Datenschutzerklärung
Stand: 09.05.2026 · Version 1.0 · Gilt für idx.kogga.it
Diese Datenschutzerklärung informiert Sie gemäß Art. 13 und Art. 14 der EU-Datenschutz-Grundverordnung (DSGVO) über die Verarbeitung personenbezogener Daten beim Besuch und bei der Nutzung der Plattform „Kogga IDX“ unter https://idx.kogga.it.
1. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Sebastian Kogga
Kogga.IT — Einzelunternehmen
Unterm Berg 14, 36217 Ronshausen, Deutschland
Telefon: +49 1520 2019225
E-Mail (allgemein): info@kogga.it
E-Mail (Datenschutz): datenschutz@kogga.it
USt-IdNr.: DE340404297
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten nach § 38 BDSG besteht derzeit nicht (Einzelunternehmen ohne weitere Beschäftigte, keine Verarbeitung besonders sensibler Daten gemäß Art. 9 DSGVO als Kerntätigkeit). Datenschutz-Anliegen werden vom Inhaber persönlich bearbeitet.
2. Verarbeitungszwecke und Rechtsgrundlagen
2.1 Bereitstellung der Website
Beim Aufruf der Website werden technisch notwendige Daten verarbeitet:
| Datenart | Zweck | Rechtsgrundlage |
|---|---|---|
| IP-Adresse | Auslieferung, Sicherheit, Rate-Limiting | Art. 6 Abs. 1 lit. f DSGVO |
| User-Agent | Anpassung an Endgerät | Art. 6 Abs. 1 lit. f DSGVO |
| Zugriffszeitpunkt + URL | Server-Logging, Sicherheitsanalyse | Art. 6 Abs. 1 lit. f DSGVO |
Diese technischen Logs werden nach 30 Tagen automatisch gelöscht.
2.2 Registrierung und Nutzung der Plattform
Wenn Sie sich auf der Plattform als Nutzer registrieren oder Plattform-Funktionen verwenden, werden folgende Daten verarbeitet:
- Name, E-Mail-Adresse — Anmeldung und Nutzerverwaltung (Art. 6 Abs. 1 lit. b DSGVO)
- Passwort (gehasht via bcrypt) — Authentifizierung
- Optional TOTP-2FA-Geheimnis — Zwei-Faktor-Authentifizierung (Art. 6 Abs. 1 lit. f DSGVO)
- Tenant-Zugehörigkeit, Rolle (Admin / Buchhalter / Nur-Lese) — Rechtemanagement
- Aktions-Logs (Audit-Trail) — Nachvollziehbarkeit, GoBD-Compliance (Art. 6 Abs. 1 lit. c DSGVO, § 147 AO)
- IP-Adresse und Zeitstempel der Anmeldungen — Sicherheit, Rate-Limiting
2.3 Verarbeitung von Rechnungsdaten (Auftragsverarbeitung)
Wenn Sie als Nutzer Rechnungs-PDFs hochladen, erzeugen oder versenden, verarbeitet der Verantwortliche diese Daten im Auftrag Ihres Arbeitgebers oder Mandanten (Verantwortlicher im Sinne der DSGVO ist in diesem Fall nicht Kogga.IT, sondern das Unternehmen, dem der Mandant gehört). Kogga.IT handelt insoweit als Auftragsverarbeiter.
Es wird ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO zwischen Kogga.IT und dem Mandant-Inhaber geschlossen. Anfragen Betroffener (z. B. Lieferanten oder Empfänger, deren Daten auf einer Rechnung erscheinen) leitet Kogga.IT an den jeweiligen Verantwortlichen weiter.
Die Aufbewahrungsfristen folgen den gesetzlichen Vorschriften (§§ 147 AO, 14b UStG: acht beziehungsweise zehn Jahre).
2.4 Kontaktaufnahme
Bei Anfragen per E-Mail an info@kogga.it, support@kogga.it oder datenschutz@kogga.it verarbeiten wir Ihre Angaben (Name, E-Mail, Inhalt der Nachricht) zur Bearbeitung der Anfrage (Art. 6 Abs. 1 lit. b oder f DSGVO). E-Mail-Korrespondenz wird zwei Jahre nach letztem Schriftverkehr gelöscht, sofern keine vertraglichen Aufbewahrungspflichten bestehen.
3. Empfänger der Daten (Subunternehmer)
Wir setzen folgende Auftragsverarbeiter und Dienstleister ein. Die vollständige aktuelle Liste mit Sitz, Verarbeitungszweck und Schutzniveau finden Sie unter https://kogga.it/legal/subprocessors:
| Empfänger | Sitz | Zweck |
|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Deutschland | Hosting, S3 Object Storage, Backups |
| Anthropic, PBC | San Francisco, USA | KI-gestützte Datenextraktion (Claude API) |
| All-Inkl.com (Münnich) | Friedersdorf, Deutschland | E-Mail-Versand, DNS, Postfach-Verwaltung |
| Stripe Payments Europe Ltd | Dublin, Irland | Zahlungsabwicklung (nur bei kostenpflichtiger Nutzung) |
4. Übermittlung in Drittländer
Die Plattform setzt einen Subunternehmer in den USA ein: Anthropic, PBC (San Francisco, USA) — Verarbeitung von hochgeladenen Rechnungs-PDFs zur KI-gestützten Datenextraktion.
Anthropic ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend gelten die Standardvertragsklauseln (SCC) der EU-Kommission gemäß Art. 46 Abs. 2 lit. c DSGVO. Eine Verwendung der übermittelten Daten zu Trainingszwecken ist vertraglich ausgeschlossen.
Falls Sie wünschen, dass für Ihren Mandanten keine KI-gestützte Verarbeitung stattfindet, kann der Mandant-Administrator dies in den Tenant-Einstellungen deaktivieren oder schriftlich beim Anbieter beantragen. In diesem Fall greift eine lokale Stub-Engine ohne externe KI-Verarbeitung.
5. Speicherdauer
- Server-Logs (IP, User-Agent, URL): 30 Tage
- Nutzer-Stammdaten: bis zur Vertragsbeendigung des Mandanten + 90 Tage
- Rechnungs-Originale und erzeugte E-Rechnungen: acht beziehungsweise zehn Jahre (§§ 147 AO, 14b UStG)
- Audit-Logs: bis zur Vertragsbeendigung + zehn Jahre (steuerrechtlich)
- E-Mail-Korrespondenz: zwei Jahre nach letztem Schriftverkehr
- Backup-Daten: 30 Tage rollierend
- Server-Snapshots: sieben Tage rollierend
6. Ihre Rechte als betroffene Person (Art. 15 ff. DSGVO)
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten (Art. 15 DSGVO)
- Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
- Löschung Ihrer Daten (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format (Art. 20 DSGVO)
- Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21 DSGVO)
- Widerruf Ihrer Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO)
Zuständige Aufsichtsbehörde für Kogga.IT (Sitz Hessen): Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Postfach 31 63, 65021 Wiesbaden, datenschutz.hessen.de.
Anträge nach den Art. 15 ff. DSGVO richten Sie bitte an datenschutz@kogga.it oder schriftlich an die unter Ziffer 1 genannte Anschrift.
7. Automatisierte Entscheidungsfindung (Art. 22 DSGVO)
Die Plattform setzt KI-gestützte Datenextraktion ein, um aus hochgeladenen PDFs strukturierte Rechnungsdaten zu extrahieren. Die KI trifft keine rechtsverbindlichen Entscheidungen. Das Ergebnis der Extraktion wird Ihnen (oder dem zuständigen Bearbeiter Ihres Mandanten) zur manuellen Prüfung und Korrektur vorgelegt; eine Generierung und Versendung einer E-Rechnung erfolgt erst nach ausdrücklicher Freigabe durch einen menschlichen Bearbeiter.
Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidung mit Rechtswirkung im Sinne von Art. 22 DSGVO findet nicht statt.
8. Cookies
Die Plattform setzt ausschließlich technisch notwendige Cookies ein, die für den Betrieb erforderlich sind:
- next-auth.session-token — Authentifizierung der angemeldeten Sitzung; bis Logout oder max. 24 h
- next-auth.csrf-token — Schutz gegen Cross-Site-Request-Forgery; Sitzungsende
- theme (optional) — Speicherung der Helligkeitsvorzugs-Einstellung; zwölf Monate
Eine Einwilligung nach § 25 Abs. 1 TTDSG ist für diese Cookies nicht erforderlich, da sie zur Erbringung des ausdrücklich gewünschten Telemediendienstes unbedingt erforderlich sind (§ 25 Abs. 2 Nr. 2 TTDSG). Tracking- oder Marketing-Cookies werden nicht gesetzt.
9. Datensicherheit
Wir setzen technische und organisatorische Maßnahmen nach dem Stand der Technik ein, um Ihre Daten vor unberechtigtem Zugriff, Verlust und Manipulation zu schützen. Eine Auflistung der wesentlichen Maßnahmen finden Sie im Dokument „Technische und organisatorische Maßnahmen (TOM)“, das auf Anfrage bereitgestellt wird oder Bestandteil des Auftragsverarbeitungsvertrags ist.
Die Verbindung zwischen Ihrem Browser und der Plattform ist durch TLS 1.2+ verschlüsselt. HSTS, Same-Site-Cookies und CSRF-Schutz sind aktiv.
10. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, wenn sich die Rechtslage oder unsere Verarbeitungstätigkeiten ändern. Die jeweils aktuelle Fassung ist unter https://idx.kogga.it/datenschutz abrufbar. Wesentliche Änderungen werden den registrierten Nutzern mit angemessener Vorlaufzeit per E-Mail mitgeteilt.
11. Kontakt für Datenschutz-Fragen
Für alle Fragen, Anliegen oder Beschwerden zum Datenschutz wenden Sie sich bitte an:
E-Mail: datenschutz@kogga.it
Postanschrift: Sebastian Kogga, Unterm Berg 14, 36217 Ronshausen, Deutschland
Wir bemühen uns, Anfragen innerhalb von 14 Tagen zu beantworten; spätestens jedoch innerhalb der gesetzlichen Frist von einem Monat (Art. 12 Abs. 3 DSGVO).