Datenschutzerklärung

Stand: 25. Februar 2026

1. Verantwortlicher

devs group
info@devs-group.ch
devs-group.ch

2. Unabhängigkeit und freiwillige Nutzung

Diese App ist kein offizielles Produkt der Bexio AG. Sie wird unabhängig von devs group entwickelt und betrieben. Die Nutzung ist vollständig freiwillig. Sie entscheiden selbst, ob und wie lange Sie diese App verwenden. Eine Deinstallation ist jederzeit möglich und löscht sämtliche lokalen Daten.

3. Grundsatz: Ihre Daten bleiben auf Ihrem Gerät

Der Anbieter speichert keine Ihrer Bexio-Daten auf eigenen Servern. Die gesamte Datenhaltung erfolgt ausschliesslich lokal auf Ihrem Gerät. API-Anfragen an Bexio laufen über ein Backend-System des Anbieters, das als Proxy fungiert und die Anfragen an die offizielle Bexio-API weiterleitet. Dieses Backend speichert, protokolliert oder analysiert weder Ihre Anfragen noch Ihre Daten. Es leitet sie ausschliesslich durch.

4. Welche Daten lokal auf Ihrem Gerät gespeichert werden

Authentifizierung (OAuth / Device Token)

Bei der Anmeldung authentifizieren Sie sich direkt bei Bexio über einen sicheren OAuth-Vorgang (PKCE). Die Bexio Zugangsdaten (Access Token und Refresh Token) werden ausschliesslich auf dem Backend-System des Anbieters gespeichert und verwaltet – sie gelangen zu keinem Zeitpunkt auf Ihr Gerät. Auf Ihrem Gerät wird lediglich ein gerätegebundenes Token (Device Token) im sicheren Schlüsselbund (Keychain/Keystore) gespeichert, das Ihr Gerät gegenüber dem Backend identifiziert. Ihr Bexio-Passwort wird zu keinem Zeitpunkt in der App gespeichert oder an den Anbieter übermittelt.

Das serverseitige Speichern der Bexio Tokens dient zwei Zwecken: (1) das OAuth-Client-Secret wird serverseitig gehalten und nie an das Gerät übermittelt, was die Sicherheit der Authentifizierung erhöht; (2) der Benachrichtigungsdienst kann im Hintergrund prüfen, ob sich relevante Statusänderungen ergeben haben, um Push-Benachrichtigungen auszulösen. Die Tokens werden ausschliesslich für diese Zwecke verwendet und bei Widerruf des Zugangs gelöscht.

Minimale serverseitige Zustandsdaten

Um erkennen zu können, ob sich seit der letzten Prüfung etwas geändert hat, speichert das Backend ein absolutes Minimum an Zustandsdaten pro Konto. Dazu gehören ausschliesslich:

• Zuletzt bekannte Anzahl/IDs von Dateien im Posteingang (um neue Dateien zu erkennen)
• Zuletzt bekannter Status von Rechnungen (um Statusänderungen wie «bezahlt» oder «überfällig» zu erkennen)

Diese Daten enthalten keine Inhalte (keine Dateinamen, Beträge, Kundennamen oder sonstige Geschäftsdaten). Sie dienen ausschliesslich dem Vergleich «hat sich etwas geändert?» und werden bei Abmeldung oder Widerruf des Zugangs gelöscht.

Zwischengespeicherte Bexio-Daten

Zur Offline-Nutzung werden folgende Daten aus Ihrem Bexio-Konto lokal auf Ihrem Gerät in einer SQLite-Datenbank zwischengespeichert:

• Rechnungen (Kopfdaten, Positionen, Status)
• Lieferantenrechnungen (Kopfdaten, Positionen, Anhänge-Metadaten)
• Dateien im Posteingang (Metadaten, Vorschaubilder)
• Kontakte (Name, Adresse, für Rechnungserstellung)
• Firmenname (für die Anzeige im Dashboard)

Diese Daten verlassen Ihr Gerät nicht. Sie können den lokalen Cache jederzeit in den App-Einstellungen löschen.

Push-Benachrichtigungen (optional)

Push-Benachrichtigungen sind eine optionale Funktion, die Sie aktiv einschalten müssen. Wenn aktiviert, wird ein gerätesspezifisches Push-Token an den Benachrichtigungsdienst des Anbieters übermittelt. Dieses Token enthält keine personenbezogenen Daten und dient ausschliesslich der Zustellung von Benachrichtigungen (z.B. Rechnung bezahlt, Rechnung überfällig, neue Dateien). Sie können Push-Benachrichtigungen jederzeit in den App-Einstellungen deaktivieren.

5. Welche Daten der Anbieter verarbeitet

Der Anbieter speichert serverseitig ausschliesslich:

• Bexio Access Token und Refresh Token: verschlüsselt, zur Authentifizierung gegenüber Bexio und für Hintergrundprüfungen
• Push-Token (nur bei aktivierten Benachrichtigungen): zur Zustellung von Push-Nachrichten
• Minimale Zustandsdaten: letzte bekannte Datei-Anzahl/IDs und Rechnungsstatus, ohne Inhalte (siehe Abschnitt 4)

Der Anbieter speichert keine IP-Adressen, keine Server-Logs und keine Nutzungsdaten. Das Backend-System leitet API-Anfragen an Bexio durch, ohne diese zu protokollieren oder zu speichern.

Der Anbieter hat keinen Zugang zu Ihren Bexio-Daten, Ihrem Bexio-Passwort, Ihren Rechnungen, Kontakten oder Dateien.

6. Datenweitergabe

Ihre Daten werden nicht an Dritte verkauft, vermietet oder zu Werbe- oder Analysezwecken weitergegeben. Es findet kein Tracking statt. Folgende Drittdienste sind technisch eingebunden:

• Bexio AG: API-Anfragen werden über das Backend des Anbieters an die offizielle Bexio-API weitergeleitet (gemäss deren Datenschutzerklärung)
• Apple Push Notification Service / Firebase Cloud Messaging: Zustellung von Push-Benachrichtigungen (nur bei Aktivierung)

7. Speicherdauer und Löschung

• Lokale Bexio-Daten: Sofortige Löschung bei Deinstallation der App oder beim Löschen des Caches in den Einstellungen
• Device Token (lokal): Löschung bei Abmeldung oder Deinstallation aus dem Schlüsselbund
• Bexio Tokens (serverseitig): Löschung bei Abmeldung, Widerruf des Zugangs in Bexio oder auf Anfrage
• Push-Token: Löschung bei Deaktivierung der Benachrichtigungen oder Deinstallation
• Serverseitige Zustandsdaten: Löschung bei Abmeldung, Widerruf des Zugangs oder auf Anfrage
• Automatische Löschung bei Inaktivität: Konten, die über 90 Tage keine Verbindung zur App hergestellt haben, werden automatisch und vollständig vom Server gelöscht (Bexio Tokens, Push-Token, Zustandsdaten). Nach der Löschung ist eine erneute Anmeldung erforderlich.

Da nahezu alle Daten ausschliesslich auf Ihrem Gerät liegen, haben Sie die vollständige Kontrolle über deren Löschung.

8. Ihre Rechte

Gemäss dem Schweizer Datenschutzgesetz (nDSG, in Kraft seit 1. September 2023) haben Sie folgende Rechte:

• Auskunft: Sie können jederzeit Auskunft über die beim Anbieter gespeicherten Daten verlangen. Da keine Bexio-Daten beim Anbieter liegen, beschränkt sich dies auf ein allfälliges Push-Token.
• Löschung: Deinstallation der App löscht alle lokalen Daten. Für die Löschung des Push-Tokens genügt die Deaktivierung in den Einstellungen.
• Widerruf: Widerrufen Sie den OAuth-Zugang jederzeit in Ihrem Bexio-Konto unter «Verknüpfte Apps».
• Beschwerde: Sie haben das Recht, bei der zuständigen Datenschutzbehörde (EDÖB) Beschwerde einzureichen.

9. Cookies, Tracking und Werbung

Diese Website und die App verwenden keine Cookies, kein Tracking, keine Analysedienste, keine Werbung und keine IP-Speicherung. Es werden keinerlei Nutzungsprofile erstellt.

10. Datensicherheit

Die App nutzt die Sicherheitsmechanismen Ihres Geräts (Keychain/Keystore für Tokens, App-Sandbox für die lokale Datenbank). Die Kommunikation mit der Bexio-API erfolgt ausschliesslich über verschlüsselte HTTPS-Verbindungen. Der Anbieter kann jedoch keine absolute Sicherheit garantieren und haftet nicht für unbefugten Zugriff auf Ihr Gerät.

11. Änderungen

Diese Datenschutzerklärung kann jederzeit angepasst werden. Die aktuelle Fassung ist stets auf dieser Seite einsehbar.

12. Kontakt

Bei Fragen zum Datenschutz:
devs group
info@devs-group.ch