TAXarena · München · 22.07.26 · Wir sind dabei!

Datenschutzerklärung – Heritaxa GmbH

Stand: Mai 2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist: Heritaxa GmbH Berlin, Deutschland E-Mail: datenschutz@heritaxa.com Website: https://heritaxa.com Sofern künftig ein Datenschutzbeauftragter benannt wird oder gesetzlich zu benennen ist, werden dessen Kontaktdaten an dieser Stelle ergänzt.

2. Allgemeine Hinweise zur Datenverarbeitung

Heritaxa betreibt eine digitale Plattform zur strukturierten Erfassung, Organisation und Verwaltung von vermögens-, schenkungs- und erbschaftsbezogenen Informationen. Die Plattform kann insbesondere zur Erstellung und Verwaltung eines Vermögensverzeichnisses bzw. eines Nachlassverzeichnisses, zur Dokumentenspeicherung, zur Informationsaufbereitung sowie zur Zusammenarbeit mit Dritten genutzt werden. Im Rahmen der Nutzung der Plattform verarbeiten wir personenbezogene Daten ausschließlich im Rahmen der geltenden datenschutzrechtlichen Vorschriften, insbesondere der DSGVO, des Bundesdatenschutzgesetzes (BDSG) sowie weiterer einschlägiger Datenschutzvorschriften. Die Nutzung der Plattform kann die Verarbeitung personenbezogener Daten, Vermögensdaten, Nachlassdaten, Dokumente, Vertragsinformationen, Immobilieninformationen, Kommunikationsdaten sowie weiterer nutzerbezogener Inhalte umfassen. Der Umfang der Verarbeitung hängt davon ab, welche Funktionen der Nutzer verwendet und welche Daten er selbst eingibt, hochlädt oder mit Dritten teilt.

3. Kategorien personenbezogener Daten

Je nach Nutzung der Plattform können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

  • Stammdaten, insbesondere Name, E-Mail-Adresse und Nutzerkennung
  • Login- und Authentifizierungsdaten
  • Kommunikationsdaten
  • Vertrags- und Abrechnungsdaten
  • Zahlungsdaten, soweit kostenpflichtige Leistungen genutzt werden
  • Vermögensdaten, insbesondere Angaben zu Konten, Immobilien, Unternehmensbeteiligungen, Versicherungen, Wertpapieren, Verträgen oder sonstigen Vermögensgegenständen
  • Nachlassdaten und erbschaftsbezogene Informationen
  • Schenkungsbezogene Informationen
  • hochgeladene Dokumente, Dateien, Bilder und Metadaten
  • technische Nutzungsdaten, insbesondere IP-Adresse, Browsertyp, Betriebssystem, Logdaten und Geräteinformationen
  • pseudonyme Analyse- und Nutzungsdaten, soweit hierfür eine Einwilligung erteilt wurde
  • Daten Dritter, sofern der Nutzer solche Daten in die Plattform eingibt oder Dokumente mit entsprechenden Informationen hochlädt

• Sofern der Nutzer personenbezogene Daten anderer Personen in die Plattform eingibt, hochlädt, speichert oder teilt, stellt er sicher, dass er hierzu rechtlich befugt ist und die Rechte der betroffenen Personen gewahrt werden.

4. Zwecke der Verarbeitung

Wir verarbeiten personenbezogene Daten insbesondere zu folgenden Zwecken:

  • Bereitstellung und technischer Betrieb der Plattform
  • Registrierung, Authentifizierung und Verwaltung von Nutzerkonten
  • Erstellung, Verwaltung und Strukturierung von Vermögensverzeichnissen bzw. Nachlassverzeichnissen
  • Speicherung und Verwaltung von Dokumenten im digitalen Dokumenten- und Datensafe
  • Bereitstellung von Informationen zu gesetzlichen Vorgaben im Zusammenhang mit Schenkungen und Erbschaften
  • Bereitstellung von Funktionen zur Zusammenarbeit und zum Teilen von Informationen mit Dritten
  • Kontaktaufnahme zu externen Dienstleistern, insbesondere Rechtsanwälten, Steuerberatern oder sonstigen Experten
  • Abwicklung kostenpflichtiger Leistungen
  • Rechnungsstellung und Zahlungsabwicklung
  • Kommunikation mit Nutzern
  • Bereitstellung von Transaktions-E-Mails, Sicherheitscodes, Einladungen und vertragsbezogenen Informationen
  • Sicherstellung der technischen Stabilität und IT-Sicherheit
  • Fehleranalyse, Performance-Monitoring und Missbrauchsprävention
  • Verbesserung der Plattform, soweit hierfür eine Rechtsgrundlage besteht
  • Erfüllung gesetzlicher Pflichten

5. Rechtsgrundlagen der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt insbesondere auf Grundlage der folgenden Rechtsgrundlagen:

  • Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen
  • Art. 6 Abs. 1 lit. f DSGVO: Verarbeitung zur Wahrung berechtigter Interessen, insbesondere zur Sicherstellung des Betriebs, der IT-Sicherheit, der Fehleranalyse und der Verbesserung der Plattform
  • Art. 6 Abs. 1 lit. a DSGVO: Verarbeitung auf Grundlage einer Einwilligung, insbesondere bei optionaler Produktanalyse oder optionalen Marketingfunktionen
  • Art. 6 Abs. 1 lit. c DSGVO: Verarbeitung zur Erfüllung gesetzlicher Verpflichtungen, insbesondere handels- und steuerrechtlicher Aufbewahrungspflichten

Soweit besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO verarbeitet werden sollten, erfolgt dies nur, wenn hierfür eine gesetzliche Grundlage oder eine ausdrückliche Einwilligung besteht.

6. Eingesetzte Dienste, Empfänger und Auftragsverarbeiter

Zur Bereitstellung der Plattform nutzen wir technische Dienstleister und Auftragsverarbeiter. Eine Weitergabe personenbezogener Daten erfolgt nur, soweit dies zur Vertragserfüllung, zur Bereitstellung der Plattform, aufgrund gesetzlicher Verpflichtungen, auf Grundlage berechtigter Interessen oder aufgrund einer Einwilligung erforderlich ist. Mit Auftragsverarbeitern bestehen, soweit erforderlich, Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO.

a. CRM und Kontaktverwaltung – Zoho

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO oder Art. 6 Abs. 1 lit. a DSGVO Zweck: Bearbeitung von Anfragen, Verwaltung von Kontakten, Kunden- und Interessentenkommunikation Zoho: https://www.zoho.com/privacy.html | https://www.zoho.com/terms.html Wenn Nutzer sich registrieren, Heritaxa kontaktieren oder über Marketing- bzw. Vertriebskanäle mit Heritaxa in Kontakt treten, können Kontaktdaten in einem CRM-System verarbeitet werden. Dabei können insbesondere verarbeitet werden:

  • Name
  • E-Mail-Adresse
  • Unternehmen oder Nutzungstyp
  • Kommunikationshistorie
  • Lead- oder Kundentyp
  • Marketing- oder Einwilligungsstatus

Für werbliche Kommunikation wird eine Einwilligung eingeholt, soweit diese gesetzlich erforderlich ist.

b. Fehleranalyse und Stabilität – Sentry

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Zweck: Fehleranalyse, Stabilität, Sicherheit und Performance-Monitoring Sentry: https://sentry.io/privacy Zur Erkennung und Behebung technischer Fehler verarbeiten wir automatisch technische Fehlermeldungen. Dabei können insbesondere Zeitpunkte, technische Fehlercodes, Browserinformationen, Geräteinformationen, Request-Metadaten, Stack-Traces sowie bei aktiver Sitzung eine Nutzerkennung verarbeitet werden. Unser berechtigtes Interesse liegt in der sicheren, stabilen und fehlerarmen Bereitstellung der Plattform. Nutzer können dieser Verarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, gemäß Art. 21 DSGVO widersprechen.

c. Hosting, Reverse Proxy und Server-Logfiles

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Zweck: Auslieferung der Plattform, Betriebssicherheit, Missbrauchsprävention Beim Aufruf der Plattform werden technisch erforderliche Protokolldaten verarbeitet. Dazu können insbesondere gehören:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • angeforderte Seite oder Ressource
  • HTTP-Statuscode
  • Browsertyp und Browserversion
  • Betriebssystem
  • Referrer-URL
  • User-Agent

Die Verarbeitung dient dem technischen Betrieb, der Systemsicherheit, der Fehlerdiagnose und der Abwehr von Missbrauch oder Angriffen. Logdaten werden nur so lange gespeichert, wie dies für diese Zwecke erforderlich ist.

d. E-Mail-Versand – Resend

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Zweck: Transaktions-E-Mails, Login-Codes, Magic Links, Einladungen, System- und Vertragskommunikation Resend: https://resend.com/legal/privacy-policy | https://resend.com/legal/terms Für Anmeldung, Sicherheitscodes, Einladungen, Benachrichtigungen, vertragsbezogene Mitteilungen und gegebenenfalls abonnementbezogene Hinweise setzen wir einen externen E-Mail-Dienstleister ein. Dabei können insbesondere verarbeitet werden:

  • E-Mail-Adresse
  • Name
  • Inhalt der jeweiligen Nachricht
  • Zustellstatus
  • technische Versandinformationen

Ohne diese Verarbeitung können bestimmte Plattformfunktionen nicht ordnungsgemäß bereitgestellt werden.

e. Zahlungsabwicklung – Stripe

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Aufbewahrungspflichten Zweck: Zahlungsabwicklung, Abonnementverwaltung, Checkout, Rechnungsstellung Stripe: https://stripe.com/privacy | https://stripe.com/legal Bei kostenpflichtigen Leistungen erfolgt die Zahlungsabwicklung über Stripe Payments Europe Ltd. bzw. verbundene Stripe-Gesellschaften. Dabei können insbesondere verarbeitet werden:

  • Name
  • E-Mail-Adresse
  • Zahlungsdaten
  • Rechnungsadresse
  • Transaktionsdaten
  • Steuer- und Rechnungsinformationen

Heritaxa speichert keine vollständigen Kreditkartendaten. Zahlungsdaten werden durch Stripe verarbeitet. Rechnungs- und steuerrelevante Daten können entsprechend gesetzlicher Aufbewahrungspflichten gespeichert werden. Für die Zahlungsabwicklung gelten ergänzend die Datenschutzinformationen und Vertragsbedingungen des jeweiligen Zahlungsdienstleisters.

f. Anmeldung mit Google – Google OAuth

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Zweck: Optionaler Login mit Google-Konto Google: https://policies.google.com/privacy | https://policies.google.com/terms Nutzer können sich optional mit einem Google-Konto anmelden. In diesem Fall erhalten wir von Google die für die Anmeldung freigegebenen Daten, typischerweise:

  • Name
  • E-Mail-Adresse
  • technische Google-Kennung

Die Nutzung des Google-Logins ist freiwillig. Nutzer können sich alternativ über andere angebotene Anmeldeverfahren registrieren oder anmelden. Google verarbeitet Daten nach eigenen Datenschutzbestimmungen.

g. Cloud-Speicher und digitaler Dokumenten- und Datensafe

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Zweck: Speicherung und Verwaltung von Dokumenten, Dateien und Medien Dokumente, Dateien und Inhalte des digitalen Dokumenten- und Datensafes werden in einem Cloud-Speicher verarbeitet. Dabei können insbesondere verarbeitet werden:

  • hochgeladene Dokumente
  • Bilder
  • Dateinamen
  • Dateigrößen
  • Upload-Zeitpunkte
  • technische Metadaten

Die Speicherung dient der Bereitstellung der vom Nutzer gewählten Funktionen. Soweit möglich, erfolgt die Verarbeitung in Rechenzentren innerhalb der Europäischen Union.

h. In-App-Hilfe und Handbuch – Strapi

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO Zweck: Bereitstellung von Hilfetexten, Handbuchinhalten und Nutzerführung Hilfetexte und Handbuch-Inhalte können über ein Content-Management-System geladen werden. Dabei werden grundsätzlich keine personenbezogenen Nutzerprofile an den Anbieter des Content-Systems übermittelt. Es werden lediglich die angeforderten Inhalte abgerufen. Unser berechtigtes Interesse liegt in einer verständlichen Nutzerführung und der effizienten Bereitstellung aktueller Hilfetexte.

i. Adresssuche bei Immobilien – Google Places / Geocoding

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO Zweck: Immobilien-Adresssuche, Autocomplete und Geocoding Google: https://policies.google.com/privacy | https://policies.google.com/terms Wenn Nutzer eine Immobilienadresse suchen oder erfassen, können die eingegebenen Suchbegriffe bzw. Adressdaten serverseitig an Google Places oder Geocoding-Dienste weitergeleitet werden, um Vorschläge, Adressdaten oder Koordinaten zu ermitteln. Die Abfrage erfolgt nur, wenn die Adresssuche aktiv genutzt wird. Google verarbeitet Daten nach eigenen Datenschutzbestimmungen.

j. Produktanalyse – PostHog

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO Zweck: Produktanalyse, Verbesserung der Nutzerführung und Auswertung pseudonymer Nutzungsereignisse Einwilligung: erforderlich PostHog: https://posthog.com/privacy | https://posthog.com/terms Wenn Nutzer im Onboarding, über ein Einwilligungsbanner oder in den Einstellungen zustimmen, erfassen wir pseudonyme Nutzungsdaten, um Heritaxa zu verbessern. Dabei können insbesondere Nutzungsereignisse, technische Informationen, Geräte- und Browserdaten sowie Interaktionsdaten verarbeitet werden. Inhalte aus Vermögensverzeichnissen, Nachlassverzeichnissen, hochgeladenen Dokumenten oder dem digitalen Dokumenten- und Datensafe werden nicht zu Analysezwecken ausgewertet. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Nach Widerruf findet keine weitere Analyseverarbeitung auf dieser Grundlage statt.

7. Cookies und Einwilligungsmanagement

Die Plattform verwendet technisch notwendige Cookies, Local-Storage-Einträge oder vergleichbare Technologien, soweit dies für den Betrieb der Plattform erforderlich ist. Darüber hinaus können Analyse- oder Komfortfunktionen eingesetzt werden, sofern Nutzer hierfür eine Einwilligung erteilt haben. Einwilligungsbedürftige Dienste werden erst aktiviert, nachdem eine entsprechende Zustimmung erteilt wurde. Nutzer können ihre Einwilligungen jederzeit mit Wirkung für die Zukunft über die Cookie- bzw. Datenschutzeinstellungen widerrufen oder anpassen. Folgende Kategorien können verwendet werden:

  • technisch notwendige Cookies und Speichertechnologien
  • Sicherheits- und Session-Cookies
  • Einwilligungsspeicherung
  • Analyse- und Statistikdienste
  • Komfortfunktionen

Die Speicherung einer Analyse-Einwilligung kann lokal im Browser erfolgen, etwa über Local Storage.

8. Drittlandübermittlung

Sofern personenbezogene Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums übertragen werden, erfolgt dies nur unter Einhaltung der gesetzlichen Voraussetzungen. Dies kann insbesondere erfolgen auf Grundlage von:

  • Angemessenheitsbeschlüssen der Europäischen Kommission
  • EU-Standardvertragsklauseln
  • zusätzlichen technischen und organisatorischen Schutzmaßnahmen
  • Einwilligungen, soweit gesetzlich zulässig

Drittlandtransfers können insbesondere bei einzelnen technischen Dienstleistern betroffen sein, etwa bei E-Mail-Versand, Fehleranalyse, Zahlungsabwicklung, Login- oder Kartendiensten.

9. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Zwecke erforderlich ist. Eine längere Speicherung kann erfolgen, wenn:

  • gesetzliche Aufbewahrungspflichten bestehen
  • die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind
  • eine Einwilligung für eine längere Speicherung vorliegt
  • technische Sicherheits- oder Missbrauchspräventionsgründe eine zeitlich begrenzte Speicherung erfordern

Nach Wegfall des jeweiligen Zwecks werden personenbezogene Daten gelöscht oder anonymisiert, soweit keine gesetzlichen Pflichten entgegenstehen.

10. Datenexport und Kontolöschung

Nutzer können im Rahmen der verfügbaren Funktionen ihre Daten exportieren oder die Löschung ihres Nutzerkontos verlangen. Nach Beendigung des Nutzungsverhältnisses kann ein zeitlich begrenzter Zugriff zur Sicherung eigener Daten bereitgestellt werden. Danach werden Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen entgegenstehen.

11. Rechte der betroffenen Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen insbesondere folgende Rechte:

  • Recht auf Auskunft gemäß Art. 15 DSGVO
  • Recht auf Berichtigung gemäß Art. 16 DSGVO
  • Recht auf Löschung gemäß Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
  • Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO
  • Recht auf Widerspruch gemäß Art. 21 DSGVO
  • Recht auf Widerruf erteilter Einwilligungen gemäß Art. 7 Abs. 3 DSGVO

Der Widerruf einer Einwilligung berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs. Außerdem besteht ein Beschwerderecht bei einer Datenschutzaufsichtsbehörde.

12. Datensicherheit

Heritaxa trifft angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Dazu gehören insbesondere:

  • Zugriffsbeschränkungen
  • rollenbasierte Berechtigungen
  • Verschlüsselung
  • Protokollierung sicherheitsrelevanter Vorgänge
  • Backup- und Wiederherstellungsverfahren
  • Berechtigungskonzepte für Mitarbeiter und Dienstleister
  • Schutz vor unbefugtem Zugriff
  • Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit

Die konkreten Maßnahmen werden entsprechend technischer Entwicklung und Risikolage fortlaufend überprüft und angepasst.

13. Verknüpfung zu Nutzungsbedingungen und AGB

Für die Nutzung der Plattform gelten ergänzend:

  • die Nutzungsbedingungen der Heritaxa GmbH
  • die Allgemeinen Geschäftsbedingungen (AGB) der Heritaxa GmbH
  • gegebenenfalls besondere Tarif-, Leistungs- oder Produktbeschreibungen
  • gegebenenfalls gesonderte Einwilligungserklärungen

Diese Dokumente regeln insbesondere Leistungsumfang, Vertragsschluss, Nutzungsrechte, Haftung, Drittanbieterintegration, Zahlungsabwicklung und kostenpflichtige Leistungen.

14. Kontakt für Datenschutzanfragen

Datenschutzanfragen können gerichtet werden an: Heritaxa GmbH E-Mail: datenschutz@heritaxa.com