broxa.

Datenschutzerklärung

Stand: 30. April 2026

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

RATEXO IT Solutions
Hagen Dielenschneider
c/o COCENTER
Koppoldstraße 1
86551 Aichach
Deutschland

Kontakt: support [at] ratexo [dot] de
Telefon: +49 2361 497 3099

2. Erhebung allgemeiner Daten beim Besuch der Website

2.1 Art und Umfang

Wenn du diese Website rein informatorisch nutzt, erfasst unser Server automatisch Informationen, die uns dein Browser übermittelt. Dies sind:

  • IP-Adresse (anonymisiert nach 7 Tagen)
  • Datum und Uhrzeit des Zugriffs
  • Inhalt der Anforderung (konkrete Seite)
  • Zugriffsstatus (HTTP-Statuscode)
  • Übertragene Datenmenge
  • Referrer-URL (vorher besuchte Seite)
  • Browser-Typ und -Version
  • Betriebssystem

2.2 Rechtsgrundlage und Zweck

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) zur Sicherstellung des stabilen Betriebs der Website, zur Sicherheit unserer informationstechnischen Systeme sowie zur Aufklärung eventueller Missbrauchs- oder Betrugsversuche.

2.3 Speicherdauer

Server-Logfiles werden für maximal 30 Tage gespeichert und danach automatisch gelöscht. IP-Adressen werden nach 7 Tagen anonymisiert.

3. Cookies und lokale Speicherung

3.1 Auf dieser Marketing-Website

Diese Website verwendet keine Tracking- oder Werbe-Cookies. Eingesetzt wird ausschließlich die lokale Speicherung des Browsers (localStorage) für folgende Zwecke:

  • Theme-Präferenz (broxa-theme): Speicherung deiner Wahl zwischen Hell- und Dunkelmodus, damit diese bei deinem nächsten Besuch erhalten bleibt.
  • Cookie-Einwilligung (broxa-consent-v1): Speicherung deiner Auswahl im Cookie-Banner (z.B. Zustimmung zu reCAPTCHA), damit der Banner nicht bei jedem Seitenaufruf erneut erscheint.

Diese Daten verlassen nie deinen Browser und werden nicht an unsere Server übertragen. Du kannst sie jederzeit in deinen Browsereinstellungen löschen oder deine Auswahl im Footer unter „Cookie-Einstellungen" anpassen.

Rechtsgrundlage für technisch notwendige Speichertechnologien ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionsfähigen Website).

3.2 In der Anwendung (app.broxa.de)

Beim Login in die eingeloggte Anwendung wird ein technisch notwendiges Session-Cookie gesetzt, das deine Anmeldung über die Browser-Sitzung hinweg aufrechterhält. Dieses Cookie ist für den Betrieb der Anwendung zwingend erforderlich und wird auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) eingesetzt.

Eigenschaften des Session-Cookies:

  • Bezeichnung: broxa_session
  • Gültigkeit: 7 Tage ab Login (mit automatischer Verlängerung bei Aktivität)
  • HttpOnly: ja (kein Zugriff durch JavaScript)
  • Secure: ja (nur HTTPS)
  • SameSite: Lax

4. Kontaktformulare und Wartelisten-Anmeldung

Auf dieser Website bieten wir mehrere Möglichkeiten, mit uns in Kontakt zu treten:

  • Einrichtungsservice-Formular (/einrichtungsservice): zur Anfrage eines kostenpflichtigen Einrichtungsangebots
  • Wartelisten-Modal: zur Vorab-Anmeldung für den Launch der Software
  • E-Mail-Kontakt über die im Impressum angegebene Adresse

Bei der Nutzung der Formulare verarbeiten wir folgende Daten:

  • Pflichtangaben (Name und E-Mail-Adresse beim Einrichtungsservice; E-Mail-Adresse beim Wartelisten-Modal)
  • Freiwillige Angaben (Firma, Telefon, Anmerkungen, Plan-Präferenz, Angaben zum aktuellen Setup)
  • Technische Daten zur Spam-Abwehr: IP-Adresse, User-Agent, Zeitstempel

Zweck: Bearbeitung deiner Anfrage und Vorbereitung eines möglichen Vertragsverhältnisses.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen) sowie für die Wartelisten-Anmeldung zusätzlich Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung). Die technischen Daten zur Spam-Abwehr werden auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor missbräuchlicher Nutzung) verarbeitet.

Speicherdauer: Bei aktiver Geschäftsbeziehung bis zum Ende der Beziehung zuzüglich gesetzlicher Aufbewahrungsfristen (in der Regel 6 bis 10 Jahre nach HGB/AO). Wartelisten-Einträge werden gelöscht, sobald die Anmeldung in der Anwendung möglich ist und du dich entweder registriert hast oder erkennbar kein Interesse mehr besteht (spätestens 24 Monate nach Eintragung).

Du kannst deine Einwilligung zur Wartelisten-Anmeldung jederzeit für die Zukunft widerrufen, indem du eine E-Mail an support@ratexo.de sendest.

5. Google reCAPTCHA

Zum Schutz vor automatisiertem Missbrauch unserer Formulare setzen wir auf Wunsch Google reCAPTCHA v3 ein, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google").

reCAPTCHA wird ausschließlich nach deiner ausdrücklichen Einwilligung über unseren Cookie-Banner geladen. Wenn du „Nur notwendige" wählst, wird reCAPTCHA nicht aktiviert; in diesem Fall schützen wir die Formulare ausschließlich durch andere technische Maßnahmen (Honeypot-Felder, IP-basiertes Rate-Limit).

Verarbeitete Daten bei Aktivierung von reCAPTCHA:

  • IP-Adresse
  • Browser-Informationen, Betriebssystem, Spracheinstellungen
  • Maus- und Tastatureingaben sowie Verweildauer auf der Seite
  • Cookies und Browser-Speicher von Google-Domains
  • Referrer-URL

Diese Daten werden zur Auswertung an Google in den USA übertragen. Google verwendet sie, um zwischen menschlichen und automatisierten Anfragen zu unterscheiden, und gibt einen Risiko-Score zurück, der unsere Server zur Annahme oder Ablehnung der Anfrage nutzen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (deine Einwilligung über den Cookie-Banner) sowie Art. 49 Abs. 1 lit. a DSGVO für die Übermittlung in die USA. Die USA werden nach Auffassung des EuGH derzeit nicht als sicheres Drittland eingestuft. Google ist jedoch nach dem EU-US Data Privacy Framework zertifiziert, was ein angemessenes Datenschutzniveau gewährleistet (siehe Data Privacy Framework List ).

Widerruf: Du kannst deine Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer dieser Website widerrufen. Bereits an Google übertragene Daten bleiben davon unberührt.

Weitere Informationen zur Datenverarbeitung durch Google findest du in der Google Datenschutzerklärung und in den Nutzungsbedingungen.

6. Registrierung und Nutzung des Kundenkontos

4.1 Verarbeitete Daten

Wenn du dich auf app.broxa.de registrierst, verarbeiten wir folgende Daten:

  • Name (Pflichtangabe)
  • E-Mail-Adresse (Pflichtangabe, dient als Login-Kennung)
  • Passwort (gespeichert als bcrypt-Hash mit Cost 12, niemals im Klartext)
  • Firmenname und Workspace-Bezeichnung (optional)
  • Registrierungs-Datum und -Zeit

4.2 Rechtsgrundlage

Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Vertragserfüllung (Bereitstellung der vereinbarten Dienstleistung).

4.3 Speicherdauer

Die Daten werden gespeichert, solange dein Konto aktiv ist. Nach der Kündigung werden die Daten innerhalb von 30 Tagen gelöscht — vorbehaltlich gesetzlicher Aufbewahrungspflichten (z.B. § 147 AO für Geschäftsbelege: 10 Jahre).

7. Inhaltliche Daten in der Anwendung

In der Anwendung erfasst und speichert Broxa die von dir eingegebenen Geschäftsdaten:

  • Kunden-Stammdaten (Name, Adresse, E-Mail, USt-IdNr., Notizen)
  • Lead-Informationen (Kontaktdaten, Aktivitätenhistorie)
  • Belege, Rechnungen, Angebote, Mahnungen
  • Eingangs-Belege als Anhänge (PDFs, Bilder)
  • Wiederkehrende Vertragsdaten
  • Steuerliche Konfigurationen

Diese Daten werden ausschließlich auf Servern in Deutschland gespeichert. Die Verarbeitung erfolgt zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

8. SMTP-Versand über deinen eigenen Mailserver

Wenn du in den Einstellungen einen eigenen SMTP-Server hinterlegst, speichern wir die Zugangsdaten in unserer Datenbank:

  • Host und Port
  • Benutzername
  • Passwort (verschlüsselt mit AES-256-GCM, Schlüssel-Verwaltung serverseitig)
  • Absender-Adresse und -Name

Das Passwort kann ausschließlich vom Broxa-Server entschlüsselt werden, um eine Mail in deinem Auftrag zu versenden. Es wird zu keinem Zeitpunkt im Klartext an den Browser zurückgegeben.

9. KI-Belegerkennung

7.1 Funktionsweise

Wenn du die KI-Belegerkennung nutzt, werden hochgeladene Belege (PDFs oder Bilder) zur Verarbeitung an Google Gemini übermittelt. Die Datenübermittlung erfolgt verschlüsselt über die Google-Generative-AI-Schnittstelle.

7.2 Drittland-Übermittlung

Wichtiger Hinweis: Google Gemini ist ein Dienst der Google LLC mit Sitz in den USA. Die Übermittlung erfolgt auf Grundlage des EU-US-Datenschutzrahmens („EU-US Data Privacy Framework"), für den Google zertifiziert ist.

Bei der Verarbeitung über Google Gemini gelten die Bedingungen der Google-Datenschutzerklärung. Google verarbeitet die Belege ausschließlich zur Extraktion der angeforderten Felder. Eine dauerhafte Speicherung oder Verwendung zum Modell-Training findet laut Google-API-Bedingungen nicht statt.

7.3 Empfehlung zur Datensparsamkeit

Solltest du Belege mit besonders sensiblen personenbezogenen Daten verarbeiten (z.B. Gesundheitsdaten oder Daten besonderer Kategorien gemäß Art. 9 DSGVO), empfehlen wir, diese manuell zu erfassen und die KI-Belegerkennung dafür nicht zu nutzen.

7.4 Rechtsgrundlage

Die KI-Belegerkennung ist eine optionale Funktion. Die Verarbeitung erfolgt auf Grundlage deiner Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die durch die aktive Nutzung der Funktion erteilt wird, sowie auf Grundlage der Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO.

10. Server-Standort

Sämtliche personenbezogenen Daten und Inhalte werden ausschließlich auf Servern in Deutschland verarbeitet und gespeichert. Wir setzen für das Hosting deutsche Anbieter ein. Eine Übermittlung in Drittstaaten findet — mit Ausnahme der oben genannten KI-Belegerkennung — nicht statt.

11. Auftragsverarbeitung

Wenn du Broxa zur Verarbeitung von personenbezogenen Daten Dritter nutzt (insbesondere Kundendaten in deinem Workspace), schließen wir mit dir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO ab.

Wende dich für den Abschluss eines AVV bitte per E-Mail an support [at] ratexo [dot] de .

12. Empfänger und Subdienstleister

Wir setzen folgende Subdienstleister ein, die im Auftrag personenbezogene Daten verarbeiten:

  • Hosting-Anbieter: Servereinrichtung in Deutschland — Details auf Anfrage
  • Google LLC (USA): ausschließlich für die optionale KI-Belegerkennung über Google Gemini API. Verarbeitung auf Grundlage des EU-US Data Privacy Framework.

Eine vollständige Liste der eingesetzten Subdienstleister ist Bestandteil des Auftragsverarbeitungsvertrages und wird auf Anfrage zur Verfügung gestellt.

13. Deine Rechte als Betroffener

Nach DSGVO stehen dir folgende Rechte zu:

  • Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
  • Löschung deiner Daten (Art. 17 DSGVO)
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit in einem strukturierten, gängigen Format (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO). Zuständig für uns ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA, Promenade 18, 91522 Ansbach).

Zur Ausübung deiner Rechte wende dich bitte an support [at] ratexo [dot] de . Wir bearbeiten Anfragen innerhalb der gesetzlichen Frist von einem Monat.

14. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten gegen Verlust, Manipulation und unbefugten Zugriff zu schützen:

  • Verschlüsselte Übertragung (TLS 1.2 oder höher)
  • Verschlüsselung sensibler Daten (z.B. SMTP-Passwörter mit AES-256-GCM)
  • Passwort-Hashing mit bcrypt (Cost 12)
  • Mandantentrennung auf Datenbank-Ebene
  • Regelmäßige Sicherheits-Updates der Server-Komponenten
  • Backup-Konzept mit verschlüsselter Speicherung
  • Audit-Log für sicherheitskritische Aktionen

15. Datenexport bei Vertragsende

Vor und nach Beendigung des Vertrags kannst du deine Daten als CSV (Kunden, Belege, Leads) und PDF (Rechnungen, Angebote) exportieren. Dieses Recht zur Datenübertragbarkeit (Art. 20 DSGVO) bleibt für die gesetzlichen Aufbewahrungs­fristen bestehen.

16. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen, etwa bei Änderung gesetzlicher Vorgaben oder bei Änderung unserer Dienste. Die jeweils aktuelle Version ist über diese Seite abrufbar. Bei wesentlichen Änderungen informieren wir dich aktiv per E-Mail.

Stand dieser Datenschutzerklärung: 29. April 2026.