CFOProof ist eine deterministische Finanzdiagnose-Plattform, die 23 regelbasierte Prüfregeln auf hochgeladene Finanzdaten anwendet, um Kostenlecks und Einsparungspotenziale zu identifizieren.

Wie unterscheidet sich CFOProof von KI-basierten Tools?

CFOProof verwendet keinerlei KI oder Machine Learning. Alle Ergebnisse basieren auf deterministischen Regeln und sind auf die genaue Quelltransaktion zurückverfolgbar.

Für welche Unternehmensgrößen ist CFOProof geeignet?

CFOProof richtet sich an KMU und mittelständische Unternehmen im DACH-Raum mit einem Umsatz von €5M bis €200M.

Welche Daten werden benötigt?

Eine CSV-Datei mit strukturierten Finanzdaten: Datum, Kategorie, Beschreibung und Betrag. Kein Zugriff auf Bankkonten oder Buchhaltungssysteme erforderlich.

Ist CFOProof eine Steuer- oder Rechtsberatung?

Nein. CFOProof ist ein diagnostisches Analyse-Tool und ersetzt keine Steuer-, Rechts- oder Wirtschaftsprüfungsleistung gemäß WTBG, RAO oder UGB.

Wie erhalte ich Zugang?

CFOProof ist nicht öffentlich zugänglich. Der Zugang erfolgt über einen persönlichen Termin, NDA-Unterzeichnung und anschließend per Zugangscode.

Wo werden meine Daten gespeichert?

Alle Daten werden in der EU (Frankfurt, Deutschland) auf Supabase-Infrastruktur gespeichert. DSGVO-konform, keine Weitergabe an Dritte.

CFOProof ist engagement-basiert und keine SaaS-Lizenz. Die Preisgestaltung hängt von der Unternehmensgröße und dem Analyseumfang ab.

Zurück zur Startseite

Datenschutzerklärung

Information zur Erhebung und Verarbeitung personenbezogener Daten gemäß Art. 13 und 14 DSGVO.

Dual Privacy Architecture

CFOProof™ bietet zwei explizite, transparente Datenschutzmodi. Sie wählen beim ersten Besuch, welcher Modus aktiv sein soll. Sie können den Modus jederzeit wechseln.

Local Private Mode

Alle Daten verbleiben im Browser (IndexedDB/localStorage)
Analyse via Web Worker — kein Server-Upload
Keine Authentifizierung erforderlich
Einzelnutzer, keine Zusammenarbeit
Audit-Log im localStorage (500 Einträge)
Daten gehen bei Browser-Löschung verloren
DSGVO-konform durch Architektur

Server Private Mode

Daten in EU-PostgreSQL (Supabase, Frankfurt)
Serverseitige API-Analyse
Supabase Auth (E-Mail/Passwort, SSO-ready)
Multi-User RBAC (Viewer/Analyst/Admin/Owner)
Audit-Log in PostgreSQL (dauerhaft)
Automatische Persistenz + Export
DSGVO-konform durch RLS + Verschlüsselung

1. Name und Kontakt des Verantwortlichen

CFOProof — Ali Najafzadeh

Bockkellerstraße 6/1, 1190 Wien, Österreich

E-Mail: [email protected]

Ein Datenschutzbeauftragter ist gemäß Art. 37 DSGVO nicht bestellt, da die gesetzlichen Voraussetzungen hierfür nicht erfüllt sind.

2. Erhebung und Speicherung bei Website-Besuch

Beim Aufrufen unserer Website werden durch unseren Hosting-Provider (z.B. Cloudflare/Vercel) standardmäßig Server-Logfiles erfasst (IP-Adresse, Browser, Zeitstempel), die zur Sicherstellung des Betriebs und der Sicherheit der Website erforderlich sind (Art. 6 Abs. 1 lit. f DSGVO). Diese Daten werden nach wenigen Tagen gelöscht.

3. Cookies und Local Storage

Wir verzichten vollständig auf Marketing- und Tracking-Cookies (wie Google Analytics oder Meta Pixel).

Wir verwenden den lokalen Speicher Ihres Browsers (Local Storage / IndexedDB) für folgende Zwecke:

Speicherung des gewählten Datenschutzmodus (Local Private / Server Private)
Zwischenspeicherung der UI-Zustände während der Sitzung
Im Local Private Mode: Speicherung von Finanzdaten in IndexedDB

Im Server Private Mode werden Sitzungscookies für die Authentifizierung verwendet (Supabase Auth).

4. Datenverarbeitung im Server Private Mode

Wenn Sie den Server Private Mode wählen, werden Ihre Finanzdaten verschlüsselt in unserer EU-gehosteten PostgreSQL-Datenbank gespeichert (Supabase, Region Frankfurt).

Zugriffskontrolle erfolgt durch:

Row-Level Security (RLS) — jede Abfrage ist auf Ihre Organisation beschränkt
Rollenbasierte Authentifizierung (RBAC: Viewer, Analyst, Admin, Owner)
Audit-Log aller Aktionen (dauerhaft in PostgreSQL)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an sicherer Datenverarbeitung).

5. Zahlungsabwicklung (Stripe)

Zur Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.

Wenn Sie einen Bericht erwerben, werden Ihre Zahlungsdaten direkt an Stripe übermittelt. Wir speichern keine vollständigen Kreditkartendaten. Die Verarbeitung erfolgt auf Basis von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. Betroffenenrechte

Local Private Mode: Da keine Daten auf unseren Servern gespeichert werden, können wir solche nicht beauskunften oder löschen. Sie kontrollieren Ihre Daten vollständig über Ihren Browser.

Server Private Mode: Sie haben das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung gemäß DSGVO. Kontaktieren Sie uns unter [email protected].

Bei Beschwerden können Sie sich an die Österreichische Datenschutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, wenden.

7. Unterauftragsverarbeiter / Subprocessors

Subprocessor	Zweck	Daten	Standort
Supabase (Server Mode)	Datenbank, Auth, Storage	Finanzdaten, Benutzerprofile	Frankfurt, Deutschland (EU)
Stripe Payments Europe, Ltd.	Zahlungsabwicklung	Nur Rechnungsdaten	Dublin, Irland (EU)
Vercel / Cloudflare	Hosting / CDN	Standard-Webserver-Logs	EU-Endpunkte

Im Local Private Mode werden keine Finanzdaten an Subprocessors übermittelt. Im Server Private Mode werden Daten ausschließlich innerhalb der EU verarbeitet.

8. Technische und organisatorische Maßnahmen (TOMs)

Dual-Mode:Nutzer wählen explizit zwischen Local Private (kein Server-Upload) und Server Private (EU-PostgreSQL mit RLS).
RLS:Im Server Mode schränkt Row-Level Security jede Datenbankabfrage auf die eigene Organisation ein.
Audit-Log:Jede Aktion wird protokolliert — im Local Mode in localStorage, im Server Mode dauerhaft in PostgreSQL.
Verschlüsselung:Session-Exports mit AES-256-GCM verschlüsselt. Server-Datenbank mit TLS in transit und at-rest encryption.
Keine Public AI:Finanzielle Rohdaten werden niemals an öffentliche LLM-APIs gesendet.

9. Datenflussdiagramm

Local Private Mode:

CSV Upload → Browser RAM → Web Worker → Analyse → IndexedDB / localStorage
                                                                  ↓
                                                    PDF-Generierung (clientseitig)
╔════════════════════════════════════════════════════════════════╗
║  Keine Daten verlassen den Browser.                           ║
╚════════════════════════════════════════════════════════════════╝

Server Private Mode:

CSV Upload → API Route → PostgreSQL (Frankfurt)
                               ↓
                    Server-Side Analysis → Opportunities → PostgreSQL
                               ↓
                    PDF-Generierung (serverseitig)
╔════════════════════════════════════════════════════════════════╗
║  Alle Daten innerhalb der EU. RLS pro Organisation.           ║
║  Audit-Log für jede Aktion.                                   ║
╚════════════════════════════════════════════════════════════════╝

Rechtlicher Rahmen

Diese Analyse stellt keine Steuer-, Rechts- oder Wirtschaftsprüfungsleistung dar und ersetzt keine Beratung gemäß WTBG, RAO oder UGB. Gerichtsstand Wien; es gilt österreichisches Recht unter Ausschluss des UN-Kaufrechts. Die Haftung ist auf den Auftragswert beschränkt; ausgenommen Vorsatz und grobe Fahrlässigkeit (§ 1324 ABGB). [Vorläufig — wird durch geprüfte AGB ersetzt]