergebnisse werden anschließend in Pylo gespeichert und können weiteren Analysen oder Zuordnungen dienen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO beziehungsweise Artikel 28 DSGVO bei einer Verarbeitung im Auftrag.

Die automatisierte Texterkennung kann fehlerhaft sein. Deshalb sollten Nutzer erkannte Informationen vor einer verbindlichen Verwendung prüfen.

15. KI-gestützte Verarbeitung und OpenAI

Unser Grundsatz

KI soll Arbeit reduzieren. Personenbezogene Daten sollen dabei nur im erforderlichen Umfang verarbeitet werden.

Pylo verwendet KI-Dienste, um Dokumente und finanzielle Informationen zu analysieren und verständlich aufzubereiten.

Hierfür setzen wir unter anderem Dienste von OpenAI ein.

Abhängig von der genutzten Funktion können übermittelt oder verarbeitet werden:

  • Dokumententexte oder relevante Ausschnitte,
  • Rechnungsinformationen,
  • Anbieter- und Kundenbezeichnungen,
  • Beträge und Datumsangaben,
  • Kategorien,
  • Transaktionsbeschreibungen,
  • vom Nutzer gestellte Fragen,
  • für die Antwort erforderlicher Kontext.

Die Verarbeitung dient insbesondere:

  • Extraktion und Strukturierung von Informationen,
  • Erkennung von Dokumenttypen,
  • Kategorisierung,
  • Matching von Dokumenten und Transaktionen,
  • Erkennung fehlender Angaben,
  • Zusammenfassung von Finanzinformationen,
  • Beantwortung von Nutzerfragen,
  • Erstellung von Vorschlägen und Erklärungen.

Soweit möglich, beschränken wir die übermittelten Informationen auf den für die jeweilige Funktion erforderlichen Umfang.

Die Verarbeitung erfolgt zur Bereitstellung der angeforderten Funktion auf Grundlage von Artikel 6 Absatz 1 Buchstabe b DSGVO beziehungsweise im Rahmen einer Auftragsverarbeitung nach Artikel 28 DSGVO.

OpenAI darf über die API bereitgestellte Geschäftsdaten nach den für unseren Dienst geltenden Bedingungen nicht ohne entsprechende Vereinbarung oder Entscheidung von uns für ein allgemeines Modelltraining verwenden.

Eine Verarbeitung in Drittländern, insbesondere den Vereinigten Staaten, kann stattfinden. Hierfür werden, soweit erforderlich, geeignete Garantien wie Angemessenheitsbeschlüsse oder Standardvertragsklauseln eingesetzt.

Automatisierte Ergebnisse können fehlerhaft sein und müssen vor einer verbindlichen geschäftlichen oder steuerlichen Verwendung geprüft werden.

Weitere Informationen stellen wir auf der Seite KI-Nutzung bereit.

16. Bankverbindungen und Enable Banking

Unser Grundsatz

Bankzugangsdaten bleiben bei der Bank. Pylo erhält nur die Kontoinformationen, deren Bereitstellung der Nutzer autorisiert.

Pylo ermöglicht die Verbindung von Zahlungskonten über Enable Banking Oy.

Enable Banking ist ein regulierter Kontoinformationsdienst mit Sitz in Finnland. Die Authentifizierung erfolgt grundsätzlich über die jeweilige Bank.

Pylo erhält und speichert keine persönlichen:

  • Online-Banking-Passwörter,
  • PINs,
  • TANs.

Abhängig von der Bank, der erteilten Autorisierung und dem verfügbaren Funktionsumfang können insbesondere folgende Daten verarbeitet werden:

  • Bankname,
  • Kontoinhaber,
  • Kontobezeichnung,
  • IBAN oder maskierte Kontokennung,
  • Kontotyp,
  • Kontostand,
  • Währung,
  • Buchungs- und Wertstellungsdaten,
  • Transaktionsbeträge,
  • Zahlungspartner,
  • Verwendungszwecke,
  • Referenzen und Transaktionskennungen,
  • Status der Bankverbindung,
  • Zeitpunkte der Synchronisierung und Autorisierung.

Die Daten werden verwendet, um:

  • Konten in Pylo darzustellen,
  • Transaktionen zu importieren,
  • Dokumente mit Zahlungen zu verknüpfen,
  • fehlende Belege oder Rechnungen zu erkennen,
  • Vollständigkeits- und Finanzinformationen bereitzustellen.

Die Kontoverbindung wird vom Nutzer ausdrücklich veranlasst. Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO. Soweit eine gesonderte Einwilligung erforderlich ist, erfolgt die Verarbeitung ergänzend auf Artikel 6 Absatz 1 Buchstabe a DSGVO.

Eine Verbindung kann innerhalb von Pylo getrennt werden. Je nach Bank kann zusätzlich ein Widerruf oder eine Verwaltung der Zustimmung bei der Bank oder bei Enable Banking möglich sein.

Die Trennung beendet den zukünftigen Abruf. Bereits rechtmäßig in Pylo gespeicherte Transaktionsdaten werden dadurch nicht automatisch gelöscht, sofern sie weiterhin für das Benutzerkonto benötigt werden. Sie können im Rahmen der Konto- und Löschfunktionen entfernt werden, soweit keine Aufbewahrungsgründe entgegenstehen.

Weitere Informationen stellen wir auf der Seite Banking & Sicherheit bereit.

17. Matching, Kategorien und Vollständigkeitsanalysen

Pylo verarbeitet Dokument- und Transaktionsinformationen, um Zusammenhänge zu erkennen.

Dazu können insbesondere verwendet werden:

  • Betrag,
  • Datum,
  • Währung,
  • Lieferant oder Zahlungspartner,
  • Rechnungsnummer,
  • Verwendungszweck,
  • Dokumenttyp,
  • erkannte Kategorie,
  • historische Zuordnungen,
  • wiederkehrende Muster.

Hieraus können Vorschläge oder Statusinformationen entstehen, etwa:

  • mögliche Zuordnung zwischen Dokument und Zahlung,
  • fehlender Beleg,
  • fehlende Ausgangsrechnung,
  • wiederkehrende Zahlung,
  • mögliche Dublette,
  • Vollständigkeitswert,
  • offene Aufgabe.

Diese Verarbeitung ist Bestandteil der angeforderten Pylo-Funktionen und beruht auf Artikel 6 Absatz 1 Buchstabe b DSGVO beziehungsweise Artikel 28 DSGVO.

Solche Ergebnisse sind technische Vorschläge. Sie entfalten ohne weitere Prüfung keine verbindliche steuerliche oder rechtliche Wirkung.

18. Zusammenarbeit und Freigaben

Wenn ein Nutzer Mitarbeiter, Steuerberater, Buchhalter oder andere Personen einlädt oder Unterlagen freigibt, verarbeiten wir insbesondere:

  • Name und E-Mail-Adresse der eingeladenen Person,
  • Rolle und Berechtigungen,
  • Zeitpunkt der Einladung,
  • Annahme oder Ablehnung,
  • Zugriffs- und Änderungsprotokolle.

Die Verarbeitung dient der Bereitstellung von Team- und Kollaborationsfunktionen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO. Sicherheitsprotokolle können zusätzlich auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruhen.

Der einladende Nutzer beziehungsweise Geschäftskunde ist dafür verantwortlich, dass die eingeladene Person Zugriff auf die freigegebenen Daten erhalten darf.

19. Exporte und Weitergabe auf Veranlassung des Nutzers

Pylo kann Funktionen bereitstellen, mit denen Daten und Dokumente exportiert oder an Dritte weitergegeben werden.

Dazu können insbesondere gehören:

  • ZIP-Exporte,
  • CSV-Dateien,
  • Dokumentenpakete,
  • Auswertungen,
  • Übergaben an Steuerberater oder Buchhalter.

Die Weitergabe erfolgt auf Veranlassung des Nutzers.

Der Nutzer ist dafür verantwortlich:

  • den richtigen Empfänger auszuwählen,
  • die Berechtigung des Empfängers zu prüfen,
  • eine sichere Übermittlung sicherzustellen,
  • die Rechtmäßigkeit der Weitergabe zu gewährleisten.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO beziehungsweise Artikel 28 DSGVO.

20. Notion CRM

Wir verwenden Notion für eine begrenzte interne Verwaltung von Interessenten, Testkunden und Kundenbeziehungen.

Dabei können insbesondere folgende Informationen verarbeitet werden:

  • Name,
  • geschäftliche E-Mail-Adresse,
  • Unternehmensname,
  • Registrierungs- oder Teststatus,
  • Zeitpunkt der Registrierung,
  • Kontakt- und Feedbackstatus,
  • interne organisatorische Notizen,
  • technische Unternehmens- oder Benutzerkennung.

Finanzdokumente, vollständige Banktransaktionen und Online-Banking-Zugangsdaten sollen nicht in das Notion CRM übertragen werden.

Die Verarbeitung dient:

  • Betreuung von Beta- und Testnutzern,
  • Organisation von Kundenkontakten,
  • Bearbeitung von Feedback,
  • Planung von Support und Onboarding,
  • Verwaltung geschäftlicher Beziehungen.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO, soweit die Verarbeitung der Vertragsdurchführung oder vorvertraglichen Betreuung dient. Im Übrigen beruht sie auf Artikel 6 Absatz 1 Buchstabe f DSGVO. Unser berechtigtes Interesse liegt in einer strukturierten Kunden- und Testnutzerbetreuung.

Notion oder Unterauftragnehmer können Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten. Soweit erforderlich, erfolgt die Übermittlung auf Grundlage geeigneter Garantien.

21. Kommunikation, Support und Feedback

Wenn Nutzer uns kontaktieren, können insbesondere verarbeitet werden:

  • Name,
  • E-Mail-Adresse,
  • Unternehmen,
  • Inhalt der Anfrage,
  • beigefügte Dateien,
  • technische Informationen,
  • bisherige Kommunikation,
  • Zeitpunkt und Bearbeitungsstatus.

Die Verarbeitung dient:

  • Beantwortung von Anfragen,
  • technischer Unterstützung,
  • Fehleranalyse,
  • Vertragsbetreuung,
  • Bearbeitung von Datenschutzanfragen,
  • Auswertung freiwilligen Feedbacks.

Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO, soweit die Anfrage mit einem Vertrag oder einer Registrierung zusammenhängt. Im Übrigen erfolgt die Verarbeitung auf Grundlage von Artikel 6 Absatz 1 Buchstabe f DSGVO.

Unser berechtigtes Interesse liegt in einer sachgerechten Kommunikation, Fehlerbehebung und Weiterentwicklung von Pylo.

Supportinhalte werden nur so lange gespeichert, wie dies für Bearbeitung, Nachweis, Sicherheit und berechtigte Anschlussfragen erforderlich ist.

22. Empfänger und Kategorien von Empfängern

Personenbezogene Daten können, soweit erforderlich, an folgende Kategorien von Empfängern übermittelt werden:

  • Hosting- und Cloud-Anbieter,
  • Identitäts- und Login-Anbieter,
  • E-Mail- und Kommunikationsdienstleister,
  • KI- und Dokumentenanalyseanbieter,
  • Open-Banking-Anbieter,
  • Datenbank- und Sicherheitsdienstleister,
  • CRM- und Supportanbieter,
  • vom Nutzer eingeladene Teammitglieder,
  • vom Nutzer ausgewählte Steuerberater oder sonstige Empfänger,
  • Rechts-, Steuer- oder Wirtschaftsberater,
  • Behörden und Gerichte bei gesetzlicher Verpflichtung.

Dienstleister erhalten Daten nur in dem Umfang, der für die jeweilige Leistung erforderlich ist.

Soweit Dienstleister als Auftragsverarbeiter tätig werden, werden sie vertraglich nach Artikel 28 DSGVO gebunden.

23. Datenübermittlungen in Drittländer

Einige eingesetzte Anbieter oder deren Unterauftragnehmer können Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten.

Eine solche Übermittlung erfolgt nur, wenn die gesetzlichen Voraussetzungen erfüllt sind.

Als Grundlage können insbesondere dienen:

  • ein Angemessenheitsbeschluss der Europäischen Kommission,
  • das EU-US Data Privacy Framework, soweit der jeweilige Empfänger wirksam zertifiziert ist,
  • Standardvertragsklauseln der Europäischen Kommission,
  • sonstige gesetzlich vorgesehene Garantien oder Ausnahmen.

Soweit erforderlich, prüfen wir ergänzende technische und organisatorische Schutzmaßnahmen.

Trotz dieser Maßnahmen kann bei einer Verarbeitung in bestimmten Drittländern nicht vollständig ausgeschlossen werden, dass Behörden nach dem dort geltenden Recht auf Daten zugreifen.

24. Speicherdauer

Unser Grundsatz

Personenbezogene Daten sollen nicht länger gespeichert werden, als sie benötigt werden.

Wir speichern personenbezogene Daten grundsätzlich nur so lange, wie dies erforderlich ist für:

  • Bereitstellung der Plattform,
  • Durchführung des Vertrags,
  • Bearbeitung von Anfragen,
  • Sicherheit und Fehleranalyse,
  • Erfüllung gesetzlicher Pflichten,
  • Geltendmachung oder Verteidigung rechtlicher Ansprüche.

Die konkrete Dauer hängt von der Datenart und dem Verarbeitungszweck ab.

Grundsätzlich gelten folgende Leitlinien:

  • Benutzer- und Unternehmensdaten: für die Dauer des Benutzerkontos und anschließende Abwicklung;
  • Dokumente und Transaktionen: bis zur Löschung durch den berechtigten Nutzer oder bis zur Beendigung des Kontos, sofern keine Aufbewahrungsgründe entgegenstehen;
  • Authentifizierungs- und Sicherheitsprotokolle: nur so lange, wie für Sicherheits- und Nachweiszwecke erforderlich;
  • Supportkommunikation: bis zur abschließenden Bearbeitung und für eine angemessene Nachweisfrist;
  • Vertrags- und Abrechnungsdaten: entsprechend den gesetzlichen Aufbewahrungsfristen;
  • Zustimmungsversionen: solange dies zum Nachweis des Vertragsschlusses und der rechtlichen Erklärungen erforderlich ist;
  • CRM-Daten: bis die Kundenbeziehung oder der Kontaktzweck entfällt und keine Aufbewahrungsinteressen entgegenstehen.

Nach Vertragsende werden produktiv gespeicherte Kundendaten grundsätzlich innerhalb von 30 Tagen gelöscht oder anonymisiert, sofern kein anderer zulässiger Speichergrund besteht.

Aus Sicherungskopien werden Daten im Rahmen der regulären Backup-Zyklen grundsätzlich innerhalb von 90 Tagen entfernt. Sicherungskopien werden nicht für laufende Produktzwecke genutzt.

25. Löschung eines Kontos

Ein Nutzer kann die Löschung seines Benutzerkontos beantragen oder eine dafür bereitgestellte Funktion verwenden.

Vor einer Löschung sollte der Nutzer alle benötigten Unterlagen exportieren.

Bei einem Unternehmenskonto ist zu unterscheiden zwischen:

  • Entfernung eines einzelnen Benutzers,
  • Deaktivierung eines Zugangs,
  • Löschung des gesamten Unternehmenskontos.

Wird nur ein Teammitglied entfernt, verbleiben geschäftliche Daten grundsätzlich beim Unternehmenskonto.

Die Löschung des gesamten Unternehmensbestands kann nur durch eine entsprechend berechtigte Person veranlasst werden.

Daten werden gelöscht oder anonymisiert, soweit:

  • keine gesetzlichen Aufbewahrungspflichten bestehen,
  • keine offenen vertraglichen Ansprüche bestehen,
  • die Daten nicht zur Rechtsverteidigung erforderlich sind,
  • keine Sicherheits- oder Missbrauchsuntersuchung entgegensteht.

Nach der endgültigen Löschung kann eine Wiederherstellung nicht garantiert werden.

26. Automatisierte Entscheidungen

Pylo nutzt automatisierte Verarbeitung, um Vorschläge, Kategorien, Zuordnungen, Hinweise und Vollständigkeitsinformationen zu erstellen.

Pylo trifft derzeit keine ausschließlich automatisierte Entscheidung im Sinne von Artikel 22 DSGVO, die gegenüber einer Person rechtliche Wirkung entfaltet oder sie in vergleichbarer Weise erheblich beeinträchtigt.

Nutzer können Vorschläge prüfen, verändern, ablehnen oder ergänzen.

Sollte künftig eine Funktion mit einer solchen automatisierten Entscheidung eingeführt werden, werden die betroffenen Personen zuvor gesondert informiert und die gesetzlich erforderlichen Schutzmaßnahmen umgesetzt.

27. Sicherheit

Wir treffen angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten zu schützen.

Dazu können insbesondere gehören:

  • verschlüsselte Datenübertragung,
  • Zugriffskontrollen,
  • rollenbasierte Berechtigungen,
  • getrennte Unternehmenskonten,
  • Protokollierung sicherheitsrelevanter Ereignisse,
  • geschützte Cloud-Infrastruktur,
  • Sicherungskopien,
  • Überwachung technischer Systeme,
  • Verfahren zur Behandlung von Sicherheitsvorfällen,
  • regelmäßige Aktualisierung eingesetzter Komponenten.

Trotz sorgfältiger Maßnahmen kann keine Datenübertragung oder Speicherung absolute Sicherheit gewährleisten.

Nutzer müssen Zugangsmittel schützen und uns verdächtige Zugriffe oder Sicherheitsvorfälle unverzüglich melden.

28. Rechte betroffener Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

Auskunft

Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir über Sie verarbeiten.

Berichtigung

Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.

Löschung

Sie können die Löschung personenbezogener Daten verlangen, soweit kein gesetzlicher Grund für die weitere Verarbeitung besteht.

Einschränkung der Verarbeitung

Sie können unter den gesetzlichen Voraussetzungen eine Einschränkung der Verarbeitung verlangen.

Datenübertragbarkeit

Sie können bestimmte bereitgestellte Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder deren Übermittlung an einen anderen Verantwortlichen verlangen.

Widerspruch

Sie können einer auf Artikel 6 Absatz 1 Buchstabe e oder f DSGVO beruhenden Verarbeitung aus Gründen widersprechen, die sich aus Ihrer besonderen Situation ergeben.

Widerruf einer Einwilligung

Eine Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Beschwerde

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Zur Ausübung der Rechte genügt eine Nachricht an: hello@usepylo.com

Zur Vermeidung unberechtigter Offenlegungen können wir einen angemessenen Nachweis der Identität oder Berechtigung verlangen.

29. Zuständige Datenschutzaufsichtsbehörde

Für nicht öffentliche Unternehmen mit Sitz in Bayern ist grundsätzlich folgende Behörde zuständig:

Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
Deutschland

Betroffene Personen können sich auch an eine andere nach den gesetzlichen Vorschriften zuständige Datenschutzaufsichtsbehörde wenden.

30. Pflicht zur Bereitstellung von Daten

Bestimmte personenbezogene Daten sind erforderlich, damit:

  • ein Benutzerkonto angelegt werden kann,
  • die Anmeldung funktioniert,
  • ein Vertrag durchgeführt werden kann,
  • die gewählten Funktionen bereitgestellt werden können.

Ohne diese Daten kann Pylo möglicherweise nicht oder nur eingeschränkt genutzt werden.

Freiwillige Angaben werden, soweit möglich, als solche erkennbar gemacht oder können übersprungen werden.

Eine gesetzliche Verpflichtung, Pylo zu nutzen oder freiwillige Daten bereitzustellen, besteht nicht.

31. Daten von Personen unter 18 Jahren

Pylo richtet sich ausschließlich an geschäftlich handelnde Nutzer und ist nicht für Personen unter 18 Jahren bestimmt.

Wir erfassen nicht wissentlich Benutzerkonten von Minderjährigen.

Sollten wir Kenntnis davon erhalten, dass ein Benutzerkonto unzulässig von einer minderjährigen Person eingerichtet wurde, können wir das Konto sperren und die betreffenden Daten löschen, soweit keine gesetzlichen Gründe entgegenstehen.

32. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn:

  • sich gesetzliche Anforderungen ändern,
  • neue Funktionen eingeführt werden,
  • weitere Dienstleister eingesetzt werden,
  • sich technische oder organisatorische Prozesse ändern.

Die jeweils aktuelle Fassung ist unter /legal/datenschutz abrufbar.

Wesentliche Änderungen, die registrierte Nutzer betreffen, teilen wir innerhalb der Anwendung oder auf einem anderen geeigneten Weg mit.

Am Seitenanfang werden Versionsnummer und Aktualisierungsdatum angegeben.

33. Kontakt zum Datenschutz

Fragen zur Verarbeitung personenbezogener Daten oder zur Ausübung von Betroffenenrechten können gerichtet werden an:

W3 ff Venture Building GmbH
Albert-Einstein-Straße 10
87437 Kempten
Deutschland

E-Mail: hello@usepylo.com

Weitere Legal-Dokumente: Nutzungsbedingungen, KI-Nutzung, Banking & Sicherheit, Impressum.