Datenschutzerklärung

Letzte Aktualisierung: 3. Mai 2026

English version

Diese Rechtstexte sind in deutscher und englischer Sprache verfügbar. Maßgeblich ist die deutsche Fassung. Bei Abweichungen zwischen den Sprachfassungen geht die deutsche Fassung vor, soweit zwingendes Verbraucher- oder Datenschutzrecht nichts anderes verlangt.

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Noah Sioly UG (haftungsbeschränkt)
Hoheluftchaussee 139
20253 Hamburg
Deutschland
E-Mail: support@brisko.net

2. Grundsatz

Wir verarbeiten personenbezogene Daten nur, soweit dies für Betrieb, Sicherheit, Kommunikation, Authentifizierung, Vertragsdurchführung, Bereitstellung der verbundenen Funktionen oder Erfüllung rechtlicher Pflichten erforderlich ist.

Wir verkaufen personenbezogene Daten nicht. Wir nutzen personenbezogene Daten nicht für Werbung oder Profiling. Wir übermitteln personenbezogene Daten nur an Dienstleister, Empfänger oder verbundene Anbieter, soweit dies für den Dienst erforderlich ist oder Sie eine Funktion aktivieren, die eine solche Übermittlung auslöst.

3. Kontodaten

Wir verarbeiten:

  • E-Mail-Adresse;
  • Anzeigename;
  • Authentifizierungsanbieter, zum Beispiel E-Mail/Passwort, Google oder Apple;
  • Account-ID, Login-Zeitpunkte und sicherheitsrelevante Authentifizierungsdaten.

Zweck: Kontoerstellung, Login, Session-Verwaltung, Sicherheit und Support.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigtes Interesse an Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

4. Nutzungs- und Flow-Daten

Wir verarbeiten:

  • Flow-Konfigurationen;
  • verbundene Dienste und Quellen;
  • Scan-Zeiträume;
  • Output-Einstellungen;
  • Schedule-Einstellungen;
  • Run-Status, Fehlerhinweise und technische Verlaufsdaten.

Zweck: Bereitstellung der Collection-, Organisations-, Schedule- und Output-Funktionen.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

5. Zugangsdaten, Tokens und Session-Daten

Für verbundene Quellen können wir verarbeiten:

  • OAuth-Tokens;
  • API-Tokens;
  • Session-Cookies;
  • IMAP-Zugangsdaten oder App-Passwörter;
  • technische Zusatzdaten wie Organisation, Workspace, Account-ID oder verbundene Domain.

Diese Daten werden verschlüsselt gespeichert, soweit sie serverseitig gespeichert werden. Der Verschlüsselungsschlüssel wird serverseitig verwaltet.

Zweck: Verbindung mit den von Ihnen aktivierten Quellen, Abruf von Dokumenten, automatische Collection-Runs und geräteübergreifende Nutzung.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

6. Dokumente, Rechnungen und Belege

Brisko kann Rechnungen, Belege, Abrechnungsdokumente, Zahlungsdokumente, PDF-Anhänge, Datei-Metadaten, E-Mail-Metadaten, Bestell- oder Zahlungsmetadaten und Textauszüge aus Dokumenten verarbeiten.

Originaldateien können lokal in Ihrem Browser, in einem lokalen Output-Ordner, in einem Staging-Ordner oder für einzelne Funktionen kurzfristig serverseitig verarbeitet werden.

Für KI-gestützte Benennung, Validierung oder Organisation können Dateinamen, Dokumentmetadaten und Textauszüge verarbeitet und an den eingesetzten KI-Dienst übermittelt werden.

Zweck: Sammlung, Benennung, Validierung, Organisation und Bereitstellung der Dokumente.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), bei aktivem Upload zusätzlich Einwilligung oder aktive Nutzung der Funktion (Art. 6 Abs. 1 lit. a oder b DSGVO je nach Kontext).

7. E-Mail-Quellen

Wenn Sie Gmail, Outlook oder IMAP verbinden, können wir E-Mail-Suchabfragen, E-Mail-Metadaten, Betreffzeilen, Absender, Empfangsdatum, Anhangsmetadaten und PDF-Anhänge verarbeiten.

Wir verwenden nach Möglichkeit lesende Berechtigungen. Bei IMAP kann ein Passwort oder App-Passwort erforderlich sein. Wir empfehlen die Verwendung eines App-Passworts statt Ihres Haupt-Passworts.

Brisko ist darauf ausgelegt, E-Mails für diese Funktionen nicht zu senden, zu löschen oder zu verändern.

8. Cloud-Speicher

Wenn Sie Google Drive, Dropbox, iCloud Drive oder andere Cloud-Speicher verbinden, können wir Ordnerauswahl, Dateinamen, Datei-Metadaten und ausgewählte PDF-Dateien verarbeiten.

Wir verwenden nach Möglichkeit lesende Berechtigungen und beschränken die Verarbeitung auf die von Ihnen aktivierten Quellen und Ordner.

9. Browser-Erweiterung und Cloud-Browser

Wenn Sie die Browser-Erweiterung verwenden, kann diese Session-Cookies für die von Ihnen verbundene Domain auslesen und an Brisko übermitteln, nachdem Sie den Vorgang aktiv gestartet haben. Je nach Connector kann die Erweiterung außerdem dienstspezifische Browser-Speicherwerte oder Seiten-HTML der verbundenen Domain technisch auslesen oder Dateien mit Ihrer bestehenden Drittanbieter-Session herunterladen, soweit dies für Suche, Erkennung oder Download der Dokumente erforderlich ist.

Wenn Cloud-Browser-Technologie eingesetzt wird, können während der Sitzung Seiteninhalte, Session-Daten, Cookies, technische Logs, Screenshots oder sonstige technische Sitzungsdaten verarbeitet werden, soweit dies für die Verbindung oder den Abruf erforderlich ist.

Zweck: Technische Verbindung zu Drittanbieter-Portalen und automatisierter Abruf in Ihrem Auftrag.

Browser- oder Cookie-basierte Verbindungen sind technisch keine durch den Anbieter beschränkten Nur-Lesen-Berechtigungen. Wir beschränken die Verarbeitung auf die von Ihnen aktivierten Abruf- und Verbindungsfunktionen.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

10. KI-Verarbeitung

Bei der Ausführung eines Collection-Runs können Dateinamen, Metadaten und kurze Textauszüge aus Dokumenten an einen KI-Dienst wie OpenRouter oder OpenAI gesendet werden. Je nach Funktion sind dies typischerweise Ausschnitte, technisch derzeit zum Beispiel in der Regel weniger als 1.000 Zeichen pro Dokument. Diese Textauszüge können Geschäftsdaten wie Rechnungsnummern, Beträge, Firmennamen oder Steuernummern enthalten.

Die Verarbeitung erfolgt zum Zweck der Benennung, Validierung, Kategorisierung und Sortierung.

Wir verwenden Daten nicht zum Training eigener KI-Modelle. Wir wählen und konfigurieren KI-Dienste so, dass übermittelte Inhalte nach den jeweiligen Anbieterbedingungen nicht zum Training von Modellen verwendet werden, soweit dies technisch und vertraglich verfügbar ist.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

11. Server-Logs und Sicherheitsdaten

Beim Zugriff auf den Dienst können IP-Adresse, Zeitpunkt, Browser-Typ, angefragte URL, technische Fehlerdaten und Sicherheitsereignisse verarbeitet werden.

Zweck: Betrieb, Sicherheit, Fehleranalyse, Missbrauchsvermeidung und Stabilität des Dienstes.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO).

12. E-Mails und Kommunikation

Wir senden transaktionale E-Mails, zum Beispiel:

  • Verifizierungs-E-Mails;
  • Passwort-Zurücksetzung;
  • Magic Links;
  • Export-E-Mails;
  • sicherheits- oder kontobezogene Benachrichtigungen.

Derzeit versenden wir keine Marketing-Newsletter ohne gesonderte Einwilligung.

Referral- oder Einladungs-E-Mails dürfen nur eingesetzt werden, wenn die rechtlichen Voraussetzungen erfüllt sind. Sicherer ist ein Share-Link oder ein Mailto-Entwurf, den der Nutzer selbst versendet.

12a. Referral- und Einladungsdaten

Wenn Sie eine Einladung über die Referral-Funktion oder eine Flow-Einladung versenden, verarbeiten wir:

  • die E-Mail-Adresse der eingeladenen Person;
  • die Verknüpfung zwischen Ihrem Konto und der eingeladenen Person;
  • den Status der Einladung (gesendet, angenommen);
  • bei Flow-Einladungen den betroffenen Flow, den Einladungstoken, den Ablaufzeitpunkt und die spätere Mitgliedschaftsrolle.

Der eingeladenen Person wird in der Einladungs-E-Mail Ihr Vorname oder ein aus Ihrer E-Mail-Adresse abgeleiteter Name sowie Ihre E-Mail-Adresse angezeigt, damit die Einladung zugeordnet werden kann.

Die E-Mail-Adresse der eingeladenen Person wird gespeichert, solange die Referral-Beziehung, die ausstehende Einladung oder die Flow-Mitgliedschaft besteht oder bis Sie oder die eingeladene Person die Löschung verlangen, soweit keine berechtigten Sicherheits-, Missbrauchs- oder Nachweispflichten entgegenstehen.

Rechtsgrundlage: Berechtigtes Interesse an der Bereitstellung der Referral-Funktion (Art. 6 Abs. 1 lit. f DSGVO). Die E-Mail-Adresse der eingeladenen Person wird nicht bei der eingeladenen Person selbst erhoben, sondern von dem einladenden Nutzer bereitgestellt. Die eingeladene Person wird in der Einladungs-E-Mail über die Datenverarbeitung informiert (Art. 14 DSGVO). Die eingeladene Person kann der Verarbeitung jederzeit widersprechen, zum Beispiel per E-Mail an support@brisko.net.

13. Datenexport

Sie können Daten exportieren. Je nach Funktion kann ein Export direkt heruntergeladen oder per E-Mail als Download-Link bereitgestellt werden.

Exportlinks können personenbezogene Daten enthalten und sollten vertraulich behandelt werden. Exportlinks sind zeitlich begrenzt und sollten nach Ablauf gelöscht oder unzugänglich gemacht werden.

14. Lokale Speicherung

Folgende Daten können in Ihrem Browser gespeichert werden:

  • Flow-Konfigurationen;
  • verbundene Dienste;
  • Zugangsdaten-Cache;
  • hochgeladene Dokumente;
  • Run-Historie;
  • Output- und Scan-Range-Einstellungen.

Die Nutzung von localStorage und IndexedDB ist technisch erforderlich für die Funktionalität des Dienstes (§ 25 Abs. 2 TDDDG).

Lokale Daten verbleiben auf Ihrem Gerät, bis Sie diese löschen oder die dafür vorgesehenen Funktionen nutzen.

15. Cookies

Wir verwenden technisch notwendige Cookies für Authentifizierung, Session-Verwaltung und Sicherheit.

Wir setzen keine Tracking-Cookies, Analytics-Cookies oder Werbepixel ein, soweit dies nicht später gesondert eingeführt und entsprechend informiert wird.

16. Dienstleister und Empfänger

Wir können folgende Dienstleister und Empfänger einsetzen:

DienstleisterZweckStandort
SupabaseAuthentifizierung, Datenbank, verschlüsselte Credential-SpeicherungEU/Frankfurt
VercelHosting, Serverless Functions, Cron Jobs, LogsEU/USA
ResendVersand transaktionaler E-MailsUSA
OpenRouterKI-Analyse für Dokumentbenennung und ValidierungUSA
OpenAIKI-Analyse, sofern direkt eingesetztUSA
BrowserbaseCloud-Browser-Sessions für Verbindungs- oder AbruffunktionenJe nach Konfiguration
GoogleGoogle Login, Gmail, Google Drive, sofern aktiviertJe nach Anbieter
MicrosoftOutlook und Microsoft Login, sofern aktiviertJe nach Anbieter
DropboxCloud-Speicher-Verbindung, sofern aktiviertJe nach Anbieter
AppleApple Login, sofern aktiviertJe nach Anbieter
Drittanbieter-PortaleAbruf von Dokumenten in Ihrem AuftragJe nach Anbieter

Für Drittlandübermittlungen verwenden wir geeignete Garantien, insbesondere EU-Standardvertragsklauseln oder andere nach DSGVO zulässige Mechanismen, soweit erforderlich.

17. Speicherdauer

Kontodaten werden gespeichert, solange Ihr Konto aktiv ist.

Zugangsdaten für verbundene Quellen werden gespeichert, solange die jeweilige Verbindung aktiv ist oder bis Sie diese löschen.

Exportdaten und Exportlinks werden nur zeitlich begrenzt bereitgestellt und nach Ablauf gelöscht oder unzugänglich gemacht, soweit dies technisch vorgesehen ist.

Server-Logs werden nur so lange gespeichert, wie dies für Betrieb, Sicherheit, Fehleranalyse und Missbrauchsvermeidung erforderlich ist, in der Regel nicht länger als 90 Tage.

Bei Löschung des Kontos löschen oder anonymisieren wir personenbezogene Daten unverzüglich, soweit keine gesetzlichen Aufbewahrungspflichten, Sicherheits- oder Missbrauchsnachweise oder technische Backup-Fristen entgegenstehen.

18. Datensicherheit

Wir setzen angemessene technische und organisatorische Maßnahmen ein, insbesondere:

  • HTTPS/TLS-Verschlüsselung;
  • Verschlüsselung gespeicherter Zugangsdaten;
  • Row Level Security in der Datenbank, soweit anwendbar;
  • Zugriffsbeschränkungen;
  • Zwei-Faktor-Authentifizierung, sofern aktiviert;
  • Protokollierung sicherheitsrelevanter Ereignisse;
  • technische und organisatorische Maßnahmen gegen unbefugten Zugriff.

Absolute Sicherheit kann nicht garantiert werden.

19. Ihre Rechte

Sie haben nach Maßgabe der DSGVO insbesondere folgende Rechte:

  • Auskunft (Art. 15 DSGVO);
  • Berichtigung (Art. 16 DSGVO);
  • Löschung (Art. 17 DSGVO);
  • Einschränkung der Verarbeitung (Art. 18 DSGVO);
  • Datenportabilität (Art. 20 DSGVO);
  • Widerspruch (Art. 21 DSGVO);
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
  • Beschwerde bei einer Datenschutzaufsichtsbehörde.

Zuständige Aufsichtsbehörde ist:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Ludwig-Erhard-Straße 22
20459 Hamburg
datenschutz-hamburg.de

Kontakt für Datenschutzanfragen: support@brisko.net

20. Datenpannen

Wenn eine Verletzung des Schutzes personenbezogener Daten eintritt, prüfen wir unsere gesetzlichen Melde- und Benachrichtigungspflichten nach Art. 33 und Art. 34 DSGVO.

Wenn erforderlich, informieren wir die zuständige Aufsichtsbehörde unverzüglich und nach Möglichkeit binnen 72 Stunden nach Bekanntwerden. Betroffene Personen informieren wir, wenn dies gesetzlich erforderlich ist.

20a. Pflicht zur Bereitstellung personenbezogener Daten

Die Bereitstellung Ihrer E-Mail-Adresse ist für die Erstellung eines Kontos und die Nutzung des Dienstes erforderlich. Ohne diese Angabe können wir den Dienst nicht bereitstellen. Die Bereitstellung weiterer personenbezogener Daten, insbesondere Zugangsdaten für verbundene Quellen, ist freiwillig, aber für die Nutzung der jeweiligen Funktionen erforderlich.

20b. Automatisierte Entscheidungsfindung

Die KI-gestützte Benennung, Kategorisierung und Sortierung von Dokumenten stellt keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO dar, da sie keine rechtlichen oder ähnlich erheblichen Wirkungen für Sie entfaltet. Sie können KI-Ergebnisse jederzeit manuell ändern oder überschreiben.

21. Änderungen dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung aktualisieren, wenn sich der Dienst, unsere Datenverarbeitung, eingesetzte Dienstleister oder rechtliche Anforderungen ändern.

Bei wesentlichen Änderungen informieren wir Sie in geeigneter Form.