Datenschutzerklärung

Stand: Mai 2026  ·  Formantor / WildCodeLabs

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO für den Betrieb von Formantor ist:

Marcel Wedenig / WildCodeLabs Weinberg 40
9133 Sittersdorf, Österreich

E-Mail: contact@formantor.com
Telefon: +43 664 1231681

2. Was Formantor ist – und welche Daten entstehen

Formantor ist ein Telegram-Bot für Handwerksbetriebe. Über den Bot können Nutzer per Sprachnotiz oder Text Angebote, Rechnungen und Bautagesberichte erstellen. Ergänzend steht ein webbasiertes Dashboard zur Verwaltung von Profil, Dokumenten, Kundenstamm und Abonnement zur Verfügung.

Bei der Nutzung verarbeiten wir personenbezogene Daten der Nutzer selbst sowie – im Rahmen der Dokumenterstellung – Daten der Kunden dieser Betriebe.

3. Welche Daten wir verarbeiten

3.1 Daten der Nutzer

Bei Registrierung und Nutzung speichern wir:

  • Identifikation: Telegram-Nutzer-ID (numerische ID – kein Nutzername, kein Klarname, keine Telefonnummer aus Telegram)
  • Firmendaten: Firmenname, Inhabername, Geschäftsadresse, Telefon, E-Mail-Adresse, Website (optional)
  • Steuer- & Bankdaten: USt-ID, Steuernummer, IBAN, BIC, Bankname – ausschließlich zur Darstellung in eigenen Dokumenten
  • Gestaltungseinstellungen: Branche, Nummernkreise, PDF-Design, Logo (als Bilddatei), Unterschrift (als Bilddatei), selbst definierte Fachbegriffe
  • Abonnement: Abonnementstatus (Free / PRO) und Stripe-Kunden-ID
  • Nutzungsstatistik: Anzahl erstellter Dokumente pro Monat (ausschließlich für Plan-Limits, keine inhaltliche Auswertung)

3.2 Daten der Endkunden der Nutzer

Wenn Nutzer Angebote oder Rechnungen erstellen, erfassen sie Daten ihrer eigenen Kunden. Formantor verarbeitet diese Daten ausschließlich im Auftrag des jeweiligen Nutzers:

  • Name, Unternehmensname
  • Adresse, E-Mail-Adresse (jeweils optional)

Der Nutzer ist selbst dafür verantwortlich, diese Kundendaten rechtmäßig zu erfassen und an Formantor zu übermitteln. Ein Auftragsverarbeitungsvertrag (AVV) kann auf Anfrage abgeschlossen werden.

3.3 Team- und Mitarbeiterdaten

Nutzer können Teams einrichten und andere Formantor-Nutzer als Teammitglieder einladen. Dabei gilt:

  • Teammitglieder erhalten Zugriff auf gemeinsame Unternehmenseinstellungen (Logo, Signatur, Briefkopf)
  • Von Mitgliedern erstellte und eingereichte Bautagesberichte sind für den Teaminhaber im Dashboard einsehbar; der Bericht enthält den Namen des Verfassers als Autorenangabe
  • Verlässt ein Mitglied das Team oder wird das Team aufgelöst, werden bestehende Dokumente nicht gelöscht; die Teamverknüpfung wird aufgehoben
  • Wird das Konto des Teaminhabers gelöscht, werden alle Mitglieder automatisch vom Team getrennt

3.4 Sprach- und Mediendaten

  • Sprachnotizen (Audio): Audiodateien werden vorübergehend gespeichert, zur Transkription an die OpenAI API übermittelt und danach automatisch gelöscht – in der Regel innerhalb von 60 Sekunden nach Übermittlung
  • Fotos für Bautagesberichte: Temporär gespeichert, in das PDF eingebettet und danach automatisch gelöscht
  • PDF-Dokumente: Erstellte Angebote, Rechnungen und Berichte werden als PDF auf einem persistenten, verschlüsselten Speichervolume in der EU (Amsterdam) abgelegt und sind über Bot und Dashboard abrufbar
  • Logos und Unterschriften: Werden als Bilddatei in der Datenbank gespeichert und in generierten Dokumenten verwendet

Was wir nicht verarbeiten: Telegram-Nutzernamen, Vor- oder Nachnamen aus Telegram, Telegram-Telefonnummern, vollständige Gesprächsverläufe, Kreditkarten- oder Zahlungsdaten (diese verbleiben ausschließlich bei Stripe).

4. Zwecke und Rechtsgrundlagen

Zweck Rechtsgrundlage
Bereitstellung des Kerndiensts (Dokumenterstellung, Dashboard) Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
KI-gestützte Verarbeitung von Sprach- und Texteingaben (OpenAI) Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Zahlungsabwicklung und Abonnementverwaltung (Stripe) Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
E-Mail-Versand von Dokumenten (Resend) Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Speicherung von Dokumenten und Kundendaten Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung
Betriebsstabilität, Fehlerbehebung, Sicherheit Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse
Erfüllung gesetzlicher Aufbewahrungspflichten Art. 6 Abs. 1 lit. c DSGVO – rechtliche Verpflichtung

5. Eingesetzte Dienste und Auftragsverarbeiter

Telegram (Telegram FZ LLC, Dubai / VAE)

Der Zugang zu Formantor erfolgt über den Telegram-Messenger. Telegram erhält technisch alle Nachrichten, bevor sie an unsere Server übermittelt werden. Von Telegram verarbeiten wir ausschließlich die numerische Nutzer-ID. Die Kommunikation unterliegt den Datenschutzbestimmungen von Telegram.

telegram.org/privacy

OpenAI (OpenAI, LLC, USA)

Für Spracherkennung und Inhaltsextraktion nutzen wir die OpenAI API. Dabei können insbesondere verarbeitet werden:

  • Audiodateien von Sprachnotizen (nur zur Transkription, danach lokal gelöscht)
  • Transkribierter Text und selbst definierte Fachbegriffe des Nutzers
  • In Spracheingaben enthaltene Inhalte (z. B. erwähnte Kundennamen oder Projektbezeichnungen)
Mit OpenAI liegt ein Data Processing Agreement (DPA) vor. Die Protokollierung von API-Aufrufen durch OpenAI ist deaktiviert. Nach Angaben von OpenAI werden API-Daten nicht zum Training von Modellen verwendet. Die Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs).

openai.com/policies/privacy-policy

Railway (Railway Corp., Kanada – Betrieb in der EU)

Server und PostgreSQL-Datenbank werden bei Railway betrieben. Sämtliche Daten werden ausschließlich in der Region EU West (Amsterdam, Niederlande) gespeichert und verarbeitet. PDF-Dokumente, Signaturen und Fotos werden auf einem dedizierten, persistenten Speichervolume in derselben Region abgelegt. Es liegt ein Auftragsverarbeitungsvertrag (DPA) mit Railway vor.

railway.app/legal/privacy

Stripe (Stripe Payments Europe, Ltd., Irland)

Für Abonnementverwaltung und Zahlungsabwicklung nutzen wir Stripe. Dabei werden insbesondere die hinterlegte E-Mail-Adresse und interne Referenz-IDs verarbeitet. Zahlungsdaten (z. B. Kreditkartendaten) werden ausschließlich bei Stripe eingegeben – wir erhalten und speichern diese nicht. Stripe ist in Irland (EU) ansässig.

stripe.com/de/privacy

Resend (Resend Inc., USA)

Für den optionalen E-Mail-Versand von Dokumenten an Kunden nutzen wir Resend. Dabei werden Empfänger-E-Mail-Adressen, Absender- und Firmendaten sowie PDF-Anhänge verarbeitet. Der Versand erfolgt ausschließlich auf ausdrückliche Anforderung des Nutzers. Die Übermittlung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln.

resend.com/legal/privacy-policy

6. Drittlandübermittlungen

Server und Datenbank befinden sich in der EU (Amsterdam). Einige eingesetzte API-Dienste verarbeiten Daten außerhalb der EU. Soweit solche Übermittlungen stattfinden, erfolgen sie auf Grundlage geeigneter Garantien:

Dienst Datenspeicherort Absicherung
Railway (Hosting & Datenbank) EU – Amsterdam DPA abgeschlossen, Betrieb ausschließlich in der EU
Stripe EU – Irland EU-Sitz, kein Drittlandtransfer
OpenAI USA DPA + EU-Standardvertragsklauseln (SCCs)
Resend USA EU-Standardvertragsklauseln (SCCs)
Telegram International Kommunikationsdienst des Nutzers; eigene Datenschutzbedingungen von Telegram

7. Speicherung und Löschung

Dauerhaft gespeicherte Daten werden so lange aufbewahrt, bis der Nutzer die Löschung veranlasst oder der Verarbeitungszweck entfällt – sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. 7-jährige Aufbewahrungspflicht für Rechnungen nach österreichischem UGB und BAO).

Automatisch gelöscht werden:

  • Sprachnotizen (Audio): unmittelbar nach Transkription, spätestens nach 60 Sekunden
  • Fotos für Bautagesberichte: unmittelbar nach PDF-Erstellung
  • Konversations-Zwischenstände (Flows): nach 30 Minuten Inaktivität im Arbeitsspeicher; bei Konto-Löschung vollständig aus der Datenbank entfernt
  • Dashboard-Login-Links (Magic Links): nach einmaliger Verwendung oder spätestens nach 15 Minuten
  • Dashboard-Session-Token: nach 2 Stunden

Nutzerseitig initiierte Löschung:

Über den Bot-Befehl /datenschutz können Nutzer die vollständige Löschung ihrer Daten veranlassen. Nach Bestätigung werden aus unseren Systemen entfernt:

  • Profil- und Firmendaten
  • Kundenstammdaten
  • Angebote, Rechnungen und Bautagesberichte (soweit keine gesetzliche Aufbewahrungspflicht besteht)
  • Nutzungsstatistik
  • Aktive Sitzungs- und Konversationsdaten (Flows)
  • Generierte PDF-Dateien, Signaturen und Logos vom Speichervolume
  • Whitelist-Eintrag

Bei Teamkonten: Wird das Konto des Teaminhabers gelöscht, werden alle Mitglieder automatisch vom Team getrennt. Eigene Dokumente der Mitglieder bleiben erhalten.

Daten bei Drittdiensten (Stripe, OpenAI, Resend) unterliegen zusätzlich deren jeweiligen Aufbewahrungsrichtlinien.

8. Einsatz von Künstlicher Intelligenz

Formantor nutzt KI-Dienste von OpenAI zur Transkription von Sprachnachrichten und zur Extraktion strukturierter Informationen aus Texteingaben. KI-generierte Inhalte – wie erkannte Angebotspositionen – werden dem Nutzer stets zur Prüfung und Bestätigung vorgelegt, bevor ein Dokument erstellt wird. Eine vollautomatisierte Entscheidungsfindung ohne menschliche Überprüfung im Sinne von Art. 22 DSGVO findet nicht statt.

9. Datensicherheit

  • Alle Daten werden verschlüsselt übertragen (TLS 1.2 / HTTPS)
  • Authentifizierungs-Token sind kryptografisch gesichert (HMAC-SHA256) und zeitlich begrenzt
  • Dashboard-Login-Links sind einmalig nutzbar und laufen nach 15 Minuten ab
  • Alle Daten werden ausschließlich in der EU gespeichert (Railway EU West, Amsterdam)
  • Automatische tägliche Datenbank-Backups sind aktiv
  • PDF-Dokumente, Signaturen und Fotos werden auf einem persistenten, verschlüsselten Speichervolume in der EU abgelegt
  • Mit allen Auftragsverarbeitern liegen Verträge (DPA / AVV) vor

10. Ihre Rechte

Als betroffene Person stehen Ihnen nach der DSGVO folgende Rechte zu:

  • Auskunft über gespeicherte Daten (Art. 15 DSGVO)
  • Berichtigung unrichtiger Daten (Art. 16 DSGVO)
  • Löschung Ihrer Daten (Art. 17 DSGVO) – direkt über /datenschutz im Bot
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Beschwerde bei der Österreichischen Datenschutzbehörde: dsb.gv.at

Wenn Daten durch einen Formantor-Nutzer über Sie übermittelt wurden (z. B. als Kunde eines Handwerksbetriebs), wenden Sie sich bitte zunächst an den jeweiligen Betrieb als direkten Verantwortlichen. Für Fragen zu unserer eigenen Verarbeitung stehen wir unter den unten genannten Kontaktdaten zur Verfügung.

11. Cookies und lokale Speicherung

Das Dashboard verwendet zwei technisch notwendige Cookies zur Authentifizierung. Es werden keine Tracking-, Analyse- oder Werbe-Cookies eingesetzt.

  • Session-Cookie (fmt_tok): Enthält ein signiertes Authentifizierungs-Token, das nach 2 Stunden abläuft. Wird beim Login automatisch gesetzt und nach Ablauf oder Abmeldung gelöscht.
  • Angemeldet-bleiben-Cookie (fmt_rem): Wird gesetzt, wenn die Option „Angemeldet bleiben" aktiv ist – Standard bei Login über Magic-Link oder Zugangscode. Dieser Cookie ist 30 Tage gültig und wird bei jedem Dashboard-Besuch automatisch erneuert (Sliding Window). Dadurch bleibt die Session dauerhaft aktiv, solange das Dashboard regelmäßig verwendet wird, ohne dass ein erneuter Login erforderlich ist.

Beide Cookies sind als httpOnly gesetzt (nicht durch JavaScript auslesbar), werden nur über verschlüsselte HTTPS-Verbindungen übertragen und sind auf denselben Ursprung beschränkt (SameSite=Strict).

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Produktänderungen oder geänderter Rechtslage anzupassen. Die jeweils aktuelle Version ist auf dieser Seite abrufbar. Wesentliche Änderungen können zusätzlich über den Bot kommuniziert werden.

13. Kontakt für Datenschutzanfragen

Marcel Wedenig / WildCodeLabs Weinberg 40
9133 Sittersdorf, Österreich

E-Mail: contact@formantor.com
Telefon: +43 664 1231681