Datenschutzerklärung
Stand: 14. Juni 2026
Der Schutz deiner Daten ist uns wichtig. Diese Datenschutzerklärung informiert dich nach Art. 13 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten wir bei der Nutzung der App Fiscara, der zugehörigen Backend-Dienste sowie unserer Website fiscara.app verarbeiten und welche Rechte dir zustehen.
Fiscara ist ein Werkzeug zur Erfassung und Strukturierung von Bewirtungsbelegen. Es ist „local-first“ aufgebaut: Deine Belege und Stammdaten liegen standardmäßig verschlüsselt auf deinem Gerät. Eine Übertragung an unsere Server erfolgt nur, wenn du dich anmeldest und die Synchronisation nutzt, die optionale Cloud-Erkennung ausdrücklich aktivierst oder uns über die App Feedback sendest.
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:
VisionByte GmbH
Astheimer Straße 31
65428 Rüsselsheim am Main, Deutschland
Geschäftsführer: Alexander Wörl & Leon Block
Handelsregister: HRB 109063, Amtsgericht Darmstadt
E-Mail Datenschutz: privacy@fiscara.app
Allgemein: info@fiscara.app
Einen Datenschutzbeauftragten haben wir nicht bestellt, da hierfür die gesetzlichen Voraussetzungen nicht vorliegen. Für alle Anliegen zum Datenschutz erreichst du uns unter der oben genannten E-Mail-Adresse.
2. Zuständige Aufsichtsbehörde
Die für uns zuständige Datenschutz-Aufsichtsbehörde ist:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163, 65021 Wiesbaden
datenschutz.hessen.de
3. Verarbeitung in der App Fiscara
3.1 Lokale Verarbeitung auf deinem Gerät
Wenn du Belege scannst und erfasst, werden die Daten zunächst ausschließlich lokal auf deinem Gerät gespeichert und verarbeitet. Dazu gehören insbesondere:
- Belegdaten: Name und Anschrift des Restaurants, Datum, Steuersätze und Beträge, Trinkgeld, Bewirtungsart, Anlass/Zweck der Bewirtung, Projektbezeichnung, Belegbild und ggf. eine handschriftliche Unterschrift.
- Teilnehmer und Kontakte: Namen sowie optional Firma und Funktion der an der Bewirtung beteiligten Personen.
- Stammdaten (Profil): Name, Firmenname, Rechtsform, Kleinunternehmer-Status, Anschrift und Steuernummer/USt-IdNr.
- Anlass-Vorlagen sowie erzeugte Beleg-PDFs.
Die Texterkennung (OCR) und die KI-gestützte Strukturierung der Belegdaten finden – soweit dein Gerät dies unterstützt – direkt auf dem Gerät statt (u. a. mittels der Apple-Frameworks Vision und Foundation Models). In diesem Fall verlassen weder das Belegbild noch dessen Inhalte dein Gerät.
Die lokalen Daten werden durch die Geräteverschlüsselung von iOS (FileProtection) geschützt. Rechtsgrundlage für diese geräteinterne Verarbeitung ist die Bereitstellung der von dir gewünschten App-Funktionen, Art. 6 Abs. 1 lit. b DSGVO.
3.2 Nutzerkonto und Anmeldung
Für die Synchronisation und Team-Funktionen kannst du ein Nutzerkonto anlegen. Zur Anmeldung stehen dir mehrere Verfahren zur Verfügung:
- Anmelden mit Apple (Sign in with Apple): Wir erhalten von Apple eine pseudonyme Nutzerkennung sowie – je nach deiner Auswahl – deine E-Mail-Adresse (ggf. als anonymisierte Weiterleitungsadresse) und deinen Anzeigenamen.
- Passkey (WebAuthn/FIDO2): Es werden ein öffentlicher Schlüssel und eine Anmeldekennung gespeichert. Der private Schlüssel verbleibt stets auf deinem Gerät bzw. in deinem Schlüsselbund.
- E-Mail-Einmalcode (OTP): Wir senden einen sechsstelligen Code an deine E-Mail-Adresse. Wir speichern hiervon nur einen Hashwert des Codes für kurze Zeit.
Zur Verwaltung deiner Sitzung verarbeiten wir Zugriffs- und Aktualisierungs-Token (Letztere nur als Hashwert) sowie zur Sicherheit den verwendeten Gerätetyp und das ungefähre Herkunftsland (aus der IP-Adresse abgeleitet). Die E-Mail-Adresse speichern wir, soweit vorhanden, zur Identifikation deines Kontos. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie hinsichtlich der Sicherheitsmerkmale Art. 6 Abs. 1 lit. f DSGVO.
3.3 Synchronisation in die Cloud
Meldest du dich an, kannst du deine Belege, Kontakte, Vorlagen und dein Profil zwischen deinen Geräten synchronisieren. Die genannten Daten werden dabei auf unseren Servern (siehe Ziffer 6) gespeichert, damit sie geräteübergreifend verfügbar sind und gesichert werden. Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags, Art. 6 Abs. 1 lit. b DSGVO. Die Synchronisation ist optional und nur bei angemeldetem Konto aktiv.
3.4 KI-Belegerkennung in der Cloud
Die KI-gestützte Belegerkennung ist Bestandteil der App-Leistung und standardmäßig aktiv, da sie Beträge, Steuersätze und weitere Angaben am zuverlässigsten erkennt. Ist sie aktiv, wird das jeweilige Belegbild über unseren Server an einen auf Texterkennung spezialisierten Cloud-Dienstleister in einem Rechenzentrum innerhalb der EU (Niederlande) übermittelt und dort zur Extraktion der Belegdaten verarbeitet.
Das Belegbild wird hierbei nur vorübergehend verarbeitet und weder von uns noch von dem Dienstleister dauerhaft gespeichert; die Inhalte werden nach den vertraglichen Vereinbarungen (Auftragsverarbeitung) nicht zum Training von KI-Modellen verwendet. Auf unseren Servern protokollieren wir lediglich technische Metadaten (z. B. Bildgröße und Verarbeitungsdauer), nicht aber die Beleginhalte.
Rechtsgrundlage ist die Erfüllung des Nutzungsvertrags nach Art. 6 Abs. 1 lit. b DSGVO; die KI-Erkennung ist Teil der von dir genutzten Leistung. Du kannst die Cloud-Erkennung jederzeit in den App-Einstellungen deaktivieren – die Belegerkennung erfolgt dann, soweit dein Gerät dies unterstützt, ausschließlich lokal auf deinem Gerät.
3.5 Belege mit Daten weiterer Personen
Bewirtungsbelege enthalten naturgemäß Angaben zu Teilnehmern (z. B. deren Namen). Wenn du solche Belege erfasst, synchronisierst oder zur Cloud-Erkennung freigibst, verarbeitest du Daten dieser Personen. Wir verarbeiten diese Daten in unserem Auftrag bzw. zur Vertragserfüllung und zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. b und f DSGVO). Bitte erfasse nur die für den steuerlichen Nachweis erforderlichen Angaben (Grundsatz der Datenminimierung). Für die Information dieser Personen bist du als Nutzer mitverantwortlich.
3.6 Team- und Firmenfunktionen
Du kannst Firmen-Arbeitsbereiche anlegen und weitere Personen per Einladung hinzufügen. Hierbei verarbeiten wir die Firmenbezeichnung, die Mitgliedschaften und Rollen sowie zur Versendung von Einladungen ggf. die E-Mail-Adresse der eingeladenen Person. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Innerhalb eines Firmen-Arbeitsbereichs sind bestimmte Daten (z. B. Kontakte und Vorlagen) für die Mitglieder gemeinsam sichtbar.
3.7 Sicherheit, Missbrauchsabwehr und Protokolle
Zur Absicherung unserer Dienste setzen wir das Apple-Verfahren „App Attest“ ein, mit dem geprüft wird, dass Anfragen von einer echten, unveränderten App-Instanz stammen. Hierfür speichern wir eine gerätegebundene Schlüsselkennung. Zudem protokollieren unsere Server technische Ereignisse (z. B. Zeitpunkt, aufgerufene Funktion, Status), wobei wir Kennungen pseudonymisieren und keine Beleginhalte protokollieren. Rechtsgrundlage ist unser berechtigtes Interesse an der Sicherheit, Stabilität und Missbrauchsabwehr, Art. 6 Abs. 1 lit. f DSGVO.
3.8 Feedback & Wünsche
In der App kannst du uns über die Funktion „Feedback & Wünsche“ freiwillig Rückmeldungen senden (z. B. Fehlerberichte, Verbesserungswünsche, Fragen oder Lob). Dabei verarbeiten wir:
- Deine Angaben: die gewählte Kategorie und deinen Nachrichtentext sowie – sofern du sie angibst – eine Kontakt-E-Mail-Adresse für die Beantwortung. Die Angabe der E-Mail-Adresse ist optional; du kannst Feedback auch anonym senden.
- Bei angemeldetem Konto zusätzlich: deinen Namen, deine Konto-E-Mail-Adresse und den Namen deiner aktiven Firma, damit wir dein Anliegen zuordnen und dich bei Rückfragen erreichen können.
- Technische Diagnoseangaben: App- und iOS-Version, Gerätemodell und Spracheinstellung. Belegbilder oder Finanzdaten werden dabei nicht übertragen.
Wir nutzen diese Daten ausschließlich, um dein Feedback zu bearbeiten, dir gegebenenfalls zu antworten und unsere App zu verbessern. Zur internen Benachrichtigung über neues Feedback setzen wir unseren E-Mail-Versanddienstleister ein (siehe Ziffer 6). Rechtsgrundlage ist unser berechtigtes Interesse an der Bearbeitung deines Anliegens und der Verbesserung unserer Dienste, Art. 6 Abs. 1 lit. f DSGVO. Eine Nutzung deiner Kontaktdaten zu Werbezwecken erfolgt nicht.
4. Nutzung unserer Website fiscara.app
4.1 Server-Logfiles
Beim Aufruf unserer Website werden durch den Hosting-Anbieter automatisch Informationen in Server-Logfiles erfasst, die dein Browser übermittelt (z. B. IP-Adresse, Datum und Uhrzeit, aufgerufene Seite, Browsertyp). Dies ist technisch erforderlich, um die Website auszuliefern und ihre Stabilität und Sicherheit zu gewährleisten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Die Logfiles werden nach kurzer Zeit gelöscht.
4.2 Reichweitenmessung mit Umami
Zur statistischen Auswertung der Websitenutzung verwenden wir Umami, eine von uns selbst gehostete Analyse-Software. Umami arbeitet cookielos und ohne geräteübergreifendes Tracking; es werden keine Informationen in deinem Endgerät gespeichert oder ausgelesen, die nicht unbedingt erforderlich sind (§ 25 Abs. 2 TDDDG). Es werden keine Daten an Dritte übermittelt; die Auswertung erfolgt anonymisiert und lässt keine Rückschlüsse auf einzelne Personen zu. Rechtsgrundlage ist unser berechtigtes Interesse an einer bedarfsgerechten Gestaltung unserer Website, Art. 6 Abs. 1 lit. f DSGVO. Ein Cookie-Banner ist hierfür nicht erforderlich.
5. App-Berechtigungen
Die App fragt nur die Berechtigungen ab, die für ihre Funktionen erforderlich sind:
- Kamera: zum Scannen deiner Bewirtungsbelege.
- Face ID / Touch ID: ausschließlich zur optionalen lokalen Entsperrung der App. Biometrische Daten werden hierbei vom Betriebssystem verarbeitet und weder von uns gespeichert noch übertragen.
6. Empfänger und Auftragsverarbeiter
Wir setzen sorgfältig ausgewählte Dienstleister ein, die Daten ausschließlich in unserem Auftrag und nach unseren Weisungen verarbeiten (Auftragsverarbeitung nach Art. 28 DSGVO). Mit diesen haben wir entsprechende Verträge geschlossen:
- Hosting-Dienstleister (Rechenzentren in Deutschland) – Betrieb unserer Server, Datenbank und der gespeicherten Belegbilder sowie der Website.
- Auf Texterkennung spezialisierter Cloud-Dienstleister – KI-Belegerkennung in einer EU-Region, ausschließlich bei aktivierter Cloud-Erkennung (siehe Ziffer 3.4).
- E-Mail-Versanddienstleister – Versand von Transaktions-E-Mails (z. B. Einmalcodes und Einladungen) sowie interne Benachrichtigungen über eingegangenes App-Feedback.
- Apple– Bereitstellung über den App Store, „Anmelden mit Apple“, App Attest sowie Abwicklung etwaiger Abonnements (siehe Ziffer 8).
Eine vollständige Liste der von uns eingesetzten Auftragsverarbeiter mit namentlicher Nennung stellen wir dir auf Anfrage unter privacy@fiscara.app zur Verfügung.
7. Übermittlung in Drittländer
Wir verarbeiten deine Daten grundsätzlich innerhalb der Europäischen Union. Den für die optionale Cloud-Erkennung eingesetzten Dienstleister nutzen wir gezielt in einer EU-Region. Da dieser Dienstleister zu einem Konzern mit Sitz in den USA gehört, kann im Einzelfall ein Zugriff aus einem Drittland nicht vollständig ausgeschlossen werden. Für diesen Fall ist die Übermittlung durch die von der EU-Kommission erlassenen Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) sowie ergänzende Schutzmaßnahmen abgesichert. Eine Kopie der Garantien stellen wir dir auf Anfrage zur Verfügung.
8. Abonnements (Apple In-App-Kauf)
Sofern du ein kostenpflichtiges Abonnement abschließt, erfolgt dies über den In-App-Kauf von Apple. Die Zahlungsabwicklung übernimmt ausschließlich Apple; wir erhalten keine Zahlungsdaten wie Kreditkartennummern, sondern nur die Information, ob ein Abonnement aktiv ist. Es gelten ergänzend die Datenschutzbestimmungen von Apple.
9. Speicherdauer
- Lokale Daten auf deinem Gerät bleiben gespeichert, bis du sie löschst oder die App entfernst.
- Synchronisierte Daten auf unseren Servern speichern wir, bis du sie löschst bzw. dein Konto löschst (siehe Ziffer 10).
- E-Mail-Einmalcodes werden nach kurzer Zeit (wenige Minuten), spätestens nach erfolgreicher Anmeldung gelöscht.
- Sitzungs-Token laufen automatisch ab und werden regelmäßig erneuert.
- Protokoll-/Logdaten werden nur kurzfristig vorgehalten.
- Feedback mit personenbezogenen Kontaktdaten (Name/E-Mail) anonymisieren oder löschen wir spätestens 12 Monate nach Erledigung deines Anliegens; anonymes Feedback bewahren wir zur Produktverbesserung auf.
Bitte beachte: Für steuerlich relevante Belege treffen dich als Unternehmer gesetzliche Aufbewahrungspflichten (z. B. nach GoBD und Abgabenordnung). Für die Einhaltung dieser Pflichten und eine entsprechende Sicherung deiner Belege bist du selbst verantwortlich.
10. Konto- und Datenlöschung
Du kannst dein Nutzerkonto jederzeit direkt in der App löschen. Mit der Löschung entfernen wir die zu deinem Konto gehörenden, auf unseren Servern gespeicherten Daten und widerrufen die mit „Anmelden mit Apple“ verbundenen Zugriffstoken. Lokale Daten kannst du unabhängig davon in der App oder durch Deinstallation entfernen.
11. Deine Rechte
Dir stehen nach der DSGVO insbesondere folgende Rechte zu:
- Auskunft über die zu dir verarbeiteten Daten (Art. 15 DSGVO),
- Berichtigung unrichtiger Daten (Art. 16 DSGVO),
- Löschung (Art. 17 DSGVO),
- Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Datenübertragbarkeit (Art. 20 DSGVO),
- Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen (Art. 21 DSGVO).
Soweit eine Verarbeitung ausnahmsweise auf einer Einwilligung beruht, kannst du diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Cloud-Belegerkennung kannst du zudem jederzeit in den App-Einstellungen deaktivieren. Zur Ausübung deiner Rechte genügt eine Nachricht an privacy@fiscara.app.
Unabhängig davon hast du das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO), insbesondere bei der unter Ziffer 2 genannten Behörde.
12. Keine automatisierte Entscheidung im Einzelfall
Eine automatisierte Entscheidungsfindung einschließlich Profiling mit dir gegenüber rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung im Sinne des Art. 22 DSGVO findet nicht statt. Die KI-Belegerkennung dient allein der Extraktion von Belegdaten, die du anschließend selbst prüfst und freigibst.
13. Pflicht zur Bereitstellung
Die Bereitstellung deiner Daten ist gesetzlich nicht vorgeschrieben, für die Nutzung der jeweiligen Funktionen jedoch erforderlich. Ohne ein Konto kannst du Synchronisation und Team-Funktionen nicht nutzen; ohne die jeweils erforderlichen Belegangaben kann kein vollständiger Bewirtungsbeleg erstellt werden.
14. Datensicherheit
Wir treffen technische und organisatorische Maßnahmen zum Schutz deiner Daten. Dazu gehören die verschlüsselte Übertragung (TLS), die verschlüsselte Ablage auf dem Gerät (FileProtection und Schlüsselbund), die Speicherung von Token nur als Hashwert sowie die Geräteintegritätsprüfung mittels App Attest.
15. Änderungen dieser Datenschutzerklärung
Wir passen diese Datenschutzerklärung an, wenn sich unsere Dienste oder die Rechtslage ändern. Es gilt die jeweils auf dieser Seite veröffentlichte Fassung.