Datenschutzerklärung

Diese Datenschutzerklärung gilt für folgende Online-Angebote der Liberosa UG (haftungsbeschränkt):

• liberosa.de — Corporate-Website
• liberoscan.liberosa.de — Liberoscan, KI-gestützte BWA-Auswertung

Diese Datenschutzerklärung informiert Sie nach Art. 13 und Art. 14 DSGVO über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten auf beiden Angeboten. Sie ergänzt das Impressum.

Welche Abschnitte für welches Angebot gelten, ist jeweils in der Abschnittsüberschrift gekennzeichnet (z. B. „— Liberoscan" oder „— liberosa.de und Liberoscan"). Abschnitte ohne solche Kennzeichnung gelten für beide Angebote.

1. Verantwortlicher

Vertretungsberechtigter Geschäftsführer: Sascha Weniger. Die Bestellung eines Datenschutzbeauftragten ist gesetzlich nicht erforderlich (§ 38 BDSG). Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte direkt an die oben genannte E-Mail-Adresse.

2. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht auf:

• Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung („Recht auf Vergessenwerden", Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)

Wenn Sie der Auffassung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde. Zuständig ist:

3. Hosting (Fly.io)

Beide Angebote betreiben wir auf der Infrastruktur der Fly.io, Inc., 2261 Market Street #4990, San Francisco, CA 94114, USA. Die hierfür genutzten Server befinden sich physisch in Frankfurt am Main, sodass die Verarbeitung primär innerhalb der Europäischen Union stattfindet. Hochgeladene Dateien und Datenbank liegen in diesem Rechenzentrum.

Da Fly.io, Inc. ein US-amerikanisches Unternehmen ist, kann eine Verarbeitung in den USA im Einzelfall (z. B. Support, Administration) nicht ausgeschlossen werden. Die Übermittlung erfolgt auf Grundlage des EU-US Data Privacy Framework (DPF, Angemessenheitsbeschluss der EU-Kommission vom 10.07.2023) sowie ergänzend auf Grundlage von Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO.

Rechtsgrundlage für die Nutzung des Hosting-Providers ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am stabilen, sicheren und effizienten Betrieb). Mit Fly.io, Inc. wurde ein Auftragsverarbeitungsvertrag (Data Processing Agreement) nach Art. 28 DSGVO abgeschlossen.

4. Server-Logfiles

Beim Aufruf eines unserer Online-Angebote werden durch unseren Hosting-Provider automatisch Informationen in sogenannten Server-Logfiles erfasst. Erfasst werden:

• IP-Adresse des anfragenden Geräts
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL und HTTP-Statuscode
• übertragene Datenmenge
• Referrer-URL (zuvor besuchte Seite)
• User-Agent (Browser- und Betriebssystem-Information)

Zweck: Gewährleistung eines reibungslosen Verbindungsaufbaus, komfortable Nutzung der Website, Auswertung der Systemsicherheit und -stabilität sowie administrative Zwecke.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am sicheren und effizienten Betrieb der Website).

Speicherdauer: Die Logfiles werden für maximal 14 Tage gespeichert und anschließend automatisch gelöscht. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.

5. SSL-/TLS-Verschlüsselung

Beide Angebote nutzen aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers mit „https://" beginnt und ein Schloss-Symbol angezeigt wird.

6. Datensicherheit

Wir treffen geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um die Sicherheit der Verarbeitung Ihrer Daten zu gewährleisten, insbesondere gegen unbefugten Zugriff, Verlust oder Manipulation. Hierzu zählen insbesondere verschlüsselte Übertragung, restriktive Zugriffsrechte auf die Produktionsumgebung, regelmäßige Aktualisierung der eingesetzten Komponenten, eine sicherheitsorientierte Standardkonfiguration sowie der Schutz von Sitzungs-Cookies gegen Auslesen durch Skripte. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

7. Cookies (Liberoscan)

Die Liberoscan-Anwendung verwendet ausschließlich technisch notwendige Cookies. Wir setzen keine Analyse-, Tracking- oder Marketing-Cookies ein. Aus diesem Grund wird Ihnen kein Einwilligungs-Banner angezeigt.

Die folgenden Cookies werden gesetzt:

• Sitzungs-Cookie nach erfolgreichem Login. Erforderlich, damit Sie über mehrere Seitenaufrufe hinweg angemeldet bleiben. Lebensdauer: bis zur Abmeldung bzw. zum Ablauf der Sitzung.
• Admin-Sitzungs-Cookie — gleicher Zweck für den Administrationsbereich. Wird nur gesetzt, wenn Sie sich als Administrator anmelden.

Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TDDDG (unbedingt erforderliche Speicherung), Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags).

8. Anmeldung & Anwendungs-Zugang (Liberoscan)

Der Zugriff auf die Liberoscan-Anwendung wird derzeit individuell freigegeben. Sie können Ihre E-Mail-Adresse über die Einstiegsseite hinterlegen; nach manueller Prüfung und Freigabe durch uns können Sie sich anschließend mit dieser E-Mail anmelden. Ein Passwort wird nicht erhoben und nicht gespeichert. Zur Anmeldung senden wir Ihnen einen Einmal-Code an Ihre freigegebene E-Mail-Adresse, den Sie im Anmeldefenster eingeben (Nachweis, dass Sie Zugriff auf das Postfach haben). Der Code ist nur wenige Minuten und nur einmal gültig und wird bei uns nicht im Klartext gespeichert. Nach erfolgreicher Anmeldung erfolgt die weitere Authentifizierung über ein zufällig generiertes Sitzungs-Kennzeichen, das ausschließlich in einem sicheren Sitzungs-Cookie auf Ihrem Gerät hinterlegt wird.

Verarbeitete Daten: E-Mail-Adresse, Status der Freigabe, Anzahl bisher erstellter Briefings, Zeitpunkt der Anfrage und Freigabe, Einmal-Login-Code (nicht im Klartext gespeichert), Sitzungs-Kennzeichen, jeweiliger Zeitpunkt der letzten Nutzung, optionale interne Notizen des Administrators.

Zweck: Bereitstellung des Zugangs, Authentifizierung, Schutz vor missbräuchlicher Nutzung, Kommunikation im Zusammenhang mit dem Zugang.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Nutzungsverhältnisses bzw. vorvertragliche Maßnahmen) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Missbrauchs- und Abuse-Abwehr).

Speicherdauer: E-Mail-Adresse und Zugriffsstatus werden gespeichert, solange der Zugang besteht oder Sie als Interessent geführt werden. Nicht freigegebene Anfragen werden spätestens nach 90 Tagen gelöscht. Login-Codes werden nach Verwendung sofort, andernfalls nach Ablauf (wenige Minuten) entwertet und spätestens täglich gelöscht. Abgelaufene Sitzungen werden täglich entfernt. Auf Wunsch löschen wir Ihre E-Mail-Adresse und alle zugehörigen Daten unverzüglich; bitte schreiben Sie uns dazu an webmaster@liberosa.de.

9. Hochgeladene Dokumente & KI-gestützte Auswertung (Anthropic) — Liberoscan

Kernfunktion der Liberoscan-Anwendung ist die automatische Auswertung von Buchhaltungsdokumenten — insbesondere von Betriebswirtschaftlichen Auswertungen (BWA) im PDF-Format. Wenn Sie ein solches Dokument hochladen, wird dieses verarbeitet, um die enthaltenen Kennzahlen zu extrahieren und eine zusammenfassende Auswertung („Brief") zu erzeugen.

9.1 Verarbeitete Daten

• Inhalt des hochgeladenen PDF-Dokuments (Text und Layout-Informationen)
• Aus diesem Inhalt extrahierte Kennzahlen und Metadaten (Firmenname, Zeitraum, KPIs)
• Eine technische Prüfsumme des Dokuments (damit identische Uploads erkannt und nicht doppelt verarbeitet werden)
• Zeitstempel und Status der Verarbeitung

Buchhaltungsdokumente können personenbezogene Daten Dritter enthalten (etwa Namen in Buchungstexten). Bitte laden Sie nur Dokumente hoch, für deren Verarbeitung Sie verantwortlich sind und zu deren Übermittlung an einen IT-Dienstleister Sie berechtigt sind. Sind Sie für Daten Dritter verantwortlich, handeln wir insoweit als Ihr Auftragsverarbeiter — ein separater Auftragsverarbeitungsvertrag kann auf Anfrage geschlossen werden.

9.2 Speicherung bei uns

Hochgeladene PDF-Dateien und die daraus erzeugte strukturierte Auswertung werden auf unserem Server in Frankfurt am Main gemeinsam für 7 Tage aufbewahrt, damit Sie das Ergebnis in dieser Zeit erneut über den Ergebnis-Link aufrufen können. Anschließend werden beide automatisch gelöscht. Sie können die Löschung jederzeit vorab durch eine kurze Nachricht an webmaster@liberosa.de auslösen.

9.3 Übermittlung an Anthropic (KI-Auswertung)

Zur eigentlichen Auswertung wird der Textinhalt des Dokuments an die Schnittstelle des KI-Modells „Claude" der Anthropic, PBC, 548 Market Street PMB 90375, San Francisco, CA 94104, USA übermittelt. Anthropic verarbeitet die Anfrage in unserem Auftrag und liefert das Auswertungsergebnis zurück.

Empfangene Daten: der Textinhalt des Dokuments (einschließlich etwaiger darin enthaltener personenbezogener Daten) sowie das Auswertungsergebnis.

Zweck: KI-gestützte Extraktion der Kennzahlen und Erstellung einer textuellen Zusammenfassung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Nutzungsvertrags — die KI-Auswertung ist der Vertragsgegenstand).

Drittlandtransfer: Anthropic verarbeitet die Daten in den USA. Da für die USA kein Angemessenheitsbeschluss besteht und Anthropic, PBC nicht unter dem EU-US Data Privacy Framework zertifiziert ist, erfolgt die Übermittlung auf Grundlage der EU-Standardvertragsklauseln (Standard Contractual Clauses gemäß Art. 46 Abs. 2 lit. c DSGVO). Mit Anthropic wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen (Anthropic Data Processing Addendum, einbezogen über die kommerziellen Nutzungsbedingungen, https://www.anthropic.com/legal/data-processing-addendum); die Standardvertragsklauseln sind dessen Bestandteil.

Speicherdauer bei Anthropic: Nach den Nutzungsbedingungen von Anthropic werden API-Eingaben und -Ausgaben nicht zum Training der Modelle verwendet. Zur Erkennung von Missbrauch (Trust & Safety) kann Anthropic die übermittelten Inhalte bis zu 30 Tage aufbewahren und anschließend automatisch löschen. Eine Zero-Data-Retention-Vereinbarung (vollständiger Verzicht auf diese Zwischenspeicherung) bietet Anthropic derzeit nur für Enterprise-Kunden an und steht auf der aktuellen Nutzungsstufe nicht zur Verfügung; es gilt daher die vorgenannte Aufbewahrung von bis zu 30 Tagen. Den aktuellen Stand können Sie jederzeit unter webmaster@liberosa.de erfragen.

Weitere Informationen finden Sie in der Datenschutzerklärung von Anthropic unter https://www.anthropic.com/legal/privacy sowie in den ergänzenden Hinweisen zur kommerziellen API-Nutzung unter https://www.anthropic.com/legal/commercial-terms.

10. Backups (Hetzner Object Storage) — Liberoscan

Zur Wiederherstellbarkeit im Fehler- oder Ausfallszenario erstellen wir automatische Sicherungen der Liberoscan-Anwendungsdatenbank und legen diese im Object Storage der Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland ab. Die Sicherungen werden ausschließlich in deutschen Rechenzentren von Hetzner gespeichert und ausschließlich verschlüsselt übertragen.

In den Sicherungen enthaltene Datenkategorien:

• E-Mail-Adressen registrierter Nutzer sowie deren Zugriffsstatus, Anzahl erstellter Briefings und interne Admin-Notizen (vgl. Ziffer 8)
• strukturierte Ergebnisse aus der KI-Auswertung (Kennzahlen, Zusammenfassungstexte, Metadaten — vgl. Ziffer 9)
• Inhalte und Metadaten eingegangener Kontaktanfragen, einschließlich E-Mail-Adresse, Betreff, Nachricht, IP-Adresse, User-Agent und Zeitstempel (vgl. Ziffer 11)

Die ursprünglich hochgeladenen PDF-Dateien selbst sind nicht Bestandteil dieser Sicherungen.

Zweck: Wiederherstellbarkeit der Anwendung und Schutz vor Datenverlust (Art. 32 Abs. 1 lit. c DSGVO).

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Datensicherheit und Verfügbarkeit).

Speicherdauer: Sicherungen werden in zwei rollierenden Zyklen aufbewahrt — als tägliche Sicherungen für 14 Tage sowie ergänzend als monatliche Sicherungen für maximal 12 Monate; ältere Sicherungen werden automatisch gelöscht. Mit der Hetzner Online GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Da Hetzner ein deutsches Unternehmen mit Sitz und Verarbeitung ausschließlich in Deutschland ist, findet kein Drittlandtransfer statt.

11. Kontaktformular (Liberoscan)

Wenn Sie uns über das Kontaktformular der Liberoscan-Anwendung eine Nachricht senden, verarbeiten wir folgende Daten:

• E-Mail-Adresse
• Betreff und Inhalt Ihrer Nachricht
• IP-Adresse, Zeitstempel und User-Agent

Zweck: Bearbeitung Ihrer Anfrage sowie Schutz vor Spam und Missbrauch (Rate-Limiting, Abuse-Erkennung).

Rechtsgrundlage:

• Bearbeitung der Anfrage: Art. 6 Abs. 1 lit. b DSGVO (Anbahnung/Erfüllung eines Vertragsverhältnisses) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Kontaktanfragen).
• Speicherung der IP-Adresse zum Spam-Schutz: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der IT-Sicherheit und Missbrauchsabwehr).

Speicherdauer:

• IP-Adresse und User-Agent werden nach 7 Tagen automatisch gelöscht.
• Nachrichteninhalt und Kontaktdaten werden gespeichert, bis Ihre Anfrage abschließend bearbeitet ist, sofern keine gesetzlichen Aufbewahrungspflichten (insb. aus HGB und AO) entgegenstehen.

12. E-Mail-Versand (mailbox.org) — liberosa.de und Liberoscan

Unsere E-Mail-Postfächer (z. B. hello@liberosa.de, webmaster@liberosa.de) und der automatische E-Mail-Versand aus Liberoscan — interne Benachrichtigungen über Kontakt- und Zugangsanfragen sowie der Versand des Einmal-Login-Codes an freigegebene Nutzer (vgl. Ziffer 8) — werden über den Mail-Dienst mailbox.org der Heinlein Hosting GmbH, Schwedter Straße 8/9B, 10119 Berlin, Deutschland („mailbox.org") betrieben. Versand, Empfang und Verarbeitung erfolgen auf Servern in Deutschland; ein Drittlandtransfer findet nicht statt.

Verarbeitete Daten: Absender- und Empfänger-Adressen, Betreff und Inhalt der jeweiligen E-Mail, Versand-Zeitstempel sowie technische Verbindungs-Metadaten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer zuverlässigen Geschäfts- und Support-Kommunikation).

Mit der Heinlein Hosting GmbH besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Weitere Informationen finden Sie in der Datenschutzerklärung von mailbox.org unter https://mailbox.org/de/datenschutz.

13. Webanalyse (Plausible) — liberosa.de und Liberoscan

Zur statistischen Auswertung der Nutzung der Corporate-Website liberosa.de sowie der Liberoscan-Anwendung setzen wir den Webanalyse-Dienst „Plausible Analytics" der Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland ein. Plausible ist ein in der EU ansässiger Anbieter; die Auswertung erfolgt auf Servern innerhalb der Europäischen Union. Für die beiden Domains werden getrennte Plausible-Sites geführt, so dass die Nutzungsstatistiken domänenweise und nicht über die Domains hinweg ausgewertet werden.

Verarbeitete Daten:

• aufgerufene URL und Referrer (zuvor besuchte Seite)
• Browser- und Betriebssystem-Familie (z. B. „Firefox auf macOS")
• Land des Aufrufs (kein Ort, keine Stadt)
• ein technischer, täglich rotierender Kennwert, der aus IP-Adresse, User-Agent und einem geheimen Tageswert errechnet wird, um doppelte Aufrufe innerhalb desselben Tages zu erkennen — eine Wiedererkennung über mehrere Tage hinweg ist konstruktiv ausgeschlossen

Neben Seitenaufrufen erfassen wir vereinzelt technische Ereignisse (z. B. das Fehlschlagen der Anzeige eines PDF-Dokuments). Diese Ereignisse enthalten ausschließlich eine technische Kategorie (etwa „Netzwerk" oder „Worker") und keine personenbezogenen Daten sowie keine Inhalte der von Ihnen verarbeiteten Dokumente.

Plausible setzt keine Cookies und legt keine Daten auf Ihrem Endgerät ab. Es findet kein geräteübergreifendes Tracking, kein Fingerprinting und keine Profilbildung statt. Aus diesem Grund ist nach § 25 Abs. 2 Nr. 2 TDDDG keine Einwilligung erforderlich; der Einsatz erfolgt ausschließlich auf Grundlage unseres berechtigten Interesses.

Zweck: bedarfsgerechte Gestaltung und kontinuierliche Optimierung der Corporate-Website liberosa.de sowie der Liberoscan-Anwendung auf Basis aggregierter Nutzungsstatistiken.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer aggregierten, datensparsamen Reichweitenmessung).

Speicherdauer: die aggregierten Nutzungsstatistiken werden bei Plausible für die Dauer des Vertragsverhältnisses aufbewahrt; eine Zuordnung zu einer einzelnen natürlichen Person ist konstruktiv nicht möglich.

Weitere Informationen finden Sie in der Datenschutzerklärung von Plausible unter https://plausible.io/privacy sowie in der Beschreibung des datensparsamen Verfahrens unter https://plausible.io/data-policy. Mit der Plausible Insights OÜ wurde ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen.

14. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die aktualisierte Fassung.

Stand: Juni 2026