Datenschutzerklärung

info@fruitly.net

Für die öffentliche Website, Registrierung, System-E-Mails, Support, Sicherheit, Abrechnung eigener Leistungen und die Verwaltung unserer Geschäftsbeziehung sind wir Verantwortlicher im Sinne der DSGVO.

Für Fach- und Verwaltungsdaten, die Kunden in Fruitly einpflegen, importieren, synchronisieren oder durch KI- und Workflow-Funktionen verarbeiten lassen, handeln wir regelmäßig als Auftragsverarbeiter. Der Kunde bleibt in diesem Bereich Verantwortlicher und entscheidet über Zweck, Rechtsgrundlage, Inhalt, Nutzer, Rollen und Aufbewahrung.

Soweit gesetzlich erforderlich, wird die Auftragsverarbeitung in einem separaten Auftragsverarbeitungsvertrag geregelt. Diese Datenschutzerklärung ersetzt einen solchen Vertrag nicht.

Fruitly befindet sich derzeit in einer Open Beta und ist als modernes, KI-gestütztes Assistenz- und Verwaltungssystem konzipiert. In dieser Phase können Funktionen, Datenmodelle, Integrationen und Automatisierungen noch geändert, erweitert oder eingeschränkt werden.

Dieser Hinweis ist auch für den Datenschutz relevant: Kunden müssen prüfen, ob die Verarbeitung in ihrem konkreten Einsatzfall zulässig ist, ob Daten nur im erforderlichen Umfang eingespielt werden und ob produktive Daten nur mit geeigneten Sicherungen, Berechtigungen und Kontrollprozessen genutzt werden.

Die Kerninfrastruktur von Fruitly wird derzeit selbst betrieben und in Wien, Österreich, gehostet. Dazu gehören insbesondere Anwendung, API, Datenbank, Dateiablage, technische Warteschlangen, Such- und KI-Infrastruktur, soweit nicht ausdrücklich eine externe Integration aktiviert oder kundenseitig konfiguriert wird.

Die lokale Infrastruktur umfasst insbesondere relationale Datenhaltung, technische Warteschlangen, Datei- und Objektspeicher, lokale Datei- und Malware-Scan-Prozesse, lokale OCR-Verarbeitung sowie lokal angebundene KI-Modelle beziehungsweise modellkompatible interne Schnittstellen.

Für technische Auslieferung, Fehleranalyse, Sicherheit, Missbrauchsprävention und Systembetrieb verarbeiten wir technische Protokolldaten wie IP-Adresse, Zeitpunkt, Endpunkt, Statuscodes, Geräte- und Browserinformationen sowie sicherheitsrelevante Ereignisse.

Beim Aufruf der Website können technisch notwendige Daten verarbeitet werden. Die Website kann außerdem externe Schrift- oder Kartendienste einbinden, soweit diese in der jeweiligen Umgebung aktiv sind. Dabei können technische Zugriffsdaten an den jeweiligen Anbieter übertragen werden.

Wir setzen keine Tracking- oder Marketing-Technologien ein, soweit dafür keine Rechtsgrundlage oder erforderliche Einwilligung besteht. Technisch notwendige Cookies und lokale Speichermechanismen werden für Login, Sitzung, Spracheinstellung, Sicherheit und Bedienbarkeit verwendet.

Für Nutzerkonten verarbeiten wir insbesondere Name, E-Mail-Adresse, Passwort-Hash, E-Mail-Verifikationsstatus, Rollen, Berechtigungen, Workspace-Zuordnung, Login- und Sitzungsdaten, Sicherheitsereignisse sowie Änderungen an Rollen und Stammdaten.

Mutationen und sicherheitsrelevante Vorgänge werden protokolliert, um Mandantentrennung, Nachvollziehbarkeit, Missbrauchsprävention, Support und Fehleranalyse zu ermöglichen. Sensible Felder werden in Audit-Protokollen nach Möglichkeit reduziert oder maskiert.

Kunden können in Fruitly Daten der Hausverwaltung verarbeiten. Dazu gehören insbesondere Organisationen, Nutzer, Rollen, Objekte, Liegenschaften, Gebäude, Einheiten, Kontakte, Eigentümer, Mieter, Dienstleister, Verträge, Bankdaten, SEPA-Mandate, Buchungen, Belege, Abrechnungen, Mahnungen, Angebote, Aufgaben, Vorgänge, Kalenderdaten, Dokumente, Vorlagen, E-Mails, Briefe, Workflows, Agenten und Supportfälle.

Welche personenbezogenen Daten konkret verarbeitet werden, hängt vom Inhalt ab, den der Kunde einspielt, importiert, synchronisiert oder in der Anwendung erzeugt. Der Kunde ist dafür verantwortlich, nur rechtmäßig erhobene und für den jeweiligen Zweck erforderliche Daten zu verarbeiten.

Hochgeladene oder importierte Dateien werden im Objektspeicher abgelegt und in der Datenbank mit Metadaten wie Dateiname, Dateityp, Größe, Zuordnung, Verarbeitungsstatus und Speicherpfad referenziert. Unterstützte Dateitypen umfassen unter anderem PDF, Word, Excel, Outlook-Nachrichten, Bilder, Text und CSV.

Dateien können vor der Nutzung durch einen Malware-Scan laufen. Für die Suche und Assistenzfunktionen können Texte aus Dokumenten extrahiert, per OCR verarbeitet, in Textabschnitte geteilt und als Embeddings in der Datenbank gespeichert werden.

OCR, Textextraktion, Klassifikation und Suchindizes können fehlerhaft oder unvollständig sein. Datenschutzrechtlich werden diese Daten nur verarbeitet, um die vom Kunden aktivierten Dokument-, Such-, KI- und Automatisierungsfunktionen bereitzustellen.

Kunden können eigene E-Mail-Postfächer über SMTP und IMAP verbinden. Die Anwendung unterstützt freie Serverkonfiguration sowie Presets für Anbieter wie IONOS, Strato, ALL-INKL, Hetzner, netcup, DomainFactory, Host Europe, Mittwald, webgo, dogado, Hostinger, Alfahosting, GMX, Web.de, T-Online, Freenet, Posteo, Mailbox.org, Gmail / Google Workspace, Outlook.com / Hotmail, Microsoft 365, Yahoo Mail, iCloud Mail, ProtonMail Bridge, Zoho Mail, FastMail, Amazon SES, Mailgun, SendGrid und Brevo. Der konkret genutzte Anbieter wird vom Kunden ausgewählt und steht regelmäßig in einem eigenen Vertragsverhältnis zum Kunden.

Für den Versand nutzt Fruitly den vom Kunden hinterlegten SMTP-Server. Für den Empfang und die Synchronisation nutzt Fruitly den vom Kunden hinterlegten IMAP-Server, einschließlich ausgewählter Ordner wie Posteingang oder Gesendet.

Dabei können Absender, Empfänger, CC/BCC, Betreff, Inhalt, Zeitpunkte, Ordner, Message-IDs, Thread-Zuordnungen, Anhänge, Zustellstatus, Fehlermeldungen und technische IMAP-/SMTP-Metadaten verarbeitet werden. Zugangsdaten für SMTP und IMAP werden verschlüsselt gespeichert und nur zur Verbindung mit dem jeweiligen Mailserver entschlüsselt.

E-Mail-Anhänge können zunächst als Metadaten erfasst und bei Bedarf geladen, gescannt, gespeichert oder mit Kommunikationsdatensätzen verknüpft werden. Der Kunde ist dafür verantwortlich, dass die betroffenen Personen und Kommunikationspartner über die Verarbeitung informiert sind, soweit dies erforderlich ist.

Für technisch notwendige System-E-Mails, zum Beispiel E-Mail-Verifikation, Passwort-Zurücksetzung, Einladungen und Support-Benachrichtigungen, nutzen wir eine technische SMTP-Infrastruktur beziehungsweise einen E-Mail-Versanddienst. Dabei werden insbesondere Empfängeradresse, Betreff, Inhalt, Versandzeitpunkt und technische Zustellinformationen verarbeitet.

Diese Verarbeitung dient der Authentifizierung, Kontosicherheit, Vertragserfüllung, Missbrauchsprävention und Supportkommunikation. Sie ist getrennt von den kundenseitig verbundenen Postfächern.

Fruitly kann optional Bankverbindungen über finAPI anbinden. Die Bankauthentifizierung erfolgt über von finAPI bereitgestellte Webform-Flows; Bank-Zugangsdaten werden nicht in Fruitly eingegeben und von uns nicht gespeichert.

Bei aktivierter Banking-Integration können über finAPI insbesondere Bankverbindungen, Konten, Kontoinhaber, IBAN, Salden, Transaktionen, Buchungstexte, Verwendungszwecke, Gegenkonten, Referenzen, Importzeitpunkte und Sync-Status verarbeitet werden.

Für die technische Anbindung kann Fruitly einen finAPI-Nutzer pro Organisation verwalten und zugehörige technische Zugangsdaten verschlüsselt speichern. Der Kunde entscheidet, ob und für welche Bankverbindungen diese Integration verwendet wird.

• finAPI Datenschutzhinweise
• finAPI AGB

Fruitly nutzt KI-Funktionen für Suche, Klassifikation, Extraktion, Assistenz, Entwurfserstellung, Workflows und Agenten. Standardmäßig ist die Architektur auf lokal betriebene beziehungsweise selbst gehostete OpenAI-kompatible Modellserver ausgelegt.

Wenn der Kunde oder ein Administrator andere LLM-Anbieter oder OpenAI-kompatible Endpunkte konfiguriert, können Prompts, Dokumentauszüge, Metadaten, Chatverläufe, Tool-Kontext und Nutzungsmesswerte an diesen Anbieter übertragen werden. In diesem Fall gelten zusätzlich die Bedingungen und Datenschutzhinweise des jeweiligen Anbieters.

Produktivdaten werden nicht für allgemeines Modelltraining verwendet, sofern nicht ausdrücklich etwas anderes vereinbart wurde. KI-Ausgaben sind technische Vorschläge und können personenbezogene Daten enthalten, wenn die Eingaben oder verarbeiteten Dokumente solche Daten enthalten.

Kunden können Workflows und Agenten konfigurieren. Diese können auf Ereignisse, Zeitpläne, E-Mails oder andere Auslöser reagieren, Daten abrufen, Entwürfe erstellen, Vorschläge erzeugen oder externe Webhooks ansprechen.

Wenn ein Kunde externe Webhook-Ziele oder Integrationen konfiguriert, können die vom Kunden ausgewählten oder durch den Workflow erzeugten Daten an diese Ziele übertragen werden. Für solche Empfänger und die Auswahl der übertragenen Inhalte ist der Kunde verantwortlich.

Fruitly kann Organisations-Backups erzeugen. Dabei werden ausgewählte Tabellen und zugehörige Dateien in ein Archiv geschrieben, mit Metadaten und Prüfsumme versehen und im Objektspeicher abgelegt.

Die in der Anwendung vorhandene Backup-Funktion ist eine technische Export- und Wiederherstellungshilfe. Sie ersetzt keine kundenseitige rechtliche Aufbewahrungsstrategie und keine vom Kunden selbst verantwortete Sicherung kritischer Produktivdaten.

• Selbst betriebene Infrastruktur in Österreich für Anwendung, Datenbank, Dateien, Queues, OCR, Suche und lokale KI.
• Technische E-Mail-Versandinfrastruktur für System-E-Mails.
• Kundenseitig ausgewählte E-Mail-Anbieter für SMTP-/IMAP-Postfächer.
• finAPI und angebundene Banken oder Zahlungsdienstleister, wenn Banking aktiviert wird.
• Vom Kunden oder Administrator konfigurierte LLM-, Webhook-, Karten-, Font- oder Integrationsanbieter, soweit solche Funktionen aktiviert werden.
• Berater, Behörden, Gerichte oder sonstige Empfänger, soweit dies gesetzlich erforderlich oder zur Rechtsdurchsetzung notwendig ist.

• Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllung und vorvertragliche Maßnahmen.
• Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten.
• Art. 6 Abs. 1 lit. f DSGVO für berechtigte Interessen an sicherem Betrieb, Support, Fehleranalyse, Missbrauchsprävention, Rechtsdurchsetzung und Produktverbesserung.
• Art. 6 Abs. 1 lit. a DSGVO, soweit eine Einwilligung erforderlich ist.
• Art. 28 DSGVO für Auftragsverarbeitung von Kundendaten, soweit wir personenbezogene Daten im Auftrag eines Kunden verarbeiten.

Die Kerninfrastruktur wird derzeit in Österreich betrieben. Eine Übermittlung in Staaten außerhalb der EU oder des EWR kann aber entstehen, wenn externe Dienste eingebunden werden, etwa durch kundenseitig gewählte E-Mail-Anbieter, kundenseitig konfigurierte LLM- oder Webhook-Ziele, Karten- oder Font-Dienste, finAPI-/Banking-Prozesse oder technische System-E-Mail-Dienstleister.

Soweit wir selbst einen Dienstleister außerhalb der EU oder des EWR einsetzen, achten wir auf eine geeignete Rechtsgrundlage und geeignete Garantien, zum Beispiel Angemessenheitsbeschlüsse, Standardvertragsklauseln oder andere gesetzlich zulässige Schutzmechanismen. Soweit der Kunde einen Anbieter selbst auswählt oder konfiguriert, ist der Kunde für die Prüfung der Zulässigkeit dieser Übermittlung verantwortlich.

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist, gesetzliche Aufbewahrungspflichten bestehen, Ansprüche geltend gemacht oder abgewehrt werden müssen oder der Kunde die Daten in seinem Workspace vorhält.

Kundendaten werden nach Vertragsende nach Maßgabe der Vereinbarung gelöscht, anonymisiert oder exportierbar gemacht, soweit keine gesetzlichen Pflichten oder berechtigten Gründe entgegenstehen. Backups, Audit-Logs, Sicherheitsprotokolle und technische Protokolle können abweichenden Lösch- und Aufbewahrungszyklen unterliegen.

Betroffene Personen haben nach Maßgabe der gesetzlichen Voraussetzungen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Soweit eine Verarbeitung auf Einwilligung beruht, kann diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden.

Bei Daten, die ein Kunde als Verantwortlicher in Fruitly verarbeitet, richten Sie Anfragen bitte vorrangig an diesen Kunden. Wir unterstützen den Kunden im Rahmen unserer Rolle als Auftragsverarbeiter.

Sie haben das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Zuständig kann insbesondere die Österreichische Datenschutzbehörde sein.

Wir können diese Datenschutzerklärung anpassen, wenn sich rechtliche, technische, organisatorische oder produktbezogene Rahmenbedingungen ändern. Die jeweils aktuelle Fassung ist auf dieser Seite abrufbar.