Datenschutzerklärung

Stand: 8. Juli 2026

1. Verantwortlicher

bms future energy GmbH, Buchenweg 7, 4484 Kronstorf, Österreich
E-Mail: future-energy@bmsystems.at

Ein Datenschutzbeauftragter (DSB) ist nach Art. 37 DSGVO derzeit nicht zwingend zu bestellen — die Datenverarbeitung erreicht die Schwellenwerte nicht (weniger als 250 Beschäftigte, keine Kern-Verarbeitung besonderer Datenkategorien). Anfragen zum Datenschutz gehen an die oben angegebene E-Mail-Adresse.

2. Welche Daten wir verarbeiten

Bei der Nutzung von bms ERP verarbeiten wir folgende personenbezogene Daten:

Registrierungsdaten
Firmenname, USt-ID, Firmen-E-Mail, Vor-/Nachname der Kontaktperson, 6-stelliger E-Mail-Bestätigungs-Code (bcrypt-gehasht, 15 Min gültig).
Kontaktdaten des Mandanten
Firmen-Anschrift, USt-ID, Firmenbuchnummer, Telefon, Website, Bank-Verbindung.
Zugangsdaten
E-Mail als Benutzername, Passwort ausschließlich als bcrypt-Hash gespeichert, Login-Zeitpunkte, Login-IP-Adresse (für Rate-Limiting).
Nutzungsdaten (Kundendaten im engeren Sinn)
Alle vom Kunden im ERP eingegebenen Daten: Belege, Rechnungen, Kunden- und Lieferantendaten, Aufträge, Projekte, Zeiterfassung, Energie-Modul-Daten. Diese Daten sind das Eigentum des Kunden — wir verarbeiten sie als Auftragsverarbeiter (siehe AVV).
Zahlungsdaten
Wir speichern nur die letzten 4 Ziffern der Kreditkarte und die IBAN in maskierter Form. Vollständige Karten-/Konto-Daten werden ausschließlich vom Zahlungsdienstleister Stripe verarbeitet (siehe unten).
Technische Zugriffsdaten
IP-Adresse, User-Agent, Zeitpunkt des Zugriffs — für Sicherheit (Rate-Limiting, Missbrauchserkennung) und Fehlersuche.
KI-Chat-Verlauf (nur bei Nutzung)
Fragen, die Sie dem KI-Assistenten stellen, und dessen Antworten. Der Verlauf wird pro Mandant gespeichert (siehe Punkt 4c).

3. Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. b DSGVO — zur Erfüllung des Vertrags (Bereitstellung der ERP-Software)
  • Art. 6 Abs. 1 lit. c DSGVO — zur Erfüllung gesetzlicher Aufbewahrungspflichten (§ 132 BAO, § 190 UGB)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse an sicherer Bereitstellung (Rate-Limiting via IP-Adresse, Missbrauchserkennung)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (Analytics und Marketing über Cookie-Banner)

4. Externe Empfänger & Auftragsverarbeiter

Wir setzen folgende Dienstleister ein — mit allen bestehen Datenverarbeitungsverträge (AVV/DPA) nach Art. 28 DSGVO:

Vercel Inc.
USA
Hosting der Anwendung (erp.bms-gruppe.at, demo.bms-gruppe.at). Übermittelt: Zugriffs-Logs, technische Metriken.
Absicherung: EU-US Data Privacy Framework (aktiv zertifiziert). Rechenzentrum in Frankfurt/DE (fra1).
Neon Inc.
USA
Datenbank-Hosting (Postgres). Übermittelt: alle im ERP eingegebenen Nutzungsdaten.
Absicherung: Standard-Vertragsklauseln der EU-Kommission (SCC). Rechenzentrum in Frankfurt/DE.
Vercel Blob (Vercel Inc.)
USA / EU-Edge
Dateiablage für PDF-Rechnungen, KI-Anhänge, DB-Backups. Übermittelt: hochgeladene Dateien.
Absicherung: Bestandteil des Vercel-DPF-Framework. Verschlüsselung at rest + in transit.
Anthropic PBC
USA / EU-Region
KI-Assistent (Claude). Übermittelt werden nur die Prompts des Users + relevante Business-Daten für die Abfrage.
Absicherung: Anthropic Zero Data Retention (ZDR) auf Business-Tier — Prompts werden nach Antwort nicht gespeichert und nicht für Modell-Training verwendet. Details bei Anthropic
Stripe Inc.
USA / Irland
Zahlungsabwicklung (Kreditkarte, SEPA). Übermittelt: Zahlungsdaten, Firmenanschrift, USt-ID.
Absicherung: EU-US Data Privacy Framework, PCI-DSS Level 1, Stripe Ireland Ltd. als EU-Vertrags­partner.
SendGrid Inc. (Twilio)
USA
Transaktions-E-Mails (Bestätigungs-Code, Passwort-Reset, Rechnungen). Übermittelt: E-Mail-Adresse und E-Mail-Inhalt.
Absicherung: Standard-Vertragsklauseln (SCC). Twilio DPA hinterlegt.
EU-VIES (Europäische Kommission)
EU
Prüfung der USt-ID beim Signup. Übermittelt: 2-Buchstaben-Ländercode + USt-Nummer.
Absicherung: Offizielle Behörden-API der EU-Kommission — kein Auftragsverarbeiter, sondern behördliche Auskunft. VIES speichert die Anfrage in seinem eigenen Log.

5. KI-Verarbeitung durch Anthropic (Detail)

Wenn Sie den KI-Assistenten im ERP verwenden, senden wir Ihre Anfrage sowie die für die Beantwortung notwendigen Business-Daten (z.B. offene Rechnungen, Ihre eigenen Kunden aus dem ERP) an Anthropic PBC als Auftragsverarbeiter.

  • Zero Data Retention (ZDR): Anthropic speichert die Prompts nach erfolgter Antwort nicht.
  • Kein Training: Ihre Daten werden nicht für das Training von Anthropic-Modellen verwendet.
  • Verschlüsselung: Übertragung ausschließlich TLS 1.3, Speicherung bei uns AES-256 at rest.
  • Ihr KI-Verlauf bei uns: Fragen und Antworten werden in unserer Datenbank (Neon/Frankfurt) für Ihre Wiederverwendung gespeichert und bei Vertragsende gelöscht (§ 8 AGB). Sie können den Verlauf jederzeit selbst löschen.

6. Speicherdauer

Konto- und Buchhaltungsdaten (Rechnungen, Belege)
Vertragslaufzeit + 7 Jahre (§ 132 BAO)
Kontakt- und Firmen-Stammdaten
Vertragslaufzeit + 3 Jahre (Verjährungsfrist)
Passwort-Hash
Bis Passwort-Änderung oder Konto-Löschung
Login-IP + Zeitpunkt
90 Tage (Sicherheits-Logs)
Signup-Verifikations-Codes
15 Minuten (Ablauf) — danach automatisch gelöscht
Rate-Limit-Zähler (In-Memory)
Max 60 Min pro Bucket, keine dauerhafte Speicherung
KI-Chat-Verlauf
Vertragslaufzeit — jederzeit vom User löschbar
Vercel-Zugriffs-Logs
30 Tage
Cookie-Consent (localStorage)
Max 13 Monate — dann erneute Nachfrage

7. Ihre Rechte (Art. 15–22 DSGVO)

Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Beschwerden können Sie bei der Datenschutzbehörde einreichen — dsb.gv.at.

Anfragen zu Ihren Daten richten Sie an future-energy@bmsystems.at — wir bearbeiten sie innerhalb von 30 Tagen. Für die Identifikation genügt uns die Antwort von der bei uns hinterlegten E-Mail-Adresse.

8. Cookies & lokale Speicherung

Wir setzen Cookies und localStorage nur in drei klar getrennten Kategorien ein. Beim ersten Besuch fragen wir Sie über einen DSGVO-konformen Consent-Banner (Rechtsgrundlage: § 165 Abs. 3 TKG 2021 / § 25 TDDDG in DE) — Sie können Ihre Auswahl jederzeit über den Footer-Link „Cookie-Einstellungen" ändern.

Technisch notwendig (immer aktiv)
  • next-auth.session-token — Anmeldesitzung, max. 30 Tage
  • next-auth.csrf-token — Schutz vor Cross-Site-Request-Forgery
  • bms-tenant-id — aktiver Mandant im Multi-Mandanten-Modell
  • bms-cookie-consent (localStorage) — Ihre Cookie-Auswahl, gültig max. 13 Monate
Anonyme Nutzungsstatistik (opt-in)

Vorbereitet für Vercel Analytics (anonymisierte Aggregate ohne Personenbezug, Speicherung in der EU). Aktuell noch nicht produktiv im Einsatz — wird nur nach ausdrücklicher Zustimmung geladen.

Marketing (opt-in)

Wir setzen aktuell keine Retargeting-Pixel oder Werbe-Cookies ein. Die Kategorie ist vorbereitet, wird aber ohne Ihre Zustimmung nicht aktiviert.

Consent-Log: Ihre Zustimmung wird ausschließlich lokal in Ihrem Browser gespeichert — wir übertragen sie nicht an unsere Server. Sie können sie jederzeit im Consent-Manager (Footer-Link) widerrufen.

9. Datensicherheit (TOM)

Die technischen und organisatorischen Maßnahmen (TOM) sind detailliert im TOM-Anhang zu unserem AVV beschrieben — Auszug: TLS 1.3 für alle Verbindungen, AES-256 at rest, bcrypt-Passwort-Hashing, Zwei-Faktor-Login für Administratoren, IP-Rate-Limits gegen Brute-Force, tägliche automatische Backups mit 30-Tage-Aufbewahrung.

Vor dem Live-Betrieb prüfen

Diese Datenschutzerklärung ist ein DSGVO-konformer Roh-Entwurf. Bitte vor dem Live-Betrieb vom Anwalt oder DPO prüfen lassen — insbesondere die konkrete Ausgestaltung der AVVs mit Anthropic, Stripe und Vercel.