Kogga IDX
ImpressumDatenschutzAGB

Datenschutzerklärung

Stand: 09.05.2026 · Version 1.0 · Gilt für idx.kogga.it

Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der EU-Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten beim Besuch und bei der Nutzung der Plattform „Kogga IDX“ unter https://idx.kogga.it.

1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Sebastian Kogga
Kogga.IT — Einzelunternehmen
Unterm Berg 14, 36217 Ronshausen, Deutschland
Telefon: +49 1520 2019225
E-Mail (allgemein): info@kogga.it
E-Mail (Datenschutz): datenschutz@kogga.it
USt-IdNr.: DE340404297

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach § 38 BDSG besteht derzeit nicht (Einzelunternehmen ohne weitere Beschäftigte, keine Verarbeitung besonders sensibler Daten gemäß Art. 9 DSGVO als Kerntätigkeit). Datenschutz-Anliegen werden vom Inhaber persönlich bearbeitet.

2. Verarbeitungszwecke und Rechtsgrundlagen

2.1 Bereitstellung der Website

Beim Aufruf der Website werden technisch notwendige Daten verarbeitet:

DatenartZweckRechtsgrundlage
IP-AdresseAuslieferung, Sicherheit, Rate-LimitingArt. 6 Abs. 1 lit. f DSGVO
User-AgentAnpassung an EndgerätArt. 6 Abs. 1 lit. f DSGVO
Zugriffszeitpunkt + URLServer-Logging, SicherheitsanalyseArt. 6 Abs. 1 lit. f DSGVO

Diese technischen Logs werden nach 30 Tagen automatisch gelöscht.

2.2 Registrierung und Nutzung der Plattform

Wenn Sie sich auf der Plattform als Nutzer registrieren oder Plattform-Funktionen verwenden, werden folgende Daten verarbeitet:

  • Name, E-Mail-Adresse — Anmeldung und Nutzerverwaltung (Art. 6 Abs. 1 lit. b DSGVO)
  • Passwort (gehasht via bcrypt) — Authentifizierung
  • Optional TOTP-2FA-Geheimnis — Zwei-Faktor-Authentifizierung (Art. 6 Abs. 1 lit. f DSGVO)
  • Tenant-Zugehörigkeit, Rolle (Admin / Buchhalter / Nur-Lese) — Rechtemanagement
  • Aktions-Logs (Audit-Trail) — Nachvollziehbarkeit, GoBD-Compliance (Art. 6 Abs. 1 lit. c DSGVO, § 147 AO)
  • IP-Adresse und Zeitstempel der Anmeldungen — Sicherheit, Rate-Limiting

2.3 Verarbeitung von Rechnungsdaten (Auftragsverarbeitung)

Wenn Sie als Nutzer Rechnungs-PDFs hochladen, erzeugen oder versenden, verarbeitet der Verantwortliche diese Daten im Auftrag Ihres Arbeitgebers oder Mandanten (Verantwortlicher im Sinne der DSGVO ist in diesem Fall nicht Kogga.IT, sondern das Unternehmen, dem der Mandant gehört). Kogga.IT handelt insoweit als Auftragsverarbeiter.

Es wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen Kogga.IT und dem Mandant-Inhaber geschlossen. Anfragen Betroffener (z. B. Lieferanten oder Empfänger, deren Daten auf einer Rechnung erscheinen) leitet Kogga.IT an den jeweiligen Verantwortlichen weiter.

Die Aufbewahrungsfristen folgen den gesetzlichen Vorschriften (§§ 147 AO, 14b UStG: acht beziehungsweise zehn Jahre).

2.4 Kontaktaufnahme

Bei Anfragen per E-Mail an info@kogga.it, support@kogga.it oder datenschutz@kogga.it verarbeiten wir Ihre Angaben (Name, E-Mail, Inhalt der Nachricht) zur Bearbeitung der Anfrage (Art. 6 Abs. 1 lit. b oder f DSGVO). E-Mail-Korrespondenz wird zwei Jahre nach letztem Schriftverkehr gelöscht, sofern keine vertraglichen Aufbewahrungspflichten bestehen.

3. Empfänger der Daten (Subunternehmer)

Wir setzen folgende Auftragsverarbeiter und Dienstleister ein. Die vollständige aktuelle Liste mit Sitz, Verarbeitungszweck und Schutzniveau finden Sie unter https://kogga.it/legal/subprocessors:

EmpfängerSitzZweck
Hetzner Online GmbHGunzenhausen, DeutschlandHosting, S3 Object Storage, Backups
Anthropic, PBCSan Francisco, USAKI-gestützte Datenextraktion (Claude API)
All-Inkl.com (Münnich)Friedersdorf, DeutschlandE-Mail-Versand, DNS, Postfach-Verwaltung
Stripe Payments Europe LtdDublin, IrlandZahlungsabwicklung (nur bei kostenpflichtiger Nutzung)

4. Übermittlung in Drittländer

Die Plattform setzt einen Subunternehmer in den USA ein: Anthropic, PBC (San Francisco, USA) — Verarbeitung von hochgeladenen Rechnungs-PDFs zur KI-gestützten Datenextraktion.

Anthropic ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten die Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Verwendung der übermittelten Daten zu Trainingszwecken ist vertraglich ausgeschlossen.

Falls Sie wünschen, dass für Ihren Mandanten keine KI-gestützte Verarbeitung stattfindet, kann der Mandant-Administrator dies in den Tenant-Einstellungen deaktivieren oder schriftlich beim Anbieter beantragen. In diesem Fall greift eine lokale Stub-Engine ohne externe KI-Verarbeitung.

5. Speicherdauer

  • Server-Logs (IP, User-Agent, URL): 30 Tage
  • Nutzer-Stammdaten: bis zur Vertragsbeendigung des Mandanten + 90 Tage
  • Rechnungs-Originale und erzeugte E-Rechnungen: acht beziehungsweise zehn Jahre (§§ 147 AO, 14b UStG)
  • Audit-Logs: bis zur Vertragsbeendigung + zehn Jahre (steuerrechtlich)
  • E-Mail-Korrespondenz: zwei Jahre nach letztem Schriftverkehr
  • Backup-Daten: 30 Tage rollierend
  • Server-Snapshots: sieben Tage rollierend

6. Ihre Rechte als betroffene Person (Art. 15 ff. DSGVO)

Sie haben jederzeit das Recht auf:

  • Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
  • Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)

Zuständige Aufsichtsbehörde für Kogga.IT (Sitz Hessen): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 31 63, 65021 Wiesbaden, datenschutz.hessen.de.

Anträge nach den Art. 15 ff. DSGVO richten Sie bitte an datenschutz@kogga.it oder schriftlich an die unter Ziffer 1 genannte Anschrift.

7. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)

Die Plattform setzt KI-gestützte Datenextraktion ein, um aus hochgeladenen PDFs strukturierte Rechnungsdaten zu extrahieren. Die KI trifft keine rechtsverbindlichen Entscheidungen. Das Ergebnis der Extraktion wird Ihnen (oder dem zuständigen Bearbeiter Ihres Mandanten) zur manuellen Prüfung und Korrektur vorgelegt; eine Generierung und Versendung einer E-Rechnung erfolgt erst nach ausdrücklicher Freigabe durch einen menschlichen Bearbeiter.

Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit Rechtswirkung im Sinne von Art. 22 DSGVO findet nicht statt.

8. Cookies

Die Plattform setzt ausschließlich technisch notwendige Cookies ein, die für den Betrieb erforderlich sind:

  • next-auth.session-token — Authentifizierung der angemeldeten Sitzung; bis Logout oder max. 24 h
  • next-auth.csrf-token — Schutz gegen Cross-Site-Request-Forgery; Sitzungsende
  • theme (optional) — Speicherung der Helligkeitsvorzugs-Einstellung; zwölf Monate

Eine Einwilligung nach § 25 Abs. 1 TTDSG ist für diese Cookies nicht erforderlich, da sie zur Erbringung des ausdrücklich gewünschten Telemediendienstes unbedingt erforderlich sind (§ 25 Abs. 2 Nr. 2 TTDSG). Tracking- oder Marketing-Cookies werden nicht gesetzt.

9. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust und Manipulation zu schützen. Eine Auflistung der wesentlichen Maßnahmen finden Sie im Dokument „Technische und organisatorische Maßnahmen (TOM)“, das auf Anfrage bereitgestellt wird oder Bestandteil des Auftragsverarbeitungsvertrags ist.

Die Verbindung zwischen Ihrem Browser und der Plattform ist durch TLS 1.2+ verschlüsselt. HSTS, Same-Site-Cookies und CSRF-Schutz sind aktiv.

10. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist unter https://idx.kogga.it/datenschutz abrufbar. Wesentliche Änderungen werden den registrierten Nutzern mit angemessener Vorlaufzeit per E-Mail mitgeteilt.

11. Kontakt für Datenschutz-Fragen

Für alle Fragen, Anliegen oder Beschwerden zum Datenschutz wenden Sie sich bitte an:

E-Mail: datenschutz@kogga.it
Postanschrift: Sebastian Kogga, Unterm Berg 14, 36217 Ronshausen, Deutschland

Wir bemühen uns, Anfragen innerhalb von 14 Tagen zu beantworten; spätestens jedoch innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).

© 2026 Sebastian Kogga · Kogga.IT

ImpressumDatenschutzAGB