snapsort
ENDETRKU

Rechtliches

Datenschutzerklärung

So werden deine Daten verarbeitet, gespeichert und geschützt.

Dokument

Datenschutzerklärung

Stand: 2026-04-21

Version: 1.2.7

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung ist:

Serhat Coban

LoRen IT

Mühlenstraße 8a

14167 Berlin

Deutschland

E-Mail: snapsort@loren-it.com

Support: support@loren-it.com

Serhat Coban handelt als Einzelunternehmer unter dem Namen LoRen IT.

2. Wofür diese Erklärung gilt

Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten bei Nutzung von snapsort über die mobilen Apps, die unterstützende Website sowie zugehörige Legal-, Support- und Abrechnungsprozesse.

3. Welche Daten wir verarbeiten

Je nach Nutzung von snapsort verarbeiten wir insbesondere:

  • Account- und Anmeldedaten wie E-Mail-Adresse, Passwort-Hash, optionale Profildaten, Session-IDs und Sicherheitsmetadaten,
  • Beleg- und Rechnungsdaten wie temporär verarbeitete Upload-Bilder, PDFs oder CSV-Importdateien, OCR-Text, strukturierte Felder, Notizen, Kategorien, Positionen und manuelle Korrekturen,
  • Geräte- und Nutzungsdaten wie Locale, Länderhinweise, Export- und Kontingentzähler, IP-Adresse, Zeitpunkte, Browser- oder Geräteinformationen sowie Sicherheitsdiagnosen,
  • Abo- und Zahlungsdaten wie Stripe-Kunden- oder Abo-IDs, Store-Transaktionskennungen, RevenueCat-Statusdaten und Rechnungsunterlagen,
  • Support- und Kommunikationsdaten, wenn Sie uns kontaktieren.

Wichtig: Belege können personenbezogene Daten von Ihnen oder Dritten enthalten. Sie entscheiden selbst, was Sie hochladen. Bitte laden Sie nur Unterlagen hoch, die für die Ausgabenverwaltung erforderlich sind.

4. Zwecke und Rechtsgrundlagen

| Zweck | Beispiele | Rechtsgrundlage |

|-------|-----------|-----------------|

| Bereitstellung des Dienstes | Account, Belegverarbeitung, Exporte, Sync, Gruppen, Budgets | Art. 6 Abs. 1 lit. b DSGVO |

| Zahlungs- und Aboabwicklung | Checkout, Rechnungen, Zahlungsstatus, Berechtigungsprüfungen, Streitfälle | Art. 6 Abs. 1 lit. b DSGVO und ggf. Art. 6 Abs. 1 lit. c DSGVO |

| Support und servicebezogene Kommunikation | Antworten auf Anfragen, Passwort-Reset, Verifikation, transaktionale Nachrichten | Art. 6 Abs. 1 lit. b DSGVO / Art. 6 Abs. 1 lit. f DSGVO |

| IT-Sicherheit, Missbrauchsabwehr, Diagnose, Integrität | Logs, Zugriffsschutz, Rate Limits, CSRF- und Session-Schutz | Art. 6 Abs. 1 lit. f DSGVO |

| Gesetzliche Aufbewahrung und Rechtsverteidigung | Rechnungs- und Zahlungsunterlagen, Nachweise, Anspruchsabwehr | Art. 6 Abs. 1 lit. c DSGVO / Art. 6 Abs. 1 lit. f DSGVO |

5. Verarbeitung im Produkt

Die öffentliche Website ist auf Informationsseiten, Legal- oder Support-Inhalte, Account-Registrierung sowie Kauf oder Verwaltung von Web-Abonnements beschränkt. Belegerfassung, OCR-Prüfung, Gruppen, Budgets und Exporte erfolgen primär über die mobilen Apps.

5.1 Registrierung und Anmeldung

Für die Registrierung verarbeiten wir Ihre E-Mail-Adresse und einen Passwort-Hash. Wenn Sie sich mit Google oder Apple anmelden, erhalten wir die für Authentifizierung und Profilbefüllung erforderlichen Daten vom gewählten Anbieter.

Passwort-Reset-Links laufen derzeit nach 1 Stunde ab. E-Mail-Verifikationslinks laufen derzeit nach 7 Tagen ab. Browser-Sessions sind derzeit auf 7 Tage ausgelegt und werden bei aktiver Nutzung verlängert.

5.2 Belegverarbeitung und OCR

Wenn Sie Belege oder Rechnungen hochladen, verarbeiten wir unterstützte Bildformate (JPEG/JPG, PNG, WebP, HEIC/HEIF), PDF-Dateien oder strukturierte CSV-Importe, erzeugen OCR- oder Importergebnisse und leiten daraus strukturierte Belegdaten ab. Für die OCR-gestützte Texterkennung bei Bild-Uploads nutzt snapsort die Google Cloud Vision API. Für die nachgelagerte Auswertung und Strukturierung nutzt snapsort Gemini von Google. Hierfür können hochgeladene Bilddateien, extrahierter Text oder daraus abgeleitete Bilddaten an Google übermittelt werden. Bei PDFs mit serverseitig extrahierbarem Text kann der Bild-OCR-Schritt übersprungen und nur der extrahierte Text an Gemini gesendet werden. Ergänzend erfolgen weitere lokale, regelbasierte und interne Verarbeitungsschritte innerhalb von snapsort. CSV-Importe werden über den gesonderten Importpfad validiert und in strukturierte Belegdaten überführt.

Originale Upload-Dateien werden nicht als dauerhaftes Belegbildarchiv gespeichert. Bei erfolgreicher OCR- und Persistenzverarbeitung löscht snapsort Originalbilder, PDF-Handoff-Dateien und OCR-Handoff-Objekte nach Abschluss der Verarbeitung. In Retry-, Fehler- oder Cleanup-Fällen können temporäre Upload-Dateien und OCR-Artefakte kurzzeitig weiter vorgehalten werden; die konfigurierten Cleanup-Pfade entfernen temporäre Upload-Dateien typischerweise innerhalb von 2 Stunden und temporäre OCR-Artefakte typischerweise innerhalb von 6 Stunden. Strukturierte Belegdaten, OCR-Text und Ihre manuellen Ergänzungen können bis zur Löschung durch Sie oder bis zur Kontolöschung in Ihrem Account verbleiben.

Zur Verbesserung von Parsing und Lokalisierung kann die App außerdem Locale- oder Länderhinweise verarbeiten, die Ihr Gerät oder Sie selbst bereitstellen.

OCR-Ergebnisse sind nicht garantiert korrekt. Bitte prüfen Sie extrahierte Inhalte vor jeder weiteren Nutzung.

5.3 Gruppen, Budgets, Exporte und Quotenlogs

Wenn Sie Gruppenfunktionen nutzen, werden die für die gemeinsame Ausgabenverwaltung erforderlichen Informationen mit eingeladenen oder anderweitig berechtigten Gruppenmitgliedern geteilt.

Exporte werden auf Anforderung erzeugt und zeitlich begrenzt zum Download oder E-Mail-Versand bereitgestellt. Premium-Exportzugang unterliegt Tarifgrenzen. Der aktuelle öffentliche Premium-Scope umfasst bis zu 10 erfolgreiche Exporte pro Kalendermonat. Zusätzliche Exportkapazität besteht nur, wenn gesonderte Bonus-Tokens oder ein anderer Tarif dies ausdrücklich vorsehen.

Außerdem verarbeiten wir Export- und Quotenereignisse, um Tarifgrenzen technisch durchzusetzen und Missbrauch zu verhindern.

5.4 Zahlungen und Abos

Für kostenpflichtige Web-Abonnements nutzen wir Stripe für Checkout, Abrechnung und Kundenportal. Zahlungsdaten bei Web-Abonnements werden direkt durch Stripe verarbeitet. Wir erhalten nur die Informationen, die wir für Aboverwaltung, Rechnungen, Zahlungsstatus und Streitfälle benötigen.

Für iOS-In-App-Käufe verarbeitet Apple den Kauf über den App Store bzw. StoreKit. Für Android-In-App-Käufe verarbeitet Google den Kauf über Google Play bzw. Play Billing. Für mobile Store-Abonnements verwenden wir RevenueCat, um den Abo-Status mit unserem Backend zu synchronisieren und Berechtigungen freizuschalten.

5.5 E-Mails und Support

Für transaktionale E-Mails wie Verifikation, Passwort-Reset, Export- oder Abonachrichten nutzen wir Resend. Wenn wir die transaktionale E-Mail-Infrastruktur ändern, aktualisieren wir diese Hinweise und die aktuellen Subprozessor-Informationen vor oder mit Inbetriebnahme.

6. Empfänger und Dienstleister

Je nach Nutzung können insbesondere folgende Empfänger beteiligt sein:

  • Hosting- und Speicherdienstleister für den Betrieb von snapsort,
  • Stripe für kostenpflichtige Web-Abonnements,
  • Apple App Store / StoreKit für iOS-In-App-Käufe,
  • Google Play / Play Billing für Android-In-App-Käufe,
  • RevenueCat für die Synchronisierung mobiler Store-Abonnements,
  • Google oder Apple, wenn Sie diese Login-Optionen wählen,
  • Google Cloud Vision API und Gemini von Google für die Belegverarbeitung,
  • Resend für transaktionale E-Mails,
  • Behörden, Gerichte oder sonstige rechtlich erforderliche Empfänger, soweit wir hierzu verpflichtet sind oder dies zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen erforderlich ist.

Die aktuelle Produktivumgebung läuft auf Hetzner-gehosteten Control-Plane- und Worker-Plane-Servern in Deutschland. Die aktuelle OCR-Eingabeübergabe nutzt S3-kompatiblen Object Storage in der Region `fsn1`. Soweit Archiv- oder Exportartefakte über den derzeit konfigurierten B2-Pfad gespeichert werden, ist dafür die Region `eu-central-003` hinterlegt.

Eine aktuelle Übersicht der eingesetzten Subprozessoren können Sie unter snapsort@loren-it.com anfordern.

7. Internationale Datenübermittlungen

Einige Anbieter können personenbezogene Daten außerhalb der EU bzw. des EWR verarbeiten, insbesondere in den USA. Soweit solche Übermittlungen stattfinden, stützen wir sie auf nach der DSGVO zulässige Garantien, etwa Standardvertragsklauseln und, soweit anwendbar, Angemessenheitsbeschlüsse oder vergleichbare rechtmäßige Übermittlungsmechanismen. Weitere Informationen oder eine Kopie bzw. Zusammenfassung der einschlägigen Garantien erhalten Sie auf Anfrage unter snapsort@loren-it.com.

8. Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies für den jeweiligen Zweck erforderlich ist. Maßgebliche Kriterien sind insbesondere:

| Datenkategorie | Regelfrist / Kriterium |

|----------------|------------------------|

| Account-, Profil-, Beleg-, Budget-, Gruppen- und strukturierte OCR-Daten | solange Ihr Account aktiv ist, sofern Sie Einträge nicht früher löschen |

| originale Upload-Bilder, PDF-Handoff-Dateien und OCR-Handoff-Objekte | bei erfolgreicher Verarbeitung nach OCR- und Persistenzabschluss gelöscht; in Retry-/Fehlerfällen temporär bis Cleanup |

| temporäre Upload-Dateien | typischerweise bis zu 2 Stunden, soweit nicht bereits nach erfolgreicher Verarbeitung gelöscht |

| temporäre OCR-Dateien und OCR-Artefakte | typischerweise bis zu 6 Stunden, soweit nicht bereits nach erfolgreicher Verarbeitung gelöscht |

| Exportarchive oder signierte Export-Bereitstellungen | bis zu 24 Stunden nach Erstellung |

| Passwort-Reset-Tokens | bis zu 1 Stunde |

| E-Mail-Verifikations-Tokens | bis zu 7 Tage |

| aktive Browser-Sessions | bis zu 7 Tage, bei Aktivität verlängert |

| zur Löschung vorgemerkte Accounts | endgültige Löschung nach 30 Tagen, sofern keine Wiederherstellung erfolgt |

| Rechnungs- und Zahlungsunterlagen | nach Maßgabe gesetzlicher Aufbewahrungspflichten |

9. Cookies, Local Storage und Zahlungs-Speicherungen

Für Kernfunktionen im Web verwenden wir technisch erforderliche Cookies, insbesondere:

| Name | Zweck | Dauer |

|------|-------|-------|

| `better-auth.session_token` | Anmeldung und Session-Verwaltung | abhängig von der Session-Laufzeit |

| `csrf_token` | Schutz vor CSRF-Angriffen | Sitzung |

Weitere Darstellungs- oder Komforteinstellungen können je nach Oberfläche auch im lokalen Browser- oder App-Speicher abgelegt werden. Wenn Sie in den Zahlungsprozess wechseln, kann Stripe eigene Cookies setzen oder Local Storage nutzen, soweit dies für Checkout, Abrechnung oder Kundenportal erforderlich ist.

Die öffentlichen Legal- und Pricing-Seiten benötigen keine Marketing-Cookies. Falls später Analyse- oder Marketing-Speicherungen eingeführt werden, erfolgt dies nur mit der rechtlich erforderlichen Einwilligung.

10. Sicherheit und Logs

Wir verwenden technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, insbesondere Zugriffsbeschränkungen, Session- und CSRF-Schutz, Transportverschlüsselung und sicherheitsrelevante Protokollierung.

In der aktuellen Hetzner-Produktivumgebung sind Container-Logs in der Laufzeitkonfiguration durch Rotation begrenzt (`10 MB` maximale Dateigröße, `5` Dateien je Dienst). Sicherheits- und Fehlerlogs werden im Übrigen nur für einen begrenzten Zeitraum entsprechend betrieblicher Erforderlichkeit und rechtlicher Anforderungen aufbewahrt. Diagnosemodi sollen Content-Logging in Produktion minimieren. Wenn in kontrollierten Fehlersituationen ausnahmsweise kurze Inhaltsausschnitte verarbeitet werden, ist der Zugriff auf autorisierte Personen beschränkt.

11. Ihre Rechte

Sie haben nach Maßgabe der anwendbaren Datenschutzgesetze insbesondere Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen.

Sie können die Löschung Ihres Accounts im eingeloggten Bereich anstoßen. Dabei wird der Account zur Löschung vorgemerkt, aktive Sitzungen werden beendet und die endgültige Löschung nach 30 Tagen eingeplant. Innerhalb dieser Frist kann der Account wiederhergestellt werden. Wenn Sie keinen Zugriff mehr auf den Account haben, können Sie uns unter snapsort@loren-it.com kontaktieren.

Sie haben außerdem das Recht, sich bei einer zuständigen Datenschutzaufsichtsbehörde zu beschweren.

12. Türkei-Zusatz (KVKK)

Soweit türkisches Datenschutzrecht anwendbar ist, dient diese Erklärung zugleich als KVKK-Hinweis. Die Verarbeitung kann insbesondere auf Vertragserforderlichkeit, gesetzlichen Pflichten, Rechtsdurchsetzung, berechtigten Interessen sowie - soweit erforderlich - ausdrücklicher Einwilligung beruhen. Auslandsübermittlungen können nach Art. 9 KVKK im gesetzlich zulässigen Rahmen erfolgen. Anfragen nach Art. 11 KVKK können an snapsort@loren-it.com gerichtet werden.

13. Kontakt und Änderungen

Bei Fragen zum Datenschutz erreichen Sie uns unter:

E-Mail: snapsort@loren-it.com

Support: support@loren-it.com

Wir können diese Erklärung aktualisieren, wenn sich Funktionen, Datenflüsse oder rechtliche Anforderungen ändern. Die jeweils aktuelle Fassung ist in der App und auf der Website verfügbar.

Zuletzt aktualisiert: 4/21/2026

Version: 1.2.7

App herunterladen

snapsort für iPhone und Android

App installieren und Scan, OCR und Budgets über Geräte hinweg synchron halten.

App StoreGoogle Play