Trust & Legal Center

Transparenz, Sicherheit und Datensouveränität. Erfahren Sie, wie piloq FlexCo Ihre Daten schützt und warum wir auf 100% lokales Hosting in Österreich setzen.

AI Ethics PolicyDatenschutzAGBImpressum

Datenschutzerklärung (DSGVO)

Stand: 15.06.2026

Der Schutz sensibler Buchhaltungs- und Mandantendaten hat für uns absolute Priorität. Die piloq flexco hält sich strikt an die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) sowie an die strengen berufsrechtlichen Verschwiegenheitspflichten nach dem österreichischen Wirtschaftstreuhandberufsgesetz (WTBG).

1. Verantwortliche Stelle

piloq flexco
Ringstraße 56
3500 Krems an der Donau, Österreich
E-Mail: office@piloq.ai

2. Datenverarbeitung und "100% Österreich"-Garantie

Im Gegensatz zu vielen anderen SaaS-Anbietern verarbeiten wir sensible Finanzdaten für die Dokumentenanalyse und Datenspeicherung nicht über US-amerikanische Hyperscaler oder externe Cloud-APIs (wie OpenAI, Microsoft oder Google).

  • Eigenes Hosting: Alle Webserver, Cloud-Datenbanken und KI-Modelle (OCR und LLMs) werden physisch auf eigener Hardware in Österreich betrieben und abgewickelt.
  • Reverse Proxy: Zur Absicherung unserer Systeme nutzen wir einen dedizierten Server der Internex GmbH (Österreich) als Reverse Proxy. Mit der Internex GmbH wurde ein rechtskonformer Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.
  • Piloq Agent: Die Verbindung zwischen dem lokalen Server Ihrer Kanzlei und unserer Cloud erfolgt über einen eigenentwickelten, stark verschlüsselten Windows-Dienst, ohne jegliche Drittanbieter-Middleware.

3. Einsatz von Künstlicher Intelligenz (KI)

Die von uns verwendeten In-House-KIs verarbeiten Ihre hochgeladenen Dokumente rein zweckgebunden (Kontierung, Extraktion von Stammdaten). Wir garantieren eine strikte Mandantenisolierung: Ihre sensiblen Mandantendaten werden kategorisch nicht für das Training unserer KI-Modelle verwendet. Es findet kein Abfluss von Wissen in globale Modelle statt.

4. Externe Schnittstellen (APIs)

Zur Erbringung der vollen Funktionalität binden wir ausschließlich fachspezifische, notwendige Schnittstellen ein:

  • DATEV eG (Deutschland): Für den Belegbild-Upload und Buchungsdatenservice. Erfolgt nur nach expliziter Authentifizierung durch den Nutzer.
  • EU VIES API: Zur Validierung von Umsatzsteuer-Identifikationsnummern (UID).
  • EZB (Europäische Zentralbank): Zur tagesaktuellen Abfrage von Fremdwährungskursen.

5. E-Mail-Kommunikation

Um eine zuverlässige Zustellbarkeit von System-E-Mails (z. B. Passwort-Resets und Beleg-Fragen) zu gewährleisten, nutzen wir die E-Mail-Infrastruktur des Einzelunternehmens Paul Permoser (Österreich). Die Bereitstellung und das Management erfolgen durch diesen externen Dienstleister. Um ein angemessenes Datenschutzniveau gemäß DSGVO sicherzustellen, wurde mit dem Einzelunternehmen Paul Permoser ein rechtskonformer Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abgeschlossen.

6. Auftragsverarbeitung (Art. 28 DSGVO)

Wenn Sie als Steuerkanzlei oder Unternehmen Mandantendaten auf unserer Plattform verarbeiten, agieren wir als Ihr Auftragsverarbeiter. Im Rahmen des Onboardings schließen wir mit Ihnen einen standardisierten Auftragsverarbeitungsvertrag (AVV) ab. Dieser garantiert Ihnen schriftlich, dass Ihre Daten ausschließlich in Österreich verarbeitet werden und die strengen berufsrechtlichen Verschwiegenheitspflichten (gemäß WTBG) jederzeit gewahrt bleiben.

7. Speicherdauer und Datenlöschung

Piloq AI ist ein Verarbeitungstool, kein Archiv. Die Verarbeitung Ihrer Daten erfolgt nur so lange, wie sie für die Kontierung und Übertragung an Ihr Zielsystem (z.B. DATEV) erforderlich ist. Nach einer Vertragsbeendigung haben Sie 30 Tage Zeit für etwaige Datenexporte. Im Anschluss werden Ihre Daten, Belegbilder und mandantenspezifischen Cloud-Datenbanken unwiderruflich physisch von unseren Servern gelöscht.

8. Ihre Rechte

Ihnen stehen die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu (Art. 15 bis 21 DSGVO). Zur Ausübung wenden Sie sich an office@piloq.ai. Zudem haben Sie das Recht, sich bei der österreichischen Datenschutzbehörde (dsb.gv.at) zu beschweren.

9. Technisch notwendige Daten & Server-Log-Files

Bei der rein informatorischen Nutzung unserer Website erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt (sogenannte Server-Log-Files). Diese Erfassung erfolgt automatisiert über unseren Reverse Proxy (Internex GmbH) und umfasst unter anderem:

  • Ihre IP-Adresse (wird zeitnah anonymisiert oder gelöscht)
  • Datum und Uhrzeit der Anfrage
  • Inhalt der Anforderung (konkrete Seite)
  • Zugriffsstatus/HTTP-Statuscode
  • Jeweils übertragene Datenmenge
  • Website, von der die Anforderung kommt
  • Verwendeter Browser und Betriebssystem

Diese Daten sind technisch zwingend erforderlich, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO). Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen.

10. Cookies, LocalStorage & Google Analytics Tracking

Wir verwenden zur Bereitstellung unserer Website und für Marketingzwecke sogenannte Cookies bzw. vergleichbare Speichermethoden in Ihrem Browser (wie den LocalStorage). Dabei unterscheiden wir streng in zwei Kategorien:

a) Technisch notwendige Speicherungen

Einige Speichermethoden sind für den Betrieb der Website zwingend erforderlich (z.B. das Speichern Ihrer Cookie-Einstellungen in der Variable piloq_consent im LocalStorage oder Session-Tokens für den geschützten Login-Bereich). Diese Daten verarbeiten wir auf Basis unseres berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO.

b) Google Ads Tracking & Analytics (Einwilligungspflichtig)

Auf unserer Website (Public Pages) setzen wir Google-Tags für Conversion-Tracking und Analysezwecke ein. Dabei nutzen wir den sogenannten Google Consent Mode v2. Dies bedeutet: Standardmäßig (beim ersten Betreten der Website) ist das Senden von Analyse- und Werbedaten an Google durch eine "Denied"-Einstellung blockiert.

Erst wenn Sie in unserem Cookie-Banner aktiv auf "Alle akzeptieren" klicken, erteilen Sie uns Ihre freiwillige Einwilligung (Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO), dass das Google Tag (gtag.js) Daten (inkl. gekürzter IP-Adresse) über Ihre Nutzung unserer Website an Google Server (die sich möglicherweise in den USA befinden) übermittelt und dort verarbeitet.

Widerruf: Sie können Ihre einmal erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Klicken Sie dazu einfach auf den Link "Cookie-Einstellungen" im Footer unserer Website. Dadurch öffnet sich das Cookie-Banner erneut, und Sie können Ihre Zustimmung anpassen oder komplett entziehen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt davon unberührt.