Preise API Demo Vault Sicherheit
Dashboard testen
← Zurück zur Startseite
INTERNE DOKUMENTATION — NICHT ZUR VERÖFFENTLICHUNG BESTIMMT

📋 Verzeichnis von Verarbeitungstätigkeiten

Systematische Dokumentation aller Verarbeitungstätigkeiten personenbezogener Daten bei MintFolder AI

Hinweis: Diese Seite dokumentiert eine interne technische Selbstprüfung der im Quellcode von MintFolder AI implementierten Maßnahmen. Es handelt sich nicht um ein Testat, Gutachten oder eine Bescheinigung einer Wirtschaftsprüfungsgesellschaft, einer Datenschutzbehörde oder einer anderen fachkundigen Stelle. Die Dokumentation wurde mittels automatisierter Code-Analyse erstellt und dient der Transparenz gegenüber Kunden und Partnern.
Verantwortlicher (Art. 4 Nr. 7)
MintFolder AI UG (haftungsbeschränkt), vertreten durch Thaeer Sukay (Geschäftsführer)
Sudetenstr. 18, 35039 Marburg, DE
Kontakt Datenschutz
Erstellt am
23. April 2026
Version / Stand / Nächste Überprüfung
2.0 · Ergänzung: 5. Juli 2026 (IONOS AI Model Hub) · 23. April 2027
Dokument-ID
VVT-MF-2026-0319
Anzahl Verarbeitungstätigkeiten
9 (VT-01 bis VT-09)
VT-01

Dokumentenarchivierung (Kernfunktion)

Zweck der Verarbeitung
Automatische KI-gestützte Klassifizierung, Benennung und Archivierung von Dokumenten in Google Drive des Nutzers
Rechtsgrundlage
Art. 6(1)(b) DSGVO (Vertragserfüllung)
Kategorien betroffener Personen
Nutzer (B2C/B2B), Dritte (Absender/Empfänger in Dokumenten)
Kategorien personenbezogener Daten
  • Dokumenteninhalte (temporär im RAM/Disk)
  • Extrahierte Metadaten: Name, Datum, Absender, Empfänger, Betrag, IBAN, USt-ID, Kategorie
  • SHA-256 Hash, Archivpfad
Kategorien von Empfängern
IONOS SE — AI Model Hub (Rechenzentrum Berlin; Deutschland-Modus, schrittweise Einführung als Standard — keine Drittlandübermittlung); für noch nicht umgestellte Konten mehrstufige KI-Fallback-Kette (funktions- und verfügbarkeitsabhängig): Google Gemini, Anthropic Claude, OpenAI Ireland Limited (Vertrag) / OpenAI, LLC (Verarbeitung, USA); zusätzlich Google Drive (Nutzer-eigener Speicher); Hetzner Online GmbH (Object Storage, primärer Vault-Speicher für B2B-Dokumente, Falkenstein DE)
Übermittlung an Drittland
Deutschland-Modus (IONOS AI Model Hub): keine Drittlandübermittlung — Verarbeitung in Berlin (DE). Für noch nicht umgestellte Konten: USA — Google LLC, Anthropic PBC, OpenAI, LLC (verarbeitende Stelle; EU-Vertrag mit OpenAI Ireland Limited).
Rechtsgrundlage: EU-U.S. Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795 vom 10. Juli 2023) als primäre Transfergrundlage für DPF-zertifizierte Empfänger; Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO (Beschluss 2021/914) ergänzend.
Löschfristen
  • Dokumente: in der Regel unmittelbar nach Upload gelöscht / max. 30 Min. TTL
    api.py:303 _TASK_TTL_SEC=1800
  • Metadaten: bis Account-Löschung (verschlüsselt mit Fernet AES-128)
  • §147-AO-Daten: 6/8/10 Jahre je nach Dokumenttyp und Entstehungszeitpunkt pseudonymisiert bei Löschung (insb. 8 Jahre für bestimmte Buchungsbelege ab 2025 nach BEG IV; sonst je nach Einordnung 6 oder 10 Jahre)
TOMs (Art. 32 DSGVO)
Fernet AES-128 Feldverschlüsselung, TLS 1.3, DSGVO-Gatekeeper (Art. 9 Pre-Filter, 187 Schlüsselwörter in 7 Art.-9-Kategorien; Erkennung mit Grenzen), SQLite-Integritäts-Trigger, SHA-256 Hash-Chaining, Auto-Delete 30 Min., UUID4-Task-IDs, chmod 600
VT-02

Nutzerregistrierung & Authentifizierung

Zweck der Verarbeitung
Identifizierung und Authentifizierung der Nutzer über Telegram oder Google OAuth
Rechtsgrundlage
Art. 6(1)(b) DSGVO (Vertragserfüllung)
Kategorien betroffener Personen
Nutzer (B2C/B2B)
Kategorien personenbezogener Daten
  • B2C: Telegram-ID, Username, Vorname
  • B2B: E-Mail, Name, OAuth-Token (verschlüsselt), Passwort-Hash (Argon2id (OWASP 2024), mit automatischer Migration von PBKDF2)
Kategorien von Empfängern
Telegram FZ LLC (eigenständiger Verantwortlicher), Google LLC (OAuth)
Übermittlung an Drittland
UAE (Telegram) — Art. 49(1)(a) Einwilligung
USA (Google) — SCCs
Löschfristen
Bis Account-Löschung (/delete_account, DELETE /api/web/settings/account, DELETE /api/b2b/account)
TOMs (Art. 32 DSGVO)
OAuth 2.0, Fernet-verschlüsselte Tokens (chmod 600), HttpOnly/Secure/SameSite Cookies, HMAC-signierte Sessions, fail-fast bei fehlendem SESSION_SECRET
VT-03

KI-Analyse (Auftragsverarbeitung)

Zweck der Verarbeitung
Übermittlung von Dokumententext/-bild an KI-Anbieter zur Metadatenextraktion (Kategorie, Absender, Empfänger, Betrag, Datum)
Rechtsgrundlage
Art. 6(1)(b) + Art. 28 DSGVO (Auftragsverarbeitung)
Kategorien betroffener Personen
Nutzer, Dritte (in Dokumenten genannte Personen)
Kategorien personenbezogener Daten
  • Normal: Seitenbild oder OCR-Text
  • Sensibel (Art. 9): Ziel ist redaktierter Text ohne PII (DSGVO-Gatekeeper); vollständige Erkennung nicht garantiert
  • Prompt-Anweisung (keine personenbezogenen Daten)
Kategorien von Empfängern
  • IONOS SE — AI Model Hub (Rechenzentrum Berlin; Deutschland-Modus, schrittweise Einführung als Standard — keine Drittlandübermittlung)
  • Google LLC — Gemini API über Google AI Studio (USA-Endpunkt; je nach Funktion primär für noch nicht umgestellte Konten)
  • Anthropic PBC / OpenAI Ireland Limited (Vertrag) / OpenAI, LLC (Verarbeitung, USA) — Claude bzw. GPT-4o API (funktions- und verfügbarkeitsabhängig)
Übermittlung an Drittland
Deutschland-Modus (IONOS AI Model Hub): keine — Verarbeitung in Berlin (DE). Für noch nicht umgestellte Konten: USA — alle drei US-Anbieter (Google Gemini über Google AI Studio Endpunkt, USA).
Rechtsgrundlage: EU-U.S. Data Privacy Framework (Durchführungsbeschluss (EU) 2023/1795) als primäre Transfergrundlage + Standardvertragsklauseln (Beschluss 2021/914) ergänzend; DPAs mit allen Anbietern. Google: kein Training auf API-Daten. OpenAI: Zero Data Retention. Anthropic: Processor-Rolle bestätigt.
Löschfristen
KI-Anbieter: keine dauerhafte Speicherung (DPA-Regelung). Lokaler Server: Prompt/Response nur im RAM.
TOMs (Art. 32 DSGVO)
DSGVO-Gatekeeper (Art. 9 Pre-Filter, fail-closed, 187 keywords across 7 Art. 9 categories; technische Grenzen), TLS 1.3, DPAs mit allen Anbietern, Triple-Fallback mit Circuit Breakers (kein Single Point of Failure), 7 Prompt-Injection-Filter, AI-Output-Validation
VT-04

Zahlungsabwicklung

Zweck der Verarbeitung
Verarbeitung von Zahlungen für Credits (B2C via Telegram Stars) und Abonnements (B2B via Stripe)
Rechtsgrundlage
Art. 6(1)(b) DSGVO (Vertragserfüllung), Art. 6(1)(c) (§147 AO Aufbewahrungspflicht)
Kategorien betroffener Personen
Zahlende Nutzer (B2C und B2B)
Kategorien personenbezogener Daten
  • B2C: Telegram Stars Charge-ID, Credits-Betrag
  • B2B: Stripe Subscription-ID, Firmenname, E-Mail
  • Im Zahlungskontext kein Zugriff auf Bank- oder Kreditkartendaten (Telegram/Stripe wickeln die Zahlung eigenständig ab)
  • Hinweis: Bank- bzw. Kontodaten werden ausschließlich dann verarbeitet, wenn Sie die optionale finAPI-Bankintegration aktivieren — Einzelheiten hierzu in der Datenschutzerklärung (Abschnitt Bankkonto-/finAPI-Integration)
Kategorien von Empfängern
B2C: Telegram FZ LLC (eigenständig). B2B: Stripe Inc. (Auftragsverarbeiter).
Übermittlung an Drittland
UAE (Telegram), USA/EU (Stripe — SCCs + DPA)
Löschfristen
Transaktionsdaten: pseudonymisiert aufbewahrt (§147 AO). Personenbezogene Daten: bei Account-Löschung durch nicht-rückverfolgbaren Platzhalter ersetzt (Pseudonymisierung gem. Art. 4 Nr. 5 DSGVO). Finanzielle Ledger-Einträge bleiben als append-only erhalten (§147 AO).
TOMs (Art. 32 DSGVO)
Im Zahlungskontext kein Zugang zu Bankdaten (Telegram/Stripe wickeln ab); Bank-/Kontodaten nur bei aktivierter finAPI-Integration (separater Abschnitt). Idempotente Zahlungsverarbeitung (charge_id UNIQUE). Immutable Ledger (SQLite-Trigger). Pseudonymisierung bei Löschung. Crash-Recovery-Queue.
VT-05

E-Mail-Versand (Transaktionsmails)

Zweck der Verarbeitung
Versand von Team-Einladungen, Verifizierungscodes, Passwort-Resets und Kontaktnachrichten
Rechtsgrundlage
Art. 6(1)(b) DSGVO (Vertragserfüllung)
Kategorien betroffener Personen
Nutzer (B2B-Portal), eingeladene Teammitglieder
Kategorien personenbezogener Daten
E-Mail-Adresse, Name, Nachrichteninhalt, technische Metadaten
Kategorien von Empfängern
Brevo (Sendinblue) GmbH — Auftragsverarbeiter, Berlin, Deutschland
Übermittlung an Drittland
Nein — EU (Berlin). api.brevo.com/v3/smtp/email
Löschfristen
Bis Account-Löschung
TOMs (Art. 32 DSGVO)
AVV mit Brevo. TLS-verschlüsselter Versand. Sender: [email protected]
VT-06

Cookie/Consent-Protokollierung

Zweck der Verarbeitung
Nachweis der Einwilligung nach Art. 7 DSGVO und §25 TDDDG
Rechtsgrundlage
Art. 6(1)(c) DSGVO (Nachweispflicht Art. 7), §25 TDDDG
Kategorien betroffener Personen
Website-Besucher
Kategorien personenbezogener Daten
Anonyme Besucher-ID (visitor_id), Consent-Auswahl, Banner-Version, Zeitstempel, URL, User Agent, Land
Kategorien von Empfängern
Keine Weitergabe an Dritte
Übermittlung an Drittland
Nein
Löschfristen
12 Monate — automatische Bereinigung via scheduler.py:_consent_purge_loop
TOMs (Art. 32 DSGVO)
Anonyme Identifier. Keine Verknüpfung mit Nutzerkonto. Automatische Bereinigung.
VT-07

GoBD-Audit-Trail & Compliance

Zweck der Verarbeitung
Unveränderbare Protokollierung aller Archivänderungen für Betriebsprüfung (§§145–147 AO)
Rechtsgrundlage
Art. 6(1)(c) DSGVO (gesetzliche Verpflichtung §§145–147 AO)
Kategorien betroffener Personen
Nutzer (deren Archiveinträge protokolliert werden)
Kategorien personenbezogener Daten
Audit-Trail: Feld, alter Wert, neuer Wert, Zeitstempel, User-ID, IP (redaktiert in Logs), User Agent. SHA-256 Hash-Chain.
Kategorien von Empfängern
Betriebsprüfer (Z3-Export auf behördliche Anfrage)
Übermittlung an Drittland
Nein (lokale SQLite-Datenbank auf Server Deutschland (Berlin))
Löschfristen
Aufbewahrungsfrist gemäß §147 AO (6/8/10 Jahre je nach Dokumenttyp und Entstehungszeitpunkt; inkl. 8 Jahre für bestimmte Buchungsbelege ab 2025 nach BEG IV). Bei Account-Löschung: Pseudonymisierung der PII, Finanzfelder bleiben erhalten.
TOMs (Art. 32 DSGVO)
SQLite-Integritäts-Trigger (unveränderbar, löschgeschützt). SHA-256 Hash-Chaining (seal_audit_chain, alle 5 Min.). Integritätsprüfung per Knopfdruck. Chronologischer Guard verhindert rückdatierte Einträge. Z3-Export für Betriebsprüfungen.
VT-08

E-Rechnung-Validierung (Eingang & Ausgang) — Sprint 6 (#966)

Zweck der Verarbeitung
Prüfung eingehender und ausgehender elektronischer Rechnungen gegen die EN16931-Geschäftsregeln (Schematron) zur Erfüllung der E-Rechnungs-Empfangspflicht und der §14-UStG-Anforderungen.
Rechtsgrundlage
Art. 6(1)(c) DSGVO (gesetzliche Verpflichtung §14 UStG, E-Rechnungs-Mandat), Art. 6(1)(b) DSGVO (Vertragserfüllung).
Kategorien betroffener Personen
Nutzer (Rechnungssteller/-empfänger), Dritte (in Rechnungen genannte Geschäftspartner)
Kategorien personenbezogener Daten
Firmenname, Anschrift, USt-ID, Rechnungsbeträge, Positionen, Datumsangaben, Bankverbindung (IBAN) aus dem Rechnungs-XML (CII bzw. UBL)
Validierungsverfahren
  • Eingehend: EN16931-Schematron-Prüfung via factur-x (CII/ZUGFeRD/XRechnung-CII) — services/e_rechnung.py
  • Ausgehend: XRechnung CII via saxonche (Schematron) — services/invoice_generator.py
  • Keine XSD-Validierung (für CII-Elementreihenfolge bewusst ausgelassen; Schematron ist die maßgebliche §14-UStG-Geschäftsregelprüfung)
  • XRechnung-CIUS/BR-DE-Prüfung (KoSIT) wird beim Finalisieren zusätzlich ausgeführt und am Beleg vermerkt (warn-first); noch keine harte Sperre — die EN 16931-Schematron-Prüfung bleibt das blockierende Gate
Verarbeitungslogik (Eingang vs. Ausgang)
  • Eingehende E-Rechnung: wird mit Validierungsergebnis markiert (e_rechnung_validation_status / _errors) und zur Wahrung der Vollständigkeit (§147 AO) immer archiviert — bei Schematron-Verstoß nicht verworfen.
  • Ausgehende Rechnung: nur der Finalize-Vorgang wird bei einem Schematron-Verstoß mit HTTP 422 abgelehnt.
Kategorien von Empfängern
Intern (lokale Verarbeitung). Keine Übermittlung an Dritte zur Validierung.
Übermittlung an Drittland
Nein (lokale Verarbeitung auf Server Deutschland (Berlin)/Falkenstein DE)
Löschfristen
Aufbewahrungsfrist gemäß §147 AO — 8 Jahre für Buchungsbelege/Rechnungen (seit 2025-01-01, BEG IV; sonst je nach Einordnung 6 oder 10 Jahre). Validierungsstatus bleibt am archivierten Beleg erhalten.
TOMs (Art. 32 DSGVO)
EN16931-Schematron-Validierung (factur-x eingehend, saxonche/XRechnung-CII ausgehend), HTTP 422 bei ungültigem Finalize ausgehend, Vollständigkeitsarchivierung eingehend, append-only Rechnungstabellen, SQLite-Integritäts-Trigger
VT-09

GDPdU/Z3-Betriebsprüfungs-Export (Audicon) — Sprint 6 (#967)

Zweck der Verarbeitung
Bereitstellung eines GDPdU-konformen Datenexports (Z3-Datenträgerüberlassung) für die Betriebsprüfung nach dem Audicon-Beschreibungsstandard.
Rechtsgrundlage
Art. 6(1)(c) DSGVO (gesetzliche Verpflichtung §§145–147 AO, GDPdU/GoBD-Datenzugriff Z3).
Kategorien betroffener Personen
Nutzer (deren steuerrelevante Datensätze exportiert werden), Dritte (Geschäftspartner in den exportierten Belegen)
Kategorien personenbezogener Daten
Strukturierte Buchungs-/Belegdaten: Beträge, Steuerkategorien, Buchungsdaten, Belegnummern, Geschäftspartnernamen
Exportformat
  • index.xml + gdpdu-01-08-2002.dtd + journal.csv (Audicon-Beschreibungsstandard)
  • Implementierung: services/export/gdpdu.py
Kategorien von Empfängern
Betriebsprüfer (Z3-Datenträgerüberlassung auf behördliche Anfrage; Empfänger, nicht Auftragsverarbeiter)
Übermittlung an Drittland
Nein — Export wird dem Nutzer bzw. der Finanzbehörde bereitgestellt; lokale Erzeugung auf Server DE.
Löschfristen
Exportdateien sind flüchtig (auf Anfrage erzeugt, nicht dauerhaft serverseitig gespeichert). Zugrundeliegende Belege: §147 AO (8 Jahre für Buchungsbelege/Rechnungen seit 2025-01-01, BEG IV; sonst 6 oder 10 Jahre je nach Einordnung).
TOMs (Art. 32 DSGVO)
On-demand-Erzeugung ohne dauerhafte Speicherung, DTD-konformer Strukturexport (Audicon-Beschreibungsstandard), authentifizierter Zugriff, Audit-Protokollierung der Export-Aktion (Verknüpfung zu VT-07)
ANLAGE A

Auftragsverarbeiter-Verzeichnis (Art. 28 DSGVO)

AnbieterRolleStandortZweckDPA/AVVDrittland-Transfer
IONOS SE — AI Model HubAuftragsverarbeiterDeutschland (Berlin)KI-Dokumentenanalyse im Deutschland-Modus (schrittweise Einführung als Standard); zustandslos, kein Training laut AnbieterbedingungenAVV (Art. 28 DSGVO)Keine Drittlandübermittlung (EU-Verarbeitung)
Google LLCAuftragsverarbeiterUSAGemini API über Google AI Studio (KI-Analyse, USA-Endpunkt), Google Drive (Nutzer-Speicher), OAuthGoogle Cloud DPA, SCCsUSA — EU-U.S. DPF (Durchführungsbeschluss (EU) 2023/1795) primär + Art. 46 Abs. 2 lit. c DSGVO (SCCs, Beschluss 2021/914) ergänzend
Anthropic PBCAuftragsverarbeiterUSAClaude API (KI-Fallback)Anthropic Commercial TermsUSA — EU-U.S. DPF (Beschluss 2023/1795) primär + Art. 46 Abs. 2 lit. c DSGVO (SCCs) ergänzend
OpenAI Ireland Limited (EU-Vertrag) / OpenAI, LLC (US-Verarbeitung)Auftragsverarbeiter (zweistufig: EU-Vertragspartner mit US-Unterauftragsverarbeiter)Dublin, IE / San Francisco, USAGPT-4o API (KI-Fallback) mit Zero Data Retention (`store=False`)OpenAI DPAUSA — Art. 46 Abs. 2 lit. c DSGVO (SCCs, Beschluss 2021/914) primär + EU-U.S. DPF (Durchführungsbeschluss (EU) 2023/1795) soweit zertifiziert. Stand 2026-06-09.
Stripe Inc.AuftragsverarbeiterUSA/EUB2B-ZahlungsabwicklungStripe DPA, SCCsUSA — Art. 46 DSGVO
Brevo GmbHAuftragsverarbeiterBerlin, DETransaktionsmailsBrevo AVVKein Drittland
Telegram FZ LLCEigenst. VerantwortlicherDubai, UAEBot-Plattform, Stars-ZahlungTelegram ToSUAE — Art. 49(1)(a)
IONOS SEHosting-ProviderBerlin, DEServer-InfrastrukturIONOS AVVKein Drittland
Hetzner Online GmbH (Object Storage)AuftragsverarbeiterFalkenstein, DEPrimärer Vault-Live-Speicher für B2B-Dokumente (S3-kompatibles Object Storage). Serverseitige Verschlüsselung at rest (AES-256) durch Hetzner; anwendungsseitige Verschlüsselung der Dateiinhalte in Engineering-Roadmap.Hetzner AVVKein Drittland
Microsoft Ireland Operations Ltd / Microsoft CorporationAuftragsverarbeiterDublin, IE (primär) / USA (Control-Plane)OneDrive-Integration über Microsoft Graph (Files.ReadWrite-Scope); Aktivierung ausschließlich durch ausdrückliche Nutzer-OAuth-Verbindung. Verarbeitet OAuth-Refresh-Tokens (verschlüsselt), Datei-Metadaten, Datei-Inhalte bei expliziter Synchronisation.Microsoft Products and Services DPA + SCCs (Annex II)EU primär (Microsoft EU Data Boundary); USA nur eingeschränkt für Control-Plane — Art. 46 Abs. 2 lit. c DSGVO
Zoho Corporation Pvt. Ltd. (EU-Vertragspartner: Zoho Corporation B.V., Niederlande)AuftragsverarbeiterEU-Rechenzentrum, Niederlande (smtppro.zoho.eu)SMTP-Relay für externe GoBD-Attestation-E-Mails (Audit-Trail-Hashes); verarbeitet interne Empfänger-E-Mail und Hash-Werte. Kein Versand an Endkunden.Zoho DPA (zoho.com/privacy/gdpr.html)EU-Rechenzentrum (NL); Konzern USA/IN durch DPA/SCCs abgedeckt
Cloudflare Germany GmbH (EU-Vertragspartner) / Cloudflare, Inc. (USA, technischer Betreiber)AuftragsverarbeiterEU-PoPs bevorzugt; San Francisco, USA (Control-Plane)CDN, Reverse-Proxy, DDoS-Schutz, TLS-Terminierung; technisch notwendige Übermittlung der IP-AdresseCloudflare Data Processing Addendum + SCCsUSA — Art. 46 Abs. 2 lit. c DSGVO (SCCs); EU-PoPs bevorzugt geroutet
Sentry, Inc.AuftragsverarbeiterSan Francisco, USAFehler- und Betriebstelemetrie (Stack-Traces, Request-Pfade, Zeitstempel, technische Metadaten); send_default_pii=False unterdrückt personenbezogene Daten vor ÜbertragungSentry DPA + SCCs (sentry.io/dpa/)USA — Art. 46 Abs. 2 lit. c DSGVO (SCCs)
Marburg, 23. April 2026
Thaeer Sukay
Geschäftsführer · MintFolder AI UG (haftungsbeschränkt) · Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO
VVT-MF-2026-0319 · Version 2.0 · Ergänzung 05.07.2026

Für ein rechtsverbindliches Testat wenden Sie sich an eine zugelassene Wirtschaftsprüfungsgesellschaft (z.B. nach IDW PS 880 für GoBD oder ISO 27001 für Informationssicherheit).

Interne Dokumentation · Kein Testat · Stand: 5. Juli 2026 (Ergänzung IONOS AI Model Hub) · Version 2.0