Datenschutzerklärung

Stand: 22. April 2026

Diese Datenschutzerklärung gilt für die Website harriet.tax sowie für die Anwendung Harriet (Closed Beta), die unter einer separaten Subdomain bereitgestellt wird. Sie informiert Sie nach Art. 13 und Art. 14 DSGVO über die Verarbeitung personenbezogener Daten.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO ist:

Mario Deubler
Schödlbergergasse 16/53
1220 Wien, Österreich
E-Mail: hello@harriet.tax

Bei Fragen zum Datenschutz, zur Ausübung Ihrer Rechte oder zur Auftragsverarbeitung erreichen Sie uns jederzeit unter hello@harriet.tax.

2. Überblick der Verarbeitungen

Wir verarbeiten personenbezogene Daten in folgenden Kontexten:

  • Beim Besuch dieser Website (Server-Logfiles, optionale Webanalyse)
  • Bei der Anmeldung zur Warteliste oder zur Closed Beta (E-Mail-Adresse, optionale Umfrageantworten)
  • Bei der Nutzung der Anwendung Harriet (hochgeladene Belege, Bankexporte, OCR-Extraktion, KI-gestützte Klassifikation, Steuerprognose)
  • Bei interner Benachrichtigung über neue Pipeline-Anfragen (E-Mail an Administrator)

3. Rechtsgrundlagen

Wir stützen die Verarbeitung auf folgende Rechtsgrundlagen der DSGVO:

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Webanalyse mit PostHog, Anmeldung zur Warteliste, optionale Pain-Point-Umfrage, Annahme der Beta-Nutzungsbedingungen und der AVV.
  • Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Bereitstellung der Anwendung Harriet, Verarbeitung hochgeladener Belege und Bankdaten, Erstellung der Steuerprognose, Versand betriebsnotwendiger E-Mails.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Aufbewahrungspflichten nach BAO und UGB für steuerlich relevante Unterlagen, soweit anwendbar.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Server-Logfiles zur Sicherstellung des Betriebs, Schutz vor Missbrauch, technische Sicherheit, interne Pipeline-Benachrichtigungen.

4. Datenverarbeitung beim Besuch der Website

Beim Besuch unserer Website werden automatisch Informationen durch den Server erfasst (Server-Logfiles). Diese umfassen:

  • Browsertyp und Browserversion
  • Verwendetes Betriebssystem
  • Referrer-URL (zuvor besuchte Seite)
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage
  • IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technisch fehlerfreien Darstellung und Optimierung unserer Website).

5. Warteliste und Beta-Anmeldung

Wenn Sie sich für die Warteliste oder die Closed Beta registrieren, verarbeiten wir Ihre E-Mail-Adresse zur Bestätigung Ihrer Anmeldung, zur Vergabe eines Beta-Zugangs sowie zur Kommunikation rund um den Beta-Status.

Optional können Sie an einer kurzen Umfrage zu Ihren größten Pain Points im Steuerbereich teilnehmen. Die Antworten werden pseudonymisiert ausgewertet. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), zurücknehmbar jederzeit per E-Mail an hello@harriet.tax.

6. Datenverarbeitung in der Anwendung Harriet

Bei Nutzung der Anwendung Harriet verarbeiten wir folgende Datenkategorien:

  • Stammdaten (E-Mail, gewählter Name, Unternehmensform, optionale Firmen- und Kontaktdaten)
  • Hochgeladene Belege und Rechnungen (PDF, Bilddateien)
  • Aus den Belegen extrahierte Daten (OCR-Text, Beträge, Datumsangaben, Vendor, vorgeschlagene Steuerkategorie)
  • Bankexporte (CSV, eingelesene Transaktionsdaten)
  • Berechnete Steuerwerte (E/A-Rechnung, ESt-Prognose, SVS-Schätzung, Gewinnfreibetrag)
  • Optional: Token-basierte Freigaben für Ihre Steuerberatungskanzlei

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Aufbewahrung: für die Dauer der Beta-Teilnahme zzgl. gesetzlicher Aufbewahrungsfristen nach BAO/UGB, soweit anwendbar. Ein vorzeitiger Löschwunsch ist jederzeit per E-Mail möglich (siehe Betroffenenrechte).

7. KI-gestützte Verarbeitung und automatisierte Entscheidungen

Harriet nutzt KI-gestützte Verfahren, um aus Belegen Inhalte zu extrahieren (OCR) und Belege Steuerkategorien zuzuordnen (Klassifikation). Die Klassifikation erfolgt in einer mehrstufigen Pipeline, die Vorschläge mit Konfidenzwerten erzeugt:

  1. MCC-Code-Erkennung (bei Bankkartenumsätzen mit Merchant-Category-Code)
  2. Vendor-Match (bekannte Anbieter)
  3. EKR-Mapping (Einheitskontenrahmen)
  4. Keyword-Match (Stichwort-Erkennung)
  5. LLM-Fallback (KI-Modell, wenn die regelbasierten Schritte nicht greifen)
  6. Generischer Fallback mit niedriger Konfidenz

Hinweis nach Art. 22 DSGVO und Art. 50 EU AI Act: Die Ergebnisse dieser Klassifikation sind Vorschläge für Ihre eigene Überprüfung und für die Überprüfung durch eine befugte Steuerberatungskanzlei. Es findet keine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung im Sinne des Art. 22 DSGVO statt: Vor jeder weiteren Verwendung — insbesondere vor Einreichung beim Finanzamt — ist eine menschliche Prüfung vorgesehen und erforderlich.

KI-generierte Klassifikationen werden in der Anwendung als solche kenntlich gemacht. Eine ausführliche Beschreibung der Funktionsweise erhalten Beta-Nutzer:innen mit den Beta-Nutzungsbedingungen.

8. Eingesetzte Auftragsverarbeiter

Für den Betrieb der Website und der Anwendung setzen wir folgende Auftragsverarbeiter ein. Die Datenverarbeitung erfolgt jeweils auf Grundlage eines Vertrages nach Art. 28 DSGVO.

8.1 Vercel (Hosting)

Unsere Website und die Anwendung werden bei Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA gehostet. Vercel betreibt ein globales CDN und liefert Inhalte bevorzugt über europäische Edge-Standorte aus. Verarbeitete Daten: IP-Adresse, Datum/Uhrzeit des Zugriffs, übertragene Datenmenge, Browsertyp, Referrer-URL. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Die Datenübermittlung in die USA stützt sich auf das EU-US Data Privacy Framework (DPF) bzw. ergänzend auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: vercel.com/legal/privacy-policy.

8.2 Supabase (Datenbank, Authentifizierung, Speicher)

Wir nutzen Supabase als Backend-Plattform für Datenbank, Authentifizierung und Dateispeicher. Anbieter: Supabase Inc., 970 Reserve Drive #201, Roseville, CA 95678, USA. Unsere Instanz wird in der EU-Region (Frankfurt) betrieben; Daten werden auf europäischen Servern verarbeitet. Verarbeitete Daten: Anmeldedaten, hochgeladene Belege, extrahierte OCR-Daten, Bankdaten, Steuerwerte, Sitzungs- und Metadaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Soweit administrative Zugriffe oder Support seitens Supabase erforderlich werden, stützt sich eine etwaige Übermittlung in die USA auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Weitere Informationen: supabase.com/privacy.

8.3 Mistral AI (OCR und Klassifikation)

Für die Texterkennung (OCR) auf Belegen und für die KI-gestützte Klassifikation und Optimierungsvorschläge nutzen wir die API von Mistral AI, betrieben durch Mistral AI SAS, 15 rue des Halles, 75001 Paris, Frankreich. Übermittelt werden ausschließlich die für die jeweilige Aufgabe erforderlichen Inhalte (z.B. Bild oder Text eines Belegs). Mistral verarbeitet die Daten in der EU; eine Drittlandübermittlung findet nicht statt. Mistral verwendet Inhalte aus API-Anfragen vertraglich nicht zu Trainingszwecken. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Weitere Informationen: mistral.ai/terms.

8.4 Proton Mail (E-Mail-Versand)

Betriebsnotwendige E-Mails (z.B. Beta-Einladungen, Bestätigungen, interne Pipeline-Benachrichtigungen) versenden wir über Proton Mail. Anbieter: Proton AG, Route de la Galaise 32, 1228 Plan-les-Ouates, Schweiz. Die Schweiz verfügt über einen Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO; eine zusätzliche Übermittlungsgrundlage ist nicht erforderlich. Verarbeitete Daten: E-Mail-Adressen von Absender und Empfänger, Inhalt der E-Mail, technische Metadaten. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO bzw. Art. 6 Abs. 1 lit. f DSGVO. Weitere Informationen: proton.me/legal/privacy.

8.5 PostHog (Webanalyse, optional)

Auf der Marketing-Website nutzen wir PostHog (PostHog Inc., EU-Hosting über PostHog Cloud EU) zur pseudonymisierten Analyse der Websitenutzung — Seitenaufrufe, Klickverhalten, Scroll-Tiefe, Formular-Interaktionen, Geräteinformationen. Daten werden auf Servern in der EU verarbeitet.

PostHog wird ausschließlich nach Ihrer ausdrücklichen Einwilligung über das Cookie-Banner geladen. Ohne Zustimmung werden keine Analysedaten erhoben. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO.

Die Datenübertragung zu PostHog erfolgt über einen Managed Proxy von Cloudflare (Cloudflare Inc., USA). Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert und fungiert hier ausschließlich als Infrastruktur-Dienstleister im Transit. Weitere Informationen: posthog.com/privacy und cloudflare.com/privacypolicy.

9. Verarbeitung über die Pipeline (harriet-orchestrator)

Für die finale Erstellung der E/A-Rechnung und der E1a-Beilage werden Ihre Belegdaten und Bankexporte aus der Anwendung exportiert und durch eine separate Pipeline (harriet-orchestrator) verarbeitet. Die Pipeline läuft als kommandozeilen-basiertes Werkzeug und persistiert keine Daten in einer Datenbank: Eingabe und Ausgabe erfolgen ausschließlich als Dateien, die an die Anwendung zurückgespielt und dort in Ihrem Workspace gespeichert werden. Die Pipeline kann KI-gestützte Klassifikation über die in Abschnitt 8.3 beschriebene Mistral-API aufrufen.

10. Datenspeicherung, Sicherheit und Speicherdauer

Die Übertragung erfolgt verschlüsselt (TLS). Daten in der Datenbank und im Datei-Speicher liegen auf europäischen Servern unseres Auftragsverarbeiters Supabase. Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Zugriffskontrollen, Verschlüsselung im Transit, Pseudonymisierung in Analyse-Daten, regelmäßige Backups, Zugriffsbeschränkung auf berechtigte Personen).

Speicherdauer: für die Dauer Ihrer Beta-Teilnahme; nach Beendigung der Beta löschen wir Ihre Inhalte spätestens innerhalb von 90 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Server-Logfiles werden in der Regel nach 30 Tagen gelöscht.

11. Ihre Rechte als betroffene Person

Sie haben das Recht auf:

  • Auskunft (Art. 15 DSGVO)
  • Berichtigung (Art. 16 DSGVO)
  • Löschung (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte schreiben Sie an hello@harriet.tax. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

12. Beschwerderecht

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren:

Österreichische Datenschutzbehörde
Barichgasse 40–42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Website: dsb.gv.at

13. Cookies

Diese Website verwendet ein Cookie zur Speicherung Ihrer Cookie-Einstellung (Einwilligung oder Ablehnung der Webanalyse). Dieses Cookie ist technisch notwendig (Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 165 TKG 2021). Analyse-Cookies von PostHog werden nur bei ausdrücklicher Einwilligung gesetzt. In der Anwendung selbst setzen wir ausschließlich für den Betrieb erforderliche Sitzungs-Cookies (Authentifizierung).

14. Änderungen dieser Datenschutzerklärung

Wir passen diese Datenschutzerklärung an, wenn sich Verarbeitungen, Auftragsverarbeiter oder gesetzliche Anforderungen ändern. Die jeweils aktuelle Fassung mit Datum gilt für Ihren Besuch.