M Mandavo
Loslegen
Funktionen Preise Sicherheit
Rechtliches

Datenschutzerklärung

Zuletzt aktualisiert: 9. Mai 2026

Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten Mandavo erhebt, wie wir sie nutzen und welche Wahlmöglichkeiten Sie haben. Wir richten uns nach der EU-Datenschutz-Grundverordnung (DSGVO) und entsprechenden Gesetzen in Österreich und Deutschland.

1. Wer ist der Verantwortliche?

Für Daten, die ein Mandant in den Mandanten einer Kanzlei hochlädt, ist die Kanzlei der Verantwortliche und wir (Mandavo) der Auftragsverarbeiter – wir handeln auf Weisung der Kanzlei im Rahmen des Dienstes.

Für Kontodaten, die wir direkt erfassen (z. B. bei der Anmeldung einer Kanzlei), sind wir der Verantwortliche.

2. Was wir erheben

Kontodaten

  • Name, E-Mail, Sprache, Länderpräferenz;
  • gehashtes Passwort, Wiederherstellungscodes (sofern 2FA aktiviert);
  • IP-Adresse, User-Agent und Zeitstempel von Anmelde-/Abmelde-/Fehlanmeldungs-Ereignissen.

Kanzleidaten

  • Kanzleiname, Adresse, Kontaktdaten;
  • USt-Nummer, Steuernummer, Registereinträge — diese sensiblen Identifikatoren sind im Ruhezustand verschlüsselt;
  • Einstellungen, Branding, Aufbewahrungsregeln, Urlaubsregelungen, Feiertagskalender.

Mandanten- und Betriebsdaten

  • hochgeladene Dokumente (auf einem privaten Speicher, nie öffentlich zugänglich);
  • Dokumenten-Metadaten, Nachrichten-Threads, Fristen, Aufgaben, Perioden, Audit-Einträge;
  • Zeiterfassungseinträge, Anwesenheitsereignisse, Stundenzettel, Urlaubsanträge, Krankenstandsdaten (nur administrative Daten – siehe Abschnitt 4);
  • Rechnungen, Kunden und die SHA-256-Prüfsummen jedes Exportpakets.

Abrechnungsdaten

  • Stripe-Kunden-ID, Zahlungsmethode, letzte vier Kartenstellen, Ablauf der Testphase – vollständige Kartennummern werden nie auf unseren Servern gespeichert.

3. Rechtsgrundlage (Art. 6 DSGVO)

  • Vertrag – zur Bereitstellung des von Ihnen abonnierten Dienstes;
  • Rechtliche Verpflichtung – für steuerliche, buchhalterische und Audit-Aufbewahrungspflichten;
  • Berechtigtes Interesse – für Produktsicherheit, Betrugsprävention, Audit-Protokolle und aggregierte Nutzungsanalyse;
  • Einwilligung – wenn Sie sich aktiv für bestimmte Benachrichtigungen oder optionale Funktionen entscheiden.

4. Daten besonderer Kategorien – Krankenstand & Gesundheit

Mandavo erhebt keine medizinischen Diagnosen. Krankenstandsdatensätze enthalten nur administrative Arbeitsunfähigkeitsdaten – Beginn, voraussichtliches Ende, Bescheinigungspflicht-Flag und ein Notizfeld für administrativen Kontext. Das Schema hat keine Spalten für Diagnose / Krankheit / Symptome, und die Service-Schicht weist jede Übergabe zurück, die diese einzuschmuggeln versucht.

Als Anhang hochgeladene ärztliche Bescheinigungen werden auf demselben privaten Speicher wie andere Dokumente abgelegt und sind nie öffentlich erreichbar.

5. Verschlüsselung & Isolation

  • TLS 1.2+ in der Übertragung für jede Webanfrage.
  • Authentifizierte Verschlüsselung im Ruhezustand für sensible Identifikatoren (USt-Nummer, Steuernummer, Mandanten-Identifikatorwerte).
  • Mandantentrennung wird durch einen globalen Kanzlei-Scope auf jedem Modell mit Kanzleidaten erzwungen.
  • Dokumenten-Downloads erfolgen über signierte, zeitlich begrenzte URLs.

6. Aufbewahrung

Kanzleieigene Aufbewahrungsregeln bestimmen, wie lange Dokumente nach Kategorie und Land gespeichert werden. Ein nächtlicher Purger löscht oder anonymisiert Dokumente nach Ablauf der Frist – außer solche, die unter einer aktiven rechtlichen Sperre stehen.

Audit-Einträge werden für die Lebensdauer des Kanzleikontos aufbewahrt. Log-Shipping in einen separaten, unveränderlichen Speicher ist auf Anfrage in höherwertigen Tarifen verfügbar.

7. Ihre Rechte (Art. 15–22 DSGVO)

  • Auskunft (Art. 15) — Einen JSON-Export der über Sie gespeicherten Daten anfordern, inklusive Dokumente, Nachrichtenverlauf, Benachrichtigungseinstellungen und Rollen. Der Dienst hat dafür einen eingebauten Workflow.
  • Berichtigung (Art. 16) — Name, E-Mail, Land und Einstellungen jederzeit in Ihrem Profil korrigieren.
  • Löschung (Art. 17) — Anonymisierung Ihres Kontos anfordern. Dokumente, die unter Aufbewahrung oder rechtlicher Sperre stehen, bleiben erhalten, werden aber von Ihrem Nutzerprofil entkoppelt.
  • Einschränkung & Übertragbarkeit (Art. 18, 20) — Jeder Bericht unterstützt CSV-, PDF- und ZIP-Export.
  • Widerspruch (Art. 21) — Sich pro Kanal und pro Ereignis aus optionalen Benachrichtigungen abmelden.

8. Auftragsverarbeiter

Wir nutzen eine kleine Auswahl sorgfältig gewählter Auftragsverarbeiter:

  • Stripe Payments — Abrechnung von Abonnements.
  • Postmark — Eingehender E-Mail-Intake (mandantenspezifischer Routing-Token) und ausgehende Transaktions-E-Mails.
  • Unser Hosting-Anbieter — EU-Rechenzentrumsinfrastruktur für die Anwendung und die Datenbank.

Eine vollständige Liste der Auftragsverarbeiter ist auf Anfrage erhältlich.

9. Sicherheitsvorfälle

Wir führen ein internes Vorfallsregister, das an Art. 33 DSGVO (72-Stunden-Meldefrist) und NIS2 angelehnt ist. Wir benachrichtigen betroffene Kanzleien unverzüglich, wenn dies erforderlich ist.

10. Internationale Übermittlungen

Anwendungsdaten werden in EU-Rechenzentren gehostet. Sofern ein Auftragsverarbeiter Daten außerhalb des EWR verarbeitet, stützen wir uns auf Standardvertragsklauseln und einschlägige Schutzmaßnahmen.

11. Daten von Kindern

Mandavo ist für professionelle Buchhaltungsarbeit konzipiert. Wir erheben wissentlich keine personenbezogenen Daten von Kindern unter 16 Jahren.

12. Kontakt & Beschwerden

Datenschutzfragen, Betroffenenrechte-Anfragen oder DPA-Anfragen: [email protected].

Sie haben außerdem das Recht, Beschwerde bei Ihrer Aufsichtsbehörde einzulegen – der österreichischen Datenschutzbehörde oder der zuständigen deutschen Landesdatenschutzbeauftragten.